2017年2月底，由國內(nèi)產(chǎn)學(xué)研多家機構(gòu)聯(lián)合發(fā)布了《2016物聯(lián)網(wǎng)安全白皮書》，該白皮書就當(dāng)前熱門的物聯(lián)網(wǎng)安全問題進行了獨家分析，并重點指出物聯(lián)網(wǎng)是一個規(guī)模龐大的信息計算系統(tǒng)，這個系統(tǒng)需要一個強有力的平臺提供計算和存儲服務(wù)來支撐其應(yīng)用需求，云平臺能夠?qū)ξ锫?lián)網(wǎng)終端所收集的數(shù)據(jù)信息進行綜合、整理、分析、反饋等操作。

　　白皮書強調(diào)，物聯(lián)網(wǎng)中的應(yīng)用都是數(shù)據(jù)密集型的，傳感設(shè)備與云平臺之間、用戶與云平臺之間和用戶與傳感設(shè)備之間時刻都在進行數(shù)據(jù)交互，一旦數(shù)據(jù)丟失和損壞都將造成難以預(yù)料的后果。如果說物聯(lián)網(wǎng)終端相當(dāng)于人的手腳、眼鼻口，網(wǎng)絡(luò)通信傳輸管道相當(dāng)于人的四肢軀干，那么云端就等同于人的大腦，其安全重要性可見一斑。物聯(lián)網(wǎng)云端保存著所有終端搜集上來的信息數(shù)據(jù)，以及據(jù)此分析獲得的新數(shù)據(jù)信息。這些信息就猶如存放在倉庫里的黃金珠寶，時刻誘惑著黑客發(fā)起攻擊。云端一個小小的業(yè)務(wù)邏輯漏洞，就可能會給黑客攻擊大開方便之門。因此，云平臺必須采取適當(dāng)?shù)陌踩呗詠肀ＷC物聯(lián)網(wǎng)中數(shù)據(jù)的完整性、保密性和不可抵賴性。云平臺安全包括云存儲安全、云計算安全、云應(yīng)用安全。

　　據(jù)白皮書主要撰寫人、梆梆安全研究院院長盧佐華介紹，云存儲安全的主要目的是保證數(shù)據(jù)存儲的完整性和保密性，常采用的安全機制包括數(shù)據(jù)隔離與交換、數(shù)據(jù)備份、數(shù)據(jù)檢錯糾錯、文件系統(tǒng)安全性、訪問控制和身份鑒別等。云存儲安全通過數(shù)據(jù)隔離與交換、冗余備份數(shù)據(jù)，將數(shù)據(jù)存放在不同的數(shù)據(jù)中心，以保證個別存儲設(shè)備的故障不影響整個存儲系統(tǒng)的可用性;通過采用檢錯和糾錯技術(shù)使系統(tǒng)迅速發(fā)現(xiàn)錯誤并找尋備份數(shù)據(jù)來完成數(shù)據(jù)存取訪問，保證數(shù)據(jù)的正確讀寫;通過文件系統(tǒng)加密實現(xiàn)存儲系統(tǒng)安全;通過訪問控制和身份鑒別技術(shù)有效地控制用戶對存儲資源的訪問，將用戶對存儲系統(tǒng)的訪問限制在一定的范圍內(nèi)，從而保證其他用戶數(shù)據(jù)的安全性，防止越界訪問。

　　云計算安全主要是保證云平臺數(shù)據(jù)計算與運行環(huán)境的安全，特別是基于虛擬化技術(shù)的云計算安全。重點應(yīng)考慮虛擬化軟件和虛擬服務(wù)器安全，虛擬化軟件安全是保證客戶虛擬機在多租戶環(huán)境下相互隔離的重要層次，必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層，限制對于Hypervisor 和其他形式的虛擬化層次的物理和邏輯訪問控制。虛擬化層的完整性和可用性對于保證云平臺的完整性和可用性是最重要，也是最關(guān)鍵的。一個有漏洞的虛擬化軟件會暴露所有的業(yè)務(wù)域給惡意的入侵者。虛擬服務(wù)器位于虛擬化軟件之上，對于物理服務(wù)器的安全原理與實踐也可以被運用到虛擬服務(wù)器上，同時需要兼顧虛擬服務(wù)器的特點，包括選擇具有TPM 安全模塊的物理服務(wù)器、使用支持虛擬技術(shù)的CPU、安裝虛擬服務(wù)器時分配獨立的硬盤分區(qū)、使用VLAN和不同的IP 網(wǎng)段、在防火墻中為虛擬服務(wù)器做相應(yīng)的安全設(shè)置等，以對它們進行保護和隔離，并與其他安全防范措施一起構(gòu)成多層次防范體系。

　　白皮書分析認(rèn)為，云應(yīng)用安全主要是面向用戶提供一些安全手段來保證用戶數(shù)據(jù)在傳輸、交換和使用過程中的安全性，防止用戶數(shù)據(jù)被非法訪問和泄露，常采用的安全機制包括存儲加密、交換加密、身份認(rèn)證與訪問控制、接口安全和個人信息安全保護等。存儲加密是在訪問云入口時對數(shù)據(jù)進行加密，以保障傳輸和存儲的安全性;交換加密是采用數(shù)字信封等技術(shù)手段，保證用戶數(shù)據(jù)在交互過程中的安全性;身份認(rèn)證與訪問控制機制是允許授權(quán)用戶在自己的權(quán)限范圍內(nèi)進行數(shù)據(jù)操作，從而防止非法用戶對數(shù)據(jù)的訪問;接口安全是根據(jù)物聯(lián)網(wǎng)的應(yīng)用需求不同而提供不同的應(yīng)用接口，采用多接口模式和加密技術(shù)等通過接口安全保證應(yīng)用程序?qū)Υ鎯Y源的安全訪問;個人信息安全保護是采用數(shù)據(jù)自我銷毀技術(shù)等建立在云服務(wù)器端對用戶數(shù)據(jù)從創(chuàng)建到銷毀全過程的隱私保護機制。

 1/2    1 2 下一頁 尾頁