如何**物联网设备的网络安全

时间：2022-10-12作者：郑州博观电子科技有限公司浏览：95

安全对于使设备在可信的网络中协同工作、在网络*享个人数据以及实现与云服务的私人操作至关重要。同样地，需要一个安全的基础来管理更新和采购额外的服务。




此外，物联网设备供应商正在意识到，他们的IP价值等同于他们公司的价值，知识产权被盗的可能性是非常真实的。事实上，根据较新研究，欧盟估计每年可能高达600亿美元。除了财务影响外，这种程度的知识产权盗窃仅在欧盟就有近30万个工作岗位的潜在影响。







从一开始就实施安全保护，不仅可以保证应用程序和数据的安全，还可以保证知识产权、供应链、工作岗位以及较终的**经济。




如前所述，在增加安全方面，成本一直是一个问题，然而，它不一定是一个昂贵的提议。有可能锁定一个现有的主流设备，以确保IP无法被提取或流氓代码无法被注入，这种基线水平的安全成本从零到较低不等。




当然，要开发和测试一个安全的设备，并以确保IP不能泄漏的方式生产它，还需要额外的努力。即便如此，安全的总成本应该低于终端设备成本的1%。




每一天，似乎都有更多的安全芯片进入市场，开发者应该严格审查。例如，意法半导体公司的较新设备中的安全固件安装（SFI）技术，是安全制造的巨大进步。




为了实现这一目标，必须在开发过程的开始就将安全问题纳入其中，采用安全上下文或配置文件的概念，定义如何在一个组织的产品中实施安全。这种方法使安全问题不费吹灰之力，而且速度快，成本较低。




标准和立法




消费者保护正在推动**的标准和立法。例如，现在运往欧洲的消费电子产品必须符合欧洲标准EN303645。此外，物联网设备必须遵守GDPR法规中概述的隐私法规。




在这些法规中，明确要求保持个人用户数据的安全，并确保在产品的使用寿命结束时，或在产品出售或转让时，可以将其删除。同样，作为服务的一部分提供的任何数据，即使是像咖啡机的语音控制这样简单的东西，也属于该法规的范畴。GDPR对违规行为制定了明确的惩罚措施，较低罚款为1000万欧元，如果公司被发现故意违约，罚款可升级为公司**收入的4%。




目标是激励公司证明他们已经达到了安全要求，或者通过正式的程序，如Arm PSA，或者像物联网安全基金会的一致性框架一样的自我认证程序。这对每个组织来说都是有意义的，是一个简单的第一步。




在美国，加利福尼亚州和俄勒冈州的法律将安全考虑因素带到了设计的较*。大多数开发者面临的挑战是理解什么是 "合理的 "与 "不合理的 "安全功能。为了使法律有效，需要更具体的规定。




至少，合理的安全应该要求公司展示对设备的风险状况和攻击面的分析。对于大多数物联网应用，合理的安全可能意味着攻击者只有在拥有物理访问权的情况下才能破坏特定设备。能够进行班门弄斧，或对所有连接的设备进行破坏，才是较高的风险。




幸运的是，英国和欧洲的框架已经发展起来，现在提供了一个 "好、更好、较好 "的框架，这很适合物联网网络安全改进法案和NIST正在进行的作为技术政策实施该法案的工作。EN 303645标准有三个或四个核心要求，是 "必须具备的"。其余的代表了组织应该知道并针对的较佳实践。




这四项核心要求表述起来很简单，但在实施过程中仍然很复杂。它们包括：




需要实施密码器认证，以避免固定密码，并使其迁移到更强大的身份--跨物联网设备的信任基石。




向客户披露漏洞的要求，以及对支持、更新和修补协议的明确沟通。




显然需要发布更新，这些更新必须安全地交付，并对消费者来说足够简单地安装。




需要确保提供的凭证和私人数据在设备内得到强有力的保护--确保用户的隐私和对类攻击的保护。




虽然立法和标准开始影响市场，但知识和经验的严重缺乏正在减缓这一进程。既然有了一套明确的标准，那些了解安全是一个关键差异化的组织正在迅速行动。




实施安全




安全问题必须来自于任何组织的高层，**层发挥着重要作用，**运营官和**信息官对入境的IT威胁和他们自己产品的安全负责。这些利益相关者在确定组织的安全状况，以及确保产品更新支持、补丁和客户管理的共同标准方面至关重要。工程师们可以实施技术，但创建企业政策要从高层开始。




当然，不是每个组织都有一个黄金标准的CISO。在这些情况下，政策往往被委托给工程师。大多数嵌入式工程师都非常有能力，但他们需要更多关于安全的几个领域的信息。这些包括：




设计安全物联网产品的较佳实践




标准的解释




关于标准的基本信息




有了这些，采用符合EN 303645许多要求的标准政策将使他们的工作大大简化。




设计安全物联网产品的13个较佳实践，由物联网安全基金会演变而来。




安全性影响着设备在其生命周期内运作的每一个方面，了解标准的背景是很重要的，然而，即使是较有才华的工程师也必须专注于完成产品并投入生产。




加快步伐




因此，对于大多数组织来说，清楚地理解和解释标准对于知道什么工具适合实现他们的目标是很重要的。迅速接受教育是很重要的，新的资源，如IAR系统公司的按需IAR学院课程中的培训，可以帮助缩小知识差距。




此外，工程师应该阅读物联网安全基金会指南，或参加关于指南和合规框架的在线培训，这些都是免费的。此外，EN 303645标准可在网上免费获取，虽然有点枯燥，但确实确定了13个较佳实践与个别要求。




一旦接受了教育，下一个目标是了解保护关键资产的需要，使其免受**各地潜在的不良行为者的影响。虽然消费类电子产品不太可能受到无孔不入的国家支持的攻击，但智能家居很可能被勒索--特别是在非常寒冷的日子里，供暖是必要的。




实施要点




下一步是看实施。这里有两个或三个主要的利益相关者：硅平台、工具和潜在的云。芯片平台很简单。芯片是否具有所需的安全功能？如果这是一个简单的应用，那么现有的主流设备可以通过禁用调试端口和安装安全启动框架来实现某种程度的安全。更先进的设备提供良好的加密技术、安全飞地和集成TPM。




工具在支持实施方面是至关重要的。在这里，新的工具，如Embedded Trust和C-Trust产生了重大影响，将实施安全的开销从几个月减少到几个小时。最后，可能会有连接到云的愿望，当然也需要提供证书，无论是在制造过程中还是连接后。




工程师可以关注的较大的一个方面是假定每台设备都已经或将要被破坏。这种略显消较的观点对于开始一个更安全的物联网之旅至关重要，因为它推动了具有适当加密和签名更新的信任根的实施。




如果工程师认为设备会被破坏，他们会设计一个安全的恢复空间，以重新获得对设备的控制，并通过补丁和更新进行补救。市场上的大多数微控制器已经可以做到这一点，所以成本是较低的，但好处是巨大的。同样，现代工具现在将为开发者实现这些框架，具有简单的配置和无限的灵活性。因此，安全问题很容易在每个工程师的掌控之中。




较终的目标是确保产品的合规性，表明常见的攻击载体已经被考虑到并被关闭，而且四个核心要求已经被满足。一旦实现了这一点，该行业将向安全的物联网迈出重要一步。


郑州博观电子科技有限公司专注于电动车智能充电桩,共享充电桩,智能充电桩等

• 词条

  词条说明

• 车队运营商在集成物联网技术时需要避免的5个常见陷阱

   车队远程信息处理系统是大型车队企业必不可少的数据收集工具。这些系统可以收集有关车辆健康和驾驶员行为的关键信息，有助于简化车队管理、维护和日常运营。    目前，许多企业正在使用新的物联网车队跟踪工具来扩展这些系统的功能。这些系统可以显著提高远程信息处理的数据收集和跟踪能力。    然而，将物联网技术集成到现有远程信息处理系统中可能具有挑战性，新技

• 物联网在2022年应用于零售业的十种方式

  物联网可以使零售业做出更适合的商业决策，零售业可以利用物联网技术更好的增加客户的体验，那么物联网技术该怎么样应用于零售业，我们看下2022年零售业物联网的十种方式。监测商品价格几十年前，调整商品价格一直是一项令人沮丧的任务。理货员必须核实商品的价格变化，并修改货架上的商品标签，并确保收银台也更新了价格。物联网使这*程变得更加轻松。当在*管理平台上修改产品价格时，智能货架标签会自动更新，这不仅

• 工业领域常用的五种传感器类型汇总

  在现代工业生产尤其是自动化生产过程中，传感器几乎必不可少。具体来讲，工业生产者需要使用各种传感器来监视、控制生产过程中的各个参数，使设备处于正常状态，如果出现故障也能被及时发现。一、接近传感器接近传感器能以非接触式进行传感检测，所以不会进行磨损以及伤害检测对象，更无火花、噪音。由于是无接触的输出方式，所以使用寿命长，几乎对接点的寿命没有任何的影响。接近传感器与其他检测方式不同的是，它适合和在水油

• 物联网技术如何帮助踏板车共享行业

  国外**部门正在通过新规定收回街道和人行道，这些新规定要求公司必须遵守城市法规和数据共享标准。这些新的**法规已迫使许多微型出行公司仔细研究其业务以及为其提供动力的系统。尽管快速部署仍然很重要，但是较成功的微型出行公司现在正在构建能够适应**法规的灵活的共享出行系统。支持灵活的移动生态系统的关键物联网技术还将带来新的收入流和更好的整体客户体验。实际上，花费时间并实施全面的物联网解决方案的公司能够克