近年來,物聯網技術飛速發展,從車聯網的熱炒,到隨處可見的共享單車,人們已經感受到了生活正走入“萬物互聯”。無論是BAT巨頭,還是默默無聞的小企業,無一不看中物聯網產業帶來的機會,眾多企業投入其中,從平臺到設備,從技術到應用,紛紛佈局,希望在物聯網巨大的產業市場中獲得一杯羹。
物聯網最重要的就是傳輸數據
物聯網是互聯網的延續,它實現的是人與物、物與物交之間的交互,也正是通過這些交互實現了物聯網的相關業務應用,對於物聯網來說,這些交互的數據信息就像之前互聯網中人與人之間交互的數據一樣變得非常重要。
物聯網應用的參與者往往通過對數據的採集、分析來實現業務應用的執行和走向。所以物聯網應用安全最重要的就是保障這些交互數據的安全,這些交互的數據中,不僅僅有終端採集的數據,更重要的有指揮應用終端執行業務應用的控制命令。交互數據就像物聯網應用的血液一樣,失去了對這些數據的保護,物聯網應用的價值也就不高了。
物聯網初期,應用商專注於應用,藉助使能平臺的安全對自己的應用進行保護,埋下了安全風險
物聯網發展的初期,有很多物聯網的參與者都是從傳統的設備製造、應用開發廠商轉型而來的,它們更專注於應用,但往往忽略了信息安全。隨著物聯網業務與技術的快速發展與迭代,大家都看到了物聯網行業的機會,運營商以及擁有一定資源的巨頭們都紛紛參與到物聯網中來,推出了各種各樣的物聯網雲端使能平臺,讓眾多的物聯網終端、業務系統的參與者都紛紛接入平臺,在這些雲平臺上更加方便、快捷地完成自己應用的部署與業務的實現。
在當前階段,應用商們更加關注著應用的落地與實施,往往忽略了數據安全的重要性。大都數的應用都在依靠雲平臺提供的安全方式去保護自身應用的安全。對於雲平臺來講,僅僅是為了實現對其雲端上部署業務的安全,提供了必要的安全手段。但這樣的安全手段,對於業務應用方來講,這些就足夠了嗎?可以高正無憂了嗎?事實上,應用商們正為自己的應用埋下了安全風險。
不掌握應用密鑰,就等於將自身的應用數據拱手送人
首先,安全本身是具有隱秘性的。如果自己應用的安全建立在他人的安全基礎上,那應用一定存在安全風險。部署於雲端使能平臺的物聯網業務系統們並不掌握密鑰,這些密鑰都是由使能平臺掌握的。對於物聯網業務應用來講,這就相當於自己家的門鑰匙自己不掌握,外人可以隨便進出,而自己進出卻要和他人打招呼。這樣的安全保護,對於業務應用擁有者本身來講,就是最大的風險。
從使能的雲平臺來講,為了保障在雲平臺上各類業務的安全性,提供一種安全保護方式是非常必要的。但這並不能替代業務本身的安全。自己的門鑰匙一定要把握在自己手裡才能實現真正的安全。否則,就等於將自己的應用數據拱手讓人。
雲服務面臨的最大風險在於用戶數據所有權與控制權的分離
近年來,全球雲數據洩露事件頻發,作為全球最安全的雲服務廠商亞馬遜AWS也同樣出現數據洩露的事件。中國雲計算安全政策與法律工作組發佈的《中國雲計算安全政策與法律藍皮書(2016)》指出,雲服務面臨的最大風險在於用戶數據所有權與控制權的分離。用戶將數據託管給服務商後,實際的數據控制權發生轉移,對數據享有優先訪問權的不是用戶,而是雲服務商,而這種控制權旁落的狀況無疑會對用戶數據安全構成極大風險。
雲端使能雲平臺本身就是物聯網應用的關鍵參與方,他們掌握著應用的密鑰,就會存在偷窺、甚至收集應用相關數據的風險。而且,基於雲計算分佈式存儲和處理的技術特點,雲服務中的數據流動相較於傳統IT 服務而言更為靈活和難於控制,用戶無法知道數據確切的存放位置(在多數據中心的情況下,雲服務商也無法獲知某一特定時刻數據存儲的具體位置),這顯然對用戶業務應用的數據安全是不利的。
自己的安全自己掌握,真正的安全來自於安全的獨立
也許物聯網應用的每一個參與者都明白,應用數據安全對於應用的重要性,但如果業務應用方不能掌控自己業務應用的密鑰,自己把控業務應用的安全,那在雲端數據洩露的風險就一定會存在。
所以,不論雲端業務或者使能平臺提供了怎樣的安全手段,他們的目標僅僅是為了讓用戶更安心地使用自己的平臺,而真正需要保障自己業務應用數據安全的還需要靠自己,而不是依靠他人,真正的安全來自於安全的獨立性。
引石老王:從事信息安全工作20年,國內首批商業密碼從業人員,國家商業密碼應用的參與者與見證者。專注物聯網、人工智能應用的遠程控制指令的加固授權,致力於系統的反劫持防禦與信息安全反黑。
關注引石老王,為您解讀安全與高科技,提高安全意識,保障個人信息安全。歡迎關注交流、留言探討,期待與您的互動!
閱讀更多 引石老王 的文章
