近年来,物联网技术飞速发展,从车联网的热炒,到随处可见的共享单车,人们已经感受到了生活正走入“万物互联”。无论是BAT巨头,还是默默无闻的小企业,无一不看中物联网产业带来的机会,众多企业投入其中,从平台到设备,从技术到应用,纷纷布局,希望在物联网巨大的产业市场中获得一杯羹。
物联网最重要的就是传输数据
物联网是互联网的延续,它实现的是人与物、物与物交之间的交互,也正是通过这些交互实现了物联网的相关业务应用,对于物联网来说,这些交互的数据信息就像之前互联网中人与人之间交互的数据一样变得非常重要。
物联网应用的参与者往往通过对数据的采集、分析来实现业务应用的执行和走向。所以物联网应用安全最重要的就是保障这些交互数据的安全,这些交互的数据中,不仅仅有终端采集的数据,更重要的有指挥应用终端执行业务应用的控制命令。交互数据就像物联网应用的血液一样,失去了对这些数据的保护,物联网应用的价值也就不高了。
物联网初期,应用商专注于应用,借助使能平台的安全对自己的应用进行保护,埋下了安全风险
物联网发展的初期,有很多物联网的参与者都是从传统的设备制造、应用开发厂商转型而来的,它们更专注于应用,但往往忽略了信息安全。随着物联网业务与技术的快速发展与迭代,大家都看到了物联网行业的机会,运营商以及拥有一定资源的巨头们都纷纷参与到物联网中来,推出了各种各样的物联网云端使能平台,让众多的物联网终端、业务系统的参与者都纷纷接入平台,在这些云平台上更加方便、快捷地完成自己应用的部署与业务的实现。
在当前阶段,应用商们更加关注着应用的落地与实施,往往忽略了数据安全的重要性。大都数的应用都在依靠云平台提供的安全方式去保护自身应用的安全。对于云平台来讲,仅仅是为了实现对其云端上部署业务的安全,提供了必要的安全手段。但这样的安全手段,对于业务应用方来讲,这些就足够了吗?可以高正无忧了吗?事实上,应用商们正为自己的应用埋下了安全风险。
不掌握应用密钥,就等于将自身的应用数据拱手送人
首先,安全本身是具有隐秘性的。如果自己应用的安全建立在他人的安全基础上,那应用一定存在安全风险。部署于云端使能平台的物联网业务系统们并不掌握密钥,这些密钥都是由使能平台掌握的。对于物联网业务应用来讲,这就相当于自己家的门钥匙自己不掌握,外人可以随便进出,而自己进出却要和他人打招呼。这样的安全保护,对于业务应用拥有者本身来讲,就是最大的风险。
从使能的云平台来讲,为了保障在云平台上各类业务的安全性,提供一种安全保护方式是非常必要的。但这并不能替代业务本身的安全。自己的门钥匙一定要把握在自己手里才能实现真正的安全。否则,就等于将自己的应用数据拱手让人。
云服务面临的最大风险在于用户数据所有权与控制权的分离
近年来,全球云数据泄露事件频发,作为全球最安全的云服务厂商亚马逊AWS也同样出现数据泄露的事件。中国云计算安全政策与法律工作组发布的《中国云计算安全政策与法律蓝皮书(2016)》指出,云服务面临的最大风险在于用户数据所有权与控制权的分离。用户将数据托管给服务商后,实际的数据控制权发生转移,对数据享有优先访问权的不是用户,而是云服务商,而这种控制权旁落的状况无疑会对用户数据安全构成极大风险。
云端使能云平台本身就是物联网应用的关键参与方,他们掌握着应用的密钥,就会存在偷窥、甚至收集应用相关数据的风险。而且,基于云计算分布式存储和处理的技术特点,云服务中的数据流动相较于传统IT 服务而言更为灵活和难于控制,用户无法知道数据确切的存放位置(在多数据中心的情况下,云服务商也无法获知某一特定时刻数据存储的具体位置),这显然对用户业务应用的数据安全是不利的。
自己的安全自己掌握,真正的安全来自于安全的独立
也许物联网应用的每一个参与者都明白,应用数据安全对于应用的重要性,但如果业务应用方不能掌控自己业务应用的密钥,自己把控业务应用的安全,那在云端数据泄露的风险就一定会存在。
所以,不论云端业务或者使能平台提供了怎样的安全手段,他们的目标仅仅是为了让用户更安心地使用自己的平台,而真正需要保障自己业务应用数据安全的还需要靠自己,而不是依靠他人,真正的安全来自于安全的独立性。
引石老王:从事信息安全工作20年,国内首批商业密码从业人员,国家商业密码应用的参与者与见证者。专注物联网、人工智能应用的远程控制指令的加固授权,致力于系统的反劫持防御与信息安全反黑。
关注引石老王,为您解读安全与高科技,提高安全意识,保障个人信息安全。欢迎关注交流、留言探讨,期待与您的互动!
閱讀更多 引石老王 的文章
