給投資人解釋二者的區(qū)別凡壤,在這也做個備份勺远。
核心觀念:
物聯(lián)網(wǎng)應(yīng)用是基于互聯(lián)網(wǎng)的橙喘,所以,互聯(lián)網(wǎng)安全領(lǐng)域存在的漏洞和攻擊方式谚中,物聯(lián)網(wǎng)應(yīng)用都存在渴杆。物聯(lián)網(wǎng)安全是互聯(lián)網(wǎng)安全的延伸,物聯(lián)網(wǎng)只會帶來新的安全風(fēng)險宪塔。
物聯(lián)網(wǎng)安全和互聯(lián)網(wǎng)安全的區(qū)別主要有以下幾點(新的安全風(fēng)險):
架構(gòu)的安全風(fēng)險:物聯(lián)網(wǎng)云平臺本質(zhì)是一個PaaS磁奖,是要部署在傳統(tǒng)的IaaS平臺(AWS、阿里云等)基礎(chǔ)之上某筐。物聯(lián)網(wǎng)云平臺由于要負(fù)責(zé)設(shè)備通信和管理比搭,因此會新開放一些端口和API等服務(wù),而IaaS云安全并不了解這些新開放的端口和服務(wù)的用途是什么南誊,所以安全策略難以覆蓋身诺。物聯(lián)網(wǎng)云平臺需要企業(yè)自己定義新的安全防御策略
協(xié)議的安全風(fēng)險:物聯(lián)網(wǎng)的通信協(xié)議諸如ZigBee、藍(lán)牙抄囚、NB-IOT霉赡、2\3\4\5G等等,這些協(xié)議的在互聯(lián)網(wǎng)應(yīng)用上并沒有使用到幔托,互聯(lián)網(wǎng)安全策略也無法覆蓋到這些協(xié)議穴亏,物聯(lián)網(wǎng)協(xié)議帶來了協(xié)議的安全風(fēng)險
邊界的安全風(fēng)險:互聯(lián)網(wǎng)時代更多的應(yīng)用模式是C/S(B/S),即客戶端/服務(wù)端模式重挑。這個模式有一個非常清晰的“邊界”嗓化。企業(yè)可以通過部署防火墻、IPS等網(wǎng)關(guān)類設(shè)備來提高企業(yè)服務(wù)的安全性谬哀。但在物聯(lián)網(wǎng)時代刺覆,設(shè)備遍布全球各地,黑客可以直接對設(shè)備發(fā)起攻擊史煎,沒有“邊界”的存在了谦屑,傳統(tǒng)網(wǎng)關(guān)類防護(hù)設(shè)備用處不大
系統(tǒng)的安全風(fēng)險:互聯(lián)網(wǎng)時代的終端保護(hù)(EDR)驳糯,主要針對Linux和Windows兩類系統(tǒng),而物聯(lián)網(wǎng)時代伦仍,設(shè)備采用的嵌入式操作系統(tǒng)諸如UClinux结窘、Freertos、Openwrt等等充蓝,傳統(tǒng)的終端系統(tǒng)安全方案無法適用于物聯(lián)網(wǎng)時代的嵌入式操作系統(tǒng)。
APP的安全風(fēng)險:互聯(lián)網(wǎng)時代的APP主要也是C/S模式喉磁,但物聯(lián)網(wǎng)時代谓苟,APP不僅要與云端通信,更可能與設(shè)備直接通信协怒,APP to Device這個鏈路中包含了許多如設(shè)備身份認(rèn)證涝焙、硬件加解密、OTA升級等安全策略孕暇,這也是互聯(lián)網(wǎng)時代沒有的
業(yè)務(wù)的安全風(fēng)險:物聯(lián)網(wǎng)的業(yè)務(wù)場景會產(chǎn)生許多互聯(lián)網(wǎng)時代收集不到的數(shù)據(jù)仑撞,比如傳感器數(shù)據(jù)、用戶行為數(shù)據(jù)妖滔、生理數(shù)據(jù)隧哮、地理位置數(shù)據(jù)等等。這些數(shù)據(jù)的產(chǎn)生-傳輸-處理過程涉及到整個業(yè)務(wù)體系的安全架構(gòu)座舍,這些數(shù)據(jù)的收集沮翔、傳輸、處理過程需要新的安全防護(hù)策略和監(jiān)管體系
研發(fā)的安全風(fēng)險:物聯(lián)網(wǎng)產(chǎn)品的研發(fā)流程涉及到嵌入式的安全開發(fā)曲秉,這是互聯(lián)網(wǎng)應(yīng)用中不存在的采蚀。在嵌入式端的開發(fā)又涉及到:嵌入式系統(tǒng)安全、邏輯安全承二、加解密安全榆鼠、認(rèn)證安全、接口安全亥鸠、存儲安全妆够、協(xié)議安全等等新的安全風(fēng)險。
合規(guī)的安全風(fēng)險:目前物聯(lián)網(wǎng)行業(yè)還沒有一套完整的法規(guī)要求(等保2.0中明確提到物聯(lián)網(wǎng)安全读虏,但還沒有正式發(fā)布)责静,此外,對于物聯(lián)網(wǎng)設(shè)備的安全測評與互聯(lián)網(wǎng)產(chǎn)品的測評方式完全不同盖桥,目前也缺乏一套國家發(fā)布的安全測評規(guī)范≡煮Γ現(xiàn)階段安全測評都是“以結(jié)果為導(dǎo)向”而非“以合規(guī)為導(dǎo)向”
AI的安全風(fēng)險:在互聯(lián)網(wǎng)時代,企業(yè)服務(wù)面臨來自黑客(人)的攻擊揩徊;在物聯(lián)網(wǎng)時代腰鬼,企業(yè)服務(wù)會面臨來自設(shè)備(AI)的直接攻擊
有想到的再更新嵌赠。
Vin
