物联网会带来哪些弊端?
当前,以大数据、人工智能为代表的新一轮科技革命正在孕育兴起,并以前所未有的速度和方式影响和改变着世界。社会正在迈向一个万物互联、万象更新的智能时代。与之相伴相生的是,万物互联正悄然进入人们的生活,越来越多的个体将被接入万物互联的体系,未来甚至垃圾箱也可能会联网。
借由一个物联网设备,黑客攻击行为通过蝴蝶效应扩展到物联网更多节点,影响范围将被迅速放大。物联网环境下,个体间的联系越紧密,那么任何一个针对个体的 *** 攻击都有可能蔓延到更广的范围,攻击带来的损害程度也将远比对单独个人电脑端、移动端的攻击大得多,物联网时代的 *** 安全维护正在成为一盘需要统筹全局的“大棋”。
相关数据也佐证了这一点。国家互联网应急中心发布的《2017年我国互联网 *** 安全态势综述》显示,物联网正在加速融入人们的生产生活,传统的 *** 攻击和风险正在向物联网和智能设备蔓延。
数据显示,2017年国家信息安全漏洞共享平台收录的安全漏洞中,联网智能设备安全漏洞多达2440个,同比增长118.4%,每日活跃的受控物联网设备IP地址达2.7万个,涉及的设备类型主要有家用路由器、 *** 摄像头、会议系统等。来源:央广
GDPR实施后,国内物联网企业应当如何应对?
前言:
在上一篇文章中(深度整理 | 欧盟《一般数据保护法案》(GDPR)核心要点),我为大家分享了GDPR法案的核心要点,便于企业直观的了解到什么是GDPR以及对企业未来业务将会产生什么样的影响 。本文将着重针对GDPR中的核心要点来深度分析物联网行业的企业应该如何应对。这里的应对方案涉及到系统架构、人员管理、流程管理、风险评估、业务逻辑、应急响应等众多环节,由于不同企业的具体业务情况不同,以下内容可作为物联网企业自查的一种分析方式。
物联网行业的特殊性在于:原来很多设备是不联网的,所以不存在用户隐私泄露的风险。而如今,设备联网是大势所趋,数据的控制者和处理者都会直接或者间接的接触到非常多的个人用户数据,比如:姓名、性别、年龄、身份证号、手机号等等,另一方面,由于需要对设备和用户数据进行运营画像及监控,也会收集到更多关于用户行为的隐私数据。所以,GDPR对物联网企业的影响还是非常深远和重要的
青莲云作为一家物联网安全解决方案公司,通过多年来在 *** 安全、云安全、黑客攻防对抗和数据隐私保护等领域的经验积累,针对GDPR施行后,国内物联网企业的应对思路,总结出以下要点,可以作为企业在实践GDPR合规过程中的参考方向,以此分享出来与大家探讨。
国内物联网企业应对GDPR的建议思路:
1、 企业高管的直接重视
2、 合理区分数据控制者和数据处理者
3、 从设计之初保护隐私
4、 明确的获得客户的数据授权同意
5、 识别数据的存储位置
6、 识别数据的类型和风险
7、 识别数据的使用授权
8、 识别数据的移植和传输能力
9、 必要时能够清除个人数据
10、 具备快速识别并及时报告数据泄露事件的能力
11、 遵循数据最小化原则
12、 针对数据进行匿名化处理
13、 保证 *** 通信的机密性和数据完整性
14、 保证 *** 通信的强身份认证
15、 重视数据生命周期管理
16、 重视企业内部的隐私管控
17、 检查第三方供应商是否符合GDPR
18、 考虑设置专门的隐私保护人员
19、 具备其他安全合规性要求
20、 与专业安全公司保持紧密合作
企业高管的直接重视
无论是GDPR还是其他安全合规性的法规要求,更多的是与企业的管理/研发流程息息相关。而内部流程的推动更多的依赖企业高管的重视程度和实践决心。推动一项流程的正确实施需要自上而下有序进行,如果企业高管对推动合规性流程的意识不足或者重视程度不够,往往会造成非常多的人力时间成本浪费,也会影响到正常业务的开展进度。所以我们把企业高管的重视程度放在之一位。
合理区分数据控制者和数据处理者
GDPR中针对控制者和处理者有明确的描述。在实践GDPR中,企业首先要明确自己到底是属于数据的控制者还是处理者,这个定位非常重要。举个例子:如果企业使用Google Analytics(或者其他第三方数据分析服务商)针对网站进行用户行为分析,那么企业就是数据控制者,Google Analytics就是数据处理者。当数据主体(消费者)依据GDPR中的要求执行“被遗忘权”的时候,企业有责任去履行用户的合法要求,企业应当能够删除交给第三方数据分析服务商的用户个人数据。
从设计之初保护隐私
万丈高楼平地起。道理很简单,安全是IT系统的基石,如果基础的IT系统出现安全漏洞,特别是针对物联网行业,通过批量的远程升级往往都不能解决关于业务逻辑的安全问题。物联网企业在设计系统架构之初就应该把安全因素纳入架构设计范围。让安全从早期介入,才能避免后期因产生安全事故导致更严重的企业损失。
明确的获得客户的数据授权同意
GDPR在此处也有明确的描述,需要企业用非常明显且直白的方式告诉客户将会采集哪些数据(类似于APP的权限授权),特别是针对未成年人的物联网产品(如儿童手表、儿童故事机等),必须获得监护人的直接授权同意才可以收集相关数据。
识别数据存储的位置
数据是企业IT资产的一部分。当实践GDPR之前,企业必须要做的一件事就是识别数据存在哪了。物联网的底层架构的是云计算,云计算会用不同的数据存储技术来存储不同类型的数据,比如用Redis来存储缓存数据、用Hadoop来存储离线的大型日志文件、用Cassandra来存储一些碎片化的小文件。企业技术负责人必须清晰的意识到内部用到了哪些数据存储的技术或者组件,不同的组件存储了哪一类数据,识别“数据战场”是数据隐私保护的之一步。
识别数据的类型和风险
当识别清楚数据存储的位置之后,就需要对数据资产进行风险评估。思考企业所存储的数据种类都有哪些:如个人身份数据、定位数据、行为数据、金融数据?数据的类型有哪些:整型?浮点型?布尔型?图片/视频? 不同数据的泄露风险有哪些:如会导致用户信用卡被盗刷?会导致用户遭受垃圾邮件攻击?会导致用户身份被仿冒?会要导致用户行踪被跟踪?等等,依据企业建立的数据风险模型,可以为今后有针对性的部署安全解决方案提供有力支持。
识别数据的使用授权
在大部分的数据使用场景中,并不是只有企业自己对数据有完全的控制权和处理权。在大数据解决方案中,往往需要借助外部第三方企业的能力来对数据进行深入挖掘和分析,这时,对数据的使用授权管理就极为重要。企业需要明确的知道有哪些数据存在与第三方的数据服务交换或者直接把数据发送给了第三方。当有这种情况出现时,企业就变成了数据的控制者,如果由于第三方服务商出现了数据泄露问题,按照GDPR的法规约定,企业作为控制者也同时存在连带责任。
识别数据的移植和传输能力
在GDPR中规定,数据主体(消费者)有权力将个人信息向其他个人或组织进行传输。这就要求企业在设计系统架构时,能够支持数据的格式化处理,并且可移植,以及在多个供应商之间共享数据,同时还需要具备数据安全传输的解决方案,以实现在传输的过程之中确保数据的加密性、完整性和严格的双向身份认证。
必要时能够清除个人数据
数据主体的“被遗忘权”也在GDPR中也作为重点提出。企业必须有能力能够删除一些用户指定的或者用户不再允许使用的数据。企业应当能够具备快速的数据定位能力,并删除定位出来的用户数据,并且将这部分需要被删除的数据通知给第三方的数据服务商(如果这部分数据被第三方使用的话)。
具备快速识别并及时报告数据泄露事件的能力
这个能力我觉得非常重要,并且有很大的难度。难点有二:1、企业如何能够快速识别到自己的数据产生泄露了?纵观历史上或者近期的数据泄露案例,企业方基本都是后知后觉;2、企业是否有能力(魄力)在GDPR中规定的72小时之内及时向监管方及数据主体报告数据泄露事件?为什么说这个能力很难,相信企业管理者都能够感觉到,其实这并不完全是一个技术能力。
遵循数据最小化原则
在安全架构设计中有一个重要原则:最小化权限。即针对业务进行风险评估,仅仅提供能够满足业务运行的最小化权限,如尽量少开端口,禁用Root权限等。GDPR中的明确规定了数据最小化的原则,即,尽量少的收集用户数据,能够满足业务需要即可。通俗来讲:功能少了,风险自然就少,在数据安全方面也是同理。
针对数据进行匿名化处理
GDPR中对“匿名化”有明确的官方定义。其中有两次含义:1、以青莲云的系统架构举例,针对用户和设备不同类型的数据,进行分库/分类加密存储,以避免当出现数据泄露的情况下,一次性泄露全部且完整的用户个人数据;2、针对敏感数据进行匿名化处理,比如记录身份证号时,隐藏中间的生日数据段,避免因数据泄露而直接能够定位或指向某一个可识别的自然人。
保证 *** 通信的机密性和数据完整性
这里有两个要点:机密性和完整性。青莲云的系统架构中内置自研的物联网安全接入网关系统,网关不仅仅可以提供多种数据加密方式(AES/DES/SSL等),更能够针对每一个数据包进行安全签名和合法性校验,从而保证数据在加密传输的过程中,能够抵抗黑客发起的设备重放攻击行为,实现安全稳定的物联网数据传输。
保证 *** 通信的强身份认证
身份认证一定是双向而非单向的。对于物联网行业来说,身份认证主要包含设备与云端、设备与设备端、客户端与云端、客户端与设备端、云端与第三方接口以及云端本身的身份认证几个方面。在青莲云的系统架构中,也是由物联网安全接入网关系统来实现这一系列身份认证机制,能够抵抗黑客发起的设备伪造及其他数据伪造攻击行为。
重视数据生命周期管理
针对企业的研发流程,微软提出了SDL(安全开发生命周期),一共分为7个部分,从培训到最终的应急响应。针对数据也是如此,企业应当自查,从定义数据格式到采集数据,再到分析展现,直至持久化存储的生命周期中,是否能够做到安全可控。毕竟在生命周期的不同环节都面临不同的安全风险,能够有效的管理数据生命周期,是企业必备的安全能力之一。此处建议企业技术负责人仔细学习微软的SDL流程。
重视企业内部的隐私管控
隐私管控不仅仅限于GDPR,企业应当自查是否具备隐私管控的流程或者技术能力。此处包括但不限于:针对数据存储的隐私管控、针对OA系统的隐私管控、针对销售系统的隐私管控、针对办公 *** 的隐私管控、针对移动办公的隐私管控、针对离职员工的隐私管控、针对存储数据进行硬件销毁的隐私管控能力等。
检查第三方供应商是否符合GDPR
以青莲云举例:青莲云为物联网企业提供安全可信的物联网私有云/公有云服务,但是无论是公有云还是私有云,青莲云产品作为一套物联网安全软件系统,必须依赖某个云计算IaaS服务商。因此,企业在考虑第三方供应商是否满足GDPR合规要求的同时,不仅要考虑第三方供应商自己的安全能力(青莲云可以提供真正端到端的物联网安全解决方案),更需要考虑底层云计算厂商的GDPR合规性。以云计算代表亚马逊AWS和阿里云来说,两家厂商都有标准的GDPR合规性要求说明,同样值得企业关注。
考虑设置专门的隐私保护人员
在实践GDPR中,企业不仅仅需要高管人员的重视,同时需要培养专门的隐私保护人员,如首席隐私官(Chief Privacy Officer,CPO),或者是GDPR中明确提出的数据保护官(DPO)。即便企业没有该职位设置,也应当针对技术负责人、核心员工进行专门的隐私保护培训,建立相应的隐私保护流程,以满足GDPR的合规性要求。
具备其他安全合规性要求
企业的信息安全建设绝非一朝一夕能够完成。在关注GDPR之前,企业应当审视是否满足了国家的其他安全合规要求,比如: *** 安全等级保护。至少在物联网应用层面,也应当具备一定的安全防御能力,并不能理解为我用了阿里云,安全就是阿里云来保障,更不能认为我的数据是加密的,就等于安全了。安全漏洞的产生更多的是跟业务逻辑相关,不止体现在针对数据的保护上,青莲云可以为物联网企业提供专门的安全咨询服务(安全培训+安全测试+物联网安全解决方案)。
与专业安全公司保持紧密合作
术业有专攻,安全来自于长期的经验积累和真实的黑客攻防对抗。很多物联网企业自身不具备组建专业安全团队的能力,企业应当更关注自身的业务和产品发展,并与安全企业建立长期合作伙伴关系:一方面可以提升自身业务的安全防护能力,另一方面也可以通过与安全企业的合作提升员工的安全意识,将安全漏洞扼杀在研发和测试流程中,从而提升量产产品的安全性。
十大终极黑客入侵事件,造成信息被盗,你了解多少?
作为大家都熟悉却又不了解的黑客,在互联网发展的多年历史上一直扮演着臭名昭著的形象,对着社会的发展,产生了严重的影响,这里就为大家盘点一下, *** 上十大终极黑客入侵事件,排名不分先后。
一、CIH病毒
十大终极黑客入侵事件之一个就是CIH病毒。CIH病毒是中国台湾省一名叫做陈盈豪的大学生所编写的,一开始的时候随着两大盗版集团的光盘在西方地区广泛传播,随着internet漫延到世界各地之中,对于当时win95/98系统相结合,轻则电脑硬盘会被垃圾数据所覆盖,严重的甚至是会破坏BIOS系统,使电脑无法启动。
二、雅虎30亿用户信息被盗
雅虎的母公司剧透威瑞森自从2013年开始就受到了黑客的袭击,如今累计已经损失高达30亿的用户数据,对雅虎的企业安全和民众之间的信誉都是非常有破坏性的,当然这个消失是否是真的,有待考量。
三、熊猫烧香病毒
这是我们最为熟悉的病毒了,由李俊编写,2007年开始在 *** 上迅速传播,这款病毒有着自动传播、自动感染硬盘和强大破坏力的病毒,并且还会删除系统的备份文件,所有的.exe可执行文件都会变成熊猫烧香的标志,这也是在我国破获的首例计算机病毒的大案件。
四、索尼影视遭受袭击
可能是超朝鲜有关的黑客为了让索尼影业取消发行,对索尼影业发大规模的 *** 攻击,导致索尼影业的数据以及企业机密曝光,甚至是电脑出现故障,邮件持续冻结等,因此,索尼影业公司的联合董事长艾米·帕斯卡(Amy Pascal)已经辞职。
五、欧洲二十 *** 会入侵
在2013年12月,一名黑客利用钓鱼的方式将恶意的软件植入到了欧洲二十 *** 会的电脑之中,黑客从其中窃取了很多提议。
六、西方400万 *** 雇员资料被窃
西方 *** 于2017年遇到了史上更大的黑客袭击事件,400万的联邦现任雇员和前任雇员的资料被窃取。
七、黑客用10万电脑攻击Spamhaus
2012年3月,欧洲的反垃圾邮件阻止Spamhaus早遇到了史上最强大的 *** 攻击,在攻击之中,黑客使用了近十万台服务器,更高带宽高达300GB没秒,使得整个欧洲区的网速都因此而大幅度缓慢。
八、Hertland1.3亿张信用卡信息被盗
这是有史以来更大的信用卡盗刷事件,在此过程中,黑客从支付巨头Heartland盗取了超过1.3亿张信用卡的卡号和账户信息,并且在此次的事件发生之后,Heartland以及一些其他的信用卡公司支付了大量美元的相关赔款。
九、Conficker蠕虫感染千万电脑
这是史上袭击最广的病毒感染时间,漫延到了全球200多个国家数千万的个人电脑,其中以英国 *** 使用的电脑受到的冲击最为眼中,并且Conficker蠕虫感染电脑之后,会通过共用 *** ,进行传播,还可以使得所有的安全软件瘫痪,并且下载垃圾文件堆积电脑硬盘。
十、震网病毒破坏离心机
这是最新的病毒之一,可用于最新的电子战争之中的一种武器。可以通过感染电脑,造成电脑操控机器的损毁,主要是为了破坏伊朗的核试验进行,在这次的事件之中,伊朗4000台多离心机,损毁了超过五分之一,目前在全球的 *** 之中任然存在潜伏。
解密,黑客到底如何对物联网进行攻击
谁会想要攻击智能家居?原因为何?这么做对黑客有何好处?由于物联网 IoT ,Internet of Thing)装置有别于 PC 和智能手机,并非全都采用相同的操作系统 (至少目前市场现况是如此)。然而这一点小小的差异,就会让黑客更难以发动大规模的攻击。除此之外,想要破解物联网装置的安全机制也需要相当的知识和适当的工具。
近年来,信息安全研究人员早已证明智能装置确实可能遭到黑客入侵。当初研究人员骇入这些装置的用意,只是希望引起厂商们注意产品的安全性。
但就在去年,趋势科技研究人员以实验证明黑客确实能够从远程撷取智能车辆的数据,甚至篡改自动化油表的油量。为了降低伤害的风险,这些实验都是在控制的条件下进行,但歹徒可就不会这么体贴。
现在我们已知道物联网装置有可能遭骇,那么,歹徒骇入这些功能单纯的家用智能装置要做什么?以下列举了一些可能攻击物联网的非典型嫌犯,以及他们的动机和他们攻击智能家居的机率有多大。
*** 犯罪集团
对 *** 犯罪集团来说,其攻击的动机永远都是为了钱。随着越来越多物联网 装置进入家庭当中, *** 犯罪集团盯上这些装置以及这些装置所连接的智能家居 *** 是迟早的事。 *** 犯罪集团一旦骇入智能家居 *** ,他们就可能发动勒索病毒攻击或者将装置锁住来勒索赎金。此外,他们也可能窃取敏感的用户数据,然后用来勒索被害人,或者拿到地下市集贩卖。
不肖分子
不肖分子很少有正当的攻击动机,他们总是大费周章地试图得到他们想要的。对这些人来说,他们有可能利用家庭物联网装置来跟踪、尾随、伤害受害人,甚至恶意破坏竞争对手的生意来取得优势。
黑客激进分子
不论是为了宣扬政治理念、表达不满,或者动员人群以达到某种目的,黑客激进分子向来偏爱能够让他们制造更大宣传效果的管道。随着越来越多人开始拥抱智能家居,黑客激进分子很可能会考虑利用这些装置来扩大他们的地盘。
*** 机关
当牵涉到国家安全和个人隐私权时, *** 对人民的监控一向是个引起争议的话题。媒体一再爆料, *** 机构经常为了国家和人民安全的理由而监听私人通讯以追查可疑嫌犯。因此,一些具备声音和视讯传输功能的智能家居装置就可能成为 *** 机关用于监控国家安的工具。
***
尽管 *** 的主要目标是散播恐惧,但他们不太可能会利用智能家居装置来达到这项目的。但随着各式各样的企业都在营业系统和重大基础架构当中导入物联网技术, *** 应该会盯上这些更有效果的攻击目标。
企业机构
严格来说,企业机构不算是黑客,但每当有厂商推出全新的热门物联网装置时,就会引起社会大众某种程度的不安。这通常都和隐私权有关。因此,正在考虑购买的客户,就会想要知道这些智能装置用起来到底安不安全。凡是会经手客户信息的任何企业,都必须坦白说明他们会搜集何种资料、如何搜集、储存在哪里、用途为何,以及还有谁会存取这些数据。若未正确告知客户这些相关细节,就是厂商的不对。
盘点一下,有哪些著名的黑客入侵案?
2015年,多家知名连锁酒店、高端品牌酒店存在严重安全漏洞,海量开房信息存泄露风险。多家P2P平台同时遭不法黑客攻击。内蒙古19万考生信息泄露。2016年,OpenSSL水牢漏洞 多家公司受影响。济南20万儿童信息被打包出售,信息精确到家庭门牌号。2017年,事件一 台湾外事部门遭不法黑客攻击,1.5万笔个人资料外泄。事件二 10月,Reaper僵尸 *** 病毒每天可感染1万台物联网设备。以上都是最近比较出名的黑客事件。
黑客日常的生活也没什么特别的,别人工作的时候他在破防火墙,别人休息的时候他还在破。其实黑客也是很累的,如果是不受雇佣的黑客,他们每天做的事情完全就是出于兴趣,绝大多数黑客也不敢黑银行或者金融机构,或者说他们压根没能力黑进去。所以黑客们的生活很平淡,吃吃睡睡,可能不怎么出门,但是他们出门也绝对不会让你看出他们是黑客。我们在这里就不讨论那些收到国家安全部门雇佣的职业黑客以及利用黑客技术进行犯罪的黑客团伙了,他们做的事情我们一般人接触不到,也很难了解他们每天在干嘛。我们就看看那些凭着爱好兴趣来维持生活的黑客们吧。我认识一位自称黑客的朋友,当然我不知道真假,跟他在一个地方上过班,但是不久他就辞职了。
只要不做什么违法犯罪的事情,黑客实在没有什么特殊的,就像我们下课下班就去玩会游戏或者打打球,黑客们就回去倒弄电脑去了,他们平时也不会不吃饭不睡觉,正常人一样,可能会因为睡眠不足有黑眼圈,除此之位,没有不同。
物联网信息安全有保障吗?会不会被黑客攻击从而被监控?
你好,要保障物联网信息安全需采用一定的防护手段。物联网是“万物互联”的 *** ,物联网技术原理更需要依托计算机,然而现在信息泄露事件还是非常严重的。前段时间国家有过相关报道过,在2020年境外约5.2万个计算机恶意程序控制服务器控制了国内大约有531万台主机,国家的信息安全也还在面临着非常严峻的威胁,所以物联网被黑客攻击并且监控的情况完全有可能发生。要保障物联网信息安全可以采用加密软件来防护的解决方案,天锐-绿盾加密软件可以对信息安全进行有力防护;如果担心被黑客攻击,可以采用天锐-绿盘的智能备份系统来对信息进行智能备份,通过灵活数据备份策略和高速恢复的智能备份方式,有效保护信息的安全。
0条大神的评论