在當今的互聯環境中，為物聯網設備和互聯機器提供強大的數據保護不再是可有可無的，而是必不可少的。

網絡攻擊呈上升趨勢。物聯網設備的政府和行業網絡安全立法在全球范圍內變得越來越普遍，網絡運營商開始要求更高級別的安全性。為了保持競爭力，OEM 必須解決其所有產品的安全性問題，無論產品規模有多小或多復雜。

新規則是，安全性必須從產品設計的早期階段就內置到設備中。制造商不能再等待出現問題，然后爭先恐后地解決安全問題。

工業物聯網解決方案不斷發展并擴展到幾乎所有市場和工業領域，包括制造、倉儲、運輸和物流，以及消費和家用電子設備。

大多數連接的設備都會生成和收集大量數據，這些數據必須防止篡改和發現。在世界各地，每天都有新的、戲劇性的網絡攻擊成為頭條新聞。這可能是受感染的PLC破壞工業設備的情況，可能是接管并破壞企業系統的惡意軟件，可能是竊取公司記錄，數據和網絡的勒索軟件，迫使其停止運營或恢復紙質流程，直到支付贖金。

在許多情況下，成功攻擊的根本原因是開發和制造、運輸出去然后安裝的設備和機器，其安全性較弱或不存在。

一些制造商可能聲稱他們的產品和系統不受攻擊，因為它們沒有連接到互聯網。相反，他們依賴于使用所謂的“氣隙網絡”的隔離，因此網絡攻擊者無法找到并瞄準他們的系統。然而，世界上最臭名昭著和最成功的攻擊之一是通過受感染的 USB 跳轉驅動器。眾所周知的Stuxnet攻擊破壞了伊朗的大部分鈾生產，這種病毒滲透到控制離心機的PLC中。然后，受感染的PLC以極高的速度運行離心機，摧毀它們，盡管PLC位于完全隔離或“氣隙”的網絡上，但這種情況還是發生了。

其他制造商可能會聲稱他們的系統和業務太小且微不足道，無法進行攻擊。這根本不是真的。許多類型的惡意軟件和病毒通過搜索易受攻擊的系統來發起攻擊。這些攻擊不是針對特定的公司或系統，它們只是搜索易受攻擊的設備進行攻擊。

開發和構建任何類型的物聯網連接機器的公司必須確保其設備免受這些攻擊。但是它們是如何開始的呢？

如何在連接設備中設計和構建數據保護

從設計和開發的第一天起，工程師就需要考慮安全性。物聯網安全只能通過將網絡保護直接集成到設備本身來實現。嵌入安全性提供了一個關鍵的安全層，因為許多連接的機器在邊緣和現場使用，并且不能依賴于企業防火墻作為其唯一的安全層。

數據安全要求

為了真正安全，必須在設備中內置關鍵的安全功能。其中包括：

安全通信

靜態數據保護

安全密鑰存儲

證書和設備標識

其中每個都提供了安全的關鍵組件，但只是保護設備的一個方面。沒有一種功能可以單獨確保設備免受攻擊，而是這些功能協同工作以確保設備的安全性。

安全通信

近年來，許多嵌入式設備增加了對安全通信協議的支持，如TLS，DTLS和SSH。這些協議提供了針對網絡攻擊的關鍵第一級防御。

旨在防止數據包嗅探、中間人攻擊、重放攻擊以及未經授權的與設備通信嘗試的安全協議是構建安全設備的重要起點。

靜態數據 （DAR） 保護

與企業服務器不同，物聯網設備通常不會鎖定在數據中心中。它們位于現場，面臨物理盜竊或攻擊的風險。存儲在這些設備上的任何敏感數據都應加密，以確保通過從設備復制數據或直接從其內部閃存驅動器物理刪除和讀取數據來保護其免受從設備讀取的嘗試。

許多物聯網設備不具備支持全磁盤加密的計算能力，但信用卡號或患者信息等敏感數據應始終加密。為了保護存儲的數據，制造商需要采取措施將加密密鑰隱藏在設備上受保護的內存空間中。靜態數據 （DAR） 保護的工作原理是加密設備上存儲的數據，為設備上存儲的敏感數據提供保護。即使壞人物理訪問機器，他們仍然無法看到或讀取數據。

安全密鑰存儲

安全啟動、安全通信協議、靜態數據保護和安全固件更新都依賴于強加密和基于證書的身份驗證。

設備必須能夠安全地存儲用于加密數據、驗證固件和支持計算機到計算機身份驗證的加密密鑰。如果黑客可以找到加密密鑰，他們就可以繞過原本強大的安全解決方案。可以使用 TPM 或其他硬件安全元件提供安全密鑰存儲。如果設備沒有可用的硬件模塊，則可以使用基于軟件的安全密鑰存儲方法。

PKI、證書和設備標識

PKI（公鑰基礎設施）是一組用于管理計算機系統身份驗證的技術和服務。PKI 基于一種稱為數字證書的機制，通常稱為 X.509 證書或簡稱為證書。在某種程度上，證書是虛擬身份證，就像駕駛執照一樣。它提供一個標識和一組權限，由受信任的實體頒發。例如，我的駕駛執照標識了我（Alan Grau），提供了一張圖片來表明我是駕照的適當持有者，并定義了我作為機動車輛駕駛員的權限。我有權駕駛任何標準乘用機動車輛，但不能駕駛某些商用車輛。許可證由受信任的實體（愛荷華州政府）頒發。

證書非常相似。證書由受信任實體（證書頒發機構）頒發，包含權限，并用于標識證書的持有者。駕駛執照包含允許驗證執照持有人的信息，就像證書包含公鑰一樣，僅允許持有關聯私鑰的實體使用它。

此安全技術使連接的設備能夠驗證證書持有者是否實際上是證書指定的實體。結果是，設備可以以加密確定性驗證PKI證書的持有者確實是他們聲稱的身份，而不是黑客或冒名頂替者。

審核編輯：郭婷