隨著物聯網應用成為關鍵任務，安全性至關重要。就其本質而言，物聯網生態系統在多個層面上容易受到安全威脅。面對不斷變化的環境，物聯網生態系統的開發人員需要一種敏捷的安全方法，以便快速響應新出現的威脅。設備制造商和生態系統開發人員都必須制定簡單、可擴展和可持續的物聯網安全策略，以實現短期和長期業務目標。

物聯網安全無疑是一個復雜的領域，需要專業的安全專業知識。組織必須決定是保留這一稀缺資源，同時對持續培訓進行相關投資，還是與能夠在整個開發周期中提供所需支持的外部組織合作。

安全和質量保證

軟件行業中現有的全面質量管理（TQM）流程已經解決了安全問題，ISO-27001信息安全標準中體現的計劃，執行，檢查，行動流程（圖1）被很好地理解為一種安全的開發方法。

圖 1：計劃、執行、執行、檢查 （PDCA） 開發過程。

物聯網生態系統的開發人員還必須通過獨立公共機構的審查來證明對相關法規和標準的遵守情況。相關標準包括信息技術安全評估通用標準（ISO/IEC 15408）;美國聯邦信息處理標準出版物（FIPS）;以及基線安全認證（CSPN），由法國國家安全機構ANSI運營。在歐盟內部，產品、流程和服務通過歐洲網絡安全認證流程進行認證，該流程由歐洲網絡信息安全局擁有。此過程基于CSPN和證書的成功。..一旦發行，它們將在整個聯盟中得到認可。

因此，除了就PDCA流程的復雜性進行談判外，開發安全物聯網生態系統的組織還必須了解如何以及何時與相關標準機構和審查機構進行交互。

專利保護協會進程

計劃

與任何項目一樣，開發安全的物聯網生態系統始于一個強大的計劃，該計劃應確保在開發周期中盡早解決安全問題。該計劃應確定業務風險和需要保護的高優先級資產，還應包括嚴格的威脅評估和有效降低風險所需的安全措施的詳細說明。威脅建模和評估是一項關鍵的安全實踐，而由 Microsoft 安全工程師開發的 STRIDE 方法（圖 2）是此階段的常用工具。

圖 2：STRIDE 風險和威脅評估。

該評估的結果是一份文件，該文件構成了客戶綜合風險管理方法的基礎，并且是未來合規性和正式認證的關鍵推動因素。

DO： 設計物聯網安全架構

威脅評估結果現在必須體現在物聯網解決方案安全架構的設計中。該設計的范圍涵蓋硬件和軟件，為了確保對不斷變化的網絡威脅的彈性，設計人員必須確保：

任何物聯網設備都有一個無法克隆的唯一ID，為所有其他安全功能奠定了基礎。此信任根 （RoT） 功能使所有各方都能夠信任來自設備的身份、身份驗證、通信和數據。RoT 還提供啟用可信功能所需的硬件和軟件加密功能，API 層使外部應用程序能夠訪問這些功能。

CPU、內存和連接不能用于非指定任務，從而限制了黑客活動的威脅。

通過保護所有數據（無論是靜態數據還是動態數據）的完整性，確保隱私、機密性和法規遵從性。

使用物聯網生態系統中的數據做出的決策是在安全的環境中執行的，不受篡改和知識產權盜竊的影響。

發送到物聯網設備的任何命令（例如“注射胰島素”，“打開/關閉閥門”，“踩剎車”等）都被驗證為來自合法來源。

該項目的這一階段是建立有效的物聯網安全架構的關鍵，需要使用訓練有素的專家資源。眾所周知，這種資源在行業中非常稀缺，并且由于產品開發的周期性，保留可能會進一步復雜化：安全設計通常只完成一次，然后在整個產品系列中重復使用，這意味著內部安全專家可能不會持續使用。因此，對于許多組織來說，考慮與外部合作伙伴合作可能是有意義的，這些合作伙伴不僅可以提供所需的安全設計專業知識，還可以在整個端到端PDCA過程中提供建議和指導。

在完成PDCA過程的DO階段后，安全架構設計已準備好進行滲透測試。

檢查：防守、進攻、得分

為確保設備滿足其目標市場的安全要求，必須由獨立機構（如 CSPN）對其進行合規性測試或正式認證。由獨立組織進行測試可避免與業務支持的機構和標準（如通用標準）可能存在的利益沖突，從而確保測試的客觀性。評估物聯網設備的安全級別需要使用公認的參考和方法來評估其針對正式識別的威脅的穩健性。這種評估可以使用定量或定性方法進行。

攻擊評分是一種廣泛使用的定量方法，其中評估保證級別（EAL）由獨立安全實驗室通過審查過程確定的分數進行優化。兩種常用的評分機制是CSPN使用的聯合解釋庫方法，或由FIRST（事件響應和安全團隊論壇）管理的通用漏洞評分系統。

定性評估也由獨立的安全實驗室進行，測試設備內部的安全漏洞，這將使高概率，高影響的攻擊取得成功。對這種方法的評價程度取決于專門知識水平和發動現實攻擊所需工具的復雜性。此方法在設備中建立安全或置信度級別，當測試活動無法揭示所定義攻擊的差距時，將達到分配的級別。

對于大多數物聯網產品來說，定性基線評估就足夠了，對于構建在已經經過安全評估過程的設備上的產品，例如u-blox的蜂窩物聯網模塊系列，這種評估可以進一步簡化。諸如此類的認證模塊將經過廣泛的評估，模擬典型的攻擊路徑，并測試設備的嵌入式安全性，以防止攻擊，包括故障注入和側信道分析。通過集成已經過此級別測試的模塊，開發人員可以確保對設備具有物理訪問權限的攻擊者將無法擊敗安全對策，并且加密算法，私鑰和其他安全功能是安全的。

做

在規劃、設計和評估階段之后，必須在設備的整個生命周期內部署、擴展和維持物聯網設備安全性。

盡管軟件安全實施足以應對低威脅、低業務價值的情況，但在生產運行期間，高價值、高暴露度應用程序中使用的設備需要硬件 RoT，并在受信任位置進行配置。大規模物聯網生態系統部署的安全挑戰還必須要求包含零接觸配置、安全云連接以及電源和帶寬效率密鑰管理等功能。

減少安全威脅的實時暴露需要收集和監控大量內部和外部來源的數據。雖然這可能是一項艱巨的任務，但確保及時發現和修復威脅至關重要。沒有必要內部資源的組織應認真考慮與值得信賴的合作伙伴合作開展此活動。

在整個安全旅程中與外部支持接洽

許多專業安全組織（如 u-blox 和 Kudelski 合作伙伴關系）可以提供專家安全功能，在整個 PDCA 工作流程中為您提供支持，無論您處于開發過程的哪個階段（圖 3）。

圖 3：IoT 安全實驗室之旅。

通常，專家安全分析、建議和設計服務可能包括通過量身定制的漏洞和威脅分析、端到端安全架構咨詢和全面的預發布測試來評估和評估芯片級、PCB級和軟件安全性。

安全解決方案

如上所述，對于基于認證模塊（如 u-blox 蜂窩系列）的解決方案，可以簡化安全過程。這些模塊集成了Kudelski物聯網安全平臺，該平臺創建了一個信任鏈，鏈接設備，數據，物聯網平臺和應用程序，使用戶能夠使用簡單的API管理所有關鍵的物聯網資產。該平臺由三個元素組成 - 軟件或硬件RoT，基于設備的安全客戶端和云或基于客戶內部的安全服務器。預集成組件包括能夠為物聯網應用實現安全設備設計和數據的功能。該平臺的用戶可以創建和操作各種數字和物理資產，并確保安全保護適應未來的威脅。

設計有效的物聯網安全架構是一個必不可少但復雜的過程，需要使用專業知識。PDCA流程是一種成熟的方法，它結合了必要的安全測試和認證步驟，如果應用得當，可確保實施強大的物聯網安全架構。組織可以選擇保留這一稀缺資源或與外部提供商合作，具體取決于其產品開發周期的具體情況。

審核編輯：郭婷