嵌入式系統(tǒng)中的數(shù)據(jù)管理安全威脅是什么？伊迪安如何解決這一問題？

理想情況下，嵌入式系統(tǒng)和企業(yè)系統(tǒng)的數(shù)據(jù)管理遵循相同的安全威脅。有三個(gè)主要的基本原理或目標(biāo)被稱為中央情報(bào)局：

保密性：誰(shuí)有權(quán)寫入數(shù)據(jù)并訪問數(shù)據(jù)？

正直：誰(shuí)有權(quán)寫入或刪除數(shù)據(jù)？

可用性：數(shù)據(jù)管理在脅迫下還能執(zhí)行嗎？

ITTIA 的安全嵌入式數(shù)據(jù)管理可增加價(jià)值，因?yàn)樵O(shè)備數(shù)據(jù)管理對(duì)大型系統(tǒng)越來越相關(guān)和有價(jià)值。

CIA還可以包括操作系統(tǒng)，其他軟件和硬件組件，以便在完整的系統(tǒng)中使用。操作系統(tǒng)安全防護(hù)、實(shí)時(shí)操作系統(tǒng)或非實(shí)時(shí)操作系統(tǒng)必須以這樣一種方式進(jìn)行設(shè)計(jì)：當(dāng)系統(tǒng)受到攻擊時(shí)，它可以充當(dāng)?shù)谝坏婪谰€。

ITTIA 提供什么來解決此類漏洞？

保密性：

重要的是要知道什么以及誰(shuí)可以讀取和寫入數(shù)據(jù)。對(duì)于保密性，ITTIA 提供了多種功能。值得一提的是身份驗(yàn)證的能力，這意味著信任和授權(quán)任何想要訪問數(shù)據(jù)以進(jìn)行讀取和寫入目的的人，以及數(shù)據(jù)庫(kù)中的許多其他各種通信選項(xiàng)。另一個(gè)重要因素是對(duì)嵌入的數(shù)據(jù)進(jìn)行身份驗(yàn)證，因此如果發(fā)生攻擊，攻擊者將無法理解數(shù)據(jù)。

加密是可用于保護(hù)數(shù)據(jù)庫(kù)的設(shè)備的幾個(gè)強(qiáng)大防御措施之一。通信和加密算法起著重要作用，因?yàn)槲唇?jīng)授權(quán)的用戶無法輕易逆轉(zhuǎn)數(shù)據(jù)轉(zhuǎn)換。高級(jí)加密標(biāo)準(zhǔn) AES 是用于加密電子數(shù)據(jù)的規(guī)范。AES已被美國(guó)政府采用，現(xiàn)在在全球范圍內(nèi)使用。此算法用于保持大量通信的安全。借助 ITTIA DB，對(duì) AES 的支持是為開發(fā)人員設(shè)計(jì)的早期安全防護(hù)之一。

正直：

與數(shù)據(jù)源的所有通信都必須經(jīng)過身份驗(yàn)證，以便只有經(jīng)過授權(quán)的節(jié)點(diǎn)才能寫入或修改數(shù)據(jù)。當(dāng)涉及到物聯(lián)網(wǎng)設(shè)備和嵌入式系統(tǒng)時(shí)，有幾種方法可以進(jìn)行身份驗(yàn)證。通過操作系統(tǒng)進(jìn)行身份驗(yàn)證，使用 SSL 進(jìn)行身份驗(yàn)證，以及通過數(shù)據(jù)庫(kù)進(jìn)行身份驗(yàn)證。數(shù)據(jù)庫(kù)身份驗(yàn)證具有多層身份驗(yàn)證和授權(quán)。這一系列基于密碼的現(xiàn)代質(zhì)詢-響應(yīng)身份驗(yàn)證機(jī)制提供用戶身份驗(yàn)證，并使設(shè)備數(shù)據(jù)管理安全。身份驗(yàn)證可防止竊聽、未經(jīng)授權(quán)的攔截和會(huì)話高插孔。

ITTIA DB 提供的其他設(shè)備安全維度是鹽漬質(zhì)詢響應(yīng)身份驗(yàn)證機(jī)制或 SCRAM。SCRAM是一種基于密碼的相互身份驗(yàn)證協(xié)議，旨在使竊聽攻擊（即中間人）變得困難。

可用性：

可用性與為保護(hù)數(shù)據(jù)而存在的所有安全方法相關(guān)。用于數(shù)據(jù)管理的 ITTIA 安全解決方案從安全開發(fā)生命周期 （ITTIA SDL） 開始。

驗(yàn)證的完成方式是，當(dāng)發(fā)生攻擊（如欺騙和 SQL 注入攻擊）時(shí)，數(shù)據(jù)和數(shù)據(jù)管理更具彈性。同時(shí)，ITTIA建立了快速響應(yīng)路徑，因此當(dāng)發(fā)生攻擊時(shí)，它可以立即識(shí)別不安全的訪問，盡快緩解它們，并使嵌入式系統(tǒng)啟動(dòng)并運(yùn)行。

3大嵌入式數(shù)據(jù)管理軟件網(wǎng)絡(luò)安全漏洞是什么？伊迪安如何解決這一問題？

篡改是我們列表中第一個(gè)對(duì)嵌入式數(shù)據(jù)管理的安全性有影響的項(xiàng)目。篡改是中斷數(shù)據(jù)管理服務(wù)的最普遍方式，它包括SQL注入攻擊等內(nèi)容。這是向數(shù)據(jù)庫(kù)發(fā)送類似 SQL 的命令的過程。它們的工作方式與正確的命令相同，盡管它們會(huì)干擾系統(tǒng)。

欺騙是一種不同類型的數(shù)據(jù)源禁用。欺騙是指攻擊者模擬數(shù)據(jù)庫(kù)或數(shù)據(jù)源的所有者并控制數(shù)據(jù)。如果上述所有方法都失敗，則最后一個(gè)選項(xiàng)是數(shù)據(jù)訪問，它允許您寫入和更改數(shù)據(jù)。

當(dāng)然，根據(jù)不同市場(chǎng)的安全要求級(jí)別，可以使用各種數(shù)據(jù)管理安全方法。數(shù)據(jù)安全不能再在企業(yè)層面解決，因?yàn)槲覀優(yōu)榛ヂ?lián)世界設(shè)計(jì)技術(shù)。一個(gè)很好的例子是醫(yī)療保健，醫(yī)療設(shè)備存儲(chǔ)和管理個(gè)人患者信息。這些嵌入式系統(tǒng)跟蹤關(guān)鍵數(shù)據(jù)。必須有足夠的流程來保護(hù)這些敏感信息。隨著物聯(lián)網(wǎng)（IoT）時(shí)代的發(fā)展，這些系統(tǒng)的聯(lián)系越來越緊密，它們正在成為網(wǎng)絡(luò)攻擊的目標(biāo)。

ITTIA現(xiàn)在正在做很多事情來解決嵌入式數(shù)據(jù)管理安全性方面的問題。當(dāng)涉及到SQL注入欺騙時(shí)，一切都與驗(yàn)證和執(zhí)行正確級(jí)別的驗(yàn)證有關(guān)，以確保ITTIA DB（安全嵌入式數(shù)據(jù)管理解決方案）能夠承受這樣的攻擊。滲透測(cè)試，F(xiàn)OSS測(cè)試，模擬攻擊者和令人驚訝的行為以確保數(shù)據(jù)庫(kù)能夠承受攻擊是ITTIA定期執(zhí)行的根本上復(fù)雜的操作。

當(dāng)涉及到欺騙時(shí)，這一切都與身份驗(yàn)證有關(guān)。身份驗(yàn)證必須在嵌入式數(shù)據(jù)管理解決方案中受支持且眾所周知。ITTIA 對(duì) ITTIA 數(shù)據(jù)庫(kù)采用 TLS、HTTPS SSL 加密和身份驗(yàn)證，以允許開發(fā)人員對(duì)數(shù)據(jù)庫(kù)進(jìn)行全面身份驗(yàn)證。

當(dāng)涉及到對(duì)數(shù)據(jù)的惡意訪問時(shí)，這一切都?xì)w結(jié)為足夠的身份驗(yàn)證，密鑰存儲(chǔ)和數(shù)據(jù)加密。ITTIA DB提供了所有這些功能，使攻擊者更難以訪問和損害存儲(chǔ)在嵌入式系統(tǒng)中的數(shù)據(jù)。

典型嵌入式系統(tǒng)保護(hù)數(shù)據(jù)的最大漏洞是什么？伊迪安如何解決這一問題？

這就像問某人最喜歡的樂隊(duì)是什么，這取決于任何給定的情緒。對(duì)于技術(shù)領(lǐng)域的用例也可以這樣說。例如，機(jī)密性漏洞在醫(yī)療保健和醫(yī)療設(shè)備中至關(guān)重要，因?yàn)樗鼈兙哂袠O強(qiáng)的破壞性和成本，并且保護(hù)個(gè)人信息對(duì)于保護(hù)仍然至關(guān)重要。用戶信息在其他用例中至關(guān)重要，例如汽車，但其他與數(shù)據(jù)相關(guān)的信息（例如控制自動(dòng)駕駛汽車）更為重要。

這些嵌入式系統(tǒng)的制造商不希望未經(jīng)授權(quán)訪問車輛的自身性能特征。因此，在這種情況下，完整性至關(guān)重要。主觀上，最重要的因素是信任那些允許訪問進(jìn)行數(shù)據(jù)管理和通信的區(qū)域的人。

ITTIA 使用最強(qiáng)大的身份驗(yàn)證、加密、SDL 和獨(dú)特的安全代理功能解決了這一風(fēng)險(xiǎn)。ITTIA 使得授予和獲取對(duì)數(shù)據(jù)和數(shù)據(jù)管理的訪問權(quán)限變得更加困難。

在保護(hù)數(shù)據(jù)方面，嵌入式智能系統(tǒng)制造商為何以及如何依賴 ITTIA？

正如世界上最知名的安全專家之一布魯斯·施奈爾（Bruce Schneier）博士所說，重要的是要記住，安全是一個(gè)過程，而不是一個(gè)產(chǎn)品。對(duì)于嵌入式系統(tǒng)制造商來說，認(rèn)識(shí)到安全性是一個(gè)過程，而不是一個(gè)產(chǎn)品，這一點(diǎn)至關(guān)重要。安全形勢(shì)總是在變化，攻擊和漏洞的類型也在不斷變化。僅僅擁有一款能夠?yàn)樘幚砬度胧綌?shù)據(jù)安全性提供靜態(tài)解決方案的產(chǎn)品是不夠的。5年前安全和可敬的東西，不再安全可敬。

ITTIA正在構(gòu)建的不僅僅是一個(gè)用于互聯(lián)世界的安全數(shù)據(jù)管理解決方案，它還正在構(gòu)建安全的數(shù)據(jù)管理程序，這些程序隨著時(shí)間的推移與產(chǎn)品一起開發(fā)，以確保滿足客戶的安全問題。

ITTIA SDL 首先為其開發(fā)團(tuán)隊(duì)提供專門的培訓(xùn)，讓他們從一開始就學(xué)習(xí)如何編寫最安全的代碼，以及開發(fā)安全幀模型的要求。專業(yè)培訓(xùn)保證開發(fā)團(tuán)隊(duì)了解攻擊面和差距，以及使用標(biāo)準(zhǔn)對(duì)這些攻擊進(jìn)行編碼和驗(yàn)證的能力。

沒有完美的產(chǎn)品或程序?？蛻魬?yīng)始終表現(xiàn)得好像他們很脆弱，隨時(shí)準(zhǔn)備做出反應(yīng)。為了限制損失，在識(shí)別新攻擊，及時(shí)響應(yīng)和解決它們時(shí)進(jìn)行適當(dāng)?shù)霓D(zhuǎn)變至關(guān)重要。這就是 ITTIA SDL 為使嵌入式數(shù)據(jù)更安全所做的。

審核編輯：郭婷