应对安全移动连接的挑战
确保非公路 OEM 行业数据安全的安全措施
执行摘要
在当今竞争激烈的环境中,企业依靠即时访问数据来做出明智的决策并获得竞争优势。这一点在远程信息处理系统中尤为突出,其挑战在于如何在提供实时数据访问的同时确保安全,特别是考虑到用于数据传输的 CAN 协议的低级特性。要满足这一需求,需要无线和安全的数据传输,以及强大的软件和应用安全措施。与值得信赖的远程信息处理供应商合作,对于寻求优先考虑数据安全的尖端解决方案的企业来说至关重要。Proemion 致力于引领安全远程信息处理解决方案。作为我们承诺的一部分,我们已经实施了各种措施来优先保证数据安全,包括任命一名专门的 "安全主管 "来监督所有的安全协议。
导言
在数字化时代,数据及其安全性是最重要的问题,尤其是在远程信息处理领域。本指南探讨了原始设备制造商在探索实施远程信息处理解决方案时应考虑的关键因素。本指南涉及 GDPR 合规性、用户身份验证和数据控制等问题,这些问题与整个网络领域的广泛关注点不谋而合。
在非公路行业项目的复杂性以及系统和产品中立数据库的推动下,统一数据标准的需求成为当务之急。包括人工智能、机器人、物联网和物联网在内的颠覆性技术的融合,推动我们进入第四次工业革命,提高了云通信安全解决方案的必要性。理解 IoE 与 IoT 的区别初看可能很困难。不过,将物联网视为比物联网更基本的设备网络是有用的。物联网设备不具备与 IoE 设备相同水平的内聚 "智能",因此无法作为一个真正的统一系统运行。
对于不安全的网络来说,"中间人 "攻击是一个持续存在的重大威胁。此类攻击通常使用被称为 IMSI 捕捉器(国际移动用户身份识别捕捉器)的伪基站。另外,"偷窥者 "会利用设备的优先级倾向,连接到更近、更强的信号上。
中间人攻击只是与使用 CAN 协议空中传输数据相关的安全挑战之一。其他挑战还包括相互验证、信道加密等。因此,迫切的问题仍然是:"您可以采取哪些措施来确保最佳安全性?- 包括哪些措施是现实可行的?
Proemion 在提供连接解决方案和处理海量数据方面拥有丰富的经验,是这一领域的重要参与者,多年来在提供顶级远程信息处理解决方案的过程中积累了丰富的网络和信息安全技术经验。
在本指南中,我们将探讨我们在长期设计和构建一流远程信息处理解决方案的过程中开发和采用的网络和信息安全技术,以提高性能和安全性。
应注意的常见安全风险
在当今的无线数据环境中,确保安全传输至关重要。非公路远程信息处理(设备将机器数据传输到中央系统)如果被忽视,会带来各种风险。这些风险包括对机器控制的潜在干扰、内部数据泄露和未经授权的设备访问。
例如,未经授权的个人可能会夺取机器的控制权,危及工作现场的安全。此外,远程信息处理数据可能会暴露敏感信息,从而导致竞争劣势或通过数据篡改干扰运营。
非公路远程信息处理系统常见的安全漏洞包括加密不足、身份验证漏洞以及对过时设备/软件的依赖。加密不力,尤其是在数据传输和空闲模式下,会造成严重的安全威胁。此外,不充分的身份验证可能会允许未经授权的远程信息处理系统访问。
安全最佳做法
用户在选择远程信息处理解决方案时应优先考虑安全措施,并评估远程信息处理供应商如何实施安全标准,以及安全专家如何参与开发。此外,定期审查安全基础设施和共享安全事件信息对于全面保护数据至关重要。
安全软件和软件开发生命周期
将安全最佳实践融入 SDLC(软件开发生命周期),并确保内部开发的应用程序从设计和开发到部署到运行都符合最高标准,这一点至关重要。做到这一点有助于降低来自内部和外部安全威胁的风险。
安全最佳实践涵盖了从培训到安全编码标准、从确保第三方组件安全到渗透测试等广泛的主题。
软件开发 - 专注于安全
以下是我们建议原始设备制造商在选择和开发以客户为中心的软件解决方案时应注意的一些具体措施。
安全培训
在代码进入生产阶段之前,应设置一道安全门,并要求所有守门人参加安全编码培训。还应鼓励所有其他开发人员参加培训,并给予他们充足的时间。
安全开发培训应以实际操作的方式进行,并与开发人员所使用的技术堆栈高度相关。为达到最佳效果,应跟踪参与情况并向团队领导提供反馈。
安全编码标准
一套安全编码标准不仅要解决 OWASP 十大漏洞,还要包括著名安全编码指南中的许多其他相关实践。
其中包括其他 OWASP 指南等。任何进入生产服务器的代码都应遵守这些标准,这些标准最好通过自动或手动测试与代码审查相结合的方式来执行。
同行代码审查
守门员会对开发人员编写的代码进行固有或明确的安全代码审查。这一程序有助于确保符合我们的安全标准,并在合并代码前发现潜在问题。
第三方组件
在代码库管理工具中管理源代码,您可以从平台提供的第三方组件漏洞警报中获益。警报会根据其严重程度和所代表的风险进行评估并采取行动。
自动化测试
持续改进的承诺包括在可能和可行的情况下,通过纳入单元测试或集成测试来解决安全问题,以防止今后再次发生同样的问题。
内部渗透测试
应定期对任何应用程序进行内部渗透测试。发现的任何漏洞都可以根据其严重程度和所代表的风险进行处理。
安全部署
应用程序部署到加固的环境中,通常通过自动化进行配置。经过仔细审查后,第三方模块被集成到自动化工具中,以根据最新的安全最佳实践执行基础架构加固。
加密技术
应制定全面的加密政策,以确保数据安全。这包括加密数据传输和加密网络界面,以防止未经授权的访问。
通讯设备
确保通信单元(CU)和服务器之间的通信安全以及保证设备的安全至关重要,应该是重中之重。为实现这一目标,需要实施多项安全控制措施,包括技术和组织措施,以降低潜在风险。
认证
在 CU 和通信服务器之间实施相互验证至关重要。这意味着要利用标准技术,包括用于服务器验证和加密通信的 TLS 1.2。
通信
系统组件之间在公共通道(通过互联网)上进行的任何通信都应加密(例如使用 TLS),除非另有明确配置(例如,在适用情况下为遵守法规)。这种特定的通信方法可以防止中间人攻击者窃听或干扰通信。
固件更新
使用知名算法和实现提供的签名确保固件更新安全。未经授权的各方无法使用带有关键存储加密卷的专用空气屏蔽服务器签署流氓固件。围绕签名密钥访问和签名验证实施四眼原则和健全的控制措施也能确保安全。
密钥管理和签名过程
根据推荐的最佳做法,固件签署私钥,远程信息处理提供商应管理整个签署过程。
关键管理的另一种选择是允许客户管理其固件映像。但是,这样做可能会影响交付的某些方面,使其变得更加复杂或具有挑战性。优秀的远程信息处理提供商会为客户提供全面支持,如果客户希望采用这种方式,他们会帮助进行配置。
服务器位置检查
对存储远程信息处理数据的服务器或云进行彻底检查至关重要。这一步骤可确保数据的完整性,并遵守当地的数据存储和管理规定。
Proemion 的安全
我们的 SSDLC(安全软件开发生命周期)是我们整个组织安全计划的一部分。SSDLC 帮助我们尽早发现并解决潜在的安全问题。它为我们的客户提供了高水平的安全软件交付保证。
为了实现我们保持行业领先地位的目标,我们的安全计划在不断发展,并由专职的网络与信息安全主管负责监督。
功能概览--不让坏人获取敏感数据
以下是我们为确保数据在不同设备间安全传输并最大限度降低数据被截获的可能性而采用的安全措施概述。
所有系统组件(包括设备和我们的云服务)都采用了符合行业标准的加密通信(TLS)和相互验证。该系统可防止 "中间人 "攻击,这种攻击在不安全的网络中非常令人担忧。
设备使用安全存储在 TPM 芯片中的私钥对网络服务进行验证。设备固件映像都经过签名,并由著名的、经过测试的算法和实现来验证签名。
下图形象地说明了系统组件如何共同发挥作用。
系统概述 - 安全设计
Proemion 开发的系统通过安装在受监控车辆或机器上的 CAN 设备传输数据。CAN设备作为一个非正式网络,允许ECU(电子控制单元)进行通信,而无需复杂的专用线路。
然后,数据通过防火墙并经过验证后才会进入Proemion数据平台。数据通过第二道防火墙,然后通过在线浏览器提供给用户。
该架构从一开始就高度安全,因此我们的客户可以放心地抵御中间人攻击。
下图更详细地显示了数据如何流动以促进我们的服务。
安全软件和软件开发生命周期
将安全最佳实践融入 SDLC(软件开发生命周期),确保内部应用程序从设计、开发到部署和运行都符合最高标准,这一点至关重要。这样做有助于降低来自内部和外部安全威胁的风险。
安全最佳实践涵盖了从培训到安全编码标准、从确保第三方组件安全到渗透测试等广泛的主题。
一直以来,Proemion 都是公认的按照行业最佳实践安全开发软件解决方案的行业领导者。
我们的 SSDLC(安全软件开发生命周期)是我们整个组织安全计划的一部分。SSDLC 帮助我们尽早发现并解决潜在的安全问题。它能为我们的客户提供高水平的安全软件交付保证。
结论
建筑远程信息处理系统的数据安全对于降低风险和确保数字建筑工地的安全至关重要。积极主动的方法、深思熟虑的安全措施以及与专家的合作对于成功实现数字化转型至关重要。强调数据标准和数据安全的重要性凸显了建筑行业面临的挑战和机遇。要实现更高效、更可持续的建筑业,不仅需要技术创新,还需要共同努力建立标准和安全措施。
Proemion的客户群包括全球知名的工业设备公司,他们可以放心地与世界一流的远程信息处理服务提供商合作。
他们从经验中了解到,Proemion可以为要求最苛刻的应用提供解决方案。Proemion公司还能提供具有行业领先安全性的解决方案,这些解决方案都建立在30多年来远程信息处理技术发展的坚实基础之上。
如今,技术发展日新月异。Proemion公司将继续坚定不移地迎接挑战,提供灵活、先进的远程信息处理解决方案,从世界任何地方安全地控制车辆和机械。
如果您想了解我们如何通过行业领先的远程信息处理解决方案帮助您释放潜能,请立即与 Proemion 联系。