谈谈物联网中的数据管理、隐私和安全

数据驱动智能    发布于:2021-08-30 浏览 423

根据Gartner的说法,物联网是“一个包含嵌入式技术的物理对象网络,可以与内部状态或外部环境进行通信、感知或交互。大数据带来了传统方法无法解决的新的数据管理挑战。因此会带来新的风险,尤其是在企业仍在学习如何避免陷阱和采用新出现的最佳实践。

一 安全、隐私和物联系统

1 物联网和联网设备

物联网被称为下一次工业革命,它已经在改变企业、政府和消费者与现实世界的互动方式。通过将物理和数字领域融合在一起,物联网正在深刻地改变我们与环境、人与人之间以及与信息之间的关系。它正在彻底改变我们的生活、工作、旅行、医疗和放松的方式。

根据Gartner的说法,物联网是“一个包含嵌入式技术的物理对象网络,可以与内部状态或外部环境进行通信、感知或交互。”这种感知是由各种类型的传感器完成的,无论是办公室的烟雾传感器,还是城市街道上的噪音传感器,或者是能够检测个人生理状态和变化的传感器。通信是通过嵌入在连接的物理设备中的标准有线或无线通信方法来处理的。连接的物理设备包括恒温器、电能表、湿度计和可穿戴设备,用于监测个人健康和生命体征。任何能够收集或共享关于其自身使用及其环境的有意义数据的数字设备都可以参与物联网。

连接的设备产生各种各样的数据。在物联网应用中,这些数据通常聚集在云中。可以对这些汇总的数据进行处理和分析,以提取企业、政府和个人可以用来实现其目标的知识和可操作的见解。

物联网仍是一项相当年轻的技术,其基础设施仍在发展,但其潜在影响是巨大的。麦肯锡全球研究所(McKinsey Global Institute, MGI)预测,“到2025年,物联网每年的潜在经济影响总额将达到3.9万亿至11.1万亿美元……相当于世界经济的11%。到2020年,将有240亿台设备连接到互联网,换句话说,“地球上平均每个人有4台设备。”

现在,从这些数以亿计的连接设备中收集的海量数据需要技术、分析方法、软件平台和计算能力的特殊组合,这种组合被称为大数据。大数据带来了传统方法无法解决的新的数据管理挑战。因此会带来新的风险,尤其是在企业仍在学习如何避免陷阱和采用新出现的最佳实践时。

2 系统安全和数据管理

一些安全专家说,确保数据安全的唯一方法就是不要保存它。比如IBM Resilient的首席技术官Bruce Schneier,认为数据是一种“有毒资产”,必须“像对待任何其他有毒来源一样对待”。虽然这些可能是极端的观点,但领先的分析师和研究人员一致认为,安全是当今物联网面临的最大挑战之一。麦肯锡的一项研究表明,受访者最常将安全列为他们对物联网最大的担忧。同样,在Gartner的物联网调查中,从技术和管理的角度来看,“安全成为最重要的问题”,该调查研究了全球重要的地理区域,包括中国、德国、印度、日本、英国和美国。

如此多的连接和数据流经如此多的互连系统,如何保证一切的安全?如何保护数量巨大且范围不断扩大的无价数字资产——包括公司机密数据、城市基础设施、个人信息、交易数据和家庭设备?

安全的两个主要方面是系统安全和数据管理。系统安全包括物理安全和网络安全——物理网络、连接的设备、应用程序、通信操作等等。数据管理包括将数据作为一种有价值的资源进行管理所需的所有学科。数据管理协会(DAMA)数据管理知识体系将数据管理定义为“控制、保护、交付和提高数据和信息资产价值的计划、政策、计划和实践的开发、执行和监督。”数据治理、数据安全和数据隐私是数据管理的所有方面。

3 物联照明互联系统

下面以以物联网照明系统说明互联系统。LED照明革命始于20世纪90年代末,当时飞利浦(Philips)等公司设计并推向市场的是最先进的数字照明系统和灯具,用于整个照明应用领域的专业和家庭使用。从2000年代中期开始出现输出光和质量与传统灯具相当或更好的LED灯具,以及建筑应用中的变色LED灯具,它们在娱乐和舞台照明的方法和控制解决方案上进行了优化和改进。最近数字照明空间的创新包括光谱可调LED照明器,支持健康和生产力应用程序中的新的以人为中心的照明方法。在过去的五年中,领先的公司一直在将他们在LED照明方面的专业知识应用于在消费者领域和专业照明领域开发联网照明系统。互联照明是数字照明和物联网的交叉点。在连接照明系统中,LED灯具启用了双向数据通信,允许它们通过共享自己的状态和运行数据来参与物联网。

由于照明设备已经安装,或者必须安装,在人们工作和生活的任何地方,以及在城市环境中他们去的任何地方,它成为传感器网络和其他物理分布式系统的自然平台。如果照明系统连接起来,它可以作为一个启用平台,在任何使用照明的地方提供物联网应用。按照思科的观点,照明是创建单一聚合IP网络的第一步,该网络可以将不同的网络(hvac、计量、照明、闭路电视、物理安全、调度)集成到一个网络中。这种融合和连接的网络提供了建筑智能,“为建筑使用者提供新的和创新的体验,同时为建筑业主和运营商提供粒状的能源管理、控制、分析和集成能力。”

同样,智慧城市越来越依赖融合基础设施,为市民提供更好的体验和成果。连接路灯起到了与数字天花板类似的作用,为分布传感器、宽带通信设备和整个城市的其他连接设备创建了一个平台,并提供了用于集成监测和管理不同城市服务网络的API。这些应用程序中的每一个都表示必须管理的新数据源。例如,LED灯具可以收集和共享从任何可能集成到系统中的传感器收集的数据。这些传感器通常包括日光、占用率、运动、噪音和空气质量传感器,但对可添加到系统中的传感器类型没有内在限制。来自照明系统的通信,通过可见光通信或其他方式,使通常利用无处不在的智能手机应用程序和无线连接的基于位置的应用程序成为可能。这些对空间的用户和管理人员有许多好处,并且表示基于云的系统可以存储用于处理和分析的额外数据流。

交互系统使用连接的照明基础设施在几个关键应用领域提供物联网应用。该系统为智能城市、智能建筑和智能零售提供端到端连接照明解决方案。虽然具体细节因系统而异,但所有系统都共享一个通用架构,包括:

•照明仪表,包括连接灯具、传感器和照明控制

•网络硬件和软件,包括网关、服务器、交换机、电缆和数据通信

•照明系统和照明系统托管的物联网应用的管理和监控软件

•托管软件应用程序和从照明环境中收集数据的云服务

•用于将应用程序与数字生态系统中的其他设施和管理应用程序集成的API,以及用于构建移动应用程序和其他软件组件,如仪表板

•物联网系统的每一个方面都对数据隐私、数据和系统安全以及数据治理提出了挑战

4 互联系统的安全和隐私挑战

对安全和隐私最严重的威胁包括恶意访问、拒绝服务和窃取服务,特别是数据。攻击者越来越多地使用物联网黑客来制造其他类型的破坏。这意味着用恶意软件感染连接的设备,并协调它们释放大量的互联网流量,使网站和其他在线资源瘫痪,这就是所谓的分布式拒绝服务(DDoS)攻击。2016年,黑客使用僵尸网络的大规模物联网Mirai利用物联网安全缺陷。Mirai被用来“攻击并暂时关闭个别网站,但也会对互联网服务提供商和互联网骨干公司发动攻击,导致全球各地的连接中断。”

安全专家预计,随着网络连接安全不足的设备数量的增加,DDoS等攻击的数量将会增加。随着新型设备的连接,黑客们也在设计新的攻击方式。2016年11月,芬兰拉彭兰塔几个公寓楼的供暖系统在零下的天气里遭到DDoS攻击。虽然芬兰的供暖系统关闭似乎是无心之过,但不难想象,针对城市、办公室和家庭的联网系统,如供暖、物理安全和照明系统的攻击是直接针对的。物联网专家艾哈迈德·巴纳法(Ahmed Banafa)写道:“婴儿监视器、智能冰箱、恒温器、药物输液泵、摄像头,甚至你车里的收音机都被黑客入侵,这意味着物联网的未来将引发一场安全噩梦。”人们的担忧将不再局限于敏感信息和资产的保护。

我们的生活和健康都可能成为物联网黑客攻击的目标。”安全专家已经发现并解决了联网照明生态系统中的数十个风险,他们的态度是“多疑是有好处的”。因为连接的照明系统是复杂的系统,有很多方法可以攻击它们。安全专家正在制定系统安全和数据管理政策和程序,以降低风险。这些攻击包括对连接的设备、网关、网桥和其他网络硬件、云接口和基础设施、内部和外部API以及移动应用程序的攻击。

尽管许多安全风险适用于所有连接的照明应用,但在不同的主要应用领域有一些具体的考虑。智能城市应用程序,关注城市系统的安全(交通、街道照明、应急响应)是首要和中心,而智能建筑应用程序的安全更注重保护企业资产和员工隐私。智能零售应用程序有一个特别授权,保证客户的金融、事务和个人数据,而智能家居应用程序也必须关注业主的风险。

二 关于数据

1 数据是宝贵的智能系统资产

智能连接基础设施,无论是在城市、工作场所、零售环境还是家庭,都会产生大量数据。政府和私营企业可以通过降低服务交付成本和精简运营,预测并满足公民、雇员和顾客的需求,从而获得竞争优势;并通过新的数据驱动产品和服务创造新的收入来源。

组织可以将通过连接的应用程序和基础设施收集的数据与相关的外部数据和领域模型结合起来,以更深入地了解人们的行为和交互。例如,一个城市可以通过传感器、控制和软件收集和分析人们在何时何地的数据来节约能源,允许城市在需要的时候和地点提供光,给人们更好的城市体验,同时最大限度地减少光和能源的浪费。类似地,企业可以收集和分析工作场所的使用和活动的数据,允许组织安排照明、暖通空调和其他服务,以降低成本,改善运营,并改善员工的工作环境。

那么,数据到底是什么呢?如何将数据转化为可操作的见解?数据生命周期管理的理想方法是什么?正确的方法如何为连接系统的用户和所有者提供关键的安全和隐私保护?

2 从数据到智慧

一般来说,数据是数字或字符的集合。数据可以使用各种格式,如表格、图表、图表和图像进行测量、收集、分析和展示。从概念上讲,数据是指一些现有的信息或知识以适合更好使用或处理的形式表示或编码的事实。数据、信息、知识和智慧是密切相关的概念,但每一个都是不同的。数据本身没有什么价值,因为必须对其进行处理和语境化,才能产生可操作的见解。

DIKW金字塔是一个被广泛使用的模型,用来表示数据、信息、知识和智慧之间的关系。此模型表示层次结构,并表示了一系列用于升序层次结构的转换。数据是信息的基本构成要素。要成为信息,数据必须经过处理。经过处理和解释的信息必须经过分析才能产生知识。必须把原则应用于知识,才能产生智慧。

A 数据

在DIKW金字塔的背景下,数据是一组符号或迹象,代表刺激或信号。这些信号没有任何意义或价值,除非它们被置于可用的形式和上下文中。

数据示例如下:

红色的

1466005743

-33.882816, 151.204150

B 信息

信息将描述应用于数据,使其有用。如果我们在上面的数据示例中添加一些描述,我们可能会得到如下信息:

2021年6月15日格林尼治标准时间15:49:03,皮特街和乔治街拐角处的交通灯变成了红色

C 知识

知识为信息带来额外的背景和规则:

我正朝着刚刚变成红色的交通灯行驶。规则规定当交通灯是红色时我必须停车。

D 智慧

智慧建立在长期积累的知识和经验之上。你可以说智慧就是“知道要做正确的事情”。

建立在我们例子中的知识基础上的智慧可以这样表达:

“闯红灯是违法的、危险的,还可能致命。所以我最好在红灯前停车。”

3 数据类别:结构、大小、速度、来源

重要的是要认识到不同的数据类别有不同的管理需求,可以按照结构、规模、速度和来源进行分类。在有效的数据管理过程中,必须考虑到每一个因素。

(1)结构:结构化、半结构化和非结构化数据

结构化数据是指高层组织的数据。结构化数据有一个预定义的数据模型或模式,即要记录的数据类型以及如何存储、处理和访问这些数据的模型。模式包括定义将存储什么数据以及如何存储数据,包括数据类型(数字、货币、字母、名称、日期、地址)和任何数据输入限制(字符数量、特定术语、数字范围)。

结构化数据的例子有客户关系管理、企业资源规划、事务管理、供应链管理、员工信息和系统日志。结构化数据的一个优点是它可以很容易地查询和分析。过去,由于存储、内存和处理的高成本和性能限制,关系数据库和电子表格是有效管理数据的唯一方法。

半结构化数据是一种缺乏严格数据模型结构的结构化数据。对于半结构化数据,使用标记或其他类型的标记来标识数据中的某些元素,但数据本身没有严格的结构。例如,电子邮件将发件人、收件人、日期、时间和其他固定字段添加到电子邮件消息内容和任何附件的非结构化数据中。照片或其他图形可以用关键字进行标记,如创建者、日期、位置和关键字,使组织和定位图形成为可能。文件系统和各种文件格式通常用于管理半结构化数据。

非结构化数据是指没有预定义的数据模型或没有按照预定义的方式组织的数据。非结构化数据通常包含大量文本,但也可能包含其他类型的数据,如日期和数字。与结构化数据相比,这导致了不规范和歧义,使得使用传统程序很难理解。数据挖掘、自然语言处理(NLP)和文本分析等技术提供了在非结构化数据中寻找模式或解释模式的不同方法。非结构化数据的例子有社交媒体、网页内容和呼叫中心日志。

(2)规模:小数据和大数据

另一种对数据进行分类的方法是根据数据的大小。能够放进电脑内存、可以由传统数据处理应用程序管理的数据被称为“小数据”,而传统数据处理应用程序无法处理的大数据或复杂数据则被称为“大数据”。

传统的关系数据库管理系统和桌面统计和可视化软件包在处理大数据方面往往存在困难。处理大数据可能需要在数十台、数百台甚至数千台服务器上运行大量并行软件。“大数据”的定义取决于用户及其工具的能力和扩展能力,这使得定义大数据成为一个不断变化的目标。

(2)速度:指静止数据、运动数据、慢数据和快数据

另一种对数据进行分类的方法是根据其动态特性。在本质上是静态的数据,即以任何数字形式(如数据库、数据仓库、电子表格、文件)存储在持久存储(磁盘、类型)中的数据,通常称为静止数据。动态数据是指传输中的数据。动态数据是指在不存储数据的情况下对数据进行动态处理。

运动数据的一个典型特征是速度。速度是数据创建、存储、分析和可视化的流速。快速的数据速度意味着数据在短时间内被处理。在快速大数据时代,数据是实时或近似实时创建和传递的。数据流速率的增加为实现实时或接近实时的数据使用带来了新的挑战。传统上,这个概念被描述为流数据。

动态数据的第二个特征是可变性,它指的是数据随时间的变化,包括流量、格式或组成。由于许多数据处理在给定的时间内会导致到达的数据量激增,因此需要新的技术来有效地处理这些数据。

(4)来源:内部数据和外部数据

从数据源或数据来源的角度来看,数据可以分为内部数据或外部数据。来自内部系统(例如,公司系统、IT应用程序)的数据称为内部数据,而来自第三方服务的数据称为外部数据。外部数据的例子包括社交媒体、来自第三方网络服务的天气或流量数据。

传统的企业信息管理系统主要处理结构化或半结构化数据、小数据、慢数据、静止数据和内部数据。物联网数据通常以非结构化、大数据流和外部数据为特征,需要新的架构来管理此类数据.

4 数据价值原则

有几个关键的价值原则驱动数据资产应该如何进行价值管理。

•数据的价值随着使用而增加

数据被使用得越多,它就越有价值。与数据相关的成本主要由获取、存储和维护决定,这些成本与使用无关。使用数据的成本可以忽略不计。由于数据是无限可共享和不可耗尽的,如果充分利用其潜力,其价值可以成倍增长。相反,未使用的数据是一项负债,因为获取、存储和维护成本是无缘无故产生的。要使数据有价值,数据必须易于发现、易于使用,并最大限度地共享。

•数据的价值会随着时间的推移而降低

虽然高度依赖于应用程序,但在大多数情况下,最新的数据越有价值。随着时间的推移,数据变得越来越不相关,越来越没有价值,最终会过时。

•数据的价值随着质量的提高而增加

数据质量的概念包括数据本身固有的特征,包括准确性、精确性、一致性、完整性、可信赖性(可跟踪沿袭)和及时性。只有数据是准确的、完整的、及时的、可信的,才能从数据中得到真正的价值。低质量的数据会导致糟糕的决策或操作错误,成本可能非常高。

•当数据与其他数据集成时,数据的价值就会增加

与集成相关的概念有很多。当将多个数据源组合在一起以创建新的数据或关键见解时,通常会实现更高的价值。数据处理可以包括改进和确保数据质量,添加元数据和索引以改善上下文和可访问性,以及转换和丰富数据以提高效用和价值。

5 数据生命周期

在整个生命周期中,数据经历了处理、存储、转换和分析的几个阶段。整个阶段序列构成了数据生命周期管理。虽然数据生命周期有许多不同的模型,但下图给出了一个全面的概述。

(1)数据规划

数据生命周期的第一个阶段是计划,它确定所需数据的类型、数据获取策略以及人力、计算和系统资源的分配这个阶段还包括所需资源(例如,软件)的开发和获取。

(2)数据创建

数据生命周期的第二步涉及数据的实际创建。创建是指直接、间接或自动生成表示底层数据源特征的数据。源可以是一个实体,如物理环境、组织、设备,甚至是产生与进程或目标相关的数据的计算机程序。

(3)数据捕获

一旦创建了数据,数据捕获就开始发挥作用,直接或间接地测量创建的数据。例如,想象一个摄像机记录沿着街道行驶的车辆。数据创建过程——车辆沿着街道行驶——是自动发生的,摄像头会捕捉数据。在这种情况下,数据不是由感兴趣的实体(相机)直接生成的。

(4)数据记录

一旦数据被捕获,它就被记录下来。记录允许数据在捕获所需的时间之外可用。

(5)数据采集

数据采集是指企业外部组织已经测量或记录的数据的采集。这个阶段可能发生在数据生命周期中,也可能不会发生。当需要从第三方获取数据时,创建、捕获和记录阶段可能发生在规划阶段之前或期间,因为它是由在规划阶段确定的数据供应商管理的。数据采集发生在数据测量之后或数据记录之后,并且可以由一份合同来管理,该合同规定了如何允许第三方使用所采集的数据。

(6)数据保存

数据保存确保根据指定的指导方针和规则,在特定的时间内安全地维护数据以及从中得到的中间和最终结果,无论是作为备份还是作为将来可能的使用。数据备份、附加元数据生成、文档和数据归档都是数据保存的各个方面。

(7)数据处理

到目前为止的所有阶段都涵盖了基本形式的数据的可用性。一旦数据可用,就会进行处理。在处理过程中,对数据进行转换、丰富,并与其他数据进行组合,从而得出有意义的结果和结论。数据处理是关于格式化和数据融合的,并不能直接产生服务于组织目标的资产。这发生在下一个阶段-数据分析。

(8)数据分析

在数据分析阶段,对数据进行研究,以确定模式,进行推断,并得出对组织的最终目标有意义的结论。

该阶段应用了机器学习、大数据、信号处理、图像处理和统计分析等技术。回顾DIKW金字塔,数据分析将信息转化为知识。

(9)数据发布

在合同和版权法规定的范围内,可将数据和由此产生的结果授予相关的当地或第三方。不同的用户可能被授予对全部数据/结果或一部分数据/结果的不同访问权限。

(10)数据处置

在过程结束时,数据必须从所有存储位置删除或存档。一旦此阶段完成,数据的任何副本都不应保存在任何位置供使用。

三 数据管理和治理

在不断增长的物联网和智能系统领域,包括城市、工作场所、零售环境和联网照明系统,数据管理是确保安全和隐私的关键。数据管理包括将数据作为有价值的资产安全地管理所需的所有规程。成功的数据管理需要一个数据管理架构,该架构支持所有数据资产的统一实时视图,这些数据资产通常来自不同的数据源。

理想情况下,数据管理体系结构管理组织的整个生命周期的数据资产,从获取点到在最终用户应用程序中使用,再到删除。需要中央治理和全公司范围的数据管理策略,以调整与数据相关的活动并最大化数据资产的价值。

成功的数据管理必须:

•管理数据生命周期

•提供所有获取数据的可访问性

•确保数据质量

•提供所有数据资产的统一视图,实现跨系统垂直部门和企业竖井的集成

•包括数据的处理、转换和丰富

•指定数据治理政策和程序,以确保最高水平的数据安全和隐私

1 数据管理概念

数据管理体系结构管理从获取到使用的数据资产。如下图所示,组织级别的概念性数据管理体系结构可能很复杂,包括多种功能和能力。数据治理主要负责降低风险、实施遵从性和确保安全性,它是一个涉及体系结构所有层的垂直功能。

一个完整的概念数据管理架构的功能包括:

(1)数据采集

能够从各种来源(物联网、企业、社交媒体)获取各种类别(结构、规模、速度)的数据。

(2)数据架构

数据从采集到存储、最终使用或两者兼而有之的路由。该函数还可以包含一个数据充实管道,以提高数据质量。

(3)数据存储

能够存储多种数据类型以满足不同需求,包括用于初始临时存储的存储池或暂存区域、用于经济地存储大规模、轻度结构化数据的数据湖或存储库、用于主要结构化数据存储的数据仓库和用于关键企业数据存储的企业数据仓库

(4)数据管理

能够跨多个数据存储管理数据,执行传统和非传统的提取转换和加载(ETL)操作,并实现治理,包括数据供应、生命周期管理和数据质量功能。

(5)数据访问

访问层,提供与应用程序之间的数据路由,以及必要时的数据虚拟化。

(6)数据分析与处理

用于数据消费的应用层(大数据沙箱发现、业务分析、数据建模和转换)。

(7)治理、风险、法规遵循和安全

用于实现所有数据管理和安全流程的分支功能。

这个概念性数据管理体系结构不是特定于实现的,它不解决与私有云、公共云、内部部署或混合实现相关的问题。

2 数据治理概念

治理、风险、法规遵循和安全显示为跨体系结构中所有层的单个垂直功能,因为一个统一的体系结构使治理更加直观。

治理要求政策、过程和程序有效地发挥作用,包括:

•确保遵守法律、法规和隐私的政策

•账户、网络和数据的安全措施

确保数据价值的政策和过程,由数据价值原则决定

数据治理实践应实现数据价值原则:

•数据的价值随着使用而增加:确保数据的价值包括通过发放、用户访问和用户授权提供数据访问

•数据的价值会随着时间的推移而降低:数据必须在其生命周期中有意识地进行管理,以最大化其价值

•数据的价值随着质量的增加而增加:因为数据必须是完整的、准确的和值得信任的才能有价值,它还涉及数据清理、充实、沿路、元数据和相关的数据质量功能

•当数据与其他数据集成时,数据的价值会增加:企业必须使用政策和技术解决方案的组合

必须使用适当的度量标准来监控整个数据管理系统的有效性,确保持续改进。

实际的系统实现将对安全性和治理产生影响。例如,隐私和地区法律法规取决于云服务器的物理位置。

因此,治理必须具有地理意识,并且组织策略必须适当地保持一致。

对于治理,策略从上到下驱动,最终在数据体系结构中实现技术实现。但是,正如技术解决方案需要由策略驱动一样,策略也需要由组织驱动。

明确定义的组织角色和职责对于开发、部署和执行有效的策略是必要的。

数据治理的关键作用包括:

(1)治理主体

一个多学科的团队,负责开发政策、指示和策略。团队应该有执行权力,有来自领导层(例如,CIO)的代表;来自安全、隐私和合规团队的负责人员;以及来自IT管理、数据管理等相关职能的技术资源。治理主体应该向信息所有者报告,并向保管人提供政策方向。

(2)信息所有者

对数据资产负责并有权批准治理机构提出的规则的个人。信息所有者将实现委托给管理员。

(3)托管人

接收来自治理主体的策略方向,并代表信息所有者定义和执行资产规则。管理员将实现委托给管理员。

(4)管理员

执行资产规则并向托管人报告。

(5)用户

遵守已实施的规章制度,并向保管人提供要求和反馈。

下图显示了从信息所有者到用户的垂直层次结构,通常是业务组或业务组中的子组织。

在一个业务组中可以有多个信息所有者,管理员和托管人角色可以跨业务组。单独的业务团体可以制定治理策略,但这样做并不能解决“筒仓”问题。打破竖井需要一个具有执行权力的组织范围或跨业务小组治理主体来设置鼓励信息共享的政策。成功的数据治理还需要对所有员工进行教育和培训,以及认可和支持数据治理原则和价值观的文化。

3 跨企业的数据治理注意事项

上面概述的数据管理体系结构和治理结构描述了组织的“可怕状态”,无论该组织是城市、企业还是生态系统伙伴。跨城市、企业和生态系统合作伙伴的数据管理带来了额外的挑战:

•元数据和本体标准(数据资产的类型、属性和相互关系的正式命名和定义)需要确保跨组织的语义互操作性。

•需要开放的架构和API,以实现不同组织的不同系统之间的数据交换。

•需要跨组织治理,以确保整个生态系统中的数据完整性、价值和可用性。治理可以采用集中式、自上而下的方法,或者通过类似区块链的技术支持自动化交易和治理管理的去中心化方法。

四 隐私

隐私与安全性和遵从性相关,但有自己的定义、风险和缓解策略。隐私通常指消费者或用户保护个人信息不被他人使用的权利。

潜在易受攻击的数据包括但不限于在社交媒体上分享的数据,以及任何类型的人口统计或个人数据。在智能系统中,易受攻击的数据可能包括员工的习惯(上下班时间、薪水和其他人力资源数据);公民的偏好、参与众包应用或城市中的运动;或者购物者的购买习惯、银行账户和信用信息。一般来说,隐私是一个人对自己保留这类和其他类型的个人数据的权利。

安全性的主要目标是保护可能存储和管理易受攻击的个人数据的企业、组织或机构。虽然隐私和安全目标有时可以一致,但安全策略和程序可能不能解决所有隐私问题。例如,企业或政府可能保护其存储的个人数据不受网络攻击,但网络内部的员工或官员可能能够审查这些数据。很常见的一种情况是,一个在线零售商拥有最先进的系统安全措施,但它自由出售个人数据,以实现二级收入流。

1 私有数据,机密数据,开放数据

隐私和保密是密切相关的。隐私通常被理解为指个人的数据(对个人来说是私有的),而机密性通常被理解为指公司的数据(对组织来说是私有的)。一般来说,我们可以讨论收集的数据与隐私和保密性的关系:

私有数据

包含侵犯隐私信息的个人可识别和个人敏感数据。受法律和道德条件限制的。

机密数据和商业秘密

与业务相关的数据,如战略、蓝图、公式/配方和操作流程。根据公司的政策和与合作伙伴及其他第三方的协议,可能会或不会完全或部分限制。

开放数据

没有隐私或机密性问题的数据。此类数据可以不受限制地收集和共享。

2 法律和伦理风险

收集、监控、处理和存储来自智能系统的数据伴随着法律和道德风险。在任何时候,都应该对收集的数据的潜在好处与收集、存储和使用这些数据可能对个人和群体的隐私、道德规范和社会标准造成的潜在危害进行可操作的评估。这些担忧适用于所有受影响的选民,无论是政府的公民、工作场所的雇员、零售环境中的顾客,还是家中的居民。

智能城市的隐私问题尤其严重,因为收集的数据可能会导致滥用权力的滥用和歧视可能削弱人类平等的基本原则,导致不受欢迎的依赖那些控制数据。

联合国《人权宣言》、《公民权利和政治权利国际公约》以及许多其他国际和区域条约都承认,所有人都有隐私权,因此他们的个人生活不受政府或私人方面通过监视或其他类型的监视的侵犯。只有当存在严重的社会原因——公共安全、国家安全等等——个人隐私权才可能被法律推翻,而且只有在严格的条件下。侵犯个人隐私必须与此类行为对社会的重要性成正比。

3 隐私保护机制

有一些隐私保护机制专门用于保护私人和机密数据,独立于也可以提供保护的安全机制。

匿名化是一种将个人身份信息从数据集中删除或屏蔽的保护措施。

伪匿名化是一种保护措施,其中可识别元素被称为假名的人工标识符所取代。在某些情况下,当稍后阶段需要重新识别匿名数据时,将在一个单独的安全位置保存用于反转该措施的密钥。

k-匿名是一种数据点被抑制(移除)和/或一般化(被更广泛的类别取代)的过程,以这样一种方式,数据集中包含的每个人都不能与至少k-1个信息也出现在数据集中的个人区分开来。抑制的一个例子是用星号替换字段中的数据。一般化的一个例子是,将个体的特定年龄替换为多个个体所处的年龄范围(例如,在35岁到50岁之间)。k的值决定了k-匿名过程将产生多少不可区分的记录。例如,2-anonymity将确保个人数据集不能区别于至少一个其他个人数据集(k = 2, 2 - 1 = 1),而3-anonymity将确保个人数据集不能区别至少其他两个人数据集(k = 3, 3 - 1 = 2)。

数据扰动是一种数据安全技术,它向数据库中添加“噪音”,以保持个人记录的机密性。添加“噪声”的技术可能是值失真方法,它直接对数据集中的值使用某种随机化程序,或者是概率分布方法,它使用某种算法来转换数据。数据扰动允许用户确定没有被扭曲的关键摘要信息。此方法通常用于保护电子健康记录的隐私。

差异隐私是另一种很有前景的技术,它结合了一些机制,确保向差异私有数据库输出的查询产生相同的结论,而不管数据库中是否存在特定的个人数据。也就是说,它解决的问题是,在对一个个体一无所知的情况下,对一个群体做出结论。

即使隐私保护机制已经到位,数据泄露的可能性仍然存在。必须考虑的一种情况是将内置隐私保护机制的数据集组合在一起。例如,一个数据集可能是匿名的,但如果将其与其他信息结合起来,则可能会丢失匿名性。必须建立机制来限制或禁止通过合并或进一步处理数据集泄露信息。

五 系统安全

更多的连接成为物联网的重要推动者。当连接时,系统的攻击点大大增加。连通性也为来自远程位置的攻击打开了大门。为了保护公司机密数据、客户数据和其他公司资产的安全,公司必须设计具有适当安全措施的连接系统,并确保安装人员和客户正确部署这些系统。连接系统还会收集和处理潜在的隐私敏感数据。法规规定这些数据必须得到充分保护。安全不仅仅是安全的通信。事实上,安全通信只是这个谜题中相对较小的一块。单独保护通信或其他单独的系统功能不能提供有效的保护。安全组织必须从整体上考虑整个系统——包括人员和流程,以评估整个系统是否安全。

系统安全的整体方法有三个主要的重点领域:“什么”、“如何”和“何时”:

系统安全架构

描述系统架构师需要做什么来设计一个安全的系统(什么)

安全开发流程

确保安全性嵌入到设计、实现和部署的所有阶段(如何实现)

安全生命周期

将安全性嵌入系统生命周期的所有阶段,从制造到部署,在维护和退役期间(何时)

1 物联系统的安全架构

下面以物联照明系统为例说明安全架构。设计安全系统的第一步是识别系统的攻击点。攻击点是可以用来攻击系统的入口点的集合。清晰的系统攻击点视图有助于识别需要保护哪些组件,并决定要实施哪些安全控制,有助于评估与使用某些组件和技术相关的风险,并帮助确定安全测试人员和(外部)渗透测试人员如何最有效地指导他们的安全验证工作。

通常,连通系统的攻击点是每个系统组件的攻击点和它们之间的连接,以及所有攻击向量的集合。每种攻击媒介都提出了潜在的风险和安全缺陷,并提出了降低风险的缓解策略和安全控制措施。下图展示了一个典型的、略微简化的室内连接照明系统的架构,并确定了七个主要的攻击点。其他连接的照明系统,如街道照明系统和立面照明系统,在细节上有所不同,但在所有连接的照明系统中,许多攻击点和原理是相似的。

(1)现场设备

现场设备包括终端节点(灯具包含与其他设备通信的控制器)和群控制器(包含终端节点的照明网络与IP网络之间提供接口的设备)。现场设备必须易于安装,必要时必须可更换,通常可以运行几十年。

确保现场设备安全的一个谨慎方法是假设黑客能够从物理上破坏其安全。这种安全漏洞的影响必须仅限于该设备——也就是说,危及一个设备不应导致危及整个系统。这种方法被称为“遏制”,其原则之一是,将全球机密存储在现场设备中不是一个好主意。

随着设备类型的广泛部署,黑客破坏设备的可能性也会增加。黑客社区对硬件攻击越来越感兴趣,因为发起此类攻击的工具变得越来越便宜,因此越来越多的用户可以使用这些工具。为了减轻硬件攻击的影响,应该禁用设备调试接口或设置密码保护。加密密钥不应该以明文形式从一个硬件部件传送到另一个硬件部件。密钥材料不应该存储在容易被攻击者读出的内存中。无论何时在内存中使用密钥,都应该在加密操作完成后尽快擦除内存。有足够预算的攻击者可以通过注入故障、测量功耗或调整时间来进行侧通道攻击。设备必须携带软件和硬件保护,以防止此类侧向通道攻击导致密钥泄漏。

由于现场设备部署的时间较长,因此它们需要固件可更新。固件更新过程必须得到充分的保护,以保证固件更新的完整性。例如,设备必须能够验证固件更新是真实的。如果这种验证方法不到位,攻击者可以用软砖将现场设备软砖化,导致其出错或使其完全不可用。

(2)照明网络

照明网络中的通信可以包括灯具和群控制器之间的通信,灯具之间的通信,或两者兼有。如果攻击者在当地存在,他们可能会破坏照明网络。

照明网络的主要安全要求是可用性和完整性。通过确保没有单点故障,并增加现场设备之间的通信路径数量,可以提高可用性。传统上,可用性是一个很难满足和测试的需求。使用包含消息验证码(MAC)的加密方法对消息进行签名,可以确保消息的完整性。设备必须配置为丢弃已重放的消息。大多数用于现场设备之间通信的协议已经支持完整性要求。例如,Zigbee提供重放保护,并使用经过身份验证的加密算法确保消息的完整性。

(3)照明骨干

照明主干由控制器和本地照明管理服务之间基于IP的通信组成。连接到照明主干网的设备在硬件资源方面比灯具受到较少的限制。因此,他们可以使用标准和协议来保护互联网通信。其中包括TLS (Transport Layer Security)和vpn (virtual private network)等协议,TLS是SSL (Secure Sockets Layer)协议的升级版本,vpn (virtual private network)可以验证通信伙伴的真实性,保证数据的私密性和真实性。

网络隔离,如虚拟局域网(VLAN),可以用来分离流量,减少照明骨干暴露到内部网络的其余部分。网络接入控制措施可以进一步降低网络攻击对照明主干网的可能性。

(4)本地照明管理服务

本地照明管理服务(LMS;4),提供从本地IT网络接入照明网络的接口。LMS为现场管理人员提供管理和诊断服务,以便对照明系统进行微调和维护。在某些情况下,LMS提供了连接到楼宇管理服务的接口。这些服务通常运行在本地web服务器上,攻击者可以利用典型的web服务器漏洞获得访问权限。需要对访问系统的实体进行正确的身份验证和授权,以确保系统和系统日志的完整性。安全编程和测试针对知名的web攻击需要减轻识别的威胁。

必须定期执行基于风险的威胁和漏洞评估,并且必须持续打补丁。移动和基于浏览器的照明管理系统界面正变得越来越普遍。当运行应用程序的设备的信任级别未知时,这就会带来新的漏洞。没有适当的对策,安全凭证和敏感数据无法存储在此类设备上。手机应用在发布前应该测试特定的漏洞(如OWASP Mobile Top 10)。

应该测试来自web的浏览器访问的常见漏洞,如跨站点脚本编写、跨站点请求伪造等。手机应用应该被视为一个独立的产品并进行相应的测试。

(6)云照明管理服务

越来越多的城市和建筑中的互联照明系统正在将管理从本地照明管理服务转向基于云的照明管理服务。这种转变在安全方面有利有弊。

基于云的服务提供了一个可以从整个Internet访问和攻击的攻击点。另一方面,在集中式的基于云的服务上执行安全更新要比在独立的内部管理系统上更容易、更快。基于云的系统可用于确保跨多个部署的单一真相源(SSOT)—例如,用于检测跨多个部署的克隆设备。

基于云的照明管理服务在安全设计方面需要格外小心,因为它们是非常高风险的组件,可能会影响多个部署。云服务的安全设计应该是可伸缩的,以确保最大的可用性。外部渗透测试和对既定标准的审核是极其重要的。

(7)公共网络连接

当使用公共互联网连接来连接照明组件(例如,从云到移动应用程序)时,应该使用基于风险的适用安全机制选择。web上使用的安全机制是从多次失败和经验教训中发展而来的,不建议重复发明轮子。TLS和IPSec (Internet Protocol Security)等协议适用于跨Internet的通信接口桥接。此外,安全设计应该提供正确的方法来在接口的两端建立信任,包括密钥管理和安全引导。

2 安全开发流程

物联网照明组织需要一套流程,以确保照明系统的架构、设计、实施和部署是安全的。在安全工程实践中,这些过程在安全开发生命周期(SDL)过程或安全软件开发生命周期(SDLC)方法中详细说明,例如由OWASP发布的方法。这些方法提供了一套完整的开发过程、里程碑交付、工作方式和培训。

3 安全生命周期

每个连接的系统都遵循一个由几个阶段组成的生命周期,通常包括制造、部署、维护、退役和最终处理。安全性必须是每个生命周期阶段中不可分割的一部分,并且这些阶段必须链接在一起,以确保系统从摇篮到坟墓都是安全的。

整个系统的安全性取决于最薄弱环节的强弱。具有唯一凭据的设备的安全制造是系统在其生命周期内安全性的基础。这些长期凭证需要安全地存储在设备上,并在后端进行适当的密钥管理。系统的试运行或重新试运行来定义操作行为取决于这些原始的制造关键。

系统的运行安全性是建立在委托密钥的基础上的,因此对委托步骤进行适当的认证和授权是非常重要的。

操作安全性是指系统花费其生命周期的大部分时间,并且需要通过安全通信协议、对等点的身份验证和授权以及适当的密钥更新来抵御攻击。对于软件更新、设备更换等维护操作,应确保操作的安全性,保证系统的运行安全。退役可以基于操作和制造关键的组合,以确保从现有系统中安全移除设备。在处理设备时,需要适当的操作密钥管理,以防止密钥泄漏和无意中允许访问操作环境。

不同领域的照明系统有不同的安全生命周期需求,由工作流需求决定,从而导致不同的建筑设计。

**本文内容转载自“数据驱动智能”(ID:Data_0101),作者晓晓。

收藏此文章 点赞此文章

评论 (0)

暂无用户回复

评论此篇文章

登录后可回复
/1000

数据驱动智能

文章: 8篇

专注数据治理、数字化转型、智能工厂、两化融合等方面的实践分享。微信公众号:数据驱动智能(Data_0101)