的工业互联网联盟(IIC)发布的《数据保护最佳实践白皮书》列出了制造商在工业互联网时代可以采取的数据保护最佳实践。
数据可以有许多不同的形式,包括操作、个人、审计、配置和系统,在搜索数据的适当保护时可能会很复杂,特别是在复杂的工业物联网系统中。
安全性通常是组织在数据保护方面应该采取的第一步。在本白皮书中,安全性分为五个部分:密钥管理、信任根、身份验证、访问控制以及审计和监视。然后,论文深入研究更多细节,并确定组织如何使用所提供的信息。
- 密钥管理:重要的是要理解管理密钥(如密码)是确保只有授权用户才能访问受保护的数据的必要步骤。虽然这似乎是显而易见的,但重要的是使用看似随机的字符创建、轮换和备份密码,因为这是适当保护的第一步。
- 信任的根源:确保每个安全级别都有内置防御,因为大多数物联网(IoT)设备都是为低成本/低资源消耗而设计的,这使得它们容易受到攻击。
- 身份验证:与密钥管理一样,这似乎是显而易见的,但经常被忽视。在这种情况下,身份验证与加密相结合。数据在加密后应该是安全的,只有那些拥有适当凭证的人才能访问。
- 访问控制:数据保护首先应该禁止未经授权的访问。与身份验证一样,只有拥有正确密钥的人才能够访问指定的数据。
- 审核及监察:在大计划中,这一步是关于确保所有步骤都按照既定的方式工作。确保系统正常运行,确保每个人都有适当的访问和验证,并继续正常运行。
“安全是数据保护的基石。确保工业物联网基础设施的安全需要严格深入的安全策略,以保护云中、互联网上和设备上的数据,”实时创新(RTI)的产品经理、论文作者之一Niheer Patel说。
在按照IIC在文件中列出的步骤确定组织的数据是安全的之后,是时候确保数据是有效的、准确的,并且没有以任何未经授权的方式篡改或销毁。
数据完整性对于确保操作顺利进行非常重要。而且,由于数据在整个生命周期中要经过多个阶段,数据完整性的破坏很可能是由恶意行为者或通信或存储期间的无意损坏造成的,从而导致数据完整性的损失。因此,不断验证数据并确保其完好无损和受到保护是很重要的。
在处理个人数据时,这一点尤其重要,因为这些数据必须根据隐私法律和法规得到保护,这些法律和法规的范围和严格程度都很广泛。IIC的论文关注的是欧盟通用数据保护条例(GDPR)。
由于一些关于个人数据的法律的特殊性,IIC写道,“从数据主体收集的个人数据必须减少到处理特定目的所需的最低水平。”这些数据也应保密,只有具有正确凭据的人才能访问。
未能保证个人数据安全可能会导致严重的后果——收入和利润损失、不合规罚款、财务和刑事风险暴露,或声誉损害——这可能对组织产生长期影响。
ignpower执行副总裁Bassam Zarkout表示:“在系统生命周期内保护工业物联网数据是值得信赖的系统的关键基础之一。”“为了值得信任,一个系统及其特征,即安全性、安全性、可靠性、弹性和隐私,必须符合业务和法律要求。数据保护是符合这些要求的关键因素,特别是在面临环境干扰、人为错误、系统故障和攻击时。”
