很少会有人置疑物联网的出现带来了安全问题,包括信息安全、物理安全和私密性相关的问题。鉴于物联网的迅速产业化和受众多样化,在决定写作本书时我们所面临的一个主要挑战和目标是,如何以一种尽可能实用而又与具体行业无关的方式,来识别并提取核心的物联网安全原理。同样重要的是,我们需要平衡实际应用和背景理论知识,尤其是考虑到当前以及即将出现数量无法估计的物联网产品、系统和应用程序时。为此,本书包含一些基本的信息安全(以及物理安全)主题,并按照足够充分而又最小化范围的原则涵盖这些内容,因为我们需要在有意义的安全讨论中以它们作为参考点。在这些安全主题中,一些适用于设备(终端),一些适用于设备之间的通信连接,而剩下的则是针对更大型的组织。
本书的另一个目标是,在讲解安全指导内容的过程中,不再重复罗列当前网络、主机、操作系统、软件等对象中所应用的现有的大量网络安全知识,尽管我们知道其中某些内容对于物联网安全的讨论是有意义的。由于无意像售卖产品的产业或公司那样,因此我们致力于充分对实用安全技术进行创造并裁剪,这些技术中包含代表物联网和传统网络安全之间不同点和共通点的特性及差别。
当前,大量的传统产业(比如家电制造商、玩具制造商、汽车业等)和创业技术公司正在以惊人的速度创造和销售互联设备与服务。不幸的是,大部分都非常不安全—一些安全研究人员已经严肃地指出这一事实,他们常常带着一种真正的担忧。尽管他们的批评很多是有理有据的,但不幸的是,其中一些批评带有一定程度的傲慢自大。
然而有趣的是,一些传统产业在高可信度的物理安全和容错设计方面很先进。这些产业广泛利用一些核心的工程规范(机械、电器、工业、航天和控制工程)和高可信度的物理安全设计来规划产品和复杂系统,非常安全。很多网络安全工程师对这些规范及其对物理安全和容错设计的重要作用完全不了解。因此,我们在实现物联网安全目标的过程中遇到了一个重大障碍:物理安全性、功能性和需要针对所定义的“信息物理系统”(Cyber-Physical System,CPS)进行设计并部署的安全工程规范,这三者之间无法协调。CPS以多种方式将物理和数字工程规范整合在一起,学院课程和企业工程部门很少会处理这些规范。我们希望,传统产业工程师、安全工程师和其他技术管理人员能够学会更好地协调物理安全需求和可信信息安全目标之间的关系。
在从物联网中受益的同时,必须最大限度地阻止当前和未来物联网可能造成的伤害。要做到这一点,需要对其进行合理而又安全的保护。我们期望读者能够从本书中受益,找到有用的信息来保护自己的物联网。
本书所涵盖的内容
第1章,危险的新世界,介绍了物联网的基本概念,包括定义、使用,具体应用和实现方法等。
第2章,漏洞、攻击及对策,概述了将要学习的多种威胁以及相应的对抗方法。
第3章,物联网开发中的安全工程,讲解了物联网安全生命周期中的多个阶段。
第4章,物联网安全生命周期,详细介绍了物联网安全生命周期操作运行方面的内容。
第5章,物联网安全工程中的密码学基础,对所应用的密码学知识进行了介绍。
第6章,物联网身份识别和访问管理解决方案,深入挖掘研究了物联网的身份与访问管理机制。
第7章,解决物联网隐私问题,研究了物联网的私密性相关问题。同时,本章也试图帮助读者理解如何缓解这类问题。
第8章,为物联网建立合规监测程序,帮助读者探索如何创建一个物联网合规程序。
第9章,物联网云安全,对物联网相关的云安全概念进行了讲解。
第10章,物联网事件响应,介绍了物联网的事件管理和取证。
本书所需的基本环境
需要4.3版本的SecurITree软件,一个通用的台式或笔记本电脑,以及运行Java 8环境的Windows、Mac或Linux系统平台环境。
本书所针对的目标读者
本书以想要保障联通物联网机构的数据安全的IT安全专业人员(包括渗透测试人员、安全架构师以及白帽黑客)为目标读者。同时,商业分析人员和管理人员也能够从本书获益。
排版约定
警告或重要提示使用该图标显示。
本书的另一个目标是,在讲解安全指导内容的过程中,不再重复罗列当前网络、主机、操作系统、软件等对象中所应用的现有的大量网络安全知识,尽管我们知道其中某些内容对于物联网安全的讨论是有意义的。由于无意像售卖产品的产业或公司那样,因此我们致力于充分对实用安全技术进行创造并裁剪,这些技术中包含代表物联网和传统网络安全之间不同点和共通点的特性及差别。
当前,大量的传统产业(比如家电制造商、玩具制造商、汽车业等)和创业技术公司正在以惊人的速度创造和销售互联设备与服务。不幸的是,大部分都非常不安全—一些安全研究人员已经严肃地指出这一事实,他们常常带着一种真正的担忧。尽管他们的批评很多是有理有据的,但不幸的是,其中一些批评带有一定程度的傲慢自大。
然而有趣的是,一些传统产业在高可信度的物理安全和容错设计方面很先进。这些产业广泛利用一些核心的工程规范(机械、电器、工业、航天和控制工程)和高可信度的物理安全设计来规划产品和复杂系统,非常安全。很多网络安全工程师对这些规范及其对物理安全和容错设计的重要作用完全不了解。因此,我们在实现物联网安全目标的过程中遇到了一个重大障碍:物理安全性、功能性和需要针对所定义的“信息物理系统”(Cyber-Physical System,CPS)进行设计并部署的安全工程规范,这三者之间无法协调。CPS以多种方式将物理和数字工程规范整合在一起,学院课程和企业工程部门很少会处理这些规范。我们希望,传统产业工程师、安全工程师和其他技术管理人员能够学会更好地协调物理安全需求和可信信息安全目标之间的关系。
在从物联网中受益的同时,必须最大限度地阻止当前和未来物联网可能造成的伤害。要做到这一点,需要对其进行合理而又安全的保护。我们期望读者能够从本书中受益,找到有用的信息来保护自己的物联网。
本书所涵盖的内容
第1章,危险的新世界,介绍了物联网的基本概念,包括定义、使用,具体应用和实现方法等。
第2章,漏洞、攻击及对策,概述了将要学习的多种威胁以及相应的对抗方法。
第3章,物联网开发中的安全工程,讲解了物联网安全生命周期中的多个阶段。
第4章,物联网安全生命周期,详细介绍了物联网安全生命周期操作运行方面的内容。
第5章,物联网安全工程中的密码学基础,对所应用的密码学知识进行了介绍。
第6章,物联网身份识别和访问管理解决方案,深入挖掘研究了物联网的身份与访问管理机制。
第7章,解决物联网隐私问题,研究了物联网的私密性相关问题。同时,本章也试图帮助读者理解如何缓解这类问题。
第8章,为物联网建立合规监测程序,帮助读者探索如何创建一个物联网合规程序。
第9章,物联网云安全,对物联网相关的云安全概念进行了讲解。
第10章,物联网事件响应,介绍了物联网的事件管理和取证。
本书所需的基本环境
需要4.3版本的SecurITree软件,一个通用的台式或笔记本电脑,以及运行Java 8环境的Windows、Mac或Linux系统平台环境。
本书所针对的目标读者
本书以想要保障联通物联网机构的数据安全的IT安全专业人员(包括渗透测试人员、安全架构师以及白帽黑客)为目标读者。同时,商业分析人员和管理人员也能够从本书获益。
排版约定
警告或重要提示使用该图标显示。
l***0 2018-10-22 18:33:41
此用户未填写评价内容