理想情況下，嵌入式系統(tǒng)和企業(yè)系統(tǒng)的數(shù)據(jù)管理遵循相同的安全威脅。有三個主要的基本原理或目標(biāo)被稱為中央情報局：

C自信：誰有權(quán)寫入數(shù)據(jù)并訪問數(shù)據(jù)？

我一無所知：誰有權(quán)寫入或刪除數(shù)據(jù)？

可用性：數(shù)據(jù)管理在脅迫下還能執(zhí)行嗎？

ITTIA 的安全嵌入式數(shù)據(jù)管理可增加價值，因為設(shè)備數(shù)據(jù)管理對大型系統(tǒng)越來越相關(guān)和有價值。

CIA還可以包括操作系統(tǒng)，其他軟件和硬件組件，以便在完整的系統(tǒng)中使用。操作系統(tǒng)安全防護、實時操作系統(tǒng)或非實時操作系統(tǒng)必須以這樣一種方式進行設(shè)計：當(dāng)系統(tǒng)受到攻擊時，它可以充當(dāng)?shù)谝坏婪谰€。

ITTIA 提供什么來解決此類漏洞？

保密性：

重要的是要知道什么以及誰可以讀取和寫入數(shù)據(jù)。對于保密性，ITTIA 提供了多種功能。值得一提的是身份驗證的能力，這意味著信任和授權(quán)任何想要訪問數(shù)據(jù)以進行讀取和寫入目的的人，以及數(shù)據(jù)庫中的許多其他各種通信選項。另一個重要因素是對嵌入的數(shù)據(jù)進行身份驗證，因此如果發(fā)生攻擊，攻擊者將無法理解數(shù)據(jù)。

加密是可用于保護數(shù)據(jù)庫的設(shè)備的幾個強大防御措施之一。通信和加密算法起著重要作用，因為未經(jīng)授權(quán)的用戶無法輕易逆轉(zhuǎn)數(shù)據(jù)轉(zhuǎn)換。高級加密標(biāo)準(zhǔn) AES 是用于加密電子數(shù)據(jù)的規(guī)范。AES已被美國政府采用，現(xiàn)在在全球范圍內(nèi)使用。此算法用于保持大量通信的安全。借助 ITTIA DB，對 AES 的支持是為開發(fā)人員設(shè)計的早期安全防護之一。

正直：

與數(shù)據(jù)源的所有通信都必須經(jīng)過身份驗證，以便只有經(jīng)過授權(quán)的節(jié)點才能寫入或修改數(shù)據(jù)。當(dāng)涉及到物聯(lián)網(wǎng)設(shè)備和嵌入式系統(tǒng)時，有幾種方法可以進行身份驗證。通過操作系統(tǒng)進行身份驗證，使用 SSL 進行身份驗證，以及通過數(shù)據(jù)庫進行身份驗證。數(shù)據(jù)庫身份驗證具有多層身份驗證和授權(quán)。這一系列基于密碼的現(xiàn)代質(zhì)詢-響應(yīng)身份驗證機制提供用戶身份驗證，并使設(shè)備數(shù)據(jù)管理安全。身份驗證可防止竊聽、未經(jīng)授權(quán)的攔截和會話高插孔。

ITTIA DB 提供的其他設(shè)備安全維度是鹽漬質(zhì)詢響應(yīng)身份驗證機制或 SCRAM。SCRAM是一種基于密碼的相互身份驗證協(xié)議，旨在使竊聽攻擊（即中間人）變得困難。

可用性：

可用性與為保護數(shù)據(jù)而存在的所有安全方法相關(guān)。用于數(shù)據(jù)管理的 ITTIA 安全解決方案從安全開發(fā)生命周期 （ITTIA SDL） 開始。

驗證的完成方式是，當(dāng)發(fā)生攻擊（如欺騙和 SQL 注入攻擊）時，數(shù)據(jù)和數(shù)據(jù)管理更具彈性。同時，ITTIA建立了快速響應(yīng)路徑，因此當(dāng)發(fā)生攻擊時，它可以立即識別不安全的訪問，盡快緩解它們，并使嵌入式系統(tǒng)啟動并運行。

3大嵌入式數(shù)據(jù)管理軟件網(wǎng)絡(luò)安全漏洞是什么？伊迪安如何解決這一問題？

篡改是我們列表中第一個對嵌入式數(shù)據(jù)管理的安全性有影響的項目。篡改是中斷數(shù)據(jù)管理服務(wù)的最普遍方式，它包括SQL注入攻擊等內(nèi)容。這是向數(shù)據(jù)庫發(fā)送類似 SQL 的命令的過程。它們的工作方式與正確的命令相同，盡管它們會干擾系統(tǒng)。

欺騙是一種不同類型的數(shù)據(jù)源禁用。欺騙是指攻擊者模擬數(shù)據(jù)庫或數(shù)據(jù)源的所有者并控制數(shù)據(jù)。如果上述所有方法都失敗，則最后一個選項是數(shù)據(jù)訪問，它允許您寫入和更改數(shù)據(jù)。

當(dāng)然，根據(jù)不同市場的安全要求級別，可以使用各種數(shù)據(jù)管理安全方法。數(shù)據(jù)安全不能再在企業(yè)層面解決，因為我們?yōu)榛ヂ?lián)世界設(shè)計技術(shù)。一個很好的例子是醫(yī)療保健，醫(yī)療設(shè)備存儲和管理個人患者信息。這些嵌入式系統(tǒng)跟蹤關(guān)鍵數(shù)據(jù)。必須有足夠的流程來保護這些敏感信息。隨著物聯(lián)網(wǎng)（IoT）時代的發(fā)展，這些系統(tǒng)的聯(lián)系越來越緊密，它們正在成為網(wǎng)絡(luò)攻擊的目標(biāo)。

ITTIA現(xiàn)在正在做很多事情來解決嵌入式數(shù)據(jù)管理安全性方面的問題。當(dāng)涉及到SQL注入欺騙時，一切都與驗證和執(zhí)行正確級別的驗證有關(guān)，以確保ITTIA DB（安全嵌入式數(shù)據(jù)管理解決方案）能夠承受這樣的攻擊。滲透測試，F(xiàn)OSS測試，模擬攻擊者和令人驚訝的行為以確保數(shù)據(jù)庫能夠承受攻擊是ITTIA定期執(zhí)行的根本上復(fù)雜的操作。

當(dāng)涉及到欺騙時，這一切都與身份驗證有關(guān)。身份驗證必須在嵌入式數(shù)據(jù)管理解決方案中受支持且眾所周知。ITTIA 對 ITTIA 數(shù)據(jù)庫采用 TLS、HTTPS SSL 加密和身份驗證，以允許開發(fā)人員對數(shù)據(jù)庫進行全面身份驗證。

當(dāng)涉及到對數(shù)據(jù)的惡意訪問時，這一切都歸結(jié)為足夠的身份驗證，密鑰存儲和數(shù)據(jù)加密。ITTIA DB提供了所有這些功能，使攻擊者更難以訪問和損害存儲在嵌入式系統(tǒng)中的數(shù)據(jù)。

典型嵌入式系統(tǒng)保護數(shù)據(jù)的最大漏洞是什么？伊迪安如何解決這一問題？

這就像問某人最喜歡的樂隊是什么，這取決于任何給定的情緒。對于技術(shù)領(lǐng)域的用例也可以這樣說。例如，機密性漏洞在醫(yī)療保健和醫(yī)療設(shè)備中至關(guān)重要，因為它們具有極強的破壞性和成本，并且保護個人信息對于保護仍然至關(guān)重要。用戶信息在其他用例中至關(guān)重要，例如汽車，但其他與數(shù)據(jù)相關(guān)的信息（例如控制自動駕駛汽車）更為重要。

這些嵌入式系統(tǒng)的制造商不希望未經(jīng)授權(quán)訪問車輛的自身性能特征。因此，在這種情況下，完整性至關(guān)重要。主觀上，最重要的因素是信任那些允許訪問進行數(shù)據(jù)管理和通信的區(qū)域的人。

ITTIA 使用最強大的身份驗證、加密、SDL 和獨特的安全代理功能解決了這一風(fēng)險。ITTIA 使得授予和獲取對數(shù)據(jù)和數(shù)據(jù)管理的訪問權(quán)限變得更加困難。

在保護數(shù)據(jù)方面，嵌入式智能系統(tǒng)制造商為何以及如何依賴 ITTIA？

正如世界上最知名的安全專家之一布魯斯·施奈爾（Bruce Schneier）博士所說，重要的是要記住，安全是一個過程，而不是一個產(chǎn)品。對于嵌入式系統(tǒng)制造商來說，認識到安全性是一個過程，而不是一個產(chǎn)品，這一點至關(guān)重要。安全形勢總是在變化，攻擊和漏洞的類型也在不斷變化。僅僅擁有一款能夠為處理嵌入式數(shù)據(jù)安全性提供靜態(tài)解決方案的產(chǎn)品是不夠的。5年前安全和可敬的東西，不再安全可敬。

ITTIA正在構(gòu)建的不僅僅是一個用于互聯(lián)世界的安全數(shù)據(jù)管理解決方案，它還正在構(gòu)建安全的數(shù)據(jù)管理程序，這些程序隨著時間的推移與產(chǎn)品一起開發(fā)，以確保滿足客戶的安全問題。

ITTIA SDL 首先為其開發(fā)團隊提供專門的培訓(xùn)，讓他們從一開始就學(xué)習(xí)如何編寫最安全的代碼，以及開發(fā)安全幀模型的要求。專業(yè)培訓(xùn)保證開發(fā)團隊了解攻擊面和差距，以及使用標(biāo)準(zhǔn)對這些攻擊進行編碼和驗證的能力。

沒有完美的產(chǎn)品或程序?？蛻魬?yīng)始終表現(xiàn)得好像他們很脆弱，隨時準(zhǔn)備做出反應(yīng)。為了限制損失，在識別新攻擊，及時響應(yīng)和解決它們時進行適當(dāng)?shù)霓D(zhuǎn)變至關(guān)重要。這就是 ITTIA SDL 為使嵌入式數(shù)據(jù)更安全所做的。

審核編輯：郭婷