物联网隐私:30点的方式来建立一个安全文化

为了提高物联网的安全性和私密性,物联网设备制造商和开发者都必须尽自己的一份力。这是如何。

丹尼尔R.布鲁姆(CC BY-SA 2.0)

但是仍有许多工作物联网的工业和市政联网(IoT)之前完成成为广泛采用创新的圈外。一个场,隐私,以及由公共和私营部门在云中,个人电脑和手机的背景下理解,是为适应物联网的早期阶段。

将被收集的海量数据和新的更细粒度的物联网架构带来了新的隐私问题,这些问题需要在平台预期增长的同等规模上得到解决。

隐私和遵守这一新的方面的示范是物联网隐私指南:备忘单,技术报告(PDF)由Charith佩雷拉,研究员在英国九页的报告纽卡斯尔大学的详细介绍30分左右实施严格的隐私保护。该报告总结如下。

物联网开发者可以改善物联网隐私的30种方法

1。最小化数据采集
软件架构师应该查看在应用程序上下文中收集的数据的频率和类型,并且不应该收集超过任务要求的数据。平台应该控制应用程序接收哪些数据。

2。尽量减少数据源的数量
来自多个来源的数据聚合使得恶意方能够识别出可能导致侵犯隐私的个人敏感个人信息。

3。最小化的原始数据量
原始数据可能会导致二次使用和侵犯隐私。因此,平台的IoT应考虑转换或变换原始数据转换为次级上下文数据。

4。减少知识发现
物联网应用应该只发现实现其主要目标所需的知识。例如,如果目标是推荐食物计划,该应用程序不应该在未经用户明确许可的情况下试图推断用户的健康状况。

5.最小化数据存储
在派生出辅助上下文后,应该删除原始数据。

6.尽量减少数据保留时间
保留更长时间给恶意方有更多的时间和违约数据exfiltrate。

7.支持隐藏数据路由
为了使internet活动更难以追溯到用户,该指南建议物联网应用程序应该支持并使用匿名路由机制。

8.匿名化数据
删除数据被使用物联网应用程序之前,个人身份信息(PII),以便通过数据描述的人保持匿名。

9。加密数据通信
通常,使用无线电模块中包含的特殊电子硬件,在链路层对设备间的通信进行加密。网关到云的通信通常通过使用安全套接字层(SSL)或传输层安全(TLS)的HTTPS进行保护。

10.处理过程中的数据进行加密
有时数据处理方不能读取数据或计算结果。处理以加密形式存在的数据。例如,同态加密是一种允许在加密文本上执行计算的加密形式,因此生成的加密结果在解密时与在明文文本上执行的操作的结果相匹配。

11.加密在数据存储
加密的数据存储减少了由于恶意攻击和未经授权的访问而造成的隐私侵犯。

12.减少数据的粒度
的IoT应用程序应请求需要执行其主要任务粒度的最低水平。粒度的较高水平可能会导致二级数据使用,并最终侵犯隐私。例如,位置可以基于粗上蜂窝塔位置或细基于地址。

13.答疑
由于二次使用,原始数据可能导致身份和隐私侵犯。应该使用e.q. 1 - 5,而不是为查询提供一个相对比例的数字响应。

14块重复查询
查询响应应该阻止可能恶意发现侵犯用户隐私的知识的多个查询,比如分析多个结果的交叉点。

15.分发数据处理
分布式数据处理避免了集中式的大规模数据收集和溢出。

16.分发数据存储
分布式数据存储减少了由于恶意攻击和未经授权的访问而造成的隐私侵犯。它还减少了由于未经同意的二次知识发现而造成的隐私风险。

17.基于聚合数据的知识发现
新的知识,如游客到公园是在一段时间内的青年学生,就足够了一家礼品店进行时间序列的销售分析。但是他们的行动的确切时间是没有必要的。

18.骨料基于地理的数据
地理数据应边界内聚集。例如,许多电动车辆如何在每个城市使用不应该存储有关个别车辆的详细信息。

19.基于链聚合数据
作为将数据从节点传送到节点以减少集中的数据受到破坏或二次利用的量的请求的计数或平均的查询应该被聚集。

基于时间段20汇总数据
给定房子的能耗可以获取和汇总的形式表示为每月,而不是聚集能量消耗160千瓦时每天或每小时。

21.根据类别聚合数据
聚集基于满足所述分析而不是确切的数据防止二次利用的需要一个类别。例如,在分类的150的范围内的家庭的能源使用 - 200千瓦时的而不是准确的使用。

22.向用户披露信息
资料当事人所拥有的资料在获得、处理或分发时,应获充分告知。

23.应用控制
考虑什么样的控制对数据所有者有用是软件架构师的责任,特别是在数据所有者不具备知识的情况下。需要考虑的问题有:1)数据粒度,2)匿名化技术,3)数据保留时间,4)数据传播。

24.日志事件
所有阶段的事件记录将允许内部和外部各方检查过去发生了什么,以确保给定的系统按照承诺执行。

25.定期执行审计
系统的独立审计和日志,程序,流程,硬件和软件规范的检查应定期进行。外部各方应以非披露协议的约束。

26.让应用程序开源
只要有可能物联网的应用程序应该在开源许可证提供,使外部各方可以查看演示代码和遵守。

27.数据流图
数据流使用统一建模语言将使有关方面了解给定的物联网应用的数据流,并符合安全示范如何处理数据图。

28.获得物联网应用认证
由中立的权威认证定会增加守信物联网应用。

29.使用行业标准
AllJoyn和All Seen Alliance等全行业标准通常继承了降低某些隐私风险的安全措施。

30.政策和法规的规定
遵守政策、法律和法规,如ISO 29100、经合组织(OECD)隐私原则和欧盟委员会(European Commission)的个人数据保护规则,将减少隐私风险。

加入对网络世界的社有个足球雷竞技app区脸谱网LinkedIn对最重要的话题发表评论。
有关:

Steven Max Patterson住在波士顿和旧金山,他关注并撰写软件开发平台、移动、物联网、可穿戴设备和下一代电视的发展趋势。他的写作受到了他20年的经验的影响,这些经验涉及到科技初创公司的原始资源。

版权所有©2017年Raybet2

IT薪资调查:结果是