理想情況下，嵌入式系統(tǒng)和企業(yè)系統(tǒng)的數(shù)據(jù)管理遵循相同的安全威脅。有三個主要的基本原理或目標被稱為中央情報局：

C自信：誰有權寫入數(shù)據(jù)并訪問數(shù)據(jù)？

我一無所知：誰有權寫入或刪除數(shù)據(jù)？

可用性：數(shù)據(jù)管理在脅迫下還能執(zhí)行嗎？

ITTIA 的安全嵌入式數(shù)據(jù)管理可增加價值，因為設備數(shù)據(jù)管理對大型系統(tǒng)越來越相關和有價值。

CIA還可以包括操作系統(tǒng)，其他軟件和硬件組件，以便在完整的系統(tǒng)中使用。操作系統(tǒng)安全防護、實時操作系統(tǒng)或非實時操作系統(tǒng)必須以這樣一種方式進行設計：當系統(tǒng)受到攻擊時，它可以充當?shù)谝坏婪谰€。

ITTIA 提供什么來解決此類漏洞？

保密性：

重要的是要知道什么以及誰可以讀取和寫入數(shù)據(jù)。對于保密性，ITTIA 提供了多種功能。值得一提的是身份驗證的能力，這意味著信任和授權任何想要訪問數(shù)據(jù)以進行讀取和寫入目的的人，以及數(shù)據(jù)庫中的許多其他各種通信選項。另一個重要因素是對嵌入的數(shù)據(jù)進行身份驗證，因此如果發(fā)生攻擊，攻擊者將無法理解數(shù)據(jù)。

加密是可用于保護數(shù)據(jù)庫的設備的幾個強大防御措施之一。通信和加密算法起著重要作用，因為未經(jīng)授權的用戶無法輕易逆轉數(shù)據(jù)轉換。高級加密標準 AES 是用于加密電子數(shù)據(jù)的規(guī)范。AES已被美國政府采用，現(xiàn)在在全球范圍內使用。此算法用于保持大量通信的安全。借助 ITTIA DB，對 AES 的支持是為開發(fā)人員設計的早期安全防護之一。

正直：

與數(shù)據(jù)源的所有通信都必須經(jīng)過身份驗證，以便只有經(jīng)過授權的節(jié)點才能寫入或修改數(shù)據(jù)。當涉及到物聯(lián)網(wǎng)設備和嵌入式系統(tǒng)時，有幾種方法可以進行身份驗證。通過操作系統(tǒng)進行身份驗證，使用 SSL 進行身份驗證，以及通過數(shù)據(jù)庫進行身份驗證。數(shù)據(jù)庫身份驗證具有多層身份驗證和授權。這一系列基于密碼的現(xiàn)代質詢-響應身份驗證機制提供用戶身份驗證，并使設備數(shù)據(jù)管理安全。身份驗證可防止竊聽、未經(jīng)授權的攔截和會話高插孔。

ITTIA DB 提供的其他設備安全維度是鹽漬質詢響應身份驗證機制或 SCRAM。SCRAM是一種基于密碼的相互身份驗證協(xié)議，旨在使竊聽攻擊（即中間人）變得困難。

可用性：

可用性與為保護數(shù)據(jù)而存在的所有安全方法相關。用于數(shù)據(jù)管理的 ITTIA 安全解決方案從安全開發(fā)生命周期 （ITTIA SDL） 開始。

驗證的完成方式是，當發(fā)生攻擊（如欺騙和 SQL 注入攻擊）時，數(shù)據(jù)和數(shù)據(jù)管理更具彈性。同時，ITTIA建立了快速響應路徑，因此當發(fā)生攻擊時，它可以立即識別不安全的訪問，盡快緩解它們，并使嵌入式系統(tǒng)啟動并運行。

3大嵌入式數(shù)據(jù)管理軟件網(wǎng)絡安全漏洞是什么？伊迪安如何解決這一問題？

篡改是我們列表中第一個對嵌入式數(shù)據(jù)管理的安全性有影響的項目。篡改是中斷數(shù)據(jù)管理服務的最普遍方式，它包括SQL注入攻擊等內容。這是向數(shù)據(jù)庫發(fā)送類似 SQL 的命令的過程。它們的工作方式與正確的命令相同，盡管它們會干擾系統(tǒng)。

欺騙是一種不同類型的數(shù)據(jù)源禁用。欺騙是指攻擊者模擬數(shù)據(jù)庫或數(shù)據(jù)源的所有者并控制數(shù)據(jù)。如果上述所有方法都失敗，則最后一個選項是數(shù)據(jù)訪問，它允許您寫入和更改數(shù)據(jù)。

當然，根據(jù)不同市場的安全要求級別，可以使用各種數(shù)據(jù)管理安全方法。數(shù)據(jù)安全不能再在企業(yè)層面解決，因為我們?yōu)榛ヂ?lián)世界設計技術。一個很好的例子是醫(yī)療保健，醫(yī)療設備存儲和管理個人患者信息。這些嵌入式系統(tǒng)跟蹤關鍵數(shù)據(jù)。必須有足夠的流程來保護這些敏感信息。隨著物聯(lián)網(wǎng)（IoT）時代的發(fā)展，這些系統(tǒng)的聯(lián)系越來越緊密，它們正在成為網(wǎng)絡攻擊的目標。

ITTIA現(xiàn)在正在做很多事情來解決嵌入式數(shù)據(jù)管理安全性方面的問題。當涉及到SQL注入欺騙時，一切都與驗證和執(zhí)行正確級別的驗證有關，以確保ITTIA DB（安全嵌入式數(shù)據(jù)管理解決方案）能夠承受這樣的攻擊。滲透測試，F(xiàn)OSS測試，模擬攻擊者和令人驚訝的行為以確保數(shù)據(jù)庫能夠承受攻擊是ITTIA定期執(zhí)行的根本上復雜的操作。

當涉及到欺騙時，這一切都與身份驗證有關。身份驗證必須在嵌入式數(shù)據(jù)管理解決方案中受支持且眾所周知。ITTIA 對 ITTIA 數(shù)據(jù)庫采用 TLS、HTTPS SSL 加密和身份驗證，以允許開發(fā)人員對數(shù)據(jù)庫進行全面身份驗證。

當涉及到對數(shù)據(jù)的惡意訪問時，這一切都歸結為足夠的身份驗證，密鑰存儲和數(shù)據(jù)加密。ITTIA DB提供了所有這些功能，使攻擊者更難以訪問和損害存儲在嵌入式系統(tǒng)中的數(shù)據(jù)。

典型嵌入式系統(tǒng)保護數(shù)據(jù)的最大漏洞是什么？伊迪安如何解決這一問題？

這就像問某人最喜歡的樂隊是什么，這取決于任何給定的情緒。對于技術領域的用例也可以這樣說。例如，機密性漏洞在醫(yī)療保健和醫(yī)療設備中至關重要，因為它們具有極強的破壞性和成本，并且保護個人信息對于保護仍然至關重要。用戶信息在其他用例中至關重要，例如汽車，但其他與數(shù)據(jù)相關的信息（例如控制自動駕駛汽車）更為重要。

這些嵌入式系統(tǒng)的制造商不希望未經(jīng)授權訪問車輛的自身性能特征。因此，在這種情況下，完整性至關重要。主觀上，最重要的因素是信任那些允許訪問進行數(shù)據(jù)管理和通信的區(qū)域的人。

ITTIA 使用最強大的身份驗證、加密、SDL 和獨特的安全代理功能解決了這一風險。ITTIA 使得授予和獲取對數(shù)據(jù)和數(shù)據(jù)管理的訪問權限變得更加困難。

在保護數(shù)據(jù)方面，嵌入式智能系統(tǒng)制造商為何以及如何依賴 ITTIA？

正如世界上最知名的安全專家之一布魯斯·施奈爾（Bruce Schneier）博士所說，重要的是要記住，安全是一個過程，而不是一個產(chǎn)品。對于嵌入式系統(tǒng)制造商來說，認識到安全性是一個過程，而不是一個產(chǎn)品，這一點至關重要。安全形勢總是在變化，攻擊和漏洞的類型也在不斷變化。僅僅擁有一款能夠為處理嵌入式數(shù)據(jù)安全性提供靜態(tài)解決方案的產(chǎn)品是不夠的。5年前安全和可敬的東西，不再安全可敬。

ITTIA正在構建的不僅僅是一個用于互聯(lián)世界的安全數(shù)據(jù)管理解決方案，它還正在構建安全的數(shù)據(jù)管理程序，這些程序隨著時間的推移與產(chǎn)品一起開發(fā)，以確保滿足客戶的安全問題。

ITTIA SDL 首先為其開發(fā)團隊提供專門的培訓，讓他們從一開始就學習如何編寫最安全的代碼，以及開發(fā)安全幀模型的要求。專業(yè)培訓保證開發(fā)團隊了解攻擊面和差距，以及使用標準對這些攻擊進行編碼和驗證的能力。

沒有完美的產(chǎn)品或程序。客戶應始終表現(xiàn)得好像他們很脆弱，隨時準備做出反應。為了限制損失，在識別新攻擊，及時響應和解決它們時進行適當?shù)霓D變至關重要。這就是 ITTIA SDL 為使嵌入式數(shù)據(jù)更安全所做的。

審核編輯：郭婷