新書推薦:
《
无尽的海洋:美国海事探险与大众文化(1815—1860)
》
售價:HK$
99.7
《
治盗之道:清代盗律的古今之辨
》
售價:HK$
122.1
《
甲骨文丛书·剑桥世界暴力史(第一卷):史前和古代世界(套装全2册)
》
售價:HK$
210.6
《
甲骨文丛书·中华早期帝国:秦汉史的重估
》
售價:HK$
300.2
《
欲望与家庭小说
》
售價:HK$
98.6
《
惜华年(全两册)
》
售價:HK$
70.3
《
甲骨文丛书·古代中国的军事文化
》
售價:HK$
99.7
《
中国王朝内争实录(套装全4册):从未见过的王朝内争编著史
》
售價:HK$
244.2
|
內容簡介: |
本书从项目需求、业务需求和系统设计方面阐释物联网风险。你将了解物联网(IoT)与“常规”企业安全的区别,认识到物联网更难理解且管理起来更复杂。本书将帮助企业管理者了解物联网的威胁和漏洞,包括终端、新出现的网关形式、网络连接和基于云的数据中心。根据特定物联网系统的风险和组织需求,了解哪种新兴技术对系统*为合适。此外,本书还探索了数十种针对物联网的风险管理需求,研究了物联网特有的威胁,并在*后提出了适用于各种用例的风险管理建议。
|
目錄:
|
译者序
前言
评阅人的评论
第1章 物联网简介1
1.1 开启好习惯越早越好2
1.2 物联网风险是什么3
1.3 目标读者3
1.4 这本书是如何安排的3
1.5 物联网是什么4
1.5.1 不是信息的传播样式5
1.5.2 不是信息共享5
1.5.3 不是无线网络5
1.5.4 物联网(通常)不涉及隐私5
1.6 “传统”互联网的数据、语音和视频7
1.7 互联网++7
1.7.1 M2M通信8
1.7.2 互联设备8
1.7.3 万物智能8
1.7.4 普适计算9
1.8 谁是物联网的主要参与者9
1.8.1 利益相关者9
1.8.2 物联网利益相关者简图:按资产类别分组10
1.8.3 终端设备作为资产类别11
1.8.4 网关作为资产类别12
1.8.5 网络作为资产类别13
1.8.6 数据中心和云作为资产类别15
1.9 他们为什么在意?不同视角的利益相关者17
1.9.1 谁能访问物联网数据17
1.9.2 物联网中有什么数据18
1.9.3 物联网中的数据在哪里19
1.9.4 物联网中的网络决定论20
1.9.5 物联网数据如何管理的问题21
1.9.6 基于风险的物联网安全保障方法22
1.9.7 最后的话—是谁是什么在哪里怎么做22
1.10 总结23
第2章 深入剖析物联网24
2.1 物联网什么时候真正到来24
2.2 IPv4无助于物联网24
2.3 IPv6开启了物联网25
2.3.1 什么是IPv625
2.3.2 IPv6对物联网通常意味着什么25
2.4 物联网的体系结构:终端、网关、网络和数据中心云26
2.4.1 进入愿景层27
2.4.2 在系统层理解物联网27
2.5 物联网的终端资产类别28
2.5.1 终端的相互依赖性28
2.5.2 传感与处理29
2.6 物联网的网关资产类别30
2.6.1 不仅仅是网络的一部分30
2.6.2 网关作为信息处理器30
2.6.3 网关作为本地入侵防护代理31
2.7 物联网的网络资产类别32
2.7.1 OSI参考模型32
2.7.2 不同网络的多个层次33
2.7.3 媒介很多,但可选的未必很多33
2.7.4 IP和低能耗的IP34
2.7.5 低能耗未必更好35
2.7.6 IP层之上35
2.7.7 在应用层35
2.7.8 网络是拨号音36
2.7.9 你知道的网络和你不知道的网络36
2.7.10 网络是一种公共资源36
2.7.11 网络成本也是一种商业风险37
2.7.12 网络潮流正在改变38
2.7.13 网络正趋向于白盒和开源39
2.8 云和数据中心作为资产类别40
2.8.1 大数据和物联网40
2.8.2 定义这个时代的云:新的挑战41
2.8.3 私有和专用:在云之前41
2.8.4 云42
2.8.5 看似简单,其实不然43
2.8.6 云的架构和商业模型45
2.8.7 技术分布式云45
2.8.8 商业分布式数据中心和云代理商45
2.8.9 集成代理商和物联网46
2.8.10 套利代理商46
2.8.11 在物联网中关于云和数据中心还有一件重要的事情47
2.9 总结47
第3章 需求和风险管理49
3.1 需求和风险管理的含义49
3.2 引言51
3.3 目标读者51
3.4 制定讨论框架51
3.5 什么是安全需求52
3.6 请用更为简单的语言描述组织和业务流程需求53
3.6.1 业务组织需求53
3.6.2 业务流程操作需求54
3.6.3 需求矩阵54
3.7 谁想要了解所有这些需求的资料55
3.8 风险、需求和交付56
3.9 技术需求:这是我们强调的部分57
3.10 组成物联网的应用和服务58
3.10.1 运营效率(阴)58
3.10.2 用户满意度(阳)58
3.11 行业用例、效率和满意度59
3.11.1 交通运输业59
3.11.2 健康医疗业60
3.11.3 政府部门61
3.11.4 公共安全和军事61
3.11.5 零售业和酒店业62
3.11.6 食品业和农业基础设施63
3.11.7 制造业和重工业63
3.11.8 娱乐行业和体育行业64
3.11.9 能源行业:公共事业和智能电网66
3.11.10 金融业和银行业66
3.11.11 教育业67
3.11.12 信息和通信技术68
3.12 总结69
第4章 业务和组织需求70
4.1 业务和组织需求的含义70
4.2 引言72
4.3 目标读者72
4.4 物联网的业务和组织需求72
4.5 监管和法律需求73
4.5.1 现在支付还是过后支付:合规性不是一个可选项73
4.5.2 混合监管:物联网监管下的法律和行业标准74
4.5.3 物联网监管案例和混合监管74
4.5.4 证明合规性:64 000美元的问题75
4.6 财务需求76
4.7 竞争需求77
4.7.1 面向商品化的分化77
4.7.2 从垂直市场转向生态系统78
4.8 内部政策需求79
4.9 物联网的审计和标准81
4.9.1 标准的类型81
4.9.2 定义物联网的审计范围82
4.9.3 短期痛苦,长期获益:第三方审计与自我评估82
4.9.4 关于标准和审计范围的艺术83
4.9.5 标准机构对物联网的影响84
4.9.6 由政府设立的标准机构84
4.9.7 由行业团体和协会成立的标准机构85
4.9.8 2016年的物联网标准85
4.9.9 对物联网安全标准的期望87
4.9.10 物联网安全标准的术语87
4.9.11 参考模型、参考体系架构和物联网88
4.9.12 物联网用例89
4.9.13 小结:标准有助于物联网中的风险管理89
4.10 总结89
第5章 操作和流程需求91
5.1 操作和流程需求的含义91
5.2 引言92
5.3 目标读者93
5.3.1 设备追踪者93
5.3.2 数据洞察(探索者)94
5.3.3 设备保管者—长寿专家94
5.3.4 实时数据分析者94
5.3.5 安全狂热者94
5.4 物联网的操作
|
內容試閱:
|
这本书我写了将近4年,比预期的时间要长。它的创作灵感源于2012年的一个想法:物联网(IoT)是否需要不同于当下传统信息技术(IT)的安全和风险管理?过去,关于物联网的文章主要跟工业控制系统和安全相关,通常几乎没有文章会专门涉及物联网,更不要说物联网安全。虽然工业控制系统和安全是一个很好的研究方向,但它只是物联网中的一部分。此外,已经出现了一些针对物联网(例如,硬盘录像)的高超攻击手段,以及控制系统攻击的鲜活案例。但是,总体上来说,物联网及其安全需求、隐患、威胁以及风险依然尚不明晰。很大程度上,它们至今还是个谜。而本书对于物联网就像广袤黑暗中的一盏明灯。
2012年至2015年,我在英特尔担任电信安全首席技术官一职。英特尔公司致力于开发计算芯片以促进物联网的发展,这为我提供了一个学习物联网的绝佳机会。同样,2015年至2016年,在飞塔公司的工作也为我提供了继续学习物联网的平台。英特尔在对物联网的切实理解方面所做的努力为规范物联网安全和风险管理提供了巨大的机会。但是说起来容易,做起来仍然具有一定的难度。
深入研究物联网安全有点像捉迷藏或猫捉老鼠的游戏。2012年的时候,关于物联网安全的信息和研究还都是尝试性的、零散的。要想进一步研究物联网安全,就必须深入到广大用户和各种实地场景中去,而不是仅仅通过互联网进行巧妙的布尔搜索。而我所搜寻的信息大多只是存在于实验室和人们的脑海中,或者不能简单获取,需要通过对话或基于相关工作经验的推断来发掘。
为了深入研究物联网安全,每当遇到一家大公司,尤其是电信公司(产品供应商和运营商)时,我都会抓住每一个机会去询问“哪些人对物联网安全感兴趣”。通常我会从那些致力于物联网安全的个人或组织那里获得一些启示,所以我会去追寻他们,希望听他们分享知识和见解。这通常会发生在有翻译需求的会议中,如西班牙语、日语、汉语、瑞典语、澳大利亚语到英文的翻译(开个玩笑,瑞典人说的是不可思议的英语)。有很多次,我需要借助在线翻译工具将其他语言写成的内部计划翻译成英语,才能抓住其关于物联网服务设计的要点。
随着我开始撰写本书,围绕物联网的国际标准(ISOIEC, ITU-T)也已开始制定。作为标准组织的积极成员和贡献者,我有幸接触到来自许多不同专家和国家机构的想法,并且将它们翻译成英语。2014年至2016年期间,我组织了一个物联网安全国际研究小组,前往马来西亚婆罗洲、印度斋浦尔、英国伦敦以及加拿大渥太华等地区,与那里的物联网专业人员进行讨论。在关于物联网安全的讨论中,他们分享了独特的见解和丰富的经验,促进了本书的写作并推动了物联网标准的制定。
如果本书的某些部分与前文毫无关联,那是因为本书试图从不同的角度去解读物联网。希望你能看到:本书开辟了一个全新的安全和风险管理领域,这个领域在未来几年里可能会更加细化。在某些情况下,本书所讨论的内容会依赖一些处于萌芽阶段的技术,例如物联网。因此,其中的一些技术以及RIoT(Risk and the IoT)控制技术可能无法实现其预期功能,而其他有些技术则可能超出预期结果。这本书的本质是对RIoT的控制和管理进行评估。
泰森·麦考利
CISSP, CISA
2016年8月
|
|