芒果哥

2022-05-12

1.對于采集設備端和App端，需要做到多層加固保護代碼、密鑰和數據。確保密鑰在明文狀態下不可訪問。實現真正安全的設備唯一標識和配置。確保數據訪問安全
2.邊緣設備接入平臺的過程采用基于證書的雙向認證方式，保證邊緣設備安全的接入平臺，并對通信過程進行加密傳輸。
3.提供安全的存儲器訪問，保護RAM和閃存的特定區域保證數據安全性
4.需要有縱深的防御體系，通過模擬紅藍對抗，從發現攻擊到準確攔截，檢驗整個系統安全性和健壯性
5.針對數據安全，需要有完整的風控體系，對異常的用戶行為進行審計和風險判斷。
6.采集數據需按預定規則進行數據對比、清洗如有不合規的數據進行預警、報錯并回退到設備。數據傳輸做到網絡不穩定可以斷點續傳，保證數據傳輸質量。

【劉小帥】
在聯想iLeapCloud IoT中，通過以下方案保障工業互聯網邊緣層設備端數據的安全采集以及數據質量

包括為實現工業互聯網場景中各類現場設備接入所提供的接口、協議解析能力及邊緣計算能力等。防止泄漏、被偵聽或篡改，保障在源頭和傳輸過程中安全。聯想iLeapCloud IoT基于公鑰基礎架構 (PKI)提供數據接入安全管理，PKI 用于支持非對稱密碼學（也稱為公鑰密碼學）。通過在通信之前加密數據，沒人能竊聽或使用密文數據（使用中間人攻擊）。如果一個不法設備嘗試將自己仿冒為 IoT 網關，它可以從 IoT 設備收到數據，但無法在沒有私鑰的情況下使用該數據。

PKI 通過證書頒發機構 (CA) 將公鑰綁定到IoT 端點設備。它允許 IoT 設備加密數據，支持在互聯網公有網絡上傳輸數據時保護它。在綁定過程允許向 IoT 網關驗證某個設備，只要（通過一個涉及 CA 的公鑰的安全流程）將公鑰綁定到特定設備。
在包含數百萬臺設備的大型 IoT 系統中，配置和管理密鑰是至關重要的，密鑰的構建和發布（和撤銷）以自動化的方式，同時支持管理員在集中的界面配置管理。聯想iLeapCloud中IoT，提供了邊緣設備的安全管理，能夠支持對邊緣設備的注冊，狀態的檢測，設備詳細信息的查看,設備的刪除。

邊緣網關設備是連接企業內部設備（比如PC、PLC、SCADA、DCS）與企業外網云服務的橋梁，它接受設備輪詢配置管理服務下發的配置、執行設備輪詢配置的讀取策略、并在收到設備返回的數據后，將數據上傳回云端。

聯想iLeapCloud中IoT提供了用戶通過可視化Web UI來管理企業網關，以及企業網關所連接的子設備。在云端添加新的網關（對應廠區的工業網關），會自動生成對應新的連接信息和連接密鑰。廠區的工業網關可以通過配置密鑰來完成與云端連接。