导读:今天首席CTO笔记来给各位分享关于如何保护物联网企业利益的相关内容,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
物联网公司,企业如何盈利呢?
【应用企业】
物联网发展了这么多年,在C端市场的明星应用,也不过只是出了共享单车一个而已,而针对B端的项目,目前多是做平台、解决方案以及系统集成。
这使得应用端出现了三个半的常见商业模式:
一是传统的甲方乙方外包模式:
这是目前市场上的绝对主流,尽管大多数企业都说自己是做平台的,而实际上能落袋的收入都是来自于解决方案与系统集成。
二是类互联网的商业模式:
这类企业多是技术型的,基于物联网的技术开发出许多新奇好玩的东西,但是涉及到如何实现商业变现、能产生多大的商业价值,一时半会还真说不清。
三是类运营商的薅羊毛模式:
面向C端用户开展的租约式服务,是物联网产业发展到一定阶段时的产物。当用户使用其产品或服务时,需要做受理、开通、计费、收费、服务,这都和运营商的“薅羊毛”非常接近。不光是商业模式,其在资源管理上也与运营商有颇多相近之处(比如共享单车)。
最后的半个是类似于大数据的商业模式。
在资本论之前撰文写过的大数据与物联网的关系里,就曾表示,物联网是数据采集的不二选择,非但可以在量上比以往大得多,而且商业价值往往非常明确。(比如树根互联、美林数据的工业数据运营)
之所以是半个,是因为这种商业模式至今也没人能够成功盈利,其本身也尚且存在巨大的“孤岛效应”。
【平台企业】
人人都说平台类的领域里,有着孕育下一代BAT的机会。
资本论认为,物联网平台大体可以分为两种,一种是通用平台,一种是行业垂直平台。
要想成为一家做平台的公司,终端用户、资金都是必须要过的硬门槛。大公司做平台的优势在于有已经非常成熟的终端用户和硬件的生产能力,反过来看,小企业日子就比较艰难了,要设计、开模,做样机,尝试量产,这使得前期的投入成本非常高。投放市场后,还要有销售的渠道、物流、仓储、售后的问题摆在眼前,需要解决。传统的硬件厂商从硬件、模具、生产再到渠道都已经有了有非常成熟供应链系统。这么一看小企业简直是活不了了。
但大企业做物联网平台就能一帆风顺吗?并不。
做平台,首先生态链一定要够开放,然而大企业做生态链的时候,出于对自身商业利益的保护,都采取的是封闭政策。(例如海康威视就有一套在全世界范围内都十分先进的音视频公用平台技术,但只对自家开放)
所以在整个物联网领域里,很少见到有能提供端到端的解决方案的供应商。
我国物联网产业存在哪些瓶颈和制约因素?
1、知识产权
在物联网技术发展产品化的过程中,我国一直缺乏一些关键技术的掌握,所以产品档次上不去,价格下不来。缺乏RFID等关键技术的独立自主产权这是限制中国物联网发展的关键因素之一。
2、技术标准
目前行业技术主要缺乏以下两个方面标准:接口的标准化;数据模型的标准化。虽然我国早在2005年11月就成立了RFID产业联盟,同时次年又发布了《中国射频识别(RFID)技术政策白皮书》,指出应当集中开展RFID核心技术的研究开发,制定符合中国国情的技术标准。但是,现在我们可以发现,中国的RFID产业仍是一片混乱。技术强度固然在增强,但是技术标准却还如镜中之月。正如同中国的3G标准一样,出于各方面的利益考虑,最后中国的3G有了三个不同的标准。物联网的标准最终怎样,只能等时间来告诉我们答案了。
3、产业链条
和美国相比,国内物联网产业链完善度上还存在着较大差距。虽然目前国内三大运营商和中兴华为这一类的系统设备商都已是世界级水平,但是其他环节相对欠缺。物联网的产业化必然需芯片商、传感设备商、系统解决方案厂商、移动运营商等上下游厂商的通力配合,所以要在我国发展物联网,在体制方面还有很多工作要做,如加强广电、电信、交通等行业主管部门的合作,共同推动信息化、智能化交通系统的建立。加快电信网,广电网,互联网的三网融合进程。产业链的合作需要兼顾各方的利益,而在各方利益机制及商业模式尚未成型的背景下,物联网普及仍相当漫长。
4、行业协作
物联网应用领域十分广泛,许多行业应用具有很大的交叉性,但这些行业分属于不同的政府职能部门,要发展物联网这种以传感技术为基础的信息化应用,在产业化过程中必须加强各行业主管部门的协调与互动,以开放的心态展开通力合作,打破行业、地区、部门之间的壁垒,促进资源共享,加强体制优化改革,才能有效的保障物联网产业的顺利发展。
5、盈利模式
物联网分为感知,网络,应用三个层次,在每一个层面上,都将有多种选择去开拓市场。这样,在未来生态环境的建设过程中,商业模式变得异常关键。对于任何一次信息产业的革命来说,出现一种新型而能成熟发展的商业盈利模式是必然的结果,可是这一点至今还没有在物联网的发展中体现出来,也没有任何产业可以在这一点上统一引领物联网的发展浪潮。目前物联网发展直接带来的一些经济效益主要集中在与物联网有关的电子元器件领域,如射频识别装置、感应器等等。而庞大的数据传输给网络运营商带来的机会以及对最下游的如物流及零售等行业所产生的影响还需要相当长时间的观察。
6、使用成本
物联网产业是需要将物与物连接起来并且进行更好的控制管理。这一特点决定了其发展必将会随着经济发展和社会需求而催生出更多的应用。所以,在物联网传感技术推广的初期,功能单一,价位高是很难避免的问题。因为,电子标签贵,读写设备贵,所以,很难形成大规模的应用。
而由于没有大规模的应用,电子标签和读写器的成本问题便始终没有达到人们的预期。成本高,就没有大规模的应用,而没有大规模的应用,成本高的问题就更难以解决。如何突破初期的用户在成本方面的壁垒成了打开这一片市场的首要问题。所以在成本尚未降至能普及的前提下,物联网的发展将受到限制。
7、安全问题
在物联网中,传感网的建设要求RFID标签预先被嵌入任何与人息息相关的物品中。可视人们在观念上似乎还不是很能接受自己周围的生活物品甚至包括自己时刻都处于一种被监控的状态,这直接导致嵌入标签势必会使个人的隐私权问题受到侵犯。因此,如何确保标签物的拥有者个人隐私不受侵犯便成为射频识别技术以至物联网推广的关键问题。而且如果一旦政府在这方面和国外的大型企业合作,如何确保企业商业信息,国家机密等不会泄露也至关重要。所以说在这一点上,物联网的发展不仅仅是一个技术问题,更有可能涉及到政治法律和国家安全问题。
信息来源:中国移动m2m门户网站
物联网安全措施有哪些?
1、在设计阶段纳入安全性。物联网开发人员应在任何基于消费者,企业或工业的设备开发之初包括安全性。默认情况下启用安全性至关重要,同时提供最新的操作系统和使用安全硬件。
2、硬编码凭证永远不应成为设计过程的一部分。开发人员可以采取的另一项措施是在设备运行之前要求用户更新凭据。如果设备附带默认凭据,则用户应使用强密码或多因素身份验证或生物识别技术更新它们。
3、PKI 和数字证书。公钥基础设施(PKI)和 509 数字证书在安全物联网设备的开发中发挥着关键作用,提供分发和识别公共加密密钥,通过网络进行安全数据交换以及验证身份所需的信任和控制。
4、API 安全性。应用程序性能指标(API)安全性对于保护从 IoT 设备发送到后端系统的数据的完整性至关重要,并确保只有授权设备,开发人员和应用程序才能与 API 通信。
5、身份管理。为每个设备提供唯一标识符对于了解设备是什么,它的行为方式,与之交互的其他设备以及应该为该设备采取的适当安全措施至关重要。
GDPR实施后,国内物联网企业应当如何应对?
前言:
在上一篇文章中(深度整理 | 欧盟《一般数据保护法案》(GDPR)核心要点),我为大家分享了GDPR法案的核心要点,便于企业直观的了解到什么是GDPR以及对企业未来业务将会产生什么样的影响 。本文将着重针对GDPR中的核心要点来深度分析物联网行业的企业应该如何应对。这里的应对方案涉及到系统架构、人员管理、流程管理、风险评估、业务逻辑、应急响应等众多环节,由于不同企业的具体业务情况不同,以下内容可作为物联网企业自查的一种分析方式。
物联网行业的特殊性在于:原来很多设备是不联网的,所以不存在用户隐私泄露的风险。而如今,设备联网是大势所趋,数据的控制者和处理者都会直接或者间接的接触到非常多的个人用户数据,比如:姓名、性别、年龄、身份证号、手机号等等,另一方面,由于需要对设备和用户数据进行运营画像及监控,也会收集到更多关于用户行为的隐私数据。所以,GDPR对物联网企业的影响还是非常深远和重要的
青莲云作为一家物联网安全解决方案公司,通过多年来在网络安全、云安全、黑客攻防对抗和数据隐私保护等领域的经验积累,针对GDPR施行后,国内物联网企业的应对思路,总结出以下要点,可以作为企业在实践GDPR合规过程中的参考方向,以此分享出来与大家探讨。
国内物联网企业应对GDPR的建议思路:
1、 企业高管的直接重视
2、 合理区分数据控制者和数据处理者
3、 从设计之初保护隐私
4、 明确的获得客户的数据授权同意
5、 识别数据的存储位置
6、 识别数据的类型和风险
7、 识别数据的使用授权
8、 识别数据的移植和传输能力
9、 必要时能够清除个人数据
10、 具备快速识别并及时报告数据泄露事件的能力
11、 遵循数据最小化原则
12、 针对数据进行匿名化处理
13、 保证网络通信的机密性和数据完整性
14、 保证网络通信的强身份认证
15、 重视数据生命周期管理
16、 重视企业内部的隐私管控
17、 检查第三方供应商是否符合GDPR
18、 考虑设置专门的隐私保护人员
19、 具备其他安全合规性要求
20、 与专业安全公司保持紧密合作
企业高管的直接重视
无论是GDPR还是其他安全合规性的法规要求,更多的是与企业的管理/研发流程息息相关。而内部流程的推动更多的依赖企业高管的重视程度和实践决心。推动一项流程的正确实施需要自上而下有序进行,如果企业高管对推动合规性流程的意识不足或者重视程度不够,往往会造成非常多的人力时间成本浪费,也会影响到正常业务的开展进度。所以我们把企业高管的重视程度放在第一位。
合理区分数据控制者和数据处理者
GDPR中针对控制者和处理者有明确的描述。在实践GDPR中,企业首先要明确自己到底是属于数据的控制者还是处理者,这个定位非常重要。举个例子:如果企业使用Google Analytics(或者其他第三方数据分析服务商)针对网站进行用户行为分析,那么企业就是数据控制者,Google Analytics就是数据处理者。当数据主体(消费者)依据GDPR中的要求执行“被遗忘权”的时候,企业有责任去履行用户的合法要求,企业应当能够删除交给第三方数据分析服务商的用户个人数据。
从设计之初保护隐私
万丈高楼平地起。道理很简单,安全是IT系统的基石,如果基础的IT系统出现安全漏洞,特别是针对物联网行业,通过批量的远程升级往往都不能解决关于业务逻辑的安全问题。物联网企业在设计系统架构之初就应该把安全因素纳入架构设计范围。让安全从早期介入,才能避免后期因产生安全事故导致更严重的企业损失。
明确的获得客户的数据授权同意
GDPR在此处也有明确的描述,需要企业用非常明显且直白的方式告诉客户将会采集哪些数据(类似于APP的权限授权),特别是针对未成年人的物联网产品(如儿童手表、儿童故事机等),必须获得监护人的直接授权同意才可以收集相关数据。
识别数据存储的位置
数据是企业IT资产的一部分。当实践GDPR之前,企业必须要做的一件事就是识别数据存在哪了。物联网的底层架构的是云计算,云计算会用不同的数据存储技术来存储不同类型的数据,比如用Redis来存储缓存数据、用Hadoop来存储离线的大型日志文件、用Cassandra来存储一些碎片化的小文件。企业技术负责人必须清晰的意识到内部用到了哪些数据存储的技术或者组件,不同的组件存储了哪一类数据,识别“数据战场”是数据隐私保护的第一步。
识别数据的类型和风险
当识别清楚数据存储的位置之后,就需要对数据资产进行风险评估。思考企业所存储的数据种类都有哪些:如个人身份数据、定位数据、行为数据、金融数据?数据的类型有哪些:整型?浮点型?布尔型?图片/视频? 不同数据的泄露风险有哪些:如会导致用户信用卡被盗刷?会导致用户遭受垃圾邮件攻击?会导致用户身份被仿冒?会要导致用户行踪被跟踪?等等,依据企业建立的数据风险模型,可以为今后有针对性的部署安全解决方案提供有力支持。
识别数据的使用授权
在大部分的数据使用场景中,并不是只有企业自己对数据有完全的控制权和处理权。在大数据解决方案中,往往需要借助外部第三方企业的能力来对数据进行深入挖掘和分析,这时,对数据的使用授权管理就极为重要。企业需要明确的知道有哪些数据存在与第三方的数据服务交换或者直接把数据发送给了第三方。当有这种情况出现时,企业就变成了数据的控制者,如果由于第三方服务商出现了数据泄露问题,按照GDPR的法规约定,企业作为控制者也同时存在连带责任。
识别数据的移植和传输能力
在GDPR中规定,数据主体(消费者)有权力将个人信息向其他个人或组织进行传输。这就要求企业在设计系统架构时,能够支持数据的格式化处理,并且可移植,以及在多个供应商之间共享数据,同时还需要具备数据安全传输的解决方案,以实现在传输的过程之中确保数据的加密性、完整性和严格的双向身份认证。
必要时能够清除个人数据
数据主体的“被遗忘权”也在GDPR中也作为重点提出。企业必须有能力能够删除一些用户指定的或者用户不再允许使用的数据。企业应当能够具备快速的数据定位能力,并删除定位出来的用户数据,并且将这部分需要被删除的数据通知给第三方的数据服务商(如果这部分数据被第三方使用的话)。
具备快速识别并及时报告数据泄露事件的能力
这个能力我觉得非常重要,并且有很大的难度。难点有二:1、企业如何能够快速识别到自己的数据产生泄露了?纵观历史上或者近期的数据泄露案例,企业方基本都是后知后觉;2、企业是否有能力(魄力)在GDPR中规定的72小时之内及时向监管方及数据主体报告数据泄露事件?为什么说这个能力很难,相信企业管理者都能够感觉到,其实这并不完全是一个技术能力。
遵循数据最小化原则
在安全架构设计中有一个重要原则:最小化权限。即针对业务进行风险评估,仅仅提供能够满足业务运行的最小化权限,如尽量少开端口,禁用Root权限等。GDPR中的明确规定了数据最小化的原则,即,尽量少的收集用户数据,能够满足业务需要即可。通俗来讲:功能少了,风险自然就少,在数据安全方面也是同理。
针对数据进行匿名化处理
GDPR中对“匿名化”有明确的官方定义。其中有两次含义:1、以青莲云的系统架构举例,针对用户和设备不同类型的数据,进行分库/分类加密存储,以避免当出现数据泄露的情况下,一次性泄露全部且完整的用户个人数据;2、针对敏感数据进行匿名化处理,比如记录身份证号时,隐藏中间的生日数据段,避免因数据泄露而直接能够定位或指向某一个可识别的自然人。
保证网络通信的机密性和数据完整性
这里有两个要点:机密性和完整性。青莲云的系统架构中内置自研的物联网安全接入网关系统,网关不仅仅可以提供多种数据加密方式(AES/DES/SSL等),更能够针对每一个数据包进行安全签名和合法性校验,从而保证数据在加密传输的过程中,能够抵抗黑客发起的设备重放攻击行为,实现安全稳定的物联网数据传输。
保证网络通信的强身份认证
身份认证一定是双向而非单向的。对于物联网行业来说,身份认证主要包含设备与云端、设备与设备端、客户端与云端、客户端与设备端、云端与第三方接口以及云端本身的身份认证几个方面。在青莲云的系统架构中,也是由物联网安全接入网关系统来实现这一系列身份认证机制,能够抵抗黑客发起的设备伪造及其他数据伪造攻击行为。
重视数据生命周期管理
针对企业的研发流程,微软提出了SDL(安全开发生命周期),一共分为7个部分,从培训到最终的应急响应。针对数据也是如此,企业应当自查,从定义数据格式到采集数据,再到分析展现,直至持久化存储的生命周期中,是否能够做到安全可控。毕竟在生命周期的不同环节都面临不同的安全风险,能够有效的管理数据生命周期,是企业必备的安全能力之一。此处建议企业技术负责人仔细学习微软的SDL流程。
重视企业内部的隐私管控
隐私管控不仅仅限于GDPR,企业应当自查是否具备隐私管控的流程或者技术能力。此处包括但不限于:针对数据存储的隐私管控、针对OA系统的隐私管控、针对销售系统的隐私管控、针对办公网络的隐私管控、针对移动办公的隐私管控、针对离职员工的隐私管控、针对存储数据进行硬件销毁的隐私管控能力等。
检查第三方供应商是否符合GDPR
以青莲云举例:青莲云为物联网企业提供安全可信的物联网私有云/公有云服务,但是无论是公有云还是私有云,青莲云产品作为一套物联网安全软件系统,必须依赖某个云计算IaaS服务商。因此,企业在考虑第三方供应商是否满足GDPR合规要求的同时,不仅要考虑第三方供应商自己的安全能力(青莲云可以提供真正端到端的物联网安全解决方案),更需要考虑底层云计算厂商的GDPR合规性。以云计算代表亚马逊AWS和阿里云来说,两家厂商都有标准的GDPR合规性要求说明,同样值得企业关注。
考虑设置专门的隐私保护人员
在实践GDPR中,企业不仅仅需要高管人员的重视,同时需要培养专门的隐私保护人员,如首席隐私官(Chief Privacy Officer,CPO),或者是GDPR中明确提出的数据保护官(DPO)。即便企业没有该职位设置,也应当针对技术负责人、核心员工进行专门的隐私保护培训,建立相应的隐私保护流程,以满足GDPR的合规性要求。
具备其他安全合规性要求
企业的信息安全建设绝非一朝一夕能够完成。在关注GDPR之前,企业应当审视是否满足了国家的其他安全合规要求,比如:网络安全等级保护。至少在物联网应用层面,也应当具备一定的安全防御能力,并不能理解为我用了阿里云,安全就是阿里云来保障,更不能认为我的数据是加密的,就等于安全了。安全漏洞的产生更多的是跟业务逻辑相关,不止体现在针对数据的保护上,青莲云可以为物联网企业提供专门的安全咨询服务(安全培训+安全测试+物联网安全解决方案)。
与专业安全公司保持紧密合作
术业有专攻,安全来自于长期的经验积累和真实的黑客攻防对抗。很多物联网企业自身不具备组建专业安全团队的能力,企业应当更关注自身的业务和产品发展,并与安全企业建立长期合作伙伴关系:一方面可以提升自身业务的安全防护能力,另一方面也可以通过与安全企业的合作提升员工的安全意识,将安全漏洞扼杀在研发和测试流程中,从而提升量产产品的安全性。
如何最大限度的保证物联网的安全
最大限度的保证物联网的安全,做好以下三点:
第一,对大数据的收集持谨慎态度。之所以在前面用很多文字引用了华为和三星的战略内容,是有原因的。看华为,它有一个“集中收集、管理、处理数据后向合作伙伴、行业开放”的细节。而三星,也有一个“能够与云端连接”的细节。这些,是典型的收集大数据存储在云端的行为。这种行为,如果不加约束则危险很大。之前,三星智能电视监听事件,我们应该记忆犹新。试想,物联网之下,我们在这些硬件面前是“赤裸裸”的。所以,物联网企业应该“自律”,不要在大数据采集方面为所欲为。
第二,对大数据的转移和利用持谨慎态度。前面第一点里已经提到过一个细节:“处理数据后向合作伙伴、行业开放”。这应该是大数据在不同企业间转移、利用的过程。而大数据在转移与利用的这个过程里,也有危险。毕竟,各个厂商的安全意识、安全水平、硬件水平不一,安全隐患很大。欧洲反计算机病毒协会创始人、德国歌德塔(G
Data)安全软件公司安全顾问Eddy
Willems在接受我的采访时也曾说过,“企业不同设备之间的安全过滤措施不够”。所以,这种大数据之间的合作很让人担忧。这个问题,必须解决。
第三,严防外部危险因素的侵入。如果说前两点属于物联网企业的“内因”的话,那么第三点就是严防“外因”。目前,黑客利用商用WIFI入侵的例子已经很多,甚至连飞机都难以幸免。这就要求我们的物联网企业,必须重视安全防范问题。这些问题包括,商用WIFI的过度商业化的问题,软件的漏洞问题,智能硬件和数据库的密码问题,硬件设备的加密问题,物联网企业安全意识不强的问题,物联网用户安全意识不强的问题,还有不同物联网企业之间的终端设备兼容问题。如果这些问题不予解决,那黑客会无孔不入的。
结语:以上就是首席CTO笔记为大家介绍的关于如何保护物联网企业利益的全部内容了,希望对大家有所帮助,如果你还想了解更多这方面的信息,记得收藏关注本站。