第10章 物聯(lián)網(wǎng)應(yīng)用層安全

物聯(lián)網(wǎng)應(yīng)用層安全物聯(lián)網(wǎng)信息安全14檢查回顧新知學(xué)習(xí)合作探究過關(guān)測試五步教學(xué)法提綱考核點評1.在ZigBee網(wǎng)絡(luò)中可能存在的密鑰包括（

）。主密鑰會話密鑰網(wǎng)絡(luò)密鑰鏈路密鑰ABCD提交多選題25分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試獨立完成多選題；知識目標1.了解物聯(lián)網(wǎng)應(yīng)用層安全問題；2.掌握物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)（重點、難點）；3.熟悉物聯(lián)網(wǎng)安全漏洞。能力目標

提高安全與自我保護意識。思政目標

具備分析物聯(lián)網(wǎng)應(yīng)用層安全的能力。第0章物理層

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試1物聯(lián)網(wǎng)應(yīng)用層安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試物聯(lián)網(wǎng)最為顯著的3個特點是全面感知、可靠傳輸和智能處理。根據(jù)這3個特點，物聯(lián)網(wǎng)的結(jié)構(gòu)通常被劃分為4層：物理層、感知層、網(wǎng)絡(luò)層和應(yīng)用層。其中有應(yīng)用層主要負責(zé)將感知層收集到的數(shù)據(jù)進行加工、分析和處理、并最終提交給應(yīng)用終端。從技術(shù)實現(xiàn)的角度考慮，物聯(lián)網(wǎng)應(yīng)用層的主要挑戰(zhàn)在于如何處理實時傳輸?shù)暮Ａ繑?shù)據(jù)并最終反作用于感知層；從信息安全的角度考慮，物聯(lián)網(wǎng)應(yīng)用層的主要挑戰(zhàn)在于多樣化的應(yīng)用場景下對硬件資源以及核心數(shù)據(jù)的保護。1物聯(lián)網(wǎng)應(yīng)用層安全問題

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試權(quán)限認證問題物聯(lián)網(wǎng)系統(tǒng)中，收集到的信息數(shù)據(jù)都需要匯集到應(yīng)用層中，而這些信息又將根據(jù)其屬性分發(fā)給不同用戶，由此引申出對大量用戶的權(quán)限管理問題。既要保障數(shù)據(jù)可用性、有要保證機密性。1物聯(lián)網(wǎng)應(yīng)用層安全問題

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試數(shù)據(jù)保護問題數(shù)據(jù)保護問題涉及對數(shù)據(jù)隱私的保障和數(shù)據(jù)的恢復(fù)能力兩方面。從數(shù)據(jù)生命周期看，數(shù)據(jù)保護又可以分為數(shù)據(jù)產(chǎn)生、數(shù)據(jù)傳輸、數(shù)據(jù)分析、數(shù)據(jù)存儲4個階段。1物聯(lián)網(wǎng)應(yīng)用層安全問題

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試軟件安全問題物聯(lián)網(wǎng)的軟件安全問題，一方面討論開發(fā)人員編程過程引入的錯誤，及漏洞的檢測與緩解；另一方面討論如何對搭載軟件進行保護，防止關(guān)鍵算法被剽竊利用，或防止攻擊者對軟件進行提取分析。2.（

）問題不屬于物聯(lián)網(wǎng)應(yīng)用層的共性問題。權(quán)限認證數(shù)據(jù)保護網(wǎng)絡(luò)擁塞軟件安全ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試單選題25分2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試權(quán)限認證相關(guān)技術(shù)基于安全芯片認證基于設(shè)備識別號的可信認證基于云平臺的認證基于可信執(zhí)行環(huán)境（TEE）的認證

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試數(shù)據(jù)保護相關(guān)技術(shù)匿名化技術(shù)差分隱私物聯(lián)網(wǎng)通信協(xié)議加密涉及從網(wǎng)絡(luò)流量監(jiān)控安全威脅2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試軟件安全相關(guān)技術(shù)有源碼的安全測試無源碼的安全測試動態(tài)分析方法靜態(tài)分析方法2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)是否查看程序內(nèi)部結(jié)構(gòu)是否運行程序（彈幕回答）如何進行軟件測試？

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試黑盒測試分為功能測試和性能測試：1)功能測試（functiontesting），是黑盒測試的一方面，它檢查實際軟件的功能是否符合用戶的需求。包括邏輯功能測試（logicfunctiontesting）界面測試（UItesting）UI=UserInterface易用性測試（usabilitytesting）：是指從軟件使用的合理性和方便性等角度對軟件系統(tǒng)進行檢查，來發(fā)現(xiàn)軟件中不方便用戶使用的地方。兼容性測試（compatibilitytesting）：包括硬件兼容性測試和軟件兼容性測試2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試2)性能測試（performancetesting）軟件的性能主要有時間性能和空間性能兩種時間性能：主要指軟件的一個具體事務(wù)的響應(yīng)時間（respondtime）。空間性能：主要指軟件運行時所消耗的系統(tǒng)資源。軟件性能測試分為：一般性能測試：指的是讓被測系統(tǒng)在正常的軟硬件環(huán)境下運行，不向其施加任何壓力的性能測試。穩(wěn)定性測試也叫可靠性測試（reliabilitytesting）：是指連續(xù)運行被測系統(tǒng)檢查系統(tǒng)運行時的穩(wěn)定程度。負載測試（loadtesting）：是指讓被測系統(tǒng)在其能忍受的壓力的極限范圍之內(nèi)連續(xù)運行，來測試系統(tǒng)的穩(wěn)定性。壓力測試（stresstesting）：是指持續(xù)不斷的給被測系統(tǒng)增加壓力，直到將被測系統(tǒng)壓垮為止，用來測試系統(tǒng)所能承2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)3物聯(lián)網(wǎng)應(yīng)用層安全漏洞

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試弱口令或硬編碼口令：廠商在設(shè)備出廠時設(shè)置統(tǒng)一的初始口令，用戶為設(shè)備設(shè)置過于簡單的弱口令。不安全的網(wǎng)絡(luò)服務(wù)：設(shè)備開啟了超出其正常工作需要的向外服務(wù)端口，擴大了潛在的攻擊面。不安全的生態(tài)接口：包括HTTP（S）API接口，WEB界面等存在權(quán)限認證缺陷、數(shù)據(jù)加密不健全、輸入輸出數(shù)據(jù)過濾缺失等問題。3物聯(lián)網(wǎng)應(yīng)用層安全漏洞

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試缺乏安全的更新機制：設(shè)備沒有在線遠程更新機制，或者更新過程不健全。使用不安全或過時組件：開發(fā)過程引入了老舊版本的第三方庫，或者部署后沒有跟蹤升級第三方庫的漏洞告警。3物聯(lián)網(wǎng)應(yīng)用層安全漏洞

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試隱私保護不充分：過度收集用戶的個人信息，收集信息沒有合適保護，未經(jīng)許可收集儲存用戶信息。不安全的數(shù)據(jù)傳輸與存儲：通過明文傳輸敏感信息、沒有正確配置加密協(xié)議、對傳輸內(nèi)容沒有進行認證。缺乏設(shè)備管理：缺乏定期對設(shè)備巡檢維護，沒有及時更新軟件版本并對過期停用的設(shè)備進行安全移除。3物聯(lián)網(wǎng)應(yīng)用層安全漏洞

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試不安全的默認設(shè)置：用戶在首次激活部署設(shè)備時應(yīng)該關(guān)閉不需要的服務(wù)設(shè)置，廠商有要完善產(chǎn)品初始化流程，引導(dǎo)用戶配置設(shè)備。缺乏物理加固措施：缺乏對調(diào)試接口的適度屏蔽，可能導(dǎo)致攻擊者直接獲取設(shè)備權(quán)限，或是對核心固件的提取。Web安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試

在這種最常見的模型中，客戶端是第一層；使用動態(tài)Web內(nèi)容技術(shù)的部分屬于中間層；數(shù)據(jù)庫是第三層。用戶通過Web瀏覽器發(fā)送請求(request)給中間層，由中間層將用戶的請求轉(zhuǎn)換為對后臺數(shù)據(jù)的查詢或是更新，并將最終的結(jié)果在瀏覽器上展示給用戶。Web架構(gòu)原理

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試

用戶使用通用的Web瀏覽器，通過接入網(wǎng)絡(luò)(網(wǎng)站的接入則是互聯(lián)網(wǎng))連接到Web服務(wù)器上。用戶發(fā)出請求，服務(wù)器根據(jù)請求的URL的地址連接，找到對應(yīng)的網(wǎng)頁文件，發(fā)送給用戶。網(wǎng)頁文件是用文本描述的，HTML/Xml格式，在用戶瀏覽器中有個解釋器，把這些文本描述的頁面恢復(fù)成圖文并茂、有聲有影的可視頁面。Web安全威脅

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試

隨著Web環(huán)境在互聯(lián)網(wǎng)應(yīng)用中越來越廣泛，物聯(lián)網(wǎng)各種應(yīng)用都架設(shè)在Web平臺上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強烈關(guān)注，接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。這也使得越來越多的用戶關(guān)注應(yīng)用層的安全問題，對Web應(yīng)用安全的關(guān)注度也逐漸升溫。分組討論

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試（投稿回答）Web系統(tǒng)入侵會造成怎樣的危害？Web系統(tǒng)入侵的危害

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試Web入侵造成的危害很大，主要包括：（1）網(wǎng)站癱瘓：網(wǎng)站癱瘓是讓服務(wù)中斷。使用DDOS攻擊都可以讓網(wǎng)站癱瘓，但對Web服務(wù)內(nèi)部沒有損害，而網(wǎng)絡(luò)入侵，可以刪除文件、停止進程，讓W(xué)eb服務(wù)器徹底無法恢復(fù)。一般來說，這種做法是索要金錢或惡意競爭的要挾，也可能是顯示他的技術(shù)高超，拿你的網(wǎng)站被攻擊作為宣傳他的工具。（2）篡改網(wǎng)頁：修改網(wǎng)站的頁面顯示，是相對比較容易的，也是公眾容易知道的攻擊效果，對于攻擊者來說，沒有什么實惠好處，主要是炫耀自己，當(dāng)然對于政府等網(wǎng)站，形象問題是很嚴重的。Web系統(tǒng)入侵的危害

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試Web入侵造成的危害很大，主要包括：（3）掛木馬：這種入侵對網(wǎng)站不產(chǎn)生直接破壞，而是對訪問網(wǎng)站的用戶進行攻擊，掛木馬的最大實惠是收集僵尸網(wǎng)絡(luò)的“肉雞”，一個知名網(wǎng)站的首頁傳播木馬的速度是爆炸式的。掛木馬容易被網(wǎng)站管理者發(fā)覺，XSS(跨站攻擊)是新的傾向。（4）篡改數(shù)據(jù)：這是最危險的攻擊者，篡改網(wǎng)站數(shù)據(jù)庫，或者是動態(tài)頁面的控制程序，表面上沒有什么變化，很不容易發(fā)覺，是最常見的經(jīng)濟利益入侵。數(shù)據(jù)篡改的危害是難以估量的。Web安全分析

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試不考慮網(wǎng)絡(luò)內(nèi)部人員的攻擊，只考慮從接入網(wǎng)(或互聯(lián)網(wǎng))來的攻擊，入侵的通道有下面幾個：1）服務(wù)器系統(tǒng)漏洞Web服務(wù)器畢竟是一個通用的服務(wù)器，無論是Windows，還是Linux/Unix，都不可少的帶有系統(tǒng)自身的漏洞，通過這些漏洞入侵，可以獲得服務(wù)器的高級權(quán)限，當(dāng)然對服務(wù)器上運行的Web服務(wù)就可以隨意控制了。2）Web服務(wù)應(yīng)用漏洞如果說系統(tǒng)級的軟件漏洞被關(guān)注的人太多了，那么Web應(yīng)用軟件的漏洞數(shù)量上就更多了，因為Web服務(wù)開發(fā)簡單，開發(fā)的團隊參差不齊，并非都是專業(yè)的高手，編程不規(guī)范、安全意識不強、因為開發(fā)時間緊張而簡化測試等，應(yīng)用程序的漏洞也同樣可以讓入侵者來去自如。最為常見的SQL注入，就是因為大多應(yīng)用編程過程中產(chǎn)生的漏洞。Web安全分析

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試3）密碼暴力破解

漏洞會招來攻擊容易理解，但畢竟需要高超的技術(shù)水平，破解密碼卻十分有效，而且簡單易行。一般來說賬號信息容易獲得，剩下的就是猜測密碼了，由于使用復(fù)雜密碼是件麻煩而又討厭的事，設(shè)置容易記憶的密碼，是絕大多數(shù)用戶的選擇。大多Web服務(wù)是靠“帳號+密碼”的方式管理用戶賬號，一旦破解密碼，尤其是遠程管理者的密碼，破壞程度難以想象，并且其攻擊難度比通過漏洞方式要簡單的多，而且不容易被發(fā)覺。Web安全分析--網(wǎng)頁防篡改產(chǎn)品

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試網(wǎng)頁防篡改技術(shù)的基本原理：是對Web服務(wù)器上的頁面文件(目錄下文件)進行監(jiān)控，發(fā)現(xiàn)有更改及時恢復(fù)。所以該產(chǎn)品實際是一個修補的工具，不能阻止攻擊者的篡改，就來個守株待兔，專人看守，減少損失是目標，防篡改屬于典型的被動防護技術(shù)。網(wǎng)頁防篡改產(chǎn)品的部署：建立一臺單獨的管理服務(wù)器(Web服務(wù)器數(shù)量少可以省略)，然后在每臺Web服務(wù)器上安裝一個Agent程序，負責(zé)該服務(wù)器的網(wǎng)頁文件防護，管理服務(wù)器是管理這些Agent防護策略的。Web安全分析--Web防火墻

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試Web防火墻，主要是對Web特有入侵方式的加強防護，如DDOS防護、SQL注入、XML注入、XSS等。由于是應(yīng)用層而非網(wǎng)絡(luò)層的入侵，從技術(shù)角度都應(yīng)該稱為WebIPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因為大家比較好理解，業(yè)界流行的稱呼而已。由于重點是防SQL注入，也有人稱為SQL防火墻。Web防火墻產(chǎn)品部署在Web服務(wù)器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務(wù)，所以HA功能、Bypass功能都是必須的，而且還要與負載均衡、WebCache等Web服務(wù)器前的常見的產(chǎn)品協(xié)調(diào)部署。Web安全分析--Web防火墻

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試Web防火墻的主要技術(shù)的對入侵的檢測能力，尤其是對Web服務(wù)入侵的檢測，不同的廠家技術(shù)差別很大，不能以廠家特征庫大小來衡量，主要的還是看測試效果，從廠家技術(shù)特點來說，有下面幾種方式：（1）代理服務(wù)；（2）特征識別；（3）算法識別；（4）模式匹配；Web防火墻最大的挑戰(zhàn)是識別率，這并不是一個容易測量的指標，因為漏網(wǎng)進去的入侵者，并非都很張揚，比如給網(wǎng)頁掛馬，就很難察覺進來的是那一個，不知道當(dāng)然也無法統(tǒng)計。對于已知的攻擊方式，可以談識別率；對未知的攻擊方式，用戶也只好等他自己“跳”出來才知道。Web安全分析--Web數(shù)據(jù)庫審計

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試Web服務(wù)中重要數(shù)據(jù)庫操作才進行詳細審計，審計的目的是為了運營狀態(tài)的可恢復(fù)。常見的Web審計數(shù)據(jù)：①賬戶操作：涉及權(quán)限的改變；②運營操作：涉及“財與物”的變化；③維護操作：涉及“特殊權(quán)限”人的動作。Web數(shù)據(jù)庫審計產(chǎn)品一般采用旁路部署，不影響數(shù)據(jù)庫的業(yè)務(wù)效率。若在業(yè)務(wù)流量不很大的情況下，可以采用Agent的軟件方式，但是不建議完全依靠數(shù)據(jù)庫自身的日志功能，因為，入侵者破壞后一定有“抹去痕跡”的步驟，痕跡一般就是系統(tǒng)本身的日志，單獨的審計機制保障了日志的完整性。Web安全分析--Web木馬檢查工具

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試Web木馬檢查工具一般作為安全服務(wù)檢查使用，也可以單獨部署一臺服務(wù)器，定期對網(wǎng)站檢查，發(fā)現(xiàn)問題及時報警。該工具目前市場上的產(chǎn)品化很少，一般不銷售，網(wǎng)上有些免費的類似軟件可以試用，隨著Web服務(wù)在企業(yè)內(nèi)的應(yīng)用增多，該工具應(yīng)該像防病毒檢查工具一樣流行。3.（

）漏洞不可能出現(xiàn)在PHP開發(fā)的物聯(lián)網(wǎng)Web應(yīng)用中。SQL注入緩沖區(qū)溢出XSSCSRFABCD提交單選題25分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試單選題4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試僵尸網(wǎng)絡(luò)車聯(lián)網(wǎng)安全事件2016年爆發(fā)的Mirai總計感染了超過20萬臺物聯(lián)網(wǎng)設(shè)備，攻擊者利用僵尸網(wǎng)絡(luò)對北美主要DNS域名服務(wù)提供商Dyn發(fā)動DDOS攻擊，事件造成北美互聯(lián)網(wǎng)大范圍癱瘓。2015年兩位安全研究人員演示了遠程攻擊吉普切諾基車輛的過程，他們通過車載娛樂系統(tǒng)的漏洞作為切入點，最終完成了對車輛行駛完全控制。4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試智能醫(yī)療安全事件2017年圣猶達醫(yī)療生產(chǎn)的一款心臟起搏器被發(fā)現(xiàn)存在未授權(quán)訪問問的漏洞，可能對患者造成致命威脅智能家居安全事件美國加州大學(xué)伯克利分校和浙江大學(xué)的研究人員分別發(fā)現(xiàn)了智能音箱在識別聲音時的漏洞，可能導(dǎo)致語音識別錯誤導(dǎo)致執(zhí)行惡意指令。4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試APT攻擊2018年爆發(fā)物聯(lián)網(wǎng)惡意軟件VPNFilter感染了50萬臺設(shè)備，研究人員發(fā)現(xiàn)該惡意軟件有針對某國政府的攻擊代碼。該事件再次反映物聯(lián)網(wǎng)安全對于國家安全的影響。4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試Mirai僵尸網(wǎng)絡(luò)惡意軟件的傳播分為以下3個步驟：掃描。同故宮已經(jīng)被感染的設(shè)備掃描白名單外的全網(wǎng)IP地址，尋找開放的23端口。上傳匯總。將掃描到的結(jié)果上傳到加載服務(wù)器匯總，加載服務(wù)器對IP地址服務(wù)進行窮舉爆破，記錄成功的結(jié)果。感染。獲取到登錄口令后，鏈接受害者設(shè)備并上傳安裝僵尸網(wǎng)絡(luò)服務(wù)端。4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試被感染的機器還會進行以下操作：維持權(quán)限。對自身進行持久化操作；清楚客戶端中其他僵尸網(wǎng)絡(luò)軟件。傳播惡意軟件案件。掃描網(wǎng)段中其他高危設(shè)備，同時等待C2服務(wù)器的攻擊指令。發(fā)起攻擊。接收到攻擊指令后，對目標服務(wù)器發(fā)送大量垃圾數(shù)據(jù)包進行分布式拒絕服務(wù)攻擊，導(dǎo)致正常用戶無法訪問目標服務(wù)器提供的服務(wù)。4.Mirai僵尸網(wǎng)絡(luò)客戶端為了對抗安全研究人員的分析，加入了許多反調(diào)試和混淆機制，包括（

）。偽造SIGTRAR信號防止gdb調(diào)試將字符串變量通過異或方式簡單加密程序入口混淆采用虛擬機殼加密軟件ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試用隨機字符串設(shè)置進程名字E使用花指令技術(shù)防止逆向分析F多選題25分5如何完成一個安全的物聯(lián)網(wǎng)應(yīng)用

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試安全需求總結(jié)：設(shè)計合適的用戶賬戶管理功能。提供安全可靠的用戶賬號管理功能。根據(jù)“最小權(quán)存限原則”來劃分用戶賬戶的權(quán)限。采取穩(wěn)健的密碼保存策略。考慮加入雙因子認證機制。考慮將物聯(lián)網(wǎng)應(yīng)用整合到統(tǒng)一賬號管理系統(tǒng)中考慮對敏感數(shù)據(jù)進行加密。設(shè)計軟件升級功能時要考慮操作的合法性認證。設(shè)計安全事件告警功能。邀請安全專家來對應(yīng)用進行全面審計。6.考慮將物聯(lián)網(wǎng)應(yīng)用整合到統(tǒng)一賬號管理系統(tǒng)中7.考慮對敏感數(shù)據(jù)進行加密。8.設(shè)計軟件升級功能時要考慮操作的合法性認證。9.設(shè)計安全事件告警功能。10.邀請安全專家來對應(yīng)用進行全面審計。5如何完成一個安全的物聯(lián)網(wǎng)應(yīng)用

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點評過關(guān)測試隱私保護評估：記錄并檢視應(yīng)用需要使用到的所有用戶數(shù)據(jù)制定用戶數(shù)據(jù)的收集策略，只收集必需的用戶數(shù)據(jù)考慮使用匿名化的措施處理用戶數(shù)據(jù)考慮在存儲過程和數(shù)據(jù)傳輸過程中使用現(xiàn)有的加密方案對所有用戶數(shù)據(jù)進行加密確保用戶知會應(yīng)用中關(guān)于個人隱私數(shù)據(jù)的處理策略，在服務(wù)條款中明確列舉額應(yīng)用中對于用戶隱私數(shù)據(jù)的用途，并獲得用戶的授權(quán)同意。5如何完成一個安全的物聯(lián)網(wǎng)應(yīng)用

五步教學(xué)法檢查回顧新知學(xué)