發布日期:2022-05-20 點擊率:42
一、RFID使用策略
RFID使用預置策略來規范系統中RFID權限的授權使用,遵循此策略分配給系統內不同角色以相應權限。在制定RFID使用策略時,可以參照FIPS199《聯邦信息和信息系統安全分類標準》。 使用策略應注意與組織的隱私策略保持一致,隱私策略主要處理諸如個人信息存儲方式和如何共享等問題。RFID使用策略還應該解決與標簽標識符格式相關的隱私問題,應該根據應用場景的實際情況來選擇標簽標識符格式。優點:該策略為許多其他安全控制建立了框架。它為管理層提供了一種工具,以傳達其對RFID系統及其安全性的期望。它使管理層能夠對不遵守策略的實體采取相關行動。缺點:策略的存在不能確保策略的遵從性。策略必須與適當的業務和技術方案的執行相結合才能有效
二、IT安全策略
IT安全策略是實現“使用策略”的高安全目標的一種方法。與RFID相關的IT安全策略應涵蓋RFID各個子系統,包括企業子系統和企業間子系統的網絡、數據庫和應用等,而不應該僅僅局限于RFID子系統中的標簽和閱讀器的安全。RFID系統的IT安全策略應該解決如下問題:
RFID信息的訪問控制;
周界保護,包括企業子系統之間以及企業子系統和公共網絡或外聯網之間的網絡流量的端口和協議限制;
讀寫器和中間件的安全;
為系統管理員和操作員提供RFID安全培訓;
相關密碼系統的管理,包括認證機構和密鑰管理。
優點:精心設計的安全策略控制可以有效減輕RFID技術帶來的相關商業風險。這些基本策略為設計、實現、使用和維護RFID系統的個人提供了使用規范。例如,IT策略幫助設計RFID系統或采購系統組件的人員做出適當的決策。類似地,它們可以幫助系統管理員正確地實現和配置軟件和相關網絡組件。缺點:策略的存在不能確保策略的遵從性。策略必須與適當的業務和技術方案的執行相結合才能有效。
三、與外部組織的協議
當需要與外部組織進行跨邊界共享RFID系統相關的數據時,參與共享的各個組織之間需要達成共識,形成一份協議來對每個組織的角色和職責(在某些情況下還包括法律責任)進行規范,防止混亂的發生。在該協議中規定了要使用的網絡連接、認證機制、要共享的數據以及在傳輸時保護數據的方式。如果企業間應用程序要求跨組織共享密碼,則該協議還應指定如何生成、存儲和共享這些密碼,還應指定IT安全控制,如認證方法、訪問控制或加解密方式等。優點:簽訂備忘錄或諒解備忘錄可大大減少隨后出現誤解和安全漏洞的可能性。它們使簽署人能夠交流各自的安全需求,同時也能夠在RFID系統的開發和使用方面進行合作。缺點:如果不能充分利用外部組織的系統和人員,就很難監測各個組織執行協議的情況。因此,可能會發生各種違反協議規定的情況。如果簽署方同意聘請第三方進行此類審計,則可以通過獨立審計來降低這種風險。
四、最小化存儲在標簽上的敏感數據
最小化存儲在標簽上的敏感數據,可以將其詳細數據存儲在安全的企業子系統中,并使用唯一的標識符來對數據進行檢索,而不是將敏感數據放在標簽上。優點
攻擊者無法通過惡意掃描或竊聽從標簽中獲取信息;
在企業子系統中執行數據加密和訪問控制比在RFID子系統中執行更經濟有效。
缺點:
攻擊者通常可以僅從標識符中獲取有價值的信息。例如,了解某些EPC格式中的EPC manager ID和對象類位可能會揭示該標簽所對應的對象的類別信息。
將數據放置在企業子系統中后,數據的可用性將取決于網絡的可用性,在網絡發生故障時將完全導致該數據的不可用。另外,通過網絡檢索數據也會帶來一定時間上的延遲,這對于某些即時性應用程序來說是不可接受的。
下一篇: PLC、DCS、FCS三大控
上一篇: RFID多標簽閱讀的防沖
