應用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

如何建立安全堅固的IoT環(huán)境?

2018-12-13 16:07 安防知識網(wǎng)

導讀:在過去整個網(wǎng)絡安全發(fā)展史中,最早是計算機防病毒軟件與公司防火墻,只需完善兩者的防護;后來有不同的入侵檢測、滲透測試、病毒變種等,整合性的UTM便應運而生;第三個階段為現(xiàn)在的BYOD與IoT及云端服務。

大前研一在《科技4.0》一書中提到:「科技4.0時代,因特網(wǎng)無所不在,不只連接人與人,也連接人與物、物與物;由萬物聯(lián)網(wǎng)而生的『串聯(lián)經(jīng)濟』,將進一步改變?nèi)虻纳虡I(yè)模式?!蛊髽I(yè)面臨這一波數(shù)字化浪潮,紛紛將商業(yè)經(jīng)營架構(gòu)導入數(shù)字化,以提升整個生產(chǎn)過程與運營價值。然而,市場的改變也引發(fā)了新形態(tài)的網(wǎng)絡安全危機,信息安全成為數(shù)字轉(zhuǎn)型的重要關(guān)鍵。

以制造業(yè)來說,OT(操作科技)與IT(信息科技)的融合是影響企業(yè)數(shù)字轉(zhuǎn)型的主要因素,但大部分企業(yè)在積極整合兩者時,卻未審慎思考如何將OT的網(wǎng)絡架構(gòu)納入IT管理平臺中;封閉式網(wǎng)絡的OT遇上開放性的IT,機臺IT化將帶來過去不曾出現(xiàn)的安全漏洞,而OT的環(huán)境又不像IT有太多各式組件裝置存在,無法以單一系統(tǒng)有效解決,勢必需要用不同方式交叉防護。

建構(gòu)安全堅固的IoT環(huán)境

防特網(wǎng)(Fortinet)公司技術(shù)總監(jiān)吳章銘表示,過去的攻擊是無所不能,現(xiàn)在的攻擊則是無所不在。在過去整個網(wǎng)絡安全發(fā)展史中,最早是計算機防病毒軟件與公司防火墻,只需完善兩者的防護;后來有不同的入侵檢測、滲透測試、病毒變種等,整合性的UTM(Unified Threat Management,統(tǒng)一威脅管理)便應運而生;第三個階段為現(xiàn)在的BYOD(Bring Your Own Device,自帶設備)與IoT及云端服務(Cloud Service)。企業(yè)實施BYOD政策,讓員工可透過個人行動裝置收發(fā)公司email、連入公司內(nèi)部系統(tǒng)以提升工作效率,但也讓行動裝置的安全性浮上臺面,成為企業(yè)信息安全與設備管控的兩難。而IoT裝置如網(wǎng)絡攝像機、無人機、智能汽車、智慧電表等,不像個人設備(smart device)還可以透過鍵盤輸入(input)、屏幕端輸出(output),每個IoT裝置都有可能在防護網(wǎng)上鑿出一個大洞。

如何建立安全堅固的IoT環(huán)境應從多面向考慮,像棉線織網(wǎng)愈密愈好。吳章銘建議可以從下列幾點著手:

1. 有線與無線存取安全(Secure Wired and Wireless Access)

針對有線與無線網(wǎng)絡所介接的交換器或AP(Access Point,無線網(wǎng)絡基地臺)就要開始建立防護,打造安全網(wǎng)關(guān)的管理能力,而不是進到數(shù)據(jù)中心(Data Center)防火墻才來做安全防護。與其讓黑客走到家門口攻擊,還不如有效防止任何未獲授權(quán)者聯(lián)機的機會。

2. 隔離與加密(Segmentation and Encrypted Communication)

在作業(yè)環(huán)境中適當設置防火墻進行隔離,可阻絕不必要的網(wǎng)絡流量或病毒利用內(nèi)網(wǎng)橫向擴散感染;甚至可在電信網(wǎng)絡中將端點與端點之間做加密,避免傳輸過程中發(fā)生數(shù)據(jù)竄改與泄漏等情事。把觸角進一步延伸至IoT設備或個人計算機設備,感染時便能降低入侵者擴散到其他裝置的可能,并透過數(shù)據(jù)加密技術(shù)確保其安全性。

3. 角色訪問控制(Role-Based Access Control)

當進入系統(tǒng)環(huán)境連接特定的主機進行操作或檢視、擷取相關(guān)數(shù)據(jù)時,用戶身分為何?是使用計算機或手機平板?在會議室、辦公室或自己家中?于何時做了什么樣的應用、存取什么數(shù)據(jù)?等皆要有相對應的安全控管。因此會關(guān)系到人員身分、所用設備、地點、時間、存取應用或資源等五個因素,針對其角色賦予訪問權(quán)限。

4. 漏洞修補(Vulnerability & Patch)

由于大部分的信息安全技術(shù)建立在已知的病毒與攻擊手法上,難以在現(xiàn)有防護策略上實時發(fā)揮遏阻效果,需有一中央單位負責收集所有情資。今年1月正式運作的網(wǎng)絡安全信息分享與分析中心(N-ISAC),即是通過跨領(lǐng)域的資安信息分享,提升情資分享的實時性、正確性及完整性,才能達到更好的網(wǎng)絡安全預警防護。另外如Fortinet所代理的FortiGuard威脅情資云端服務(Threat Intelligence Service),便擷取全球的網(wǎng)絡安全威脅情報,于云端實時更新、分析病毒或攻擊活動趨勢,提供用戶預防或修復方法。