关于物联网使（shǐ）用安（ān）全的注意事项

企（qǐ）业的（de）安全团队应该采取（qǔ）一（yī）些（xiē）措（cuò）施和步（bù）骤，为2020年物联网面临（lín）不断发展的安全威（wēi）胁做好准备。

在新的一年到来的时候，安全行（háng）业的人士（shì）总（zǒng）在问这些问（wèn）题：在未来（lái）一年面（miàn）临的安（ān）全挑（tiāo）战是（shì）否与往年有所不同？企业是否（fǒu）应该改变防御策（cè）略（luè），尤其是在运营技术（OT）、物联网（IoT）和关键基（jī）础设施组件方面？

安（ān）全厂（chǎng）商Nominet公司网络安全副总裁StuartReed表示：“在网络安全的总（zǒng）体趋（qū）势（shì）中，我们看到的是，这里一直都（dōu）是一个充满活力的地方，但现（xiàn）在网络攻击没有界限。”他解释说（shuō），那些针对（duì）运营（yíng）技术（shù）（OT）跨越边界的网络攻击可能（néng）会产生超出IT系统（tǒng）之外，甚至对人（rén）类的生命（mìng）和安全产生直接（jiē）影响。

运营技术（shù）（OT）和物联网（IoT）设备的（de）安（ān）全性工作很（hěn）复杂，而运营技术（OT）和物联网（IoT）的（de）设计安全性（xìng）目（mù）前不是IT系统的标准。Reed说：“许多控制系统（tǒng）和运营技术（OT）基础设施从（cóng）来（lái）没有设（shè）计过（guò）以数（shù）字方式连接到其（qí）他任（rèn）何地方。”他解释说，但（dàn）是数字化（huà）的持续发（fā）展趋势意（yì）味着很少有运营（yíng）技术（shù）（OT）系统可以长期隔离网络攻击。

随着（zhe）网络犯罪分子和激进国（guó）家的网络（luò）威胁不断发展，安全团队（duì）应采取哪（nǎ）些步骤来保护其组织拥有的（de）运营技术（OT）和物联（lián）网（IoT）系统？网络（luò）安（ān）全专家对（duì）如何应对2020年物（wù）联网威胁提出了一些建议。他们希望在（zài）未来（lái）一年无论威胁环境（jìng）如何变化，都确保其运营技术（OT）系统尽可能安全。以下（xià）是网络（luò）安全专家提出的七个（gè）安全注意事项：

1.注意边

nVisium公（gōng）司首席执（zhí）行官JackMannino说：“随着边缘计（jì）算（suàn）和分布式传感器网络的增长，云计（jì）算（suàn）基础设施和边缘设备成为网络（luò）攻击者越来越（yuè）关注的目标。使边缘设（shè）备（bèi）不受攻击（jī）者（zhě）控（kòng）制的（de）关键是采（cǎi）用混合方法来解（jiě）决问题。”

Mannino说，“边缘计（jì）算需要采用（yòng）混（hún）合云方法，其中边缘设备和云计算服务必（bì）须在每（měi）一（yī）层建立（lì）信任（rèn）。用（yòng）户决定如何建立信任并成为业务流程的一部分（fèn），首先要（yào）详细分析边缘设备如何生成（chéng）数据、生成（chéng）什么类型的数据，以（yǐ）及将数据传输到应用程序（xù）基（jī）础架构的其余（yú）部分（fèn）的过程。”

就（jiù）像传统的IT攻击者（zhě）通常选择用户作为进（jìn）入网络的（de）方式（shì）一样，那些想（xiǎng）要破坏企业物联（lián）网设（shè）备的网络（luò）攻击者可能会看（kàn）到（dào）边缘设（shè）备托管最简单的进入端口，这使（shǐ）用户将注意（yì）力集（jí）中在网络中心上，忽视了边缘上比较脆弱的设备（bèi）。

2.安全（quán）培（péi）训

Reed说（shuō），尽管（guǎn）恶意软件（jiàn）和基于物联网的攻击（jī）变得越来越复杂，但成（chéng）功进行攻击并不需要高（gāo）度复（fù）杂（zá）的技术。他解释说：“如果（guǒ）人们不了解自己在（zài）良（liáng）好（hǎo）的（de）网络卫生（shēng）中所扮（bàn）演的角色和（hé）责任，那么可能会发生一些非常基本（běn）的攻击。”

这（zhè）些角色和职（zhí）责包括一些显而易见的要（yào）点，比如不（bú）要点（diǎn）击来自未知或（huò）意外来源的附件，但它们（men）远远超出了（le）这些基（jī）本要（yào）求。毕竟，保护重（chóng）要的数据（jù）和基础（chǔ）设施，InformationSecurityForum常务董事SteveDurbin表示（shì）：“首先要求最终用户接（jiē）受数据需要保护的理念（niàn）。由于有着不同（tóng）的社会规范（fàn），涉及数据的（de）公认价值，因（yīn）此需要保护数据，以及谁应该首先负责保护数据。”

Reed说，最大限度（dù）地降低员工行为风（fēng）险的关键是安全教育（yù）和培训。他解释说：“除了培（péi）训课程，我认为安全教（jiāo）育可（kě）以采取多（duō）种不同的形（xíng）式。例如在线媒体（tǐ）在更广阔网络安（ān）全教育方面扮演着非常关键的角（jiǎo）色。”

3.物联网（wǎng）的可见性

与安（ān）全（quán）专家进行对话（huà）时，一个共同（tóng）的主题是需要更（gèng）好地了解用户（hù）的（de）网络和（hé）基础设施。这种需求不会随着传统IT和物联网设备之间的（de）划（huá）分（fèn）而停（tíng）止（zhǐ）。

ThycoTIc公司首席安全科学家Carson说：“如果没（méi）有物联网设备及（jí）其带来的风险，就无法（fǎ）确定物联网数据（jù）的潜在安全和隐私风险。要了解物（wù）联网（wǎng）设备的风险（xiǎn），用户首先想（xiǎng）知（zhī）道其功能或用（yòng）途，例如是数据收集（jí）器、数（shù）据处理（lǐ）器还是数（shù）据（jù）相关（guān）器。在确定作为基（jī）础（chǔ）设施的一部分的设备之后（hòu），了解功能（néng）是第二步。”

安全专业人员在提高（gāo）其整体基础设施的物联网的可（kě）见性（xìng）方面应该做些什么？nVisium公司Mannino说，“这（zhè）项工作应该从对物（wù）联（lián）网设备等资产的架构蓝（lán）图（tú）进行一致的安全分析（xī），以找（zhǎo）出（chū）缺失（shī）和设（shè）计错误的架构控制，并在允（yǔn）许的情况下采用一致的安全代（dài）码分析。”

4.消费者设（shè）备问题

如果用户有一（yī）个网络（luò），则（zé）很有可能将消费（fèi）类设备连接到基（jī）础设施。企业员工已将消费类（lèi）设备（bèi）作为日常生活的一（yī）部分（fèn），大多数（shù）员工（gōng）都不愿意放弃这些设备的优势。Durbin说，“当这些消（xiāo）费者工作（zuò）时，他们也（yě）希望将这些功能强大的设备用于（yú）业（yè）务应用，而在过去的几年中，这导致（zhì）组织与个人之间，个（gè）人信息与公开（kāi）可用的详细信息之间的界（jiè）限越来越模糊。”

在许多情况（kuàng）下，问（wèn）题并非始于（yú）员工使（shǐ）用自己的（de）设备，而（ér）是始于许多消费（fèi）类设备在设（shè）计之初就并未被设计为安全的业（yè）务设（shè）备（bèi）。此外，Dubirn说（shuō），“这些（xiē）设备的使（shǐ）用方式模糊了个人和（hé）企业（yè）使用（yòng）与行为之间的界限。其潜在（zài）的风险包（bāo）括滥用设备本身、外部（bù）利（lì）用软件漏洞，以（yǐ）及部署未经测试的、不可（kě）靠的业务应用（yòng）程序。”

在处理整（zhěng）个物联（lián）网环境（jìng）中可能涉及的云（yún）计算服务和物联网（wǎng）设（shè）备（bèi）时，安全专业人员需要（yào）积极与他们（men）的供应商和（hé）合作（zuò）伙伴（bàn）互动，以确（què）保基本组件能够（gòu）安全使用。例如，Acceptto公（gōng）司首席（xí）安全架构师FaustoOliveira表示，物（wù）联网设备（bèi）必须（xū）具有更改默认用户（hù）名和密码的能力，以及与网络中上游和下游系统（tǒng）进行加（jiā）密通（tōng）信的能力。Oliveira说（shuō）：“企业需要供应商提供强有力（lì）的指导，并确保在（zài）选择过（guò）程中，安（ān）全（quán）是（shì）一项明确定义（yì）的功能。”他表示，这（zhè）符合（hé）供应商（shāng）及（jí）其（qí）用户的最大（dà）利益，以确保整（zhěng）个系（xì）统尽（jìn）可（kě）能安（ān）全。

5.物联网（wǎng）连接安全性

当然（rán）会有一些小型组织（以及高度安全的政府或军事机构）的物（wù）联网设备不包含互联网连接（jiē）。但是对于大（dà）多数组（zǔ）织而言，移动、分析和使用其边缘设备中（zhōng）的数据意味着将设（shè）备连接到（dào）全球互联网和一个或多个云计算服务。nVisium公司的Mannino指出，“随着边缘计算和分布式传感器网络的增加，云计算基（jī）础设施和边缘设备已成为一种趋势。而这对于网络攻击者来说越来越有吸引力。”

Vectra公司（sī）安全分（fèn）析主管ChrisMorales简洁地解释（shì）了（le）这一点。他说，“与传统的桌面系统（tǒng）不同（tóng），物联网设备（bèi）需要确保存储和锁定的数据不会被窥视，物联网设备被（bèi）设计为彼此（cǐ）共享信息，并共享到远程存（cún）储位（wèi）置（zhì）进行分析，并为（wéi）企业（yè）提供对（duì）其数据的远程访（fǎng）问。这通常需要物联网设备（bèi）制（zhì）造商托管的云存储。”

在处理可能涉及整个物联网环境（jìng）的云计算服（fú）务和物联（lián）网设备（bèi）时，安全专业人员需（xū）要积极（jí）与其供应商和（hé）合作伙伴接洽，以确保基本组件能够安全使用。例如，Acceptto公司首席安全架构师FaustoOliveira表示，设备必须（xū）能够更改默认用（yòng）户名（míng）和密码（mǎ），以及与网络上下（xià）游系统进行（háng）加（jiā）密通（tōng）信的能力。他说，“组织需要向供应商提供强有力的指（zhǐ）导，并确保在选择过程中，安（ān）全（quán）性是一个明确定义的特性，是不（bú）可选（xuǎn）择（zé）的，确（què）保（bǎo）整个系统尽可能安全符合供应（yīng）商和客户的最（zuì）大利益。”

6.专注于物联网设备（bèi）敏捷性（xìng）

物联网的（de）两个特点使扩展运（yùn）营技术（OT）变得如（rú）此（cǐ）脆弱（ruò），这就是大量物联网设备的（de）不可改变的特性。易受攻击（jī）、静态和持久（jiǔ）性并不是大（dà）多数（shù）专业人员在（zài）安全基础设（shè）施中需要的特性（xìng）。

Acceptto公司的Oliveira说：“需（xū）要取消默（mò）认用户名和密码以及（jí）不安（ān）全的协议（如telnet），并采用更好的方法来实现可管理性，而无需使用易（yì）于妥协的默认帐户和不安（ān）全的协议。”他坚持认为（wéi），仅（jǐn）向供应商强调（diào）他（tā）们（men）的（de）设备必（bì）须（xū）允（yǔn）许更改默认凭据和协议是不够（gòu）的。用户必（bì）须将（jiāng）这些作为（wéi）购买设（shè）备的要（yào）求。

Oliveira说：“物（wù）联网设备需要（yào）被视（shì）为（wéi）任何安（ān）全资产，因此需要（yào）定期管（guǎn）理和审核漏洞。”Nominet的Reed也对此表示认同，他说，“全面的从业人员（yuán）必须确保他们具（jù）有正确的审（shěn）核、控制、政（zhèng）策，以便能够放心（xīn）地（dì）了解（jiě）与他们合作的第（dì）三方，并且采取（qǔ）更好的（de）安全措施。”

他（tā）们都承认，如果无法（fǎ）重新配（pèi）置（zhì）基础设施中（zhōng）的（de）设备来解决漏（lòu）洞（dòng），那么可靠的审（shěn）核和（hé）监视的影响将会非常（cháng）有限。

7.无情数（shù）据

物联网的数据生成能力（lì）需要符合（hé）欧盟（méng）的（de）《通用数据保护条例》和最新的（de）《加州消费者隐私法》等（děng）法规的要（yào）求。因（yīn）此，Vectra公司的Morales说，“企业需（xū）要更加注意（yì）设备收集的数据（jù）类型以及如何使用这些数据。”他指出，在摄像头、GPS跟踪系统和传感器跟踪业务的每个阶段（duàn）生成数（shù）据的（de）时代，保护（hù）个人（rén）隐私对于保（bǎo）护用（yòng）户（hù）信息（xī）自（zì）由至关重要。

Morales说：“物联网设备旨在相互共享信（xìn）息（xī），并共享给远程存储位置（zhì）以进行分析，并为企业提供对其数据的远程访问。而且，数据必须在设备中以及从业（yè）务流程的一个阶段转移（yí）到另一（yī）个阶段时都受到保（bǎo）护（hù）。”

Acceptto公司的Oliveira说（shuō），“与设（shè）备（bèi）之间（jiān）的所（suǒ）有通（tōng）信都必（bì）须加（jiā）密，并且在理想（xiǎng）情况下，数据流量必须（xū）受基于场景和基于角色（sè）的访问控制，除（chú）非在特殊（shū）的情况下（xià），否则没有理由让设备可以通过（guò）全球互联网进行连接。”

要了解如何将（jiāng）“无情数据”应用到物联网（wǎng）的各个部分，首先要了（le）解基础设施及（jí）其启用的业务流（liú）程。ThycoTIc公司的Carson说：“如果没有物联网设备带来（lái）的风（fēng）险，就无法（fǎ）确（què）定其数据的潜在安全性和隐（yǐn）私风险。在了解物（wù）联（lián）网设备的作用以及与之相关的数据后，就可以评（píng）估采用物联（lián）网（wǎng）设备带来的风（fēng）险。”