关（guān）于物联网（wǎng）使用安全（quán）的注意（yì）事项

企业的安全团队应（yīng）该采取一些（xiē）措（cuò）施和步骤，为2020年物（wù）联网面临（lín）不断发展的安全威胁做好准备（bèi）。

在新的一年（nián）到（dào）来的时候（hòu），安全行业的人士总在问这些问题：在未来一年面临的安全挑（tiāo）战（zhàn）是否与往年有所不同？企（qǐ）业是（shì）否应该改变（biàn）防御策略，尤其是在运营技术（OT）、物联网（IoT）和（hé）关键基础设施组（zǔ）件方面？

安全（quán）厂（chǎng）商Nominet公司网（wǎng）络安全副总裁StuartReed表示：“在网络安全的总体趋势（shì）中，我们看到的（de）是（shì），这里一直（zhí）都是一个充满活力的地方（fāng），但现在网（wǎng）络攻（gōng）击（jī）没（méi）有界限。”他解释（shì）说，那些针对运营（yíng）技术（shù）（OT）跨越边界的（de）网络攻（gōng）击可能会产生超出IT系统（tǒng）之外，甚（shèn）至对人类的生命和安全产生直（zhí）接（jiē）影响。

运营技术（OT）和物（wù）联网（IoT）设备的安（ān）全性工作很复杂，而运（yùn）营技术（OT）和物联网（wǎng）（IoT）的设计安全性目前不是IT系统（tǒng）的标（biāo）准。Reed说：“许多（duō）控制（zhì）系统和运营技术（OT）基础设施从来没（méi）有设计过以数字方式（shì）连（lián）接到其他任何地方。”他解释说（shuō），但是数字化的持续发（fā）展趋势意味着很（hěn）少有运（yùn）营（yíng）技术（OT）系统（tǒng）可以长期（qī）隔离网络攻击。

随着网络犯罪（zuì）分子和激进国家的（de）网（wǎng）络威胁不断（duàn）发展（zhǎn），安（ān）全团队应采取（qǔ）哪些步骤（zhòu）来（lái）保护其组织拥有（yǒu）的运（yùn）营技术（shù）（OT）和（hé）物联网（wǎng）（IoT）系统？网络（luò）安全（quán）专家对（duì）如何（hé）应对2020年（nián）物联网（wǎng）威（wēi）胁（xié）提出了一些建议。他们希望（wàng）在未来一年无论（lùn）威胁环境如何变（biàn）化，都确保其运营技术（OT）系统（tǒng）尽可能（néng）安全。以下是网络安（ān）全专家提出的七个（gè）安全注意事项：

1.注意边

nVisium公（gōng）司首席执行官JackMannino说：“随着边缘计算和分布式传感器网络的增长，云（yún）计算基础（chǔ）设施和边缘设备成（chéng）为（wéi）网络（luò）攻（gōng）击（jī）者越来越关注的（de）目标。使边（biān）缘设备（bèi）不受（shòu）攻击者控制的关键是（shì）采用混合方法来解决问题。”

Mannino说，“边缘计算需要采用混（hún）合云方法，其中边缘设备（bèi）和云计算服（fú）务必须在每一层建立信任。用户决定如何建立信任并成（chéng）为业务流程的一部分，首（shǒu）先（xiān）要详细（xì）分析边缘设备如何生成数据、生成什么类型的数据，以及（jí）将数据传输到（dào）应用（yòng）程序（xù）基础架（jià）构的其余（yú）部分的过程（chéng）。”

就像传（chuán）统的IT攻击者通常选（xuǎn）择用户作为（wéi）进入网络的方式一样，那些想要破坏企业物（wù）联网设备（bèi）的（de）网络攻击者可能会看（kàn）到边缘设备托（tuō）管最简单的进入（rù）端口，这（zhè）使用户（hù）将注意（yì）力集中在网络中心（xīn）上，忽视了边缘上比较脆弱（ruò）的设备。

2.安全培训

Reed说，尽管恶意（yì）软件和基于（yú）物联网的攻击变得越来越复杂，但成功（gōng）进行攻击并不（bú）需要高度复杂的技术。他解释（shì）说：“如果人们不（bú）了（le）解自己在良好的网络（luò）卫生中所扮演的角（jiǎo）色和责任，那么可能（néng）会发生一些非常基本的（de）攻（gōng）击。”

这些（xiē）角色（sè）和职责包括一（yī）些显而易见的要点，比如不要点击来自未知（zhī）或意外来源的附件，但它（tā）们远远超出了这些基本要求。毕竟，保护重要（yào）的数（shù）据（jù）和（hé）基础（chǔ）设施，InformationSecurityForum常（cháng）务（wù）董事SteveDurbin表示：“首先（xiān）要求最（zuì）终用户（hù）接（jiē）受数（shù）据需要（yào）保护的理念（niàn）。由于有着不同的社会规范，涉及数据（jù）的公认价值，因（yīn）此需要保护数据，以及谁应该首先负责保护（hù）数（shù）据。”

Reed说（shuō），最大限（xiàn）度地降低（dī）员工行为（wéi）风险的关（guān）键是安全教育和培训。他解释说：“除了培训课（kè）程（chéng），我认为（wéi）安全教育可（kě）以采取（qǔ）多种不同的形式。例如在线媒（méi）体在更广阔网络安全教育（yù）方（fāng）面扮（bàn）演着非常关键的角色。”

3.物联网的可见性

与安全（quán）专家进（jìn）行对话时，一个共同的主题是需要更好（hǎo）地（dì）了解用户的（de）网络和基础设施。这（zhè）种（zhǒng）需（xū）求不（bú）会随着传统（tǒng）IT和（hé）物联网设备之（zhī）间的划分而停止。

ThycoTIc公司首席安全科学（xué）家（jiā）Carson说：“如果没有物联（lián）网设备（bèi）及其带来的风险，就（jiù）无法确定物联网数（shù）据的潜在安（ān）全和隐私风险。要了（le）解物（wù）联网设备的风险，用户首先（xiān）想知道（dào）其功能或用途，例如是数据收集器、数据处理（lǐ）器还（hái）是数据相关器。在确定作为基础（chǔ）设施的一部分（fèn）的设备之后，了解（jiě）功（gōng）能是（shì）第二步（bù）。”

安全专业人员在提高其整体基础设施的物联网的可见性（xìng）方面应该做些什（shí）么？nVisium公司Mannino说，“这项工作应该（gāi）从对物联网设备等资（zī）产的架构蓝（lán）图进行一致的安全（quán）分析（xī），以找出缺失（shī）和（hé）设计错误的架构控制，并在（zài）允许（xǔ）的情况下采（cǎi）用一致的安（ān）全代（dài）码分析。”

4.消费者设备问（wèn）题

如果用户（hù）有一个网络，则很有可（kě）能将消费类设备连接到基（jī）础设（shè）施。企（qǐ）业员工已将消费（fèi）类设备（bèi）作为日（rì）常生（shēng）活的一部（bù）分，大多（duō）数（shù）员工都不愿意放弃这（zhè）些设（shè）备的优势。Durbin说，“当这些消（xiāo）费者工作时，他们也希望（wàng）将这些功能（néng）强大的设（shè）备用于业务应用（yòng），而在（zài）过去的几年中，这导致（zhì）组织与个（gè）人之间，个人信息（xī）与公开（kāi）可用的详细信息之间的界限（xiàn）越来越模糊。”

在许多情况（kuàng）下，问题并非始于员工使用自己（jǐ）的设备，而（ér）是始于许多消费类设备在设（shè）计之初（chū）就并未（wèi）被设计为安全的业务设备。此（cǐ）外，Dubirn说，“这（zhè）些设备的使用（yòng）方式模糊了个人和企业使用与行为之间的（de）界（jiè）限（xiàn）。其潜在的风险包括滥（làn）用（yòng）设备本身（shēn）、外部利用（yòng）软件漏洞，以（yǐ）及部（bù）署未（wèi）经测试（shì）的（de）、不（bú）可靠的业务应（yīng）用程序（xù）。”

在处理整个物联网环境中可能涉及的云计算（suàn）服务和物联网设备时，安全（quán）专业人员需（xū）要积（jī）极与（yǔ）他们的（de）供应商和合作伙伴互动，以确保基本组件能够（gòu）安（ān）全使用。例如，Acceptto公（gōng）司首席（xí）安全架构师FaustoOliveira表示，物联网设备必须具（jù）有更改默认用户名和密码的能力，以及与网（wǎng）络中上游和下游（yóu）系统进行加密通信的能力。Oliveira说：“企（qǐ）业需要供应商提供强有力（lì）的指导，并确保在选择过程中，安全是一（yī）项明确定义（yì）的功能。”他表示，这符合供应商（shāng）及（jí）其（qí）用户的最大利益，以确保（bǎo）整（zhěng）个系统尽可能安全。

5.物联网连接安（ān）全性

当然会有（yǒu）一些小型组织（zhī）（以及高度安全的政府或（huò）军（jun1）事机构）的物联网（wǎng）设备不包含互联网（wǎng）连接。但是对于大多数组织（zhī）而言，移动、分析和使用其边缘设（shè）备中的数据意味着（zhe）将设备连接到（dào）全球互联网和一个或多个云计算服务。nVisium公司的（de）Mannino指出，“随着（zhe）边缘计算和分布（bù）式传（chuán）感（gǎn）器网络（luò）的增加，云计（jì）算基（jī）础设施和边缘设备（bèi）已（yǐ）成为一种趋势。而这对于网络攻击者来说越来越有（yǒu）吸引力（lì）。”

Vectra公司安全分析主管ChrisMorales简洁地解（jiě）释了（le）这（zhè）一点。他说，“与传统的桌面系（xì）统不同，物联网设备需要确保存（cún）储和锁定的数据不会被窥视，物联网设（shè）备被设计为彼此共享信息，并共（gòng）享到远程存储（chǔ）位置进行分析，并为企业提供对（duì）其数据（jù）的远程访问。这通常需要物联网设备（bèi）制（zhì）造（zào）商托管的云存（cún）储。”

在处理可（kě）能涉（shè）及整个物联网环（huán）境的云计算服务和物（wù）联（lián）网设（shè）备时，安全专业人员需要积（jī）极与其供应商和合作伙（huǒ）伴接（jiē）洽，以确保（bǎo）基本组件能够安全使用。例如，Acceptto公（gōng）司首席安全架构师FaustoOliveira表示，设备必须能够更改默认用户名和密（mì）码，以（yǐ）及与网络上下游系统进行加密（mì）通信（xìn）的能力。他（tā）说（shuō），“组织需（xū）要向供应商提供强（qiáng）有（yǒu）力的指（zhǐ）导，并确保在选择过程中，安全性是一（yī）个明确（què）定义的（de）特性，是不可选择的（de），确保整个系统尽可能安全（quán）符合供应（yīng）商和客户的最大利益。”

6.专注于物联网（wǎng）设备敏捷（jié）性

物联网的两个特点使扩（kuò）展运营技术（OT）变得（dé）如此脆弱，这就是大量物联网设备（bèi）的不可改变的特（tè）性。易受攻击（jī）、静态和持久性并不是（shì）大多数专业人员在安全基础设施中需要的特性。

Acceptto公司的Oliveira说：“需（xū）要取消（xiāo）默认用（yòng）户名和密码（mǎ）以及不安全（quán）的协议（如telnet），并采（cǎi）用更好的（de）方（fāng）法来实现可管理性，而（ér）无需使（shǐ）用易于妥（tuǒ）协的默认帐户（hù）和不安全的协（xié）议。”他坚（jiān）持认为，仅向供应（yīng）商强调他们的设备必须允许更（gèng）改默认凭据和协议是不够的（de）。用户必须将这些（xiē）作为购买设备的要（yào）求（qiú）。

Oliveira说：“物（wù）联网设备需要（yào）被视为任何安（ān）全资产，因（yīn）此需要定期管理和审核漏洞（dòng）。”Nominet的Reed也对（duì）此表示认同，他说，“全面（miàn）的从业人（rén）员必须确保他们（men）具有正确的（de）审核、控制（zhì）、政策，以便能够放心地了解与他们合作的第（dì）三方，并且采取更好的安全措施。”

他们都承认，如（rú）果无法重新配置基础设施中的设备来解（jiě）决漏洞，那么可靠的（de）审核和监（jiān）视（shì）的影响将会非常有限。

7.无（wú）情数据

物联（lián）网（wǎng）的数据生成（chéng）能力需要符合欧盟的《通用数据保护条（tiáo）例》和最新的《加（jiā）州消费（fèi）者隐私法》等法规的（de）要求。因此，Vectra公司（sī）的Morales说，“企业需要更（gèng）加注意设（shè）备收集的（de）数据类型以及如（rú）何使用这些数据。”他指出，在摄像头、GPS跟踪系统和传感器跟踪（zōng）业务的每个阶段（duàn）生成数据的时代，保护个人隐私对于（yú）保护用户（hù）信息自由至关重要。

Morales说：“物联网设备旨在相（xiàng）互共享信息，并共享给远程存储位置以进行（háng）分析，并（bìng）为企业提供（gòng）对其（qí）数（shù）据的远（yuǎn）程访问。而且，数据必须在（zài）设备中以（yǐ）及从业务流程的一个阶段转移到另一个阶段时都（dōu）受到保护。”

Acceptto公司（sī）的Oliveira说，“与设备（bèi）之间的所有通信都必须加密，并且在（zài）理想情况下，数据流量必须受（shòu）基于场景（jǐng）和基于角色的访问控制，除非在特殊（shū）的（de）情况下，否（fǒu）则没（méi）有理由让设备可以通（tōng）过全球互联网进（jìn）行（háng）连接。”

要了（le）解如何将“无情（qíng）数据”应（yīng）用到物联网（wǎng）的各个部分，首先要了解（jiě）基础设施及其启用（yòng）的业务流程。ThycoTIc公（gōng）司的Carson说：“如（rú）果（guǒ）没（méi）有（yǒu）物联网设备带来的（de）风险，就无法（fǎ）确定其数据的潜在（zài）安（ān）全性和隐私风险。在了解物联网设备的作用以（yǐ）及与之（zhī）相关的数据后，就可以评估采用物联（lián）网设（shè）备带来的风（fēng）险（xiǎn）。”