物联网需重新定义安全边界 企业防护要继续外延

除了信息的产生之外,物联网(IoT)对象还具有改变环境状态的力量,这使企业资安长(CISO)在现有职责以外,必须重新定义资安工作的范畴。由于支持平台、服务规模、多样性与功能都将出现变化,Gartner预测至2020年,全球将有逾半数企业的资安方案必须重新设计或扩大规模,以因应物联网资安需求。
物联网正在重新划定企业IT职责的界线,其具备改变四周环境状态的能力,甚至能改变自身状态;举例来说,当传感器判定室内温度过低,物联网对象即会自动提升室内温度。为保护物联网对象的安全,传统资安的防护范围必须扩大,以因应各种新型商业使用案例新增的识别、感测与沟通装置。

物联网

商业使用案例固然日新月异,其中涉及的技术与服务却多半不新奇。每个使用案例的风险概况(risk profile)有特定需求,可能须使用旧有平台与服务架构,搭配新技术”覆盖”(overlay)以改善效能与管控。

企业资安长为物联网提供资安服务时,将面临一项极为有趣的挑战。当他们为整体性的物联网商业使用案例,针对大型主机(Mainframe)、客户/服务器、网络、云端和移动等资安进行评估时,有时可能仍须采用过时的技术。即使是Windows XP这类已终止支持的系统,也可能在部分产业基础建设中扮演要角,并成为物联网资安系统的一部份。

因此,资安长不该自行假设既有的资安技术与服务必须汰换,而是评估整合新旧资安解决方案的可能性。许多传统资安产品与服务供货商已扩大既有产品组合,针对嵌入式系统与机器对机器的通讯提供基本支持。

目前物联网资安尚无准则可供参考,不过物联网既有的特点是,应用在这些使用案例上的装置技术与服务,组合方式之数量相当惊人。物联网对象的构成仍在争论中,所以物联网资安其实是”活动目标”。而资安长仍可建立一套过渡性质的规划策略,利用现有”由下而上”(bottom-up)的方式确保物联网资安。

在各种处理模式与解决方案萌芽之际,资安长应拒绝诱惑,切忌在资安规划方面过度思考。应从简单的开始做起,以特定商业使用案例中特定物联网互动模式为基础,开发初步的资安方案。然后再以这些使用案例的经验为基础,打造适用于未来的资安部署情境、核心架构基础和验证中心(Competency Center)。

物联网资安的需求将会相当复杂,迫使资安长利用移动、云端架构等各种方法,结合工业控制、自动化与实体资安工具。所幸资安长对于许多物联网资安需求相当熟悉,因为过去数十年间用来保护不同世代运算工具的技术与服务,仍将适用于大部分案例。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量