您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

如何保护loT设备?从四个方面下手

发表于:2018-01-30 作者:佚名 来源:E安全

IoT设备安全问题是当今世界面临的一大难题,这些问题大多都是相似的,解决思路各有各的不同,以下可供参考。

IoT设备存在哪些网络安全问题?阿什和加利根指出,随着 IoT 设备不断普及,传感器、远程技术、数据分析和人工智能的使用范围越来越广,美国国防部和情报机构的网络边界也随之扩大,这有利于提高通信协同能力,但同时也面临着新的安全挑战。美国战场通讯设备面临着两大主要挑战:

  • IoT 设备安全– 到目前为止,美国战场甚至还没有推出用于 IoT 设备的标准操作系统。
  • IoT 设备规模相当庞大– 面临着适当监控和管理大量 IoT 设备和传感器的问题。

专家表示,要克服这些困难,美国国防部机构应当重新审查IT基础设施,并考虑如何提供安全的 IoT 解决方案,他们提出可从以下四个方面着手:

网络设备可视化

可见性对于监控用户活动及识别有关设备至关重要。管理人员还需要具备新的网络洞察力不断改进并维护性能。美国国防部(DOD)网络管理人员需了解连接的具体设备,如何连接?连接到哪里?设备的状态如何?与每台设备或传感器关联的用户是谁?美国国防部网络管理人员需要端对端的可见性来捕获此类信息,并用来提供决策依据。

例如,新兵不止具备一台无线电广播设备,今后还将拥有语音数据无线电广播设备、显示器、生物传感器、其它类型的传感器、各类致动器等设备。为了提高此类设备和传感器的可见性,美国国防部(DOD)机构应当使用战术网络,该网络使用支持复杂通信安全分段的特定架构,创建具有中心汇聚连接点的网络分支,从而形成树形结构。这样一来,美国国防部便能了解士兵的安全状况,因为其使用的设备和传感器在网络上是可见的。

健全安全访问机制

确保战场 IoT 设备的访问安全是一项巨大挑战。要做到这一点,网络管理人员应当创建个人身份,并使用网格通过 VPN 在有线、无线或远程访问的设备上分配安全策略和功能。美国国防部(DOD)最近发出一项命令,要求承包商根据 NIST 特刊800-171使用这种访问类型,并为网络上的每台设备建立安全态势,以跟踪每台设备的关键任务。

为了确保士兵安全,士兵需要在任务开始时访问每台设备和传感器,在任务结束时将设备和传感器从网络中移除。当每台设备和传感器进入网络时,DOD 网络必须能够识别,使用微分段允许访问某些设备,并根据安全级别阻止他人访问。如果网络无法正确管理设备和传感器,将会将任务和士兵置于风险之中。

分段保护机密数据

美国国防部(DOD)的网络需要将 IoT 设备的功能最大化,同时保持高水平的安全。分段是保护机密数据安全与防止非授权用户访问的重要部分。IoT设备大幅增加使得 DOD 的网络环境日益复杂。因此 DOD 机构需要一个解决方案来简化管理,并直接将分段构建到网络当中。基于设备和用户身份的策略驱动分段将简化网络访问,有助于集中实施分段策略。

对于士兵而言,这些设备和连接的传感器必须具备分段用户安全及访问权限,从而使未经授权的用户无法访问士兵的无线电广播设备、GPS 或生物传感器数据。只有具备特定安全级别的用户才能使用该士兵的设备和传感器数据。

安全协议预配置

为了加强美国国防部(DOD)网络的防护能力,保护 IoT 设备,有必要在设备进入网络之前使安全协议和设备功能可用。此外,有必要在安全协议部署到位之前对系统进行预配置。这样一来,当任务发生变化时,动态配置并修改设备部署会变得更加容易。如果网络无法无法对设备和安全协议进行预配置,或无法进行调整,那么该过程就不现实。

比如,如果安全协议和设备功能在行动部署之前可用,那么安全服务便能得以扩展,甚至可以扩展至士兵的战术空间。战术基础设施可能需要长期运作,因为士兵使用的飞行资产会收集任务相关信息,但是一旦任务发生变化,就必须修改安全协议,以此确保所有设备以及士兵的安全。

借助这些概念,美国国防部机构可架设IT基础设施,打造成功的IoT。设备和传感器将保持安全和良好的管理状态,因为每台设备、传感器和用户将具备特定的安全与任务态势来识别所有网络端点,确定这些端点的访问方式,定义数据的分段方式,并对所有设备和安全协议进行预配置,以便更好地协助执行任务。这种综合的方式将使美国国防部在战场上利用IoT的潜力,同时确保通信安全。