如何保護loT設備？從四個方面下(xià)手

負責美國公共部門安全的思科高級總監威爾·阿什、思科負責美國國防部（DOD）網絡安全的經理馬修·加利根撰文就美國國防部應如何保護 IoT 設備安全提出建議。

IoT設備安全問題是當今世界面臨的一(yī)大(dà)難題，這些問題大(dà)多都是相似的，解決思路各有各的不同，以下(xià)可供參考：

 

IoT設備存在哪些網絡安全問題？

阿什和加利根指出，随着 IoT 設備不斷普及，傳感器、遠程技術、數據分(fēn)析和人工(gōng)智能的使用範圍越來越廣，美國國防部和情報機構的網絡邊界也随之擴大(dà)，這有利于提高通信協同能力，但同時也面臨着新的安全挑戰。美國戰場通訊設備面臨着兩大(dà)主要挑戰：

• IoT 設備安全– 到目前爲止，美國戰場甚至還沒有推出用于 IoT 設備的标準操作系統。

• IoT 設備規模相當龐大(dà)– 面臨着适當監控和管理大(dà)量 IoT 設備和傳感器的問題。

這兩名專家表示，要克服這些困難，美國國防部機構應當重新審查IT基礎設施，并考慮如何提供安全的 IoT 解決方案，他們提出可從以下(xià)四個方面着手：

網絡設備可視化

可見性對于監控用戶活動及識别有關設備至關重要。管理人員(yuán)還需要具備新的網絡洞察力不斷改進并維護性能。美國國防部（DOD）網絡管理人員(yuán)需了解連接的具體(tǐ)設備，如何連接？連接到哪裏？設備的狀态如何？與每台設備或傳感器關聯的用戶是誰？美國國防部網絡管理人員(yuán)需要端對端的可見性來捕獲此類信息，并用來提供決策依據。

例如，新兵不止具備一(yī)台無線電(diàn)廣播設備，今後還将擁有語音數據無線電(diàn)廣播設備、顯示器、生(shēng)物(wù)傳感器、其它類型的傳感器、各類緻動器等設備。爲了提高此類設備和傳感器的可見性，美國國防部（DOD）機構應當使用戰術網絡，該網絡使用支持複雜(zá)通信安全分(fēn)段的特定架構，創建具有中(zhōng)心彙聚連接點的網絡分(fēn)支，從而形成樹(shù)形結構。這樣一(yī)來，美國國防部便能了解士兵的安全狀況，因爲其使用的設備和傳感器在網絡上是可見的。

健全安全訪問機制

确保戰場 IoT 設備的訪問安全是一(yī)項巨大(dà)挑戰。要做到這一(yī)點，網絡管理人員(yuán)應當創建個人身份，并使用網格通過 VPN 在有線、無線或遠程訪問的設備上分(fēn)配安全策略和功能。美國國防部（DOD）最近發出一(yī)項命令，要求承包商(shāng)根據 NIST 特刊800-171使用這種訪問類型，并爲網絡上的每台設備建立安全态勢，以跟蹤每台設備的關鍵任務。

爲了确保士兵安全，士兵需要在任務開(kāi)始時訪問每台設備和傳感器，在任務結束時将設備和傳感器從網絡中(zhōng)移除。當每台設備和傳感器進入網絡時，DOD 網絡必須能夠識别，使用微分(fēn)段允許訪問某些設備，并根據安全級别阻止他人訪問。如果網絡無法正确管理設備和傳感器，将會将任務和士兵置于風險之中(zhōng)。

分(fēn)段保護機密數據

美國國防部（DOD）的網絡需要将 IoT 設備的功能最大(dà)化，同時保持高水平的安全。分(fēn)段是保護機密數據安全與防止非授權用戶訪問的重要部分(fēn)。IoT設備大(dà)幅增加使得 DOD 的網絡環境日益複雜(zá)。因此 DOD 機構需要一(yī)個解決方案來簡化管理，并直接将分(fēn)段構建到網絡當中(zhōng)。基于設備和用戶身份的策略驅動分(fēn)段将簡化網絡訪問，有助于集中(zhōng)實施分(fēn)段策略。

對于士兵而言，這些設備和連接的傳感器必須具備分(fēn)段用戶安全及訪問權限，從而使未經授權的用戶無法訪問士兵的無線電(diàn)廣播設備、GPS 或生(shēng)物(wù)傳感器數據。隻有具備特定安全級别的用戶才能使用該士兵的設備和傳感器數據。

安全協議預配置

爲了加強美國國防部（DOD）網絡的防護能力，保護 IoT 設備，有必要在設備進入網絡之前使安全協議和設備功能可用。此外(wài)，有必要在安全協議部署到位之前對系統進行預配置。這樣一(yī)來，當任務發生(shēng)變化時，動态配置并修改設備部署會變得更加容易。如果網絡無法無法對設備和安全協議進行預配置，或無法進行調整，那麽該過程就不現實。

比如，如果安全協議和設備功能在行動部署之前可用，那麽安全服務便能得以擴展，甚至可以擴展至士兵的戰術空間。戰術基礎設施可能需要長期運作，因爲士兵使用的飛行資(zī)産會收集任務相關信息，但是一(yī)旦任務發生(shēng)變化，就必須修改安全協議，以此确保所有設備以及士兵的安全。

借助這些概念，美國國防部機構可架設IT基礎設施，打造成功的IoT。設備和傳感器将保持安全和良好的管理狀态，因爲每台設備、傳感器和用戶将具備特定的安全與任務态勢來識别所有網絡端點，确定這些端點的訪問方式，定義數據的分(fēn)段方式，并對所有設備和安全協議進行預配置，以便更好地協助執行任務。這種綜合的方式将使美國國防部在戰場上利用IoT的潛力，同時确保通信安全。