大前研一在《科技4.0》一書中提到:「科技4.0時(shí)代��,因特網(wǎng)無所不在���,不只連接人與人��,也連接人與物���、物與物;由萬物聯(lián)網(wǎng)而生的『串聯(lián)經(jīng)濟(jì)』�����,將進(jìn)一步改變?nèi)虻纳虡I(yè)模式��?���!蛊髽I(yè)面臨這一波數(shù)字化浪潮���,紛紛將商業(yè)經(jīng)營架構(gòu)導(dǎo)入數(shù)字化,以提升整個(gè)生產(chǎn)過程與運(yùn)營價(jià)值����。然而���,市場的改變也引發(fā)了新形態(tài)的網(wǎng)絡(luò)安全危機(jī)�����,信息安全成為數(shù)字轉(zhuǎn)型的重要關(guān)鍵�����。
以制造業(yè)來說����,OT(操作科技)與IT(信息科技)的融合是影響企業(yè)數(shù)字轉(zhuǎn)型的主要因素���,但大部分企業(yè)在積極整合兩者時(shí)�,卻未審慎思考如何將OT的網(wǎng)絡(luò)架構(gòu)納入IT管理平臺(tái)中;封閉式網(wǎng)絡(luò)的OT遇上開放性的IT�����,機(jī)臺(tái)IT化將帶來過去不曾出現(xiàn)的安全漏洞,而OT的環(huán)境又不像IT有太多各式組件裝置存在�����,無法以單一系統(tǒng)有效解決���,勢必需要用不同方式交叉防護(hù)。
建構(gòu)安全堅(jiān)固的IoT環(huán)境
防特網(wǎng)(Fortinet)公司技術(shù)總監(jiān)吳章銘表示����,過去的攻擊是無所不能��,現(xiàn)在的攻擊則是無所不在��。在過去整個(gè)網(wǎng)絡(luò)安全發(fā)展史中�,最早是計(jì)算機(jī)防病毒軟件與公司防火墻�,只需完善兩者的防護(hù);后來有不同的入侵檢測����、滲透測試、病毒變種等,整合性的UTM(Unified
Threat Management���,統(tǒng)一威脅管理)便應(yīng)運(yùn)而生;第三個(gè)階段為現(xiàn)在的BYOD(Bring Your Own
Device����,自帶設(shè)備)與IoT及云端服務(wù)(Cloud
Service)�。企業(yè)實(shí)施BYOD政策��,讓員工可透過個(gè)人行動(dòng)裝置收發(fā)公司email����、連入公司內(nèi)部系統(tǒng)以提升工作效率,但也讓行動(dòng)裝置的安全性浮上臺(tái)面���,成為企業(yè)信息安全與設(shè)備管控的兩難��。而IoT裝置如網(wǎng)絡(luò)攝像機(jī)、無人機(jī)���、智能汽車���、智慧電表等���,不像個(gè)人設(shè)備(smart
device)還可以透過鍵盤輸入(input)����、屏幕端輸出(output)�,每個(gè)IoT裝置都有可能在防護(hù)網(wǎng)上鑿出一個(gè)大洞。
如何建立安全堅(jiān)固的IoT環(huán)境應(yīng)從多面向考慮��,像棉線織網(wǎng)愈密愈好�����。吳章銘建議可以從下列幾點(diǎn)著手:
1. 有線與無線存取安全(Secure Wired and Wireless Access)
針對有線與無線網(wǎng)絡(luò)所介接的交換器或AP(Access Point,無線網(wǎng)絡(luò)基地臺(tái))就要開始建立防護(hù)���,打造安全網(wǎng)關(guān)的管理能力�,而不是進(jìn)到數(shù)據(jù)中心(Data
Center)防火墻才來做安全防護(hù)��。與其讓黑客走到家門口攻擊�,還不如有效防止任何未獲授權(quán)者聯(lián)機(jī)的機(jī)會(huì)。
2. 隔離與加密(Segmentation and Encrypted Communication)
在作業(yè)環(huán)境中適當(dāng)設(shè)置防火墻進(jìn)行隔離���,可阻絕不必要的網(wǎng)絡(luò)流量或病毒利用內(nèi)網(wǎng)橫向擴(kuò)散感染;甚至可在電信網(wǎng)絡(luò)中將端點(diǎn)與端點(diǎn)之間做加密,避免傳輸過程中發(fā)生數(shù)據(jù)竄改與泄漏等情事��。把觸角進(jìn)一步延伸至IoT設(shè)備或個(gè)人計(jì)算機(jī)設(shè)備�,感染時(shí)便能降低入侵者擴(kuò)散到其他裝置的可能,并透過數(shù)據(jù)加密技術(shù)確保其安全性�����。
3. 角色訪問控制(Role-Based Access Control)
當(dāng)進(jìn)入系統(tǒng)環(huán)境連接特定的主機(jī)進(jìn)行操作或檢視�、擷取相關(guān)數(shù)據(jù)時(shí),用戶身分為何?是使用計(jì)算機(jī)或手機(jī)平板?在會(huì)議室��、辦公室或自己家中?于何時(shí)做了什么樣的應(yīng)用、存取什么數(shù)據(jù)?等皆要有相對應(yīng)的安全控管�。因此會(huì)關(guān)系到人員身分、所用設(shè)備���、地點(diǎn)���、時(shí)間����、存取應(yīng)用或資源等五個(gè)因素,針對其角色賦予訪問權(quán)限����。
4. 漏洞修補(bǔ)(Vulnerability & Patch)
由于大部分的信息安全技術(shù)建立在已知的病毒與攻擊手法上�,難以在現(xiàn)有防護(hù)策略上實(shí)時(shí)發(fā)揮遏阻效果,需有一中央單位負(fù)責(zé)收集所有情資����。今年1月正式運(yùn)作的網(wǎng)絡(luò)安全信息分享與分析中心(N-ISAC)����,即是通過跨領(lǐng)域的資安信息分享����,提升情資分享的實(shí)時(shí)性、正確性及完整性�,才能達(dá)到更好的網(wǎng)絡(luò)安全預(yù)警防護(hù)���。另外如Fortinet所代理的FortiGuard威脅情資云端服務(wù)(Threat
Intelligence Service)����,便擷取全球的網(wǎng)絡(luò)安全威脅情報(bào)���,于云端實(shí)時(shí)更新���、分析病毒或攻擊活動(dòng)趨勢,提供用戶預(yù)防或修復(fù)方法��。
