自帶設(shè)備是近十余年來重要的物聯(lián)網(wǎng)設(shè)備部署，主要集中在移動(dòng)手機(jī)和筆記本電腦等用戶擁有的設(shè)備上。在此期間，系統(tǒng)管理員也努力將安全無保護(hù)的設(shè)備部署到主干封閉網(wǎng)絡(luò)中，但網(wǎng)絡(luò)罪犯很快就會(huì)利用這種新的攻擊載體。

一、人均網(wǎng)絡(luò)設(shè)備數(shù)量即將達(dá)到7臺(tái)。

發(fā)展到今天，這個(gè)問題更復(fù)雜了。用戶已經(jīng)開始使用智能手機(jī)代替功能機(jī)，在此基礎(chǔ)上能夠運(yùn)行的應(yīng)用程序遠(yuǎn)遠(yuǎn)超出了誰(shuí)的想象。同時(shí)，其他智能設(shè)備（包括可穿戴設(shè)備和平板電腦）將持續(xù)增加，一些專家預(yù)計(jì)到2020年人均網(wǎng)絡(luò)設(shè)備數(shù)量將達(dá)到7臺(tái)。

或許你會(huì)認(rèn)為，用戶終端設(shè)備已經(jīng)夠多了，事實(shí)上也是如此，但其他IoT設(shè)備也在以前所未有的的速度在網(wǎng)絡(luò)內(nèi)部急劇增加，從智能家電和庫(kù)存跟蹤裝置到網(wǎng)絡(luò)醫(yī)療和IOT設(shè)備。這種擴(kuò)展是大規(guī)模數(shù)據(jù)增長(zhǎng)背后的重要驅(qū)動(dòng)因素，為網(wǎng)絡(luò)流量的巨大比例做出了貢獻(xiàn)。專家們認(rèn)為到2023年為止有近320億臺(tái)物聯(lián)網(wǎng)設(shè)備，以43%的復(fù)合年增長(zhǎng)率支持全球移動(dòng)數(shù)據(jù)流量。

二、大部分IT安全架構(gòu)還沒有準(zhǔn)備好

許多這樣的數(shù)據(jù)需要加密大部分?jǐn)?shù)據(jù)，因?yàn)樗鼈儽仨氃诓煌W(wǎng)絡(luò)（包括多云環(huán)境）內(nèi)的各種應(yīng)用程序和事務(wù)之間移動(dòng)。

除了數(shù)據(jù)量本身迅速超過安全設(shè)備的消化能力外，加密機(jī)構(gòu)的介入也會(huì)帶來新的復(fù)雜層。在檢查SSL流量方面，世界上大多數(shù)部署的安全解決方案都很難應(yīng)付隨之而來的巨大壓力。另外，將來很多邊緣和內(nèi)部安全設(shè)備都需要將其作為自己的主要功能。

對(duì)于在新興數(shù)字市場(chǎng)競(jìng)爭(zhēng)的組織來說，安全事故確實(shí)是不能接受的。更糟糕的是，用戶總是找到繞過安全機(jī)制的方法，給網(wǎng)絡(luò)系統(tǒng)帶來致命的軟肋。

對(duì)安全團(tuán)隊(duì)來說，為了充分利用安全檢查和協(xié)議機(jī)制而放慢速度是不可接受的處理設(shè)想。考慮到嚴(yán)格的安全預(yù)算，幾乎不可能升級(jí)足夠的安全設(shè)備來滿足這樣嚴(yán)格的性能要求。

除了上述因素之外，組織在不同的網(wǎng)絡(luò)域之間傳輸數(shù)據(jù)時(shí)還必須實(shí)施統(tǒng)一的安全策略。這確實(shí)增加了安全問題的復(fù)雜性，組織在各種網(wǎng)絡(luò)生態(tài)系統(tǒng)的中央配置了具有相同功能和特性的工具。

三、如何利用階段性機(jī)制保護(hù)物網(wǎng)絡(luò)？

實(shí)現(xiàn)這個(gè)目標(biāo)的重要戰(zhàn)略是實(shí)施全面的階段性戰(zhàn)略。對(duì)于此類行的一組有效的物理網(wǎng)絡(luò)（IoT）安全策略，需要執(zhí)行以下三個(gè)基本步驟。

1、建立廣泛的可視性

許多組織面臨的最大挑戰(zhàn)是識(shí)別和跟蹤訪問網(wǎng)絡(luò)的所有物聯(lián)網(wǎng)設(shè)備。網(wǎng)絡(luò)訪問控制使組織能夠以安全的方式認(rèn)證和分類物聯(lián)網(wǎng)設(shè)備。通過根據(jù)接入點(diǎn)實(shí)時(shí)發(fā)現(xiàn)和分類設(shè)備，IT團(tuán)隊(duì)可以構(gòu)建風(fēng)險(xiǎn)概況，并自動(dòng)將物聯(lián)網(wǎng)設(shè)備分配給相應(yīng)的設(shè)備組和并做成相應(yīng)策略。

2、立足生產(chǎn)網(wǎng)絡(luò)進(jìn)行物聯(lián)網(wǎng)分段

一旦網(wǎng)絡(luò)確定了物聯(lián)網(wǎng)設(shè)備，IT團(tuán)隊(duì)接下來就需要建立物聯(lián)網(wǎng)攻擊面控制機(jī)制。將物聯(lián)網(wǎng)設(shè)備和相關(guān)通信分割為基于策略的組和安全網(wǎng)絡(luò)區(qū)域，提供可通過網(wǎng)絡(luò)自動(dòng)賦予和執(zhí)行的基準(zhǔn)物聯(lián)網(wǎng)設(shè)備的構(gòu)成權(quán)限，

庫(kù)存管理工具可以跟蹤這些設(shè)備，行為分析工具可以監(jiān)視其行為，應(yīng)用ISFW（ISFW）不僅可以使組織快速且動(dòng)態(tài)地監(jiān)視其行為，還能夠檢查跨越分段邊界的應(yīng)用程序及其它流量。

3、保護(hù)網(wǎng)絡(luò)

通過建立策略驅(qū)動(dòng)的物聯(lián)網(wǎng)組并將其與內(nèi)部網(wǎng)絡(luò)段結(jié)合，無論分布式企業(yè)級(jí)基礎(chǔ)架構(gòu)的具體部署位置如何，都可以根據(jù)行動(dòng)多層監(jiān)視、檢查和實(shí)施設(shè)備策略，相互隔離的安全設(shè)備可以在物質(zhì)網(wǎng)絡(luò)流量通過網(wǎng)絡(luò)的期間使各種威脅信息相關(guān)聯(lián)，這些集成工具對(duì)所有物聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)中任何地方的異常流量（如接入點(diǎn)、網(wǎng)絡(luò)段間流量、多云部署環(huán)境等）自動(dòng)應(yīng)用高級(jí)安全功能。

將物聯(lián)網(wǎng)設(shè)備視為業(yè)務(wù)系統(tǒng)的孤立或獨(dú)立的組成部分將不具可行性。物聯(lián)網(wǎng)設(shè)備及其相關(guān)數(shù)據(jù)允許擴(kuò)展網(wǎng)絡(luò)中的其他設(shè)備與資源進(jìn)行互，這提高了各種端點(diǎn)設(shè)備、多云環(huán)境和互連的程度。

傳統(tǒng)的隔離型物聯(lián)網(wǎng)安全解決方案不僅增加開銷，降低可見性，而且完全無法應(yīng)對(duì)來自現(xiàn)在的物聯(lián)網(wǎng)設(shè)備的大流量。為了充分保護(hù)網(wǎng)絡(luò)和物聯(lián)網(wǎng)，組織跨網(wǎng)絡(luò)環(huán)境部署了廣泛的安全體系結(jié)構(gòu)、強(qiáng)大的安全工具，對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行動(dòng)態(tài)分段，同時(shí)在符合網(wǎng)絡(luò)速度的水平上進(jìn)行加密老虎組織必須實(shí)現(xiàn)不同安全解決方案之間的深度集成，關(guān)聯(lián)威脅信息，自動(dòng)立足于分布式物聯(lián)網(wǎng)內(nèi)的任意地方，應(yīng)對(duì)檢測(cè)到的威脅。
責(zé)任編輯人：CC