IoT設(shè)備安全問題是當今世界面臨的一大難題，這些問題大多都是相似的，解決思路各有各的不同，以下可供參考。

IoT設(shè)備存在哪些網(wǎng)絡(luò)安全問題?阿什和加利根指出，隨著 IoT 設(shè)備不斷普及，傳感器、遠程技術(shù)、數(shù)據(jù)分析和人工智能的使用范圍越來越廣，美國國防部和情報機構(gòu)的網(wǎng)絡(luò)邊界也隨之擴大，這有利于提高通信協(xié)同能力，但同時也面臨著新的安全挑戰(zhàn)。美國戰(zhàn)場通訊設(shè)備面臨著兩大主要挑戰(zhàn)：

• IoT 設(shè)備安全– 到目前為止，美國戰(zhàn)場甚至還沒有推出用于 IoT 設(shè)備的標準操作系統(tǒng)。
• IoT 設(shè)備規(guī)模相當龐大– 面臨著適當監(jiān)控和管理大量 IoT 設(shè)備和傳感器的問題。

專家表示，要克服這些困難，美國國防部機構(gòu)應(yīng)當重新審查IT基礎(chǔ)設(shè)施，并考慮如何提供安全的 IoT 解決方案，他們提出可從以下四個方面著手：

網(wǎng)絡(luò)設(shè)備可視化

可見性對于監(jiān)控用戶活動及識別有關(guān)設(shè)備至關(guān)重要。管理人員還需要具備新的網(wǎng)絡(luò)洞察力不斷改進并維護性能。美國國防部(DOD)網(wǎng)絡(luò)管理人員需了解連接的具體設(shè)備，如何連接?連接到哪里?設(shè)備的狀態(tài)如何?與每臺設(shè)備或傳感器關(guān)聯(lián)的用戶是誰?美國國防部網(wǎng)絡(luò)管理人員需要端對端的可見性來捕獲此類信息，并用來提供決策依據(jù)。

[[218711]]

例如，新兵不止具備一臺無線電廣播設(shè)備，今后還將擁有語音數(shù)據(jù)無線電廣播設(shè)備、顯示器、生物傳感器、其它類型的傳感器、各類致動器等設(shè)備。為了提高此類設(shè)備和傳感器的可見性，美國國防部(DOD)機構(gòu)應(yīng)當使用戰(zhàn)術(shù)網(wǎng)絡(luò)，該網(wǎng)絡(luò)使用支持復(fù)雜通信安全分段的特定架構(gòu)，創(chuàng)建具有中心匯聚連接點的網(wǎng)絡(luò)分支，從而形成樹形結(jié)構(gòu)。這樣一來，美國國防部便能了解士兵的安全狀況，因為其使用的設(shè)備和傳感器在網(wǎng)絡(luò)上是可見的。

健全安全訪問機制

確保戰(zhàn)場 IoT 設(shè)備的訪問安全是一項巨大挑戰(zhàn)。要做到這一點，網(wǎng)絡(luò)管理人員應(yīng)當創(chuàng)建個人身份，并使用網(wǎng)格通過 VPN 在有線、無線或遠程訪問的設(shè)備上分配安全策略和功能。美國國防部(DOD)最近發(fā)出一項命令，要求承包商根據(jù) NIST 特刊800-171使用這種訪問類型，并為網(wǎng)絡(luò)上的每臺設(shè)備建立安全態(tài)勢，以跟蹤每臺設(shè)備的關(guān)鍵任務(wù)。

為了確保士兵安全，士兵需要在任務(wù)開始時訪問每臺設(shè)備和傳感器，在任務(wù)結(jié)束時將設(shè)備和傳感器從網(wǎng)絡(luò)中移除。當每臺設(shè)備和傳感器進入網(wǎng)絡(luò)時，DOD 網(wǎng)絡(luò)必須能夠識別，使用微分段允許訪問某些設(shè)備，并根據(jù)安全級別阻止他人訪問。如果網(wǎng)絡(luò)無法正確管理設(shè)備和傳感器，將會將任務(wù)和士兵置于風險之中。

[[218712]]

分段保護機密數(shù)據(jù)

美國國防部(DOD)的網(wǎng)絡(luò)需要將 IoT 設(shè)備的功能最大化，同時保持高水平的安全。分段是保護機密數(shù)據(jù)安全與防止非授權(quán)用戶訪問的重要部分。IoT設(shè)備大幅增加使得 DOD 的網(wǎng)絡(luò)環(huán)境日益復(fù)雜。因此 DOD 機構(gòu)需要一個解決方案來簡化管理，并直接將分段構(gòu)建到網(wǎng)絡(luò)當中?；谠O(shè)備和用戶身份的策略驅(qū)動分段將簡化網(wǎng)絡(luò)訪問，有助于集中實施分段策略。

對于士兵而言，這些設(shè)備和連接的傳感器必須具備分段用戶安全及訪問權(quán)限，從而使未經(jīng)授權(quán)的用戶無法訪問士兵的無線電廣播設(shè)備、GPS 或生物傳感器數(shù)據(jù)。只有具備特定安全級別的用戶才能使用該士兵的設(shè)備和傳感器數(shù)據(jù)。

安全協(xié)議預(yù)配置

為了加強美國國防部(DOD)網(wǎng)絡(luò)的防護能力，保護 IoT 設(shè)備，有必要在設(shè)備進入網(wǎng)絡(luò)之前使安全協(xié)議和設(shè)備功能可用。此外，有必要在安全協(xié)議部署到位之前對系統(tǒng)進行預(yù)配置。這樣一來，當任務(wù)發(fā)生變化時，動態(tài)配置并修改設(shè)備部署會變得更加容易。如果網(wǎng)絡(luò)無法無法對設(shè)備和安全協(xié)議進行預(yù)配置，或無法進行調(diào)整，那么該過程就不現(xiàn)實。

比如，如果安全協(xié)議和設(shè)備功能在行動部署之前可用，那么安全服務(wù)便能得以擴展，甚至可以擴展至士兵的戰(zhàn)術(shù)空間。戰(zhàn)術(shù)基礎(chǔ)設(shè)施可能需要長期運作，因為士兵使用的飛行資產(chǎn)會收集任務(wù)相關(guān)信息，但是一旦任務(wù)發(fā)生變化，就必須修改安全協(xié)議，以此確保所有設(shè)備以及士兵的安全。

借助這些概念，美國國防部機構(gòu)可架設(shè)IT基礎(chǔ)設(shè)施，打造成功的IoT。設(shè)備和傳感器將保持安全和良好的管理狀態(tài)，因為每臺設(shè)備、傳感器和用戶將具備特定的安全與任務(wù)態(tài)勢來識別所有網(wǎng)絡(luò)端點，確定這些端點的訪問方式，定義數(shù)據(jù)的分段方式，并對所有設(shè)備和安全協(xié)議進行預(yù)配置，以便更好地協(xié)助執(zhí)行任務(wù)。這種綜合的方式將使美國國防部在戰(zhàn)場上利用IoT的潛力，同時確保通信安全。