iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 17
1
IoT

物聯網風險性之探討系列 第 17

DAY 17 風險類別-資料處理與資訊風險-應用層:6.1 阻斷服務、6.2 身分認證 、6.3軟體漏洞與保護機制、6.4需要新的專業技能、6.5穩建且易於使用的系統、6.6海量數據處理過濾及探勘

  • 分享至 

  • xImage
  •  

本篇的風險因子很多,所以圖面就麻煩多滾一下滑鼠滾輪了,畫面筆者是分兩段截取,請多包涵!


https://ithelp.ithome.com.tw/upload/images/20200930/20107482oU8TJpJDGa.jpg
https://ithelp.ithome.com.tw/upload/images/20200930/201074822Evc3vEMUI.jpg

風險類別--資料處理與資訊風險--應用層
6.1 阻斷服務
《新聞分享》:[攻防演練趨勢探討] 分散式阻斷服務(DDoS)攻擊,如何實兵演練?!
(新聞來源:資安人 2020-09-14:https://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=8845 )

《筆者分析及建議》

有關於DDoS的攻擊,本篇新聞分享了DDoS的模擬測試軟體,金管會也曾與各大金控業者模擬過類似的攻擊,當然中小企業基本上是不太可能有錢能夠購買或模擬這些阻斷服務的演練,即使如此,還是要定期做好資安宣導。

只是當進化到物聯網時代,大部分是互相相連的,個體防護做好,不代表所有的連結都沒問題,所以在考量到這個風險時,就不能只放在一個小範圍內思考,如果企業間無法串連起來對抗阻斷式服務攻擊,至少,也要有相對阻隔措施,這是筆者對於阻斷式服務攻擊的建議。


6.2 身分認證
6.3軟體漏洞與保護機制
(6.2及6.3合併說明)
《新聞分享》:應用層身份辨識把關 遏制假冒身份登入
(新聞來源:網管人 2019-03-05:https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/06C8771BCCDA4AFEB2A385ADD1BA2FEE )

《筆者分析及建議》

傳統的網路層認證與應用層認證是獨立分開的,但是由於雲端使用,讓這兩層的界線變得很模糊,由於應用層的雲端服務是由電信業者提供,因此企業無法掌握到第三方的參數設定,因此在應用層這裡最好就要採用獨立的認證方式,也就是要用加密的方式來進行。

現在外面已經有很多加密軟體,例如GPG (GnuPG;GNU Privacy Guard),很多軟體業者也有提供產品資訊,在預算範圍內,還是購買適合的加密軟體,減低應用層的風險。


6.4需要新的專業技能
《新聞分享》:物聯網應用工程師職能基準
(新聞來源:物聯網應用工程師職能基準- iCAP職能發展應用平台:https://icap.wda.gov.tw/File/datum/105088001v1.pdf )

《筆者分析及建議》

有關於物聯網的專業技能,可以參考新聞分享內職能基準,就專業技能風險而言,技術是日新月異,重點是要把基礎概念建構好,很少人能夠ㄧ直更新新的技能,但是,如果有基本觀念,加上解決問題的能力,往後就只是延伸應用,其他就是公司是否有固定提供職能訓練的機會以及證照的更新,只要肯學習,這部分的風險應該不是太高。


6.5穩建且易於使用的系統
《新聞分享》:七個確保物聯網成功的最重要決策
(新聞來源:EET TAIWAN:https://www.eettaiwan.com/20191217ta31-seven-most-important-decisions-to-ensure-iot-success/ )

《筆者分析及建議》

有關於系統,還是必須要考量到預算情況,另外也得要思考未來性,我們都了解穩建的系統這是很基本的物聯網要素之ㄧ,但因為企業每年都會調整預算,物聯網的建構如果在預算考量之下,還是要捨棄成本過高的決策,主要還是要看企業預算,在合理範圍內,降低系統的不穩定風險。


6.6海量數據處理、過濾及探勘
《新聞分享》:如何根據業務需求擬定數據策略?從阿里巴巴、淘寶轉型實例認識「大數據營運」
(新聞來源:TechOrange科技橘報 2020-08-31:
https://buzzorange.com/techorange/2020/08/31/data-management/ )

《筆者分析及建議》

企業大數據的蒐集,必須有一定規則與方向,而非毫無計畫的蒐集,例如以業務導向為主的大數據,就要由業務人員進行一系列的過濾,找出有用的資料再進行比較分析,同時要避免觸犯個資法的規定,物聯網的應用,就是透過雲端來建立資料庫,資料庫的分類就是針對客戶的習性,統計出一定規則,然後進行商業布局,雖大數據資料可以在資料庫內,依設定參數及規則自動分類,不過,還是要注意其他不可控的因素,例如目前的疫情,影響了商業模式之下,許多大數據參數設定還是要跟著調整,彈性與調整也是減低海量數據分析風險的方式之一。


上一篇
DAY 16 第十六章 風險類別-授權風險-網路層:5.4 雲端服務的終止或失效 、5.5 雲端服務供應商合併、 5.6 特權升級
下一篇
DAY 18 第十八章 風險類別-資料處理與資訊風險-網路層: 6.7 資料洩漏 、6.8 資料遺失、6.9 帳戶或服務被侵入、 6.10 不安全的介面與應用程式介面(API)
系列文
物聯網風險性之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言