iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 20
1
IoT

物聯網風險性之探討系列 第 20

DAY 20 風險類別-資料處理與資訊風險-網路層:6.15 隔離措施失效、6.16 在傳輸過程中截取數據、6.17 在上/下載過程資料洩漏、6.18 不安全或無效的資料刪除

  • 分享至 

  • xImage
  •  

https://ithelp.ithome.com.tw/upload/images/20201002/20107482mV1KOTQYGi.jpg

風險類別--資料處理與資訊風險--網路層
6.15 隔離措施失效
《新聞分享》:防範物聯網裝置衍生的威脅,思科呼籲應重視OT的資訊安全
(新聞來源:iThome 2019-01-24:https://www.ithome.com.tw/news/128426 )

《筆者分析及建議》

想要防範鎖定物聯網裝置的攻擊,Timothy Snow表示,企業執行需透過3種層次的步驟--列管、監控,以及防禦。

該風險可以參酌以上的新聞說明方式,來降低企業網路層隔離措施失效的風險,只是,筆者認為,目前很多企業的網路設備都是交給外包商,通常都是由外包廠商來提供後端的監控,以一般公司現有的能力看來,大部分仍不具有以上三個步驟的能力。但,仍可以由定期訪談,留下紀錄,並且請廠商提供設備清冊,定期抽點『看得見』的設備、紀錄,其他的部分,還是只能靠外包商是否願意配合企業的查核。


6.16 在傳輸過程中截取數據
6.17 在上/下載過程資料洩漏
(6.16與6.17合併說明)

《新聞分享》:一文讓你看懂,https如何保證數據傳輸的安全性
(新聞來源:每日頭條 2018-07-30:https://kknews.cc/zh-tw/code/xpxk2k8.html )

《筆者分析及建議》

當資料上下載過程中,有可能被攔截,進而破解對話內容,以目前網路憑證的加密方式,如新聞所提的三種方式:對稱、非對稱、簽章憑證都是目前很普遍使用的方式,不過,筆者倒是覺得台積電的的保密方式是目前最保險的,雖然很原始,但是卻能有效的阻隔數據被截取的風險,台積電是將書面、聲音、影像三者分流,利用不同方式以及時差傳送,變成即使你獲取信件,沒有解說,也看不懂內容;同理,即使獲取聲音,沒有資料,也會出現重大落差,也就是說,台積電播放視訊影片,卻透過電話通話,書面的部分又是另外寄送,所以三者要合一才能有完整的資訊。在成本的考量下,其時台積電現有的做法,雖然比較耗時,但是分流卻是正確的做法,如此也可以省去數據被截取的風險,需要的加密技術也不需要高到一個門檻了。


6.18 不安全或無效的資料刪除
《新聞分享》:Google Drive垃圾桶檔案將只保留30天 超過即自動永久清除
(新聞來源:udn聯合新聞網 2020-09-22:https://udn.com/news/story/11017/4871398 )

《筆者分析及建議》

把資料放在雲端之後,通常最容易犯的,就是忘了定期清除資料,導致伺服器上面到底還有哪些資料,連上傳者自己都不清楚,正常的狀況底下,企業會管理實體收發文,並且定期銷毀,可是到網路上,一來會認為空間還剩餘不少,同時,刪除又要花時間,等到哪天想到了,發現資料夾已經空間快不足了,因此該如何克服這個風險,可能要從培養定期清理習慣開始了,如新聞所說,google如果能定期或多次通知檢視,然後給予三十天的注意時間,若是連這樣的緩衝機制都不能配合,那麼只好讓網路自行來管理,不能無限制的不予控管容量、流量,只要有緩衝或回復機制存在,就還能解決此類風險。


上一篇
DAY 19 第十九章 風險類別-資料處理與資訊風險-網路層:6.11DoS阻斷服務、DDoS分散式阻斷服務、6.12資料存取控制安全及資料分隔、6.13資料復原及可信賴度、6.14被侷限在同一平台
下一篇
DAY21 第二十一章 風險類別-資料處理與資訊風險-網路層:6.19 加密密鑰遺失、6.20 妥協服務引擎、6.21 傳票和電子蒐證、6.22 數據保護風險
系列文
物聯網風險性之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言