以下是將各項風險彙整,IoT應用之前,可以先考慮各層面的風險之後,評估自身條件,是否能透過其他輔助機制降低風險,當各風險層級在可控制的範圍內時,就能讓企業在IoT的經營範疇內,有效降低風險,同時,也讓企業能夠透過定期評估,有效的經營及管理。三十天分享,如有錯誤,請多包涵,也謝謝每年的鐵人賽,讓自己能夠在繁體中文的資訊裡面,留下一些足跡! 感謝~~
物聯網的基本構架:感知層、網絡層和應用層。
(1) `感知層(Device)`:就是應用無線感應的東西,來傳遞訊息到資料庫裡,例如:QR code、RFID等等條碼感知技術。
(2) `網路層(Connect)`:就是網路、網域等等的網路技術,感知層收到訊息後,透過各種網路傳遞訊訊息,此時就需要網路轉換、傳遞與分析,所以這塊領域很大,專業性也強,也是探討物聯網風險因子當中的重點。
(3) `應用層(Manage)`:就是如何應用分析後的資料,這裡面也包含了後續維護與管理,遇到錯誤時,如何回報給前端進行修正,簡單解釋就是除了實際的應用外,也包含了保固、售後服務等。
環境風險:網路層
1.1 共享技術的漏洞
1.2 法規遵循的困難
1.3 供應鏈故障
1.4 在進行惡意探測或掃描
1.5 從法律影響的風險變化
1.6 社會工程攻擊
1.7 不安全的無線通訊渠道
1.8 自然災害
1.9 虛擬機管理程序的複雜性
1.10 通訊標準/規格定義感知層
1.11 節點設備電力消耗
1.12 人身健康問題
流程風險:應用層
2.1 侵犯隱私資料
2.2 缺乏整合感知層
2.3 侵犯隱私資料(位置隱私)
2.4 訊息竊聽
2.5 洩漏秘密
決策風險:網路層
3.1 稽核與蒐證的問題
3.2 長期和永久停運
營運風險:應用層
4.1 對於故障的應急管理策略網路層
4.2 缺乏治理機制
4.3 因其他承租服務者的行為導致公司商譽受損
4.4 資源不足
4.5 經濟阻斷服務
4.6 客戶「固化」程序(嚴謹程序)和雲端環境之間的衝突
4.7 數據提供者與數據使用者缺乏信賴感知層
4.8 假標籤
4.9 設備更新/版本控制
授權風險:應用層
5.1 存取權限管控
5.2 資料所有權
5.3 資料分享給第三方團體網路層
5.4 雲端服務的終止或失效
5.5 雲端服務供應商合併
5.6 特權升級
資料處理與資訊風險:應用層
6.1 阻斷服務
6.2 身分認證
6.3 軟體漏洞與保護機制
6.4 需要新的專業技能
6.5 穩建且易於使用的系統
6.6 海量數據處理、過濾及探勘 網路層
6.7 資料洩漏
6.8 資料遺失
6.9 帳戶或服務被侵入
6.10 不安全的介面與應用程式介面(API)
6.11 DoS阻斷服務、DDoS分散式阻斷服務
6.12 資料存取控制安全及資料分隔
6.13 資料復原及可信賴度
6.14 被侷限在同一平台
6.15 隔離措施失效
6.16 在傳輸過程中截取數據
6.17 在上/下載過程資料洩漏
6.18 不安全或無效的資料刪除
6.19 加密密鑰遺失
6.20 妥協服務引擎
6.21 傳票和電子蒐證
6.22 數據保護風險
6.23 憑證風險
6.24 網路中斷
6.25 網路管理
6.26 修改網路流量
6.27 丟失或操作日誌的妥協
6.28 損失或安全日誌的妥協
6.29 備份遺失、被竊
6.30 未經授權存取
6.31 資料儲存位置
6.32 虛擬網路保護
6.33 客戶端保護
6.34 臨時故障
6.35 處理與儲存大量數據感知層
6.36 DoS 攻擊
6.37 通訊流分析
6.38 關鍵的安全數據封包遺失
6.39 使用眾所皆知的保護機制
道德風險:應用層
7.1 資料洩漏
7.2 惡意的內部員工網路層
7.3 惡意的內部員工
7.4 雲端服務提供商惡意隱瞞
7.5 管理介面妥協
財務風險:網路層
8.1 雲端服務的濫用
8.2 未做足夠的服務調查
8.3 維護設備網路成本感知層
8.4 實體攻擊
8.5 維護設備成本
8.6 設備失竊