從近期的新聞報(bào)道中我們會看到,伴隨著大量智能化設(shè)備今天可以經(jīng)由互聯(lián)網(wǎng)與其它設(shè)施通訊,這使得人們在不經(jīng)意間被窺探,從而可能會招致令人厭惡的結(jié)果。例如今天的汽車可以通過內(nèi)置的智能化設(shè)備與網(wǎng)絡(luò)連接,以實(shí)現(xiàn)遠(yuǎn)程控制。
這便是我們談到的物聯(lián)網(wǎng)(IoT),它連接起具有嵌入式智能和通訊功能的一切。本文將探討這方面的發(fā)展將會對你所在的企業(yè)帶來哪些影響,為何說需要建立起物聯(lián)網(wǎng)風(fēng)險(xiǎn)管理策略,以及如何調(diào)整業(yè)務(wù)連續(xù)性(BC)和災(zāi)難恢復(fù)(DR)規(guī)劃來應(yīng)對這些問題。
先來看兩種工具:風(fēng)險(xiǎn)評估(Risk Assessment,簡稱RA)旨在識別出潛在的威脅和系統(tǒng)脆弱性;而業(yè)務(wù)影響分析(Business Impact Analysis,簡稱BIA)則可用以確定其對企業(yè)和組織在運(yùn)營、財(cái)務(wù)、競爭,以及聲譽(yù)方面的潛在影響。
從技術(shù)角度來看,最常見的風(fēng)險(xiǎn)源自于互聯(lián)網(wǎng)接入的中斷。今天絕大多數(shù)企業(yè)和組織嚴(yán)重依賴互聯(lián)網(wǎng)接入,即便只有很短時(shí)間的斷網(wǎng)都可能引發(fā)災(zāi)難性的損失。RA可以用以深入挖掘互聯(lián)網(wǎng)接入設(shè)計(jì)方面的漏洞。例如單一的互聯(lián)網(wǎng)服務(wù)提供商(ISP)可能會是主要的單點(diǎn)故障。這個(gè)問題可以通過引入使用不同基礎(chǔ)設(shè)施的ISP,輕松加以解決。
在物聯(lián)網(wǎng)風(fēng)險(xiǎn)評估中應(yīng)該包含哪些內(nèi)容?
假如從單純的基礎(chǔ)互聯(lián)網(wǎng)訪問提升至物聯(lián)網(wǎng)管理風(fēng)險(xiǎn),那么我們所采取的策略必須有所改變。從RA角度來看, 你需要有更廣闊的視野才能找出被忽略的其它風(fēng)險(xiǎn)、威脅和漏洞。最好的辦法是進(jìn)行物聯(lián)網(wǎng)風(fēng)險(xiǎn)評估。
在物聯(lián)網(wǎng)風(fēng)險(xiǎn)評估中,連接到互聯(lián)網(wǎng)上的所有設(shè)備都應(yīng)逐一瀏覽檢查,諸如桌面系統(tǒng)、筆記本電腦、打印機(jī)、掃描儀、復(fù)印機(jī)以及諸如傳真機(jī)之類的辦公設(shè)備;你還應(yīng)該囊括數(shù)據(jù)中心內(nèi)部、云端以及混合云的方式的聯(lián)網(wǎng)設(shè)備;甚至連接的外部企業(yè)組織,如關(guān)鍵客戶、供應(yīng)商以及社交媒體。
接下來,你需要添加其它的系統(tǒng),諸如閉路安全監(jiān)控系統(tǒng)、物理訪問控制系統(tǒng)(如IC卡)、HAVC系統(tǒng)、火災(zāi)探測與抑制系統(tǒng)、建筑照明系統(tǒng)、備用電源系統(tǒng)(如不間斷電源和外部柴油發(fā)電機(jī))、自動售貨機(jī)、微波爐、咖啡機(jī)、智能手機(jī)、電子記事本、數(shù)碼相機(jī)、內(nèi)部電視系統(tǒng)、視頻會議系統(tǒng),甚至辦公樓車庫門控制設(shè)備。
在上述項(xiàng)目被納入物聯(lián)網(wǎng)風(fēng)險(xiǎn)管理評估中,你還需要識別其它一些潛在漏洞,以防被企業(yè)組織的內(nèi)外部人員不法利用。
將上述要點(diǎn)串聯(lián)起來可以有助于你找出內(nèi)外部系統(tǒng)與個(gè)人之間未曾揭露出的關(guān)系。一旦找出潛在的威脅,下一步便是找出方法,預(yù)防其發(fā)生,并減輕其嚴(yán)重性。
在物聯(lián)網(wǎng)風(fēng)險(xiǎn)實(shí)際發(fā)生之前加以抑制
與經(jīng)驗(yàn)豐富的第三方合作,接受補(bǔ)救措施建議,如執(zhí)法機(jī)構(gòu)、地方或國家級的應(yīng)急管理,以及接受過物聯(lián)網(wǎng)風(fēng)險(xiǎn)管理專業(yè)培訓(xùn)的專家。
一旦明確了物聯(lián)網(wǎng)威脅,那么需要用BIA流程來確定物聯(lián)網(wǎng)中斷對企業(yè)產(chǎn)生的影響。關(guān)鍵系統(tǒng)上出現(xiàn)的運(yùn)營異??赡軙p害企業(yè)的聲譽(yù)。例如外部的代理機(jī)構(gòu)可能會遠(yuǎn)程操控關(guān)鍵系統(tǒng)發(fā)送到客戶的數(shù)據(jù),從而導(dǎo)致系統(tǒng)故障并損害客戶的業(yè)務(wù)。
如果有人或其他組織能夠使用互聯(lián)網(wǎng)擅自接管你企業(yè)的業(yè)務(wù),這對你們的潛在影響巨大。今天,這些事件發(fā)生的頻率比以往要高出許多,但是可以通過合適的物聯(lián)網(wǎng)風(fēng)險(xiǎn)管理規(guī)劃來加以防范。
確保網(wǎng)絡(luò)周邊的保護(hù)是最新的,并能夠得以不斷增強(qiáng),這包括防火墻、入侵檢測與預(yù)防系統(tǒng)、增強(qiáng)網(wǎng)絡(luò)監(jiān)控技術(shù)、以及防病毒、反垃圾郵件和反釣魚軟件。確保數(shù)據(jù)在存儲和傳輸過程中都被加密。定期備份關(guān)鍵系統(tǒng)、虛擬機(jī)和其中的數(shù)據(jù),以便能順利恢復(fù)到初始環(huán)境。仔細(xì)篩選你的員工,想一下誰有能力使用物聯(lián)網(wǎng)技術(shù)來破壞公司業(yè)務(wù)。
如果發(fā)生了在短時(shí)間難以解釋的事故,最新的BC計(jì)劃將通知員工、主要的企業(yè)利益相關(guān)者、執(zhí)法機(jī)構(gòu)、政府機(jī)構(gòu)和其他人所應(yīng)采取的步驟。這或許是在處理未知威脅時(shí)所能采取的最重要的BC行動。