當(dāng)我們的網(wǎng)絡(luò)安全系列結(jié)束時(shí)，以下是在設(shè)計(jì)、部署和管理物聯(lián)網(wǎng)解決方案時(shí)需要牢記的最重要因素。智能連接產(chǎn)品時(shí)代正在將每個(gè)公司變成軟件公司。連接、管理和監(jiān)控全球資產(chǎn)的能力伴隨著安全收集和存儲數(shù)據(jù)并防止惡意行為者獲得控制權(quán)的責(zé)任。

將我們的網(wǎng)絡(luò)安全系列聯(lián)系在一起的主要主題是網(wǎng)絡(luò)安全沒有靈丹妙藥。任何新穎的網(wǎng)絡(luò)安全解決方案都會刺激第三方黑客的創(chuàng)新。因此，重要的是要將網(wǎng)絡(luò)安全視為持續(xù)改進(jìn)的組織流程，而不是 IT 部門在單個(gè)時(shí)間點(diǎn)實(shí)施的解決方案。我們的系列文章有 3 個(gè)主要要點(diǎn)，需要成為任何公司正在進(jìn)行的網(wǎng)絡(luò)安全流程的一部分：

1. 建立縱深防御

需要采用分層的安全方法來最大限度地減少攻擊媒介。由于黑客可以通過多種不同方式訪問敏感系統(tǒng)，因此需要在用戶和管理級別包含多種類型的解決方案。解決方案還需要與不同工作地點(diǎn)以及遠(yuǎn)程工作的可用基礎(chǔ)設(shè)施兼容。

作為縱深防御的一部分，不要忽視物理安全在網(wǎng)絡(luò)安全中的重要性。黑客利用物理世界中的漏洞來訪問安全的數(shù)字空間是很常見的。

2. 從任何新的物聯(lián)網(wǎng)計(jì)劃一開始就考慮網(wǎng)絡(luò)安全

從開發(fā)過程一開始就需要考慮安全問題。將網(wǎng)絡(luò)安全納入應(yīng)用程序開發(fā)的設(shè)計(jì)、開發(fā)和測試以及維護(hù)階段將使產(chǎn)品生命周期管理變得更加容易。每個(gè)階段要考慮的關(guān)鍵問題是：

設(shè)計(jì)

應(yīng)用程序內(nèi)共享的信息有多敏感？

什么樣的身份驗(yàn)證和授權(quán)流程是合適的？

您需要考慮任何政府法規(guī)嗎？

開發(fā)與測試

您的用于安全編碼實(shí)踐、已知漏洞和代碼罐裝的第 3 方庫是否是最新的？

考慮到應(yīng)用程序中數(shù)據(jù)的敏感程度，需要在安全測試上投入多少資金？

維護(hù)

您是否及時(shí)了解 ISO 27001 和 SOC2 等合規(guī)審核標(biāo)準(zhǔn)？

運(yùn)行應(yīng)用程序的環(huán)境是否已安裝最新補(bǔ)丁？

3. 不同代的技術(shù)需要不同的方法

請注意您使用的設(shè)備的安全功能。隨著時(shí)間的推移，您最終會得到新舊設(shè)備的混合體，因此了解您的設(shè)備是否可以更新以及如何更新絕對是關(guān)鍵。最終，您管理設(shè)備漏洞以及物聯(lián)網(wǎng)解決方案的能力取決于是否能夠遠(yuǎn)程更新設(shè)備軟件和/或固件。更新的遠(yuǎn)程方面是物聯(lián)網(wǎng)真正發(fā)揮作用的地方，可以改變您提供安全、可擴(kuò)展解決方案的能力。

無論您是使用 Web 界面還是部署自己的微服務(wù)，您都需要確保正確使用 API，并且不會“自作聰明”并嘗試使 API 適應(yīng)您的特定需求。雖然這可能會給您帶來短期好處，但也可能會產(chǎn)生意想不到的結(jié)果。無論您采取什么方法或與哪些物聯(lián)網(wǎng)開發(fā)公司合作，最終維護(hù)網(wǎng)絡(luò)安全都是您的責(zé)任。