开发和部署智能的平安架构应该着重在三个步骤：理解、隔离和维护。维护物联网必需先理解哪些设备可以信任和管理，哪些设备不可信任，不可信任的设备就不允许存取某些网络分区。

物联网(IoT)是目前数字转型(Digital Transformation)进程中最重要的技术之一，由于透过各种衔接设备可以搜集史无前例的少量讯息，让决策在拟定之前能无数据数据可以依循，藉此提升企业销售效果和生活质量。

但是，在过来的12个月里，我们不时地看到针对物联网设备的网络攻击，而且频率和复杂性继续添加。不幸的是，太多的物联网设备从未有过严谨的平安性思索。这些设备经常是无头(Headless)式设备，功率和处置才能无限，这同时意味着无法装置平安的客户端软件，进一步更新使用或修补破绽。最近的研讨显示，大约70%的物联网设备都十分容易遭到网络攻击，这项后果一点也不奇异。

随着物联网的普及，为平安官(CISO)带来了压力，包括其他的IT主管，他们都必需面对日益严峻的平安应战。每个平安官都有两个目的：进步消费力，并且维护平安。那么要如何均衡业务需求和平安需求呢?现今大局部的平安零碎都缺乏以独立完成平安任务，必需有一个更大的平安架构，在其信任的框架上互相交错、彼此关联、情资共享，并自动化地防护和侦测设备和零碎的异常行为;最重要的是：能自动检测、审查和允许衔接到网络的任何新用户或设备，不论它实践的地位在何处。

复杂来说，开发和部署智能的平安架构应该着重在三个步骤：理解、隔离和维护。维护物联网必需先理解哪些设备可以信任和管理，哪些设备不可信任，不可信任的设备就不允许存取某些网络分区。

1. 理解。企业组织必需理解每个设备和网络零碎的功用和局限性。要做到这一点，平安处理方案要具有完好的网络可视性(Visibility)，来对一切物联网设备停止身份验证和分类。操作技术OT和工业控制零碎ICS/SCADA的网络和设备特别敏感，由于在某些状况下，甚至复杂地扫描它们都会发生负面影响。因而，组织必需采用基于信任的平安防护框架，自动实时辨识和分类设备，树立风险档案，并将设备指定至物联网设备群组，同时将适当的平安政策派送至平安设备和网段。

2. 隔离。一旦树立完好的可视性和集中化管理，就可以透过智能化的自动控制，将一些物联网设备和通讯方案隔离在特定的平安网络区段。这将能根据每个设备的风险档案，自动赋予和执行根本的权限，而不会危及整个重要的网络零碎。

3. 维护。最初则是结合物联网设备组群和内网区段的平安政策，执行多层次的监控、反省和平安政策，无论该活动是发作在散布式企业架构的任何地位。

传统的单点防护产品战争台，并缺乏以维护物联网环境。企业必需树立一个基于信任框架上的平安架构，并能与物联网和云端互相连结，才干自动化调整和因应不时演化的企业需求。

<本文作者刘乙为Fortinet台湾区技术总监>