■開放連接基金會（OCF）藉由提供標準通                          聯網配置管理，再接著權限管理，最後是物聯網
                   訊平台、橋接規範、開源實施和認證程序來確保                              相關資料保護；其中於基礎架構安全的部分，依
                   消費者、企業間物聯網應用的安全性。                                  物聯網架構除「網路安全」外也需同步考量平台
                        此外，國際組織開放軟體計畫（OWASP）                          所在的「雲端安全」；在配置管理這端，則因各
                   也針對物聯網應用場景所面臨的風險提出物聯                               種物聯網裝置的類型，所以需要在「安全配置」
                   網十大安全弱點（OWASP IoT Top Ten），包                       與「軟體安全」兩個面向特別著墨；接者是權

                   含；                                                 限管理，在物聯網的架構特性下，如何辨析各種
                        ■Insecure Web Interface不安全的網頁介面               物聯網裝置所遭遇或身處之實體環境風險，並將
                        ■Insufficient Authentication/Authorization    其與相應之網路環境安全風險對接，則成為主要
                   驗證或授權不足                                            議題，因此常將此類安全議題歸納為兩大面向，
                        ■Insecure Network Services不安全的網路              分別是「權限控管」及「實體安全」；最後是存
                   服務                                                 在於物聯網中的核心價值，即物聯網所帶來的大
                        ■Lack of Transport Encryption欠缺傳輸加            量資料，若將物聯網本身視為一種骨幹，則資料

                   密或完整性驗證                                            就好比血液，失去資料的物聯網可說是沒有價值
                        ■Privacy Concerns隱私議題                         的，也因此如何保護這些資料，就成了物聯網最
                        ■Insecure Cloud Interface不安全的雲端服              核心也最棘手的關鍵，並常將此關鍵議題歸納為
                   務介面                                                「資料保護」及存取這些資料所面臨的「行動應
                        ■Insecure Mobile Interface不安全的行動應             用安全」兩類。
                   用介面
                                                                      基礎架構安全（網路安全、雲端安全）
                        ■Insufficient Security Configurability安全組
                   態的不足                                                    在物聯網的基礎架構上，常見之控管方式首
                        ■Insecure Software/Firmware不安全的軟              先需要辨識其架構類型，透過物聯網將設備聯

                   體或韌體                                               網，企業需特別考量網路架構的規劃與調適，
                        ■Poor Physical Security貧乏的實體安全措               特別是營運環境聯網後，企業需審慎評估傳統網
                   施                                                  路隔離是否仍持續有效，不論是邏輯隔離與實體
                        每個國家或國際組織所訂定的規範有所不                            隔離，企業務必要確認其所認知之隔離環境是否
                   同，但都希望在物聯網快速崛起的過程中，不僅                              仍保持隔離，包含防火牆及核心路由之器相關
                   享受物聯網帶來的便利與效率，也同步考量其中                              設定，避免發生因業務所需之聯網行為造成未經
                   帶來的風險並實施適當的控制以降低物聯網可能                              授權之連線；其次是物聯網環境所採用的雲端架

                   帶來的安全風險。                                           構，雖然物聯網並非一定需要使用雲端服務，然
                                                                      而因物聯網大量資料蒐集與即時分析的特性，多
                   物聯網安全管理的四大面向                                       數企業最常見採用的架構多為雲端服務，無論是

                        一個完整的物聯網安全架構應考量四大面                            公有雲、混合雲，或是因產業特性而使用的私有
                   向，分別從底層的基礎架構安全開始，向上有物                              雲，雲端服務架構將涉及後面所探討有關權限控




               92