DAY 30 第三十章 汇整

以下是将各项风险汇整，IoT应用之前，可以先考虑各层面的风险之後，评估自身条件，是否能透过其他辅助机制降低风险，当各风险层级在可控制的范围内时，就能让企业在IoT的经营范畴内，有效降低风险，同时，也让企业能够透过定期评估，有效的经营及管理。三十天分享，如有错误，请多包涵，也谢谢每年的铁人赛，让自己能够在繁体中文的资讯里面，留下一些足迹! 感谢~~

物联网的基本构架：感知层、网络层和应用层。

(1)	`感知层(Device)`：就是应用无线感应的东西，来传递讯息到资料库里，例如：QR code、RFID等等条码感知技术。
(2)	`网路层(Connect)`：就是网路、网域等等的网路技术，感知层收到讯息後，透过各种网路传递讯讯息，此时就需要网路转换、传递与分析，所以这块领域很大，专业性也强，也是探讨物联网风险因子当中的重点。
(3)	`应用层(Manage)`：就是如何应用分析後的资料，这里面也包含了後续维护与管理，遇到错误时，如何回报给前端进行修正，简单解释就是除了实际的应用外，也包含了保固、售後服务等。

环境风险：
网路层
1.1 共享技术的漏洞
1.2 法规遵循的困难
1.3 供应链故障
1.4 在进行恶意探测或扫描
1.5 从法律影响的风险变化
1.6 社会工程攻击
1.7 不安全的无线通讯渠道
1.8 自然灾害
1.9 虚拟机管理程序的复杂性
1.10 通讯标准/规格定义
感知层
1.11 节点设备电力消耗
1.12 人身健康问题

流程风险：
应用层
2.1 侵犯隐私资料
2.2 缺乏整合
感知层
2.3 侵犯隐私资料(位置隐私)
2.4 讯息窃听
2.5 泄漏秘密

决策风险：
网路层
3.1 稽核与蒐证的问题
3.2 长期和永久停运

营运风险：
应用层
4.1 对於故障的应急管理策略
网路层
4.2 缺乏治理机制
4.3 因其他承租服务者的行为导致公司商誉受损
4.4 资源不足
4.5 经济阻断服务
4.6 客户「固化」程序(严谨程序)和云端环境之间的冲突
4.7 数据提供者与数据使用者缺乏信赖
感知层
4.8 假标签
4.9 设备更新/版本控制

授权风险：
应用层
5.1 存取权限管控
5.2 资料所有权
5.3 资料分享给第三方团体
网路层
5.4 云端服务的终止或失效
5.5 云端服务供应商合并
5.6 特权升级

资料处理与资讯风险：
应用层
6.1 阻断服务
6.2 身分认证
6.3 软件漏洞与保护机制
6.4 需要新的专业技能
6.5 稳建且易於使用的系统
6.6 海量数据处理、过滤及探勘
网路层
6.7 资料泄漏
6.8 资料遗失
6.9 帐户或服务被侵入
6.10 不安全的介面与应用程序介面(API)
6.11 DoS阻断服务、DDoS分散式阻断服务
6.12 资料存取控制安全及资料分隔
6.13 资料复原及可信赖度
6.14 被局限在同一平台
6.15 隔离措施失效
6.16 在传输过程中截取数据
6.17 在上/下载过程资料泄漏
6.18 不安全或无效的资料删除
6.19 加密密钥遗失
6.20 妥协服务引擎
6.21 传票和电子蒐证
6.22 数据保护风险
6.23 凭证风险
6.24 网路中断
6.25 网路管理
6.26 修改网路流量
6.27 丢失或操作日志的妥协
6.28 损失或安全日志的妥协
6.29 备份遗失、被窃
6.30 未经授权存取
6.31 资料储存位置
6.32 虚拟网路保护
6.33 客户端保护
6.34 临时故障
6.35 处理与储存大量数据
感知层
6.36 DoS 攻击
6.37 通讯流分析
6.38 关键的安全数据封包遗失
6.39 使用众所皆知的保护机制

道德风险：
应用层
7.1 资料泄漏
7.2 恶意的内部员工
网路层
7.3 恶意的内部员工
7.4 云端服务提供商恶意隐瞒
7.5 管理介面妥协

财务风险：
网路层
8.1 云端服务的滥用
8.2 未做足够的服务调查
8.3 维护设备网路成本
感知层
8.4 实体攻击
8.5 维护设备成本
8.6 设备失窃