文 | AI国际站 唐恩

编 | 里瑞

本文由AI国际站 原创出品，未经许可，任何渠道、平台请勿转载，违者必究。

目前，地球上大约有266.6亿台连接的设备，并且预测到2020年每人将有大约7台连接的设备。员工将这些设备带入工作场所并通过公司网络将其连接到Internet多次。这里是工作场所中连接的设备，以及为避免风险而需要了解的内容。

连接的设备可以很方便地随身携带-它们并非没有风险。

个人技术超负荷可能会破坏公司的连接性，降低生产力并带来安全隐患。

带宽阻塞

带宽是指一次可以通过网络发送的数据量。它不是无限的，使用网络的人越多，网络变得越慢。在计算带宽需求时，企业应确定他们拥有多少员工，他们连接到网络的设备的数量以及每个人经常执行的活动。在物联网设备大量涌入之前，公司只需为每位员工考虑一台设备。此外，他们只需要估计一次有多少名员工：

• 视频会议
• 下载或上传大文件
• 检查和发送电子邮件
• 使用网络进行研究
• 流音乐或视频
• 使用VOIP

这些活动对于带宽需求而言仍然至关重要。但是，如果您在那儿不再集中精力，那么您会错过今天的大局。现在，员工可能拥有智能手表，健身追踪器，智能眼镜和健康监控设备。

考虑到这些设备中的每一个都连接到网络时，必须提出一些问题。设备多久发送和接收一次数据？这些设备是否实时发送和接收数据？全天分批进行转移吗？何时提出请求？员工的个人设备全天使用多少带宽？

在没有警告的情况下，大量的个人技术会占用您的WiFi和Internet带宽。这种消耗如何影响您公司的生产率？有多少用法对您的客户造成了问题？众所周知，高带宽消耗会导致网页加载时间变慢，打开大文件困难或视频会议，演示或VOIP通话问题。

通常，您会看到有关互联网或WiFi速度慢的抱怨。结果，员工的生产力将受到损害。生产力也不是唯一的风险。不安全的个人技术为企业网络打开了很多潜在的网络漏洞。

网络安全

系统的安全性只有其最弱的地方。随着个人物联网设备大量涌入网络，可能的弱点数量大大增加。这些设备通常不具有与业务设备相同的安全协议，但是我们将它们连接到同一网络-包含敏感机密数据的网络。

机密，安全的数据使员工数据成为黑客的诱人目标。

被黑客入侵的个人设备对员工来说是个坏消息，对公司而言则是重大损失。由于这些设备连接到企业网络（没有适当的物联网网络安全性），因此您的网络容易受到以下因素的影响：

1. 黑客可以访问敏感数据，包括有人入侵设备并使用该设备拍照或录制视频的风险。
2. 公司设施遭到破坏，例如失去对HVAC的控制或被锁定在机械之外。
3. 僵尸网络会感染设备并发起分布式拒绝服务（DDoS）攻击，从而彻底破坏网络。

这些情况已经发生并且已经发生。犯罪分子在赌场鱼缸中入侵了一个智能温度计，以窃取有关赌场最高收入客户的数据。家用恒温器已被用作DDoS攻击的起点，DDoS攻击使居民冻结并被锁定在自己的中央供暖系统之外。FDA证明植入式心脏设备可以被黑客入侵。

此外，Corero Network Security报告说，组织平均每月经历237次DDoS攻击尝试。例子不胜枚举。认真对待这些安全风险。设计您的网络，以将黑客和犯罪分子安全地锁定在外。

如何解决问题

识别

在充分保护网络并优化带宽之前，您必须知道网络上有哪些设备。在网络上的那些设备中，确定哪些是公司设备，哪些是个人设备。

一种验证方法是通过设备发现和设备分析。

• 当新设备连接到网络时，设备发现会向您发出警报。
• 设备配置文件可识别设备并共享信息，例如设备类型，品牌和操作系统。
• 分析可提供具体细节，包括特定品牌和型号。

使用正确的工具，此过程只需几分钟。该标识为公司提供了对其无线网络的完全可见性，并让他们准确地知道网络支持什么以及如何利用带宽。您的AP供应商可能提供概要分析。如果没有，您可以使用其他分析工具来完成工作。

保护

现在您已经知道网络上有多少种物联网设备，如何确保它们的安全性？许多物联网设备没有用户界面（UI），该用户界面允许安装其他软件，例如防病毒软件。这些员工设备甚至可能缺少此类安装所需的硬件容量。

企业需要做的是将设备标记为异常活动，并将这些设备放置在与公司网络分开的网络上。当使用不同的SSID，VLAN和子网或其组合时，企业可以实现差异化。然后进一步指定特定于设备的访问角色。

异常活动

识别出个人设备后，对其进行标记，以便在其行为可疑时收到警报。考虑一种场景，其中被识别为智能手表的设备突然开始向您的网络或从您的网络下载或上传大量数据。这是立即将其用于恶意目的的危险信号。

通过实时识别，IT可以在负面后果变得非常严重之前解决问题。确保您不断升级用于异常检测的标准，以使您的企业与设备使用和行为的自然变化保持同步。

三个SSID

主动采取行动，IT可以通过部署两个或三个服务集标识符（SSID）来限制IoT设备可用的信息。不同的SSID向不同的用户和设备提供不同级别的网络访问。通常，我建议使用三个SSID：

• SSID 1 —是最安全的网络，具有强大的防火墙和每台设备的唯一密码或证书。通常，将SSID 1配置为WPA2 – Enterprise。将您的SSID 1限制为仅员工和商务设备。
• SSID 2—是访客网络。它可以是开放的或受密码保护的（WPA2 –个人），带有或不带有强制门户（基于Web浏览器的身份验证）。SSID 2可能需要所有用户的条款和条件或某种形式的用户登录协议。
• SSID 3-如果需要，您可以将SSID 3用作所有其他设备的通用网络。该名称包括可能具有有限频带或安全协议支持的个人IoT设备。

使用略有不同的方法，公司还可以选择将所有物联网设备都放置在2.4GHz网络上。然后，该公司可以为公司设备专门保留5GHz网络。在选择哪些设备加入哪个网络时要非常有选择性。例如，黑客访问打印机似乎并不令人担心，但是该罪犯现在可以看到办公室中打印或扫描的所有内容。确保您的员工理解允许个人设备连接到安全网络的风险。实施禁止此类连接的公司政策。

服务质量（QoS）技术使您可以为不同类型的网络流量提供最佳性能。您要做的第一件事是对网络流量进行分类。

1. 您可以根据自己的喜好对QoS技术进行广泛或特定的定义。一旦确定了流量类型，便可以采用不同的方法。

差异化服务模型配置网络硬件，以便不同的流量类型具有不同的优先级。如果语音流量比其他流量具有更高的优先级，则差异化服务模型会分配更多的网络资源以实现最佳性能。您可以使用带宽整形，也称为流量整形。流量整形可让您为更高优先级的业务相关流量保留带宽。公司使用整形来限制某些应用程序可用的带宽，或者根据数据包的源和目的地来限制带宽。

例如，有可能为企业使用预留60％的带宽，而为IoT设备和访客分别指定20％的带宽。如果物联网设备开始尝试使用20％以上的带宽，则带宽整形通常会将流量保存在缓冲区中，并延迟发送流量，直到可以传输而不会超过配置的速度-或将其丢弃。

要确定您的公司是否需要带宽整形，请使用网络测试和设备配置文件确定随时间推移的带宽利用率。业务应用程序是否由于用户增加而运行缓慢？还是由于个人或其他物联网设备的增加而放缓？带宽需要升级吗？或者，带宽整形是否可以解决问题？

保持可见，保持安全

借助100％的网络可见性，公司可以更好地了解其网络。该公司将知道他们的网络如何成长。他们知道他们支持的设备以及存在的安全漏洞。

随着物联网设备数量的持续增长，这种做法将比以往更加必要。实施识别，保护和流量整形的策略。您的目标是无论进入办公室的设备多少，都可以确保网络安全和优化。

閱讀更多 AI國際站 的文章

關鍵字: 软件 黑客 场所