CommuniLink 聯通國際網絡

我們早前都曾經提及過針對 IoT 提供防禦方案有多困難，最主要的原因之一是欠缺系統的標準，加上很多 IoT 控制器本身並不存在足夠的儲存空間用來安裝防禦方案。早前一份由 Business Insider 進行的調查便顯示，全球智能上網裝置將於 2019 年達到 200 億台，如何強化智能裝置的安全性更顯重要。

於是各大廠商便開始思考究竟要如何做才可針對 IoT 提供到足夠的防禦。一眾推出路由器的廠商，她們當然是借助擁有眾多用的路由器，並試圖於當中加入一些防禦方案，以從路由器層面封鎖威脅。

另外，有些廠商會研究從 CPU 以及 RAM 著手，至於實際上如何做到？這家廠商仍未願意向我們提及更多資訊。

那麼對於只推出軟件的防毒軟件品牌來說，她們又要如何做才可將防禦措施帶到 IoT 層面？最簡單的方法就是與一些路由器廠這合作，並希望將自家的防毒軟件預載於路由器之中。

日前我們與 ESET 防毒軟件的國際安全專家傾談期間，便曾經提到 ESET 將會考慮與不同的路由器廠商合作，並於這些路由器之中預載防禦方案；而今天更有廠商 TrendMicro 更加快人一步，爭先公佈將會與華碩 Smart Home Gateway 合作，並於當中預載防禦方案。

根據協議，華碩 Smart Home Gateway 智能管控中心將會內建趨勢科技物聯網保安軟件開發套件 (SDK)，連結並管控多樣智能產品；此舉主要希望能從源頭搶先過濾、攔截黑客的惡意入侵與攻擊，強化網絡安全。

從 TrendMicro 以及 ESET 的公佈舉動看來，普遍的防毒軟件均希望通過與不同的路由器廠商合作，從而為未來長遠的利益作好準備；如此說來，現時像路由器等鎮守網絡第一防線的硬件將會是防毒軟件的一個新戰場。

以上資訊由www.hkitblog.com提供

 

每年進入 11 月，IT 界的各個評級調查機構、IT 廠商等都會開始對來年進行預測，而今年我們最先收到的便是一份來自 Gartner 的報告，當中對 2016 年及後的資訊科技企業及用戶作出了十大預測。

今年的 Gartner 的十大預測不再純粹演繹科技應用的概念，而是讓大家更深入了解這些環繞自身的科技所帶來的意義；當中主要著眼於「人與機器的關係」、「工作環境智能化」，以及「力量連結 」(Nexus of Forces)的三項主要科技趨勢，並從中引申出十項看似互不相連，但關係卻極為密切的科技預測。

1. 在 2018 年之前，20% 的商業內容將由機器執筆創作

現時科技已可透過自動創作引擎主動收集及提供內容，正促進著商業內容的創造方式，從人們轉移至機器上。數據性和分析性的資料將會透過這些新興工具，轉化成我們能夠理解的自然語言。股東報告、法律文件、市場報告、新聞稿、文章和白皮書等商業內容都可由機器撰寫。

2. 在 2018 年之前，將有 60 億的物件要求支援

身處數碼化業務的年代，實體與數碼之間的界線將愈趨模糊，企業將需要開始視「物件」為客戶服務的方式般看待。故此，企業需要建立一套機制，回應來自物件直接所發出有關要求支援的龐大信息數量。此外，企業亦需制定策略，回應這種有別於傳統跟人類客戶的溝通及解難方式。這種回應來自物件的服務要求的趨勢，將會催生全新的服務行業；而創新方案將會相繼湧現，改善各行各業的營運效率。

3. 在 2020 年之前，5% 的整體經濟交易來自在非人手操作的自主代理軟件所參與

具演算法功能的代理軟件已經成為我們經濟活動中的一部份。然而，儘管這些代理軟件是自動化操作，卻並非完全自主，因它們只直接源於人們所操控的一系列強大的機制下運作，分別在我們的商務、法律、經濟及信託系統等領域。未來的自主代理軟件將擁有自身的價值，並成為新經濟模式的基石，Gartner 稱之為「可編程型經濟」 (programmable economy)，當中具備能夠顛覆現今金融服務業界運作的龐大潛力。演算法會以透明、開源的方式，在區塊鏈(Block Chain) 中自由設定，並可在銀行、保險、市場、交易、集資，以至在各種金融工具中使用。

4. 在 2018 年之前，全球逾 300 萬名員工將要向「機械人上司」匯報

「機械人上司」將漸漸能夠作出媲美人類管理層的業務決策。管理層的職責亦會漸漸轉移至透過產量和客戶評價，評估及監察員工的成就。智能管理員可基於人事決策及管理獎賞項目進行學習並作相應調整，從而更有效及迅速地進行員工評估。

5. 在 2018 年底之前，將有 20% 的智能建築曾遭受數碼破壞(digital vandalism)

智能建築物因為周邊防護系統不足，受到攻擊的機會相應增加。數碼破壞對智能建築來說是一種滋擾多於威脅，當中所帶來的影響包括從破壞數碼顯示屏運作，以至整棟樓宇因無法供電而影響整體的運作，例如長期停電。數碼破壞亦會帶來經濟、健康與安全，以及保安方面的後果，所帶來的影響因應目標而異。智能建築物的組件不能單獨考慮，而要視為整體大型企業保安過程的重要部分。產品必須提供理想的防護水平，並整合於保安監控和管理系統。

6. 在 2018 年之前，45% 增長最快的公司中，員工數量將少於智能機器

Gartner 相信初創企業和其他新型公司，將成為首批最迅速和有效地利用智能機器技術的企業。相比人力資源的招聘、僱用、培訓和增長需求，智能技術於特定的項目上，無論在速度、節約成本、改善生產力和擴展規模能力上，都帶來顯著優勢，當中可行的案例包括全自動超級市場或提供無人機監控服務的保安公司。擁有大量傳統技術和工藝的舊式(現有)的公司未必是先行者，但當中不乏精明的公司會很快地追隨策略，因為他們將了解到智能機器會於速度和成本上帶來可觀的競爭優勢。

7. 在 2018 年底之前，客戶數碼助理將從不同渠道和夥伴中，透過臉部和聲線辨別每一個人

企業要實踐多渠道及卓越的客戶體驗，最後的成功一著，是能夠跟客戶作出無縫的雙向互動。透過客戶數碼助理，模仿人類的對話，能夠聆聽、細說、感知客戶的過去消費履歷，理解對話的情境、時機和語調，並能夠因時制宜，作出恰當回應，並為一個新構思或目標新增對話，持續跟客戶溝通。雖然臉孔和聲音辨識技術已深入人心，並受廣泛採用，客戶仍願意採用這類科技，協助他們從大量資訊中篩選有價值的精華、作出產品選擇和購買決定。這一切正為企業揭示了一個新興的需求，令他們明白部署客戶數碼助理策劃這些技巧，為他們及客戶之間建立持續而正面的溝通的重要性。

8. 在 2018 年之前，200 萬名員工將被要求佩戴健康和體能監測設備，作為僱用條件

僱主今後將會陸續要求從事危險工作性質或需消耗大量體力的僱員，採用可穿戴裝置來監測他們的健康和體能。警察、消防員和醫護人員等緊急救援者，將可能成為採用可穿戴裝置來監測其健康或體能的最大的業群。佩戴這些設備主要目的是可確保他們的安全，透過量度他們的心跳、呼吸、甚至是壓力指數，並將之進行遙距監測並按需要提供即時協助。除了緊急救援者，一些關鍵人物都需要佩戴健康與體能監測設備，包括專業運動員、政治領袖、飛機師、工地從業員和野外工作人員。

9. 在 2020 年之前，智能代理軟件會推動 40% 流動互動，而「後應用程式」時代(postapp era)亦將會崛起

以虛擬個人助理(virtual personal assistants，簡稱 VPAs) 和其他智能代理程式的技術，將會監測用戶內容和行為，並連接到雲端共同網絡，建立和維持數據模型，從而推斷出關於人、內容、語境的數據。透過蒐集資訊和建立數據模型，虛擬個人助理能夠預測用戶需要、建立互信，並能最終能夠自主地代表用戶作出決策。

10. 在 2020 年間，95% 的雲端保安失敗將是企業的責任

保安問題依然成為一眾企業避免採用公共雲服務最普遍的原因。然而，影響使用雲端服務企業的保安事故，僅小部分是來自雲端供應商的漏洞所致。不過這並不意味著，企業可安枕無憂地使用雲端服務。雲端服務開放部份控制權給客戶的特點，卻往往令不諳操作的新用戶養成不良的使用習慣，容易帶來保安事故或無法符合法規遵循。由雲端控制工具市場增長可見，愈來愈多人認同企業有責任適當地使用公共雲服務。預計在 2018 年之前，全球逾 1,000 用戶的企業之中，有 50% 會以雲端存取安全代理軟件(cloud access security broker products)來監察和管理雲端軟件即服務(Software as a Service，簡稱 SaaS)及其他形式的公共雲服務，反映了愈來愈多人同意雲端服務一般是安全的，然而採用的過程中仍需要客戶不懈的努力去維持。

以上資訊由www.hkitblog.com提供

 

 

近日，埃森哲在世界經濟論壇 2015 新領軍者年會上發表的最新研究報告指出，到了 2030 年，物聯網將為中國額外創造 1.8 萬億美元的累計 GDP（國內生產總值）增長。但由於面臨基礎設施薄弱、數據政策不力、人才缺乏等諸多挑戰，中國很可能錯失這些潛在經濟收益。

該報告名為《物聯網：推動中國產業轉型》，當中考察了物聯網如何將物理世界與電腦和分析工具組成的虛擬世界相連，為眾多產業部門創造廣泛經濟效益。報告顯示，基於目前政策和投資趨勢，到 2030 年，物聯網可為中國創造 5000 億美元的 GDP 累計增長，比目前預測的經濟增長速度高出 0.3%。

報告同時指出，如果採取進一步措施，提高中國吸收物聯網技術的能力以及增加物聯網投資，到 2030 年中國年均 GDP 增長率可提升 1.3%，屆時有望實現 1.8 萬億美元的累計增長。

報告還分析了物聯網對中國 12 個關鍵產業部門的影響，並且揭示出制造業、公共服務業和資源產業等三大部門最有可能受惠於物聯網技術和商業模式。到 2030 年，該三大產業部門將佔物聯網所創造中國累計 GDP 總額的 60% 以上。如果這三大部門能增加投資並採取進一步行動，改善支援基建條件和提升技術能力，該數字甚至有望進一步提升。

基於中國目前產業政策和投資趨勢，未來 15 年，僅制造業就可借助物聯網增加 1960 億美元的累計 GDP；而如果採取進一步措施，該數字有望增加 276% 至 7360 億美元。此外，公共服務部門的累計產出也將從 610 億美元增至 2170 億美元。資源產業也將經歷類似增長，如果採取進一步措施，物聯網對其產值累計增長的貢獻將從目前條件下的 480 億美元提升近三倍至 1890 億美元。

各行業其實亦可通過提升本身競爭力等種種措施來實現上述物聯網經濟效益。例如制造商可利用預測性分析工具來加強對設備的追蹤、管理和維護，從而改善整個生產流程。此外，企業還可為危險環境工作的工人配置智能設備來提高工作安全性。最重要的是，物聯網能利用大數據創造更具個性化的產品，並基於這些產品開發出各類新型的配套服務，從而創造新的收入來源。

為實現上述經濟目標，中國需要顯著提高在整體經濟中傳播和吸收物聯網技術知識的能力。早前埃森哲發表的一項有關各國廣泛應用物聯網技術的實力排名中，中國在全球 20 個經濟體中僅排名第 14 位。

對此結果，埃森哲總結認為，許多因素仍在阻礙物聯網在中國的廣泛應用。專業人才短缺不僅只在核心技術技能的缺乏，還缺少了專業人才將傳統產品轉化為基於大數據、更智能化的新型服務。此外，整合通信和 IT 系統的不足、數據共享政策的不明朗，都將阻礙企業交換數據。

以上資訊由www.hkitblog.com提供

 

物聯網雖然說了很久，但真正採用的，而我們凡人都感受到的卻不多！今天又有一份關於物聯網的報告，該報告由 Vodafone 發表。此報告為一份於機器互聯(Machine-to-Machine；M2M)層面領導全球的報告，本年度調查發現超過35% 的非洲、中東及亞太地區公司採用該項技術，表現繼續領先全球其他地區，而全球平均採用率則為 27%。

業務轉型

Vodafone M2M 採用率市場調研報告反映出企業不但在 M2M 技術的認識與使用上有顯著提升，大多數率先採用有關技術的企業更已清楚看到 M2M 部署所帶來的業務優勢 － 81% 的受訪企業於過去一年已拓展 M2M 技術的使用。此外，59% 的公司表示 M2M 投資回報率可觀；而 83% 則視 M2M 為提高競爭優勢的重要條件之一。

中小企採用 M2M

報告亦發現接近 24% 的小規模中小企（100-249 位僱員）使用 M2M，而聘用超過 50,000 位僱員的大型企業機構則有 35% 使用 M2M。一如預測，非洲、中東及亞太地區市場的採用率高企，隨著更多地區域企業意識到採用 M2M 技術的價值，因此我們仍然認為這個勢頭將會延續。除了經濟增長相對較強、沒有監管障礙、現有基礎設施等因素外，區內不少市場的政府也在積極推動物聯網作為國家政策重點之一，使 M2M 技術獲加快應用於各個地區。

行業縱向採用趨勢

零售業為全球使用 M2M 技術增長最高的行業，按年上升 88%。零售商現正應用該項技術於全新付款服務和店內數碼顯示屏上，以提升物流方面的效率。M2M Barometer 亦發現醫療保健行業（上升 47%）及公用事業行業（上升 32%）均錄得強勁增長。與此同時，汽車業繼續在新車設計方面以 M2M 為核心技術，並加快俗稱「車聯網」（connected cars）的生產，佔 M2M 的採用按年增長 14%。

調查由 Circle Research 進行，而 2015 年報告更首次擴展至中小企及涵蓋兩個全新國家，令受訪者數目增加 80%。

以上資訊由www.hkitblog.com提供

 

IoT (Internet Of Things) 物聯網，其本意是指萬物基於某種方式從而達致萬物互聯之效；一般情況下，物件（不論是傳統物件或專為物聯網概念而生產的產物），均是通過於物件之中安裝傳感裝置、RFID、智能晶片等，從而通過這些裝置，令物品能主動向中控台發出某種訊息，而人類通過中控台接收這些訊息，從而了解到物件本身的感知行為；例如通過中控台我們可以得知由傳感器辨識的汽車引擎資訊，從而安排進行維修等。

其實物聯網有很多有趣的事物，未來有機會我們會再深入探討。本文之中，我們希望先與大家探討一下物聯網的安全事宜。

物聯網依賴傳感器，而傳感器之中均運行著一套系統；就好像我們採用的路由器一樣，任由我們將物聯網說得如何神奇，但仍需通過一個系統以便處理各種要求及訊息，及後才向中控台傳送，而此系統由於欠缺統一性，因此傳統的保安方法均難以有效地對此出有效的安全防禦。

近日與一位安全專家飯局，當時我們刻意就物聯網向他查詢一下，結果發現原來業界仍未就物聯網的安全性制定出一套安全標準；而假如硬要說物聯網的統一標準，唯一可能實現到的就是應用於汽車之中的多媒體系統；事關某些品牌的汽車本身的市場佔有率極高，因此較容易便能定立到屬於自己品牌的標準物聯網系統，這對於開發統一標準的安全防禦方案來說亦是較為容易的。

儘管現時業界就物聯網的安全防禦方案仍未定立出一套標準，但根據專門針對 Web App 安全的開源組織 Open Web Application Security Project (OWASP) 業界指引，針對 IoT 的安全問題應留意以下五式。

問題 1：管理介面設計垃圾

第一種問題就是有關物聯網設備的網頁管理介面設計。很多時開發物聯網設備的廠商均會通過提供網頁介面讓管理員能輕易完成設定工作；然而管理介面假如在編程上採用了較差的方法，那登入的網頁介面之中便可能會有機會被植入各種木馬；同時黑客亦可通過嘗試預設的「陽春」憑證以抓取純文字帳户登入憑證，採用不同的方法將登入資料列出，最終便可成功登入物聯網設備。

初步解決方案

不要採用預設的帳户：第一次設定物聯網設備時，便應該將預設的帳户密碼作更改，以避免被黑客輕易撞破。 避免在密碼錯誤訊息之中透露帳存是否真正存在。 啟用自動封鎖功能，當多次輸入了錯誤的登入資訊時，便直接將之封鎖。

問題二：Access Control 的必要性

第二種問題就是管理員太過有自信。很多時物聯網的物品可能只有內部人士才可存取，因此管員便會忽略了密碼的嚴謹程度，但大家別忘記任何嚴密的網絡保安方案，均不敢說自己 100% 安全；因此即使只供內部使用的物聯網設備，亦需借助第三方的方案設定好 Access Control (存取控制權限) 以確保安全。

初步解決方案

提高警覺性：即使是內部使用的物聯網設備，亦應該設定一些較複雜的密碼以確保擁有一定的安全性。 可通過部署一些存取控制設備，從而確保了物聯網設備的存取權限，避免黑客有機可乘。

問題三：小心開啟了不安全的 port 位址

第三種問題是與 port 有關的。眾所週知一些 Network services 能被第三方加以利用去進行一些足以影響內部運作的行為；常見的不安全 Network services 例如有 NFS – port 2049、Portmap – port 111、FTP – port 21 等等…. 還有很多，不詳述。

假如對 port 位的控制不充分，將有機會讓黑客充分地利用如緩衝區溢位 (Buffer overflow) 攻擊以將你的程式預設緩衝區塞得滿滿的，最終癱瘓設備；同樣道理，開啟了某些 port 位亦將會導致被 DoS (Denial-of-Service) 攻擊，此攻擊的目的都是癱瘓裝置。

初步解決方案

設定好你的麻煩的 iptables….或防火牆，確保只開啟需要使用到的 port 位。 確保所開啟的 Network service 其引起的 DoS 可能性較低，以確保設備不會被輕易 DoS 而導致停機或癱瘓情況。

問題四：傳輸加密問題

大家都知道，採用上如 SSL 等方式對傳輸過程進行加密的重要性吧！但很多時，尤其是內部使用的設備，由於其生成的 SSL 並沒有正式向 SSL 機構進行申請，所以啟用了 SSL 加密連線後，便會導致每次登入時出警告字眼；而很多管理層為了一己之方便，往往不會理會安全問題，便要求 IT 管理員將之解除，結果 IT 管理員便只有停用 SSL，這樣黑客便很容易通過一些工具深入查看傳送之中的封包，從而找出登入資料；另外有些大意的廠商為了方便性，在編寫程式時採用了 GET 的方式取得用户所輸入的帳户資料，這亦是另一種不可原諒的大意。

解決方法

堅持安全為先，堅持啟用 SSL 加密傳輸協定。 選用方案前，了解一下網頁管理介面的設計是否有足夠的安全性。

#########################

http://www.hkitblog.com/login.php?userid=3&password=1234

上述網址便是採用了 GET 的方式取得用户登入資料，大家輕易可見，傳輸過程之中網址後方會直接附上用户所輸入的登入資訊。

########################

問題五：設備是否支援自動更新

別笑！很多物聯網設備是無法自動更新的！沒法提供自動更新的設備便不應購買了，事關當新的漏洞被發現後，廠商即使已提供更新，然而卻需管理員逐一手動進行更新，一來浪費寶貴的人力資源，二來人手處理在反應時間上始終及不上設備自動完成更新，對吧！

解決方法

應選購「懂得自動更新」的物聯網設備。 即使設備懂得自動更新，亦請留意更新檔案傳送過程時的傳輸協定是否為已加密。 確保更新過程之中，廠方不會收集設備之內的資料。

總結：持觀望態度的物聯網

老實說，創新科技的第一批使用者，往往都是勇者。舉例如老品牌作業系統，他們的 RTM 版本、SP1 以前的系統版本，往往仍處於試行階段；情況與現時的物聯網一樣，很多技術仍未有行業標準，更不用說安全管理了，所以物聯網方案現時仍未適合大量部署；反而現時企業可通過小量部署物聯網方案，從而進行內部測試，為即將到來的物聯網時代作最佳準備。

以上資訊由www.hkitblog.com提供