新冠肺炎疫情的发生,给 社会 经济造成巨大冲击,同时也促使各产业加快转型。物联网、大数据等新一代信息技术被广泛应用于疫情防控和复工复产中,在线教育、远程医疗等“数字化手段”已影响到人们工作生活的方方面面。
“十四五”规划再次强调了数字化和 健康 中国建设的重要性。与此同时,随着《生物安全法》的出台,生物安全被正式纳入国家安全体系。国民 健康 、生物安全的重要性愈发凸显,催生了一大批致力于以 科技 创新解决民生困局的生物安全企业。作为全球领先的物联网生物安全解决方案提供商,海尔生物以物联网 科技 赋能 健康 生态圈构建,引领数字化转型驶入生物安全赛道。
加码新基建:
打造 健康 生态圈
日前,海尔生物正式发布全球首个物联网生物安全云生态。基于用户对生命 健康 的需求,运用物联网、大数据等技术,以网器为基础链接场景,通过生态共创的方式,海尔生物不断创新迭代物联网生物安全场景解决方案, 探索 构建生物安全大数据中心,不断加码国家生物安全新基建。
创新是引领发展的第一动力。从低温存储龙头到物联网生物安全解决方案服务商,海尔生物已走出了一条中国 科技 企业创新的引领之路。截至目前,海尔生物共计拥有288项专利,34项美国能源之星认证,牵头或参与起草9项国家、行业标准,1项世界卫生组织国际标准。上月底,在北京航空航天大学王浚院士等十余位行业专家鉴定下,海尔生物智慧疫苗网、智慧血液网等四项科研成果获得国际领先认证。
在不断攻克技术难题的同时,海尔生物立足物联网 科技 生态战略,拥抱新发展格局,通过生态共创的模式吸引全球优质资源不断耦合。进博会期间,海尔生物一天之内联合珀金埃尔默、赛诺菲巴斯德两家生物安全领域顶级资源,分别就诊断和生命科学领域、疫苗智慧管理与服务达成战略合作,实现了生态边界的进一步拓展。
编织民生网:
创新数字化应用
目前,基于生物安全技术与物联网技术的深度融合,海尔生物的场景服务已触达生物样本安全、血液安全、疫苗安全、药品及试剂安全以及实验室安全等生物安全的各个领域,通过输出可持续迭代的全场景物联网解决方案,编织成一张以数字化为基石的生物安全大网。
海尔生物智慧血液网就是物联网技术与生物安全 科技 结合的一个缩影。通过搭载RFID无线射频、智慧芯片等技术,智慧血液网让每一袋血液都有了自己的“身份z”,让从采血端到用血端的全流程血液信息可实时追溯,解决了用血时间长、用血安全无法保障、血液无法调配等问题。日前,海尔生物通过整合重庆三大伟业在全系列采浆产品上的优势资源,将场景服务从以前的医院、血站延伸到了采浆站,成为包括血站、医院、采浆站等在内的血液安全全场景综合解决方案提供商。目前,血液网已在北京、上海、天津、青岛、长沙等多个城市落地应用,保障血液的存储安全和科学规范使用。
在疫苗接种领域,海尔生物创新“海乐苗”智慧疫苗网,人、机、苗互联互通,确保“人不错、苗不错”,实现了精准取苗零差错、问题疫苗秒冻结、追溯接种全过程,破解了疫苗接种“最后一公里”难题。聚焦偏远地区接种困难的现状,海尔生物迭代推出全球首个移动接种平台。目前,“海乐苗”智慧疫苗网已累计覆盖全国近2000家接种网点,并与深圳、青岛联合共创城市智慧疫苗网,为全市百姓和儿童筑起安全接种屏障。
物联网时代,用户体验为先。海尔生物在 探索 物联网转型的道路上始终以用户需求为驱动,通过生态共创,进行 科技 创新和场景迭代。生态无界,进化不止。未来,海尔生物将不断释放生物安全生态活力,让生命 健康 数据流动,创造用户最佳体验。
物联网的三项关键技术与领域包括,关键技术:传感器技术、RFID标签、嵌入式系统技术。领域:公共事务管理(节能环保、交通管理等)、公众社会服务(医疗健康、家居建筑、金融保险等)、经济发展建设(能源电力、物流零售等)。
“物联网”的概念是在 1999 年提出的,它的定义很简单:把所有物品通过射频识别等信息传感设备与互联网连接起来,实现智能化识别和管理。也就是说,物联网是指各类传感器和现有的互联网相互衔接的一个新技术。
2005 年国际电信联盟(ITU)发布《ITU互联网报告2005物联网》, 报告指出, 无所不在的“物联网”通信时代即将来临, 世界上所有的物体从轮胎到牙刷、从房屋到纸巾都可以通过因特网主动进行交换。射频识别技术(RFID)、传感器技术、纳米技术、智能嵌入技术将到更加广泛的应用。
2008年3月在苏黎世举行了全球首个国际物联网会议“物联网 2008”, 探讨了“物联网”的新理念和新技术与如何将“物联网”推进发展的下个阶段 。
首先,从当前的发展趋势来看,在工业互联网的推动下,网络安全未来将受到越来越多的重视,一方面工业互联网进一步推动了互联网与实体领域的结合,这明显拓展了传统的网络应用边界,也使得网络安全对于产业场景的影响越来越大,另一方面在新基建计划的推动下,未来大量的社会资源和产业资源都将全面数据化,这必然会对网络安全提出更多的要求。
从当前的人才培养体系来看,网络安全人才的培养既有本科教育和专科教育,同时也有研究生教育,所以要想成为网络安全人才,途径还是比较多的,可以根据自身的实际情况来选择不同的教育方式。对于当前的职场人来说,如果在条件允许的情况下,通过读研来进入网络安全领域是不错的选择,近些年网络安全方向研究生的就业情况还是不错的。
相对于消费互联网时代来说,在产业互联网时代,网络安全的技术体系将全面拓展到物联网、大数据和人工智能等新兴领域,而这些新兴领域的技术还处在快速的发展过程中,所以这些领域对于安全的要求也比较迫切。以大数据为例,大数据会全面推动数据的价值化进程,大数据自身也会基于数据价值化,来打造一个庞大的价值空间,但是如果没有安全作为保障,大数据必定走不远。
由于网络安全与诸多技术体系都有联系,所以涉及到的内容也比较多,比如物联网的设备层、网络层、平台层、数据层和应用层都有相应的安全要求,所以学习网络安全往往需要一个系统的学习过程,学习难度也相对比较高。由于物联网领域在5G时代的发展潜力非常大,而且物联网作为一个重要的载体,能够承载大数据、云计算和人工智能等一众技术,所以向物联网安全方向发展是一个不错的选择。
等级保护20标准主要特点首先,我们来看看网络安全等级保护20的主要标准,如下图:
说起网络安全等级保护20标准的特点,马力副研究员表示,主要体现在以下三个方面:
一是,对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
二是,分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
三是,强化可信计算。新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
“标准从一级到四级全部提出了可信验证控件。但在标准的试用期间,对于可信验证的落地还存在诸多挑战。所以,我们希望与这次参会的所有硬件厂商、软件厂商、安全服务商共同努力,把可信验证、可信计算这方面的产品产业化,来更好地支撑新标准。” 马力副研究员说到。
等级保护20标准的十大变化
随后,他为大家解读了等级保护20标准的十大变化,具体如下:
1、名称的变化
从原来的《信息系统安全等级保护基本要求》改为《信息安全等级保护基本要求》,再改为《网安全等级保护基本要求》。
2、对象的变化
原来的对象是信息系统,现在等级保护的对象是网络和信息系统。安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。
3、安全要求的变化
由“安全要求”改为“安全通用要求和安全扩展要求”。
安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,成为安全扩展要求。
4、章节结构的变化
第三级安全要求的目录与之前版本明显不同,以前包含技术要求、管理要求。现在的目录包含:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
对此,马力副研究员指出:“别小看只是目录架构的变化,这导致整个新标准的使用不同。10标准规定技术要求和管理要求全部实现。现在需要根据场景选择性的使用通用要求+某一个扩展要求。”
5、分类结构的变化
在技术部分,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理部分,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
6、增加了云计算安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括:基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。
7、增加了移动互联网安全扩展要求
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括:无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。
8、增加了物联网安全扩展要求
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括:感知节点的物理防护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。
9、增加了工业控制系统安全扩展要求
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护需求。对工业控制系统主要增加的内容包括:室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面。
10、增加了应用场景的说明
增加附录C描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景,附录H描述大数据应用场景(安全扩展要求)。
等级保护20标准的主要框架和内容
为了让大家更为直观的了解等级保护20标准的主要框架和内容,我重点通过PPT来阐述。
首先来看看新标准结构:
2008版基本要求文档结构如下:
新基本要求文档结构如下:
安全通用要求中的安全物理部分变化不大,见下面:
网络试用版到版被拆分了三个部分:安全通信网络、安全区域边界、安全管理中心。安全管理中心在强调集中管控的时候,再次强调了系统管理,审计管理,安全管理,构成新的标准内容。具体如下:
演讲,马力副研究员对几个扩展要求进行了总结展示。他强调,GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》将替代原来的GB/T2239-2008《信息安全技术 信息系统安全等级保护基本要求》,并呼吁大家认真学习新版等保要求。对。
随着我国国民经济和社会信息化进程的全面推进,网络与信息系统的基础性、全局性作用日益增强,信息网络安全已成为国家安全的重要组成部分。别是,新型冠状病毒疫情的爆发,间接地促进了信息技术的迅猛发展,在疫情防控、复产复工、社会发展等方面均取给予关键支撑。但是人们在享受信息和数据公开带来的便利的同时,却忽略了信息数据的安全保密问题,网络安全问题正在对信息系统的健康发展带来日益严峻的挑战,网络安全事件的影响力和破坏不断在扩大。信息系统安全保密工作涉及政治、国防、经济和科技等领域,关系到国家安全与利益,其重要性不言而喻,信息系统安全越来越体现为国家战略安全。机遇与挑战并存,新技术、新情况、新形势、新问题不断涌现,信息系统安全保密管理同样也面临前所未有的挑战和风险,任重而道远。
1信息系统安全保密管理面临的形势挑战
随着国际形势的发展变化,我国大国地位的不断提升以及信息化建设的快速推进,信息系统面临的复杂性凸显、安全威胁的多样性增大、安全保密挑战的严峻性加剧,信息系统安全保密工作面临的形势更加复杂尖锐,面临的问题更加的突出。
①境外情报机构加紧对我实施“陆、海、空、天、网”全方位、立体式、多维度的信息监控和情报窃取。这些窃取手段不断翻新,窃密的范围不断扩大,对我国主权、安全、发展利益构成严重威胁。②由于长期的和平建设环境,我们部分人员安而忘危、思想麻痹,敌情观念淡化,保密意识缺失,对技术的泄密风险不懂不学,日常工作中,仅关注信息系统的便捷性,而忽略了安全性。③我国社会主义市场经济的深入发展,是信息系统安全保密管理的内涵更加宽阔、主体更加多样、领域更加分散、载体日趋数字化,同时,信息公开利用的速度和保密管理能力建设发展不协同。④我国信息系统建设的基础薄弱,大多是在别人的核心技术上进行拓展,从底层缺乏自主核心技术,贴别是大数据、云计算、物联网、人工智能等新技术的飞速发展,又为信息系统的安全保密管理带来新的安全保密隐患[1]。
2信息系统在运用中存在的安全保密隐患
信息技术的迅猛发展,增加了信息系统的信息泄密渠道,同时也加大了数据泄密的风险,为了实现信息系统的安全保密,首先需要了解信息系统存在哪些安全隐患。
(1)物理安全隐患。物理安全是整个信息系统安全的前提。大多重点关注计算机系统设备、网络设备和存储设备的实体安全。但是,随着信息技术的发展和攻击手段的提升,物理安全的外延也随之扩展。例如信息设备产生的电磁、声、光等信息(号),如果没有得到妥善处理和防护,在一定距离内可以被相应设备截获,进而通过还原信息,造成泄密;另外,打印、复印或复制等形成的信息载体,如处理不妥当,也可以通过专用工具进行检测恢复。
(2)软硬件设备安全隐患。目前我国高端处理器芯片大多依赖于进口,信息系统中使用的基础软件,如 *** 作系统、数据库、设计软件、数据运算等,基本都依赖进口国外产品,攻击者容易利用“后门”或者系统漏洞,实施窃密攻击,大致我国重要信息系统安全保密管理长期处于被动防御阶段。同时,由于系统开发人员个人技能水平、系统开发过程管控不严谨、测试方案不完善等问题,也可能导致系统中存在漏洞,为信息系统安全运行带来隐患。
(3)内部人员安全隐患。一是内部人员误 *** 作:未严格按照信息系统保密管理要求,数据导入导出时,将病毒、木马带入系统,造成系统数据篡改、数据失窃等威胁;二是安全保密管理人员失职:未能妥善管理信息系统存储介质、移动设备等,造成设备遗失,导致信息系统数据外流;三是内部人员恶意攻击:利用管理漏洞、系统漏洞、防护薄弱环节、屏幕录制等获取系统数据,向外部企业或情报机构泄露。
(4)外部网络攻击隐患。窃密者利用信息系统安全脆弱性和漏洞,以远程方式向信息系统或系统内用户终端发起攻击,获取信息系统的重要信息、影响信息系统关键功能的正常 *** 作、控制信息系统内关键主机等。外部网络攻击,可以造成信息被窃取、系统可用性被破坏、系统数据被篡改、产生网络欺骗以及被入侵控制等隐患。
(5)新技术安全隐患。一是云计算方面:云计算发展趋势迅猛,但由于成千上万的用户隐私、企业商业秘密、政府敏感信息等都存储在云端之上,其势必成为全球黑客、敌对势力的核心攻击目标;二是物联网方面:由于物联网相关支撑技术的脆弱性,以及体系存在的漏洞,为安全攻击提供了新的可能,如攻击者恶意修改网络设备信息,导致敏感数据和用户数据丢失、业务终端或通过大规模分布式拒绝服务攻击是系统中断运行;三是大数据方面:数据安全边界被打破,数据管理主体的风险防控能力被大大削弱,随着数据资源的经济价值越发凸显,针对数据的攻击、窃取、滥用、劫持等活动持续泛滥;四是人工智能方面:由于人工智能能够使计算机模仿人类的思考方式去完成任务,一旦受到干扰或滥用,会让保护信息安全面临更大风险;五是区块链方面:尽管区块链不断得到研究、应用,但在技术层和业务层都还面临诸多挑战,如算法安全威胁、共识机制面临51%攻击、本土化挑战等[2]。
3全方位加强信息系统安全保密管理效能
信息技术的飞速发展,使得网络的攻击技术手段不断提高,由此带来的危害性也日益突出,因此,面对世情、国情、技术等持续发生深刻变化的新形势,还需要继续加强信息系统安全保密管理工作,全方位提高信息系统安全保密管理效能。
(1)大力推进基于国产自主可控设备的网络建设。面对信息系统安全保密管理的核心技术、关键设备的切实需求,国家主管部门已组织相关研究机构,与产业集团通力合作,开展国产自主可控CPU芯片、BIOS固件、 *** 作系统、安全中间件、数据库、办公软件、办公自动化设备等在内的自主可控计算平台的技术体系和完整产业链布局。虽然说,当前的国产设备性能与现有进口设备存在一定差距,但是,我们应清醒地认识到,基于国产自主可控计算平台的技术体系,是构建我国信息系统安全保密的基石,发展过程中,必然面对阵痛期,我们应充分理解、大力支持,用包容心态推进基于国产自主可控设备的网络建设。
(2)大力推进重要场所物理安全综合防护体系建设。重要场所如中心机房、重要办公室、重点库房、中心会议室等,是集中处理声、光、电磁数据等信息的重要部位,更是电子数据集中存储、输入、输出的核心,需要依靠多种技术进行综合防护。其中,对于视野内非可控区域可视探的外窗,应采取光泄露防护措施、声泄露防护措施;对于各种穿过重要场所的管道(包括通风管道、金属桥架等)需采取隔声隔震动防泄漏防护措施;对于重要场所出入口,还应采取门控、监控等技防措施。除此之外,在重要场所的管理制度和维护人员方面也应不同于其他区域,建立更具针对性的管理要求,形成全面、统一、综合、立体的防护体系。
(3)大力推进保密技术检查取证和安全测评。信息系统安全保密直接关系到国家安全利益和企业生存发展,对信息系统开展保密检查、安全保密测评和风险评估,是加强信息系统安全保密管理的重要措施,通过对信息系统安全保密运行状况的检查评估,可以为管理部门和系统使用单位实施的风险管控措施提供直接依据,实现防患于未然。
(4)大力推进新技术新应用与安全保密管理研究。以大数据、人工智能、虚拟仿真、万物互联为代表的新一代信息技术不断催生着新的信息系统应用形态。新技术新应用的发展,对信息系统安全保密工作而言都是一把双刃剑,他们既会对原有安全保密防护体系形成巨大冲击,也会推进信息系统安全保密防护理念、技术措施、管理体系的推陈出新,促进信息系统安全保密管理不断迭代升级[3]。
2009年,恶意软件曾 *** 控某核浓缩工厂的离心机,导致所有离心机失控。该恶意软件又称“震网”,通过闪存驱动器入侵独立网络系统,并在各生产网络中自动扩散。通过“震网”事件,我们看到将网络攻击作为武器破坏联网实体工厂的可能。这场战争显然是失衡的:企业必须保护众多的技术,而攻击者只需找到一个最薄弱的环节。
但非常重要的一点是,企业不仅需要关注外部威胁,还需关注真实存在却常被忽略的网络风险,而这些风险正是由企业在创新、转型和现代化过程中越来越多地应用智能互联技术所引致的。否则,企业制定的战略商业决策将可能导致该等风险,企业应管控并降低该等新兴风险。
工业40时代,智能机器之间的互联性不断增强,风险因素也随之增多。工业40开启了一个互联互通、智能制造、响应式供应网络和定制产品与服务的时代。借助智能、自动化技术,工业40旨在结合数字世界与物理 *** 作,推动智能工厂和先进制造业的发展 。但在意图提升整个制造与供应链流程的数字化能力并推动联网设备革命性变革过程中,新产生的网络风险让所有企业都感到措手不及。针对网络风险制定综合战略方案对制造业价值链至关重要,因为这些方案融合了工业40的重要驱动力:运营技术与信息技术。
随着工业40时代的到来,威胁急剧增加,企业应当考虑并解决新产生的风险。简而言之,在工业40时代制定具备安全性、警惕性和韧性的网络风险战略将面临不同的挑战。当供应链、工厂、消费者以及企业运营实现联网,网络威胁带来的风险将达到前所未有的广度和深度。
在战略流程临近结束时才考虑如何解决网络风险可能为时已晚。开始制定联网的工业40计划时,就应将网络安全视为与战略、设计和运营不可分割的一部分。
本文将从现代联网数字供应网络、智能工厂及联网设备三大方面研究各自所面临的网络风险。3在工业40时代,我们将探讨在整个生产生命周期中(图1)——从数字供应网络到智能工厂再到联网物品——运营及信息安全主管可行的对策,以预测并有效应对网络风险,同时主动将网络安全纳入企业战略。
数字化制造企业与工业40
工业40技术让数字化制造企业和数字供应网络整合不同来源和出处的数字化信息,推动制造与分销行为。
信息技术与运营技术整合的标志是向实体-数字-实体的联网转变。工业40结合了物联网以及相关的实体和数字技术,包括数据分析、增材制造、机器人技术、高性能计算机、人工智能、认知技术、先进材料以及增强现实,以完善生产生命周期,实现数字化运营。
工业40的概念在物理世界的背景下融合并延伸了物联网的范畴,一定程度上讲,只有制造与供应链/供应网络流程会经历实体-数字和数字-实体的跨越(图2)。从数字回到实体的跨越——从互联的数字技术到创造实体物品的过程——这是工业40的精髓所在,它支撑着数字化制造企业和数字供应网络。
即使在我们 探索 信息创造价值的方式时,从制造价值链的角度去理解价值创造也很重要。在整个制造与分销价值网络中,通过工业40应用程序集成信息和运营技术可能会达到一定的商业成果。
不断演变的供应链和网络风险
有关材料进入生产过程和半成品/成品对外分销的供应链对于任何一家制造企业都非常重要。此外,供应链还与消费者需求联系紧密。很多全球性企业根据需求预测确定所需原料的数量、生产线要求以及分销渠道负荷。由于分析工具也变得更加先进,如今企业已经能够利用数据和分析工具了解并预测消费者的购买模式。
通过向整个生态圈引入智能互联的平台和设备,工业40技术有望推动传统线性供应链结构的进一步发展,并形成能从价值链上获得有用数据的数字供应网络,最终改进管理,加快原料和商品流通,提高资源利用率,并使供应品更合理地满足消费者需求。
尽管工业40能带来这些好处,但数字供应网络的互联性增强将形成网络弱点。为了防止发生重大风险,应从设计到运营的每个阶段,合理规划并详细说明网络弱点。
在数字化供应网络中共享数据的网络风险
随着数字供应网络的发展,未来将出现根据购买者对可用供应品的需求,对原材料或商品进行实时动态定价的新型供应网络。5由于只有供应网络各参与方开放数据共享才可能形成一个响应迅速且灵活的网络,且很难在保证部分数据透明度的同时确保其他信息安全,因此形成新型供应网络并非易事。
因此,企业可能会设法避免信息被未授权网络用户访问。 此外,他们可能还需对所有支撑性流程实施统一的安全措施,如供应商验收、信息共享和系统访问。企业不仅对这些流程拥有专属权利,它们也可以作为获取其他内部信息的接入点。这也许会给第三方风险管理带来更多压力。在分析互联数字供应网络的网络风险时,我们发现不断提升的供应链互联性对数据共享与供应商处理的影响最大(图3)。
为了应对不断增长的网络风险,我们将对上述两大领域和应对战略逐一展开讨论。
数据共享:更多利益相关方将更多渠道获得数据
企业将需要考虑什么数据可以共享,如何保护私人所有或含有隐私风险的系统和基础数据。比 如,数字供应网络中的某些供应商可能在其他领域互为竞争对手,因此不愿意公开某些类型的数据,如定价或专利品信息。此外,供应商可能还须遵守某些限制共享信息类型的法律法规。因此,仅公开部分数据就可能让不良企图的人趁机获得其他信息。
企业应当利用合适的技术,如网络分段和中介系统等,收集、保护和提供信息。此外,企业还应在未来生产的设备中应用可信的平台模块或硬件安全模块等技术,以提供强大的密码逻辑支持、硬件授权和认证(即识别设备的未授权更改)。
将这种方法与强大的访问控制措施结合,关键任务 *** 作技术在应用点和端点的数据和流程安全将能得到保障。
在必须公开部分数据或数据非常敏感时,金融服务等其他行业能为信息保护提供范例。目前,企业纷纷开始对静态和传输中的数据应用加密和标记等工具,以确保数据被截获或系统受损情况下的通信安全。但随着互联性的逐步提升,金融服务企业意识到,不能仅从安全的角度解决数据隐私和保密性风险,而应结合数据管治等其他技术。事实上,企业应该对其所处环境实施风险评估,包括企业、数字供应网络、行业控制系统以及联网产品等,并根据评估结果制定或更新网络风险战略。总而言之,随着互联性的不断增强,上述所有的方法都能找到应实施更高级预防措施的领域。
供应商处理:更广阔市场中供应商验收与付款
由于新伙伴的加入将使供应商体系变得更加复杂,核心供应商群体的扩张将可能扰乱当前的供应商验收流程。因此,追踪第三方验收和风险的管治、风险与合规软件需要更快、更自主地反应。此外,使用这些应用软件的信息安全与风险管理团队还需制定新的方针政策,确保不受虚假供应商、国际制裁的供应商以及不达标产品分销商的影响。消费者市场有不少类似的经历,易贝和亚马逊就曾发生过假冒伪劣商品和虚假店面等事件。
区块链技术已被认为能帮助解决上述担忧并应对可能发生的付款流程变化。尽管比特币是建立货币 历史 记录的经典案例,但其他企业仍在 探索 如何利用这个新工具来决定商品从生产线到各级购买者的流动。7创建团体共享 历史 账簿能建立信任和透明度,通过验证商品真实性保护买方和卖方,追踪商品物流状态,并在处理退换货时用详细的产品分类替代批量分拣。如不能保证产品真实性,制造商可能会在引进产品前,进行产品测试和鉴定,以确保足够的安全性。
信任是数据共享与供应商处理之间的关联因素。企业从事信息或商品交易时,需要不断更新其风险管理措施,确保真实性和安全性;加强监测能力和网络安全运营,保持警惕性;并在无法实施信任验证时保护该等流程。
在这个过程中,数字供应网络成员可参考其他行业的网络风险管理方法。某些金融和能源企业所采用的自动交易模型与响应迅速且灵活的数字供应网络就有诸多相似之处。它包含具有竞争力的知识产权和企业赖以生存的重要资源,所有这些与数字供应网络一样,一旦部署到云端或与第三方建立联系就容易遭到攻击。金融服务行业已经意识到无论在内部或外部算法都面临着这样的风险。因此,为了应对内部风险,包括显性风险(企业间谍活动、蓄意破坏等)和意外风险(自满、无知等),软件编码和内部威胁程序必须具备更高的安全性和警惕性。
事实上,警惕性对监测非常重要:由于制造商逐渐在数字供应网络以外的生产过程应用工业40技术,网络风险只会成倍增长。
智能生产时代的新型网络风险
随着互联性的不断提高,数字供应网络将面临新的风险,智能制造同样也无法避免。不仅风险的数量和种类将增加,甚至还可能呈指数增长。不久前,美国国土安全部出版了《物联网安全战略原则》与《生命攸关的嵌入式系统安全原则》,强调应关注当下的问题,检查制造商是否在生产过程中直接或间接地引入与生命攸关的嵌入式系统相关的风险。
“生命攸关的嵌入式系统”广义上指几乎所有的联网设备,无论是车间自动化系统中的设备或是在第三方合约制造商远程控制的设备,都应被视为风险——尽管有些设备几乎与生产过程无关。
考虑到风险不断增长,威胁面急剧扩张,工业40时代中的制造业必须彻底改变对安全的看法。
联网生产带来新型网络挑战
随着生产系统的互联性越来越高,数字供应网络面临的网络威胁不断增长扩大。不难想象,不当或任意使用临时生产线可能造成经济损失、产品质量低下,甚至危及工人安全。此外,联网工厂将难以承受倒闭或其他攻击的后果。有证据表明,制造商仍未准备好应对其联网智能系统可能引发的网络风险: 2016年德勤与美国生产力和创新制造商联盟(MAPI)的研究发现,三分之一的制造商未对工厂车间使用的工业控制系统做过任何网络风险评估。
可以确定的是,自进入机械化生产时代,风险就一直伴随着制造商,而且随着技术的进步,网络风险不断增强,物理威胁也越来越多。但工业40使网络风险实现了迄今为止最大的跨越。各阶段的具体情况请参见图4。
从运营的角度看,在保持高效率和实施资源控制时,工程师可在现代化的工业控制系统环境中部署无人站点。为此,他们使用了一系列联网系统,如企业资源规划、制造执行、监控和数据采集系统等。这些联网系统能够经常优化流程,使业务更加简单高效。并且,随着系统的不断升级,系统的自动化程度和自主性也将不断提高(图5)。
从安全的角度看,鉴于工业控制系统中商业现货产品的互联性和使用率不断提升,大量暴露点将可能遭到威胁。与一般的IT行业关注信息本身不同,工业控制系统安全更多关注工业流程。因此,与传统网络风险一样,智能工厂的主要目标是保证物理流程的可用性和完整性,而非信息的保密性。
但值得注意的是,尽管网络攻击的基本要素未发生改变,但实施攻击方式变得越来越先进(图5)。事实上,由于工业40时代互联性越来越高,并逐渐从数字化领域扩展到物理世界,网络攻击将可能对生产、消费者、制造商以及产品本身产生更广泛、更深远的影响(图6)。
结合信息技术与运营技术:
当数字化遇上实体制造商实施工业40 技术时必须考虑数字化流程和将受影响的机器和物品,我们通常称之为信息技术与运营技术的结合。对于工业或制造流程中包含了信息技术与运营技术的公司,当我们探讨推动重点运营和开发工作的因素时,可以确定多种战略规划、运营价值以及相应的网络安全措施(图7)。
首先,制造商常受以下三项战略规划的影响:
健康 与安全: 员工和环境安全对任何站点都非常重要。随着技术的发展,未来智能安全设备将实现升级。
生产与流程的韧性和效率: 任何时候保证连续生产都很重要。在实际工作中,一旦工厂停工就会损失金钱,但考虑到重建和重新开工所花费的时间,恢复关键流程可能将导致更大的损失。
检测并主动解决问题: 企业品牌与声誉在全球商业市场中扮演着越来越重要的角色。在实际工作中,工厂的故障或生产问题对企业声誉影响很大,因此,应采取措施改善环境,保护企业的品牌与声誉。
第二,企业需要在日常的商业活动中秉持不同的运营价值理念:
系统的可 *** 作性、可靠性与完整性: 为了降低拥有权成本,减缓零部件更换速度,站点应当采购支持多个供应商和软件版本的、可互 *** 作的系统。
效率与成本规避: 站点始终承受着减少运营成本的压力。未来,企业可能增加现货设备投入,加强远程站点诊断和工程建设的灵活性。
监管与合规: 不同的监管机构对工业控制系统环境的安全与网络安全要求不同。未来企业可能需要投入更多,以改变环境,确保流程的可靠性。
工业40时代,网络风险已不仅仅存在于供应网络和制造业,同样也存在于产品本身。 由于产品的互联程度越来越高——包括产品之间,甚至产品与制造商和供应网络之间,因此企业应该明白一旦售出产品,网络风险就不会终止。
风险触及实体物品
预计到2020年,全球将部署超过200亿台物联网设备。15其中很多设备可能会被安装在制造设备和生产线上,而其他的很多设备将有望进入B2B或B2C市场,供消费者购买使用。
2016年德勤与美国生产力和创新制造商联盟(MAPI)的研究结果显示,近一半的制造商在联网产品中采用移动应用软件,四分之三的制造商使用Wi-Fi网络在联网产品间传输数据。16基于上述网络途径的物联通常会形成很多漏洞。物联网设备制造商应思考如何将更强大、更安全的软件开发方法应用到当前的物联网开发中,以应对设备常常遇到的重大网络风险。
尽管这很有挑战性,但事实证明,企业不能期望消费者自己会更新安全设置,采取有效的安全应对措施,更新设备端固件或更改默认设备密码。
比如,2016年10月,一次由Mirai恶意软件引发的物联网分布式拒绝服务攻击,表明攻击者可以利用这些弱点成功实施攻击。在这次攻击中,病毒通过感染消费者端物联网设备如联网的相机和电视,将其变成僵尸网络,并不断冲击服务器直至服务器崩溃,最终导致美国最受欢迎的几家网站瘫痪大半天。17研究者发现,受分布式拒绝服务攻击损害的设备大多使用供应商提供的默认密码,且未获得所需的安全补丁或升级程序。18需要注意的是,部分供应商所提供的密码被硬编码进了设备固件中,且供应商未告知用户如何更改密码。
当前的工业生产设备常缺乏先进的安全技术和基础设施,一旦外围保护被突破,便难以检测和应对此类攻击。
风险与生产相伴而行
由于生产设施越来越多地与物联网设备结合,因此,考虑这些设备对制造、生产以及企业网络所带来的安全风险变得越来越重要。受损物联网设备所产生的安全影响包括:生产停工、设备或设施受损如灾难性的设备故障,以及极端情况下的人员伤亡。此外,潜在的金钱损失并不仅限于生产停工和事故整改,还可能包括罚款、诉讼费用以及品牌受损所导致的收入减少(可能持续数月甚至数年,远远超过事件实际持续的时间)。下文列出了目前确保联网物品安全的一些方法,但随着物品和相应风险的激增,这些方法可能还不够。
传统漏洞管理
漏洞管理程序可通过扫描和补丁修复有效减少漏洞,但通常仍有多个攻击面。攻击面可以是一个开放式的TCP/IP或UDP端口或一项无保护的技术,虽然目前未发现漏洞,但攻击者以后也许能发现新的漏洞。
减少攻击面
简单来说,减少攻击面即指减少或消除攻击,可以从物联网设备制造商设计、建造并部署只含基础服务的固化设备时便开始着手。安全所有权不应只由物联网设备制造商或用户单独所有;而应与二者同样共享。
更新悖论
生产设施所面临的另一个挑战被称为“更新悖论”。很多工业生产网络很少更新升级,因为对制造商来说,停工升级花费巨大。对于某些连续加工设施来说,关闭和停工都将导致昂贵的生产原材料发生损失。
很多联网设备可能还将使用十年到二十年,这使得更新悖论愈加严重。认为设备无须应用任何软件补丁就能在整个生命周期安全运转的想法完全不切实际。20 对于生产和制造设施,在缩短停工时间的同时,使生产资产利用率达到最高至关重要。物联网设备制造商有责任生产更加安全的固化物联网设备,这些设备只能存在最小的攻击表面,并应利用默认的“开放”或不安全的安全配置规划最安全的设置。
制造设施中联网设备所面临的挑战通常也适用基于物联网的消费产品。智能系统更新换代很快,而且可能使消费型物品更容易遭受网络威胁。对于一件物品来说,威胁可能微不足道,但如果涉及大量的联网设备,影响将不可小觑——Mirai病毒攻击就是一个例子。在应对威胁的过程中,资产管理和技术战略将比以往任何时候都更重要。
人才缺口
2016年德勤与美国生产力和创新制造商联盟(MAPI)的研究表明,75%的受访高管认为他们缺少能够有效实施并维持安全联网生产生态圈的技能型人才资源。21随着攻击的复杂性和先进程度不断提升,将越来越难找到高技能的网络安全人才,来设计和实施具备安全性、警觉性和韧性的网络安全解决方案。
网络威胁不断变化,技术复杂性越来越高。搭载零日攻击的先进恶意软件能够自动找到易受攻击的设备,并在几乎无人为参与的情况下进行扩散,并可能击败已遭受攻击的信息技术/运营技术安全人员。这一趋势令人感到不安,物联网设备制造商需要生产更加安全的固化设备。
多管齐下,保护设备
在工业应用中,承担一些非常重要和敏感任务——包括控制发电与电力配送,水净化、化学品生产和提纯、制造以及自动装配生产线——的物联网设备通常最容易遭受网络攻击。由于生产设施不断减少人为干预,因此仅在网关或网络边界采取保护措施的做法已经没有用(图8)。
从设计流程开始考虑网络安全
制造商也许会觉得越来越有责任部署固化的、接近军用级别的联网设备。很多物联网设备制造商已经表示他们需要采用包含了规划和设计的安全编码方法,并在整个硬件和软件开发生命周期内采用领先的网络安全措施。22这个安全软件开发生命周期在整个开发过程中添加了安全网关(用于评估安全控制措施是否有效),采用领先的安全措施,并用安全的软件代码和软件库生产具备一定功能的安全设备。通过利用安全软件开发生命周期的安全措施,很多物联网产品安全评估所发现的漏洞能够在设计过程中得到解决。但如果可能的话,在传统开发生命周期结束时应用安全修补程序通常会更加费力费钱。
从联网设备端保护数据
物联网设备所产生的大量信息对工业40制造商非常重要。基于工业40的技术如高级分析和机器学习能够处理和分析这些信息,并根据计算分析结果实时或近乎实时地做出关键决策。这些敏感信息并不仅限于传感器与流程信息,还包括制造商的知识产权或者与隐私条例相关的数据。事实上,德勤与美国生产力和创新制造商联盟(MAPI)的调研发现,近70%的制造商使用联网产品传输个人信息,但近55%的制造商会对传输的信息加密。
生产固化设备需要采取可靠的安全措施,在整个数据生命周期间,敏感数据的安全同样也需要得到保护。因此,物联网设备制造商需要制定保护方案:不仅要安全地存放所有设备、本地以及云端存储的数据,还需要快速识别并报告任何可能危害这些数据安全的情况或活动。
保护云端数据存储和动态数据通常需要采用增强式加密、人工智能和机器学习解决方案,以形成强大的、响应迅速的威胁情报、入侵检测以及入侵防护解决方案。
随着越来越多的物联网设备实现联网,潜在威胁面以及受损设备所面临的风险都将增多。现在这些攻击面可能还不足以形成严重的漏洞,但仅数月或数年后就能轻易形成漏洞。因此,设备联网时必须使用补丁。确保设备安全的责任不应仅由消费者或联网设备部署方承担,而应由最适合实施最有效安全措施的设备制造商共同分担。
应用人工智能检测威胁
2016年8月,美国国防高级研究计划局举办了一场网络超级挑战赛,最终排名靠前的七支队伍在这场“全机器”的黑客竞赛中提交了各自的人工智能平台。网络超级挑战赛发起于2013年,旨在找到一种能够扫描网络、识别软件漏洞并在无人为干预的情况下应用补丁的、人工智能网络安全平台或技术。美国国防高级研究计划局希望借助人工智能平台大大缩短人类以实时或接近实时的方式识别漏洞、开发软件安全补丁所用的时间,从而减少网络攻击风险。
真正意义上警觉的威胁检测能力可能需要运用人工智能的力量进行大海捞针。在物联网设备产生海量数据的过程中,当前基于特征的威胁检测技术可能会因为重新收集数据流和实施状态封包检查而被迫达到极限。尽管这些基于特征的检测技术能够应对流量不断攀升,但其检测特征数据库活动的能力仍旧有限。
在工业40时代,结合减少攻击面、安全软件开发生命周期、数据保护、安全和固化设备的硬件与固件以及机器学习,并借助人工智能实时响应威胁,对以具备安全性、警惕性和韧性的方式开发设备至关重要。如果不能应对安全风险,如“震网”和Mirai恶意程序的漏洞攻击,也不能生产固化、安全的物联网设备,则可能导致一种不好的状况:关键基础设施和制造业将经常遭受严重攻击。
攻击不可避免时,保持韧性
恰当利用固化程度很高的目标设备的安全性和警惕性,能够有效震慑绝大部分攻击者。然而,值得注意的是,虽然企业可以减少网络攻击风险,但没有一家企业能够完全避免网络攻击。保持韧性的前提是,接受某一天企业将遭受网络攻击这一事实,而后谨慎行事。
韧性的培养过程包含三个阶段:准备、响应、恢复。
准备。企业应当准备好有效应对各方面事故,明确定义角色、职责与行为。审慎的准备如危机模拟、事故演练和战争演习,能够帮助企业了解差异,并在真实事故发生时采取有效的补救措施。
响应。应仔细规划并对全公司有效告知管理层的响应措施。实施效果不佳的响应方案将扩大事件的影响、延长停产时间、减少收入并损害企业声誉。这些影响所持续的时间将远远长于事故实际持续的时间。
恢复。企业应当认真规划并实施恢复正常运营和限制企业遭受影响所需的措施。应将从事后分析中汲取到的教训用于制定之后的事件响应计划。具备韧性的企业应在迅速恢复运营和安全的同时将事故影响降至最低。在准备应对攻击,了解遭受攻击时的应对之策并快速消除攻击的影响时,企业应全力应对、仔细规划、充分执行。
推动网络公司发展至今日的比特(0和1)让制造业的整个价值链经历了从供应网络到智能工厂再到联网物品的巨大转变。随着联网技术应用的不断普及,网络风险可能增加并发生改变,也有可能在价值链的不同阶段和每一家企业有不同的表现。每家企业应以最能满足其需求的方式适应工业生态圈。
企业不能只用一种简单的解决方法或产品或补丁解决工业40所带来的网络风险和威胁。如今,联网技术为关键商业流程提供支持,但随着这些流程的关联性提高,可能会更容易出现漏洞。因此,企业需要重新思考其业务连续性、灾难恢复力和响应计划,以适应愈加复杂和普遍的网络环境。
法规和行业标准常常是被动的,“合规”通常表示最低安全要求。企业面临着一个特别的挑战——当前所采用的技术并不能完全保证安全,因为干扰者只需找出一个最薄弱的点便能成功入侵企业系统。这项挑战可能还会升级:不断提高的互联性和收集处理实时分析将引入大量需要保护的联网设备和数据。
企业需要采用具备安全性、警惕性和韧性的方法,了解风险,消除威胁:
安全性。采取审慎的、基于风险的方法,明确什么是安全的信息以及如何确保信息安全。贵公司的知识产权是否安全?贵公司的供应链或工业控制系统环境是否容易遭到攻击?
警惕性。持续监控系统、网络、设备、人员和环境,发现可能存在的威胁。需要利用实时威胁情报和人工智能,了解危险行为,并快速识别引进的大量联网设备所带来的威胁。
韧性。随时都可能发生事故。贵公司将会如何应对?多久能恢复正常运营?贵公司将如何快速消除事故影响?
由于企业越来越重视工业40所带来的商业价值,企业将比以往任何时候更需要提出具备安全性、警惕性和韧性的网络风险解决方案。
报告出品方:德勤中国
获取本报告pdf版请登录远瞻智库官网或点击链接:「链接」
可以这么说,未来10年都将是网络安全人才就业的黄金期。
咱们通过客观数据来说话:
这是16年-22年中国网络信息安全市场规模的分析及预测,可以看出网络安全产业经济每年都在高速增长,市场潜力巨大。
整个行业还处于一片蓝海!
再说网络安全的现状。
截至2018年8月,网民规模已达802亿人,连家里的老人都开始用起了智能手机。
然而互联网的开放性和安全漏洞带来的风险也无处不在,最普遍的像账号被盗、钓鱼网站、木马病毒等等,直接危及个人安全。
网络攻击行为日趋复杂、黑客攻击行为组织性更强、针对手机无线终端的网络攻击日趋严重,近几年有关网络攻击和数据泄露的新闻层出不穷。
而随着大数据、物联网、人工智能等新技术的发展,信息技术与经济社会各领域的融合也更加深入。
针对互联网车辆的攻击危及人身安全
人工智能恶意软件放大攻击者的能力
攻击者 *** 控智能家居,损害电网安全
网络攻击与武装攻击相结合,摧毁商业,危及生命
现阶段网络空间安全建设已达到了刻不容缓的地步!
在这一背景下,网络安全人才短缺问题日益突出,网络安全人才严重匮乏,可谓一将难求。
18年缺口高达95%,超过70万,20年突破232%,缺口达140万,21年缺口飙升285%
目前北京、深圳、上海、成都、广州、武汉是网络安全人才需求量最大的城市,这五个城市对网络安全人才需求的总量预计占全国需求总量的近一半。
且不管各行业还是组织均加大了对网络安全人才的需求!
网络安全人才供需现状:
网络安全行业算是冷门行业里的热门行业,未来也将会越来越热门,趁现在市场空缺还比较大,入门门槛也比较低,感兴趣就抓紧时间了解啊。
再给大家讲讲网络安全行业的前景
不知道大家现在月薪多少,有没有超过2w的?
入门网络安全的小白可以拿到8-15k薪资,工作1-3年月薪资就能到2w。
这是随便在网站上搜的招聘信息,实打实的高薪资,有的连经验都不限,可见这个行业已经缺人到什么程度了。
学成后可以应聘这些企业
当然了,并不是每个人都是和网络安全,诱人归诱人,盾叔可不想误人子弟。
简单说这6类人群可以入门网络安全:
准备转行的安全小白想就业安全领域的在校大学生
对网安感兴趣的技术发烧友
想跳出瓶颈期的运维从业者
偏安全方向的网络工程师
1-3年想挑战高薪的初级安全从业者
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)