涉密网络中使用的计算机病毒防护产品应选用相关部门批准的国产产品。需要选用进口设备的,应进行详细调查和论证并进行必要的检测,不得选用国家保密行政管理部门规定禁止使用的设备或部件。
涉密网络中的安全保密产品,应选用经过国家保密行政管理部门授权的检测机构测评,确认符合国家保密标准要求的产品,计算机病毒防护产品应选用公安机关批准的国产产品,密码产品应选用国家密码管理部门批准的产品。
传染性
计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。
在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。
2009年,恶意软件曾 *** 控某核浓缩工厂的离心机,导致所有离心机失控。该恶意软件又称“震网”,通过闪存驱动器入侵独立网络系统,并在各生产网络中自动扩散。通过“震网”事件,我们看到将网络攻击作为武器破坏联网实体工厂的可能。这场战争显然是失衡的:企业必须保护众多的技术,而攻击者只需找到一个最薄弱的环节。
但非常重要的一点是,企业不仅需要关注外部威胁,还需关注真实存在却常被忽略的网络风险,而这些风险正是由企业在创新、转型和现代化过程中越来越多地应用智能互联技术所引致的。否则,企业制定的战略商业决策将可能导致该等风险,企业应管控并降低该等新兴风险。
工业40时代,智能机器之间的互联性不断增强,风险因素也随之增多。工业40开启了一个互联互通、智能制造、响应式供应网络和定制产品与服务的时代。借助智能、自动化技术,工业40旨在结合数字世界与物理 *** 作,推动智能工厂和先进制造业的发展 。但在意图提升整个制造与供应链流程的数字化能力并推动联网设备革命性变革过程中,新产生的网络风险让所有企业都感到措手不及。针对网络风险制定综合战略方案对制造业价值链至关重要,因为这些方案融合了工业40的重要驱动力:运营技术与信息技术。
随着工业40时代的到来,威胁急剧增加,企业应当考虑并解决新产生的风险。简而言之,在工业40时代制定具备安全性、警惕性和韧性的网络风险战略将面临不同的挑战。当供应链、工厂、消费者以及企业运营实现联网,网络威胁带来的风险将达到前所未有的广度和深度。
在战略流程临近结束时才考虑如何解决网络风险可能为时已晚。开始制定联网的工业40计划时,就应将网络安全视为与战略、设计和运营不可分割的一部分。
本文将从现代联网数字供应网络、智能工厂及联网设备三大方面研究各自所面临的网络风险。3在工业40时代,我们将探讨在整个生产生命周期中(图1)——从数字供应网络到智能工厂再到联网物品——运营及信息安全主管可行的对策,以预测并有效应对网络风险,同时主动将网络安全纳入企业战略。
数字化制造企业与工业40
工业40技术让数字化制造企业和数字供应网络整合不同来源和出处的数字化信息,推动制造与分销行为。
信息技术与运营技术整合的标志是向实体-数字-实体的联网转变。工业40结合了物联网以及相关的实体和数字技术,包括数据分析、增材制造、机器人技术、高性能计算机、人工智能、认知技术、先进材料以及增强现实,以完善生产生命周期,实现数字化运营。
工业40的概念在物理世界的背景下融合并延伸了物联网的范畴,一定程度上讲,只有制造与供应链/供应网络流程会经历实体-数字和数字-实体的跨越(图2)。从数字回到实体的跨越——从互联的数字技术到创造实体物品的过程——这是工业40的精髓所在,它支撑着数字化制造企业和数字供应网络。
即使在我们 探索 信息创造价值的方式时,从制造价值链的角度去理解价值创造也很重要。在整个制造与分销价值网络中,通过工业40应用程序集成信息和运营技术可能会达到一定的商业成果。
不断演变的供应链和网络风险
有关材料进入生产过程和半成品/成品对外分销的供应链对于任何一家制造企业都非常重要。此外,供应链还与消费者需求联系紧密。很多全球性企业根据需求预测确定所需原料的数量、生产线要求以及分销渠道负荷。由于分析工具也变得更加先进,如今企业已经能够利用数据和分析工具了解并预测消费者的购买模式。
通过向整个生态圈引入智能互联的平台和设备,工业40技术有望推动传统线性供应链结构的进一步发展,并形成能从价值链上获得有用数据的数字供应网络,最终改进管理,加快原料和商品流通,提高资源利用率,并使供应品更合理地满足消费者需求。
尽管工业40能带来这些好处,但数字供应网络的互联性增强将形成网络弱点。为了防止发生重大风险,应从设计到运营的每个阶段,合理规划并详细说明网络弱点。
在数字化供应网络中共享数据的网络风险
随着数字供应网络的发展,未来将出现根据购买者对可用供应品的需求,对原材料或商品进行实时动态定价的新型供应网络。5由于只有供应网络各参与方开放数据共享才可能形成一个响应迅速且灵活的网络,且很难在保证部分数据透明度的同时确保其他信息安全,因此形成新型供应网络并非易事。
因此,企业可能会设法避免信息被未授权网络用户访问。 此外,他们可能还需对所有支撑性流程实施统一的安全措施,如供应商验收、信息共享和系统访问。企业不仅对这些流程拥有专属权利,它们也可以作为获取其他内部信息的接入点。这也许会给第三方风险管理带来更多压力。在分析互联数字供应网络的网络风险时,我们发现不断提升的供应链互联性对数据共享与供应商处理的影响最大(图3)。
为了应对不断增长的网络风险,我们将对上述两大领域和应对战略逐一展开讨论。
数据共享:更多利益相关方将更多渠道获得数据
企业将需要考虑什么数据可以共享,如何保护私人所有或含有隐私风险的系统和基础数据。比 如,数字供应网络中的某些供应商可能在其他领域互为竞争对手,因此不愿意公开某些类型的数据,如定价或专利品信息。此外,供应商可能还须遵守某些限制共享信息类型的法律法规。因此,仅公开部分数据就可能让不良企图的人趁机获得其他信息。
企业应当利用合适的技术,如网络分段和中介系统等,收集、保护和提供信息。此外,企业还应在未来生产的设备中应用可信的平台模块或硬件安全模块等技术,以提供强大的密码逻辑支持、硬件授权和认证(即识别设备的未授权更改)。
将这种方法与强大的访问控制措施结合,关键任务 *** 作技术在应用点和端点的数据和流程安全将能得到保障。
在必须公开部分数据或数据非常敏感时,金融服务等其他行业能为信息保护提供范例。目前,企业纷纷开始对静态和传输中的数据应用加密和标记等工具,以确保数据被截获或系统受损情况下的通信安全。但随着互联性的逐步提升,金融服务企业意识到,不能仅从安全的角度解决数据隐私和保密性风险,而应结合数据管治等其他技术。事实上,企业应该对其所处环境实施风险评估,包括企业、数字供应网络、行业控制系统以及联网产品等,并根据评估结果制定或更新网络风险战略。总而言之,随着互联性的不断增强,上述所有的方法都能找到应实施更高级预防措施的领域。
供应商处理:更广阔市场中供应商验收与付款
由于新伙伴的加入将使供应商体系变得更加复杂,核心供应商群体的扩张将可能扰乱当前的供应商验收流程。因此,追踪第三方验收和风险的管治、风险与合规软件需要更快、更自主地反应。此外,使用这些应用软件的信息安全与风险管理团队还需制定新的方针政策,确保不受虚假供应商、国际制裁的供应商以及不达标产品分销商的影响。消费者市场有不少类似的经历,易贝和亚马逊就曾发生过假冒伪劣商品和虚假店面等事件。
区块链技术已被认为能帮助解决上述担忧并应对可能发生的付款流程变化。尽管比特币是建立货币 历史 记录的经典案例,但其他企业仍在 探索 如何利用这个新工具来决定商品从生产线到各级购买者的流动。7创建团体共享 历史 账簿能建立信任和透明度,通过验证商品真实性保护买方和卖方,追踪商品物流状态,并在处理退换货时用详细的产品分类替代批量分拣。如不能保证产品真实性,制造商可能会在引进产品前,进行产品测试和鉴定,以确保足够的安全性。
信任是数据共享与供应商处理之间的关联因素。企业从事信息或商品交易时,需要不断更新其风险管理措施,确保真实性和安全性;加强监测能力和网络安全运营,保持警惕性;并在无法实施信任验证时保护该等流程。
在这个过程中,数字供应网络成员可参考其他行业的网络风险管理方法。某些金融和能源企业所采用的自动交易模型与响应迅速且灵活的数字供应网络就有诸多相似之处。它包含具有竞争力的知识产权和企业赖以生存的重要资源,所有这些与数字供应网络一样,一旦部署到云端或与第三方建立联系就容易遭到攻击。金融服务行业已经意识到无论在内部或外部算法都面临着这样的风险。因此,为了应对内部风险,包括显性风险(企业间谍活动、蓄意破坏等)和意外风险(自满、无知等),软件编码和内部威胁程序必须具备更高的安全性和警惕性。
事实上,警惕性对监测非常重要:由于制造商逐渐在数字供应网络以外的生产过程应用工业40技术,网络风险只会成倍增长。
智能生产时代的新型网络风险
随着互联性的不断提高,数字供应网络将面临新的风险,智能制造同样也无法避免。不仅风险的数量和种类将增加,甚至还可能呈指数增长。不久前,美国国土安全部出版了《物联网安全战略原则》与《生命攸关的嵌入式系统安全原则》,强调应关注当下的问题,检查制造商是否在生产过程中直接或间接地引入与生命攸关的嵌入式系统相关的风险。
“生命攸关的嵌入式系统”广义上指几乎所有的联网设备,无论是车间自动化系统中的设备或是在第三方合约制造商远程控制的设备,都应被视为风险——尽管有些设备几乎与生产过程无关。
考虑到风险不断增长,威胁面急剧扩张,工业40时代中的制造业必须彻底改变对安全的看法。
联网生产带来新型网络挑战
随着生产系统的互联性越来越高,数字供应网络面临的网络威胁不断增长扩大。不难想象,不当或任意使用临时生产线可能造成经济损失、产品质量低下,甚至危及工人安全。此外,联网工厂将难以承受倒闭或其他攻击的后果。有证据表明,制造商仍未准备好应对其联网智能系统可能引发的网络风险: 2016年德勤与美国生产力和创新制造商联盟(MAPI)的研究发现,三分之一的制造商未对工厂车间使用的工业控制系统做过任何网络风险评估。
可以确定的是,自进入机械化生产时代,风险就一直伴随着制造商,而且随着技术的进步,网络风险不断增强,物理威胁也越来越多。但工业40使网络风险实现了迄今为止最大的跨越。各阶段的具体情况请参见图4。
从运营的角度看,在保持高效率和实施资源控制时,工程师可在现代化的工业控制系统环境中部署无人站点。为此,他们使用了一系列联网系统,如企业资源规划、制造执行、监控和数据采集系统等。这些联网系统能够经常优化流程,使业务更加简单高效。并且,随着系统的不断升级,系统的自动化程度和自主性也将不断提高(图5)。
从安全的角度看,鉴于工业控制系统中商业现货产品的互联性和使用率不断提升,大量暴露点将可能遭到威胁。与一般的IT行业关注信息本身不同,工业控制系统安全更多关注工业流程。因此,与传统网络风险一样,智能工厂的主要目标是保证物理流程的可用性和完整性,而非信息的保密性。
但值得注意的是,尽管网络攻击的基本要素未发生改变,但实施攻击方式变得越来越先进(图5)。事实上,由于工业40时代互联性越来越高,并逐渐从数字化领域扩展到物理世界,网络攻击将可能对生产、消费者、制造商以及产品本身产生更广泛、更深远的影响(图6)。
结合信息技术与运营技术:
当数字化遇上实体制造商实施工业40 技术时必须考虑数字化流程和将受影响的机器和物品,我们通常称之为信息技术与运营技术的结合。对于工业或制造流程中包含了信息技术与运营技术的公司,当我们探讨推动重点运营和开发工作的因素时,可以确定多种战略规划、运营价值以及相应的网络安全措施(图7)。
首先,制造商常受以下三项战略规划的影响:
健康 与安全: 员工和环境安全对任何站点都非常重要。随着技术的发展,未来智能安全设备将实现升级。
生产与流程的韧性和效率: 任何时候保证连续生产都很重要。在实际工作中,一旦工厂停工就会损失金钱,但考虑到重建和重新开工所花费的时间,恢复关键流程可能将导致更大的损失。
检测并主动解决问题: 企业品牌与声誉在全球商业市场中扮演着越来越重要的角色。在实际工作中,工厂的故障或生产问题对企业声誉影响很大,因此,应采取措施改善环境,保护企业的品牌与声誉。
第二,企业需要在日常的商业活动中秉持不同的运营价值理念:
系统的可 *** 作性、可靠性与完整性: 为了降低拥有权成本,减缓零部件更换速度,站点应当采购支持多个供应商和软件版本的、可互 *** 作的系统。
效率与成本规避: 站点始终承受着减少运营成本的压力。未来,企业可能增加现货设备投入,加强远程站点诊断和工程建设的灵活性。
监管与合规: 不同的监管机构对工业控制系统环境的安全与网络安全要求不同。未来企业可能需要投入更多,以改变环境,确保流程的可靠性。
工业40时代,网络风险已不仅仅存在于供应网络和制造业,同样也存在于产品本身。 由于产品的互联程度越来越高——包括产品之间,甚至产品与制造商和供应网络之间,因此企业应该明白一旦售出产品,网络风险就不会终止。
风险触及实体物品
预计到2020年,全球将部署超过200亿台物联网设备。15其中很多设备可能会被安装在制造设备和生产线上,而其他的很多设备将有望进入B2B或B2C市场,供消费者购买使用。
2016年德勤与美国生产力和创新制造商联盟(MAPI)的研究结果显示,近一半的制造商在联网产品中采用移动应用软件,四分之三的制造商使用Wi-Fi网络在联网产品间传输数据。16基于上述网络途径的物联通常会形成很多漏洞。物联网设备制造商应思考如何将更强大、更安全的软件开发方法应用到当前的物联网开发中,以应对设备常常遇到的重大网络风险。
尽管这很有挑战性,但事实证明,企业不能期望消费者自己会更新安全设置,采取有效的安全应对措施,更新设备端固件或更改默认设备密码。
比如,2016年10月,一次由Mirai恶意软件引发的物联网分布式拒绝服务攻击,表明攻击者可以利用这些弱点成功实施攻击。在这次攻击中,病毒通过感染消费者端物联网设备如联网的相机和电视,将其变成僵尸网络,并不断冲击服务器直至服务器崩溃,最终导致美国最受欢迎的几家网站瘫痪大半天。17研究者发现,受分布式拒绝服务攻击损害的设备大多使用供应商提供的默认密码,且未获得所需的安全补丁或升级程序。18需要注意的是,部分供应商所提供的密码被硬编码进了设备固件中,且供应商未告知用户如何更改密码。
当前的工业生产设备常缺乏先进的安全技术和基础设施,一旦外围保护被突破,便难以检测和应对此类攻击。
风险与生产相伴而行
由于生产设施越来越多地与物联网设备结合,因此,考虑这些设备对制造、生产以及企业网络所带来的安全风险变得越来越重要。受损物联网设备所产生的安全影响包括:生产停工、设备或设施受损如灾难性的设备故障,以及极端情况下的人员伤亡。此外,潜在的金钱损失并不仅限于生产停工和事故整改,还可能包括罚款、诉讼费用以及品牌受损所导致的收入减少(可能持续数月甚至数年,远远超过事件实际持续的时间)。下文列出了目前确保联网物品安全的一些方法,但随着物品和相应风险的激增,这些方法可能还不够。
传统漏洞管理
漏洞管理程序可通过扫描和补丁修复有效减少漏洞,但通常仍有多个攻击面。攻击面可以是一个开放式的TCP/IP或UDP端口或一项无保护的技术,虽然目前未发现漏洞,但攻击者以后也许能发现新的漏洞。
减少攻击面
简单来说,减少攻击面即指减少或消除攻击,可以从物联网设备制造商设计、建造并部署只含基础服务的固化设备时便开始着手。安全所有权不应只由物联网设备制造商或用户单独所有;而应与二者同样共享。
更新悖论
生产设施所面临的另一个挑战被称为“更新悖论”。很多工业生产网络很少更新升级,因为对制造商来说,停工升级花费巨大。对于某些连续加工设施来说,关闭和停工都将导致昂贵的生产原材料发生损失。
很多联网设备可能还将使用十年到二十年,这使得更新悖论愈加严重。认为设备无须应用任何软件补丁就能在整个生命周期安全运转的想法完全不切实际。20 对于生产和制造设施,在缩短停工时间的同时,使生产资产利用率达到最高至关重要。物联网设备制造商有责任生产更加安全的固化物联网设备,这些设备只能存在最小的攻击表面,并应利用默认的“开放”或不安全的安全配置规划最安全的设置。
制造设施中联网设备所面临的挑战通常也适用基于物联网的消费产品。智能系统更新换代很快,而且可能使消费型物品更容易遭受网络威胁。对于一件物品来说,威胁可能微不足道,但如果涉及大量的联网设备,影响将不可小觑——Mirai病毒攻击就是一个例子。在应对威胁的过程中,资产管理和技术战略将比以往任何时候都更重要。
人才缺口
2016年德勤与美国生产力和创新制造商联盟(MAPI)的研究表明,75%的受访高管认为他们缺少能够有效实施并维持安全联网生产生态圈的技能型人才资源。21随着攻击的复杂性和先进程度不断提升,将越来越难找到高技能的网络安全人才,来设计和实施具备安全性、警觉性和韧性的网络安全解决方案。
网络威胁不断变化,技术复杂性越来越高。搭载零日攻击的先进恶意软件能够自动找到易受攻击的设备,并在几乎无人为参与的情况下进行扩散,并可能击败已遭受攻击的信息技术/运营技术安全人员。这一趋势令人感到不安,物联网设备制造商需要生产更加安全的固化设备。
多管齐下,保护设备
在工业应用中,承担一些非常重要和敏感任务——包括控制发电与电力配送,水净化、化学品生产和提纯、制造以及自动装配生产线——的物联网设备通常最容易遭受网络攻击。由于生产设施不断减少人为干预,因此仅在网关或网络边界采取保护措施的做法已经没有用(图8)。
从设计流程开始考虑网络安全
制造商也许会觉得越来越有责任部署固化的、接近军用级别的联网设备。很多物联网设备制造商已经表示他们需要采用包含了规划和设计的安全编码方法,并在整个硬件和软件开发生命周期内采用领先的网络安全措施。22这个安全软件开发生命周期在整个开发过程中添加了安全网关(用于评估安全控制措施是否有效),采用领先的安全措施,并用安全的软件代码和软件库生产具备一定功能的安全设备。通过利用安全软件开发生命周期的安全措施,很多物联网产品安全评估所发现的漏洞能够在设计过程中得到解决。但如果可能的话,在传统开发生命周期结束时应用安全修补程序通常会更加费力费钱。
从联网设备端保护数据
物联网设备所产生的大量信息对工业40制造商非常重要。基于工业40的技术如高级分析和机器学习能够处理和分析这些信息,并根据计算分析结果实时或近乎实时地做出关键决策。这些敏感信息并不仅限于传感器与流程信息,还包括制造商的知识产权或者与隐私条例相关的数据。事实上,德勤与美国生产力和创新制造商联盟(MAPI)的调研发现,近70%的制造商使用联网产品传输个人信息,但近55%的制造商会对传输的信息加密。
生产固化设备需要采取可靠的安全措施,在整个数据生命周期间,敏感数据的安全同样也需要得到保护。因此,物联网设备制造商需要制定保护方案:不仅要安全地存放所有设备、本地以及云端存储的数据,还需要快速识别并报告任何可能危害这些数据安全的情况或活动。
保护云端数据存储和动态数据通常需要采用增强式加密、人工智能和机器学习解决方案,以形成强大的、响应迅速的威胁情报、入侵检测以及入侵防护解决方案。
随着越来越多的物联网设备实现联网,潜在威胁面以及受损设备所面临的风险都将增多。现在这些攻击面可能还不足以形成严重的漏洞,但仅数月或数年后就能轻易形成漏洞。因此,设备联网时必须使用补丁。确保设备安全的责任不应仅由消费者或联网设备部署方承担,而应由最适合实施最有效安全措施的设备制造商共同分担。
应用人工智能检测威胁
2016年8月,美国国防高级研究计划局举办了一场网络超级挑战赛,最终排名靠前的七支队伍在这场“全机器”的黑客竞赛中提交了各自的人工智能平台。网络超级挑战赛发起于2013年,旨在找到一种能够扫描网络、识别软件漏洞并在无人为干预的情况下应用补丁的、人工智能网络安全平台或技术。美国国防高级研究计划局希望借助人工智能平台大大缩短人类以实时或接近实时的方式识别漏洞、开发软件安全补丁所用的时间,从而减少网络攻击风险。
真正意义上警觉的威胁检测能力可能需要运用人工智能的力量进行大海捞针。在物联网设备产生海量数据的过程中,当前基于特征的威胁检测技术可能会因为重新收集数据流和实施状态封包检查而被迫达到极限。尽管这些基于特征的检测技术能够应对流量不断攀升,但其检测特征数据库活动的能力仍旧有限。
在工业40时代,结合减少攻击面、安全软件开发生命周期、数据保护、安全和固化设备的硬件与固件以及机器学习,并借助人工智能实时响应威胁,对以具备安全性、警惕性和韧性的方式开发设备至关重要。如果不能应对安全风险,如“震网”和Mirai恶意程序的漏洞攻击,也不能生产固化、安全的物联网设备,则可能导致一种不好的状况:关键基础设施和制造业将经常遭受严重攻击。
攻击不可避免时,保持韧性
恰当利用固化程度很高的目标设备的安全性和警惕性,能够有效震慑绝大部分攻击者。然而,值得注意的是,虽然企业可以减少网络攻击风险,但没有一家企业能够完全避免网络攻击。保持韧性的前提是,接受某一天企业将遭受网络攻击这一事实,而后谨慎行事。
韧性的培养过程包含三个阶段:准备、响应、恢复。
准备。企业应当准备好有效应对各方面事故,明确定义角色、职责与行为。审慎的准备如危机模拟、事故演练和战争演习,能够帮助企业了解差异,并在真实事故发生时采取有效的补救措施。
响应。应仔细规划并对全公司有效告知管理层的响应措施。实施效果不佳的响应方案将扩大事件的影响、延长停产时间、减少收入并损害企业声誉。这些影响所持续的时间将远远长于事故实际持续的时间。
恢复。企业应当认真规划并实施恢复正常运营和限制企业遭受影响所需的措施。应将从事后分析中汲取到的教训用于制定之后的事件响应计划。具备韧性的企业应在迅速恢复运营和安全的同时将事故影响降至最低。在准备应对攻击,了解遭受攻击时的应对之策并快速消除攻击的影响时,企业应全力应对、仔细规划、充分执行。
推动网络公司发展至今日的比特(0和1)让制造业的整个价值链经历了从供应网络到智能工厂再到联网物品的巨大转变。随着联网技术应用的不断普及,网络风险可能增加并发生改变,也有可能在价值链的不同阶段和每一家企业有不同的表现。每家企业应以最能满足其需求的方式适应工业生态圈。
企业不能只用一种简单的解决方法或产品或补丁解决工业40所带来的网络风险和威胁。如今,联网技术为关键商业流程提供支持,但随着这些流程的关联性提高,可能会更容易出现漏洞。因此,企业需要重新思考其业务连续性、灾难恢复力和响应计划,以适应愈加复杂和普遍的网络环境。
法规和行业标准常常是被动的,“合规”通常表示最低安全要求。企业面临着一个特别的挑战——当前所采用的技术并不能完全保证安全,因为干扰者只需找出一个最薄弱的点便能成功入侵企业系统。这项挑战可能还会升级:不断提高的互联性和收集处理实时分析将引入大量需要保护的联网设备和数据。
企业需要采用具备安全性、警惕性和韧性的方法,了解风险,消除威胁:
安全性。采取审慎的、基于风险的方法,明确什么是安全的信息以及如何确保信息安全。贵公司的知识产权是否安全?贵公司的供应链或工业控制系统环境是否容易遭到攻击?
警惕性。持续监控系统、网络、设备、人员和环境,发现可能存在的威胁。需要利用实时威胁情报和人工智能,了解危险行为,并快速识别引进的大量联网设备所带来的威胁。
韧性。随时都可能发生事故。贵公司将会如何应对?多久能恢复正常运营?贵公司将如何快速消除事故影响?
由于企业越来越重视工业40所带来的商业价值,企业将比以往任何时候更需要提出具备安全性、警惕性和韧性的网络风险解决方案。
报告出品方:德勤中国
获取本报告pdf版请登录远瞻智库官网或点击链接:「链接」
NB-IOT是一种物联网实现技术 同zigbee及wifi一样 属于物联网的重要分支 NB-IOT是基于基于蜂窝的窄带物联网,它拥有低功耗的特点 跟zigbee一样 但是传输速率要大于zigbee 而wifi则消耗较大的功耗 但是传输速率比它们都要大
NB-IoT是IoT领域一个新兴的技术,支援低功耗装置在广域网的蜂窝资料连线,也被叫作低功耗广域网(LPWA)。NB-IoT支援待机时间长、对网路连线要求较高装置的高效连线。据说NB-IoT装置电池寿命可以提高至至少10年,同时还能提供非常全面的室内蜂窝资料连线覆盖。
都是远距离无线传输,只是各自的应用领域不同而已。
LoRa比较适合区域网,自己管理资料,自己架设基站进行资料处理,比如一个农场、一个蔬菜基地等。
NB-IoT较适合广域网部署,应用领域比较适合广泛部署,一个特征应用比如共享单车就比较适合NB而不适合LoRa,比较像是3/4G跟WiFi的关系。
LoRa:基站需要自己管理,可以类比为自己家里WIFI路由器,手机连结WIFI上网
NB-IoT:基站运营商已经给你建好,要传输付钱即可,资料走运营商网路,可以类比为目前的手机3/4G上网
LoRa、SigFox因为出现的时间较早,且较基于授权频谱的LPWA技术更为成熟,也可以规模商用,能够满足当时部分使用者的需要,因此获得了运营商的选择。在市场上,基于非授权频谱的LPWA技术,主要是LoRa、SigFox为主。
随着技术的进步和发展,到了2016年,NB-IoT和eMTC这两项技术出现了,并且这两项技术都采用统一的3GPP标准来扩充套件物联网。这项技术具有行业标准的属性,是开放的,并且采用的技术方向是向5G进行逐步演进,标准会不断的提升和演进。
一篇文章看懂什么是工业40 这篇接地气的文章告诉你——什么叫工业40 导读:工业40到底是个啥,本来答应给他单独讲一遍,后来一想,不如整理下材料和思路,一块分享给大家,所以今天就跟大家谈谈这个神秘的工业40吧。
早年从事过工业自动化行业,后来为了赚点讲课费做零花。
工业40第一重天:智慧生产
之前我们说过,生产装置和管理资讯系统也各自连线起来,并且装置和资讯系统之间也连线起来了。你有没有觉得还缺点什么?没错,就是生产的原材料和生产装置还没有连线起来。
这个时候,我们就需要一个东西,叫做RFID,射频识别技术。估计你听不懂,简单来说,这玩意儿就相当于一个二维码,可以自带一些资讯,他比二维码牛叉的地方,在于他可以无线通讯。
我还是来描述一个场景,百事可乐的生产车间里,生产线上连续过来了三个瓶子,每个瓶子都自带一个二维码,里面记录著这是为张三、李四和王二麻子定制的可乐。
第一个瓶子走到灌装处时,通过二维码的无线通讯告诉中控室的控制器,说张三喜欢甜一点的,多放糖,然后控制器就告诉灌装机器手,“加二斤白糖!”(张三真倒霉……)。
第二个瓶子过来,说李四是糖尿病,不要糖,控制器就告诉机器手,“这货不要糖!”
第三个瓶子过来,说王二麻子要的是芬达,控制就告诉灌可乐的机械手“你歇会”,再告诉灌芬达的机械手,“你上!”
看到了,多品种、小批量、定制生产,每一灌可乐从你在网上下单的那一刻起,他就是为你定制的,他所有的特性,都是符合你的喜好的。
这就是智慧生产。
工业40第二重天:智慧产品
生产的过程智慧化了,那么作为成品的工业产品,也同样可以智慧化,这个不难理解,你们看到的什么智慧手环、智慧脚踏车、智慧跑鞋等等智慧硬体都是这个思路。就是把产品作为一个数据采集端,不断的采集使用者的资料并上传到云端去,方便使用者进行管理。
德美工业40和工业网际网路的核心分歧之一,就是先干智慧工厂,还是先搞智慧产品。德国希望前者,美国希望后者。至于中国,我们就搞加,还是加这个东西好,正加反加都行。
工业40第三重天:生产服务化
刚才说了,智慧产品会不断地采集使用者的资料和状态,并上传给厂商,这个就使一种新的商业模式成为可能,向服务收费。我好多年前在西门子的时候,西门子就提出来向服务收费,当时我觉得这是德国佬拍脑袋想出来的傻×决定,但是现在我才明白这是若干年前就已经开始为工业40的生产服务化布局了。你对西门子的印象是什么?冰箱?你个糊涂蛋,西门子这些年已经悄然并购了多家著名软体公司,成为仅次于SAP的欧洲第二大软体公司了。
这个服务是什么呢?比如西门子生产一台高铁的牵引电机,以往就是直接卖一台电机而已,现在这台电机在执行过程中,会不断的把资料传回给西门子的工厂,这样西门子就知道你的电机现在的执行状况,以及什么时候需要检修了。高铁厂商以往是怎么做的?一刀切,定一个时间,到时间了不管该不该修都去修一下,更我们汽车保养没什么差别。现在西门子可以告诉你什么时候需要修什么时候需要养护,你要想知道,对不起,给钱。
再举个例子,智慧产品实现后,每一辆汽车都会不断地采集周边的资料,来决定自己的行驶路线,整个运输系统会完全服务化,任何人都不需要再买车,有一天也许自己开车会成为严重的违法行为,因为装置是智慧的,而人确是不可控的。
在这个阶段,所有的生产厂商都会向服务商转型。
工业40第四重天:云工厂
当工厂的两化融合进一步深入的时候,另一种新的商业模式就有要孕育而生了,这就是云工厂。
工厂里的装置现在也是智慧的了,他们也在不断地采集自己的资料上传到工业网际网路上,此时我们就可以看到,哪些工厂的哪些生产线正在满负荷运转,哪些是有空闲的。那么这些存在空闲的工厂,就可以出卖自己的生产能力,为其他需要的人去进行生产。
网际网路行业为什么发展的这么快,就是因为创业者只需要专注于产品和模式创新,不需要自己去买一个伺服器,而是直接租用云端的服务就行了。而目前工业的创业者,还是要不断地纠结于找OEM代工还是自建工厂中,这个极大地限制了工业领域的创新。当云工厂实现的时候,我预言中国的工业领域将出现一个比网际网路大百倍以上的创新和创业浪潮,那个时候这个社会的一切都将被深刻的改变。
工业40第五重天:跨界打击
网际网路行业天天说降维打击传统行业,什么谷歌小米阿里巴巴乐视,可是我告诉你,当工业40进入第五重天时,工业企业的跨界打击将比这些网际网路企业猛烈百倍。这个过程将从根本上撼动现代经济学和管理学的根基,重塑整个商业社会。
举个例子,一个生产手表的厂商,这个表每天贴着你的身体,采集你身体的各项资料,这些资料对于手表厂商也许没啥用,但是对于保险公司就是个金库,这个时候,手表厂商摇身一变,就能成为最好的保险公司。
当自动化和资讯化深度融合的时候,跨界竞争将成为一种常态,所有的商业模式都将被重塑。
工业40大圆满:黑客帝国
整个工业40过程,就是自动化和资讯化不断融合的过程,也是用软体重新定义世界的过程。
在未来,多元宇宙将在虚拟世界成为现实,一个现实的世界将对应无数个虚拟世界。改变现实世界,虚拟世界会改变;改变虚拟世界,现实世界也会改变。一切都在基于资料被精确的控制当中,人类的大部分体力劳动和脑力劳动都将被机器和人工智慧所取代,所有当下的经济学原理都将不再试用,还将有可能引发道德伦理问题。但是我相信有一些东西是不会变的,人类的爱、责任、勇敢,对未来和自由的向往,以及永无止境的奋斗。生生不息!
好吧,现在大谈黑客帝国似乎有些遥远,那就谈谈科理咨询的2016年德国汉诺威工业展与工业40标杆学习之旅吧!科理咨询带着学员都学到了什么呢?请关注随后的系列报道。
nbiot和emtc应该是比较相似,因为都基于LTE技术
而其他非LTE系列的物联网就根本不同了
NB-IoT是narrowbandinterofthings,即窄带物联网技术,是LPWA技术的一种。LTECategoryM2也被称为Narrow-BandIoT(NB-IoT)没有Cat-NB的说法
物联网《NB-IoT已经来了,LTE-V还会远吗 1、实现无人驾驶,单车智慧+汽车联网,两手都要硬
当前市场忽视了通讯网路对于无人驾驶的关键作用。之前大家讨论的更多的是单车智慧,而要实现最终的无人驾驶,必需单车智慧和汽车联网相辅相成,特斯拉事故已经说明,仅仅单车智慧是不够的。实现汽车联网的通讯网路必须具备低时延、大频宽的效能,实现车与车、车与路之间的通讯,而目前包括 NB-IoT、4G 等网路均不符合要求,必须要有专用的车联网通讯标准。
2、抢夺车联网标准,中国推出 LTE-V
中国是世界第一大的汽车市场,同时中国通讯产业又具备全球竞争力,出于通讯安全的考虑,中国工信部正在积极推动自主化的车联网标准。华为、大唐等主导的车联网标准 LTE-V 预计在 2016 下半年和 2017 上半年分步冻结,2018 年商用推广,抢在美国强制推广之前(DSRC)。同时,我国 8 月份将释出“智慧网联汽车发展技术路线图”,我们判断,LTE-V 将是其中的重要内容之一。
历史悠久:贵州茅台酒独产于中国的贵州省遵义县仁怀镇,是与苏格兰威士忌、法国科涅克白兰地齐名的三大蒸馏名酒之一,是大曲酱香型白酒的鼻祖。
品质优越:被尊为“国酒”。他具有色清透明、醇香馥郁、入口柔绵、清冽甘爽、回香持久的特点,人们把茅台酒独有的香味称为“茅香”,是我国酱香型风格最完美的典型。
一张图看懂什么是物联网
物联网是网际网路的延伸,可以说是网际网路的一种应用。物联网通过各种感知装置,如射频识别、感测器、红外等,将资讯传送到接收器,再通过网际网路传送,通过高层应用进行资讯处理,达到“感知”的目的。
一篇文章弄懂什么是虹膜识别 美国智库 Acuity Market Intelligence
曾发表过一份《生物识别的未来》报告,报告显示,虹膜识别技术将在未来10—15年迅速普及,并占全球生物特征识别16%的市场份额,虹膜识别产品总产值也将达到35亿美元。毕竟无需赘言,在智慧手机之外,未来整个IOT产业的崛起理论上都可被视作虹膜技术普及的基石——你知道,当万物互联时代来临,资料安全牵一发而动全身,人们都在企盼一种与机器更安全的互动方式。
拜好莱坞所赐,如下场景早已被视作未来理所当然的一部分:某Boss级人物神色淡定或慌张地进入实验室等神秘部门,他只需要“看一眼”萤幕即可来去自如。事实上,虹膜识别并不是一个初生事物,基于虹膜扫描识别身份的理论认知可追溯到上世纪30年代,并于90年代逐渐实现商业化落地,如今也已应用在诸如金融, ,机场和军方等现实中貌似类似“神秘部门”的地方。但如你所知,人类历史的底层驱动力永远都是技术以及让技术大范围扩散的商业,遵循着与计算机,网际网路,智慧手机等颠覆性技术的相似步伐,如今虹膜识别也正在从特定领域推广至普通消费人群之中。最直观的例子当然来自三星刚释出的Galaxy
Note7,这是虹膜识别技术第一次被添置在真正意义上的主流旗舰智慧手机之上。
在不少人看来,考虑到三星之于手机产业链的掌控力和号召力,与去年富士通ARROWS NX F-04G以及微软Lumia
950XL等小众机型对虹膜识别的仓促不同(譬如识别时间过长),三星的入局有望起到某种带动之力——据报道,三星的加入甚至让与虹膜识别相关的企业股票也一度飘红。技术的成熟当然是另一方面。古往今来,人类一直对“精准识别身份”心向往之——而有理由相信,愈到未来,安全地告知机器“我是谁”这件事就愈加重要。
而在这件事上,至少看起来,虹膜识别可以做到更多。
你的唯一
大体而言,在所有常规生物特征识别(包括指纹,人脸,虹膜,声音,掌纹等)当中,由于虹膜自身的精准性,防伪性,唯一性,稳定性,主流学界通常认为虹膜是比指纹或者面部识别更“高阶”的识别方式,要知道,相比于指纹08%,人脸2%左右的误识率,虹膜识别低至百万分之一的误识率看起来几乎没有任何蛊惑性。
那到底何为虹膜人眼结构由巩膜,虹膜和瞳孔三部分构成,虹膜即是位于其他二者之间的圆环状部分,属于眼球中层,负责自动调节瞳孔大小,从而适应不同光照环境。而交叉错杂的细丝,斑点和条纹等细微之物构成虹膜大量独一无二的资讯特征,也因此具备了某种与生俱来的不可复制性(顺便一提,虹膜的唯一性同样存在于同卵双胞胎身上,后者DNA资讯重合度非常之高),其复杂度远超如今在智慧手机普及的指纹识别,有研究表明,虹膜识别准确性是指纹识别的1万倍。
可想而知,细小的动态特性让伪造虹膜变得几乎不太可能,至少目前,无论照片,假眼,乃至在隐形眼镜上列印(对了,当眼球剥离人体,虹膜也会随瞳孔放大从而失去活性),都几乎没办法欺骗机器对于主人虹膜的信赖。
而极强的稳定性是虹膜用于生物识别的另一利器。任何人在胎儿发育阶段形成之后,虹膜即终生保持不变,且几乎不会受到外部环境的干扰——在眼睑的庇护下,它不易受到外伤侵袭,更重要的是,目前看来,诸如红眼病,白内障,青光眼,沙眼结膜炎,近视眼手术这些常见的眼部侵扰都无法影响虹膜自身纹理。这意味着,虹膜不会出现指纹解锁时易磨损,灵敏度低,蜕皮或者潮溼而致使手机无法识别的困扰。
另外,最后想说,相较于指纹,虹膜中远距离的非接触式采集无疑要卫生许多。
怎么用
很好理解,虹膜识别技术能将虹膜资讯特征转为密码储存。
在具体的实现路径上,拿Note7来说,在前置镜头同侧增加了IR
LED与虹膜摄像头,在识别过程之中,前置摄像头辅助虹膜摄像头确定持机者的大体轮廓,再经由IR
LED发射红外光源(虹膜识别无法用最常见的彩色可见光感测器,要用独立的红外感测器,以保证能为暗光下使用),虹膜摄像头通过光源扫描持机者虹膜资讯,然后将虹膜资讯转为编码,与已知密码进行比对,以最终决定是否解锁。通常来说,相比录入指纹时的繁琐,初次录入虹膜要迅捷许多,大概只需要几秒钟;而当用户试图用虹膜解锁手机时,根据视讯演示,虽不比指纹,但仍谈得上灵敏。
而直觉便知,虹膜识别的应用场景可被延伸至萤幕解锁之外,譬如Note7提出的一种场景方案是新增了一个“安全资料夹”,通过虹膜解锁存放一些包括应用,照片,便签在内的私人资料或资讯(你知道,每个人都有一些“不可告人”的小秘密),让其独立于其他手机资料之外,唯有虹膜可以开启,算是上了份双保险。
在我看来,这一功能也在很大程度上回应了业界对于虹膜识别普及性的担忧——事实上,至少在现阶段,作为科技急先锋的虹膜识别与已然成熟的指纹识别并非取代关系,而更接近于不同场景中的互补或进阶,Note7的安全资料夹即是如此,你大可将其视作指纹之后的第二道安全防护,里出入神秘部门也得布防重重关卡不是
嗯,在告知机器“我是谁”这件事上,人类经历了各种密码,数字证书,硬体KEY(譬如U盾)等多种方式,有理由相信,身份识别的下一幕很大程度上将由虹膜等生物特征识别完成。其实追溯人机互动历史,一个清晰的脉络是:主流计算装置的每次形态改变,必然伴随着人机互动难度下降,而随着虹膜等识别技术的完善,人类与机器之间的“信任关系”势必将迈向一个新篇章。
未来由现实铺就,而“未来已经来临”。在科技领域,未来十年将会令过去的十年黯然失色,但愿这其中会有生物识别技术很大的功劳。
关键词: 多接入移动边缘计算;边缘云;安全防护;机器学习;诱骗防御;用户及实体行为分析
内容目录 :
0 引 言
1 5G 及边缘计算
2 边缘计算面临的风险
21 基础设施层安全风险
22 电信服务层安全风险
23 终端应用层安全风险
24 管理面安全风险
25 租户服务面安全风险
26 MEC 安全威胁总结
3 “云管边端”安全防护技术
31 功能架构
32 主要功能
4 “云管边端”安全防护实践
41 应用场景
5 结语
“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求,通过多级代理、边缘自治、编排能力,提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护;提供多种部署方式;在提供高性价比服务的同时为边缘云计算输送安全服务价值。
5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算(Multi-access Edge Computing, MEC)提供了强大的云网一体化基础设施,促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网,其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用,MEC 和生产管理流程逐渐融合,安全问题将日益突出, 对于 MEC 的安全防护需求日益强烈 。
采用标准 X805 模型,MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层(分为物理基础设施子层、虚拟基础设施子层)、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。
21 基础设施层安全风险
与云计算基础设施的安全威胁类似,攻击者可通过近距离接触硬件基础设施,对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口, 获得运营商用户的敏感信息。攻击者可篡改镜像, 利用虚拟化软件漏洞攻击边缘计算平台(Multi- access Edge Computing Platform,MEP) 或者边缘应用(APPlication,APP) 所在的虚拟机或容器, 从而实现对 MEP 平台或者 APP 的攻击。
22 电信服务层安全风险
存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时,传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问, 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能(Virtual Network Function,VNF)或者容器方式部署时,VNF 及容器的安全威胁也会影响 APP。
23 终端应用层安全风险
APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时,传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP,导致敏感数据泄露等。另外,在 APP 的生命周期中,它可能随时被非法创建、删除等。
24 管理面安全风险
MEC 的编排和管理网元(如 MAO/MEAO) 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP,不断地向用户APP 生命周期管理节点发送请求,实现 MEP 上的属于该用户终端 APP 的加载和终止,对 MEC 编排网元造成攻击。
25 租户服务面安全风险
对于存在的病毒、木马、蠕虫、钓鱼攻击, 攻击者近距离接触数据网关,获取敏感数据或篡改数据网管配置,进一步攻击核心网;用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。
26 MEC 安全威胁总结
基于对上述风险的认识,可以看出:MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域,应用了基于服务化接口的多类 5G 专用接口和通信协议,网络中存在面向应用、通信网、数据网的多维度认证授权处理, 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求,需要新的具备纵深防御能力的专业性的解决方案处理。
31 功能架构
“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现,分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构
在可视化层,产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层,产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。
边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力,这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。
边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集,并对采集到的信令面流量进行分发,对用户面流量进行筛选和过滤。
32 主要功能
“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。
(1)基本安全
提供基础的安全防护功能,包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。
(2)通信安全
提供针对 MEC 网络的通信安全防护能力, 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。
(3)认证审计
提供针对 MEC 网络的认证审计和用户追溯安全防护能力,可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互,并可以进行必要的关联性管理和分析。
(4)基础设施安全
提供对 MEC 基础设施的安全防护能力, 包括关键基础设施识别,基础设施完整性证实,边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理,保障 *** 作系统安全,保障网络接入安全。
(5)应用安全
提供完善的 MEC 应用安全防护能力,包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描,保护 APP 和应用镜像安全。
(6)数据安全
提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力, 避免应用数据安全风险。在身份认证过程中, 结合 PKI 技术实施双因子身份认证,保护认证信息安全。通过安全域管理和数据动态边界加密处理,防范跨域数据安全风险。
(7)管理安全
提供完善的管理安全防护能力。包括安全策略下发安全防护,封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理,以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。
(8)安全态势感知
通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测,实现针对 MEC 网络的安全态势感知。
41 应用场景
“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具,而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务,推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署,边缘云合作运营,安全服务租用等多种商业模式。
企业通过部署“云管边端”安全防护解决方案,能够有效实现将网络安全能力从中心延伸到边缘,实现业务快速网络安全防护和处理,为 5G 多样化的应用场景提供网络安全防护。因此,企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统,从而丰富工业互联网应用,促进工业互联网智能化发展 。
42 主要优势
“云管边端”安全防护解决方案具备如下优势:
(1)专为边缘计算环境打造,整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化,提供 MEC 最佳防护方案。
(2)多种模式适应各类应用场景需求,企业可根据自身需求和特点灵活选择。可以选择租用模式,无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式,深度研发适配企业特性的安全防护处理。
(3)高效融合 MEC 各个层面的安全保护能力,降低综合安全防护成本,支持多种收费模式,降低入门门槛,让MEC 安全保护不留死角。
(4)创造安全服务价值,安全策略自动化以及与网络和云服务能力的联动,深度优化MEC 安全运维管理,创造边缘云服务安全价值。
本解决方案当前已在多个实际网络中部署,实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如,随着 5G 网络的发展,可以实施对于工业大型工程设备的 5G 远程控制改造,实现远程实时控制,完成高清视频回传,从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性,造成重大损失。通过本解决方案的实施,可以保障 5G 远程控制改造实施,保护生产运行的高效运转。
引用文本:张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48
张宝山,硕士,高工,主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等; 庞韶敏 ,硕士,高工,主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)传统防火墙只是针对一些底层(网络层、传输层)的信息进行阻断,而WEB应用防火墙则深入到应用层,对所有应用信息进行过滤,这是WEB应用防火墙和传统防火墙的本质区别。
防火墙,又称防护墙、火墙,是由吉尔·舍伍德于1993年发明并引入国际互联网的网络安全系统。其功能主要包括及时发现并处理计算机网络运行时潜在的安全风险、数据传输等问题,同时可对计算机网络安全当中的各项 *** 作实施记录与检测,以确保计算机网络正常运行。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)