2019-12-13周五 网安资讯
在12月10日召开的“2020年IDC中国ICT市场预测论坛”上,IDC中国副总裁钟振山“以未来企业之新兴技术市场”为主题,从“人工智能、机器人、增强/虚拟现实、物联网、3D打印、下一代安全、区块链”七大创新加速器中的人工智能、物联网、下一代安全和区块链四个领域,进行市场现状及未来预测解析。
随着慢慢的变多物联网设备出现,给企业所带来的挑战就是如何保护企业的核心资产。20年前,黑客攻击的对象就是服务器或者平常办公所用的电脑,但是,随着办公设备复杂化,包括手机、平板电脑、可穿戴设备,都会成为黑客所攻击的对象。
5G的出现可以大幅度地促进物联网市场发展,公司能够把这些技术逐渐利用到业务中去,但是,其所带来的风险就是黑客可以攻击的对象慢慢的变多。2019年,已发生的针对物联网设备的攻击,影响到超过三分之一的企业。
第一,受安全技能人才长期短缺影响,到2022年,60%安全运营中心(SOC)初级分析师将利用人工智能(AI)和机器学习(ML)持续提高其工作效率并提升运营的安全水平。
第二,到2024年,运营技术(OT)可视化工具的发展将推动60%的全球工业公司采用融合信息技术(IT)和运营技术(OT)的办法来进行安全监控。
第三,将工作负载迁移到云,正在转变组织对于托管安全服务的消费模式。到2022年,30%的托管安全服务(MSS)将由云托管安全服务提供商所提供。
第四,在地理政治学背景下,到2022年,(全球)60%的市场将主动用本地网络安全供应商确保政府和关键基础设施的安全。
第五,伴随数字信任业务重要性地逐步的提升,到2025年,30%的安全服务支出将专门用于开发、实施和维护“信任框架”。
第六,消费者需要同时实现超凡的数字体验与身份保护。到2022年,60%的消费者在线交易将实现高信任并且无需密码。
第七,企业对网络风险的关注与日俱增并将网络风险与品牌声誉紧密结合。到2022年,60%的上市公司将网络风险监控纳入其业务计划和季度报告中。
第八,数据和分析的爆炸式增长推动了边缘计算的快速发展。为了确认和保证数据的来源可信,到2025年,10%的企业数据将储存在分布式账本系统中。
第九,创新、机遇和市场需求一同推动了超大规模云提供商直接且持续地增强其安全业务。到2024年,云服务商9%的收入将来源于安全。
第十,在互联网空间,有效打击国家和网络犯罪组织依赖于不对称的漏洞与情报数据。到2023年,20%的发达市场将立法,全面披露网络违规信息、共享网络漏洞与情报。
对企业来说,如果要在企业数字化过程中想要取得成功,核心就是建立一套有效的数字信任机制。消费者需求就是有非常好的客户体验,或者是产品体验的过程,但是,在这样的一个过程当中,必须意识到,消费者是不是和一家值得信任的企业做交易,是不是愿意把个人或者一些敏感信息交给这家企业。所以,IDC提出数字信任这个概念。
从企业内部IT高度来讲,第一步是要解决网络安全相关的风险,但是,随着云计算逐渐普及,企业的IT资源不仅限于企业内部资源,很多是在公有云上共享的资源,所以,这些外部或者共享IT资源所带来的风险,企业同样需要考虑。
除了IT相关的安全工作,在进行数字活动或者是商业行为时,必须要注意到,这些商业行为对企业信誉带来的影响,例如,在一些数字化的商业活动中,发生数据泄露等事件,对整体企业的声誉会产生负面的影响。所以,对于一个企业来讲,建立一套有效的数字信任体系,将是企业数字化转型最重要的因素。
数字信任体系的建设也会大力地推动中国网络安全市场整体的发展。2019年,中国网络安全市场规模达到73亿美元。如果将这一个数字与美国以及全球市场规模作比较,能够正常的看到,中国网络安全市场还处在相对来说还是比较初期的阶段。
IDC预测,到2023年,中国的网络安全市场规模会增长到179亿美元,其中,5年内的复合增长率将达到25%左右。所以,中国网络安全市场的增幅远超于世界领先水平,中国企业已经意识到网络安全对公司的重要性。在这样的一个过程中,企业也会加大在网络安全方面的投入,确保企业的核心资产不会受到影响。
德国弗劳恩霍夫协会4日发布新闻公报说,网络安全是数字化成功的前提,也是在国际竞争中保持领先的重要条件。为此,该协会联手德国高校,建立了欧洲最大的应用型网络安全研究中心——国家应用型网络安全研究中心ATHENE。
据公报介绍,新研究中心由弗劳恩霍夫安全信息技术研究所、图像数据处理研究所,以及达姆施塔特工业大学、达姆施塔特应用科学大学联合建立。德国联邦和地方政府计划2019年为该中心投入1250万欧元,2026年时年资助金额将增至3700万欧元。
新研究中心官网显示,该中心将开展尖端研究,并采取灵活高效的运作模式,可在短时间内应对新挑战。
当天参观研究中心的德国联邦教研部部长安雅·卡利切克说:“电网、道路、医院和行政管理的主要基础设施都依靠安全的数据网络,我们一定要强化自己的技术主权。为了这一目标,联邦政府会支持ATHENE国家研究中心。”
弗劳恩霍夫协会主席雷蒙德·诺伊格鲍尔说,没有网络安全,经济和社会的数字化转型将无法成功,协会将与合作伙伴共同研发有效解决方案,使数字化潜能得以充分发掘,造福大众。
密码是国际公认的互联网空间战略资源,是保障互联网空间安全的核心技术和基础支撑。密码法的颁布是我国密码工作的重要里程碑,标志着密码发展进入有法可依的时代,密码管理、科研、产业、应用、检测等环节均正式步入法制化轨道。密码应用的推进、评估和监督检查,成为国家意志的最新体现。在密码法的护航之下,密码产业即将站在新的起点启帆远航。
密码法第六条规定,国家对密码实行分类管理。第八条界定商用密码用于保护不属于国家秘密的信息,指出公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,并在第三章对商用密码的管理、科研、产业、检测进行了一系列规定,明确了商用密码的法制化框架。密码法对商用密码的相关规定,对商用密码产业的发展必将产生积极而深远的影响。
1996年,中央会议专题研究做出了有关商用密码发展和使用管理的重大决策,并下发27号文件,确定了我国商用密码的发展和管理方向的20字方针:“统一领导、集中管理、定点研制、专控经营、满足使用”,推动了我国近二十年来的商用密码产业发展。
当前,商用密码已大范围的应用于国民经济与社会生产生活,国家对各行业领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出新的要求,以行政审批为基本手段的定点制度已经不能完全适应市场化的商用密码产业。国家密码管理局自2015年开始,逐步取消了商用密码定点科研、生产和销售的行政审批,以产品检验测试认证机制严把准入关、维护市场秩序。本次颁布的密码法进一步明确了商用密码产业的市场化属性,指出要建立“健全统一、开放、竞争、有序的商用密码市场体系”,平等对待商用密码所有从业单位,鼓励与外商之间基于商业规则的合作交流,充足表现国家推行由市场配置资源,通过市场之间的竞争促进产业能力和产品质量的持续提升的决心。同时推进商用密码检测认证体系建设,为产业提升产品竞争力提供服务;建立事中事后监管制度,取消部分事前监管,从而缩短反应链条,实现密码产业对市场的快速响应,充分满足快速的提升的信息技术对密码的产业需求。
当前,包括密码企业在内的我国网络安全企业规模整体偏小,产业创造新兴事物的能力有所不足。密码法明确了关键信息基础设施运营者应使用商用密码保护信息系统安全并实施商用密码应用安全性评估,这一举措将进一步扩展商用密码的市场容量,为密码产业链上拥有高质量密码产品或服务的从业单位提供可观的发展空间。同时鼓励商用密码研究开发、学术交流、成果转化和推广应用,为商用密码科研、生产、销售、服务创造了良好、开放的环境。通过供需两端的同时发力,起到以应用促创新、以创新保发展的效果,长久来看将显著拉动密码产业的产业升级和技术革新。
有效的监督管理,是市场秩序和健康发展的有力保障。密码法再次强调取消对商用密码生产、销售等环节从业企业的许可管理,而是从标准符合、产品检验测试认证、专用产品目录、安全审查、行业自律等多方面相结合、多手段配合的方式强化监管,充分调动商用密码行业协会的引导和监督作用,对特定重要行业的密码应用则强调密码管理部门与行业有关部门的配合监管,对商用密码活动建立日常监管和随机抽查相结合的事中事后监管制度,同步推进监督管理体制与社会信用体系的衔接,强化商用密码从业单位自律、社会监督。
标准化是促进产业分工、完善产业链,形成大协作、大产业的强力手段。密码法注重商用密码标准体系建设,突出标准引领作用,全力支持在国家标准、行业标准的基础上,提出更高标准的团体标准、企业标准,加大参与国际标准化活动力度,加强与国际标准的转化应用。
检验测试认证是严把产品质量关、维护市场健康向上的关键关口。密码法指出要推进商用密码检测认证体系建设,鼓励从业单位通过商用密码检测认证来提升商品市场竞争力,与《网络安全法》充分融合,避免重复检验测试认证的同时也使检测认证工作更加全面,商用密码检测认证机构获得逐步发展机遇,密码产业也将得到更规范的发展。
密码法体现了国家在密码管理体制上的新思想,描绘了密码产业的新蓝图。企业是密码产业的核心力量,担负着在新的法制化框架下努力提升国家密码产业能力、助力网络强国建设的历史任务。为此提出以下建议,供产业参考。
密码法的出台将引动重要领域的安全防护投资力度再次加码,从而加速商用密码应用需求的释放,应用规模将迎来迅速增加。但是,随着各行业业务发展越来越多样化,对密码保障服务的需求慢慢地细分,传统的“以我为中心”的产品生产组织模式已不能够满足多样化的应用需求,密码机、密码卡、智能密码钥匙等传统密码产品不可能是包治百病的良药。商用密码从业单位需要转变生产观念,学会“走出去”,进一步探索应用方的业务需求,把握业务特点,针对性组织研发技术、产品研制,切实做到密码与业务的融合,提供与业务深度匹配的安全保障能力。市场化必然伴随着竞争,商用密码从业单位只有以实际业务需求为风向标,开拓创新,不断向市场投放高质量密码产品和高品质密码服务,才能在竞争的大潮中立于不败之地。
专业化分工慢慢的变成了当今信息产业的特点,“由专业的团队提供专业的服务”,让用户集中精力于自身业务,是专业化分工时代的主流。我国商用密码产业历史上一直以产品供给为主,用户方需自行建设和维护密码保障体系,既耗费人力物力又欠缺专业能力,形成较大的负担,致使密码应用意愿不强。密码法多次提到密码服务,并提出对提供密码服务的公司进行许可和认定,这是一个很明显的风向标。密码企业作为专业化密码力量,需要尽快升级经营模式,从产品交付转变到服务交付及结合产品和服务的综合性密码应用解决方案交付,为用户更好的提供“一站式”专业化密码服务,减轻用户负担,提高社会生产效率。
密码的生态系统不是独立的,它涵盖了信息技术基础软硬件、中间件及信息系统的集成服务和运营等。这决定了密码产业不可能游离在信息产业之外,必须实现与信息产业的深入融合、共同促进、协同发展,才能充足表现自身的社会价值。密码企业下一步需要加强与信息产业链各环节的协作,例如与处理器芯片、操作系统、数据库、浏览器、工业控制软硬件等供应商协作研究商用密码嵌入这一些信息产品的完善方案,共同设计开发新的产品。除与基础软硬件、中间件的融合外,更需与终端信息系统深层次地融合,使基于密码的保障能力成为信息系统的内在能力。通过密码产业与信息产业的同步共进,为信息产业打造真正的“安全港”,也保证了密码生态系统的平衡协调发展。
随着网络安全等级保护制度2.0国家标准的正式发布,我国网络安全等级保护工作步入了新时代。等级保护对象范围在传统系统的基础上扩展到了云计算、移动互联、物联网和工业控制等系统领域。
其中,工业控制管理系统怎么样应对等保2.0的“合规”?今天我们针对等保2.0的“工业控制安全扩展要求”部分进行初步初步解读。
工业控制管理系统(ICS)是几种类型控制管理系统的总称,包括数据采集与监视控制管理系统(SCADA)系统、集散控制管理系统(DCS)、可编程逻辑控制器(PLC)和其它控制管理系统。工业控制管理系统通常用于诸如电力、石油化学工业、轨道交通、烟草、市政、以及离散制造(如汽车、航空航天和耐用品)等行业。
工业控制管理系统主要由过程级、操作级以及各级之间和内部的通信网络构成,对于大规模的控制管理系统,也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线
工业控制管理系统网络架构按照IEC62264-1的层次结构模型划分,从上到下共分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。
:与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产、硬件设施。
:各个操作员站、工程师站、OPC服务器等物理资产,及运行的软件和数据资产。
工业控制管理系统通常对可靠性、可用性要求非常高,所以在对工业控制管理系统依照等级保护进行防护的时候要满足以下约束条件:
原则上安全措施不应对高可用性的工业控制管理系统基本功能产生不利影响。 例如用于基本功能的账户不应被锁定,甚至短暂的也不行;
除了安全通用要求,针对工业控制管理系统专门扩充了安全扩展要求内容,首次明确了有别于传统网络的工业控制管理系统在特殊的应用场景下,如何对等级保护建设提出要求。
室外控制设备物理防护a) 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;
解读:控制管理系统部署的物理环境安全,确保控制管理系统的可用性,避免控制设备因宕机、线路短路、火灾、被盗等因素引发其他生产事故,进而影响生产运行。
b) 室外控制设备放置应远离强电磁干扰、强热源等环境,如没办法避免应及时做好应急处置及检修,保证设备正常运行。
解读:设备部署的外在环境安全,应避免因电磁、高温等外因影响控制管理系统正常运行。
a) 工业控制管理系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;
b) 工业控制管理系统内部应依据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
c) 涉及实时控制和数据传输的工业控制管理系统,应使用独立的网络设备组网,在物理层面上实现与其它数据网及外部公共信息网的安全隔离。
解读:在实时性要求比较高的工业场景中,我们注意到各企业的隔离方式差别较大,存在比较大的改进空间,应遵照NIST SP 800-82 R2等推荐的网络架构进行设计、部署或者完善,如建立DMZ区、在工业控制管理系统内部做到合理的安全功能分区及对防火墙等边界防护设备做合理配置等,以确保隔离的有效性。
a) 在工业控制管理系统内使用广域网来控制指令或有关数据交换的应采用加密认证技术方法实现身份认证、访问控制和数据加密传输。
解读:在工业控制管理系统需要通过广域网进行通信的场景下,需要对通信的主/从站采取对应的身份认证手段,对目标身份进行认证后,进行数据交互;数据交互过程应具备访问控制手段,即对通信的五元组进行管控;生产数据在广域网传输过程中需进行加密处理。
a) 应在工业控制管理系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的 E-Mail、Web、Telnet、Rlogin、FTP 等通用网络服务;
解读:对访问控制及监控、日志记录和审计提出了要求,企业通过部署防火墙等安全产品,实现了访问控制,而进一步的监控和审计措施则多有欠缺,能够最终靠部署审计平台,根据公司自身情况,对相关事件进行实时监控、预警并及时处理。
a) 工业控制管理系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施;
解读:采用拨号方式来进行网络访问的工业控制管理系统进行限制,在网络访问过程中对用户的连接数量及会话数量进行限制,同时对访问者身份做标识验证,并且对所有采用拨号方式的用户进行访问过程的控制。
b) 拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。
解读:应对拨号网络系统服务器及客户端安装单独切专用安全加固系统,同时在服务器与客户端建立通信时,应采取数字证书认证方式,且对建立的通信内容做加密,保证通信内容的保密性,并对客户端进行访问控制。
解读:应对具有实时性要求的工业控制管理系统,采取禁止使用拨号访问服务策略,从物理层面实现实时控制和数据传输功能的工业控制管理系统不被任何人员或个体拨号访问。
a) 应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别;
解读:应对无线通信中身份鉴别做出要求,需要对通信端(通信应用设备或通信网络设备)建立基于用户的标识(用户名、证书等),标识具有唯一性且支持对该属性进行鉴别。
b) 应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制;
解读:非授权设备或应用不能接入无线网络;非授权功能不能在无线通信网络中执行响应动作,对于授权用户要具备权限控制策略。
解读:无线通信过程中,需进行加密处理,加密方式可分为脱敏加密或私有协议加密,保证报文机密性。
控制设备安全a) 控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备没办法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制;
b) 应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备做补丁更新、固件更新等工作;
c) 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB 接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理;
e) 应保证控制设备在上线前经过安全性检验测试,避免控制设备固件中存在恶意代码程序。
解读:该要求对设备诸多方面提出了较全面要求,但由于工控设备与传统IT设备不一样的风险情况,如对人身健康和生命安全的重大风险等,因此企业针对已经部署的控制设备的改动非常谨慎,可以从改动风险较小且容易实现的措施入手,如应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口,进行设备上线前的安全检测等,逐渐提升控制设施安全水平。
解读:企业在设备采购前拟定针对采购设备的网络安全采购要求,且设备须通过专业机构安全检测后方可验收和使用。
应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。
解读:工业公司在进行外包项目时,应该与外包公司或设备提供商签署保密协议或合同,目的是保障工业公司在建设时期的敏感信息、重要信息等内容不被泄露。
以上是针对等保2.0工业控制管理系统安全扩展要求的初步解读,由于工业控制管理系统通常是对可用性要求比较高的等级保护对象,若对其实施特定类型的安全措施可能会终止系统的连续运行,严重时甚至导致对环境及人身安全等产生一定的影响,因此,原则上安全措施不应对高可用性的工业控制管理系统的基本功能产生不利影响。
平台声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
备案号:浙ICP备17034312号-1
浙公网安备 33010602012431号