现如今智能的连接设备已经广泛布局在我们的家中或者我们的工作环境中,这些设备很棒,但它们也会暴露出许多新的威胁面,“设计安全”框架可以提供好的保护方案。该框架是硬件和软件开发中的一系列原则,侧重于将安全性作为设计和开发过程中的核心问题。
我们越来越多地用旧式计算机之外的“智能”/连接设备填充家庭,从恒温器到安全系统甚至到厨房用具。企业在线提供一系列流程,对象和空间,以扩大智能服务的潜力。物联网(IoT)具有巨大的潜力,但连接一切都有副作用:那就是增加漏洞。
我们必须考虑物联网网络安全的基本原则,以保护自己的个人隐私甚至企业安全。其中最受关注的是“设计安全”概念和设备安全认证计划。
物联网设备安全101
保护物联网设备的关键步骤包括以下几种实践:
设计安全与设计隐私
除了了解设备可以采取的几个步骤之外,选择一个遵循设计安全性的制造商是有帮助的。设计安全性是硬件和软件开发中的一系列原则,侧重于保护系统并降低潜在风险。遵循这些原则允许制造商知道他们正在保护用户并遵守欧盟的通用数据保护法规(GDPR),使用此方法构建的系统包含诸如遵守编码实践,实施身份验证保护和部署连续测试等元素。
设计安全如此重要的关键原因是软件通常首先考虑其功能,安全性成为次要问题,开发人员必须将安全漏洞作为持续关注而不是通过优化安全性来构建它。通过设计安全,您可以确定制造商正在有效且快速地修复安全问题。
设计安全性包含以下原则:
设计隐私是GDPR中的一个概念,类似于设计的安全性。设计隐私的两个核心要素是:
寻找认证
虽然设计安全的原则有助于理解设备制造商的期望,但当您只需寻找遵循这些原则的认证时,一切都变得更加简单。 ThingsCon和Mozilla提出了可信技术标志,专注于安全和隐私。 ThingsCon的分析师使用五个主要标准来衡量产品:
开放性。是否生成或使用了开放数据?制造商和设备的流程是否开放?
另一个认证项目是网络安全认证计划,来自爱立信和AT&T。该系统收集有关物联网威胁的信息并将其发送给设备制造商,允许这些公司及其开发人员快速发现和修复任何漏洞。
保护物联网
到2025年,根据麦肯锡,物联网每年将产生3.9万亿美元到11.1万亿美元的经济影响。然而,这种巨大的回报也带来了巨大的风险。通过考虑上述实践,并通过设计和认证计划了解安全性,您可以更好地了解如何安全地推进物联网项目或购买设备。
安全防御未来发展趋势是什么样的?
网络安全市场的发展和ICT市场的发展是紧密相连的,网络安全的成熟度也随着ICT市场发展逐渐成熟。 全球权威咨询机构IDC在2007年提出以云计算、大数据、社交和移动四大支柱技术为依托的“第三平台” 概念,以第三平台为基础,将全球ICT市场发展分为三个阶段:试点创新、倍增创新、智能创新。
今天,第三平台技术已经进入到倍增创新的阶段,成为企业IT系统的基础。 人工智能技术开始被行业所关注,并且越来越广泛的被应用于各行各业。 未来,进入“智能创新”阶段,在超复杂性规模化环境中,人工智能的成熟度将呈现指数级增长,人工智能在网络安全的领域也将会产生更多的创新。
在过去的两年里,伴随着ICT的高速发展,全球的恶意移动软件攻击的数量增加了将近一倍;在我国,漏洞的数量也逐年递增。 究其原因,其主要在于数字化转型带来了IT资产价值的大幅提升,导致黑产为获利而加大各种网络攻击行为。 根据IDC在亚太地区的一项调研,当网络攻击发生时,只有17%企业可以使用自动化工具,实时的进行威胁处理,而其他的绝大多数的企业难以高效处理网络攻击事件。 因此,未来企业需要的是自动化的处理、快速的检测、快速的响应,人工智能技术和机器学习技术将会在此间发挥巨大的作用。
新技术推动数字化转型的同时,也会为黑产所利用。 近些年来,随着云计算、物联网、人工智能的快速发展,使得这些技术和基础设施可以作为企业业务系统的资源,极大的提高企业的生产效率。 但是,它们也为黑产进行网络攻击提供了技术支撑,例如,云计算的大量运算能力可能会被用来发起DDoS攻击;会有一定比例的海量物联网终端可能被黑客控制做为“肉鸡”;人工智能技术也可能被用于自动化攻击工具的开发,形成AI黑客机器人。 在这种情况下,依赖人工去处理大量的攻击事件是不现实的。 因此,未来网络安全技术与人工智能技术结合,制造AI防御机器人对抗AI黑客机器人进行防御将是一种必然的趋势。
20年前,由于IT架构极简,企业进行网络安全建设往往是简单选择一些合规产品,如防火墙、入侵检测、日志分析等。 今天,企业的IT系统已经广泛的部署在云计算环境中,基础设施环境越发复杂,仅仅依靠这些产品已经不足以识别、发现、处置复杂的安全风险。 根据IDC研究,未来,企业所选择的网络安全技术将向大数据分析、AI、认知方向发展,具体包括:自动响应、开发安全计划、调查、探索、威胁诱捕等等新的安全技术。
根据IDC的调研,全球网络安全市场需求仍然不断快速增长。 IDC预测,到2022年,60%的安全运营中心的初级分析师,将利用人工智能和机器学习持续提高其工作效率,并提升其运营的安全水平。 未来将会有更多的安全技术与人工智能技术紧密结合,互相处促进,逐渐成熟。 人工智能也将成为网络安全产业未来发展必备的关键技术。
物联网信息安全有保障吗?会不会被黑客攻击从而被监控?
随着互联网和物联网的迅速普及与发展,如今的网络上已充斥着各种没有安全保障的网络摄像头,包括婴儿监视器中的视频、银行客户办公室的情景甚至摄像头制造商等的信息都赤裸裸的暴露于网络之上。
物联网无处不在 如何确保信息安全?
面对这一令人万分担忧的现状,仅仅将问题的根源归结于摄像头制造厂商却并非关键要害所在。 比起制造方对安全因素的忽略,当人们将摄像头安置在自己的家庭、企业中时,几乎完全没有考虑到安全和隐私的影响才是更加令人担忧的。
随着技术的不断进步,智能终端和高速的网络已无处不在,人们或早或晚终将会通过网络将家庭、办公室、以及自己的智能设备一起链接起来。 而如果没有了安全的保障,那么网络犯罪分子将会很容易找到一个突破点来入侵到你的生活、工作之中,而这一切将造成的后果将是无法想象的。
对于网络摄像头的泄露信息事件而言,缺乏有效的安全体系建设将会严重影响这一产业日后的发展。 而另一方面,无论是网络摄像头设备供应商、还是消费者自身,他们对于安全因素的忽略确实当前需要引起警醒的最大问题。
据早在2014年5月的一份研究报告便显示:将近有高达100万数量之大的摄像头终端设备被暴露在网络上。 当然他们并非直接地暴露,想要入侵这些设备还需一些指纹认证等步骤。 然而对于任何黑客而言,这都是一个极其简单的动作而已。 而这100万 的端点所泄露的信息,对于网络地下黑产而言将是一笔“大有可为”的资料。
不仅仅只是摄像头,随着智能终端设备保有量的迅速增长,长期缺乏安全机制将成为更加巨大的问题。
据业务战略公司Frost&Sullivan的预计,到2019年,接入网络的设备数量将达到约220亿,并且这一数字将以每年超过18%的速度增长。 而在此其中,随着车联网的兴起,车载智能系统将占据不小的比例。
值得庆幸的是,目前不少安全公司已经意识到此类设备在安全方面的脆弱性,并且,物联网时代的智能终端安全这一有着巨大潜力的市场正在被他们所关注。 例如,去年11月,便有安全公司发布了智能手机安全网关,这一安全网关将对可能的恶意代码进行扫描。 与此同时,已有地区开始启动针对以上设备的检测机制,目的是是为了创造更好的产品和服务,让更加安全的设备进入人们的生活、工作场所。
System safety的中文翻译是什么?有没有从事这项工作的?
安全系统工程简介安全系统工程(System safety), 是运用系统论的观点和方法 ,结合工程学原理及有关专业知识来研究生产安全管理和工程的新学科,是系统工程学的一个分支。 其研究内容主要有危险的识别、分析与事故预测;消除、控制导致事故的危险;分析构成安全系统各单元间的关系和相互影响,协调各单元之间的关系,取得系统安全的最佳设计等。 目的是使生产条件安全化,使事故减少到可接受的水平。 主要手段首先,在系统的开发阶段,安全系统工程要求设置安全工程系统管理计划。 从理论上说,在产品最初的构想阶段,安全因素就应该被充分的考虑到。 其次,安全系统通过以下几个手段来保证系统安全:安全设计: 保证安全最好的办法就是通过设计。 所以安全工程必须从研发的起始阶段就开始介入。 比如,设计应当保证,任何一个单一零件的损坏都不应该导致安全隐患。 安全预警: 当安全隐患不能够通过设计来排除时,应当提供预警。 安全生产: 在生产的过程中,要提高对重要的系统零件的质量要求。 比如,100%检查炮弹的安全阀安全训练: 最后的手段就是对相关人员提供安全训练。 明确如何杜绝安全隐患,以及在安全事故中如何保护自己。 因为从工程理论来说,人是不能保证不犯错误的。 所以这一个手段往往最后才考虑的。 安全系统工程的科学基础系统论、控制论、信息论、运筹学优化理论、可靠性工程、人机工程、行为科学、工程心理学等。 发展阶段安全系统工程的发展过程大致经历了四个阶段:1.军事装备零部件的可靠性和安全性问题研究。 始自20世纪50年代末期美国的军事工业。 后来发展到其他工业生产部门,使可靠性管理与质量管理相对分工。 2.工业安全管理开始引起系统工程方法。 如60年代初应用事故树分析法(FTA)和故障类型影响分析法(FMEA)等。 3.从60年代中期开始,引用了系统工程计划的方法,对系统开发的各阶段,如计划编制、开发研究、制造标准、操作程序等进行安全评价。 4.70年代以后是安全管理和工程广泛使用系统工程方法,形成了安全系统工程学科。 安全系统工程不仅从生产现场的管理方法来预防事故,而且是从机器设备的设计、制造和研究操作方法阶段就采取预防措施,并着眼于人——机系统运行的稳定性,保障系统的安全。 安全系统工程的国际标准安全系统工程在国际上已经有了较长的历史。 其主要应用的领域包括军工,航天航空,化工石油,铁路及公路交通等等。 经过多年的发展,国际上已经有了一些比较成熟的安全系统标准。 其中,比较重要的有以下几个:IEC : 此标准在电器,电子及可编程电子器械领域一个非常重要的标准。 它提出的功能隐患方法(functional hazard analysis) 在安全系统领域有很重要的意义。 Mil-Std-882: 此标准是美国的军工标准。 在全球范围内的军工领域,适用面非常广。 DEF Stan 00-56: 此标准是英国的军工标准。 ISO: 此标准现阶段还在最后完善当中。 发布以后,将成为道路交通系统方面的主要标准。
发表评论