本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>
在互联网高度发展的今天,各行各业都在进行数字化转型。从互联网诞生起,就没有绝对安全的网络环境,任何企业都面临常态化的攻击。一些人认为,部署好如防火墙、IPS、Anti-DDoS等安全设备,安装并及时升级防病毒软件,就能保障网络安全,这是完全错误的认识。
网络安全不但需要安全产品和安全解决方案(如防火墙、防病毒软件等),同时还需要选择安全的ICT基础设施产品和解决方案。如果产品不安全,系统的网络安全就难以保障。例如,2017年国家质检总局公布了对市场上40批IP摄像头的检查结果,发现80%的摄像头或多或少存在安全隐患,如传输没有加密、弱密码、登录失败无处理、本地存储的数据未加密、系统未及时更换等。如果使用这样的摄像头用于视频监控,黑客或有组织的攻击者就能轻松侵入视频监控系统,企业的安全得不到保障。
为了把ICT基础设施产品做安全,需要将网络安全融入到研发、供应链管理等相关流程中,落实安全基线,包括安全特性需求、安全认证需求、网络安全红线等,产品需要经过严格的安全测试后才能上市。例如,华为是主要的智能摄像机供应商,由于网络安全是华为公司最高纲领,安全已融入到所有业务流程,对ICT基础设施产品制定有安全基线,产品要经过安全测试与认证,特别是要经过独立于产品线的网络安全实验室测试后才能上市,通过这样的方面保障产品是安全可信的,因此并不存在上述的安全风险。
对于企业用户来说,需要的一般不仅仅是单个产品,而是由多个产品组合而成的解决方案。安全的产品组合并不就是安全的解决方案,如路由器的功能就是要高效地转发数据包,但在解决方案中,可能不采用加密手段是不安全的。为了使解决方案安全,也需要像做产品一样去进行安全设计,根据对解决方案组成与应用场景分析,提出安全需求并进行测试验证。
行业解决方案往往非常复杂,包括终端、联接、平台和应用系统等,如华为企业业务坚持被集成策略,客户需要的行业解决方案是由华为和合作伙伴共同打造,华为提供沃土数字平台、联接及部分智能摄像机等,沃土数字平台以云为基础,包括视频、IoT、融合通信、GIS、AI、安全等能力,硬件上看就是数据中心,联接包括4G/5G、Wi-Fi、光传输、数通产品等。应用软件、终端可能由多个供应商提供。供应商需要对自己的产品和解决方案安全性负责,包括集成或转售的产品。
除非是非常简单的产品,否则,任何一家供应商的产品或解决方案都有或多或少集成有第三方部件,第三方部件包括终端设备、开源软件等。由于网络攻击常从最薄弱的地方开始,因此,供应商需要有机制来保障第三方部件与自研部件的安全水平一致性。
对于第三方部件供应商,除签署业务合作协议外,还需要签署网络安全协议,对供应商进行准入认证和安全能力评级,当满足度达不到要求时还要有退出机制。对于集成的第三方部件,同样需要有安全基线要求,并在集成前进行漏洞扫描、代码审计和网络安全评估,保持整体安全水平一致,降低网络安全风险。
在具体的行业应用中,安全关注点可能各自有所不同。如流程制造企业关注业务的连续性、金融企业特别关注交易中的数据安全、机场关注旅客的个人隐私、智慧城市管理者关注合规遵从等。针对不同行业的安全关注点,解决方案供应商应针对行业解决方案进行安全设计,并选择自研或合作伙伴的安全产品和解决方案,帮助客户守护业务安全。
企业数字化转型都会涉及终端、联接、平台和应用,每个环节都可能遭到黑客的攻击。针对不同行业,ICT基础设施安全设计目标是进不去、看不到、改不了、拿不走、赖不掉。如通过漏洞扫描、鉴权认证、白名单与**管理等,防止终端私接或被劫持;通过权限管理、加密和数字签名等手段保护敏感信息,防止信息被篡改;对于重要的数据,在传输及存储时进行加密,使信息不被拿走;通过数字签名、日志审计等手段,使泄密行为可以被追溯。
以华为智慧机场业务为例,华为提供的ICT基础设施解决方案主要围绕航班流和旅客流两大业务进行。对于航班流,华为与合作伙伴一起提供IOC解决方案,通过运行一张图实现智能机位分配、智慧助航等,航班流保障手段需要可信、可审计。对于旅客流,华为与合作伙伴一起帮助机场实现出行一张脸,从值机、安检到登机,旅客只需要刷脸即可完成所有服务,旅客的个人隐私需要得到保护。机场ICT系统面临恶意程序、伪终端、DDoS攻击、非法网络访问、病毒、非法操作、账号窃取等网络安全威胁。针对航班流,华为智慧机场解决方案通过访问认证、工控控制系统漏洞管理、视频与数据加密、数据库日志审计等措施,实施航班流保障手段可信、可审计。针对旅客流,重点保护人脸个人隐私信息,在人脸采集、分析和查询等过程中,通过数字水印、存储加密、数据脱敏等手段,使个人隐私得到端到端的保护。
随着移动互联网、云、IoT等技术和应用纵深发展,越来越多的企业业务在线上运行,网络安全问题可能导致业务中断或数据丢失,不但有可能产生重大的损失,甚至企业前途毁于一旦。网络安全是企业持续成功的基石,守护网络安全,是当代企业的战略重任。
同时,网络安全是多方合作的结果,包括政府、行业标准协会、解决方案和服务供应商、用户自己等。作为用户,必须选择安全、可信的产品和解决方案,关键就是选择能提供安全可信的产品的供应商。
不同的供应商提供的产品内容不同,有终端设备供应商、ICT基础设施供应商、应用软件供应商、集成商等,用户需要考察供应商是否有完善的安全机制,即在相关流程中全面融入了安全、制定了安全基线,同时了解供应商是否拥有解决方案安全设计团队、安全工具和安全测试实验室等。
企业用户通过严选供应商保障行业解决方案是安全可信的,同时明确供应商、集成商、用户各自的网络安全责任边界,充分降低网络安全风险,为数字化转型保驾护航。
