IT資訊

公司新聞
安全資訊
IT資訊
 
    電話:027-87367829
    郵箱:[email protected]

  地址:

湖北省武漢市中北路1號楚天都市花園B座16樓
   
   
IT資訊

您的當前位置:快速赛车怎么玩 > IT資訊

 
物聯網企業如何正視安全政策監管
 

 一系列的網絡安全漏洞

Facebook用戶隱私泄露,臺積電工廠病毒感染,“小黑盒”3秒破解智能鎖,騰訊云“數據丟失”,拼多多被“薅羊毛”……在互聯網、移動互聯網、物聯網領域,有關網絡安全的案例總是不勝枚舉。

安全專家Bruce Schneier曾撰文表示增加網絡安全風險的三個方面,分別是:

  • 系統的軟件控制:越來越多的設備聯網,被軟件控制,意味著可能受到攻擊的數量迅猛增長;
  • 系統間的相互連接:當系統變得相互關聯時,一個系統的漏洞容易牽連其他系統受到攻擊;
  • 自動或自治系統:當聯網設備普遍具有自主能力時,從安全的角度看,這意味攻擊的影響可以立即、自動和廣泛生效。

因此,隨著物聯網發展帶來的海量設備聯網,我們更加生活在一個不安全的網絡世界。但此類文章最希望大家記住的,并不簡單是一些危言聳聽的標題。

監管的作用

當數據變成金礦,對監管,數據?;ず鴕降暮粲蹙馱嚼叢蕉?。監管合規將成為網絡安全的重要因素。而在監管方面最嚴格,最完善的,無疑是歐盟議會和歐盟理事會在 2016 年 4 月通過,在 2018 年 5 月開始強制實施的規定——GDPR(通用數據?;ぬ趵?。

此處筆者選取幾項條例以作說明:

  • 企業在收集用戶的個人信息之前,必須以“簡潔、透明且易懂的形式,清晰和平白的語言”向用戶說明——將收集哪些信息;如何存儲收集到的信息;如何使用存儲的信息;以及企業的聯系方式。
  • 用戶享有對應的數據訪問權、被遺忘權、限制處理權,以及數據攜帶權等權利。
  • 在GDPR下存在兩種???。第一,未能在發現數據泄露后的72小時內向ICO報告,組織將面臨高達其年營業額2%或1000萬歐元的???第二,若違反通用數據?;ぬ趵?,違規公司將付出年度營業額的 4%,或者2000萬歐元(以數目更高者為準)的???。

所以本周,我們看到,谷歌被??盍?,產生了GDPR實施以來的第一例??畎咐?。

外媒報道,法國數據?;の被嵋暈シ碐DPR為由,對谷歌開出5700萬美元的罰單,稱其未向用戶正確披露其數據如何被收集并用于定向廣告。谷歌也對此回應:“將嚴格遵守透明度和用戶管理以及GDPR的要求,并采取下一步行動。”

對于GDPR是否適用國內企業,條例中也有說明:企業如果有歐盟國家的業務,或者有歐盟國家的用戶使用公司的軟硬件產品,就必須遵守GDPR規則。而且,對于國內企業來說,不只是GDPR,企業應當審視是否滿足了比如《網絡安全等級?;ぬ趵返紉恍┢淥踩瞎嬉?。

換句話說,在經濟全球化,企業出海更加頻繁,政府法規趨向嚴格的當下,中國互聯網、物聯網企業十分有必要在數據?;び胍椒矯孀齪米急?,制定措施。

企業的安全意識

百度CEO李彥宏曾經提過:“中國人更加開放,或者說對隱私問題沒那么敏感,如果說用隱私來交換效率或者便捷性,很多情況下大家是愿意這么做的。”其實這句話不無道理,也代表著一部分企業的態度,但并不意味著企業可以毫無節制,比如一款需要獲取用戶短信、通訊錄權限的日歷軟件,用戶自然是要打個問號甚至反感的。

增減權限,這是技術上很好操作的事,但企業關于網絡安全?;さ囊饈?,卻是安全建設的關鍵。以下我們將主要從物聯網安全角度展開描述。

1. 企業高管的直接重視

根據美國公司SailPoint的2018市場調查報告:“75%的員工承認在帳戶中重復使用密碼。”

乍看起來,這似乎與物聯網安全無關,但它正可以告訴我們在整體安全風險意識方面,員工依然沒有養成安全相關習慣。在這份報告中,86%的受訪者認為他們的企業需要提高對物聯網威脅的認識。

f757e81271777f8e12a702e0d74ed79d.jpg-wh_651x-s_696321402.jpg

隨著與物聯網相關的威脅級別和安全挑戰的增加,嚴重的知識缺乏將使企業面臨巨大風險。

因此,企業應著力在執行層面上創建安全意識,并培訓相關人員。通俗點說,搞清楚誰將為物聯網安全負責,是CIO、CTO,還是CSO,其實也是十分重要的一點。

9aae3840f17ac15c45c2ce40d7fc8b46.jpg

當研究機構就“誰在組織中負責物聯網安全”提出問題時,33%的人選擇了CIO,15%的受訪者表示沒有相關職能部門。

2. 優先關注最需要的環節

在報告中,超過50%的IT和安全決策者表示,為了防止物聯網安全攻擊,他們會優先考慮安全解決方案中的一些關鍵功能,比如監控異常行為、漏洞管理等等。

也有37%的受訪者表示,他們并不總是能夠在實施物聯網解決方案之前確定好安全需求。由此,Gartner提出,到2020年,物聯網安全增長的最大抑制因素將歸因于物聯網規劃中缺乏優先級,缺乏實施安全的最佳實踐和工具。并且因為這些,包含物聯網安全企業、安全標準組織、聯盟組織在內的各方,正在著手建立針對物聯網安全組件的技術標準,希望打造通用架構或者一致的安全策略,幫助用戶優先解決最薄弱的痛點需求。

3. 與專業安全公司緊密合作

未來幾年,企業的業務更加趨向云化,黑客、黑產攻擊的形式越來越多樣,技術手段會越來越強。所以,阿里巴巴達摩院將“數據安全?;ぜ際跫鈾儆肯?rdquo;列入2019十大科技趨勢,一點都不過分。

而且,攻擊通常要比防御簡單得多。如果是攻擊,只要找一個方式就可以了,但如果是防御,就得想出無數的方法,來應對五花八門的攻擊。在這一點,企業與專業安全公司緊密合作就十分有必要了,一方面是獲得安全防護能力,另一方面是獲得必要的安全咨詢服務。