Ⅰ 網路安全小妙招
越來越多地基於WEB應用,在通過瀏覽器方式實現展現與交互的同時,用戶的業務系統所受到的威脅也隨之而來,並且隨著業務系統的復雜化及互聯網環境的變化,所受威脅也在飛速增長。逐漸成為最嚴重、最廣泛、危害性最大的安全問題。
一,教大家在應該如何保證自己的上網安全
1、拒絕與來源不明的Wi-Fi連接,黑客大多利用是用戶想要免費蹭網的佔便宜心理,要謹慎使用免費又不需密碼的Wi-Fi。很多商家都有提供免費網路的地方,但我們也要多留一個心眼,必須詢問詳細的名稱,避免被注入「星巴克-1」等假Wi-Fi欺騙;
2、用手機登錄網上銀行和網路購物時須謹慎,為了資金的安全也不差那點流量,用3/4G上網模式進行吧!
3、在手機設置項目中關掉「選擇自動連接」的選項,因為如果這項功能打開的話,手機在進入有Wi-Fi網路的區域就會自動掃描,並連接上不需要密碼的網路,會大大增加誤連「釣魚Wi-Fi」的幾率。
4、拒絕使用「Wi-Fi萬能鑰匙」等Wi-Fi連接、密碼獲取工具,這是因為它們基於數據上傳和分享原則,將你或他人連接過的Wi-Fi信息進行分享,如果有人連過「釣魚Wi-Fi」或「木馬Wi-Fi」,恰巧你在也在附近,那恭喜你,你也中招了!
二,想要自己的路由器不會變成別人的「木馬Wi-Fi」,要做到以下幾點:
1、強大的密碼是Wi-Fi安全最重要的基石。所謂強密碼,是指同時包含了大小寫字母、數字和符號的8位數以上復雜密碼,如Gt/eB7@2。只要對Wi-Fi採用WPA/WPA2加密,並且設置強密碼,就幾乎不可能被攻破。
2、隱藏你的SSID,就是指在路由器管理界面進行相關的設置,使得無線網路的SSID不再廣播出來,成為一個「隱形網路」,這樣同樣可以大大降低被黑客攻擊的概率。
3、關閉無線路由器的QSS、WDS功能,開啟Guest網路供他人使用。首先QSS、WDS功能它大大降低無線路由器的安全性,因此如非必須,應將這兩個功能關閉,而Guest網路只要做好功能限制,能夠有效保護路由器的安全。
4、對常用聯網設備進行MAC綁定。MAC綁定是指在路由器中進行相關的設置,開啟MAC地址黑名單或白名單功能。當然,此處更建議使用的是白名單的方式。用戶只需將需要連接到網路的設備的物理地址(MAC Address)添加到白名單列表中,那麼只有這些添加過的設備可以連接到這個無線網路。
5、此外,就還要從源頭下手,不要購買存在已知漏洞的路由器產品。如果路由器使用了很久,更新下最新的固件版本。如果不是高玩的話,盡量不要刷第三方固件。至於後台管理密碼,拿紙筆記下能想到的最麻煩的密碼和更改路由器的管理界面登陸地址,確保萬無一失吧
Ⅱ 物聯網的網路安全機制有哪幾種
是如何確保設備本身安全。某些設備或設施可能無人值守地運行,因此不受頻繁的安全性影響。報告稱,使這些設備防篡改可能是有利的,因為這種類型的端點強化可以幫助阻止潛在的入侵者獲取數據。它也可能抵禦黑客或其他網路犯罪分子的攻擊。
作為一種最佳實踐,安全端點強化可能意味著部署一種分層方法,要求攻擊者繞過多重障礙,旨在保護設備及其數據免遭未經授權的訪問和使用。企業應該保護已知的漏洞,如開放的TCP/UDP埠,開放的串列埠,開放的密碼提示,Web伺服器、未加密的通信、無線連接等注入代碼的位置。
另一個保護設備的辦法是根據需要升級或部署安全補丁。但請記住,許多設備供應商在構建和銷售設備時並不關注安全性。正如調查報告指出的那樣,許多物聯網設備被破壞後是不可修補的,因此無法保證安全。在投資的設備採用工業物聯網之前,需要評估設備的安全功能,並確保供應商對設備進行徹底的安全測試。
當物聯網設備試圖連接到網路或服務時,要小心地管理物聯網設備的身份驗證,以確保信任是非常重要的。公鑰基礎設施(PKI)和數字證書為物聯網設備身份和信任提供了安全基礎。
如何保障物聯網的安全?
物聯網安全解決方案
Ⅲ 如何應對物聯網網路信息安全問題
1.「端」——終端層安全防護能力差異化較大 終端設備在物聯網中主要負責感知外界信息,包括採集、捕獲數據或識別物體等。其種類繁多,包括RFID晶元、讀寫掃描器、溫度壓力感測器、網路攝像頭、智能可穿戴設備、無人機...
2.「管」——網路層結構復雜通信協議安全性差 物聯網網路採用多種異構網路,通信傳輸模型相比互聯網更為復雜,演算法破解、協議破解、中間人...
3.「雲」——平台層安全風險危及整個網路生態 物聯網應用通常是將智能設備通過網路連接到雲端...
Ⅳ 如何解決企業遠程辦公網路安全問題
企業遠程辦公的網路安全常見問題及建議
發表時間:2020-03-06 11:46:28
作者:寧宣鳳、吳涵等
來源:金杜研究院
分享到:微信新浪微博QQ空間
當前是新型冠狀病毒防控的關鍵期,舉國上下萬眾一心抗擊疫情。為增強防控,自二月初以來,北京、上海、廣州、杭州等各大城市政府公開表態或發布通告,企業通過信息技術開展遠程協作辦公、居家辦公[1]。2月19日,工信部發布《關於運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》,面對疫情對中小企業復工復產的嚴重影響,支持運用雲計算大力推動企業上雲,重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式[2]。
面對國家和各地政府的呼籲,全國企業積極響應號召。南方都市報在2月中旬發起的網路調查顯示,有47.55%的受訪者在家辦公或在線上課[3]。面對特殊時期龐大的遠程辦公需求,遠程協作平台也積極承擔社會擔當,早在1月底,即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平台軟體[4]。
通過信息技術實現遠程辦公,無論是網路層、系統層,還是業務數據,都將面臨更加復雜的網路安全環境,為平穩有效地實現安全復工復產,降低疫情對企業經營和發展的影響,企業應當結合實際情況,建立或者適當調整相適應的網路與信息安全策略。
一、遠程辦公系統的類型
隨著互聯網、雲計算和物聯網等技術的深入發展,各類企業,尤其是互聯網公司、律所等專業服務公司,一直在推動實現企業內部的遠程協作辦公,尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看,遠程辦公系統可分為以下幾類:[5]
綜合協作工具,即提供一套綜合性辦公解決方案,功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等,代表軟體企包括企業微信、釘釘、飛書等。
即時通信(即InstantMessaging或IM)和多方通信會議,允許兩人或以上通過網路實時傳遞文字、文件並進行語音、視頻通信的工具,代表軟體包括Webex、Zoom、Slack、Skype等。
文檔協作,可為多人提供文檔的雲存儲和在線共享、修改或審閱功能,代表軟體包括騰訊文檔、金山文檔、印象筆記等。
任務管理,可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化(即OfficeAutomation或OA)功能,代表軟體包括Trello、Tower、泛微等。
設計管理,可根據使用者要求,系統地進行設計方面的研究與開發管理活動,如素材、工具、圖庫的管理,代表軟體包括創客貼、Canvas等。
二、遠程辦公不同模式下的網路安全責任主體
《網路安全法》(「《網安法》」)的主要規制對象是網路運營者,即網路的所有者、管理者和網路服務提供者。網路運營者應當承擔《網安法》及其配套法規下的網路運行安全和網路信息安全的責任。
對於遠程辦公系統而言,不同的系統運營方式下,網路安全責任主體(即網路運營者)存在較大的差異。按照遠程辦公系統的運營方式劃分,企業遠程辦公系統大致可以分為自有系統、雲辦公系統和綜合型系統三大類。企業應明確區分其與平台運營方的責任界限,以明確判斷自身應採取的網路安全措施。
(1)自有系統
此類模式下,企業的遠程辦公系統部署在自有伺服器上,系統由企業自主研發、外包研發或使用第三方企業級軟體架構。此類系統開發成本相對較高,但因不存在數據流向第三方伺服器,安全風險則較低,常見的企業類型包括國企、銀行業等重要行業企業與機構,以及經濟能力較強且對安全與隱私有較高要求的大型企業。
無論是否為企業自研系統,由於系統架構完畢後由企業單獨所有並自主管理,因此企業構成相關辦公系統的網路運營者,承擔相應的網路安全責任。
(2)雲辦公系統
此類辦公系統通常為SaaS系統或APP,由平台運營方直接在其控制的伺服器上向企業提供注冊即用的系統遠程協作軟體平台或APP服務,供企業用戶與個人(員工)用戶使用。此類系統構建成本相對經濟,但往往只能解決企業的特定類型需求,企業通常沒有許可權對系統進行開發或修改,而且企業數據存儲在第三方伺服器。該模式的常見企業類型為相對靈活的中小企業。
由於雲辦公系統(SaaS或APP)的網路、資料庫、應用伺服器都由平台運營方運營和管理,因此,雲辦公系統的運營方構成網路運營者,通常對SaaS和APP的網路運行安全和信息安全負有責任。
實踐中,平台運營方會通過用戶協議等法律文本,將部分網路安全監管義務以合同約定方式轉移給企業用戶,如要求企業用戶嚴格遵守賬號使用規則,要求企業用戶對其及其員工上傳到平台的信息內容負責。
(3)綜合型系統
此類系統部署在企業自有伺服器和第三方伺服器上,綜合了自有系統和雲辦公,系統的運營不完全由企業控制,多用於有多地架設本地伺服器需求的跨國企業。
雲辦公系統的供應商和企業本身都可能構成網路運營者,應當以各自運營、管理的網路系統為邊界,對各自運營的網路承擔相應的網路安全責任。
對於企業而言,為明確其與平台運營方的責任邊界,企業應當首先確認哪些「網路」是企業單獨所有或管理的。在遠程辦公場景下,企業應當考慮多類因素綜合認定,分析包括但不限於以下:
辦公系統的伺服器、終端、網路設備是否都由企業及企業員工所有或管理;
企業對企業使用的辦公系統是否具有最高管理員許可權;
辦公系統運行過程中產生的數據是否存儲於企業所有或管理的伺服器;
企業與平台運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。
當然,考慮到系統構建的復雜性與多樣性,平台運營方和企業在遠程協作辦公的綜合系統中,可能不免共同管理同一網路系統,雙方均就該網路承擔作為網路運營者的安全責任。但企業仍應通過合同約定,盡可能固定網路系統中雙方各自的管理職責以及網路系統的歸屬。因此,對於共同管理、運營遠程協作辦公服務平台的情況下,企業和平台運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網路安全責任以及該平台的所有權歸屬。
三、遠程辦公涉及的網路安全問題及應對建議
下文中,我們將回顧近期遠程辦公相關的一些網路安全熱點事件,就涉及的網路安全問題進行簡要的風險評估,並為企業提出初步的應對建議。
1.用戶流量激增導致遠程辦公平台「短時間奔潰」,平台運營方是否需要承擔網路運行安全責任?
事件回顧:
2020年2月3日,作為春節假期之後的首個工作日,大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平台運營方均已經提前做好了應對預案,但是巨量的並發響應需求還是超出了各平台運營商的預期,多類在線辦公軟體均出現了短時間的「信息發送延遲」、「視頻卡頓」、「系統奔潰退出」等故障[6]。在出現故障後,平台運營方迅速採取了網路限流、伺服器擴容等措施,提高了平台的運載支撐能力和穩定性,同時故障的出現也產生一定程度的分流。最終,盡管各遠程辦公平台都在較短的時間內恢復了平台的正常運營,但還是遭到了不少用戶的吐槽。
風險評估:
依據《網路安全法》(以下簡稱《網安法》)第22條的規定,網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
遠程辦公平台的運營方,作為平台及相關網路的運營者,應當對網路的運行安全負責。對於短時間的系統故障,平台運營方是否需要承擔相應的法律責任或違約責任,需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。
對於上述事件而言,基於我們從公開渠道了解的信息,盡管多個雲辦公平台出現了響應故障問題,給用戶遠程辦公帶來了不便,但平台本身並未暴露出明顯的安全缺陷、漏洞等風險,也沒有出現網路數據泄露等實質的危害結果,因此,各平台很可能並不會因此而承擔網路安全的法律責任。
應對建議:
在疫情的特殊期間,主流的遠程辦公平台產品均免費開放,因此,各平台都會有大量的新增客戶。對於平台運營方而言,良好的應急預案和更好的用戶體驗,肯定更有利於平台在疫情結束之後留住這些新增的用戶群體。
為進一步降低平台運營方的風險,提高用戶體驗,我們建議平台運營方可以:
將用戶流量激增作為平台應急事件處理,制定相應的應急預案,例如,在應急預案中明確流量激增事件的觸發條件、伺服器擴容的條件、部署臨時備用伺服器等;
對用戶流量實現實時的監測,及時調配平台資源;
建立用戶通知機制和話術模板,及時告知用戶系統響應延遲的原因及預計恢復的時間等;
在用戶協議或與客戶簽署的其他法律文本中,嘗試明確該等系統延遲或奔潰事件的責任安排。
2.在遠程辦公環境下,以疫情為主題的釣魚攻擊頻發,企業如何降低外部網路攻擊風險?
事件回顧:
疫情期間,某網路安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟體發送,網路釣魚和欺詐活動。比如,黑客組織偽裝身份(如國家衛健委),以「疫情防控」相關信息為誘餌,發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源,郵件內容與廣大人民群眾關注的熱點事件密切相關,極具欺騙性。一旦用戶點擊,可能導致主機被控,重要信息、系統被竊取和破壞[7]。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
遠程辦公的實現,意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網路安全環境不一,無論是接入網路還是移動終端本身,都更容易成為網路攻擊的對象。一方面,公用WiFi、網路熱點等不可信的網路都可能作為員工的網路接入點,這些網路可能毫無安全防護,存在很多常見的容易被攻擊的網路漏洞,容易成為網路犯罪組織侵入企業內網的中轉站;另一方面,部分員工的移動終端設備可能會安裝設置惡意程序的APP或網路插件,員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件,嚴重威脅企業內部網路的安全。
在計算機病毒或外部網路攻擊等網路安全事件下,被攻擊的企業盡管也是受害者,但如果企業沒有按照《網安法》及相關法律規定的要求提前採取必要的技術防範措施和應急響應預案,導致網路數據泄露或者被竊取、篡改,給企業的用戶造成損失的,很可能依舊需要承擔相應的法律責任。
應對建議:
對於企業而言,為遵守《網安法》及相關法律規定的網路安全義務,我們建議,企業可以從網路安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網路的安全:
(1)企業應當根據其運營網路或平台的實際情況、員工整體的網路安全意識,制定相適應的網路安全事件管理機制,包括但不限於:
制定包括數據泄露在內的網路安全事件的應急預案;
建立應對網路安全事件的組織機構和技術措施;
實時監測最新的釣魚網站、勒索郵件事件;
建立有效的與全體員工的通知機制,包括但不限於郵件、企業微信等通告方式;
制定與員工情況相適應的信息安全培訓計劃;
設置適當的獎懲措施,要求員工嚴格遵守公司的信息安全策略。
(2)企業應當根據現有的信息資產情況,採取以下措施,進一步保障移動終端設備安全:
根據員工的許可權等級,制定不同的移動終端設備安全管理方案,例如,高級管理人員或具有較高資料庫許可權的人員僅能使用公司配置的辦公專用移動終端設備;
制定針對移動終端設備辦公的管理制度,對員工使用自帶設備進行辦公提出明確的管理要求;
定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描;
在終端設備上,對終端進行身份准入認證和安全防護;
重點監測遠程接入入口,採用更積極的安全分析策略,發現疑似的網路安全攻擊或病毒時,應當及時採取防範措施,並及時聯系企業的信息安全團隊;
就移動辦公的信息安全風險,對員工進行專項培訓。
(3)保障數據傳輸安全,企業可以採取的安全措施包括但不限於:
使用HTTPS等加密傳輸方式,保障數據傳輸安全。無論是移動終端與內網之間的數據交互,還是移動終端之間的數據交互,都宜對數據通信鏈路採取HTTPS等加密方式,防止數據在傳輸中出現泄漏。
部署虛擬專用網路(VPN),員工通過VPN實現內網連接。值得注意的是,在中國,VPN服務(尤其是跨境的VPN)是受到電信監管的,僅有具有VPN服務資質的企業才可以提供VPN服務。外貿企業、跨國企業因辦公自用等原因,需要通過專線等方式跨境聯網時,應當向持有相應電信業務許可證的基礎運營商租用。
3.內部員工通過VPN進入公司內網,破壞資料庫。企業應當如何預防「內鬼」,保障數據安全?
事件回顧:
2月23日晚間,微信頭部服務提供商微盟集團旗下SaaS業務服務突發故障,系統崩潰,生產環境和數據遭受嚴重破壞,導致上百萬的商戶的業務無法順利開展,遭受重大損失。根據微盟25日中午發出的聲明,此次事故系人為造成,微盟研發中心運維部核心運維人員賀某,於2月23日晚18點56分通過個人VPN登入公司內網跳板機,因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前,賀某被上海市寶山區公安局刑事拘留,並承認了犯罪事實[8]。由於資料庫遭到嚴重破壞,微盟長時間無法向合作商家提供電商支持服務,此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業,微盟的股價也在事故發生之後大幅下跌。
從微盟的公告可以看出,微盟員工刪庫事件的一個促成條件是「該員工作為運維部核心運維人員,通過個人VPN登錄到了公司內網跳板機,並具有刪庫的許可權」。該事件無論是對SaaS服務商而言,還是對普通的企業用戶而言,都值得反思和自省。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
內部員工泄密一直是企業數據泄露事故的主要原因之一,也是當前「侵犯公民個人信息犯罪」的典型行為模式。遠程辦公環境下,企業需要為大部分的員工提供連接內網及相關資料庫的訪問許可權,進一步增大數據泄露甚至被破壞的風險。
與用戶流量激增導致的系統「短時間崩潰」不同,「微盟刪庫」事件的發生可能與企業內部信息安全管理有直接的關系。如果平台內合作商戶產生直接經濟損失,不排除平台運營者可能需要承擔網路安全相關的法律責任。
應對建議:
為有效預防員工惡意破壞、泄露公司數據,保障企業的數據安全,我們建議企業可以採取以下預防措施:
制定遠程辦公或移動辦公的管理制度,區分辦公專用移動設備和員工自有移動設備,進行分類管理,包括但不限於嚴格管理辦公專用移動設備的讀寫許可權、員工自有移動設備的系統許可權,尤其是企業資料庫的管理許可權;
建立數據分級管理制度,例如,應當根據數據敏感程度,制定相適應的訪問、改寫許可權,對於核心資料庫的數據,應當禁止員工通過遠程登錄方式進行操作或處理;
根據員工工作需求,依據必要性原則,評估、審核與限制員工的數據訪問和處理許可權,例如,禁止員工下載數據到任何用戶自有的移動終端設備;
建立數據泄露的應急管理方案,包括安全事件的監測和上報機制,安全事件的響應預案;
制定遠程辦公的操作規范,使用文件和材料的管理規范、應用軟體安裝的審批流程等;
組建具備遠程安全服務能力的團隊,負責實時監控員工對核心資料庫或敏感數據的操作行為、資料庫的安全情況;
加強對員工遠程辦公安全意識教育。
4.疫情期間,為了公共利益,企業通過系統在線收集員工疫情相關的信息,是否需要取得員工授權?疫情結束之後,應當如何處理收集的員工健康信息?
場景示例:
在遠程辦公期間,為加強用工管理,確保企業辦公場所的健康安全和制定相關疫情防控措施,企業會持續地向員工收集各類疫情相關的信息,包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測,在必要時,向監管部門報告企業員工的整體情況。如發現疑似病例,企業也會及時向相關的疾病預防控制機構或者醫療機構報告。
風險評估:
2020年1月20日,新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病,並採取甲類傳染病的預防、控制措施。《中華人民共和國傳染病防治法》第三十一條規定,任何單位和個人發現傳染病病人或者疑似傳染病病人時,應當及時向附近的疾病預防控制機構或者醫療機構報告。
2月9日,中央網信辦發布了《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》(以下簡稱《通知》),各地方各部門要高度重視個人信息保護工作,除國務院衛生健康部門依據《中華人民共和國網路安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外,其他任何單位和個人不得以疫情防控、疾病防治為由,未經被收集者同意收集使用個人信息。法律、行政法規另有規定的,按其規定執行。
各地也陸續出台了針對防疫的規范性文件,以北京為例,根據《北京市人民代表大會常務委員會關於依法防控新型冠狀病毒感染肺炎疫情堅決打贏疫情防控阻擊戰的決定》,本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作,建立健全防控工作責任制和管理制度,配備必要的防護物品、設施,加強對本單位人員的健康監測,督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察,發現異常情況按照要求及時報告並採取相應的防控措施。按照屬地人民政府的要求,積極組織人員參加疫情防控工作。
依據《通知》及上述法律法規和規范性文件的規定,我們理解,在疫情期間,如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權,企業在授權范圍內,應當可以收集本單位人員疫情相關的健康信息,而無需取得員工的授權同意。如果不能滿足上述例外情形,企業還是應當依照《網安法》的規定,在收集前獲得用戶的授權同意。
《通知》明確規定,為疫情防控、疾病防治收集的個人信息,不得用於其他用途。任何單位和個人未經被收集者同意,不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息,但因聯防聯控工作需要,且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責,採取嚴格的管理和技術防護措施,防止被竊取、被泄露。具體可參考我們近期的文章《解讀網信辦<關於做好個人信息保護利用大數據支撐防疫聯控工作的通知>》
應對建議:
在遠程期間,如果企業希望通過遠程辦公系統收集員工疫情相關的個人信息,我們建議各企業應當:
制定隱私聲明或用戶授權告知文本,在員工初次提交相關信息前,獲得員工的授權同意;
遵循最小必要原則,制定信息收集的策略,包括收集的信息類型、頻率和顆粒度;
遵循目的限制原則,對收集的疫情防控相關的個人信息進行區分管理,避免與企業此前收集的員工信息進行融合;
在對外展示企業整體的健康情況時或者披露疑似病例時,對員工的相關信息進行脫敏處理;
制定信息刪除管理機制,在滿足防控目的之後,及時刪除相關的員工信息;
制定針對性的信息管理和保護機制,將收集的員工疫情相關的個人信息,作為個人敏感信息進行保護,嚴格控制員工的訪問許可權,防止數據泄露。
5.遠程辦公期間,為有效監督和管理員工,企業希望對員工進行適當的監測,如何才能做到合法合規?
場景示例:
遠程辦公期間,為了有效監督和管理員工,企業根據自身情況制定了定時匯報、簽到打卡、視頻監控工作狀態等措施,要求員工主動配合達到遠程辦公的監測目的。員工通過系統完成匯報、簽到打卡時,很可能會反復提交自己的姓名、電話號碼、郵箱、所在城市等個人基本信息用於驗證員工的身份。
同時,在使用遠程OA系統或App時,辦公系統也會自動記錄員工的登錄日誌,記錄如IP地址、登錄地理位置、用戶基本信息、日常溝通信息等數據。此外,如果員工使用企業分配的辦公終端設備或遠程終端虛擬機軟體開展工作,終端設備和虛擬機軟體中可能預裝了監測插件或軟體,在滿足特定條件的情況下,會記錄員工在終端設備的操作行為記錄、上網記錄等。
風險評估:
上述場景示例中,企業會通過1)員工主動提供和2)辦公軟體自動或觸發式收集兩種方式收集員工的個人信息,構成《網安法》下的個人信息收集行為。企業應當根據《網安法》及相關法律法規的要求,遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並獲取員工的同意。
對於視頻監控以及系統監測軟體或插件的使用,如果操作不當,並且沒有事先取得員工的授權同意,很可能還會侵犯到員工的隱私,企業應當尤其注意。
應對建議:
遠程辦公期間,尤其在當前員工還在適應該等工作模式的情形下,企業根據自身情況採取適當的監督和管理措施,具有正當性。我們建議企業可以採取以下措施,以確保管理和監測行為的合法合規:
評估公司原有的員工合同或員工個人信息收集授權書,是否能夠滿足遠程辦公的監測要求,如果授權存在瑕疵,應當根據企業的實際情況,設計獲取補充授權的方式,包括授權告知文本的彈窗、郵件通告等;
根據收集場景,逐項評估收集員工個人信息的必要性。例如,是否存在重復收集信息的情況,是否有必要通過視頻監控工作狀態,監控的頻率是否恰當;
針對系統監測軟體和插件,設計單獨的信息收集策略,做好員工隱私保護與公司數據安全的平衡;
遵守目的限制原則,未經員工授權,不得將收集的員工數據用於工作監測以外的其他目的。
四、總結
此次疫情,以大數據、人工智慧、雲計算、移動互聯網為代表的數字科技在疫情防控中發揮了重要作用,也進一步推動了遠程辦公、線上運營等業務模式的發展。這既是疫情倒逼加快數字化智能化轉型的結果,也代表了未來新的生產力和新的發展方向[9]。此次「突發性的全民遠程辦公熱潮」之後,遠程辦公、線上運營將愈發普及,線下辦公和線上辦公也將形成更好的統一,真正達到提升工作效率的目的。
加快數字化智能化升級也是推進國家治理體系和治理能力現代化的迫切需要。黨的十九屆四中全會對推進國家治理體系和治理能力現代化作出重大部署,強調要推進數字政府建設,加強數據共享,建立健全運用互聯網、大數據、人工智慧等技術手段進行行政管理的制度規則[10]。
為平穩加速推進數字化智能化發展,契合政府現代化治理的理念,企業務必需要全面梳理並完善現有的網路安全與數據合規策略,為迎接新的智能化管理時代做好准備。
Ⅳ 如何應對物聯網所面臨的安全威脅
1、找到您企業網路上的所有物聯網設備並關閉。這是最簡單的:您無法保護您根本不知道其存在的東西。找到所有連接到您企業網路的設備,這不僅包括傳統的IT設備,而且還包括智能電視,恆溫器,員工的可穿戴設備,等等。
2、如果您企業沒有能力這樣做,有許多公司能夠提供這方面的服務。OpenDNS可以幫助您企業跟蹤網路活動及網路與這些網路活動相關的個人設備上。SysAid公司能夠提供網路發現工具,幫助您找到網路上的所有設備。Pwnie Express和Bastille還能夠幫助您發現在辦公室的所有有線和無線設備,以及這些設備是否連接到網路。
3、檢查網路身份驗證和訪問許可權。哪些規則控制怎樣的設備可以連接到您企業的網路,以及他們有什麼樣的訪問許可權?此前,在制定這些規則和訪問許可權時,並為考慮到物聯網設備的因素,那麼,現在是將眼光擴展到物聯網領域,針對這些規則進行審視的一個很好的機會。例如,員工的智能手錶是否被允許連接到企業網路,如果有,他們有什麼樣的訪問許可權?溫控器呢?電燈泡呢?暖通空調設備呢?
4、鎖定外部連接到您的網路。什麼樣的外部服務,網路和承包商能夠連接到您的網路?您企業的暖通空調承包商是否有許可權連接到您企業網路?您企業的設施部門與製造車間的連接狀況如何?他們有很多的設備可能會導致問題。思科安全解決方案的安全實踐經理馬克·哈蒙德說,「一套全面的安全計劃的一部分是對第三方風險和供應商風險的管理。了解企業所有的供應商,畢竟,您企業的相關數據是在這些企業之間傳輸,並且要讓您企業的安全控制到位。」 因此企業必須進行詳細的審查,加強網路安全連接,建立相關的規則,規定承包商是否可以訪問您企業的網路,以及如何訪問。
5、對所有物聯網設備制定安全標准。SANS研究所的約翰·佩斯卡托建議說,從采購周期開始,您企業就需要考慮網路安全了。這適用於任何連接到企業網路的設備,而並不僅僅意味著IT設備。現在,除了有智能恆溫器,已經有智能冰箱和智能燈泡了。因此,安全標准需要針對一切會進入企業的設備來設置。除非相關設備符合這些標准,否則就不應該被允許訪問企業網路。
6、重新反思IT在安全中的作用。專家認為,在物聯網世界中,企業需要做的最重要的事情之一是重新思考安全在整個企業的角色作用。一家企業通常都是按照職能所組織架構起來的,如設備部門負責采購和維護採暖和空調系統等設備;而生產部門則負責處理生產相關的設備,包括控制設備;而IT部門則負責電腦,BYOD設備以及網路。但在物聯網的世界中,這可能會導致問題。
Ⅵ 物聯網技術的信息安全
物聯網的安全和互聯網的安全問題一樣,永遠都會是一個被廣泛關注的話題。由於物聯網連接和處理的對象主要是機器或物以及相關的數據,其「所有權」特性導致物聯網信息安全要求比以處理「文本」為主的互聯網要高,對「隱私權」(Privacy)保護的要求也更高(如ITU物聯網報告中指出的),此外還有可信度(Trust)問題,包括「防偽」和DoS(Denial of Services)(即用偽造的末端冒充替換(eavesdropping等手段)侵入系統,造成真正的末端無法使用等),由此有很多人呼籲要特別關注物聯網的安全問題。
物聯網系統的安全和一般IT系統的安全基本一樣,主要有8個尺度: 讀取控制,隱私保護,用戶認證,不可抵賴性,數據保密性,通訊層安全,數據完整性,隨時可用性。 前4項主要處在物聯網DCM三層架構的應用層,後4項主要位於傳輸層和感知層。其中「隱私權」和「可信度」(數據完整性和保密性)問題在物聯網體系中尤其受關注。如果我們從物聯網系統體系架構的各個層面仔細分析,我們會發現現有的安全體系基本上可以滿足物聯網應用的需求,尤其在其初級和中級發展階段。
物聯網應用的特有(比一般IT系統更易受侵擾)的安全問題有如下幾種:
1. Skimming:在末端設備或RFID持卡人不知情的情況下,信息被讀取
2. Eavesdropping: 在一個通訊通道的中間,信息被中途截取
3. Spoofing:偽造復制設備數據,冒名輸入到系統中
4. Cloning: 克隆末端設備,冒名頂替
5. Killing:損壞或盜走末端設備
6. Jamming: 偽造數據造成設備阻塞不可用
7. Shielding: 用機械手段屏蔽電信號讓末端無法連接
主要針對上述問題,物聯網發展的中、高級階段面臨如下五大特有(在一般IT安全問題之上)的信息安全挑戰:
1. 4大類(有線長、短距離和無線長、短距離)網路相互連接組成的異構(heterogeneous)、多級(multi-hop)、分布式網路導致統一的安全體系難以實現「橋接」和過度
2. 設備大小不一,存儲和處理能力的不一致導致安全信息(如PKI Credentials等)的傳遞和處理難以統一
3. 設備可能無人值守,丟失,處於運動狀態,連接可能時斷時續,可信度差,種種這些因素增加了信息安全系統設計和實施的復雜度
4. 在保證一個智能物件要被數量龐大,甚至未知的其他設備識別和接受的同時,又要同時保證其信息傳遞的安全性和隱私權
5. 多租戶單一Instance伺服器SaaS模式對安全框架的設計提出了更高的要求
對於上述問題的研究和產品開發,國內外都還處於起步階段,在WSN和RFID領域有一些針對性的研發工作,統一標準的物聯網安全體系的問題還沒提上議事日程,比物聯網統一數據標準的問題更滯後。這兩個標准密切相關,甚至合並到一起統籌考慮,其重要性不言而喻。
物聯網信息安全應對方式:
首先是調查。企業IT首先要現場調查,要理解當前物聯網有哪些網路連接,如何連接,為什麼連接,等等。
其次是評估。IT要判定這些物聯網設備會帶來哪些威脅,如果這些物聯網設備遭受攻擊,物聯網在遭到破壞時,會發生什麼,有哪些損失。
最後是增加物聯網網路安全。企業要依靠能夠理解物聯網的設備、協議、環境的工具,這些物聯網工具最好還要能夠確認和阻止攻擊,並且能夠幫助物聯網企業選擇加密和訪問控制(能夠對攻擊者隱藏設備和通信)的解決方案。
Ⅶ 物聯網安全應從哪些層面進行保障
您好,我來為您解答:
由於物聯網在很多場合都需要無線傳輸,這種暴露在公開場所之中的信號很容易被竊取,也更容易被干擾,這將直接影響到物聯網體系的安全。
1)感測網路是一個存在嚴重不確定性因素的環境。
2)被感知的信息通過無線網路平台進行傳輸時,信息的安全性相當脆弱。
希望我的回答對你有幫助。
Ⅷ 物聯網目前的安全問題有哪些
1)安全隱私
如射頻識別技術被用於物聯網系統時,RFID標簽被嵌入任何物品中,比如人們的日常生活用品中,而用品的擁有者不一定能覺察,從而導致用品的擁有者不受控制地被掃描、定位和追蹤,這不僅涉及到技術問題,而且還將涉及到法律問題。
2)智能感知節點的自身安全問題
即物聯網機器/感知節點的本地安全問題。由於物聯網的應用可以取代人來完成一些復雜、危險和機械的工作,所以物聯網機器/感知節點多數部署在無人監控的場景中。那麼攻擊者就可以輕易地接觸到這些設備,從而對它們造成破壞,甚至通過本地操作更換機器的軟硬體。
3)假冒攻擊
由於智能感測終端、RFID電子標簽相對於傳統TCP/IP網路而言是「裸露」在攻擊者的眼皮底下的,再加上傳輸平台是在一定范圍內「暴露」在空中的,「竄擾」在感測網路領域顯得非常頻繁、並且容易。所以,感測器網路中的假冒攻擊是一種主動攻擊形式,它極大地威脅著感測器節點間的協同工作。
4)數據驅動攻擊
數據驅動攻擊是通過向某個程序或應用發送數據,以產生非預期結果的攻擊,通常為攻擊者提供訪問目標系統的許可權。數據驅動攻擊分為緩沖區溢出攻擊、格式化字元串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。通常向感測網路中的匯聚節點實施緩沖區溢出攻擊是非常容易的。
5)惡意代碼攻擊
惡意程序在無線網路環境和感測網路環境中有無窮多的入口。一旦入侵成功,之後通過網路傳播就變得非常容易。它的傳播性、隱蔽性、破壞性等相比TCP/IP網路而言更加難以防範,如類似於蠕蟲這樣的惡意代碼,本身又不需要寄生文件,在這樣的環境中檢測和清除這樣的惡意代碼將很困難。
6)拒絕服務
這種攻擊方式多數會發生在感知層安全與核心網路的銜接之處。由於物聯網中節點數量龐大,且以集群方式存在,因此在數據傳播時,大量節點的數據傳輸需求會導致網路擁塞,產生拒絕服務攻擊。
7)物聯網的業務安全
由於物聯網節點無人值守,並且有可能是動態的,所以如何對物聯網設備進行遠程簽約信息和業務信息配置就成了難題。另外,現有通信網路的安全架構都是從人與人之間的通信需求出發的,不一定適合以機器與機器之間的通信為需求的物聯網路。使用現有的網路安全機制會割裂物聯網機器間的邏輯關系。
8)傳輸層和應用層的安全隱患
在物聯網路的傳輸層和應用層將面臨現有TCP/IP網路的所有安全問題,同時還因為物聯網在感知層所採集的數據格式多樣,來自各種各樣感知節點的數據是海量的、並且是多源異構數據,帶來的網路安全問題將更加復雜
Ⅸ 物聯網的安全性
1、過時的硬體和軟體
由於物聯網設備的用戶越來越多,這些設備的製造商正專注於增產而沒有對安全性給予足夠的重視。
這些設備中的大多數都沒有獲得足夠的更新,而其中一些設備從未獲得過一次更新。這意味著這些產品在購買時是安全的,但在黑客發現一些錯誤或安全問題時,就會容易受到攻擊。
如果不能定期發布硬體和軟體的更新,設備仍然容易受到攻擊。對於連接到Internet的任何產品,定期更新都是必備的,沒有更新可能會導致客戶和公司的數據泄露。
2、使用默認憑證的潛在威脅
許多物聯網公司在銷售設備的同時,向消費者提供默認憑證,比如管理員用戶名。黑客只需要用戶名和密碼就可以攻擊設備,當他們知道用戶名時,他們會進行暴力攻擊來入侵設備。
Mirai僵屍網路攻擊就是一個例子,被攻擊的設備使用的都是默認憑證。消費者應該在獲得設備後立即更改默認憑證,但大多數製造商都沒有在使用指南中進行說明。如果不對使用指南進行更新,所有設備都有可能受到攻擊。
3、惡意與勒索
物聯網產品的快速發展使網路攻擊變得防不勝防。如今,網路犯罪已經發展到了一個新高度--禁止消費者使用自己的設備。
例如,當系統被黑客入侵時,聯網的攝像頭可以從家中或辦公室獲取私密信息。攻擊者將加密網路攝像頭系統,不允許消費者訪問任何信息。由於系統包含個人數據,他們會要求消費者支付大筆金額來恢復他們的數據。
4、預測和預防攻擊
網路犯罪分子正在積極尋找新的安全威脅技術。在這種情況下,不僅要找到漏洞並進行修復,還需要學習預測和預防新的威脅攻擊。
安全性的挑戰是對連接設備安全性的長期挑戰。現代雲服務利用威脅情報來預測安全問題,其他的此類技術包括:基於AI的監控和分析工具。但是,在物聯網中調整這些技術是很復雜的,因為連接的設備需要即時處理數據。
5、很難發現設備是否被入侵
雖然無法保證100%地免受安全威脅和破壞,但物聯網設備的問題在於大多數用戶無法知道他們的設備是否被黑客入侵。
當存在大規模的物聯網設備時,即使對於服務提供商來說也很難監視所有設備。這是因為物聯網設備需要用於通信的應用,服務和協議,隨著設備數量顯著增加,要管理的事物數量也在增加。
因此,許多設備繼續運行而用戶不知道他們已被黑客攻擊。
6、數據保護和安全挑戰
在這個相互關聯的世界中,數據保護變得非常困難,因為它在幾秒鍾內就可以在多個設備之間傳輸。這一刻,它存儲在移動設備中,下一分鍾存儲在網路上,然後存儲在雲端。
所有這些數據都是通過互聯網傳輸的,這可能導致數據泄露。並非所有傳輸或接收數據的設備都是安全的,一旦數據泄露,黑客就可以將其出售給其他侵犯數據隱私和安全權利的公司。
此外,即使數據沒有從消費者方面泄露,服務提供商也可能不遵守法規和法律,這也可能導致安全事故。
7、使用自治系統進行數據管理
從數據收集和網路的角度來看,連接的設備生成的數據量太大,無法處理。
毫無疑問,它需要使用AI工具和智能化。物聯網管理員和網路專家必須設置新規則,以便輕松檢測流量模式。
但是,使用這些工具會有一點風險,因為配置時即使出現一點點的錯誤也可能導致中斷。這對於醫療保健,金融服務,電力和運輸行業的大型企業至關重要。
8、家庭安全
如今,越來越多的家庭和辦公室通過物聯網連接變得更加智能,大型建築商和開發商正在通過物聯網設備為公寓和整棟建築供電。雖然家庭智能化是一件好事,但並不是每個人都知道面對物聯網安全應該採取的最佳措施。
即使IP地址暴露,也可能導致住宅地址和消費者的其他聯系方式暴露。攻擊者或相關方可以將此信息用於不良目的,這使智能家居面臨潛在風險。
9、自動駕駛車輛的安全性
就像家庭一樣,自動駕駛車輛或利用物聯網服務的車輛也處於危險之中。智能車輛可能被來自偏遠地區的熟練黑客劫持,一旦他們進入,他們就可以控制汽車,這對乘客來說非常危險。
目前物聯網面臨的安全問題有哪些?中景元物聯(www.zjyiot.com)溫馨提醒:毫無疑問,物聯網的出現是一種福音。然而,由於物聯網將一切事物連接在一起,很容易受到某種安全威脅。大公司和網路安全研究人員正在盡最大努力為消費者打造完美的產品,但還需要做更多的工作。
Ⅹ 物聯網信息安全有哪些
1)感測網路是一個存在嚴重不確定性因素的環境。
廣泛存在的感測智能節點本質上就是監測和控制網路上的各種設備,它們監測網路的不同內容、提供各種不同格式的事件數據來表徵網路系統當前的狀態。然而,這些感測智能節點又是一個外來入侵的最佳場所。從這個角度而言,物聯網感知層的數據非常復雜,數據間存在著頻繁的沖突與合作,具有很強的冗餘性和互補性,且是海量數據。它具有很強的實時性特徵,同時又是多源異構型數據。因此,相對於傳統的TCP/IP網路技術而言,所有的網路監控措施、防禦技術不網路安全和其他相關學科領域面前都將是一個新的課題、新的挑戰。
2)被感知的信息通過無線網路平台進行傳輸時,信息的安全性相當脆弱。
其次,當物聯網感知層主要採用RFID技術時,嵌入了RFID晶元的物品不僅能方便地被物品主人所感知,同時其他人也能進行感知。如何在感知、傳輸、應用過程中提供一套強大的安全體系作保障,是一個難題。
3)同樣,在物聯網的傳輸層和應用層也存在一系列的安全隱患,亟待出現相對應的、高效的安全防範策略和技術。
只是在這兩層可以借鑒TCP/IP網路已有技術的地方比較多一些,與傳統的網路對抗相互交叉。綜上所述,物聯網除了面對傳統TCP/IP網路、無線網路和移動通信網路等傳統網路安全問題之外,還存在著大量自身的特殊安全問題,並且這些特殊性大多來自感知層。