‘壹’ 专家:车企网络和数据安全将照“章”操作
中新经纬4月2日电 (孙庆阳)近期,工信部印发《车联网网络安全和数据安全标准体系建设指南》(下称《指南》),明确了中国车联网网络安全和数据安全标准体系的发展时间表,以及阶段性任务。
当下,联网数据被过度采集和滥用、数据被窃取和篡改造成安全事件频发。大数据安全即掌握核心技术又关系国计民生,车联网网络安全如何从中突围,最终实现高质量发展?
消费者对车联网信息安全仍存顾虑
自2021年9月中国第一部《数据安全法》正式出台以来,车联网数据安全领域已逐渐出现业务落地场景,整个车联网数据安全行业处于快速起步时期。但随着智能网联技术发展, 汽车 智能化正成为“移动智能终端”。当下,越来越多的 汽车 企业在后台收集并使用这些海量用户数据,这也对个人隐私带来了潜在的风险。
对此,全国乘用车市场信息联席会秘书长崔东树也给出了“整体信心一般”的类似观点,他表示,隐私信息“安全感”的缺失主要是有些功能需要权限,进而被滥用,用户却无法专业判断。
补足标准才能推动新技术发展
《指南》将车联网网络安全和数据安全标准体系划分为六大部分共20类标准,几乎涵盖网安领域所有细分小项,其中重点涉及到的安全领域包括为数字证书、密码应用、物联网安全、通信安全、身份认证、数据安全等。
崔东树对中新经纬研究院表示,标准应对了智能化、网联化发展新趋势,加速测试应用的环境保障和法规支持,有利于智能网联 汽车 的发展。
《指南》提出到2023年底,初步构建起车联网网络安全和数据安全标准体系,完成50项以上急需标准的研制;到2025年,形成较为完善的车联网网络安全和数据安全标准体系,完成100项以上标准的研制。
“以建立安全标准的方式,来维护车联网网络安全和数据安全”,盘和林总结出《指南》的三方面亮点:一是坚持需求导向,产学研用融合,共同来推动网络安全和数据安全标准的建立;二是坚持市场主体企事业单位的参与,让车联网企业参与到标准制定上来,而非一刀切的推进;三是重点、急用先行,在标准制定上区分轻重缓急,而非所有标准一起推进,有侧重的推出一部分标准以推动车联网快速发展。
盘和林进一步强调,车联网、自动驾驶系统研发企业将获益,当前中国自动驾驶企业蓬勃发展,但距离自动驾驶技术应用场景落地尚有距离,其主要原因是当前缺乏自动驾驶普及的软环境,而网络安全和数据安全标准是自动驾驶、车联网落地的重要一环,只有补足了标准,才能推动新技术的发展。
前瞻产业研究院指出,中国车联网市场规模有望在2026年达到8千亿元人民币,2021-2026年平均复合增长率将达到30.36%。另据中汽协预测,2025年中国 汽车 销量或将达到3000万,新增智能网联 汽车 的销量约为900万。
车企数据安全管理需合法合规
值得注意的是,与2021年6月发布的《车联网(智能网联 汽车 )网络安全标准体系建设指南》(征求意见稿)相比,“数据安全”在《指南》中被提升到了与网络安全同等重要的地位。但近年来有关智能 汽车 数据安全纠纷屡现。2021年上海车展期间特斯拉女车主维权事件,特斯拉的数据保存与使用安全风险曾引起激烈讨论。
企业意图利用数据“金矿”,来改善产品性能,进而提升用户体验。但用户在让渡隐私与获得便利性的同时,企业却屡现数据处理问题。针对此类情况,盘和林给出建议:首先要透明。“采用哪些数据,哪些敏感,存放在哪,平台有哪些信息保护规则?”都需要告知消费者,未经同意则不得随意收集相关数据;其次要监管。数据使用规则需要递交监管备案,而监管也要验证企业的数据安全措施是否到位;再次要标准。数据使用、储存、处理等,都要建立安全标准,不符合标准的企业不得使用用户信息数据;最后要技术。比如通过隐名化和匿名化来打包数据,比如完善数据安全技术,比如利用分布式数据存储。
那么, 汽车 厂商该如何完善数据安全管理?盘和林表示,可以通过组建数据信息安全管理部门来应对数据安全和网络安全,亦可考虑通过合格第三方,将数据存放和管理的责任进行外包,“专业的人做专业的事”。同时也要增加相关方面的人才储备,建设安全团队。
南开大学竞争法研究中心主任、法学院教授陈兵则表示, 汽车 厂商需要积极跟进国内外车联网数据安全、数据出境方面的标准、法律及监管规范的最新要求,在坚决维护国家安全和用户安全的基础上合法合规经营。同样,算法治理作为整个数字经济整体治理与系统治理的关键环节,不仅涉及到市场治理,还涉及到 社会 治理与国家总体安全。
中国随着《数据安全法》《网络安全法》《关键信息基础设施安全保护条例》等法律法规的出台,从持续开展违法违规收集使用个人信息专项治理,到国家安全机关等协同配合做好网络安全防范工作,各地各部门不断加大对相关违法犯罪活动的整治打击力度。如今的网络安全,不仅关乎个人和企业安全,也关乎国家安全。“筑牢数字安全屏障”已成为国家发展的重要议题。(中新经纬APP)
‘贰’ 网络尖刀安全团队成立新子团队,代号“Z”!
昨天我们在微博宣布了关于网络尖刀尖刀成立“ Z小队 ”的通告,也收到了一些伙伴们的报名,由于本次成员招募是由曲子龙来亲轮铅自审核,所以审核的速度可能要慢了一些,大家如果已经发送了邮件,还未得到回应烦请耐心等待一下,不管结果是什么样的我们都会一一回应。
有一些小伙伴比较好奇“Z小队”的定位,其实网络尖刀每个团队的代号都有他独特的定义,比如由凌风(0x0f)负责的校园安全联盟,主要是定位校园安全,所以简单粗暴的取这个名判宏字(当然凌风没文化是主要问题的关键);
由疯子(madmaner)建立的107团队,107其实是疯子的一个不能说的幸运日期;
而这次由曲子龙(Quu)建立的Z小队, 其掘桐册实Z是一种致敬,Z代表着Zorro,在西班牙语里寓意着“狐狸”,所以Z小队其实网络尖刀团队的一个突击小队,神出鬼没的存在着。
‘叁’ 诸葛建伟的网络安全赛事参与和组织经历
l 2010年和段海新博士共同创建蓝莲花(Blue-Lotus)网络安全技术CTF竞赛团队,是国内最早参与国际CTF赛事的团队之一。
l 2012年做仿带领蓝莲花战队与三叶草、InsightLabs团队共同征战DEFCON CTF资格赛,在500多支队伍中排名第19位,仅差一道题与总决赛入场券失之交臂。
l 2013年带领蓝莲花战队以全球第四名的资格赛优秀战绩,成为华人世界第一支成功闯入DEFCON CTF总决赛的团队,并获得安全宝冠名赞助,在总决赛20支队伍中获得第11名的较好成绩。
l 2014年纯搏纤带领安全宝-蓝莲花战队连续第二次入围DEFCON CTF总决赛,并获得第5名的优秀银唤战绩。
‘肆’ 二本学生,想创业网络安全维护,可是没有团队,身边的人都浑浑噩噩,没有可以组建团队的人,该怎么办,,
机会是留给有准备的人。你可以投资注册公司,请一位在这方面有实际水平和经验的人才,在技术上领着你们干。你要边干边学,只要你有毅力一定会成功。
‘伍’ 网络尖刀安全团队官网正式上线,启用1AQ.COM
时间很快,网络尖刀的安全团队建立也算是三年有余,一直以来网络尖刀安全团队的品牌和旗下的媒体品牌总是被很多人分不清。
从外部的角度来看,网络尖刀毕谨的品牌树立我们内部出现了很多问题:
进网络尖刀团队是不是要胸很大,长得漂亮才可以?网络尖刀是做媒体网站吗?网络尖刀能不能帮我写稿子啊?官网 JDSEC.COM 你们是京东安全的吗?
不得不说,作为一个品牌,网络尖刀在这方面的品牌蠢数灶树立是失败的。
知道错了就得改啊,于是开始折腾了起来,趁着知安一周年之际,我们对网络尖刀团队做了整体的一个调整,当然第一件事情就是给大家熟知的【网络尖刀安全团队】树个门面,索性收来1AQ.COM 为网络尖刀安全团队造一个自己的官网。
先给大带扮家看看网络尖刀安全团队的新门面。
‘陆’ g4如何保护您的团队
第一,应确保团队成员遵守安全操作规范。团队成员应建立和实施安全操作流程,以确保发生清梁网络安全问题时能够及时发现和应对。
第二,应采取技术措施来保护团队的数据安全。这可以包括使用加密技术、安装安全防护软件和安全审计软件,确保网络的安全性。
第三,应提供安全培训和提高安全意识。要培养团队成员跟上安全技术发展的步伐,定期为他们提供安全培训,提高他们对网络弊磨安全问题的意识。
第四,应加租正斗强团队内部的沟通和协作。应在团队中建立安全的沟通渠道,方便各成员之间的交流和协作,确保团队的安全沟通和合作。
‘柒’ 上海众人网络安全技术有限公司的团队介绍
专家顾问王椿芳(将军/研究员):中国人民解放军国家有突出贡献的信息安全专家,曾担任国家级安全部门顾问,荣获国家科技进步一等奖、二等奖。现任“众人网络”专家顾问团总顾问。
研发团队
“众人网络”高效研发团队的四个推进“引擎”选拔或培养适合角色职责的人才的有效管道:“众人网络”与上海交通大学、武汉大学建立了长期的人才培养合作机制,企业内部的专业培训与权威机构的第三方外部培训实现了灵活有机的结合,“众人网络”人才储备及培养机制形成了螺旋上升的态势。
卓越的研发管理团队:
一批具有丰富一线研发管理经验的管理团队,借助科学的管理工具、通过灵活的授权使研发管理臻于艺术与科学的完美融合。强大的团队凝聚力:通过“向心力”和“内部团结”专项营造工程的开展,增强团队成员归属感、工作中责任感。
严谨的工作框架、规范和纪律:
已建立的共同的工作框架使团队成员知道如何达到目标,完善的规范使各项工作有标准可以遵循,严格的纪律约束保证计划的正常执行。
对国外成功经验兼收并蓄:
通过对统一开发过程(RUP)、系统分析和设计思想、各种体系结构优缺点及适应情况、国外成功设计模式的学习,使开发过程更合理、系统框架更科学、代码和研发项目质量更高。
‘捌’ 今年一点资讯安全吗
安全。
根据砍柴腊中网显示2023年3月,一点资讯开始组建新的网络安全团拿蠢队,7月新团队刚组建完成就接到通知,将参加市局在8月组织的网络安全攻防演练,是很安全的。
一点资讯是北京一点网聚科技有限公司推出的一款为兴趣而生、有机融合搜索和个性化推荐技术的兴趣引擎,团队致力于基于兴趣为用户提供私人定制的精准资讯,并成长为移动互消局陪联网时期一代内容分发平台。
‘玖’ 黑码网络安全团队是干什么的
1、分析网络现状。对网络系统进行安全评估和安全加固,设计安全的网络解决方案;
2、在出现网络攻击或安全事件时,提高服务,帮助用户恢复系统及调查取证;
3、针对客户网络架构,建议合理 的网络安全解决方案;
4、负责协调解决方案的客户化实施、部署与开发,推定解决方案上线;
5、负责协调公司网络安全项目的售前和售后支持。这些基本上都是一个合格的网络工程师要掌握的。
另外还有一些对于就业的要求:
1、计算机应用、计算机网络、通信、信息安全等相关专业本科学历,三年以上网络安全领域工作经验;
2、精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等。
3、熟悉tcp/ip协议,熟悉sql注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos攻防经验,熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置;
4、熟悉windows或linux系统,精通php/shell/perl/python/c/c++ 等至少一种语言;
5、了解主流网络安全产品{如fw(firewall)、ids(入侵检测系统)、scanner(扫描仪)、audit等}的配置及使用;
6、善于表达沟通,诚实守信,责任心强,讲求效率,具有良好的团队协作精神;
‘拾’ 如何构建网络安全战略体系
网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电,以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁(APT)的犯罪团伙,以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全(例如应用安全和狭义的网络安全)至关重要。
安全应该成为整个企业的首要考虑因素,且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白,所有的系统都是按照一定的安全标准建立起来的,且员工都需要经过适当的培训。例如,所有代码都可能存在漏洞,其中一些漏洞还是关键的安全缺陷。毕竟,开发者也只是普通人而已难免出错。
安全培训
人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码,培训操作人员优先考虑强大的安全状况,培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之,网络安全始于意识。
然而,即便是有强大的网络安全控制措施,所有企业还是难逃遭遇某种网络攻击的威胁。攻击者总是利用最薄弱的环节,但是其实只要通过执行一些基本的安全任务——有时被称为“网络卫生”,很多攻击都是可以轻松防护的。外科医生不洗手决不允许进入手术室。同样地,企业也有责任执行维护网络安全的基本要求,例如保持强大的身份验证实践,以及不将敏感数据存储在可以公开访问的地方。
然而,一个好的网络安全战略需要的却不仅仅是这些基本实践。技术精湛的黑客可以规避大多数的防御措施和攻击面——对于大多数企业而言,攻击者入侵系统的方式或“向量”数正在不断扩张。例如,随着信息和现实世界的日益融合,犯罪分子和国家间谍组织正在威胁物理网络系统的ICA,如汽车、发电厂、医疗设备,甚至你的物联网冰箱。同样地,云计算的普及应用趋势,自带设备办公(BYOD)以及物联网(IoT)的蓬勃发展也带来了新的安全挑战。对于这些系统的安全防御工作变得尤为重要。
网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》(GDPR)这样严格的监管框架还要求赋予新的角色,以确保组织能够满足GDPR和其他法规对于隐私和安全的合规要求。
如此一来,对于网络安全专业人才的需求开始进一步增长,招聘经理们正在努力挑选合适的候选人来填补职位空缺。但是,对于目前这种供求失衡的现状就需要组织能够把重点放在风险最大的领域中。
网络安全类型
网络安全的范围非常广,但其核心领域主要如下所述,对于这些核心领域任何企业都需要予以高度的重视,将其考虑到自身的网络安全战略之中:
1.关键基础设施
关键基础设施包括社会所依赖的物理网络系统,包括电网、净水系统、交通信号灯以及医院系统等。例如,发电厂联网后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查,以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施,在遭遇网络攻击后会对他们自身造成的影响进行评估,然后制定应急计划。
2.网络安全(狭义)
网络安全要求能够防范未经授权的入侵行为以及恶意的内部人员。确保网络安全通常需要权衡利弊。例如,访问控制(如额外登录)对于安全而言可能是必要的,但它同时也会降低生产力。
用于监控网络安全的工具会生成大量的数据,但是由于生成的数据量太多导致经常会忽略有效的告警。为了更好地管理网络安全监控,安全团队越来越多地使用机器学习来标记异常流量,并实时生成威胁警告。
3.云安全
越来越多的企业将数据迁移到云中也会带来新的安全挑战。例如,2017年几乎每周都会报道由于云实例配置不当而导致的数据泄露事件。云服务提供商正在创建新的安全工具,以帮助企业用户能够更好地保护他们的数据,但是需要提醒大家的是:对于网络安全而言,迁移到云端并不是执行尽职调查的灵丹妙药。
4.应用安全
应用程序安全(AppSec),尤其是Web应用程序安全已经成为最薄弱的攻击技术点,但很少有组织能够充分缓解所有的OWASP十大Web漏洞。应用程序安全应该从安全编码实践开始,并通过模糊和渗透测试来增强。
应用程序的快速开发和部署到云端使得DevOps作为一门新兴学科应运而生。DevOps团队通常将业务需求置于安全之上,考虑到威胁的扩散,这个关注点可能会发生变化。
5.物联网(IoT)安全
物联网指的是各种关键和非关键的物理网络系统,例如家用电器、传感器、打印机以及安全摄像头等。物联网设备经常处于不安全的状态,且几乎不提供安全补丁,这样一来不仅会威胁到用户,还会威胁到互联网上的其他人,因为这些设备经常会被恶意行为者用来构建僵尸网络。这为家庭用户和社会带来了独特的安全挑战。
网络威胁类型
常见的网络威胁主要包括以下三类:
保密性攻击
很多网络攻击都是从窃取或复制目标的个人信息开始的,包括各种各样的犯罪攻击活动,如信用卡欺诈、身份盗窃、或盗取比特币钱包。国家间谍也将保密性攻击作为其工作的重要部分,试图获取政治、军事或经济利益方面的机密信息。
完整性攻击
一般来说,完整性攻击是为了破坏、损坏、摧毁信息或系统,以及依赖这些信息或系统的人。完整性攻击可以是微妙的——小范围的篡改和破坏,也可以是灾难性的——大规模的对目标进行破坏。攻击者的范围可以从脚本小子到国家间谍组织。
可用性攻击
阻止目标访问数据是如今勒索软件和拒绝服务(DoS)攻击最常见的形式。勒索软件一般会加密目标设备的数据,并索要赎金进行解密。拒绝服务(DoS)攻击(通常以分布式拒绝服务攻击的形式)向目标发送大量的请求占用网络资源,使网络资源不可用。
这些攻击的实现方式:
1.社会工程学
如果攻击者能够直接从人类身上找到入口,就不能大费周章地入侵计算机设备了。社会工程恶意软件通常用于传播勒索软件,是排名第一的攻击手段(而不是缓冲区溢出、配置错误或高级漏洞利用)。通过社会工程手段能够诱骗最终用户运行木马程序,这些程序通常来自他们信任的和经常访问的网站。持续的用户安全意识培训是对抗此类攻击的最佳措施。
2.网络钓鱼攻击
有时候盗取别人密码最好的方法就是诱骗他们自己提供,这主要取决于网络钓鱼攻击的成功实践。即便是在安全方面训练有素的聪明用户也可能遭受网络钓鱼攻击。这就是双因素身份认证(2FA)成为最佳防护措施的原因——如果没有第二个因素(如硬件安全令牌或用户手机上的软件令牌认证程序),那么盗取到的密码对攻击者而言将毫无意义。
3.未修复的软件
如果攻击者对你发起零日漏洞攻击,你可能很难去责怪企业,但是,如果企业没有安装补丁就好比其没有执行尽职调查。如果漏洞已经披露了几个月甚至几年的时间,而企业仍旧没有安装安全补丁程序,那么就难免会被指控疏忽。所以,记得补丁、补丁、补丁,重要的事说三遍!
4.社交媒体威胁
“Catfishing”一词一般指在网络环境中对自己的情况有所隐瞒,通过精心编造一个优质的网络身份,目的是为了给他人留下深刻印象,尤其是为了吸引某人与其发展恋爱关系。不过,Catfishing可不只适用于约会场景。可信的“马甲”账户能够通过你的LinkedIn网络传播蠕虫。如果有人非常了解你的职业联系方式,并发起与你工作有关的谈话,您会觉得奇怪吗?正所谓“口风不严战舰沉”,希望无论是企业还是国家都应该加强重视社会媒体间谍活动。
5.高级持续性威胁(APT)
其实国家间谍可不只存在于国家以及政府组织之间,企业中也存在此类攻击者。所以,如果有多个APT攻击在你的公司网络上玩起“捉迷藏”的游戏,请不要感到惊讶。如果贵公司从事的是对任何人或任何地区具有持久利益的业务,那么您就需要考虑自己公司的安全状况,以及如何应对复杂的APT攻击了。在科技领域,这种情况尤为显着,这个充斥着各种宝贵知识产权的行业一直令很多犯罪分子和国家间谍垂涎欲滴。
网络安全职业
执行强大的网络安全战略还需要有合适的人选。对于专业网络安全人员的需求从未像现在这样高过,包括C级管理人员和一线安全工程师。虽然公司对于数据保护意识的提升,安全部门领导人已经开始跻身C级管理层和董事会。现在,首席安全官(CSO)或首席信息安全官(CISO)已经成为任何正规组织都必须具备的核心管理职位。
此外,角色也变得更加专业化。通用安全分析师的时代正在走向衰落。如今,渗透测试人员可能会将重点放在应用程序安全、网络安全或是强化网络钓鱼用户的安全防范意识等方面。事件响应也开始普及全天制(724小时)。以下是安全团队中的一些基本角色:
1.首席信息安全官/首席安全官
首席信息安全官是C级管理人员,负责监督一个组织的IT安全部门和其他相关人员的操作行为。此外,首席信息安全官还负责指导和管理战略、运营以及预算,以确保组织的信息资产安全。
2.安全分析师
安全分析师也被称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师。这一角色通常具有以下职责:
计划、实施和升级安全措施和控制措施;
保护数字文件和信息系统免受未经授权的访问、修改或破坏;
维护数据和监控安全访问;
执行内/外部安全审计;
管理网络、入侵检测和防护系统;分析安全违规行为以确定其实现原理及根本原因;
定义、实施和维护企业安全策略;
与外部厂商协调安全计划;
3.安全架构师
一个好的信息安全架构师需要能够跨越业务和技术领域。虽然该角色在行业细节上会有所不同,但它也是一位高级职位,主要负责计划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这就需要安全架构师能够全面了解企业的业务,及其技术和信息需求。
4.安全工程师
安全工程师的工作是保护公司资产免受威胁的第一线。这项工作需要具备强大的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位,其重点在于IT基础设施中的质量控制。这包括设计、构建和防护可扩展的、安全和强大的系统;运营数据中心系统和网络;帮助组织了解先进的网络威胁;并帮助企业制定网络安全战略来保护这些网络。