论文RSA2019关于网络安全着眼于当下、脚踏实地,该文是关于网络安全在职研究生论文范文和脚踏实地和网络安全和RSA2018有关大学毕业论文范文.
美国信息安全大会RSA 2018 前几天刚刚结束,会议上的大量议题引起广泛探讨.总体看来,这次的议题似乎没有什么创新之处,但仔细研究就能发现,撇去新技术的泡沫、经历过2017 年至今大大小小的安全事件之后,关于网络安全的探讨更加着眼于当下、更加脚踏实地.
当下有哪些安全问题?厂商应当关注哪些领域?网络安全行业未来会如何发展?如何应对安全问题?通过RSA 2018 大会上的一些重要议题,也许可以管中窥豹、见微知著.
物联网与工控安全———万物互联时代的挑战与机遇
长期以来,物联网安全一直在安全领域占据着重要地位.小到家庭温度计、智能电视,大到智能汽车、工业控制系统,这些联网设备不具有统一的安全标准,凸显出的安全问题也数量庞大、各不相同.由于物联网与人们的生活息息相关,其安全的重要程度也不言而喻.ESET 全球安全专家花费数月时间测试了12 款物联网设备,结果发现这些设备存在未加密的固件升级问题、未加密的摄像机视频流、明文通信,存储未设置保护等安全缺陷.此外,与漏洞不大相关的过度分享数据所涉及的隐私问题也是物联网安全的另一个痛点.对于这些问题,需要物联网设备制造商和终端用户联合采取措施,并注重系统每一个环节的安全.
在RSA 展会上,有很多专注于物联网安全的厂商,其中一个有代表性的就是Lynx 软件技术公司.他们认为可以通过将内核、内存、应用程序、系统和其他资源互相隔离的方式,打造更加安全的物联网环境.当然,对于开发而言可能效率会有所减缓,但这种方法对于航空电子设备、医疗设备等与人身安全密切相关、对安全要求更为严格的领域而言至关重要.
RSA 的议程安排还突出了对工控安全的重视.其中有一项议题解析了对工业系统的安全辅控系统SIS 所发起的攻击.其代表是2017 年年底的Triton/TriSIS 事件,这个攻击针对工业环境中最高风险组件,危及工控系统中生产事故及人身安全的最后一道防线.由于工业领域的设备数量庞大、组成复杂,操作系统更新和危险防护措施都难以及时落地,一旦其中一项遭遇攻击,将造成严重威胁.
RSA 大会还专门设置了ICS 、IoT、Car HACKING 的sandbox 环节,以及包含“关键基础设施保护快速上手指南”“应对关键基础设施内部威胁”“工业IoT 漏洞利用的影响”“用的思维去做工程师的工作”等议题在内的专题演讲.
综合来看,各大厂商均建议工业企业要制定IT 和OT 的安全策略,分析IT 和OT 对CIA 和AIC 的优先排序,从架构上和配置上整体考虑安全防护、应用SOC/NOC 进行网络管理和危险探测、建立IT 和OT 一体化的安全团队等.各厂商的具体解决方案也有一些可参考的创新之处,如UPT*E 公司提出对工业大数据进行安全监测和响应,盘点工业企业资产、获得全面的安全可见性、对威胁进行分类、调查以及补救来解决工业企业OT 安全问题.Monaca 公司则倡导用加密的方式从基础开始建立可信度,保障工业控制系统和工业物联网(IIOT)的安全,提供支持ARM、MicroChip、ST、Atmel 等30多种嵌入式平台的类OpenSSL 信任平台,可以源代码方式提供,开发者将之编译进不同目标设备,确保联网设备安全.此外,还有多家公司提出SDN 平台、混合基础设施和智能制造全覆盖、安全且可信的数字基础架构等多种解决方案来应对工控安全问题.
挑战往往意味着机遇,随着万物互联进一步扩大广度、加大深度,安全威胁将越来越多,不论是政府部门、监管机构、安全厂商还是用户的安全意识都将提高,相关政策法规、创新技术、产品等也会越来越多,逐渐落地.
数据与隐私保护成为新风口
近期沸沸扬扬的Facebook 数据泄露, 即将实施的GDPR,以及在RSA 2018 大会的“创新沙盒”环节获得冠军、专注隐私保护的BigID 公司,都预示着当下的一个风口:数据与隐私保护.
在当地时间4 月18 日进行的主题演讲环节上,SANS 研究所的主任Alan Paller 和SANS 三位研究员Ed Skoudis、JamesLyne、Johannes Ullrich 总结分析了5 种最危险的的网络攻击:
存储库和云存储数据泄漏、大数据反匿名处理和相关性分析、攻击者将通过挖矿机将受损系统货币化、硬件缺陷、不追求利益的工业控制性攻击.
SANS 渗透测试课程负责人Ed Skoudis 认为,当今的软件构建方式依托于庞大的在线代码库,通过代码库协作、云存储数据并托管关键应用程序,这在带来便利的同时也吸引了攻击者的目光.攻击者针对这类存储库和云存储基础架构,寻找、加密密钥、访问令牌和TB 级敏感数据.
他也谈到了攻击者目标的转变———从计算机转变到数据,也就是收集来自不同来源的数据并将其融合在一起,识别用户身份,查找业务弱点和机会,或以其他方式破坏组织.因此,企业组织除了采取防护措施之外,还要分析其数据可能遭遇的风险.
对此,Ed Skoudis 表示,应该考虑雇用或分配一名专门的“数据管理员”,来跟踪和管理数据资产,甚至培训系统架构师和开发人员如何保护云中的数据资产.他表示,云服务商提供的服务可以利用机器学习和人工智能来扫描客户的数据,以发现违规行为,帮助客户分类和维护其基础架构中的数据.而企业也应当采取多种工具,定期审查与存储在云中的数据资产相关的访问日志,检测并预防通过代码库导致的数据泄露.
SANS 研究院院长,SANS 互联网风暴中心主任JohannesUllrich 提到了当下大热的加密货币挖矿和硬件缺陷.他认为这两点对于企业而言也是很大的风险.他提醒企业检测挖矿行为,及时修复漏洞.同时,强调开发人员要学会创建安全软件,不完全依赖硬件去解决安全问题.因为一旦硬件出错,整个系统都会蒙受性能损失,这也与之前Meltdown 和Spectre漏洞相呼应.在硬件层面,也要像软件一样,对系统内的数据进行认证和加密.
对于各个环节错综复杂的数据问题,Ed Skoudis 表示,要将数据作为一项资产来关注,而且需要更加重视隐私和公司治理的共同合作.
区块链技术在重复AI 的发展轨迹
区块链技术是RSA 2018 大会上另一个争议性较大的话题.一些人认为区块链是实现GDPR 合规的关键,而有些人则质疑这一技术落地的可能性.还有一些参会者则对于区块链技术完全一无所知.
前两年,AI 成为IT 行业的绝对热点,所有的议题、所有的从业者都展开了轰轰烈烈的探讨.炒作的泡沫破灭之后,深思熟虑者回归技术落地,盲目参与者依然游走在边缘.如今,区块链技术也走上了AI 的发展轨迹,正处于前期的概念探讨阶段和初步落地阶段.
围绕新兴技术的炒作总会给开发人员带来创新压力,在这种压力下,很多开发人员往往会忽略安全而一味求新,结果可能导致一系列问题.最近的研究结果表明,大多数企业并没有将区块链技术应用于生产实践,实际应用于生产的企业只占3%,28% 的组织正积极测试区块链、20% 的组织正处于发现或评估阶段、4% 的企业正在测试或试用区块链技术、2% 的企业正在测试或开发区块链产品.
在RSA 2018 大会上,来自Verizon 和Linux 基金会等企业的代表强调,要为安全创新概念化设定基准问题,并分享了关于区块链建设的经验.企业在应用区块链技术,收集要求时,需要涉及信任模型、管理、身份和保密等内容.区块链只是一个工具,并非一项业务.企业厂商需要摆正态度,不能把区块链当做灵丹妙药,而应当从实际应用角度来思考其在安全领域的发展.
目前,企业对区块链技术的应用仍处于探索阶段,到2019年的大会上,采用区块链技术的产品或解决方案或许会成为亮点.
网络安全没有银弹
进入2018,网络世界的安全问题似乎并未减少,安全事件频发,信息泄露依然严重.RSA 2018 大会上发布的ISACA 网络安全报告指出,81% 的安全专业人员表示自己的企业在2018 年已经遭遇了网络攻击,50% 的受访者表示2018 年至今所遭遇的网络攻击已经超过了2017 年的总和.此外,还有31% 的企业表示公司董事会还没有充分确认企业安全的优先级.而技术水平过关的安全人才依旧有很大缺口.此外,网络安全问题已经延伸到网络的各个角落,不论是个人公民、私人公司还是政府机构都难以幸免.
这是否意味着我们所处的网络世界安全环境越来越严峻了呢?并不是,网络安全也许正变得更好,这是RSA 总裁Rohit Ghai 的观点.在RSA 2018 大会上,Rohit Ghai 发表了主题演讲,他认为,网络安全正变得更好,人们逐渐放弃了“银弹”思维,对安全有了更加正确的认知,安全业务正着眼当下,更加务实.
当前,企业正采取商业驱动的安全方法来管理数字风险.风险本身并不是威胁,太多或者太少的风险才容易带来问题.在应对风险过程中,存在“金发女郎效应”(即刚刚好的状态),企业的目标就是引入机器学习、人工智能等当下热门且已经日趋成熟的新技术,在数字化世界中达到这种状态.着眼当下,脚踏实地
远离“银弹”思维后,当下就成了焦点.这也是RSA 2018大会的主题“Now Matters”所要传达的理念.
1.DevSecOps———安全融入开发运营
RSA 2018 大会上的一项报告表明,在企业开发生命周期中,应用安全实践的年增长率达到15%.拥有成熟DevOps 实践的公司中,有59% 的公司将安全自动化纳入了开发过程,有88% 的公司投资于应用程序安全培训;有63% 的公司表示会利用安全产品来识别容器中的漏洞.越来越多的企业意识到将安全纳入开发运营的重要性,并预计或已经采取措施落实DevSecOps.
Contino 的联合创始人兼首席技术官Benjamin Wootton认为,仅仅在DevOps 过程中采取安全思维是不够的,需要全面落地DevSecOps,将安全当做软件交付过程中的基础原则.这不仅关乎开发、部署和安全的自动化,还涉及改变整个组织的架构(技术团队和其他团队),这都决定着整个软件的开发周期.如果安全人员意识到这一点,就会发现,DevSecOps 会成为所有大组织的选择.
2. 组建可靠的安全团队
然而,仅仅依靠新技术还是不够的.新技术有助于提高安全成效,但是依照墨菲定律,新技术就等同于新的漏洞,技术既是目标,也是武器.因此,技术背后的人也是安全发展的另一个重点.在技术成为双刃剑的时候,安全团队的水平决定着企业的安全业务水平.面对日益复杂的攻击环境,单纯的防御已经不再有效,有些威胁甚至是“防不住”的,企业需要升级应急响应策略,在响应之外,也要关注攻击事件本身,分析攻击手段、漏洞特征等,做好威胁情报与其他安全技术的整合,将整个团队联动起来.
ISACA 的数据显示,填补网络安全职位所需的时间有所缩短、安全管理人员的合格人选数量有所提高、企业招聘安全员工的预算有所提高,这些对于安全团队建设而言,无疑是好消息.
3.内外兼顾
除了复杂的网络环境和攻击带来的外部威胁,在企业内网中,各种企业内员工的违规操作或恶意窃取事件也不断被,成为另一类重大安全隐患.因此,在RSA 2018 大会上,安全负责人已经开始将身份认证以及数据安全视为新的安全边界,围绕这些话题展开了探讨.有调查显示,企业内部员工的行为表现往往是危及企业数据安全的关键因素,60%的情况下攻击者能够在几分钟之内搞定一家企业的网络入侵.而企业供应链也成为网络攻击者的新目标.供应商、渠道商常常受到专业人员、资金投入等方面的局限,无法为其所服务的网络资源提供可靠的安全防护,成为企业遭受攻击的一个重要渠道.
因此,企业在应对外部威胁的同时,也要加强对内部员工的审核和安全意识培训,由内到外切实保护好企业安全.
当然,在任何国家和地区,网络安全都离不开政府的行动和政策.不论是欧盟的GDPR 还是我国的《网络安全法》,都确保了网络安全工作有法可依、有据可查.政策先行,策略才能落实,这也是RSA 总裁Rohit Ghai 所倡导和强调的.
与以往相比,商业利益相关者对网络安全的投入更多,网络安全即将成为董事会级别的事情.这只是网络安全工作的本质,我们最大的成就是永远不要登上头条.
这句话,大概也是所有企业的心声.
该文结束语,该文是一篇关于对不知道怎么写脚踏实地和网络安全和RSA2018论文范文课题研究的大学硕士、网络安全本科毕业论文网络安全论文开题报告范文和文献综述及职称论文的作为参考文献资料.
参考文献:
1、 高校网络舆论管理的现状、意义与路径 袁 彦,胡 震,宋灵城,汪星韬,霍 煜,刘纯嘉(安徽理工大学 测绘学院,安徽 淮南 232001)摘 要通过对高校微信使用情况现状的调查分析,可以更好地了解当前校园网络舆情,方便对网络舆情的引导与管理.
2、 地方政府公共政策制定中网络民意应用:逻辑、困境和策略 当下社会,网络作为公共领域1( P187205)为公民讨论公共事务、发表意见建议提供了活动空间 关于网络民意的意含,学界对此没有达成明确一致的看法,其一般是指网民通过虚拟社区、BBS论坛、博客日志、微.
3、 网络安全以与其全球化趋势的影响 摘 要当今,随着信息技术的迅速发展,网络不仅影响着人类生活的方方面面,其影响范围和深度更是随着网络的快速发展已经扩展到了各个领域,其全球化趋势也正在逐步加深对国际社会变动与发展的影响 可以看到,网络在.
4、 二、金砖国家网络安全合作新进展 金砖国家一直致力于网络安全合作,2013 年“斯诺登事件”更是推进金砖国家网络安全合作的重要契机 网络安全议题于同年首次列入金砖国家领导人会晤宣言,此后历届领导人会晤宣言对网络.
5、 紧紧围绕总目标切实维护网络安全 内容提要当前互联网已经成为舆论斗争的主战场、主阵地、最前沿,我们能否顶得住、打得赢,直接关系国家意识形态安全和政权安全 在新疆,西方敌对势力和“三股势力”更是利用互联网,给新疆.
6、 古代法制文献中的食品安全保护:理论、实践和镜鉴 摘 要 新的中华人民共和国食品安全法自2015 年实施以来,中国百姓的食品安全问题有了强有力的法律保障,但就健全保障食品安全法律体系来讲,任重而道远 事实上,对于食品安全的重视从古代就已经开始,古人拥.