物盾安全汤晓冬:工业互联网企业如何应对高发的供应链安全风险?
编者按:
物盾安全是一家专注于物联网安全的产品厂商,其核心产品“物安盾”在能源、制造、交通等多个领域落地,为这些行业企业提供覆盖物联网云、管、边、端的安全整体解决方案。“物安盾”集成了腾讯安全制品扫描(BSCA)产品,进一步丰富了其在软件成分分析SCA层面的技术能力,物盾作为物联网行业的“行家”,腾讯安全作为制品扫描的“专家”,“专家”+“行家”一起为工业物联网企业的软件供应链安全提供更完善的解决方案。
供应链攻击持续高发,作为关键基础设施的物联网、工业互联网行业,由于拥有海量设备、复杂的产业链条,容易成为供应链攻击的对象,尤其需要重点防护。本期产业安全专家谈,我们邀请到了物盾安全CEO汤晓冬(以下简称汤晓冬),解答物联网软件供应链安全应对之道。
腾讯安全:工业物联网的安全产品和服务有哪些门槛?
汤晓冬:物联网现在在整个数字化转型当中发挥了一个非常关键的作用。在例如能源互联网、大交通、先进制造这些领域当中,工业物联网承载了非常关键的一个角色。
工业物联网的安全和传统的安全有一个比较大的差异,工业物联网最大的变化是促进了OT和IT的融合,那在这个当中做安全的话,对业务的门槛是非常高的。能源电力、新能源汽车、智慧工厂、智慧水利等,那这些“关基”领域,它拥有海量异构的物联终端,同时有一个比较复杂的云边、边边、边端的交互,并且这些行业对新科技的应用也比较快,而且会连接着带动它的上下游跟着向数字化转型。这些特征其实对整个安全建设是非常具有挑战的,从而也衍生出来比较大的安全刚需,这是物盾的一个商机,同时也是物盾的一个责任之所在。
腾讯安全:是否可以从物盾典型的客户来进行举例说明,一家物联网企业如果想要建设好自身的安全存在哪些实际困难?
汤晓冬:以电力行业为例,因为电力物联网无论是从规模、智能化程度,还是所承载的业务的关键性上都非常具有代表性。它的安全建设主要的困难有这么几点:
第一是这个海量异构的设备管理起来比较难,企业在生产过程当接入了大量的物联终端,终端、网络、人员三者之间的安全管理的职责、归属等等都比较复杂,这个当中的可视化的要求是比较高的,这也是产生了物联网安全管理上的需求;
第二,设备终端本体的安全,其实情况现在是不乐观的。随着业务的发展,大量的终端接入到网络当中来,但是他们的设备供应商在设计终端时出于成本控制和市场竞争力等原因(没有考虑安全的问题),很多设备的内生安全是缺失的,系统上线以后安全漏洞、风险不断涌现;
第三点是缺乏维系的安全支持。从供应链安全的角度来说,我们发现大部分的设备只是上线前做了(安全检测),但是在整个生命周期里面呢,对于供应链的比如说软件风险、固件的持续监控、成分分析等,这个是缺失的。那么客户和设备厂家的这种缺失导致了这个可持续的安全性支持方面的一个困难。
腾讯安全:近年来供应链攻击事件频发,主要是哪些原因造成的?
汤晓冬:首先,在全球化的生产和供应链的大环境驱动下,现代供应链通常会涉及多个国家和地区的组织不同的开源组件,这就使得供应链变得非常复杂而且脆弱,攻击者可以利用其中的一个弱点或者漏洞,达到渗透到系统内部获得机密或者植入恶意代码的一个目的。
第二是基于软件供应链的依赖性,通过依赖于各种第三方的这个库、框架啊,攻击者可以通过攻击软件供应链当中的一个组件来渗透到整个系统。
第三个是员工的安全意识不足,这个包括使用单位,也包括供应链上的供应商,攻击者可以利用社会工程学的一些手段去欺骗员工,从而渗透到供应链当中或者直接渗透到这个物联网的网络当中来。
腾讯安全:对于物联网企业来说,供应链安全这个挑战是否更加严峻?
汤晓冬:物联网设备在设计之初的时候,通常无法直接升级或者更新组件,至少大部分工业物联网目前是处于这个状态,这意味着任何已知的漏洞可能会一直存在,并得不到修复,很容易成为攻击的目标,这一点和云、办公场景其实是一个比较大的差别,因为这个升级的成本非常的高。
其次,这些设备又没有用户交互界面,所以很难进行现场的设置配置来避规一些安全风险,并且多个供应商提供的组件共同组成的一个复杂的系统,每个供应商都可能在供应链当中存在漏洞或者问题,使得攻击的概率放大。
我们认为物联网企业应该加强的是供应链安全问题重视程度,并且实实在在采取相应的措施来保证供应链安全。
腾讯安全:物联网企业应该如何应对越来越高发的供应链安全问题?
汤晓冬:主要是基于以下的五点:
第一点要建立安全的规范制度,对供应链当中的所有供应商、合作伙伴进行安全性的审计,包括评估它的安全性能、安全开发流程、安全意识、培训等等,以确保它提供的物联网产品和服务可以达到企业的安全要求;
第二是加强监测体系。物联网企业应该有自己的一套有效的安全监测体系,包括实时监测系统中的安全的事件、数据的流、访问控制以及应用程序安全等各个方面,以及供应商合作伙伴和第三方服务供应商的安全状况;
第三点是加强数据安全的技术,物联网企业首先应该采用的是安全的数据存储和传输技术,包括加密、身份验证、权限控制、审计等等各方面,确保数据的机密性、完整性和可用性,并采取备份恢复等措施来应对数据丢失和恢复方面的风险。
第四点是提高上下游之间的安全意识。物联网企业可能对员工也好,对供应商也好,都要有安全培训去提高他们的安全意识,加强对供应链安全这个问题的重视和认知程度,帮助他们更好地识别和应对安全威胁。
最后一点就是构建风险管理体系。物联网企业应该建立一个有效的风险管理体系,包括制定风险管理计划、应急响应计划等等,以及与供应商和合作伙伴一起进行风险的共担和风险的分散。
腾讯安全:有哪些技术手段可以更好地解决软件供应链安全问题?
汤晓冬:这个问题我们是从几个方面来理解,首先是物联网的基础设施和应用程序的安全性的管理,这个要先做到位,这就意味着我们要建立和实施一个严格的包括访问控制、加密通讯、安全认证和授权、漏洞管理等等基础性工作,我们要先把它做扎实,确保供应链当中的基础设施和应用程序的安全性,这是第一点。
那第二点就是做好检测和分析的工作,这个可以综合利用包括威胁情报、漏洞数据库、恶意代码库等等多种数据源对软件供应链中的风险来进行一个监测和分析,并且这个监测和分析不是一次性的,而是持续的、在线的、实时的,去确保整个物联网生命周期当中一直有这样一个安全的检测和分析。
第三点就是供应链的可信度验证,这个包括通过建立可信的供应链管理体系,对供应商的安全及性能进行评估,建立一个安全风险评估和管理机制,确保供应链当中的所有环节都符合安全的标准和要求。
第四点就是自主研发,我们应该鼓励或者说有意识的去促进物联网企业通过自主研发一些关键的技术和软件降低对第三方软件的依赖,从而减少供应链安全的风险。
腾讯安全:物盾选择是哪一种路线,为什么要选择这种路线,你们是如何和腾讯安全展开合作的?
汤晓冬:物盾的核心产品“物安盾”是一个物联网的平台级的安全产品。我们最核心的能力是利用我们在端点上的超级探针构建了一个安全的基础设施层,利用这个基础设施,我们有两个能力:第一个是对端点的检测和分析能力;第二我们通过云边互动的网络编排能力,在这个基础设施之上我们可以去应用前面讲到的一些比如说物联网安全性管理、对终端的检测和分析以及对物联网整个供应链当中不同组件的可信度验证,这就是说我们把基础设施搭好,那么上面就可以嫁接不同的安全能力了。比如说我们和腾讯安全在物联网这一块展开合作,充分发挥我们在基础设施这个层面上的能力,和腾讯的安全产品结合在一起的话,最终为物联网安全提供了一个落地可行的方案,解决供应链安全的一些根本性问题。
客户要的不是一个单点也不是一个工具,而是一个体系化的解决方案。那么我们通过对物联网安全基础设施的改善,在上面我们再嫁接上比如说成分分析、漏洞检测等等在内的一些综合性的方案,帮客户解决安全问题。
物盾和腾讯安全,我们都具备在各自领域内的技术和安全的优势,大家通过优势互补,实现了“三赢”:客户赢、物盾赢、腾讯安全赢,最终其实是帮助我们在工业场景下有效地降低安全风险,促进数字化转型。
相关文章:
物盾安全汤晓冬:工业互联网企业如何应对高发的供应链安全风险?
编者按:物盾安全是一家专注于物联网安全的产品厂商,其核心产品“物安盾”在能源、制造、交通等多个领域落地,为这些行业企业提供覆盖物联网云、管、边、端的安全整体解决方案。“物安盾”集成了腾讯安全制品扫描(BSCA)…...
微纳制造技术——基础知识
1.什么是直接带隙半导体和间接带隙半导体 导带底和价带顶处以同一K值,称为直接带隙半导体 导带底和价带顶不处在同一K值,称为间接带隙半导体 2.扩散和漂移的公式 3.三五族半导体的性质 1.high mobility 2.wide bandgap 3.direct bandgap 4.三五族…...
Makefile的使用
Makefile的使用 自动化编译脚本,这个东西就是,进行简单的设置,然后实现原码编成为相应程序,简单化自己进行相关操作的过程。不需要一个个自己进行全部进行输入。而且还有许多的简化书写方法。 这个Makefile的本质为一种脚本语言…...
RealBasicVSR模型转成ONNX以及用c++推理
文章目录安装RealBasicVSR的环境1. 新建一个conda环境2. 安装pytorch(官网上选择合适的版本)版本太低会有问题3. 安装 mim 和 mmcv-full4. 安装 mmedit下载RealBasicVSR源码下载模型文件写一个模型转换的脚步测试生成的模型安装RealBasicVSR的环境 1. 新建一个conda环境 cond…...
C语言作用域(变量生存的空间)学习
C 作用域规则 任何一种编程中,作用域是程序中定义的变量所存在的区域,超过该区域变量就不能被访问。C 语言中有三个地方可以声明变量: 在函数或块内部的局部变量 在所有函数外部的全局变量 在形式参数的函数参数定义中 让我们来看看什么是局…...
Spark性能优化一 概念篇
(一)宽依赖和窄依赖 窄依赖(Narrow Dependency):指父RDD的每个分区只被子RDD的一个分区所使用,例如map、filter等 这些算子一个RDD,对它的父RDD只有简单的一对一的关系,也就是说,RDD的每个part…...
[数据结构]:09-二分查找(顺序表指针实现形式)(C语言实现)
目录 前言 已完成内容 二分查找实现 01-开发环境 02-文件布局 03-代码 01-主函数 02-头文件 03-PSeqListFunction.cpp 04-SearchFunction.cpp 结语 前言 此专栏包含408考研数据结构全部内容,除其中使用到C引用外,全为C语言代码。使用C引用主要…...
3.基于Label studio的训练数据标注指南:文本分类任务
文本分类任务Label Studio使用指南 1.基于Label studio的训练数据标注指南:信息抽取(实体关系抽取)、文本分类等 2.基于Label studio的训练数据标注指南:(智能文档)文档抽取任务、PDF、表格、图片抽取标注等…...
Python进阶-----面向对象3.0(面对对象三大特征之---封装)
目录 前言: 什么是封装 Python私有化封装 习题 前言: 上一期是讲解Python中类的私有属性和方法,其实很好理解,我给一个类中的部分属性进行加密拒绝访问(上一期链接Python进阶-----面向对象2.0&#…...
软考中级软件设计师备考建议
前言 首先我说一下个人对这个考试的一个感受看法,我觉得软件设计师考试并不难,主要是不要被内心的恐惧吓倒,考试中心态真的很重要! 一、中级软件设计师科目包括: (1)计算机与软件工程知识&am…...
【机器学习】决策树(理论)
决策树(理论) 目录一、何为决策树1、决策树的组成2、决策树的构建二、熵1、熵的作用2、熵的定义3、熵的计算4、条件熵的引入5、条件熵的计算三、划分选择1、信息增益( ID3 算法选用的评估标准)2、信息增益率( C4.5 算法…...
VSCode下载与安装使用教程【超详细讲解】
目录 一、VSCode介绍 二、官方下载地址 三、VSCode安装 1、点击我同意此协议,点击下一步; 2、点击浏览,选择安装路径,点击下一步; 3、添加到开始菜单,点击下一步; 4、根据需要勾选&#…...
2023年3月北京/上海/广州/深圳DAMA数据管理认证CDGA/CDGP
弘博创新是DAMA中国授权的数据治理人才培养基地,贴合市场需求定制教学体系,采用行业资深名师授课,理论与实践案例相结合,快速全面提升个人/企业数据治理专业知识与实践经验,通过考试还能获得数据专业领域证书。 DAMA认…...
进程和线程理论知识
1.进程和线程之间的联系。 进程是程序依次执行的过程,线程是比进程小的执行单位。 一个进程在其执行过程中可以创建多个线程。 多个线程共享进程的堆和方法区内存资源。 进程是OS进行资源分配的基本单位。 线程是OS进行调度的基本单位。 进程和线程是1࿱…...
华为OD机试用Python实现 -【广播服务器】
华为OD机试题 最近更新的博客华为 OD 机试 300 题大纲广播服务器题目输入输出示例一输入输出示例二输入输出Python代码代码编写思路最近更新的博客 华为od 2023 | 什么是华为od,od 薪资待遇,od机试题清单华为OD机试真题大全,用 Python 解华为机试题...
Solon2 的应用生命周期
Solon 框架的应用生命周期包括:一个初始化函数时机点 六个事件时机点 两个插件生命时机点 两个容器生命时机点(v2.2.0 版本的状态): 提醒: 启动过程完成后,项目才能正常运行(启动过程中&…...
学习笔记-架构的演进之服务容错策略设计模式-3月day02
文章目录前言断路器模式舱壁隔离模式重试模式总结附前言 容错设计模式,指的是“要实现某种容错策略,我们该如何去做”。微服务中常见的设计模式包括断路器模式、舱壁隔离模式和超时重试模式等,另外还有流量控制模式等。 断路器模式 断路器…...
【WEB前端进阶之路】 HTML 全路线学习知识点梳理(上)
前言 HTML 是一切Web开发的基础,本文专门为小白整理,针对前端零基础的朋友们,手把手教你学习HTML,让你轻松迈入WEB开发的行列。 首先,感谢 橙子_ 在HTML学习以及本文编写过程中对我的帮助。 文章目录前言一.HTML简介1.…...
mes系统核心业务流程及应用场景介绍
现在许多企业已经开始使用MES系统控制和管理工厂的生产过程,实时监控、诊断和控制生产过程,完成单元集成和系统优化。本文将为大家具体介绍一下MES系统的业务流程。 MES系统业务流程 1、计划调度MES系统承接了ERP订单,开始干预生产。该模块…...
应用统计部分常用公式总结
常见分布函数 常用公式 分位数:P{X>xα}α,P{X≤xα}1−αP\{X>x_\alpha\}\alpha, P\{X\le x_\alpha\}1-\alphaP{X>xα}α,P{X≤xα}1−αE(Xi)E(X)E(X‾)μE(X_i)E(X)E(\overline X)\muE(Xi)E(X)E(X)μE(X2)E2(X)D(X)μ2σ2E(X^2)E^2(X)D(X)\mu^2…...
阿赵的MaxScript学习笔记分享八《文件操作》
大家好,我是阿赵。继续分享MaxScript学习笔记第八篇 。这一篇主要讲文件操作,包括文件的I/O和导入导出。 1、获得3DsMax指定的一些目录路径 如果在电脑上安装了3DsMax软件,那么在文档里面会有一个3dsMax的文件夹,里面有一些3dsMa…...
将项目封装进docker进行迁移或使用
首先要理解docker的基本使用,本文不做过多阐述,博主也对docker没有了解透彻。 这里列一下docker的基本命令: docker info # 查看docker信息 docker -v # 查看docker版本 docker images # 查看docker所有的镜…...
matlab - 特殊矩阵、矩阵求值、稀疏矩阵
学习视频1.特殊矩阵1.1 通用特殊矩阵format % 零矩阵(全0) 幺矩阵(全1) 单位矩阵 % zeros ones eye rand(生成0~1的随机元素) randn(生成均值为1,方差为0的符合正太分布的随机阵)zeros(3) % 3x3的全0方阵 zeros(3, 4) % 3x4的全0矩阵 exA ones(3, 5) % 3x5的…...
Flume使用入门
目录 一. Flume简单介绍 1. Agent 2. Source 3. Sink 4. Channel 5. Event 二. 环境安装 1. 创建日志目录 2. 修改日志配置文件 3.修改运行堆内存 4. 确定日志打印的位置 5. 修改flume使用内存 内存调大 三. 校验flume 1. 安装netcat工具和net-tools工具 2. 判…...
【Servlet篇2】Servlet的工作过程,Servlet的api——HttpServletRequest
一、Servlet的工作过程 二、Tomcat的初始化 步骤1:寻找到当前目录下面所有需要加载的Servlet(也就是类) 步骤2:根据类加载的结果创建实例(通过反射),并且放入集合当中 步骤3:实例创建好之后,调用Servlet的init()方…...
【JAVASE】注解
文章目录1.概述2.JDK内置注解2.1override注解2.2 Deprecated注解3.元注解4.注解中定义属性4.1 属性value4.2 属性是一个数组5. 反射注解6.注解在开发中的作用1.概述 注解,也叫注释,是一种引用数据类型。编译后也同样生成class字节码文件。 语法 [修饰…...
【408之计算机组成原理】计算机系统概述
目录前言一、计算机的发展历程1. 计算机发展的四代变化2. 计算机元件的更新换代3. 计算机软件的发展二、计算机系统层次结构1. 计算机系统的组成2. 冯诺依曼体系结构3. 计算机的功能部件1. 输入设备2. 输出设备3. 存储器4. 运算器5. 控制器三、 分析计算机各个部件在执行代码中…...
1.Spring Cloud (Hoxton.SR10) 学习笔记—基础知识
本文目录如下:一、Spring Cloud基础知识什么是微服务架构?服务拆分 有哪些注意事项?什么是分布式集群?分布式的 CAP 原则?组件 - Spring Cloud 哪几个组件比较重要?组件 - 为什么要使用这些组件?组件 - Na…...
嵌入式开发工具箱【持续更新中】【VMware、Ubuntutftp、nfs、SecureCRT、XShell、Source Insight 4.0】
一、概述 本文主要介绍嵌入式开发过程中需要用到的工具及简单的使用方法。避免在搭建嵌入式开发环境时,需要四处寻找文档,收藏此文章,一文搞定。 大多数嵌入式开发环境是使用Linux作为目标开发系统,所以开发主机一般都是Linux系统…...
深究Java Hibernate框架下的Deserialization
写在前面 Hibernate是一个开源免费的、基于 ORM 技术的 Java 持久化框架。通俗地说,Hibernate 是一个用来连接和操作数据库的 Java 框架,它最大的优点是使用了 ORM 技术。 Hibernate 支持几乎所有主流的关系型数据库,只要在配置文件中设置好…...
网站建设优化课程/网络推广公司方案
一. 超链接的属性 <a>元素属于文本元素,有一些私有属性或者叫局部属性。那么,相对应的还有通用属性或叫做全局属性。这方面的知识,后面会详细探讨。 属性名称说明href指定<a>元素所指资源的 URLhreflang指向的链接资源…...
织梦网站栏目字体怎么调/域名注册要多少钱
HSQLDB 的研究与性能测试(与Mysql对比) 1. HSQLDB 简介 HSQLDB 数据库是一款纯 Java 编写的免费数据库,许可是 BSD-style 的协议。相对其他数据库来说,其体积小,才 563kb 。仅一个 hsqldb.jar 文件就包括了数据库引擎,数据库驱动&…...
网站做专题提升权重/网络营销理论基础
最近在学习强化学习,其最基础的原理就是马尔科夫决策过程,发现一些讲解很清楚的博客,特记录在此偶尔翻翻强化下概念。 https://blog.csdn.net/DeepOscar/article/details/81036635...
网站更新后 需要更新 sitemap 吗/中国域名注册局官网
瀑布开发模式: 瀑布开发模式有以下显著的特点: 1.严格把软件项目的开发分隔成各个开发阶段:需求分析,要件定义,基本设计,详细设计,编码,单体测试,结合测试,…...
中天建设集团有限公司简介/seo难不难
【总结 c语言20题】 问题描述 【问题描述】输入两个正整数m和n(m<1,n<500),统计并输出m和n之间的素数个数以及这些素数的和。注意:1不是素数 要求定义并调用函数prime(m)判断m是否为素数,当m为素数是返回1,否则…...
武安企业做网站推广/长春seo公司
什么是数据库实例 一、通俗解释 首先说说,数据库是做什么? 数据库是用来长久存储数据的,而我们大家都知道内存只能临时存储,磁盘等才能真正存储数据. 那数据库会放那里呢?肯定是存放在磁盘上,其实数据库就是磁盘上的一个文件。 从上面我们得出结论:数据库磁盘上的文件. 既然…...