安全 - 21ic中国电子网

当前位置：首页 > 安全

汽车安全技术问题解析

如今的汽车安全问题，已经不像以前那样加一个保险杠就可以“高枕无忧”了，在危险来临之前就预知到情况的安全技术，越来越多地被运用到如今的汽车当中。正因为如此，2010年在全球汽车商中才有了更多的行业标准，今天小编就向你推荐2010年最“潮”的6大汽车安全技术。　　胎压监测　　拒绝高速爆胎　　轮胎的使用状况直接影响到汽车的安全性，轻者引致爆胎，重者会引至车辆失控，造成重大交通事故，一个轮胎压力预警系统显得颇为重要。目前，宝马部分车型已经提供了有关轮胎压力监测预警系统装备，在车轮加载传感器，一旦胎压出现问题，就能够提醒你，给出声音警告，仪表盘上也会出现相应的安全指示灯。　　智能巡航　　自动加油刹车　　今后的巡航控制系统不仅仅限于保持恒定速度。由于对传感器和雷达的使用，巡航控制系统可以通过调节油门和刹车，以防止在你前面的车辆靠近，保持安全距离，如果有速度变化，或者将有几厘米的危险状况发生，系统检测到潜在的碰撞通常会急刹车，并锁死安全带。一旦安全隐患排除，它会发送指令，让你的车子再回到原来的巡航速度，而这期间不受人为操控，当然，你也可以通过手动控制刹车系统。目前奔驰和迈巴赫(图库论坛)系统已经有这方面的尝试了。　　盲点探测　　驾车人的“第六感” 　　这项技术的目的是提醒你驾车时的盲点把控，由A柱、B柱等设计上所造成的视觉“盲点”容易引致交通事故。若车主在驾驶时可以“眼观六路”，可有效降低交通事故率。如通用汽车去年便示范运行了一批拥有“第六感”的汽车。通过配备简单的天线、计算机芯片和全球定位系统技术等车载通讯设备，该汽车就可以敏锐感知400米内其他车辆的所在位置。通常它的反应会是你在驾车时，如果检测方向的时候，它可能会通过信号灯闪烁在你眼前，或者座椅、方向盘通过震动发出警报。这是一种短距离的检测技术。　　电子稳定　　控制人体撞车姿势　　电子稳定程序ESP是一种能够在早期就识别出汽车的非稳定行驶状态，并进行自动修正的主动安全系统。当汽车行驶在路上这种系统预计到车身发生偏离，可以监控人体姿势、头部和眼睛，通过合理的座椅、头枕设计，缓解汽车在碰撞时对乘员头部的瞬间撞击。同时系统发出指令，能够让汽车速度减慢，从而使汽车进入稳定状态，来以防万一。　　翻滚保护　　翻车前稳住汽车　　如果系统检测到汽车转弯潜在的过渡（例如，如果你在角落转向太快或突然转向），这个系统将控制刹车和油门，根据当时情况做出调节，以帮助你控制汽车。戴姆勒克莱斯勒称之为电子滚翻系统，福特把它取名为防翻滚稳定系统。而沃尔沃同样有自己的翻滚保护系统。由汽车侧翻而造成的人员伤亡率很高，因此汽车侧翻保护系统的存在很关键，对于SUV和敞篷车来说尤为重要。例如沃尔沃C70敞篷车便针对性地开发了车侧翻滚保护系统，以确保乘员安全。　　智能气囊　　避免弹出受伤　　由于每一个人的身体体征各不相同，所以制造可以根据当时情况，随时可变化的安全气囊成为今后的主流，以被动补偿形式的低风险，让司机和乘客的重要体位不受伤害。智能安全气囊技术可以感应到不同大小和重量的人体以及安全带使用情况，当座椅位置异常或背向儿童座椅出现问题，智能气囊就会弹出。随着技术的发展，安全气囊也变得越来越“聪明”，例如奔驰一些高档车型便装备了阶段式安全气囊，根据撞击的力度分阶段弹出，以防止乘客因气囊弹出力度过猛而受到伤害。

时间：2020-09-10 关键词：安全
云计算安全问题讨论

　　一、云标准很薄弱　　ISO27001是一个相当全面的标准，它涵盖了很多客户关心的运行安全方面的问题。“这对于我来说，至少是评估SaaS供应商是否成熟的一个基本依据，”Wang表示。　　然而，将你的数据交给通过ISO27001标准的供应商并不能保证你的数据的安全性。调查发现，很多公司自称符合ISO27001标准，然后却承认“在特权用户管理方面存在不足”，包括在用户间管理员帐户的共享以及向用户授予非必要的更宽泛的特权。　　二、云计算中的身份验证并不成熟　　Forrester分析师ChenxiWang表示，云供应商本身并不会周全地在他们的云计算平台中加入身份验证服务(通常存在于企业防火墙后面的服务)。有一些第三方技术可以让IT部门加强云计算中基于角色的访问控制。但总体而言，“这个领域目前仍然处于早期阶段，”她表示。　　“对企业应用程序的身份验证和访问控制进行管理仍然是IT部门面临的最大挑战，”根据云安全联盟的研究显示，“虽然企业可以部署没有良好身份验证和访问管理战略的云计算服务，但从长期来看，将企业的身份验证服务扩展到云服务中是非常必要的。” 　　三、保密　　云供应商认为他们能够比一般客户本身更好地保护数据安全，并且SaaS实际上比大多数人所想象的更加安全。但是很多客户觉得这很难相信，因为SaaS供应商通常对于他们的安全过程都相当保密。　　特别是，很多云服务供应商很少会发布关于他们数据中心及运行的详细数据，并声称这样做将会破坏安全性。然而，客户和行业专家们早已受够了所有悬而未决的问题以及保密协议。　　在某些情况下，如果供应商愿意，客户可能可以调来自己的专家并试图进入供应商的网络进行安全测试。　　四、你并不总是知道你的数据的位置　　不过这仍然是比较少见的功能，即使数据存储在一个国家内，客户也需要能够确认数据的位置以满足监管要求，这也是EMC正在开发跟踪和验证云网络中虚拟机位置的技术，但是这种技术要到明年才会面市，并且它要求EMC、VMware以及英特尔产品的整合。　　“现在，没有任何技术可以验证虚拟机的位置，”EMC公司VMware技术副总裁ChadSakac表示，“没有任何失误可以阻止你将一个虚拟机转移到世界上任何位置，更重要的是，并没有办法对这种转移进行审计。”

时间：2020-09-09 关键词：云计算安全
内网安全的六大弊病

　　内网安全管理对于企业来说变得愈加的重要，一个企业的安全问题影响着企业各方面的发展，我们对于企业的分析就从企业的安全设计谈起，看看在此方面上都存在哪些内容。　　弊病一：客户端补丁升级依赖于员工的自觉　　现在企业中大部分用户采用的都是Windows客户端。而这个客户端的特点就是补丁特别的多，包括IE补丁、Offcie办公软件补丁等等。如果不及时打上补丁的话，则很容易病毒利用，成为其传播的便捷渠道。不过可惜的是，有不少的IT 负责人不重视补丁方面的管理与控制。如有些管理员，纯粹依靠用户的自觉，来进行补丁的管理。如在客户端上通过自动更新服务来对给系统打补丁。采取这个操作是，需要客户端用户的手工操作。如需要进行手工确认是否需要进行补丁升级、升级完成后可能还需要重新启动等等。现实的情况是有些用户认为这么操作比较麻烦，为此都不会自觉的去升级补丁。如此的话，就给内网的安全造成了比必要的安全隐患。　　为此笔者建议，对于补丁的管理，最好采取统一的解决方案。如微软有一个补丁管理的工具，可以在服务器上控制强制对客户端系统打补丁。如在下次启动之前给系统自动打补丁等等。这么设计即可以保障内部网络的安全，也可以对用户的不利影响降至到最低。总之笔者认为，最好不要将补丁更新的权利交给用户。大部分用户并不会正确行使这个权力。　　弊病二：自签名证书不兼容会惹祸　　IE浏览器一直是微软操作系统与服务器的安全重灾区。其中用户的不正确设置是其总要的一个原因。微软为了改善这种情况，在微软的一些产品中，如Exchange中加入了自签名证书。简单的说，就是当企业用户没有采取任何安全措施的话，那么系统就会自动启用自签名证书，以启用一定的安全加密机制，如SSL加密等等。　　这种默认的安全措施在一定程度上提高了系统应用的安全性。特别是对于那些没有安全观念的用户来说，能够启动不少的帮助。但是到现在为止，这个自签名证书的作用只限于微软的产品。如企业现在使用的是Exchange的服务器，然后采用IE浏览器去访问这个邮箱的话，没有问题。但是如果采用其他的浏览器去访问的话，就可能会出现不兼容的问题。如浏览器会提示用户系统并不信任这一类的证书。有些管理员为了减少这种麻烦，就索性将自签名证书的功能也禁用掉。这无疑减弱了企业内部网络服务器的安全性。　　弊病三：不注重后续的追踪　　有不少的企业，在网络设计与组建时，非常关注企业内部网络的安全。如禁用不必要的服务、禁止使用移动设备等等。但是在这方面他们也存在着一定的误区。就是非常重视前期的设计与配置，但是却缺少后续的追踪机制。　　如对于文件服务器来说，企业可能有比较安全的权限访问机制等安全措施。但是却缺少访问审核机制。也就是说无法判断这个安全措施是否到位，也无法分析用户是否存在着越权的访问。在这种情况下，可能只有在最后出现问题的时候，才能够发现这方面的不足。笔者建议，在前期做好安全设计与相关的配置固然重要，但是在后续日常工作中也需要最好追踪分析的工作。当发现原有的配置跟不上企业安全的需求时，需要进行及时的调整。如对于文件服务器来说，可以启用审计功能。将用户的未经授权的访问都记录在案。然后对这个数据进行分析，以判断用户可能的攻击行为。　　弊病四：没有使用逆向代理来减少端口的开销　　随着企业信息化管理的普及，现在企业越来越不满足于内部用户使用企业的信息化系统。如有些企业可能会在外地开设办事处。企业就希望这些办事处的人员也能够访问企业内部的服务器。再如为了出差在外的员工工作的方便，也允许他们从公共网络连接企业内部的服务器。　　如果要允许企业内部的服务器被外部用户通过互联网进行访问，那么就必须要在防火墙上开启多个端口。而这种情形就会增加企业内部的安全隐患。道理很简单，这就好像是开一幢房子开了多个门。管理员无法兼顾到多个门的安全。如企业部署了微软的即时通信套件。如果需要允许外部用户使用这个即时通信服务器的话，那么就需要在防火墙上开启十几个端口。这无疑大大降低了企业内部网络的安全性。当遇到这种情况是，笔者建议使用逆向代理机制。逆向代理的服务器一般位于互联网和本地需要开发多个端口的服务器之间，基本上跟防火墙服务器是并列的。采用逆向代理的话，可以让服务器在进入外网前先隐藏起来，同时还可以保障外部的恶意请求不会到达服务器。在安全方面，跟NAT技术有异曲同工之妙。不过从管理成本与性能开销上来说，要比NAT服务器低很多。　　弊病五：在同一个服务器上部署过多的应用程序　　在同一个服务器上部署多个应用程序，这种情况在企业中也是司空见惯的事情。这虽然可以在一定程度上降低企业信息化部署的成本，但是也增加了服务器的安全隐患。假设现在一家企业的一个服务器上部署了三种应用，此时包括操作系统在内的话，其实就有四种信息化系统。如果一种信息化系统存在2个安全漏洞的话，那么这台服务器现在就有了8个漏洞。如果没有采取严格安全措施的话，那么攻击者只要利用其中的任何一个漏洞，就有可能窃取服务器上的内容，甚至控制服务器。　　这就好像一条链条。如果链条上的一个个环越多，其安全性能相对来说就越差。因为任何一个环断掉的话，整条链条就会报废掉。而环越多的话，则出现断掉的可能性就会越大。总的来说，企业如果需要在一台服务器上部署多个应用程序并不是不行，但是在数量上需要有所限制。一般情况下不要超过三个。同时对于一些重要的应用，如数据库等的功能，最好采取单独的应用服务器，以保障其安全。而且还需要采取一些必要的措施，如虚拟CPU等技术，来给多个应用程序提供相对独立的工作环境。　　弊病六：对邮件等需要授权的访问没有采取SSL加密机制　　企业中不少的信息化系统需要授权才能够进行访问。如对于邮件系统，用户只能够访问自己的邮箱。对于文件服务器，也只能够访问授权允许访问的文件。而这些控制，基本上都是通过用户名与密码来进行限制的。　　在内部网络中，先主要采用的是HTTP与HTTPS两种访问机制。前者HTTP其特点是对于传输中的数据没有进行任何的加密措施。即用户名与密码在网络中都是明文传输的。如此的话，通过网络嗅探器等工具，就可以轻而易举的窃取到用户的用户名与密码。从而进行破坏活动。而如果用户名与密码信息泄露的话，最好的安全措施也无济于事。笔者的建议是，对于一些重要的应用，如邮件、文件服务器等等，最好采用HTTPS协议。这个协议的特点是在数据传输过程中采用SSL加密机制对数据进行加密，以确保用户名与密码的安全。　　内网安全管理中的内容很复杂，很广泛，文章就知识介绍了几种弊病，供大家参考。但是这绝对是比较经典的一些问题。各位可以针对企业自己的实际情况，来进行自我检查。对于内部网络安全来说，要重在预防。

时间：2020-09-09 关键词：内网安全
欧盟国防官员对国防政策和安全的关键问题进行评审

　　欧洲各国国防官员正在对推动欧盟无力的共同安全和防务政策（CSDP）的两个关键因素进行评审：27个成员国之间的安全供给和加速军事资产的部署。　　帕克里克将军表示，“鉴于我们在利比亚战争中所看到的，欧洲各国国防官员认为有必要推动军事资产部署”。在这里，他指的是，在2011年北约对利比亚进行军事干预时，欧洲军队面临的空对空加油和其他能力不足的问题。　　欧盟军事委员会主席帕克里克在5月16日举行的半年度会议发表上述言论，在此会议中，欧盟领导人将对国防政策和工业问题进行评审。他称，“我们要寻求更快部署的方式，我们就如何对欧盟全面执行安全的远征任务和国防任务，以及对我们军队结构和作战方式进行调整交换了意见”。

时间：2020-09-04 关键词：国防安全
安全联网驱动视频监控设备助力警方取证

　　在自治区十八届科普活动宣传周期间，呼和浩特市公安局各相关部门通过多种宣传形式，多角度地宣传公安科技信息化相关知识，生动立体地展示了公安信息化建设进程。　　据了解，近十年来，呼和浩特市公安科技发展迅猛，城市治安电子防控、 DNA、网络等高新技术普遍运用。特别是视频监控已经成了公安工作不可缺少的一部分。据统计，截至2012年底，全市共安装摄像机53000余部，已建系统1500余个，接入公安视频专网摄像机5000余部。同时，2012年呼和浩特市积极开展视频图像综合应用平台建设，该平台集成了视频巡逻、案件视频库等一系列视频应用功能，现已完成技术系统搭建，正在试运行。

时间：2020-09-04 关键词：视频监控监控安全系统安全
视频监控成集成核心平台兼容性是着力点

　　据了解，轨道交通安防系统中占份额最大的是视频监控系统，其约占安防系统中的80%以上，每个车站的体量约100万元以上。公安部第三研究所/上海国际技贸联合有限公司何伟介绍道：“轨道交通安防系统中视频监控是系统集成的核心部分，建设单位招标时，也多以视频监控为主。其他系统总的体量较小。这表明只有掌握了视频监控系统的核心技术，以此扩展综合管理平台，才具有较强的竞争力。” 　　轨道交通的安防系统除了视频监控，还有门禁、电子围墙以及紧急告警等系统。据悉，目前的轨道交通各线有各自独立的控制中心，各线之间实行单独运营、单独治理。随着城市地铁的发展，需要一个统一的调度和控制中心来对整个地铁交通网进行统筹运营、统筹治理。通过综合管理平台，将各个子系统集成到统一的操作平台上进行管理，不仅能强化系统的操作效率，同时也能更好地协调各个子系统，使其联动作用能最大限度的发挥。　　剥开综合管理平台内里看，地铁视频监控系统，也需要一个统一的网络视频管理平台，能够实现对各条线路的视频监控系统进行统一的管理。在地铁视频监控系统实现数字化和网络化以后，视频管理平台的性能决定了整个系统的运行能力和实施效果。因此一个功能完备、稳定可靠的管理平台对整个系统来说至关重要。“同时，由于每条线单独监控就存在采用的监控设备品牌不统一，编解码格式不统一，平台不兼容的问题，就需要建立一个能支持多种编码格式，具有开放接口，具有良好兼容的视频管理平台。”张飞飞补充道。　　以平台兼容性为着力点，视频监控为系统集成核心，将整个智能监控及管理所需的重要信息综合起来，成地铁站运行管理所必须的综合信息数据库，提供给工作人员管理，再通过对监控、报警、门禁等安防子系统的整合联动，可以帮助安防人员更直观更高效的处理各类应急事件，从而有效提升备安防子系统的综合防范能力。

时间：2020-09-04 关键词：视频监控视频监控系统安全
统信UOS系统安全详解：从软到硬滴水不漏

说起国产操作系统的重点和难点，除了生态，就是安全了，毕竟……你懂的。 8月12日，第八届互联网安全大会（ISC 2020）信创安全论坛在线举行，统信软件高级副总经理、总工程师张磊受邀发表《统信操作系统安全设计与规划》演讲，分享了对操作系统安全体系建设的思考，以及统信UOS安全体系建设实践经验。统信UOS底层基于开源的Linux，它本身虽然在安全方面就有诸多考虑，但仍存在严重不足，比如软件分发方式多且复杂，应用软件和系统没有隔离，应用程序广泛使用动态链接造成了非常复杂的网状软件治理体系。统信UOS的安全设计主要有四大方面： 1、限制超级用户统信UOS对所有特权程序进行了处理，包括setuid权限和capabilities的可执行程序。前端应用程序都去掉了这些特权，只有通过后端有特权的服务器获取相应的功能。前端应用程序和后端服务器之间的通信主要是通过dbus进行保证，而dbus本身也可以通过polkit的方式进行权限限制。这样，普通用户就不会轻易获得特殊权限，不会轻易的破坏系统安全性、形成系统安全漏洞，造成不必要的损失。 2、应用签名统信UOS通过开发者签名、商店签名、企业签名的三重机制，保证应用安全管理。开发者签名：验证应用所有权，避免进行伪造每一个应用程序都会在它的文件里内置一个签名，首先是应用开发商，所有的软件开发者在提交软件之前，都会对自己的软件进行签名，应用商店就可以保证得到的软件就是开发者提交的软件。商店签名：限制软件分发权力，避免传播过程中被修改商店会对所有应用程序进行审核，当然也包括安全审核。统信UOS的应用安全审核是和各个安全合作伙伴一起合作进行的。只有通过安全审核后，应用才可以在商店里进行上架。在应用商店在上架之前也会进行签名，得到了签名之后，终端操作系统才能确认应用的安全性，最终用户才能安装、运行这些应用。企业签名：提供私有化部署的分发支持，支持内网应用商店考虑到各个企业的内部软件分发与管理的需求，统信UOS应用商店支持私有化的分发部署方式。此外，统信UOS的应用签名证书同时支持RSA与国密算法，在未来的空间里具有比较好的扩展性。 3、软硬一体统信软件和处理器、固件厂商进行合作，一起推动制定了安全启动方面的规范，实现了在硬件和固件层面对不同loader/kernel进行管理性的签名校验，从启动时就保证了软件的安全性。 4、其他安全措施统信软件还和安全厂商进行联合安全攻防演练，在版本发布前和发布后的各个阶段可以及时获取安全漏洞信息，进行及时修补。统信UOS还支持终端域管平台，可以实现对各个终端进行安全策略的管理和集中式的分发，为用户提供一个快捷的、统一的安全管理体系。另外，统信UOS终端安全中心和安全应急响应中心可以支持动态的系统安全漏洞检测，及时收集各种安全漏洞信息，全方位多层次的进行系统安全防护。下一步，统信UOS计划继续加强应用治理和安全软件治理。通过沙箱机制等方式保证运行中的各应用程序之间有比较良好的隔离性。通过探索构建应用能力规范、弱依赖格式和应用IPC规范等方式，提升软件权限的管理粒度，让用户可以更好的进行权限定制与管理，有效防止权限扩散，保证系统的安全性。统信软件还将继续探索下一代固件的设计，构建动态的软硬件一体化的安全机制等规划，继续完善现有的安全体系设计。

时间：2020-09-02 关键词：统信软件 uos 安全
中消协质疑快递柜取件码安全性丰巢：投诉为0

8月5日，中消协发布《2020年上半年全国消协组织受理投诉情况分析》，其中对快递柜取件码的安全性提出疑问，表示有消费者反映，存放在快递柜的物品被别人取走，或者丢失。对此，丰巢智能快递柜方面回应称，相关话题发出后，丰巢科技迅速自查，经核实取件码安全性相关投诉为0例。丰巢科技强调，作为最贴近用户的末端服务平台，保障用户信息安全始终是首要责任和义务。丰巢快递柜采用国家信息安全等级认证技术确保用户信息不被泄露。其中，取件码采用柜机信息作为随机参数，并确保取件码在一定地理区域内和一段时间周期内都具有唯一性。而在网络通信层和数据存储层，对取件码等数据做加密处理确保信息安全，保障取件通知信息正确送达。丰巢科技还表示，未来将不断完善安全技术，确保相关性投诉保持在0例。

时间：2020-08-26 关键词：中消协快递柜丰巢取件码安全
物联网10大安全神话被揭穿

　　在科技界，你很难在一周中没有听到所谓“物联网”这个词。物联网方面的进步已经改变了我们的生活，并将继续改变，因为越来越多的设备连接到物联网。物联网对组织和普通人群产生了巨大的影响，但是那些连接物联网设备的安全性又如何？安全性是极为重要的，但也有物联网周边安全的许多神话。以下你会发现关于顶级物联网安全的一些神话：　　10.“微小的物联网设备没有能力做到真正强大的安全性。” 　　即使是上世纪80年代只有2K，初级8位的RAM芯片可以使用256位密钥长度实现椭圆曲线加密，并有效地使用2048位密钥长度进行RSA加密，这对于美国“秘密”级国家安全信息是足够强大的。这种加密每隔一小时使用的时间签名或验证数据，只使用一节AA电池这样的小电池的电量可以运行二十多年。　　9.“安全性太过复杂，特别是在物联网。你永远不会赢。” 　　真正有效的安全绝不是只有一个单一的杀手锏。相反，正如挡风遮雨的的房子需要几面墙壁，屋顶和地板一样，有效物联网的安全性也需要一些重要因素组成：　　·良好的加密保护认证和潜在的保护数据的机密性　　·在允许该代码运行于任何配置的情况下，对任何和所有代码和配置进行加密验证。　　·通过安全专业的第三方安全运行，以应对任何代码漏洞　　·远程管理功能，包括更新和软件清单管理，遥测和策略管理的安全性灵活性　　·安全分析发现和打击复杂的对手　　这些重要因素的组合简单而强大，足以抵御技能最好的攻击者。　　8.“无法更新这些设备。” 　　很多设备都很难更新，但几乎没有一个是不可能的。工业系统平均部署了19年，在过去几十年中，汽车和医疗设备的设计同样如此。现在，我们看到工业设备供应商为了设备的完整性对其使用了十年以下的旧设备进行更新，而人们现在所看到的医疗设备、自动取款机、销售点的终端设备、零售亭，甚至连汽车也是如此。　　7.“安全代价对于部署的数十亿设备来说太昂贵了。” 　　人们认为在规模、安全的代价往往只有连接装置，任何连接的设备超过了20美元，这似乎是完全负担得起，而安全风险大意鲁莽将会危及企业业务安全，当预防总是变化的风险时，有些代价有些太昂贵了。　　6.“我们有airgaps，网关和网络隔离保护我们。” 　　几乎所有的系统都会以他们的创造者可能不知道的方式连接，但攻击者会具有相当创造性地找到。这已在军事、情报和关键基础设施系统被反复证明，去年，德国的一个钢铁厂高炉遭受攻击，破坏了其一个旨在保护操作网络免受攻击的网关。网关有助于减少风险，但不足以提供足够的保护。正如airgaps不得力，VLAN和其他逻辑分离更有效。对于高价值的系统，要从内部进行强化，而不要冒险依赖网关，airgaps和网络隔离。　　5.“blockchain与PKI” 　　Blockchain是记录交易和一个大台账制度数字（和物理）对象，因为他们去进行这样的分类帐。不幸的是，大多数人忘记blockchains的台账水平，其核心停留在传统的加密操作水平，并以较低的基础与传统的加密操作，每个交易的签名库、密钥和证书。例如比特币，使用椭圆曲线加密和256位密钥的强度，如经常提倡的物联网系统有无风格分类相同的需求链。密钥管理是密码系统的一个软肋。这就是为什么价值十亿美元以上的物联网设备已经在使用世界上最成熟的密钥管理系统、证书颁发机构提供管理公钥基础设施（PKI）。更好的PKI使得blockchain分类水平更强。换句话说，blockchain可以更好地利用PKI。　　4.“我们只需要供应商和标准团队更快来解决” 　　如今，供应商和标准团体正在取得进展，但这一过程需要时间。除非客户开始询问他们需要的安全类型，如上面提到的“成分”，设备供应商将继续销售设备，既没有安全保障，并且更加危险，而安全作为一个形容词，而不是真正衡量对手的指标。　　3.“运行操作技术OPS队只需要从中吸取教训。” 　　IT供应商和工作人员在运营上的讨论，并没有良好的理由受到欢迎。操作限制因IT环境和后果远远不同，常有完全不同的时间尺度。无论是好是坏，OT侧很多技术在IT方面已经使用了多年。然而，直到IT供应商和工作人员了解其语言和文化，其他团队将不会对已被选中的并适合他们的环境的技术有任何信心。IT安全需要OTOPS团队管理太多的工具。选择正确的工具，并适当调整他们需要IT和OT之间的协作。　　2.“我们的系统是如此的不起眼，没有人能把它们弄清楚，并造成损害。” 　　如今，钢铁厂、污水处理厂、电网、工厂、发电厂以及其他无数的系统已经被黑客入侵，而管理和技术人员幼稚的信念导致出现这样的结果。　　1.“我可以独自做到这一点。” 　　历史和最近的头条新闻充斥着那些试图自己管理安全的企业的耻辱。没有任何一家企业，也没有任何一个供应商可以独自打败所有的攻击者。捍卫者需要团结起来，聘请专业人士，确保他们在硬件，软件和云计算，以及相关的和特定的垂直方面有良好的合作伙伴。

时间：2020-08-26 关键词：物联网 ram芯片安全
物联网过度竞争或导致IoT设备更多安全问题

　　近日，在智利首都圣地亚哥市政厅，智利电力公司CHILECTRA与比亚迪签署了圣地亚哥第一辆12米纯电动大巴运营项目的合作协议，标志着圣地亚哥将正式在城市中运营比亚迪纯电动大巴。　　目前，智利正在推进名为“国家适当减缓行动”的绿区项目，该项目主要是通过发展清洁可再生能源来减少温室气体的排放，优化生活环境。2015年12月，该项目引入了比亚迪纯电动出租车队，今年，比亚迪纯电动大巴再次得到了该项目的青睐，将免费为当地民众创造更环保的出行方式，为市民提供与众不同的新体验。　　智利成为继哥伦比亚、巴西、乌拉圭之后，又一个成功推广纯电动公交的南美国家。　　记者了解到，此次在智利市场投放的比亚迪纯电动大巴K9，顺利获得了智利交通信息部的汽车控制和认证中心的（3CV）认证，正式上路运营。

时间：2020-08-26 关键词：物联网 IoT 安全
物联网硬件会沦为谋杀工具吗？

　　早在2014年的Black　Hat黑客年会，即曾演示如何借助远程操控方式，成功入侵真实的汽车。　　无庸置疑，物联网（Internet of Things;IoT）绝对称得上是炙手可热的科技议题，Gartner预估，待至2020年，全球物联网硬件数量上看250亿个，届时不管消费市场或商业活动，都将被物联网广泛覆盖，此对于黑客而言，简直是肥滋滋的大饼，岂有坐壁上观之理？　　事实上，早在几年前，即出现了物联网硬件可能成为谋杀工具的论调，尽管听来仍有些骇人听闻，甚至给人天方夜谭之感;但随着物联网硬件数量急速攀升，与人类食、衣、住、行、育乐等生活需求，乃至生产制造、医疗保健乃至交通运输等关键场域，全都产生了前所未见的紧密链结，届时讲究经济利益的黑客，必然蜂涌而至，出现各式作恶行径，其间稍有不慎，导致人命危殆并非不可能之事。　　曾于2010年全美黑客年会大放异采的知名黑客Barnaby Jack，在2013年以35岁的年纪离奇猝逝，否则他是最有机会提早印证物联网硬件可能成为谋杀工具论调的人。先说Jack如何在2010年大放异采，他历时2年的研究，发现至少有两种手法，可以侵入自动柜员机（ATM），并迫使ATM吐出钞票;在黑客年会现场众人屏息以待的场景中，Jack展现神乎其技，让两台ATM吐尽内部所有钞票，即便这个表演相当惊悚，但他强调此举并非教人如何侵入ATM，而是对ATM制造商提出善意提醒。　　物联网硬件可能沦为谋杀工具　　继成功演绎侵入ATM之后，后续Jack试图侵入的对象，与人命的关联度越来越大，例如在2011年，他曾展示如何入侵糖尿病患者使用的胰岛素注射硬件，改变其注射频率与安全提醒功能，可能对患者造成难以逆料的危害;然而更惊悚的是，他曾预告将在2013黑客年会发表“植入式硬件：入侵人体”演说，示范如何利用信号传送器，在远程将恶意软件植入心脏病患体内的去颤器、心律调节器等医疗硬件，甚至声称在10公尺远的地方便可让对方心跳停止。　　虽然Jack在2013黑客年会揭幕之前，即在住处离奇死亡，没能来得及向与会者做出如此惊惧的展示，但似乎也提前昭告世人，要想利用物联网硬件谋害人命，其实不难。　　无独有偶，就在Jack死前，其实有一家名为Internet IdenTIty的信息安全公司，已针对物联网议题提出沉重警告，直指物联网硬件可能被用以执行实际犯罪行动，其中也包括了谋杀;这家公司接着指出，其之所以做出这个大胆假设，绝非无的放矢，而是看到了诸如交通运输、健康护理。..等等越来越多硬件，皆可通过网络传送讯息与接受控制，这般特性看在歹徒眼里，就彷佛是从天上掉下的大礼，让他们无需进入险要境地（指被害者所在地），便可远程关闭静脉注射硬件、调整心律调节器，抑或变更汽车操控系统，轻松取人性命。　　令人担忧的是，综观物联网产品，多数医疗硬件采用较为老旧的软件，个中潜藏的漏洞更多，也更容易让黑客上下其手。　　其实除了医疗硬件外，汽车所潜藏的危险因子更大！一个真实的例子，有两个黑客，借助远程入侵的方式，连手控制了一辆急驶在高速公路的吉普车，接着他们就从远程径自操控，先是开启了雨刷开关，接着将空调温度调至最低，同时还任意改变了收音机的播放频道，最后再把离合器给关闭，让这辆吉普车从原本的奔驰疾驶变成龟速爬行;黑客的举动，无异彰显了汽车可能面临的物联网安全威胁，连带引发若干汽车厂高度正视此风险，大举召回汽车进行计算机系统的升级，盼能借此降低汽车遭侵的可能性。　　物联网创新产品保护机制相对脆弱　　有鉴于此，已经有信息安全业者大声疾呼，为了避免黑客利用物联网开启全新经济模式，借此攻击物联网硬件取人性命、或者从事敲诈行为，物联网制造商理应想方设法，采取必要的安全措施，以期提高恶意人士入侵的门坎，达到保护这些硬件之目的，毕竟数量急速增加的物联网硬件，活脱脱就是黑客赖以滋养高杀伤力新型威胁的温床。　　信息安全业者认为，今时今日，已是一个唯创新是问的年代，任何小型的新创企业、工作室甚或创客，皆有可能凭借惊世骇俗的创意，撼动已经存在百年的传统市场游戏规则，进而席卷大量使用者，彻底颠覆人类的生活与工作模式，而物联网正是触发创意的重大题材之一。　　因此有朝一日，员工穿戴着智能运动鞋、智能服饰、智能手表上班，而企业办公室环境内部，也充斥着诸如智能温度调节器、智能卫生纸架。..等新颖硬件，绝对不是梦;但问题来了，综观孕育这些创新硬件的推手，固然不乏名声响亮的大型供货商，但也有为数不少的新创企业，这些积极抢市的新创企业，并无强大的动机、也无足够的能力，将硬件的安全防护列为第一优先顺位，顶多只能通过账号密码等简单机制，施以较为低度的保护，如此一来，这些看似富含智慧的物联网设备，都可能沦为黑客痛下毒手的管道。　　归纳物联网时代的潜在信息安全威胁，若与前端设备较具关联者，大致可分为几种类型：首先是锁定物联网硬件本身的弱点，直接对此发动攻击;其次是先行潜入后端云端数据中心，掌握某些控制机能，再回头操控前端物联网硬件;再者则是入侵前端物联网硬件，然后循着前后端链接路径，逐步攻进后端云端数据中心，借以满足窃取机敏数据之目的。　　找出难以防守的硬件从企业网络中移除　　持平而论，对于企业而言，单就云端数据中心的安全防护，纵使仍旧存在莫大挑战，但至少依然算是IT部门相对熟悉与擅长的战场，在这个战场之中，不管黑客锁定的目标是计算机、服务器、储存设备或网络设备，IT人员都有很大的机会提出反击;然而面对一些连上网络的非IT硬件，也就是前段所提到的种种前端物联网硬件，显然不在IT人员的专长范畴内，一些前所未见的信息安全弊端，也就因此应运而生。　　比方说，曾有国外专业机构通过研究发现，有数以万计的抽风机、加热器及空调系统链接互联网，在大多数的情况下，这些设备都蕴含一些基本的安全漏洞，只要黑客善加运用，确实很有机会借此潜入企业内部网络。具体来说，当企业落脚在一栋全新的建筑物，与这栋建筑物的其他住户，共同享用相同的监视摄影机、空调系统乃至电梯，而这些设施与自己的内部网络之间，也有某些连结性，如此一来，无异是平白增添了一些逾越IT部门掌控范围的节点，因而埋下莫大信息安全隐患。　　不过可惜的是，企业IT部门通常很懂得运用一些信息安全解决方案，据以捍卫云端数据中心内部的虚拟服务器与应用程序安全，但对于亟需纳入整体安全构面之一环的前端防护部份，着力空间却相对有限，此乃由于，前端物联网硬件的安全系数高低，有很大一部份取决于产品制造商自身的设计能力，比较难以借由附加（Add-on）方案，做事后补强，因此企业能够使得上力的，一是尽可能慎选相对安全的联网硬件，二是着眼于不想与难以防守的敌人对垒，设法找出存在于自己网络上的所有设备、尤其是非IT硬件，接着加以移除。

时间：2020-08-25 关键词：物联网 IoT 安全
特斯拉 Q2 安全报告：Autopilot 平均每行驶 453 万英里出现一起交通事故

7月30日消息特斯拉公布了 2020 年第二季度车辆安全报告。报告显示，使用 Autopilot 自动辅助驾驶功能的特斯拉车型每起事故背后的平均行驶里程数远比美国所有事故的平均值高。经特斯拉研究，没有 Autopilot 自动驾驶和主动安全功能的特斯拉车主平均每行驶 156 万英里（约合 251 万公里）发生一次事故；而那些没有 Autopilot 自动辅助驾驶却拥有主动安全功能的车主，平均每行驶 227 万英里（约合 365 万公里）会出现一起交通事故；而使用特斯拉 Autopilot 自动辅助驾驶功能的特斯拉车主平均行驶每 453 万英里（约合 729 万公里）才会出现一起交通事故。作为参考，美国国家公路交通安全管理局（NHTSA）最新数据显示，美国平均每 47.9 万英里（约合 77 万公里）就有一起车祸发生。了解到，由于疫情的影响，出行的人流量减少，今年第一季度和第二季度的事故量明显减少。

时间：2020-08-18 关键词：特斯拉安全
Google Cloud向G Suite添加了11种安全功能

[]Google Cloud周二宣布了11种新的G Suite安全功能。据新闻稿称，这些更新旨在帮助IT管理员更有效地管理和保护管理控制台中的设备。由于冠状病毒大流行，大多数组织仍在远程工作，因此在线协作工具对于公司的沟通和工作至关重要。例如，3月份Google Hangouts Meet的每日使用量比1月份高25倍，这表明有大量用户在依赖此技术。这种依赖性使这些应用程序的安全性变得更加重要，因为员工们现在正在远距离处理公司机密数据和个人信息。 Google Cloud升级可优化G Suite的关键产品（Gmail，Meet和Chat）的安全性。这是旨在确保远程工作者安全的主要更新。 Gmail中的BIMI标准电子邮件已成为成功开展家庭通信工作的关键要素，导致网络犯罪分子将收件箱用作攻击的新途径。谷歌在四月份表示，它在一周内屏蔽了1800万封以COVID-19为主题的网络钓鱼电子邮件。为了帮助确保电子邮件来自受信任的来源，Google Cloud宣布了在Gmail中试行其邮件识别品牌指标（BIMI）。BIMI试点计划将允许使用DMARC对电子邮件进行身份验证，以验证其公司徽标的所有权，并将其安全地发送给Google。一旦经过认证的电子邮件通过谷歌的其他反重复测试，Gmail将开始在Gmail用户界面中显示徽标。这种身份验证使用户放心，他们的电子邮件来源可靠。此外，发件人将能够吹捧其品牌信任度，并为客户提供更身临其境的体验。 “对于希望通过电子邮件建立可信赖的品牌形象的组织而言，BIMI是一个绝佳的机会，可以激励他们实施强大的身份验证，这反过来将为每个人带来一个更安全，更受信任的电子邮件生态系统，” AuthIndicators工作组主席兼Valimail标准和技术副总裁Seth Blank表示。 BIMI试点将在未来几周内发布，只有有限数量的发送者和DigiCert以及委托数据卡验证徽标的所有权。适用于会议主持人的更多控件 Google首先为消费者提供服务，gsuiteforeducation帐户提供服务，它可以使会议主持人更多的权限，让他们可以“敲门”参加他们的会议。此功能建立在现有控件的基础上，这些控件要求未包含在日历invite中的控件显式敲打以询问他们是否可以加入会议。与会者退出会议后，除非主持人重新邀请他们，否则他们将无法通过敲门再次加入同一会议。而且，如果该用户多次敲门请求被拒绝，该用户将被自动阻止发送更多加入请求。还为主持人提供了高级安全锁，以更好地保护会议。使用安全锁，主持人可以决定加入会议的方法，要求用户获得明确的批准才能加入，无论是通过日历邀请，电话等。使用安全锁，所有没有登录到Google帐户的用户都将被阻止，从而实现主持人首先加入的要求。特定的安全锁将允许主持人控制会议中与会人员的互动程度。例如，聊天锁和演示锁可以让主持人控制会议期间哪些与会者可以聊天和演示。这些新功能的目的是防止网络攻击者猜测会议代码，进入会议以及进行暴力攻击。根据该新闻稿，即使恶意用户仍然以某种方式进入了该事件，用户仍可以在会议中直接报告该事件。聊天安全功能 Google宣布将Gmail中内置的现有网络钓鱼防护扩展到Chat。如果链接是通过聊天发送给用户的，则会根据“安全浏览”中的实时数据进行检查，并标记为恶意。该新闻稿称，在接下来的几周内，用户将能够举报并阻止他们怀疑是网络犯罪分子的聊天室。通过聊天安全信号，Google可以自动检测和限制滥用内容。例如，如果用户收到垃圾邮件邀请，则该邮件将被归类为垃圾邮件并被自动阻止。简化管理员管理 Google宣布的最后一组公告旨在改善对管理员的控制，以帮助他们确保组织的安全。 Google重新设计了G Suite管理控制台中的设备页面，以对设备管理进行更直观的配置，从而快速显示每个服务管理的设备数量。此外，该公司正在启动与Apple Business Manager的集成，以使G Suite Enterprise，G Suite Enterprise Essentials，Cloud Identity Premium和G Suite Enterprise for Education Suite能够管理安全性分发和管理公司Apple iOS设备的功能。 G Suite还对其数据丢失防护功能进行了增强。为了帮助防止未经授权的数据访问，管理员使用自动信息权限管理（IRM）控件来阻止用户下载，打印或复制包含敏感内容的Google云端硬盘文档，表格和幻灯片，从而避免数据泄露。根据该版本，与公司和管理员设置的与Data Loss Prevention规则关联的控件可以使用Google Doc对文件进行完整扫描，并自动为用户启用工具。 Google还使管理员更容易控制应用程序的访问。管理员已经能够决定哪些第三方应用可以通过OAuth 2.0访问用户的G Suite数据，但是借助应用访问控制，他们可以阻止应用通过API访问G Suite服务，而无需为每个应用创建完整的允许列表，这需要访问G Suite数据。如版本中所述，现在可以在Beta到Beta到G Suite Enterprise，G Suite Enterprise Essentials和G Suite Enterprise for Education客户中使用这些新功能。[]

时间：2020-08-12 关键词：套件谷歌云安全
Microsoft引入了新的安全技术以防止数据损坏

微软在旧金山推出了一种新的平台安全技术，以防止网络罪犯采用数据破坏技术来针对系统安全策略并篡改Windows 10设备上的数据结构。该技术称为内核数据保护（KDP），它通过基于虚拟化的安全性（VBS）保护Windows内核和驱动程序的一部分，从而防止了数据损坏攻击。据该公司称，KDP是一组API（应用程序编程接口），可将某些内核内存标记为只读，从而防止攻击者修改受保护的内存。这家科技巨头在一份声明中说：“例如，攻击者使用签名但易受攻击的驱动程序来攻击策略数据结构并安装恶意的未签名驱动程序。KDP通过确保策略数据结构不被篡改来减轻此类攻击。”本星期。保护内核内存为只读的概念对于Windows内核，收件箱组件，安全产品甚至第三方驱动程序（例如防作弊和数字版权管理（DRM）软件）都有重要的应用程序。 KDP使用安全核心PC上默认支持的技术，这些技术实现了一组特定的设备要求，这些要求将安全性最佳隔离和最小信任度应用于支持Windows 操作系统的技术。微软表示：“它通过增加对敏感系统配置数据的保护层，增强了构成安全核心PC的功能所提供的安全性。”

时间：2020-08-05 关键词：微软 microsoft 安全
循序渐进，通过云计算加速IT现代化的路线图

云是手段，而非目的。完整的标准化和自动化战略可促进这样的成果，即通过云来实现IT现代化。云计算的采用一直在迅速增长，人们预计特定于云的支出将在整个2020年以一般IT支出的六倍以上的速度增长。虽然大型组织已成功实施了特定的SaaS解决方案或已经为新系统采用了云优先的战略，但仍有很多组织在努力将大量企业系统迁移到云端，以此将价值最大化。这是因为公司往往会掉进这样的陷阱，即把IT系统迁移到云端与最大化利用云端所需的转型策略搞混淆了。将遗留应用程序迁移到云端(“直接迁移”)是不会自动产生云基础设施和系统所能带来的好处。实际上，在某些情况下，这种方法可能导致IT架构比以前更加复杂，繁琐且昂贵。云的全部价值源自将这些选择视为实现数字化转型的整体战略的一部分，而不是一次性的战术决策。这种策略是可以实现的，其方法是通过开放的API模型将IT环境标准化和自动化，采用现代化的安全性，在自动化的敏捷操作模型中进行工作以及利用新功能来推动创新的业务解决方案。尽管云并不是所有这些功能的先决条件，但它确实起到了推波助澜的作用。以这种方式应用云功能的公司可以创建下一代IT，从而能够在快速发展的数字时代实现业务增长和创新。直接迁移是不够的 Amazon Web Services(AWS)，Microsoft Azure和Google Cloud之类的云服务之所以吸引了许多组织，是因为它们具有这些特点：按使用量付费，根据使用量进行伸缩的能力，高弹性，自助服务，与传统的IT产品相比，所有这些优点有望产生更低的IT成本，更快的上市时间和更好的服务质量。但是，传统企业在迁移到云时会遇到两个主要问题：现有业务应用程序是使用传统IT范式创建的。结果，这些应用程序通常是一体化的，并且在几个数据中心中具有固定/静态容量。仅仅将这些程序迁移到云端并不会神奇地赋予它们云所具备的所有动态功能。企业的典型技术人员都精通传统IT框架中的业务应用程序开发。他们中的大多数人都需要重新熟悉和掌握云环境。 IT安全就是一个很好的例子。大多数传统的IT环境都采用基于边界的“城堡和护城河”方法来实现安全性，而云环境更像是现代酒店，其中房卡可以访问某些楼层和房间。如果这些为城堡和护城河式的安全模型开发和部署的遗留应用程序不是针对新的安全模型重新配置的，那么迁移到云端则可能会对网络安全产生不利影响。企业能成功采用SaaS解决方案主要是因为它们以简单的方式解决了这些限制：它们替换了现有的业务应用程序而将新功能的开发工作交给了SaaS提供商。因此，SaaS解决方案在营销和销售、后台(HR)以及通信和协作等业务职能中变得非常流行。但是，大多数部门还没有成熟的SaaS解决方案可用于其核心业务职能，例如公用事业部门的计费以及金融服务的核心/在线银行业务。结果，尽管云投资总体上增加了，但企业对云的采用却十分缓慢。许多企业仍然无法支持其效率低下的传统数据中心环境和没有充分规划的云实施，云实施也许并不像他们想象得那样易于管理或负担得起。尽管有些高瞻远瞩的公司已经采用了云计算，但一般企业的公共云或私有云的采用率却不到20%。通过云实现IT流程自动化的好处从历史上看，企业业务应用程序设计十分巧妙，可在自定义配置的IT系统中运行，每个应用程序都需要对计算机存储和网络资源进行严格的自定义配置。结果，IT部门需要大量的管理员来使系统处于最新的版本状态并持续运行，需求很高时就手动添加新容量，或者针对性能低下等问题进行快速修复。随着IT解决方案越来越多，测试、集成和维护所需的开销也随之增加。在典型的企业中，只有一小部分IT人员专注于设计和开发企业所关注的差异化市场的解决方案。其他IT人员但求维持现状。这个比例是可以扭转的，只要将系统配置标准化并将IT的支持流程自动化就可以了。只要让企业更好地管理其基础设施，它们不仅可以节省成本，还可以缩短上市时间并提高服务水平。采用云技术能在很大程度上促成必要的标准化和自动化。借助云，公司可以做到如下事情：将IT开销成本降低30%至40% 有助于按需扩展IT流程，优化IT资产的使用提高IT在满足业务需求(例如更频繁地发布业务功能)方面的整体灵活性;云提供商正在提供比基本计算和存储更丰富和强大的解决方案，例如大数据和机器学习服务通过标准解决方案的“自我修复”特性来提高服务质量，例如，自动将更多的存储容量分配给数据库。我们发现有些企业将IT事件减少了70%，其方法是以云计算作为反思其IT运营的契机，当业务应用程序系统配置高度定制化而IT流程大多为手动时，要想从云采用中获得这些好处仅凭迁移是远远不够的。它需要一定程度的补救，从而使IT系统更加面向云端。网飞(Netflix)就是投入基于云的新一代基础设施的众所周知的一个例子。它耗时7年进行转型，采用云原生方法，重建了所有技术并重组了运营方式。它采用应用程序接口(API)来将一体化遗留应用程序简化为较小的组件，使其更加灵活，然后将其迁移到AWS。结果，服务的可用性提高了，接近公司规定的99.99%正常运行时间的目标。网飞发现，流媒体的IT成本已大幅下降，比使用自己的数据中心要便宜得多。最近，许多老牌公司已采取了积极行动，采用了公共云解决方案。第一资本(Capital One)正在AWS上运行银行的移动应用程序;GE石油天然气集团正在将大部分计算和存储能力迁移到公共云。马士基正在迁移其遗留系统，从而降低成本和运营风险，同时启用高级分析以简化运营。先进组织还积极想办法利用云端的新服务来打造创新的业务解决方案。前进保险(Progressive Insurance)在公共云中部署了名为Flo的聊天机器人;纳斯卡(NASCAR)正在利用云端的机器学习解决方案来分析实时和历史赛车数据，以提高性能并模拟各种场景。即使是那些“生于数字化时代”的公司，虽然它们最初出于战略原因而选择创建自己的IT基础设施和系统，但如今它们也选择迁移到云端以利用其可伸缩性和更高阶的功能。Spotify就是一个很好的例子。如何进行云转型全面采用云技术的做法也许大有裨益，但动辄历时数年的转型过程还需要大量的前期投资。因此，从长远来看，全方位转型的方法需要积极的承诺以及首席执行官和董事会的明确授权。具体而言，公司应解决四个关键主题，从而在大规模采用云方面取得成果： 1. 为采购做决策对大多数公司来说，创建自己的云技术栈是很难的，维护就更难了。与公共云提供商合作创建和管理云栈是更典型的方法。在大多数情况下，比较务实的方法是从单个云服务提供商开始，同时采用必要的指导原则来避免被某个提供商绑定。在达到一定规模和成熟度之后(根据我们的经验，一个可取的方法是针对主要的云服务提供商规划3000万美元的年度运营成本)，企业就可以探索第二或第三家服务提供商以进行扩展。 2. 创建公共云运营模型公共云与传统的运营模式不同，它要求IT部门以代码形式管理基础设施。这要企业具备了解公共云的计算，存储和安全协议的软件工程师(而不是网络工程师或系统管理员)。对大多数企业而言，这意味着它们对基础设施的组织以及其所使用的运营模式进行大幅提升。这需要分配特定的团队来配置和管理生产环境。 3. 遗留应用程序的修复现有应用程序将需要在基础设施和应用程序层进行重构，以符合公共云的安全性和容量要求。安全性也必须纳入这些应用程序中，并且它们必须以高度自动化的方式工作。这需要应用程序开发团队的大量关注，而要得到这种关注是很难的。公司是可以解决这个困难的，其方法是为遗留应用程序的现代化创建清晰的业务案例，使迁移计划与主要应用程序的升级或替换相一致并采用基础的解决方案(例如API框架)来简化修复工作，从而使修复工作变得更容易。 4. 培养合适的技能专业人士必须能够安全，快速地在云端(特别是在供应商的系统上)开发应用程序。为此，公司将需要聘请并培训云专家，然后将他们引进开发团队，对现有员工进行再培训或技能提升并根据需要创建以云开发为主的数字创新实验室。这种激进的方法确实需要领导层的承诺，即资金承诺(有一家金融服务企业正在往云转型豪掷3亿美元)和时间(这些计划可能需要两到三年的时间才能实现)。这是因为在执行云转型时需要同时进行多项操作。例如，在许多情况下，一个核心的云工程师团队要为云迁移做准备，其方法是搭建云环境并对其进行强化，考察要迁移的应用程序并创建用于迁移的工具。同时，主要的IT团队正在接受以敏捷方式工作方面的培训。这种方法面临重大的管理难题，但强大的领导力是实现转型的最快途径。但是，许多企业尚未准备好全面投入云计算，这可能是因为缺乏组织支持，或者是不愿意长期投资必要的资源，又或者在某些情况下是由于监管限制。在短期到中期的范围内，这些组织可以获得显著的收益，其方法是在传统IT中采用云的敏捷和自动化运营模型(尽管规模较小)。这种方法可创建重要的组织功能并在企业就绪时为云转型做好准备。各大公司迫不及待地采用敏捷方法进行应用程序开发并积极追求自动化/开发运维(例如持续集成或持续交付)，但是同样的方法可能会对IT运营和基础设施产生更大的影响。IT能够以提高生产率，质量和速度的方式对各种工作进行优先级排序，其方法是将基础设施功能组织为一组组小型的跨职能且自我指导的小分队，这些小分队的产品负责人负责对工作进行优先级排序，而敏捷专家(scrum master)则负责清除各种障碍。此外，随着时间的推移，持续的自动化程序可以进一步将类似于云的功能融入传统的IT中，例如用于开发人员与基础架构之间进行交互的API。为了提高服务水平并降低成本，一家主要的人寿保险公司在其250人组成的IT运营团队中采用了敏捷方法。该公司首先评估其当前基础设施的状态(其核心流程、组织模型、指标和关键绩效评估以及历史需求)并就使用更为敏捷的方法可能实现的成果提出假设。它创建了适用于敏捷方法的领导力计划，采用了必要的工具并为利益相关者开展了为基础设施实现敏捷的新手训练营。在六周的时间内，IT基础设施小组开始为正在开展的项目进行规划，为高管和基础设施团队开办了培训课程并为正在进行的运营设定了目标。该小组充分利用Scrum方法来开展有计划的工作(例如各种项目)并使用看板(Kanban)来管理强调连续交付的产品创建的方法，以处理意外事件和服务请求等非计划性工作。到第二个月末，该公司已经实现了预期的运营模型，并且渐渐能够设计服务管理流程并启动自动化计划。该公司在半年内完成了最初的转型，将IT成本削减了35%以上并使生产力提高了一倍。该公司计划将多达80%的运营工作自动化，从而进一步降低成本并显著提高服务水平。如今，它处于十分有利的位置，可以在将来更加积极地迁移到云中。云迁移的规则企业可以采取许多行动，这些行动对及早采用新一代基础设施的企业十分有价值。评估当前的IT产品组合。在开始任何云开发或迁移之前，请冷静地研究一下现有的IT产品组合，以确定什么适用于公共云平台或SaaS平台。选择转型方法。让所有主要利益相关者共同确定企业将会成为积极的转型者还是投机的转型者。阐明IT和业务目标。为短期和长期目标制定一系列与你的方法相符的明确且以结果为导向的目标。安全性方面的支持。确保高管(尤其是财务主管的承诺和投资)愿意做出承诺和投资，他们必须支持这样的转移，即从资本转移到运营和维护方面的投资/账目。应对变革管理。高度自动化的敏捷运营模型要求IT行为和思维方式发生重大变化。投资变更管理以及跨基础架构，安全性和应用程序环境的跨职能技能的培养。采用新的关键绩效指标。以标准化和自动化(而不是可用性)来衡量和奖励技术团队。只要将云计算视为IT自动化的起点，公司就可以拥有全部功能：可伸缩性、敏捷性、灵活性、效率和成本节省。但这只有通过创建自动化和云功能才能实现。

时间：2020-08-04 关键词：云计算 it 安全
金融业正引领着多云技术的发展

采用公共云如今已成为业界最重要的战略重点。对于金融机构(FI)而言，向云平台迁移是其数字化转型工作的一部分，至关重要。根据F5公司的一份新报告，该报告认为，尽管存在安全隐患，金融机构仍在向前发展。该公司的《2020年应用程序服务状态(SOAS)报告》的金融服务版本报告声称，在接受调查的企业中，60%的人认为公共云平台在未来五年中具有战略上的重要意义。因此，从去年的49%增长到现在，公共云的采用已成为该行业最重要的战略重点。尽管有些人担心可能存在的安全问题，但这仍然是事实。40%的的人有信心抵御对其公共云基础设施的网络安全攻击。 F5公司首席技术官办公室首席技术官Lori MacVittie说：“关于金融服务应用程序迁移到云计算中最慢的想法已被明确证明。与其相反，随着组织寻求加快其数字化转型的步伐，并更快地部署可提供高质量客户体验的应用程序，我们看到整个行业都在采用多云技术。最终，面对来自数字挑战者的日益激烈的竞争的金融服务组织正在转向云计算，以满足现在希望获得无缝金融科技服务的客户的需求。” 报告进一步指出，随着他们采取各种创新举措，金融机加强安全措施，许多机构将注意力转向开放银行。几乎一半的人已经实施或计划尽快而不是稍后实施。在选择开放银行的企业中，超过三分之二的企业正在部署API网关，以帮助他们安全地与合作伙伴共享数据。这份报告还描述了企业在多云环境中管理其应用程序时面临的比较大的挑战，其中大多数引用了在所有应用程序中应用一致的安全策略，并提到了应用程序迁移。可见性和性能优化。

时间：2020-07-31 关键词：云计算公共云安全
保护大数据安全成为制造业转型升级“必答题”

中央全面深化改革委员会第十四次会议提出，“以智能制造为主攻方向，加快工业互联网创新发展，加快制造业生产方式和企业形态的根本性变革。”接受中国经济时报记者采访的专家表示，大数据是智能制造与工业互联网的基础，基于业务驱动的工业大数据成为制造业实现从要素驱动向创新驱动转型的关键要素和重要手段。推动工业大数据发展需要加快数据获取、加强数据安全保护、深度挖掘数据价值。工业大数据是实现智能制造的驱动力国务院发展研究中心产业经济研究部研究室主任、研究员魏际刚对本报记者表示，大数据是工业企业发展的核心要素之一，企业通过工业大数据来提高资源配置效率，促进供需匹配与创新，减少浪费、降低成本、增加透明度、提高产品质量，提供更多个性化产品与服务，提高企业生产率和竞争力。大数据是智能制造与工业互联网的基础，“无数据不智能”“无数据难互联”。数据重塑制造方式，驱动着传统制造业向智能制造和工业互联网迭代升级。中国电子信息产业发展研究院规划所研究总监黄玉洁对本报记者表示，工业大数据是实现智能制造的重要驱动力。从企业角度看，工业大数据能为优化企业生产与管理流程以及创新产品、服务、商业模式提供有效支撑，大幅提升企业整体生产效率和产品品质，提高精准制造、高端制造和敏捷制造能力。从行业角度看，工业大数据能促进整个行业生态圈快速聚合，使产业链上下游企业进行更有效的协同。 “智能制造和工业互联网的核心都是利用数据和模型，优化制造资源的配置效率，基于业务驱动的工业大数据成为制造业实现从要素驱动向创新驱动转型的关键要素和重要手段。没有数据，智能制造、工业互联网就是无源之水、无本之木。”黄玉洁说。做好工业大数据安全保障和开发利用魏际刚认为，随着大数据价值凸显，大数据的可靠性、安全性问题变得重要。不可靠、不安全的大数据，其后果波及的影响范围之大之广，值得重视。大数据价值在于使用与重复使用，推动工业大数据发展，要加快数据获取、加强数据安全保护、深度挖掘数据价值。 “为推进工业大数据健康发展，要为产业发展营造良好的环境，做好数据安全保障和数据开发利用工作，加快工业大数据平台建设，着重破解企业‘数据孤岛’问题。”黄玉洁说。虽然我国重视工业大数据保护，近年来不断出台政策，但工业领域大数据保护状况仍不乐观。数据显示，我国34%的联网工业设备存在高危漏洞，这些设备的厂商、型号、参数等信息长期遭受恶意嗅探，仅2019年上半年嗅探事件就高达5151万起。黄玉洁建议，为确保工业大数据安全，既要鼓励和引导企业及科研院所加大访问控制、加密传输、数据脱敏等安全技术攻关，强化技术保障，还要加快构建工业数据安全管理体系。在确保数据安全的前提下，要挖掘工业大数据价值，引导工业企业加强与数据服务企业的联合攻关和协同创新，促进业务需求与数据算法的有机结合，将业务需求转化为大数据支撑的数学分析。 “2020年以来，5G全面开启，为工业大数据的传输交互提供了良好条件，但与互联网大数据相比，工业大数据全面采集仍有较长的路要走，工业大数据的汇聚、共享、深度应用和数据治理仍存在障碍，亟待加强体制机制创新和政策保障。”黄玉洁说。魏际刚建议，为确保大数据安全，政府需要从理念、监管、技术、行业、企业等多维入手，综合施策。从理念层面，要树立大安全观，把大数据安全纳入国家总体安全战略。从中央到地方要构建起强有力的监管体系，完善大数据法律法规与政策体系。从技术层面，设计建构更加完善的大数据安全保护体系。还要加强行业自律，明确数据应用规范与数据安全边界等。“大数据开发利用会成为未来竞争的战略焦点之一。中国要制定好大数据战略，健全完善与大数据相关的法律与政策体系。”

时间：2020-07-27 关键词：技术大数据安全
如何协商云计算服务等级协议

企业确保云计算提供商履行其与服务和性能相关的企业级承诺非常重要，这就是云计算服务等级协议发挥作用的地方。云采用热潮如今在全球并没有丝毫放缓的迹象：根据调研机构Gartner公司的预测，全球公共云服务市场预计到2020年将增长17%，其市场规模将达到2660亿美元，而SaaS仍将是规模比较大的细分市场。随着企业与SaaS提供商、IaaS/PaaS提供商以及云计算托管服务供应商签署更多的协议，必须确保这些提供商履行其在服务和性能方面的企业级承诺，这一点至关重要。这就是云计算服务等级协议发挥重要作用的地方。作为云计算合同的一部分，服务等级协议定义了服务等级、服务的衡量方式，以及未实现服务将受到的处罚。Syntax公司是一家负责关键企业应用程序的行业领先的云计算托管提供商。该公司解决方案架构副总裁Chris Pomeroy说：“企业必须让云计算提供商对其提供的服务负责。” 他解释说，云计算服务等级协议需要解决服务器、基础设施、应用程序这三个核心服务等级的可用性或正常运行时间。当今许多行业领先的SaaS厂商都提供99.5%到99.9%的正常运行时间服务。接下来是恢复点目标，或者在基础设施或服务器灾难性故障中可能丢失多少数据，最后是恢复时间目标，或者恢复这些系统需要多长时间才能恢复在线。律师事务所Grable Martin Fulton的联合创始人Suzy Fulton说，随着企业越来越依赖于将基础设施的关键部分加载到SaaS应用程序中，服务等级协议变得越来越重要。她解释说：“许多公司对SaaS提供商的产品感到兴奋，而服务等级协议通常是次要的，但他们需要考虑实际停机时间的影响，如果实际得到的回报还不够，那么需要担心前端的问题。” 推动服务等级协议谈判企业阅读细则并理解其服务等级协议显然很重要。但是这些协议的可谈判性如何?这取决于云计算供应商的规模以及客户的规模和影响力。不要指望提供硬件级别的可用性和存储的超大规模云计算厂商(如谷歌、AWS和Azure)会有回旋余地。除非组织拥有美国国防部这样的规模和实力，否则他们的服务等级协议通常是接受或放弃。但是，托管服务提供商(MSP)或SaaS供应商则是另一回事。HGS Digital公司首席技术官Len Buznya表示：“托管服务商可以与企业协商满足其确切要求的服务等级协议，弥合企业的业务需求与大型云计算提供商服务等级协议之间的差距。例如，我们的一家大型企业客户对响应时间有非常特殊的需求，因此他们与我们进行了谈判，以向他们提供特定的专业知识。我们表示，如果需要在15分钟或更短的时间内通过电话了解企业云计算架构的云计算架构师，那么我们可以使该公司这个要求成为服务等级协议的一部分。” IT服务管理提供商MTM技术公司首席信息官Gregory Turner解释说，如果客户具有购买SaaS解决方案或与托管服务商合作的经验，那么他们通常会在招标书中向一些云计算提供商提出自己预定义的服务等级协议。他说：“另一方面，如果这种业务对公司来说是新业务的话，他们可能会使用Gartner或Forrester公司提供的资料来审查合同并提供反馈。” Fulton补充说，根据企业的不同规模，法律和IT部门也可能会加入到服务等级协议谈判中来。她解释说：“有时候从法律角度考虑，在企业层面上获得让步会更容易。另一方面，有时需要业务方面来简单解释业务需求的现实。” 云计算服务等级协议中的4个关键谈判领域 (1)正常运行时间和支持正常运行时间或服务在线、可用和可操作的时间是任何一个服务等级协议的核心指标。例如，如果服务等级协议为99.99%，那么每年的停机时间为52分钟36秒。其可用性越高，成本越高。Pomeroy说，“企业需要对正常运行时间进行成本效益分析和风险评估。” 许多企业试图争取尽可能接近99.99%(或“5个9”)，但Turner强调，企业不应因为正常运行时间的可用性而停滞不前，因为尽管全球一流的内部部署运营都以“5个9”为目标，但大多数企业都幸运地为其内部管理的应用程序和系统实现了95%～99.0%的可用性。他说：“SaaS应用程序很可能比内部管理的内部部署版本具有更好的可用性，对于大多数组织来说，维持几乎恒定的正常运行时间是有成本的。在许多情况下，停机时间发生在没有开展商业活动的情况下。因此，如果企业不是一家全天候进行交易的跨国公司，这可能并不重要。企业应该关注真正影响其业务的因素。” (2)恢复和处罚甚至一两秒钟的短暂中断都可能导致数据丢失和销售业务中断，因此在服务不可用的情况下，协商供应商的处罚非常重要。Fulton说，“这也是可能开展最多谈判的领域。当发生意外并平息下来之后，企业可能需要协商退款或提供服务以应对中断。” 但是，一旦确定了正常运行时间和可用性，企业应确保服务等级协议中不包括对处罚权的排除。 Turner说，尽管如此，企业希望避免围绕处罚的谈判不利或过度交易。他指出，有些事情可能超出了服务提供商的控制范围，只要立即采取纠正措施，并且每个月都不会出现问题，企业可能会考虑简单地依靠务实的做法和常识性的谈判规则。他说：“现在存在与恢复和处罚相关的行业标准，但是很难定义硬性和快速性的绝对值。” (3)终止协议的权利 Fulton表示，因多次违反服务等级协议而终止协议的权利是一项标准条款，也称为退出条款，企业可以而且应该进行谈判。她表示，“典型的终止条款可能包括30天的宽限期，但是需要确定其内容是否公平，也就是说，哪种事件将允许企业触发终止权利。”终止权利可能基于违反服务等级协议的次数(例如三个月内发生三次)，或基于极端停机时间(例如可用性低于90%)。除了与服务提供水平相关的频繁停机、不履行或效率低下之外，终止权的其他考虑因素包括供应商无法部署足够的熟练资源;违反信任或保密协议;范围变更或费用调整;或技术过时。 Turner 说，“如果服务提供商出现故障，而且无法纠正问题，连续2～3个月无法正常运行，这违反了合同，企业应该考虑更换合作伙伴。” (4)数据安全随着数据泄露已成为IT组织的首要问题，安全性已成为需要解决的更重要服务等级协议主题。Buznya说，“这是一个较新的问题，但安全保障的定义变得越来越重要，例如谁可以访问客户数据、数据位于何处以及在数据泄露的情况下会发生什么。” Fulton说，“但是，很难定义什么是数据泄露，以及服务中断是否是由于数据泄露造成的。从供应商的角度来看这很难判断。例如，如果有人试图攻击企业的系统，可能是通过DNS攻击，他们能够导致服务中断，这是不是数据泄露?这是服务等级协议中包含和定义的内容。” 云安全联盟总顾问Francoise Gilbert表示，服务等级协议应该包含解决安全问题的适当条款，包括确定责任分配、赔偿损失和赔偿金。他说：“没有这些内容，就可能会引起争议。如果企业是云计算服务的购买者，需要确保对用于保护存储在云中的数据的安全措施有正确的了解。” SLA谈判的演变：精明的客户，更多的协作毫无疑问，通常有一定的空间可以与SaaS或托管服务提供商协商服务等级协议，并且服务等级协议是技术供应商合同的重要组成部分，不应掉以轻心。 Buznya表示，这些年来，客户对服务等级协议有了更好的了解，他们通常会向供应商了解有关他们真正想要什么的想法。他解释说：“在过去的几年中，我们一直没有与客户就正常运行时间和停机时间进行艰苦的谈判，只是提供了一些我们认为合理的标准定义。客户通常很精明，总是会在协议中添加他们想要的特定东西。” Fulton表示，企业需要记住，让云计算供应商做出所有让步并不总是一件好事。她警告说：“企业可能会陷入这样一种境地，虽然为此节省了一些成本，但在中断事件发生后不得不为之担忧。” 但是Buznya表示，这是一种协作的心态，可以在服务等级协议谈判时带来优秀结果。他说：“在我看来，企业需要找到一个与其经营理念一致并愿意与其合作的供应商，以使其要求与服务水平协议相匹配。” 【编辑推荐】云计算安全的现代方法阻止云计算攻击的安全指南云计算技术将如何发挥作用云计算测试—;—;软件测试的未来将敏感数据移动到云平台更安全【责任编辑：华轩 TEL：（010）68476606】点赞 0

时间：2020-07-27 关键词：云计算 it 安全
加密货币安不安全？

2月23日消息，美国立法者很希望监管数字加密货币，但他们很快发现其实说的比做的容易。众议院代表David Schweikert（R-AZ）在接受福克斯采访时表示，由于底层技术非常难以管理，因此监管机构必须将重点放在数字加密货币市场的应用级监管上。 Schweikert表示：实际上很难监管潜在的数字加密货币。假设交换机制在美国政府的管辖范围内，实际上可以在交换机制内进行一些监管。因此，可以在交易层面制定标准，但分布式账本数字加密货币的基本概念是非常难以监管的。“ 来自国会议员Schweikert的评论似乎正在增强两党在联邦层面上监管数字加密货币的愿望。虽然立法尚未提出，但即使是反对监管的众议院自由党团似乎也认为政府至少应该考虑对新兴行业制定新的联邦法规。目前，数加密货币交易所主要由州一级进行监管，在监管中他们将面临各管辖区之间混杂的不同规则。美国证券交易委员会（SEC）和商品期货交易委员会（CFTC）的联邦监管机构在最近的国会听证会上表示，未来在联邦一级对交易所进行管理可能是明智之举。不过，他们提醒到，这些规定应该严格制定，以解决现在货市场中的问题，而又不会扼杀创新。与此同时，Schweikert的家乡亚利桑那州正在考虑立法，将比特币和其他数字加密货币定为合法化的支付机制。SB 1091由参议院通过并于周一提交给众议院，将允许亚利桑那州居民使用数字加密货币缴纳国家所得税。该州将以数字加密货币的形式收到付款，然后在24小时内将其转换为法定货币。（深猴区块链译）

时间：2020-07-25 关键词：区块链数字货币安全
区块链技术能让我们的数据更安全

最近比特币火遍全球，它不仅带来了数字货币发展的浪潮，也让更多的人们想了解：区块链技术到底值得我们信任吗？针对区块链技术为什么能让我们信任，国内外已经展开了激烈的讨论！首先，据网络安全风险（CyberSecurityVentures）公司统计：到2021年，网络犯罪造成的损失将达到每年6万亿美元；卫生和公共服务部也发布报告表示：在2017年下半年，仅医疗保健系统内就有250多万人的个人健康信息被泄露；美国医学协会还报告了一个令人震惊的消息：在美国，有五分之四的医生曾经遭受过网络攻击。在接下来的三年里，区块链将致力于改变数据存储、跟踪和验证方式，以恢复数字信任。接下来让我们探讨一下区块链技术在2018年改变我们日常生活的方式：区块链即服务，区块链提供了一种开创性的全新数字化方式–包括供应链、证券、医疗保健、购物、投票。区块链是一个在线记录系统，它可以通过使用预先建立的加密技术和去中心化的验证计算机网络来使交易记录不可改变，这种分布式网络提供了令人难以置信的保护能力，因为在有效性方面没有达成共识的话， “区块”是不能被加入链中的。 2018年，区块链将通过大规模整合利用区块链即服务（BaaS）的解决方案进行改革。通过BaaS，个人和企业就可以在他们的系统中加入可追溯的可靠数据。例如：全球食品链：据AppDeveloper杂志透露：IBM正在与食品公司和零售商合作，探讨如何使用区块链技术提升食品供应链的安全性，通过提供食品来源的可靠信息来提高食品的可追溯性，区块链适合解决食品供应来源问题，因为它为所有交易建立了一个值得信赖的环境。金融服务：据彭博社报道，微软Azure的以太坊区块链即服务，旨在帮助金融服务客户创建区块链环境，通过由参与方验证的区块链“智能合约”来提供更高的隐私性。智能合约是以数字形式详细编程的契约，承诺，协议和供应条款组合。开发和分布式平台： SymbiontAssembly，Stellar和以太坊只是开放的BaaS模型的一部分，最近以太坊获得的关注最多。虽然以太坊并不局限于金融领域，但正如“Fortune”杂志报道的那样，摩根大通等银行界的巨头已经开始应用这项技术了。区块链带来更好的数字安全性，信任是2018年的口号。据路透社报道，公共基础设施（包括金融和医疗保健）的网络攻击呈现大幅度增加。数据泄露可能会导致公司破产，而且许多公司也不具备管理不断变化的客户安全需求的能力。区块链即服务使企业无需在内部管理复杂的数字安全跟踪，并为建立和记录可信的相互操作提供了一个新的范例，这将从根本上改变数据的保护方式，使相互操作更加安全，透明和高效。这个世界需要一种值得信赖的方式来保护和管理我们的数据，区块链就是符合这一要求的技术。银链资产是在前者的基础上进行加工和创新改造，更能提高人类生存的安全系数和幸福指数! 这是对于区块链技术未来的数字信任问题最为通俗的解释，也可以让人们能更加容易了解它的发展；而银链资产是专业做区块链技术的企业，相信在区块链技术的基础上，银链资产会做的越来越好，让我们拭目以待吧！

时间：2020-07-24 关键词：区块链安全