一、工業(yè)互聯(lián)網(wǎng)國家政策體系不斷發(fā)展
2018年6月,工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃(2018-2020年)》
目標2020年底,初步建成工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和產(chǎn)業(yè)體系,在重點任務(wù)八大行動中,明確提出安全保障水平增強行動。
2019年7月,十部門發(fā)布《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見通知》
第8條提到: 強化平臺和工業(yè)應(yīng)用程序(APP)安全。要求工業(yè)互聯(lián)網(wǎng)平臺的建設(shè)、運營單位按照相關(guān)標準開展平臺建設(shè),在平臺上線前進行安全評估,建立健全工業(yè)APP應(yīng)用前安全檢測機制。
第14條提到:構(gòu)建工業(yè)互聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、平臺、工業(yè)APP等的安全評估體系,依托產(chǎn)業(yè)聯(lián)盟、行業(yè)協(xié)會等第三方機構(gòu)為工業(yè)互聯(lián)網(wǎng)企業(yè)持續(xù)開展安全能力評測評估服務(wù)。
第15條提到:鼓勵和支持專業(yè)機構(gòu)、網(wǎng)絡(luò)安全企業(yè)等提供安全診斷評估、安全咨詢、數(shù)據(jù)保護、代碼檢查、系統(tǒng)加固、云端防護等服務(wù)。
第16條提到:加強攻擊防護、漏洞挖掘、態(tài)勢感知等安全產(chǎn)品研發(fā)。支持通過眾測眾研等創(chuàng)新方式,聚集社會力量,提升漏洞隱患發(fā)現(xiàn)技術(shù)能力。
2020年3月工信部發(fā)布《推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》
通知中明確提出要完善安全技術(shù)監(jiān)測體系和對100個以上的工業(yè)APP開展檢測分析,增強APP安全性。健全安全檢查檢測機制,定期對重點平臺、工業(yè)企業(yè)、工業(yè)APP開展檢查檢測, 指導(dǎo)和服務(wù)企業(yè)排查安全隱患,及時做好安全整改,提高企業(yè)安全防護水平。
二、工業(yè)互聯(lián)網(wǎng)安全隱患不斷顯現(xiàn)
由于工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,越來越多新的安全風險和攻擊面被暴露在互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)中。隨著業(yè)務(wù)上云和數(shù)據(jù)互通的場景出現(xiàn),在享受互聯(lián)互通帶來節(jié)本提效的好處同時,也需要有能力識別出潛在的安全隱患。國家多部門在一系列有關(guān)工業(yè)互聯(lián)網(wǎng)的政府公告中也都提出針對工業(yè)互聯(lián)安全建設(shè)的指導(dǎo)意見。
在傳統(tǒng)工控安全領(lǐng)域之外,目前存在的可能導(dǎo)致工業(yè)生產(chǎn)安全的隱患有以下三類:
1、工業(yè)邊緣設(shè)備的安全: 如工業(yè)路由器、網(wǎng)關(guān)、DTU的安全,此類設(shè)備在部署位置上屬于核心邊緣節(jié)點,在功能上既要滿足邊緣計算,也要滿足數(shù)據(jù)收發(fā),是工業(yè)生產(chǎn)安全和運營安全環(huán)節(jié)中的重要組成部分。但是通常情況下,工業(yè)邊緣設(shè)備并沒有一套完善的定期安全檢測機制和安全監(jiān)測機制,黑客可以通過攻擊工業(yè)邊緣設(shè)備來影響生產(chǎn)流程或者通過入侵邊緣設(shè)備來發(fā)起更大規(guī)模的工業(yè)內(nèi)網(wǎng)攻擊。
2、工業(yè)互聯(lián)網(wǎng)云平臺的安全: 隨著企業(yè)紛紛上云上平臺,不管是第三方的公有云平臺還是企業(yè)自己建立的私有云平臺,都面臨來自Web安全領(lǐng)域的黑客攻擊風險。工業(yè)互聯(lián)網(wǎng)云平臺作為PaaS服務(wù)在為工業(yè)設(shè)備和生產(chǎn)業(yè)務(wù)提供管理和運營的同時,其自身也是一個暴露在互聯(lián)網(wǎng)上的Web應(yīng)用,隨時可能面臨諸如暴力破解、SQL注入、DDoS等網(wǎng)絡(luò)攻擊,而工業(yè)企業(yè)普遍對云安全和Web安全了解甚少,無法評估自身業(yè)務(wù)的安全健壯性。
3、工業(yè)APP的安全: 工業(yè)APP在業(yè)務(wù)發(fā)展上為工業(yè)互聯(lián)網(wǎng)場景帶來極大的管理便利性,基本實現(xiàn)了對工業(yè)設(shè)備的管理、對云平臺的管理、對業(yè)務(wù)流程的管理以及常見的數(shù)據(jù)分析、故障告警、售后維護等日常管理功能。工業(yè)APP在滿足管理功能的同時,自身也涉及到多類企業(yè)生產(chǎn)隱私數(shù)據(jù)、云端接口數(shù)據(jù)、業(yè)務(wù)管理權(quán)限等高危紅線,一旦發(fā)生安全事故,將有可能出現(xiàn)敏感數(shù)據(jù)泄露、生產(chǎn)安全流程被篡改等惡意后果。
基于以上三個安全維度和國家相關(guān)政策要求,青蓮云推出了IoT安全檢測平臺:TinyScan。TinyScan圍繞工業(yè)邊緣設(shè)備安全、工業(yè)互聯(lián)網(wǎng)云平臺安全、工業(yè)APP安全三方面提供端到端的遠程自動化安全檢測服務(wù),并且提供標準的企業(yè)級API,可以與工業(yè)企業(yè)內(nèi)部信息系統(tǒng)集成,通過持續(xù)、定期、有效的安全檢測來構(gòu)建工業(yè)互聯(lián)網(wǎng)企業(yè)的生產(chǎn)研發(fā)安全監(jiān)測體系,規(guī)范企業(yè)安全測試流程,幫助企業(yè)建立安全測試和安全開發(fā)的技術(shù)規(guī)范。
三、青蓮云IoT安全檢測平臺產(chǎn)品介紹
平臺地址:https://tinyscan.qinglianyun.com
平臺簡介:以SaaS服務(wù)的形式,提供覆蓋設(shè)備固件、云平臺/API、客戶端APP的遠程自動化安全檢測服務(wù),并出具可下載、可復(fù)測的企業(yè)專屬安全檢測報告,標準的企業(yè)API接口,幫助企業(yè)實現(xiàn)定期自動化安全監(jiān)測,也可以通過API將TinyScan的自動化漏洞挖掘能力集成在企業(yè)內(nèi)部的安全管理平臺或運維平臺中,幫助企業(yè)建立屬于自己的安全測試流程。
平臺內(nèi)含數(shù)百種檢測項目,包括但不限于:
• 設(shè)備固件安全檢測: 軟件漏洞檢測、組件漏洞檢測、CVE漏洞識別、敏感信息檢測、硬編碼檢測、加密安全檢測、認證安全檢測、系統(tǒng)服務(wù)檢測、遠程溢出漏洞檢測、用戶密碼檢測等等。
• 云平臺/API安全檢測: SQL注入檢測、XSS檢測、遠程命令執(zhí)行檢測、遠程文件包含檢測、目錄遍歷檢測、CSRF檢測、身份識別檢測、水平權(quán)限檢測、敏感文件泄露檢測等等
• 客戶端APP檢測: 組件安全檢測、任意調(diào)試檢測、任意備份檢測、加密檢測、文件讀寫檢測、系統(tǒng)漏洞檢測、認證安全檢測、端口安全檢測、惡意代碼執(zhí)行檢測等等。
TinyScan安全檢測結(jié)果示例(支持PDF報告下載)
四、收費模式
青蓮云IoT安全檢測平臺提供免費版和商業(yè)版兩種版本,不同版本所提供的檢測能力和服務(wù)能力有所不同
購買產(chǎn)品/商務(wù)咨詢請聯(lián)系
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!