智慧城市建设网络安全十大要点
智慧城市建设以物联网、云计算等大数据技术体系为支撑,数据信息巨大,并涉及到政务、商业、生活等方方面面,一旦出现信息泄露、数据丢失等安全问题,后果将不堪设想。因此,智慧城市的信息安全问题不容忽视。我国近年来智慧城市建设实践中,信息安全作为重要一环,在进行整体规划和顶层设计之时,并未被忽视,各省市的智慧城市规划设计大多都建立了完善的体系系统,在信息安全方面也都有比较完善的规划设计。风华正茂科技为您详细介绍。
智慧城市建设中 网络安全攻防战如何打赢?
配合当地文化与市民需求,以及智慧科技在一些关键领域可能遭到什么样的黑客攻击是值得被注意的议题。同时,一旦缺乏良好的安全标准和规范,原本预期的效益将大打折扣,进而将衍生出意想不到的问题。
为了协助主管单位打造健全的智慧城市,制作了一份安全十大要点,以供于导入智慧科技时做为参考。
1、执行质量检验与渗透测试
智慧科技必须经过严格的检验及测试,才能进行任何全面性的建置。经由这道步骤,建置单位可在智能装置、基础架构或服务正式上线之前,找出安全和维护上的问题,例如:资料外泄和异常状况。
此外,市府单位也应聘请独立的外部厂商定期进行渗透测试。不过,由于渗透测试的重点仅在于漏洞扫瞄,因此,一些标准的产品测试程序,如:品保(QA)与质量测试(QT)也应列为标准程序。品保的重点在于发掘智慧科技中的瑕疵,而质量测试的重点则在于测试功能的稳定度。
2、将安全列为所有厂商及服务供货商“服务等级协议”(SLA)的优先目标
智慧城市计划的负责人员必须制定一套服务等级协议(SLA),列出智慧科技厂商及服务供货商必须达到的安全标准。并且明订未达标准时的罚则。此外,也可以纳入民众数据隐私确保条款、7天24小时紧急应变团队,或是前述的定期渗透测试和安全稽核。
3、在市府内成立计算机紧急应变小组(CERT)或网络安全事件应变小组(CSIRT)
万一智慧科技发生任何的安全事件,市府内部应该要有专责的计算机紧急应变小组(CERT)或安全事件应变小组(CSIRT)随时待命准备应变。当遭遇黑客攻击时,他们必须熟悉如何应对,或者当系统发生当机时该如何复原。除此之外,这类小组还可统筹漏洞通报与修补作业、担任厂商联络窗口、倡导最佳安全实务原则等等。
4、确保软件更新的完整性与安全性
一旦厂商针对智能装置释出软件或固件更新,主管单位就应立即展开部署工作。不论市府或厂商都应确保更新派送的安全性(例如透过加密和数字签名),以确保软件的完整性。数字签名可用来检查更新是否遭到篡改,等确认无误之后再进行安装。
5、妥善规划智慧基础架构的生命周期
相对于一般的消费性产品,智能基础架构的服务生命周期显然较长。因此很重要的一点,市府单位必须制定一套详细的程序,来处理面临淘汰或厂商已终止支持的基础架构。因为一旦系统被终止支持,后续将面临严重漏洞无法修补的窘境,引来黑客觊觎。
此外,智慧城市负责单位也应将基础架构的寿命列入考虑。经年累月的使用、缺乏维护、或过度使用,都有可能造成基础架构耗损。因此,预先针对基础架构的生命周期进行妥善规划,未来市府单位在面临系统必须维修或汰换时就不会不知所措。
6、所有数据处理流程都必须考虑到隐私权
请谨守一大原则:智慧城市所搜集的任何数据,都必须匿名处理以保障民众隐私,尤其是政府必须对外公开的数据。任何与智慧城市计划无关的数据,都必须彻底销毁。
任何敏感的数据都必须受到严格管制,只有市府核准的人员才能存取,例如:有义务达成服务等级协议(SLA)的服务厂商。此外,也应制定明确的信息共享规范,包括:哪些信息可以共享、谁可以共享,以及数据隐私保障机制为何。此外也应包含数据备份与复原的规划,以防灾难发生。
7、加密、认证及管制所有通讯
所有的通讯,不论有线或无线,皆应防范黑客窃听、拦截及窜改,尤其是包含敏感信息的数据,必须采用严格的加密,而加密密钥也应妥善保管。
所有智能通讯系统至少必须经过账号密码认证才能存取。此外,也可采用更严格的认证,如:一次性密码、生物特征认证、双重或多重认证等等来提高安全性。
市府单位应管制通讯协议和流量,以降低中央系统或多个彼此相连的装置遭攻击而脱机的风险。将智能通讯系统上非必要的功能全部关闭,如此可缩小黑客的攻击面,也避免遭人滥用。
8、务必要能强制切换手动操作
不管全面自动化多么诱人,但维持切换手动操作的能力仍旧非常重要。因为,万一发生严重的系统故障,或者遭到黑客入侵,强制切换手动操作可以让市府单位在没有因特网联机或者远程操作遭到黑客拦截时,依然能够操作系统。
9、设计一套容错系统
智能基础架构及应用程序必须在单一或多个组件故障时依旧维持运作,这就是所谓的容错系统。此时,智慧服务或许会稍微不顺,但系统还是能够维持运作,不会全面瘫痪。要达到这点,必须要建置一些备援机制(软件、硬件)来容许故障发生,并且维持必要功能。
10、确保基本服务永续运作
万一真的发生不幸而导致所有系统全部当机,民众还是必须能够取得基本的公共服务,包括:水、电、燃气、救护车等等。所以当主要电力系统故障时,必须要有备用的电力。
随着时间演变,未来的都市必定更加聪明。随着各国政府逐渐拥抱智慧科技,这将是未来必然的发展。不论是全新规划或是都市更新的智慧城市,都必须兼顾功能和安全。都市是为了服务人民而打造,因此,保障人民安全才是真正的王道。
特别声明:我们推送的文章部分图文来源于互联网,版权属原作者所有;如涉及到版权问题,请及时与我们联系,核实后将作删除处理
��
网络安全未来发展怎么样
趋势1:等保和关保条例有望出台并进一步推动网络安全产业生态蓬勃向好
《网络安全审查办法》和《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》明确了关键基础设施的保护要求和工作要求。《网络安全等级保护条例》《关键信息基础设施安全保护条例》有望陆续出台,这意味着网络安全保护相关的一系列制度要素将进一步细化,促使各行业各领域网络安全投入持续加大。
趋势2:网络攻防对抗朝人工智能方向发展演化
随着人工智能(AI)技术的普及应用,攻击方利用AI实现更快、更准地发现漏洞,从而产生更难以检测识别的恶意代码,而防守方需要利用AI提升网络安全检测、防御及自动化响应能力。网络安全将从现阶段的人与人对抗、人机对抗逐渐向基于AI攻防对抗发展演化。
趋势3:数据安全相关法律的出台加速完善数据与个人信息保护体系
《民法典》明晰了个人信息处理的内涵、原则和条件,《数据安全法(草案)》《个人信息保护法(草案)》立法进程加快,有望陆续出台,包括个人信息在内的数据收集、存储、加工、使用、提供、交易、公开等环节的法律约束将更为规范,数据安全合规管理将成为各行业的必备能力,促进各行业多维度落实法律法规要求。
趋势4:网络安全人才需求看涨
网络安全人才需求单位越来越多、要求越来越高,但网络安全人才队伍培养没有跟上网络安全人才需求,预计未来我国网络安全人才数量缺口将突破百万,而实战型实用型的网络安全人才也将在2021年面临很大的缺口。
趋势5:数据交换共享的安全需求越来越强烈
数据蕴含着巨大的价值,已成为重要的生产要素和战略资产,数据的共享是数据开发、利用和增值的重要一环,但数据安全一直是制约数据共享的瓶颈。平衡数据共享与数据安全,加速释放数据要素市场红利,促进数字经济整体健康、持续发展的需求越来越强。
支付宝安全威胁平台是什么意思
支付宝安全技术总监陈锣斌:单一体系很难解决复杂的风险
ATech
ATech
2年前
随着技术纵深发展,“万物互联”的概念已不鲜见,在数字化世界的游戏规则里,除了网络基础信息安全隐患外,业务安全风险也已经越来越被重视。
陈锣斌是蚂蚁金服大安全的技术总监及资深架构师,已拥有近十年“蚁龄”。
从2010年9月加入蚂蚁后,陈锣斌主要负责业务风控平台的实时计算以及数据相关工作,经历过整个业务风控从2代平台到5代平台进入智能化阶段的建设。
文章图片1
近两年陈锣斌开始进入到基础安全领域,并开始建设反入侵检测平台以支撑蚂蚁金服基础安全的入侵检测的攻防业务。他主导建设的业务安全变量体系是现在的第五代风控平台AlphaRisk的核心支撑能力之一,他还带领基础安全平台研发团队建设“安全威胁感知平台”,并为蚂蚁金服基础安全的攻防检测提供有力支撑。
可以说,支付宝的风控系统代表着当今网络安全技术的巅峰,其背后是十多年的技术迭代。
一、当我们在谈互联网安全的时候 我们在谈什么
在陈锣斌看来,互联网安全目前主要两个大领域,一块是网络信息安全或者说是基础安全,另一块是在网络上各种应用、服务所涉及的业务本身的业务安全。在此之后才有“风控系统”的到来。
前者其实就是互联网上的信息安全。涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术。比如,个人在网站上的隐私信息保护、网络通信的时候防止信息被窃取监听、互联网公司为防止黑客入侵造成服务攻击或者数据泄露所建设的各种安全防护能力等。
最开始是1988 年,世界上第一例蠕虫病毒“Morris”出现,之后世界上各种病毒、木马和网络攻击层出不穷,严重威胁到互联网的繁荣和用户数据的安全。特别是制造网络病毒逐渐成为一种有利可图的产业,网络安全就基本上成为伴随互联网扩散的常态问题,且愈演愈烈。
而后者业务安全,其实就是在互联网上开展各种业务所面临的一些风险防控的技术。比如社交的相关业务,就会涉及到内容的安全(暴恐政、黄赌毒),电商业务的刷单、反作弊,还有就是支付的时候的交易风控、反洗钱、反欺诈等。
二、网络安全的过去、现在和未来
陈锣斌认为,早期对安全的认知都相对简单,很多人认为个人电脑就是杀毒软件,网络就是防火墙,业务安全可能就是数字证书、密码加上简单的异步监控。但随着市场的扩张,大多数互联网公司随着业务发展后开始建设相应的业务风控系统,为业务开展进行保驾护航。
随着互联网的发展,基础安全和业务安全两者从原先的相对比较独立到逐渐形成了各自的体系,例如,主机防护类产品、应用防护产品等。而支付宝早期的CTU系统和如今的AlphaRisk等都属于业务安全的范畴。
现在的业务安全主要基于大数据计算、模型算法来做风险检测,而基础安全在反入侵、反爬主机安全等方面,也使用很多的大数据技术,两者在风险的联合防控上越来越紧密,在技术上大数据计算以及人工智能方面也有越来越多的交集。
互联网是一个开放的世界,不法分子、黑产都会想在其中寻找牟利的机会,大公司重要业务的开展,现在都离不开互联网安全方面的能力,当一个公司没这方面的能力的时候,很容易使得业务无法开展,比如,微博(内容)、营销广告(反作弊)、电商(刷单、欺诈)。
可以看出,基础安全和业务安全两者在很多风险领域的关联越来越多,靠单一体系已经很难再解决一些复杂的风险。
多年的风控经验告诉陈锣斌:未来,风险领域将走向需要更多综合性防控的道路,单一安全/风险技术都很难防控住目前互联网上的新型风险。
三、支付宝为什么腰杆这么硬:“你敢付,我敢赔。”
早在2005年,支付宝就有相应的风控系统以及对应的职能部门,为守护客户的每一分钱而努力。“你敢付,我敢赔”的理念一直延续至今。
相信有不少人看过《智造将来》黑客攻击支付宝的电视节目,节目中几位顶尖黑客拿着“真枪实弹”一层层攻入一位普通用户的支付宝,试图转走5元。5元在普通的转账过程中其实是极为正常的,这样小额的数目为支付宝的安全系统带去了更大的挑战。据蚂蚁金服副总裁芮雄文回忆,当时确实捏了一把冷汗,黑客已经拿到了支付宝用户的密码、银行卡,甚至已经用软件控制了手机可以发送验证码当场修改密码……在看似360度无死角的黑客攻击后,支付宝的AlphaRisk依旧是完美地阻止了所有非正常的支付行为。
作为用户全球排名第一的移动支付工具,保障支付宝毫发未损的风控系统经历了五次迭代,现如今,它的正式名称为“AlphaRisk”。。
AlphaRisk即传说中的支付宝风控系统。它是支付宝风控多年实践与技术创新的智慧结晶,是全球最先进的风控系统之一,在其保护下,支付宝交易资损率不到千万分之一,远低于国际同行。“如果拿自动驾驶的等级定义来比喻,目前AlphaRisk处于L2和L3之间。在智能化的加持下,处于行业领先水平。”陈锣斌说。
AlphaRisk的原理是应用AI技术颠覆传统风控的运营模式,通过Perception(风险感知)、AI Detect(风险识别)、Evolution(智能进化)、AutoPilot(自动驾驶)4大模块的构建,将人类直觉AI(Analyst Intuition)和机器智能AI(Artificial Intelligence)完美结合,打造具有机器智能的风控系统,愿景是实现风控领域的“无人驾驶”技术。
支付宝平台上每天都有上亿笔交易,通过AlphaRisk智能风控引擎,不仅能够对每个用户的每笔支付进行7×24小时的实时风险扫描;同时通过不断新增的风险特征挖掘和优化算法迭代的模型,能够自动贴合用户行为特征进行实时风险对抗,在数亿交易中准确识别用户被骗支付的欺诈风险交易,不足0.1秒就能完成风险预警、检测、管控等复杂流程,确保用户账户安全和支付交易的万无一失。
安全一直是支付宝发展的生命线,支付宝从一而终地践行着“你敢付,我敢赔”的理念,时至今日,支付宝在风控领域的探索、创新,以及落地应用都处于世界的前列。
四、“综合性人才加实践经验是最想要的”
据Gartner统计2019年首要技术投资的数据显示,信息安全已是并列第一的投资目标。未来政府对网络信息安全的需求是极大的,并且会在一些重点行业展开实施。因此,网络安全技术的发展前景可期不必多言。
目前支付宝大安全也一定程度上代表了当今世界安全技术的巅峰,加入这个团队你必然会被培养成在网络安全技术领域的中流砥柱,同时这个领域也会对你有相应的要求。
在陈锣斌眼里,合格的应聘者首先需要在安全风控领域沉淀某一方面很深的技术能力,而后参与安全相关对抗越多就越有可能成长为综合型人才。
这里的安全风控领域是集基础建设、安全攻防、大数据技术、人工智能于大成的一个领域。
对于想加入大安全的同学来说,陈锣斌建议同学们在夯实基础的同时,还是要多多动手,多做,无论实验室项目还是企业实习项目,实际去做和停留在理论上是不同的结果,具体还可以列为包括但不仅限于以下的三点:
1.技术基础:计算机基础知识扎实、数据结构、算法等能活学活用,有1~2门掌握的较好的语言。
2.有成果:有较多的实践,有实际项目经验很重要,真正用技术、算法去解决过一些问题,也可以是去参加过什么比赛,有过何种收获等。
3.有热情:学习能力,平时在自己的领域之外,是否有关注更多的前沿技术,学了什么,去思考过什么。
五、招聘信息:
工作地点:杭州
工作性质:校招/实习/社招
应届生实习通道:kui.lijk@alipay.com
社招通道: kui.lijk@antfin.com
luobin.chen@antfin.com
龚文祥
龚文祥
5天前 · 深圳触电电子商务有限公司创始人
今年春晚的几个特点: 1,直播看春晚的人数已经超过电视,短视频直播的趋势太明显, 2,此次春晚,所有互联网平台的赞助今年集体缺席,以前抖音阿里快手微博支付宝等抢着赞助春晚,都是几十... 全文
分享
10
101
刘年望返
刘年望返
前天12:48
我说阿里巴巴是国内极具创新力的科技公司,很多人嘲讽我!他们都认为阿里巴巴仅仅只是一家卖货、放贷的投机公司而已!选择性忽略了他在科研方面的领军地位! 可能在他们眼里,达摩院的成果、高... 全文
分享
1
10
艺述史
艺述史
3天前 · 2022百大人气创作者 优质文化领域创作者
没钱别犯愁,如果你是这3种人,60岁后还能闷声发大财
03:37
分享
108
1870
写评论
智造将来黑客是哪一期
第五期。
在《智造将来》即将播出的第五期节目中,杭州市刑侦支队副支队长陆忠民警官率领六名网络安全工程师,直接现场演示“不法分子”如何对用户的手机展开攻击:诱骗用户点击链接、下载文件、扫二维码。
《智造将来》由支付宝独家冠名,在浙江卫视播出、优酷视频独播的大型社会公益性科技节目《智造将来》,便为大家上了一堂生动的网络安全“公开课”。
支付宝如何与黑客硬刚,负重“钱”行?
马云每次提到这个问题,都是十分的自豪的。
马云每次都在说,支付宝做的事情很简单,只是把银行没有做好的事情做好了,他还略带自嘲的说,如果银行能够做到支付宝的事情,他可以完全的把支付宝的项目无条件的还给银行。我们都知道,支付宝就是一个缩小版的移动银行卡,它的最大功能就是让我们能够使用移动的钱包,这也是我们曾经从银行ATM机上取钱的工作,支付宝的出现大大的简化了这个步骤。
移动支付平台这个项目可是一个巨大的蛋糕了,涉及的客户群是所有的拥有智能手机的人,而且这个平台看起来是很好搭建的,但是也只有微信支付能够和支付宝对抗。这一切都是因为阿里有着强大的安全部门。
阿里在安全问题上是最重视的,也是最必须重视的。一旦发生过一系列的黑客恶性事件,支付宝在人们心中的信誉度就大大降低,对支付宝的影响是巨大的。所以,安全问题是支付宝平台的根本,也是阿里能够有今天这样成就的决定性因素。
黑客支付宝综艺叫什么哪一集?
20190203期的《智造将来》。
前段时间,一档叫做《智造将来》的节目在浙江卫视热播。现场上演了一场惊心动魄的黑客攻击支付宝账户的演练,其中,“黑客”由来自杭州公安局刑侦支队的网络研究员精英团队扮演,防守方是支付宝智能风控引擎。
安全工程师演示了三种不法分子常用的手段:点击未知链接下载不明app、扫描有风险的二维码,输入手机号连接公共Wi-Fi。这三种方式,都有可能让你落入网络安全陷阱。
节目现场介绍:
现场观众都被这一系列操作惊呆了,直呼“怎么可能”?但三次攻击里,一次没能修改成功登陆密码,一次成功登陆却因为无法修改支付密码宣告失败。只有在第三次攻击时,安全研究员完全获知了用户的个人信息,对登陆密码和支付密码都进行了修改。眼看就要转账成功!
当多有人都以为这次支付宝的防守要失败时,智能风控引擎经受住了考验,在这样极端的情况下,不仅监测到异常,还在转账的重要关头进行了拦截。支付宝果然还是那个支付宝,安全可靠有保障。
0条大神的评论