1、中国有超过2500万家物联网终端设备生产商,终端安全防护能力参差不齐。物联网安全威胁与传统网络安全威胁相比,其扩散能力和规模潜力都更为突出。因此对于物联网安全攻防双方来讲,防守端难度更大,更具挑战。物联网安全产品和服务的提供者主要为:1)综合类厂商,专门成立物联网安全部门;2)专注于物联网安全的专精型厂商;3)物联网产业链厂商通过新增事业部等方式进入物联网安全领域。由于云服务的特殊性,云安全需要云厂商和用户协助保证。云厂商主要负责云平台系统自身的安全,云用户主要负责云主机安全、云应用安全、云产品安全和云上数据安全。另外,云安全管理涵盖对整个平台体系的集中管控,是云安全建设的根本;云原生安全是云
2、架构下一步发展方向提出的新的安全需求。物联网安全的技术层次可以分为三个层面,感知层、网络层、平台和应用层。感知层安全主要包括设备安全、数据安全和网关接入安全;网络层安全主要指物联网终端网关到物联网后台处理平台之间的安全;平台和应用层安全主要指的是物联网后台数据处理平台和前台展示呈现的应用安全。以层次化进行物联网安全分析和防护是物联网安全体系的重要思路。按照数据生命周期,遵循“事前客观、事中可控、事后可追溯”的原则,可以将数据安全框架分为数据采集安全、数据传输安全、数据存储安全、数据处理安全和数据销毁安全六大步骤,以及风险与需求识别、风险防护、追溯恢复三大模块。随着新基建陆续展开,移动互联网、工
3、业互联网的快速发展极大拓展了网络攻击的渠道,攻击模式急剧多元复杂化,客户对网安厂商全面防御的要求提升。同时,随着物联网、工业互联网、云计算、大数据等新兴技术的兴起,网络攻击形态日益复杂,单一领域的单一产品无法再满足网络安全防护需求,安全集成服务正逐步成为网安需求热点。从行业发展来看,网络安全发展一直落后于信息化的发展。脱节的原因不仅仅在于技术层,更在于体系化、战略上对网络安全的不够重视。虽然不少企业开始同步执行业务战略与信息化战略,但网络安全并没有跟上前两者的发展脚步。因此,当前网络安全能力和水平不能充分满足政企信息化发展的需要。网络安全法中已明确提出,网络安全要和信息化同步规划、同步建设和同步运营。随着数字化转型的逐步深入,以及疫情影响带来的远程工作趋势,使得政企内部网络的物理边界正在被不断的淡化瓦解,传统的边界防护不再能够实现有效的安全保障,新的网络安全架构亟需建立。此时,零信任安全架构凭借其创新性的解决方式赢得了人们的关注。 零信任的核心安全理念是“永不信任、持续验证”,即:默认情况下,组织内外部的任何人、事、物均不可信,应在授权前对任何试图接入和访问网络的人、事、物进行验证。零信任基本原则可以归纳为:1)默认一切对象皆不可信;2)仅授予行为所需的最小权限;3)动态访问控制及授权;4)持续安全防护。