網路安全風險管理

㈠ 網路安全管理包括什麼內容

網路安全管理是一個體系的東西，內容很多
網路安全管理大體上分為管理策略和具體的管理內容，管理內容又包括邊界安全管理，內網安全管理等，這里給你一個參考的內容，金牌網管員之網路信息安全管理，你可以了解下：
http://www.ean-info.com/2009/0908/100.html
同時具體的內容涉及：
一、信息安全重點基礎知識
1、企業內部信息保護
信息安全管理的基本概念：
信息安全三元組，標識、認證、責任、授權和隱私的概念，人員角色
安全控制的主要目標：
安全威脅和系統脆弱性的概念、信息系統的風險管理
2、企業內部信息泄露的途徑
偶然損失
不適當的活動
非法的計算機操作
黑客攻擊：
黑客簡史、黑客攻擊分類、黑客攻擊的一般過程、常見黑客攻擊手段
3、避免內部信息泄露的方法
結構性安全（PDR模型）
風險評估：
資產評估、風險分析、選擇安全措施、審計系統
安全意識的培養
二、使用現有安全設備構建安全網路
1、內網安全管理
內網安全管理面臨的問題
內網安全管理實現的主要功能：
軟硬體資產管理、行為管理、網路訪問管理、安全漏洞管理、補丁管理、對各類違規行為的審計
2、常見安全技術與設備
防病毒：
防病毒系統的主要技術、防病毒系統的部署、防病毒技術的發展趨勢
防火牆：
防火牆技術介紹、防火牆的典型應用、防火牆的技術指標、防火牆發展趨勢
VPN技術和密碼學：
密碼學簡介、常見加密技術簡介、VPN的概念、VPN的分類、常見VPN技術、構建VPN系統
IPS和IDS技術：
入侵檢測技術概述、入侵檢測系統分類及特點、IDS結構和關鍵技術、IDS應用指南、IDS發展趨勢、入侵防禦系統的概念、IPS的應用
漏洞掃描：
漏洞掃描概述、漏洞掃描的應用
訪問控制：
訪問控制模型、標識和認證、口令、生物學測定、認證協議、訪問控制方法
存儲和備份：
數據存儲和備份技術、數據備份計劃、災難恢復計劃
3、安全設備的功能和適用范圍
各類安全設備的不足
構建全面的防禦體系
三、安全管理體系的建立與維護
1、安全策略的實現
安全策略包含的內容
制定安全策略
人員管理
2、物理安全
物理安全的重要性
對物理安全的威脅
對物理安全的控制
3、安全信息系統的維護
安全管理維護
監控內外網環境

㈡ 通信網路安全防護管理辦法

第一條為了加強對通信網路安全的管理，提高通信網路安全防護能力，保障通信網路安全暢通，根據《中華人民共和國電信條例》，制定本辦法。第二條中華人民共和國境內的電信業務經營者和互聯網域名服務提供者（以下統稱「通信網路運行單位」）管理和運行的公用通信網和互聯網（以下統稱「通信網路」）的網路安全防護工作，適用本辦法。
本辦法所稱互聯網域名服務，是指設置域名資料庫或者域名解析伺服器，為域名持有者提供域名注冊或者權威解析服務的行為。
本辦法所稱網路安全防護工作，是指為防止通信網路阻塞、中斷、癱瘓或者被非法控制，以及為防止通信網路中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。第三條通信網路安全防護工作堅持積極防禦、綜合防範、分級保護的原則。第四條中華人民共和國工業和信息化部（以下簡稱工業和信息化部）負責全國通信網路安全防護工作的統一指導、協調和檢查，組織建立健全通信網路安全防護體系，制定通信行業相關標准。
各省、自治區、直轄市通信管理局（以下簡稱通信管理局）依據本辦法的規定，對本行政區域內的通信網路安全防護工作進行指導、協調和檢查。
工業和信息化部與通信管理局統稱「電信管理機構」。第五條通信網路運行單位應當按照電信管理機構的規定和通信行業標准開展通信網路安全防護工作，對本單位通信網路安全負責。第六條通信網路運行單位新建、改建、擴建通信網路工程項目，應當同步建設通信網路安全保障設施，並與主體工程同時進行驗收和投入運行。
通信網路安全保障設施的新建、改建、擴建費用，應當納入本單位建設項目概算。第七條通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分，並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度，由低到高分別劃分為一級、二級、三級、四級、五級。
電信管理機構應當組織專家對通信網路單元的分級情況進行評審。
通信網路運行單位應當根據實際情況適時調整通信網路單元的劃分和級別，並按照前款規定進行評審。第八條通信網路運行單位應當在通信網路定級評審通過後三十日內，將通信網路單元的劃分和定級情況按照以下規定向電信管理機構備案：
（一）基礎電信業務經營者集團公司向工業和信息化部申請辦理其直接管理的通信網路單元的備案；基礎電信業務經營者各省（自治區、直轄市）子公司、分公司向當地通信管理局申請辦理其負責管理的通信網路單元的備案；
（二）增值電信業務經營者向作出電信業務經營許可決定的電信管理機構備案；
（三）互聯網域名服務提供者向工業和信息化部備案。第九條通信網路運行單位辦理通信網路單元備案，應當提交以下信息：
（一）通信網路單元的名稱、級別和主要功能；
（二）通信網路單元責任單位的名稱和聯系方式；
（三）通信網路單元主要負責人的姓名和聯系方式；
（四）通信網路單元的拓撲架構、網路邊界、主要軟硬體及型號和關鍵設施位置；
（五）電信管理機構要求提交的涉及通信網路安全的其他信息。
前款規定的備案信息發生變化的，通信網路運行單位應當自信息變化之日起三十日內向電信管理機構變更備案。
通信網路運行單位報備的信息應當真實、完整。第十條電信管理機構應當對備案信息的真實性、完整性進行核查，發現備案信息不真實、不完整的，通知備案單位予以補正。第十一條通信網路運行單位應當落實與通信網路單元級別相適應的安全防護措施，並按照以下規定進行符合性評測：
（一）三級及三級以上通信網路單元應當每年進行一次符合性評測；
（二）二級通信網路單元應當每兩年進行一次符合性評測。
通信網路單元的劃分和級別調整的，應當自調整完成之日起九十日內重新進行符合性評測。
通信網路運行單位應當在評測結束後三十日內，將通信網路單元的符合性評測結果、整改情況或者整改計劃報送通信網路單元的備案機構。第十二條通信網路運行單位應當按照以下規定組織對通信網路單元進行安全風險評估，及時消除重大網路安全隱患：
（一）三級及三級以上通信網路單元應當每年進行一次安全風險評估；
（二）二級通信網路單元應當每兩年進行一次安全風險評估。
國家重大活動舉辦前，通信網路單元應當按照電信管理機構的要求進行安全風險評估。
通信網路運行單位應當在安全風險評估結束後三十日內，將安全風險評估結果、隱患處理情況或者處理計劃報送通信網路單元的備案機構。

㈢ 手機總是提示網路存在安全風險怎麼辦

用安全軟體進行下病毒掃描。

使用騰訊手機管家的雲查殺技術來進行病毒查殺。進入安全防護界面對手機上的病毒進行掃描。進行一鍵查殺，清理掉手機上面的各類病毒。

這種情況有二種可能，一是你輸入的WLAN密碼不對，請輸入正確的密碼；二是你連接的WLAN的無線路由器只是打開了電源，但無線路由器未與網線相連，請檢查網線是否連接到無線路由器。

㈣ 如何做好網路安全管理

第一、物理安全

除了要保證要有電腦鎖之外，我們更多的要注意防火，要將電線和網路放在比較隱蔽的地方。我們還要准備UPS，以確保網路能夠以持續的電壓運行，在電子學中，峰值電壓是一個非常重要的概念，峰值電壓高的時候可以燒壞電器，迫使網路癱瘓，峰值電壓最小的時候，網路根本不能運行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網線。

第二、系統安全（口令安全）

我們要盡量使用大小寫字母和數字以及特殊符號混合的密碼，但是自己要記住，我也見過很多這樣的網管，他的密碼設置的的確是復雜也安全，但是經常自己都記不來，每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的，這樣很容易被一些黑客識破。

我們也可以在屏保、重要的應用程序上添加密碼，以確保雙重安全。

第三、打補丁

我們要及時的對系統補丁進行更新，大多數病毒和黑客都是通過系統漏洞進來的，例如今年五一風靡全球臭名昭著的振盪波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以我們要及時對系統和應用程序打上最新的補丁，例如IE、OUTLOOK、SQL、OFFICE等應用程序。

另外我們要把那些不需要的服務關閉，例如TELNET，還有關閉Guset帳號等。

第四、安裝防病毒軟體

病毒掃描就是對機器中的所有文件和郵件內容以及帶有.exe的可執行文件進行掃描，掃描的結果包括清除病毒，刪除被感染文件，或將被感染文件和病毒放在一台隔離文件夾裡面。所以我們要對全網的機器從網站伺服器到郵件伺服器到文件伺服器知道客戶機都要安裝殺毒軟體，並保持最新的病毒定義碼。我們知道病毒一旦進入電腦，他會瘋狂的自我復制，遍布全網，造成的危害巨大，甚至可以使得系統崩潰，丟失所有的重要資料。所以我們要至少每周一次對全網的電腦進行集中殺毒，並定期的清除隔離病毒的文件夾。

現在有很多防火牆等網關產品都帶有反病毒功能，例如netscreen總裁謝青旗下的美國飛塔Fortigate防火牆就是，她具有防病毒的功能。

第五、應用程序

我們都知道病毒有超過一半都是通過電子郵件進來的，所以除了在郵件伺服器上安裝防病毒軟體之外，還要對PC機上的outlook防護，我們要提高警惕性，當收到那些無標題的郵件，或是你不認識的人發過來的，或是全是英語例如什麼happy99，money，然後又帶有一個附件的郵件，建議您最好直接刪除，不要去點擊附件，因為百分之九十以上是病毒。我前段時間就在一個政府部門碰到這樣的情況，他們單位有三個人一直收到郵件，一個小時竟然奇跡般的收到了2000多封郵件，致使最後郵箱爆破，起初他們懷疑是黑客進入了他們的網路，最後當問到這幾個人他們都說收到了一封郵件，一個附件，當去打開附件的時候，便不斷的收到郵件了，直至最後郵箱撐破。最後查出還是病毒惹的禍。

除了不去查看這些郵件之外，我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。

很多黑客都是通過你訪問網頁的時候進來的，你是否經常碰到這種情況，當你打開一個網頁的時候，會不斷的跳出非常多窗口，你關都關不掉，這就是黑客已經進入了你的電腦，並試圖控制你的電腦。

所以我們要將IE的安全性調高一點，經常刪除一些cookies和離線文件，還有就是禁用那些Active X的控制項。

第六、代理伺服器

代理伺服器最先被利用的目的是可以加速訪問我們經常看的網站，因為代理伺服器都有緩沖的功能，在這里可以保留一些網站與IP地址的對應關系。

要想了解代理伺服器，首先要了解它的工作原理：

環境：區域網裡面有一台機器裝有雙網卡，充當代理伺服器，其餘電腦通過它來訪問網路。

1、內網一台機器要訪問新浪，於是將請求發送給代理伺服器。

2、代理伺服器對發來的請求進行檢查，包括題頭和內容，然後去掉不必要的或違反約定的內容。

3、代理伺服器重新整合數據包，然後將請求發送給下一級網關。

4、新浪網回復請求，找到對應的IP地址。

5、代理伺服器依然檢查題頭和內容是否合法，去掉不適當的內容。

6、重新整合請求，然後將結果發送給內網的那台機器。

由此可以看出，代理伺服器的優點是可以隱藏內網的機器，這樣可以防止黑客的直接攻擊，另外可以節省公網IP。缺點就是每次都要經由伺服器，這樣訪問速度會變慢。另外當代理伺服器被攻擊或者是損壞的時候，其餘電腦將不能訪問網路。

第七、防火牆

提到防火牆，顧名思義，就是防火的一道牆。防火牆的最根本工作原理就是數據包過濾。實際上在數據包過濾的提出之前，都已經出現了防火牆。

數據包過濾，就是通過查看題頭的數據包是否含有非法的數據，我們將此屏蔽。

舉個簡單的例子，假如體育中心有一場劉德華演唱會，檢票員坐鎮門口，他首先檢查你的票是否對應，是否今天的，然後撕下右邊的一條，將剩餘的給你，然後告訴你演唱會現場在哪裡，告訴你怎麼走。這個基本上就是數據包過濾的工作流程吧。

你也許經常聽到你們老闆說：要增加一台機器它可以禁止我們不想要的網站，可以禁止一些郵件它經常給我們發送垃圾郵件和病毒等，但是沒有一個老闆會說：要增加一台機器它可以禁止我們不願意訪問的數據包。實際意思就是這樣。接下來我們推薦幾個常用的數據包過濾工具。

㈤ 管理網路安全風險的三個方向

計算機信息管理系統(即軟體)的安全、網路資源的安全、網路存儲技術安全。
安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等)，無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。
建立全新網路安全機制，必須深刻理解網路並能提供直接的解決方案，因此，可行的做法是制定健全的管理制度和嚴格管理相結合。

㈥ 勞動中的網路安全風險防範包括什麼等方面

勞動中的網路安全風險防範包括完善安全管理制度，採用訪問控制，運行數據加密措施，數據備份和恢復
【(6)網路安全風險管理擴展閱讀】網路安全風險包括物理設備是否安全，管理是否安全，信息數據是否安全，客戶是否安全，系統是否安全，網路平台是否安全，管理人員是否安全。

㈦ 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便於有效地預防、保護、響應和恢復，確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網路信息安全風險。實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

1) 網路安全策略。屬於整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整並相互適應，反之，安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

摘自-拓展：網路安全技術及應用（第3版）賈鐵軍主編，機械工業出版社，2017

㈧ 如何做好網路安全管理

做好基礎性的防護工作，伺服器安裝干凈的操作系統，不需要的服務一律不裝，多一項就多一種被入侵的可能性，打齊所有補丁，微軟的操作系統當然推薦 WIN2K3，性能和安全性比WIN2K都有所增強，選擇一款優秀的殺毒軟體，至少能對付大多數木馬和病毒的，安裝好殺毒軟體，設置好時間段自動上網升級，設置好帳號和許可權，設置的用戶盡可能的少，對用戶的許可權盡可能的小，密碼設置要足夠強壯。對於 MSSQL，也要設置分配好許可權，按照最小原則分配。最好禁用xp_cmdshell。有的網路有硬體防火牆，當然好，但僅僅依靠硬體防火牆，並不能阻擋hacker的攻擊，利用反向連接型的木馬和其他的辦法還是可以突破硬體防火牆的阻擋。WIN2K3系統自帶的防火牆功能還不夠強大，建議打開，但還需要安裝一款優秀的軟體防火牆保護系統，我一般習慣用ZA，論壇有很多教程了。對於對互聯網提供服務的伺服器，軟體防火牆的安全級別設置為最高，然後僅僅開放提供服務的埠，其他一律關閉，對於伺服器上所有要訪問網路的程序，現在防火牆都會給予提示是否允許訪問，根據情況對於系統升級，殺毒軟體自動升級等有必要訪問外網的程序加到防火牆允許訪問列表。那麼那些反向連接型的木馬就會被防火牆阻止，這樣至少系統多了一些安全性的保障，給hacker入侵就多一些阻礙。網路上有很多基礎型的防護資料，大家可以查查相關伺服器安全配置方面的資料。

㈨ 工業互聯網時代的風險管理：工業4.0與網路安全

2009年，惡意軟體曾操控某核濃縮工廠的離心機，導致所有離心機失控。該惡意軟體又稱「震網」，通過快閃記憶體驅動器入侵獨立網路系統，並在各生產網路中自動擴散。通過「震網」事件，我們看到將網路攻擊作為武器破壞聯網實體工廠的可能。這場戰爭顯然是失衡的：企業必須保護眾多的技術，而攻擊者只需找到一個最薄弱的環節。

但非常重要的一點是，企業不僅需要關注外部威脅，還需關注真實存在卻常被忽略的網路風險，而這些風險正是由企業在創新、轉型和現代化過程中越來越多地應用智能互聯技術所引致的。否則，企業制定的戰略商業決策將可能導致該等風險，企業應管控並降低該等新興風險。

工業4.0時代，智能機器之間的互聯性不斷增強，風險因素也隨之增多。工業4.0開啟了一個互聯互通、智能製造、響應式供應網路和定製產品與服務的時代。藉助智能、自動化技術，工業4.0旨在結合數字世界與物理操作，推動智能工廠和先進製造業的發展 。但在意圖提升整個製造與供應鏈流程的數字化能力並推動聯網設備革命性變革過程中，新產生的網路風險讓所有企業都感到措手不及。針對網路風險制定綜合戰略方案對製造業價值鏈至關重要，因為這些方案融合了工業4.0的重要驅動力：運營技術與信息技術。

隨著工業4.0時代的到來，威脅急劇增加，企業應當考慮並解決新產生的風險。簡而言之，在工業4.0時代制定具備安全性、警惕性和韌性的網路風險戰略將面臨不同的挑戰。當供應鏈、工廠、消費者以及企業運營實現聯網，網路威脅帶來的風險將達到前所未有的廣度和深度。

在戰略流程臨近結束時才考慮如何解決網路風險可能為時已晚。開始制定聯網的工業4.0計劃時，就應將網路安全視為與戰略、設計和運營不可分割的一部分。

本文將從現代聯網數字供應網路、智能工廠及聯網設備三大方面研究各自所面臨的網路風險。3在工業4.0時代，我們將探討在整個生產生命周期中（圖1）——從數字供應網路到智能工廠再到聯網物品——運營及信息安全主管可行的對策，以預測並有效應對網路風險，同時主動將網路安全納入企業戰略。

數字化製造企業與工業4.0

工業4.0技術讓數字化製造企業和數字供應網路整合不同來源和出處的數字化信息，推動製造與分銷行為。

信息技術與運營技術整合的標志是向實體-數字-實體的聯網轉變。工業4.0結合了物聯網以及相關的實體和數字技術，包括數據分析、增材製造、機器人技術、高性能計算機、人工智慧、認知技術、先進材料以及增強現實，以完善生產生命周期，實現數字化運營。

工業4.0的概念在物理世界的背景下融合並延伸了物聯網的范疇，一定程度上講，只有製造與供應鏈/供應網路流程會經歷實體-數字和數字-實體的跨越（圖2）。從數字回到實體的跨越——從互聯的數字技術到創造實體物品的過程——這是工業4.0的精髓所在，它支撐著數字化製造企業和數字供應網路。

即使在我們 探索 信息創造價值的方式時，從製造價值鏈的角度去理解價值創造也很重要。在整個製造與分銷價值網路中，通過工業4.0應用程序集成信息和運營技術可能會達到一定的商業成果。

不斷演變的供應鏈和網路風險

有關材料進入生產過程和半成品/成品對外分銷的供應鏈對於任何一家製造企業都非常重要。此外，供應鏈還與消費者需求聯系緊密。很多全球性企業根據需求預測確定所需原料的數量、生產線要求以及分銷渠道負荷。由於分析工具也變得更加先進，如今企業已經能夠利用數據和分析工具了解並預測消費者的購買模式。

通過向整個生態圈引入智能互聯的平台和設備，工業4.0技術有望推動傳統線性供應鏈結構的進一步發展，並形成能從價值鏈上獲得有用數據的數字供應網路，最終改進管理，加快原料和商品流通，提高資源利用率，並使供應品更合理地滿足消費者需求。

盡管工業4.0能帶來這些好處，但數字供應網路的互聯性增強將形成網路弱點。為了防止發生重大風險，應從設計到運營的每個階段，合理規劃並詳細說明網路弱點。

在數字化供應網路中共享數據的網路風險

隨著數字供應網路的發展，未來將出現根據購買者對可用供應品的需求，對原材料或商品進行實時動態定價的新型供應網路。5由於只有供應網路各參與方開放數據共享才可能形成一個響應迅速且靈活的網路，且很難在保證部分數據透明度的同時確保其他信息安全，因此形成新型供應網路並非易事。

因此，企業可能會設法避免信息被未授權網路用戶訪問。 此外，他們可能還需對所有支撐性流程實施統一的安全措施，如供應商驗收、信息共享和系統訪問。企業不僅對這些流程擁有專屬權利，它們也可以作為獲取其他內部信息的接入點。這也許會給第三方風險管理帶來更多壓力。在分析互聯數字供應網路的網路風險時，我們發現不斷提升的供應鏈互聯性對數據共享與供應商處理的影響最大（圖3）。

為了應對不斷增長的網路風險，我們將對上述兩大領域和應對戰略逐一展開討論。

數據共享：更多利益相關方將更多渠道獲得數據

企業將需要考慮什麼數據可以共享，如何保護私人所有或含有隱私風險的系統和基礎數據。比 如，數字供應網路中的某些供應商可能在其他領域互為競爭對手，因此不願意公開某些類型的數據，如定價或專利品信息。此外，供應商可能還須遵守某些限制共享信息類型的法律法規。因此，僅公開部分數據就可能讓不良企圖的人趁機獲得其他信息。

企業應當利用合適的技術，如網路分段和中介系統等，收集、保護和提供信息。此外，企業還應在未來生產的設備中應用可信的平台模塊或硬體安全模塊等技術，以提供強大的密碼邏輯支持、硬體授權和認證（即識別設備的未授權更改）。

將這種方法與強大的訪問控制措施結合，關鍵任務操作技術在應用點和端點的數據和流程安全將能得到保障。

在必須公開部分數據或數據非常敏感時，金融服務等其他行業能為信息保護提供範例。目前，企業紛紛開始對靜態和傳輸中的數據應用加密和標記等工具，以確保數據被截獲或系統受損情況下的通信安全。但隨著互聯性的逐步提升，金融服務企業意識到，不能僅從安全的角度解決數據隱私和保密性風險，而應結合數據管治等其他技術。事實上，企業應該對其所處環境實施風險評估，包括企業、數字供應網路、行業控制系統以及聯網產品等，並根據評估結果制定或更新網路風險戰略。總而言之，隨著互聯性的不斷增強，上述所有的方法都能找到應實施更高級預防措施的領域。

供應商處理：更廣闊市場中供應商驗收與付款

由於新夥伴的加入將使供應商體系變得更加復雜，核心供應商群體的擴張將可能擾亂當前的供應商驗收流程。因此，追蹤第三方驗收和風險的管治、風險與合規軟體需要更快、更自主地反應。此外，使用這些應用軟體的信息安全與風險管理團隊還需制定新的方針政策，確保不受虛假供應商、國際制裁的供應商以及不達標產品分銷商的影響。消費者市場有不少類似的經歷，易貝和亞馬遜就曾發生過假冒偽劣商品和虛假店面等事件。

區塊鏈技術已被認為能幫助解決上述擔憂並應對可能發生的付款流程變化。盡管比特幣是建立貨幣 歷史 記錄的經典案例，但其他企業仍在 探索 如何利用這個新工具來決定商品從生產線到各級購買者的流動。7創建團體共享 歷史 賬簿能建立信任和透明度，通過驗證商品真實性保護買方和賣方，追蹤商品物流狀態，並在處理退換貨時用詳細的產品分類替代批量分揀。如不能保證產品真實性，製造商可能會在引進產品前，進行產品測試和鑒定，以確保足夠的安全性。

信任是數據共享與供應商處理之間的關聯因素。企業從事信息或商品交易時，需要不斷更新其風險管理措施，確保真實性和安全性；加強監測能力和網路安全運營，保持警惕性；並在無法實施信任驗證時保護該等流程。

在這個過程中，數字供應網路成員可參考其他行業的網路風險管理方法。某些金融和能源企業所採用的自動交易模型與響應迅速且靈活的數字供應網路就有諸多相似之處。它包含具有競爭力的知識產權和企業賴以生存的重要資源，所有這些與數字供應網路一樣，一旦部署到雲端或與第三方建立聯系就容易遭到攻擊。金融服務行業已經意識到無論在內部或外部演算法都面臨著這樣的風險。因此，為了應對內部風險，包括顯性風險（企業間諜活動、蓄意破壞等）和意外風險（自滿、無知等），軟體編碼和內部威脅程序必須具備更高的安全性和警惕性。

事實上，警惕性對監測非常重要：由於製造商逐漸在數字供應網路以外的生產過程應用工業4.0技術，網路風險只會成倍增長。

智能生產時代的新型網路風險

隨著互聯性的不斷提高，數字供應網路將面臨新的風險，智能製造同樣也無法避免。不僅風險的數量和種類將增加，甚至還可能呈指數增長。不久前，美國國土安全部出版了《物聯網安全戰略原則》與《生命攸關的嵌入式系統安全原則》，強調應關注當下的問題，檢查製造商是否在生產過程中直接或間接地引入與生命攸關的嵌入式系統相關的風險。

「生命攸關的嵌入式系統」廣義上指幾乎所有的聯網設備，無論是車間自動化系統中的設備或是在第三方合約製造商遠程式控制制的設備，都應被視為風險——盡管有些設備幾乎與生產過程無關。

考慮到風險不斷增長，威脅面急劇擴張，工業4.0時代中的製造業必須徹底改變對安全的看法。

聯網生產帶來新型網路挑戰

隨著生產系統的互聯性越來越高，數字供應網路面臨的網路威脅不斷增長擴大。不難想像，不當或任意使用臨時生產線可能造成經濟損失、產品質量低下，甚至危及工人安全。此外，聯網工廠將難以承受倒閉或其他攻擊的後果。有證據表明，製造商仍未准備好應對其聯網智能系統可能引發的網路風險： 2016年德勤與美國生產力和創新製造商聯盟（MAPI）的研究發現，三分之一的製造商未對工廠車間使用的工業控制系統做過任何網路風險評估。

可以確定的是，自進入機械化生產時代，風險就一直伴隨著製造商，而且隨著技術的進步，網路風險不斷增強，物理威脅也越來越多。但工業4.0使網路風險實現了迄今為止最大的跨越。各階段的具體情況請參見圖4。

從運營的角度看，在保持高效率和實施資源控制時，工程師可在現代化的工業控制系統環境中部署無人站點。為此，他們使用了一系列聯網系統，如企業資源規劃、製造執行、監控和數據採集系統等。這些聯網系統能夠經常優化流程，使業務更加簡單高效。並且，隨著系統的不斷升級，系統的自動化程度和自主性也將不斷提高（圖5）。

從安全的角度看，鑒於工業控制系統中商業現貨產品的互聯性和使用率不斷提升，大量暴露點將可能遭到威脅。與一般的IT行業關注信息本身不同，工業控制系統安全更多關注工業流程。因此，與傳統網路風險一樣，智能工廠的主要目標是保證物理流程的可用性和完整性，而非信息的保密性。

但值得注意的是，盡管網路攻擊的基本要素未發生改變，但實施攻擊方式變得越來越先進（圖5）。事實上，由於工業4.0時代互聯性越來越高，並逐漸從數字化領域擴展到物理世界，網路攻擊將可能對生產、消費者、製造商以及產品本身產生更廣泛、更深遠的影響（圖6）。

結合信息技術與運營技術：

當數字化遇上實體製造商實施工業4.0 技術時必須考慮數字化流程和將受影響的機器和物品，我們通常稱之為信息技術與運營技術的結合。對於工業或製造流程中包含了信息技術與運營技術的公司，當我們探討推動重點運營和開發工作的因素時，可以確定多種戰略規劃、運營價值以及相應的網路安全措施（圖7）。

首先，製造商常受以下三項戰略規劃的影響：

健康 與安全： 員工和環境安全對任何站點都非常重要。隨著技術的發展，未來智能安全設備將實現升級。

生產與流程的韌性和效率： 任何時候保證連續生產都很重要。在實際工作中，一旦工廠停工就會損失金錢，但考慮到重建和重新開工所花費的時間，恢復關鍵流程可能將導致更大的損失。

檢測並主動解決問題： 企業品牌與聲譽在全球商業市場中扮演著越來越重要的角色。在實際工作中，工廠的故障或生產問題對企業聲譽影響很大，因此，應採取措施改善環境，保護企業的品牌與聲譽。

第二，企業需要在日常的商業活動中秉持不同的運營價值理念：

系統的可操作性、可靠性與完整性： 為了降低擁有權成本，減緩零部件更換速度，站點應當采購支持多個供應商和軟體版本的、可互操作的系統。

效率與成本規避： 站點始終承受著減少運營成本的壓力。未來，企業可能增加現貨設備投入，加強遠程站點診斷和工程建設的靈活性。

監管與合規： 不同的監管機構對工業控制系統環境的安全與網路安全要求不同。未來企業可能需要投入更多，以改變環境，確保流程的可靠性。

工業4.0時代，網路風險已不僅僅存在於供應網路和製造業，同樣也存在於產品本身。 由於產品的互聯程度越來越高——包括產品之間，甚至產品與製造商和供應網路之間，因此企業應該明白一旦售出產品，網路風險就不會終止。

風險觸及實體物品

預計到2020年，全球將部署超過200億台物聯網設備。15其中很多設備可能會被安裝在製造設備和生產線上，而其他的很多設備將有望進入B2B或B2C市場，供消費者購買使用。

2016年德勤與美國生產力和創新製造商聯盟（MAPI）的研究結果顯示，近一半的製造商在聯網產品中採用移動應用軟體，四分之三的製造商使用Wi-Fi網路在聯網產品間傳輸數據。16基於上述網路途徑的物聯通常會形成很多漏洞。物聯網設備製造商應思考如何將更強大、更安全的軟體開發方法應用到當前的物聯網開發中，以應對設備常常遇到的重大網路風險。

盡管這很有挑戰性，但事實證明，企業不能期望消費者自己會更新安全設置，採取有效的安全應對措施，更新設備端固件或更改默認設備密碼。

比如，2016年10月，一次由Mirai惡意軟體引發的物聯網分布式拒絕服務攻擊，表明攻擊者可以利用這些弱點成功實施攻擊。在這次攻擊中，病毒通過感染消費者端物聯網設備如聯網的相機和電視，將其變成僵屍網路，並不斷沖擊伺服器直至伺服器崩潰，最終導致美國最受歡迎的幾家網站癱瘓大半天。17研究者發現，受分布式拒絕服務攻擊損害的設備大多使用供應商提供的默認密碼，且未獲得所需的安全補丁或升級程序。18需要注意的是，部分供應商所提供的密碼被硬編碼進了設備固件中，且供應商未告知用戶如何更改密碼。

當前的工業生產設備常缺乏先進的安全技術和基礎設施，一旦外圍保護被突破，便難以檢測和應對此類攻擊。

風險與生產相伴而行

由於生產設施越來越多地與物聯網設備結合，因此，考慮這些設備對製造、生產以及企業網路所帶來的安全風險變得越來越重要。受損物聯網設備所產生的安全影響包括：生產停工、設備或設施受損如災難性的設備故障，以及極端情況下的人員傷亡。此外，潛在的金錢損失並不僅限於生產停工和事故整改，還可能包括罰款、訴訟費用以及品牌受損所導致的收入減少（可能持續數月甚至數年，遠遠超過事件實際持續的時間）。下文列出了目前確保聯網物品安全的一些方法，但隨著物品和相應風險的激增，這些方法可能還不夠。

傳統漏洞管理

漏洞管理程序可通過掃描和補丁修復有效減少漏洞，但通常仍有多個攻擊面。攻擊面可以是一個開放式的TCP/IP或UDP埠或一項無保護的技術，雖然目前未發現漏洞，但攻擊者以後也許能發現新的漏洞。

減少攻擊面

簡單來說，減少攻擊面即指減少或消除攻擊，可以從物聯網設備製造商設計、建造並部署只含基礎服務的固化設備時便開始著手。安全所有權不應只由物聯網設備製造商或用戶單獨所有；而應與二者同樣共享。

更新悖論

生產設施所面臨的另一個挑戰被稱為「更新悖論」。很多工業生產網路很少更新升級，因為對製造商來說，停工升級花費巨大。對於某些連續加工設施來說，關閉和停工都將導致昂貴的生產原材料發生損失。

很多聯網設備可能還將使用十年到二十年，這使得更新悖論愈加嚴重。認為設備無須應用任何軟體補丁就能在整個生命周期安全運轉的想法完全不切實際。20 對於生產和製造設施，在縮短停工時間的同時，使生產資產利用率達到最高至關重要。物聯網設備製造商有責任生產更加安全的固化物聯網設備，這些設備只能存在最小的攻擊表面，並應利用默認的「開放」或不安全的安全配置規劃最安全的設置。

製造設施中聯網設備所面臨的挑戰通常也適用基於物聯網的消費產品。智能系統更新換代很快，而且可能使消費型物品更容易遭受網路威脅。對於一件物品來說，威脅可能微不足道，但如果涉及大量的聯網設備，影響將不可小覷——Mirai病毒攻擊就是一個例子。在應對威脅的過程中，資產管理和技術戰略將比以往任何時候都更重要。

人才缺口

2016年德勤與美國生產力和創新製造商聯盟（MAPI）的研究表明，75%的受訪高管認為他們缺少能夠有效實施並維持安全聯網生產生態圈的技能型人才資源。21隨著攻擊的復雜性和先進程度不斷提升，將越來越難找到高技能的網路安全人才，來設計和實施具備安全性、警覺性和韌性的網路安全解決方案。

網路威脅不斷變化，技術復雜性越來越高。搭載零日攻擊的先進惡意軟體能夠自動找到易受攻擊的設備，並在幾乎無人為參與的情況下進行擴散，並可能擊敗已遭受攻擊的信息技術/運營技術安全人員。這一趨勢令人感到不安，物聯網設備製造商需要生產更加安全的固化設備。

多管齊下，保護設備

在工業應用中，承擔一些非常重要和敏感任務——包括控制發電與電力配送，水凈化、化學品生產和提純、製造以及自動裝配生產線——的物聯網設備通常最容易遭受網路攻擊。由於生產設施不斷減少人為干預，因此僅在網關或網路邊界採取保護措施的做法已經沒有用（圖8）。

從設計流程開始考慮網路安全

製造商也許會覺得越來越有責任部署固化的、接近軍用級別的聯網設備。很多物聯網設備製造商已經表示他們需要採用包含了規劃和設計的安全編碼方法，並在整個硬體和軟體開發生命周期內採用領先的網路安全措施。22這個安全軟體開發生命周期在整個開發過程中添加了安全網關（用於評估安全控制措施是否有效），採用領先的安全措施，並用安全的軟體代碼和軟體庫生產具備一定功能的安全設備。通過利用安全軟體開發生命周期的安全措施，很多物聯網產品安全評估所發現的漏洞能夠在設計過程中得到解決。但如果可能的話，在傳統開發生命周期結束時應用安全修補程序通常會更加費力費錢。

從聯網設備端保護數據

物聯網設備所產生的大量信息對工業4.0製造商非常重要。基於工業4.0的技術如高級分析和機器學習能夠處理和分析這些信息，並根據計算分析結果實時或近乎實時地做出關鍵決策。這些敏感信息並不僅限於感測器與流程信息，還包括製造商的知識產權或者與隱私條例相關的數據。事實上，德勤與美國生產力和創新製造商聯盟（MAPI）的調研發現，近70%的製造商使用聯網產品傳輸個人信息，但近55%的製造商會對傳輸的信息加密。

生產固化設備需要採取可靠的安全措施，在整個數據生命周期間，敏感數據的安全同樣也需要得到保護。因此，物聯網設備製造商需要制定保護方案：不僅要安全地存放所有設備、本地以及雲端存儲的數據，還需要快速識別並報告任何可能危害這些數據安全的情況或活動。

保護雲端數據存儲和動態數據通常需要採用增強式加密、人工智慧和機器學習解決方案，以形成強大的、響應迅速的威脅情報、入侵檢測以及入侵防護解決方案。

隨著越來越多的物聯網設備實現聯網，潛在威脅面以及受損設備所面臨的風險都將增多。現在這些攻擊面可能還不足以形成嚴重的漏洞，但僅數月或數年後就能輕易形成漏洞。因此，設備聯網時必須使用補丁。確保設備安全的責任不應僅由消費者或聯網設備部署方承擔，而應由最適合實施最有效安全措施的設備製造商共同分擔。

應用人工智慧檢測威脅

2016年8月，美國國防高級研究計劃局舉辦了一場網路超級挑戰賽，最終排名靠前的七支隊伍在這場「全機器」的黑客競賽中提交了各自的人工智慧平台。網路超級挑戰賽發起於2013年，旨在找到一種能夠掃描網路、識別軟體漏洞並在無人為干預的情況下應用補丁的、人工智慧網路安全平台或技術。美國國防高級研究計劃局希望藉助人工智慧平台大大縮短人類以實時或接近實時的方式識別漏洞、開發軟體安全補丁所用的時間，從而減少網路攻擊風險。

真正意義上警覺的威脅檢測能力可能需要運用人工智慧的力量進行大海撈針。在物聯網設備產生海量數據的過程中，當前基於特徵的威脅檢測技術可能會因為重新收集數據流和實施狀態封包檢查而被迫達到極限。盡管這些基於特徵的檢測技術能夠應對流量不斷攀升，但其檢測特徵資料庫活動的能力仍舊有限。

在工業4.0時代，結合減少攻擊面、安全軟體開發生命周期、數據保護、安全和固化設備的硬體與固件以及機器學習，並藉助人工智慧實時響應威脅，對以具備安全性、警惕性和韌性的方式開發設備至關重要。如果不能應對安全風險，如「震網」和Mirai惡意程序的漏洞攻擊，也不能生產固化、安全的物聯網設備，則可能導致一種不好的狀況：關鍵基礎設施和製造業將經常遭受嚴重攻擊。

攻擊不可避免時，保持韌性

恰當利用固化程度很高的目標設備的安全性和警惕性，能夠有效震懾絕大部分攻擊者。然而，值得注意的是，雖然企業可以減少網路攻擊風險，但沒有一家企業能夠完全避免網路攻擊。保持韌性的前提是，接受某一天企業將遭受網路攻擊這一事實，而後謹慎行事。

韌性的培養過程包含三個階段：准備、響應、恢復。

准備。企業應當准備好有效應對各方面事故，明確定義角色、職責與行為。審慎的准備如危機模擬、事故演練和戰爭演習，能夠幫助企業了解差異，並在真實事故發生時採取有效的補救措施。

響應。應仔細規劃並對全公司有效告知管理層的響應措施。實施效果不佳的響應方案將擴大事件的影響、延長停產時間、減少收入並損害企業聲譽。這些影響所持續的時間將遠遠長於事故實際持續的時間。

恢復。企業應當認真規劃並實施恢復正常運營和限制企業遭受影響所需的措施。應將從事後分析中汲取到的教訓用於制定之後的事件響應計劃。具備韌性的企業應在迅速恢復運營和安全的同時將事故影響降至最低。在准備應對攻擊，了解遭受攻擊時的應對之策並快速消除攻擊的影響時，企業應全力應對、仔細規劃、充分執行。

推動網路公司發展至今日的比特（0和1）讓製造業的整個價值鏈經歷了從供應網路到智能工廠再到聯網物品的巨大轉變。隨著聯網技術應用的不斷普及，網路風險可能增加並發生改變，也有可能在價值鏈的不同階段和每一家企業有不同的表現。每家企業應以最能滿足其需求的方式適應工業生態圈。

企業不能只用一種簡單的解決方法或產品或補丁解決工業4.0所帶來的網路風險和威脅。如今，聯網技術為關鍵商業流程提供支持，但隨著這些流程的關聯性提高，可能會更容易出現漏洞。因此，企業需要重新思考其業務連續性、災難恢復力和響應計劃，以適應愈加復雜和普遍的網路環境。

法規和行業標准常常是被動的，「合規」通常表示最低安全要求。企業面臨著一個特別的挑戰——當前所採用的技術並不能完全保證安全，因為干擾者只需找出一個最薄弱的點便能成功入侵企業系統。這項挑戰可能還會升級:不斷提高的互聯性和收集處理實時分析將引入大量需要保護的聯網設備和數據。

企業需要採用具備安全性、警惕性和韌性的方法，了解風險，消除威脅：

安全性。採取審慎的、基於風險的方法，明確什麼是安全的信息以及如何確保信息安全。貴公司的知識產權是否安全？貴公司的供應鏈或工業控制系統環境是否容易遭到攻擊？

警惕性。持續監控系統、網路、設備、人員和環境，發現可能存在的威脅。需要利用實時威脅情報和人工智慧，了解危險行為，並快速識別引進的大量聯網設備所帶來的威脅。

韌性。隨時都可能發生事故。貴公司將會如何應對？多久能恢復正常運營？貴公司將如何快速消除事故影響？

由於企業越來越重視工業4.0所帶來的商業價值，企業將比以往任何時候更需要提出具備安全性、警惕性和韌性的網路風險解決方案。

報告出品方：德勤中國

獲取本報告pdf版請登錄【遠瞻智庫官網】或點擊鏈接：「鏈接」

㈩ 如何做好賓館酒店網路安全防範風險和網路威脅

1、在互聯網邊界做好邊界防護，包括埠級的訪問控制，入侵防禦，惡意代碼防護。
2、在接入層做好接入控制，比如部署准入系統；做好用戶行為審計，比如部署上網行為審計系統。
值得注意的是，設備不需要購置太多，關鍵是要做好防護策略。