远程检验,八大安全要点一个都不能少
2021-06-03 20:29 | 中国船检 船级社
在加强新型基础设施建设和疫情防控背景下,船舶远程检验发展迅速。借助移动互联网、新一代人工智能、大数据等新技术,对船舶实施隔空检验,大大提升了检验效率,探索了疫情背景下的检验新模式。
“安全与信息化是一体之两翼、驱动之双轮。在数字验船发展中,也要加强安全保障。要明确物联网安全、数据安全、网络安全、应用安全、个人信息安全、关键基础设施安全等网络安全任务目标,着力完善相关制度体系、技术体系、工程与服务体系,加强安全风险防范。
从整个远程检验架构来看,检验数据的采集、传输、存储到应用,身份、终端、网络和服务等各方面都存在安全隐患。
1、检验数据源安全:船舶检验的准确性源于数据源的准确性,在数据采集过程中,船舶设备、系统的采集数据如何保证不被篡改,数据的格式是不是具有完整性,我们从检验系统上得到的数据是不是原始数据,这都需要进一步进行确认。
2、数据传输过程安全:远程检验需要大量的信息传输以保证其检验的准确性,在信息传输过程中一定要做好安全方面的有关措施,大部分安全问题也是从这个环节渗透进去的。保障数据的安全传输,需要采取良好的数据加密技术以及网络攻击技术。
3、数据通信过程中:对各数据源设定固定的IP地址和端口,从物理通道上隔离了非法入侵,确保数据安全。对于视频等敏感数据采用自定义加密算法,如若数据泄露,在不掌握解密方法的情况下视频文件无法观看,在一定程度上确保视频文件数据安全。在LDP与各系统进行历史文件下载时,需要进行身份验证,验证通过方可进行文件传输,防止非法系统入侵网络,获取文件。
4、应用系统安全:对应用系统而言,最大的风险来自安全漏洞,包括开发过程中编码不符合安全规范而导致软件本身漏洞,以及由于使用不安全的第三方库而出现的漏洞等。
5、接入安全:接入网络的船舶设备与标识解析节点应具有唯一性标识,网络应对接入的设备与标识解析节点进行身份认证,保证合法接入和合法连接,对非法设备与标识解析节点的接入行为进行阻断与告警,形成网络可信接入机制。网络接入认证可采用基于数字证书的身份认证等机制来实现。
6、身份安全:身份验证要求对于访问任何资源的用户都进行严格的身份验证,且认证需要遵循最小特权原则。这意味着需要按照单个用户的粒度来提供用户所需要的访问权限。利用软件定义边界的方法可以最大程度地减少每个用户对核心数据的接触,把大安全区域划分为微隔离区。
7、终端安全:在确认用户身份以及权限之后,接下来需要对用户设备进行安全验证。设备验证不仅是一次性验证,还需要基于PDP/PEP的定义,针对每个应用和每个策略进行,以确保每台设备都得到授权,每台设备都是安全的。同时,终端安全还应包括数据安全治理的相关内容。尤其是数据泄密防护,在移动终端等设备上需要特别关注。
8、网络安全:传统网络可以实现传输的数据安全,但无法区隔合法应用和非法应用。这要求系统构架时,既要能满足全程全网安全性,又要能够做到应用隔离。可以通过轻量级单包授权协议来实现服务隐身和攻击防御,真正实现零信任的理念。
连接到网络节点的可以是计算机、智能手机、平板电脑或其他物联网设备。在模型中,网络由特定的节点组成,这些节点需要证明已获得有效的认证。在网络上注册账户之前,可以上传或验证此类证书。一旦获得授权,节点将能够通过网络对数据或交易进行数字签名。为了提高网络的可扩展性和避免网络延迟,模型将节点以多个集群的形式分组。
终端和网关两个核心控制点相互关联、双向认证,即使通过黑客类手段获取终端权限,利用伪造或中间人攻击等手段也无法突破网关的防护。
最后,要注重总体安全体系在构建过程中的地位,一般来说一个完整的安全体系有四个不同的部分:实体安全部分、网络安全部分、管理安全部分和应用安全部分,其中应用安全以及网络安全是安全工作的重点,要在防火墙构筑的过程中对限制访问、安全漏洞排查、实时网络环境监控和数据备份恢复等功能作为安全体系的重点功能。