首页 > 梆梆资讯 > 安“梆”兴业,论道安全2020

安“梆”兴业,论道安全2020

2020-12-31 梆梆观点8492

纵观2020年,疫情成为最大的黑天鹅事件。疫情加速了线上经济的发展。“在线xx”已经在各行各业各类场景中成为流行句式。在疫情的背景下中国5G加速部署。随着苹果公司在10月份相较中国手机厂商姗姗来迟的5G旗舰机正式发布,5G也成为名副其实的“进行时”。在这些驱动下,数字经济已经越发重要,在GDP比重中已经超过3成,并处在持续攀升阶段。

梆梆安全定位于计算机本质安全技术,围绕数字化业态提供安全赋能。从应用合规、应用保护、应用生命周期安全、物联网安全、工业互联网安全等角度带您回顾2020年数字化安全的发展以及未来展望。


应用合规篇

应用合规旨在帮助开发者解决应用合规性遵循问题。纵观2020年,监管部门在信息安全、个人信息保护领域不断发声,各种政策性文件、安全标准频繁发布。

2020年应用合规领域重点关注

1、2020年,是国家个人信息保护制度建设的关键之年。2020年5月,全国人大表决通过《中华人民共和国民法典》,明确个人信息受法律保护;7月、10月,《中华人民共和国数据安全法(草案)》《个人信息保护法(草案)》陆续出台,并完成意见征集。相关法律的出台将进一步提升网络法律环境,维护网络空间良好生态。中央网信办、工业和信息化部、公安部、国家市场监管总局四部门继续App违法违规收集使用个人信息治理工作。公安机关、工业和信息化部、人民银行也在2020年就个人信息保护问题对多家企业进行处罚。仅人民银行在2020年就开出涉及“个人金融信息”的行政处罚罚单181张,涉罚金额合超1.8亿元人民币。

2、2020年,央视“3.15”晚会曝光SDK违法违规收集用户个人信息问题,长期被大家忽视的SDK安全问题逐步浮出水面。信安标委发布《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》对SDK安全工作提出指引。

3、国家标准《信息安全技术 个人信息安全规范》更新,国标《信息安全技术 个人信息安全影响评估指南》落地。对于App个人信息保护工作的精细度提出新要求。

4、金融行业《个人金融信息保护技术规范》、《商业银行应用程序接口安全管理规范》、《移动金融客户端应用软件安全检测规范》、《商业银行应用程序接口安全管理检测规范》等技术规范、检测规范密集发布。电信终端产业协会发布《APP收集使用个人信息最小必要评估规范》《APP用户权益保护测评规范》标准族。各种标准的发布让合规检测更有据可查。 

2021年应用合规领域趋势

1、法律法规加速落地,应用合规力度空前,《中华人民共和国民法典》自2021年1月1日起施行。数据安全法、个人信息保护法等法律案均在2021年立法计划中,全国人大常委会在2021年会议继续审议,争取早日出台。预计数据安全保护、个人信息保护合规压力空前。

2、应用合规进入常态化、精细化的新阶段,工信部已经表态将加大力度,从2021年初继续开展为期半年的专项整治,对有令不行、整改不彻底、反复出现问题、搞技术对抗的企业和App严厉处置。可以预见公安部等机构也会跟进,延续2020年的监管动作,结合新发布的标准要求,应用合规将进入常态化、精细化的新阶段。

3、应用合规目标将会泛化:从2020年的监管布局来看,应用合规目标将不仅限于原生App、SDK,包括小程序、轻应用等新型应用形态均将被纳入监管范围,上述场景需要重点进行合规建设。

4、生物识别技术的衍生风险或被重点关注:随着人脸识别等生物识别技术在疫情期间的广泛应用,生物识别或成隐私泄露重灾区,目前国家已经开始制定相关安全标准,对生物特征的保护要求在《民法典》人格权编中也有明确规定。在2021年需要重点关注生物识别技术的衍生风险,保障生物识别数据的安全性并符合规范要求。


应用保护篇

应用保护旨在解决不同平台、不同开发语言、不同应用程序的安全防护问题。纵观2020年,是特殊的一年,疫情持续爆发、中美科技纷争不断、全球科技去中心化加速, 但2020年,也是充满机遇的一年,新的技术发展,带来了应用保护更加广阔的场景。

2020年应用保护领域重点关注

1、受疫情影响,小程序全面爆发,各行各业纷纷转战线上,全年小程序数量预计突破600万,全面覆盖金融、生活服务、内容资讯、线下零售、社区团购、餐饮、社交、旅游、教育、政务等领域。

2、信创产业全面提速,科技部发布《关于推进国家技术创新中心建设的总体方案(暂行)》,计划到2025年布局建设若干国家技术创新中心,突破制约我国产业安全的关键技术瓶颈。

3、华为正式发布了 HarmonyOS 2.0 手机开发者 Beta 版本,突破操作系统高度碎片化的局限。

4、国家力推新基建投资,把5G、人工智能、工业互联网、物联网定义为“新型基础设施建设”,新基建的建设大幕拉开。

2021年应用保护领域趋势

1、小程序保护将常态化:回顾2020年,小程序百花齐放、蜂拥而出,但基本都处于裸奔的无保护状态,2021年针对小程序代码缺陷漏洞识别、安全风险检测、代码产权保护、通信数据加密、数据存储安全等方面要进行重点安全防护建设。

2、针对鸿蒙系统的应用软件适配和保护将会加速:随着鸿蒙系统在手机侧的正式应用和推广,国内的主要民生、民建、政务类应用将会加速进行适配,包括金融、政府、教育、医疗等行业的应用软件需要提前考虑在鸿蒙系统上的安全保护措施。

3、新基建领域的应用保护需求凸显:基于5G、人工智能、物联网、工业物联网的新基建技术的广泛应用和大量业务迁移到数字基础设施,带来的安全风险挑战超出传统网络安全攻防的维度,在新型的攻防场景下,需要从攻防技术、数据安全技术、密码算法技术、通信破解技术等方面构建新的安全技术矩阵。

4、基于信创环境的应用保护技术将成为基础安全服务之一:信创产业进入全面推广阶段,包括金融、电力、电信、交通、医疗、教育、石油、航空航天等主要国计民生行业,将会加速对信创软硬件环境的适配和应用,同时,基于信创生态环境的应用安全保护技术将成为构建信创安全防护屏障的重要组成部分。


应用生命周期安全篇

 应用生命周期安全在解决应用上线后运行阶段的黑客、灰产、违规问题,帮助用户发现应用上线后的各类攻击行为,从动态攻击的技术源头进行感知分析,为用户快速建立事前、事中、事后的移动应用安全态势感知体系。纵观2020年,移动操作系统生态、国家监管合规、黑产攻击动向等都对客户上线后的安全产生了不小的影响。

2020年应用生命周期安全领域重点关注

 1、安卓11正式发布,安卓11加强了用户的隐私管理,针对定位信息、话筒、摄像头等可以给APP设置一次性授权,隐私合规从底层操作系统生态的角度也进一步增强。

2、基于M1芯片的全新一代MAC,最大的亮点在于传统的iOS应用可以运行在macOS上。这个变动对整个iOS的生态带来了重大影响,对比以安全性和封闭性著称的iOS,macOS则更加开放,基于操作系统的开放性,新版本的macOS成为众多黑客或灰产从业者的福地。

3、隐私合规的强力推进,使得数据采集进一步受限,不论是高敏感信息,还是一般敏感信息的采集都非常谨慎,所有的采集用途必须说明使用目的,这使得部分APP在实际运行过程中,当面临黑产攻击时,往往会被拒绝掉绝大部分的权限,以避免被跟踪和分析。

4、设备指纹随着操作系统的安全性及隐私保护能力的提升、隐私合规导致主观采集信息的减少以及攻击者主动进行拒绝权限及篡改参数,导致设备指纹已经逐步在抗攻击层面安全性逐步降低,设备指纹的核心风控参数地位正在逐步变成一个辅助风控参数指标。

 5、人脸识别作为典型的一种认证机制,常被用户各方的业务逻辑中。2020年1月,厦门市思明区人民法院,审理一起通过人脸验证逻辑漏洞而批量开立银行账户的案件。在案件过程中,人脸的绕过成为作案的关键步骤。在整个2020年,人脸的安全问题出现在众多客户业务场景中,最核心的问题在于前端信息采集的无法可信获取,其关键的前端业务逻辑无法得到正确执行,容易被劫持绕过。

6、中国人民银行通过建立一个行业级金融业态势感知与信息共享平台,实现对行业内安全信息的总览监测和态势数据综合分析。建立上下统一调度的指挥平台,协助成员单位快速共享情报,形成对行业内安全资产的风险管控。实现对金融行业网络安全整体的“可见、可查、可控”能力。

2021年应用生命周期安全领域趋势

1、Android操作系统越来越严格,信息采集将会越来越困难,传统依赖于前端设备硬件信息及权限的业务和安全规则将会面临严重挑战,如设备指纹等。

2、前端违规及绕过方式导致的业务风险将会进一步加强,如运营商的违规开SIM卡,金融行业的违规开2-3类账户,政府行业依赖于人脸的线上业务等。

3、纯依赖于后端的业务风控将会面临严重挑战,基于前端风险与后端业务数据关联分析的模式将会成为业务风控的主流。

4、安全运营在客户全生命周期安全中的重要性进一步增强,加强生命周期的安全运营,及时发现和处置未知风险,将会成为大中型客户的共同选择。


物联网安全篇

随着2020年全球范围内数字化转型的加速,以及5G、Wi-Fi 6、人工智能、机器学习等技术的发展演进,各类型智能终端的连通性得到极大提升。此外,受到COVID-19疫情的持续影响,预计明年仍将有相当数量的企业员工继续在家工作,教育、医疗、制造业、公共事业等多领域也将不得不引入更多智能化设备、传感器等,将数据、资产连接起来,以实现数据访问及远程协作。而物联网还远不是私密或安全的,巨量化、泛在化的智能终端安全能力差异巨大,易被利用成为新攻击源,应用场景的多元化也使供应链安全与统一管理面临更大挑战。

2020年物联网安全领域重点关注

1、随着疫情和远程办公的流行,大量安全性较差的智能家居产品,无论是家用WiFi路由器、家庭网关还是智能电视、摄像头,都成为黑客攻击和法规监管的重点对象。2020年1月,美国加州和俄勒冈州《物联网安全法》的生效,针对物联网设备制造商、电信运营商和供应链的安全监管正在升级并影响全球产业链。

2、2020年5月,“特斯拉汽车大面积失联,中国车主被锁车内”的新闻敲响了消费物联网的安全警钟。对于可威胁消费者生命安全的联网汽车和自动驾驶汽车,全国政协委员严望佳在两会期间提议推进智能车联网安全风险评估与检测,在《机动车运行技术条件》中增加信息安全要求,并建议无人驾驶汽车和智能联网汽车在投入使用前必须进行全面的信息安全风险评估。

3、随着新冠疫情的持续,医疗物联网(IoMT)发展加速,医生可以远程监控患者的健康状况或远程出诊,物联网健康设备和其他医疗技术在确保患者安全、协助检测和诊断以及管理治疗方面发挥了更大作用。然而,很多医疗设备在设计之初并没有考虑到网络安全,而打补丁通常也只能提供有限的保护。2020年医疗保健数据泄露事件的数量仅在上半年就几乎翻了一番。

2021年物联网安全领域趋势

1、面向物联网终端的安全需求将进一步提升,包括对工具和服务的需求,用以对软硬件进行安全评估与渗透测试,旨在更好地了解和评估连接到基础设施的物联网设备的存在和影响,以及这些设备可能存在的潜在漏洞。

2、随着5G应用场景的不断丰富,智能终端收集的数据量将急剧增加,更多的数据在边缘侧进行快速处理,数据安全处理和更有效的隐私控制等关注度也日益提升。监管合规也将逐渐成为推动物联网安全发展的主要因素。


工业互联网安全篇

2020年,对于作为新基建之一的工业互联网,数字化在疫情中发挥了巨大作用,是实体经济数字化转型的关键支撑,在国家和政府的高度重视,多重利好政策的刺激下,工业互联网迎来了蓬勃发展的一年。伴随工业互联网在各行各业的深耕落地,安全作为其发展的重要前提和保障,将会得到越来越多的重视,是未来保障工业互联网健康有序发展的重要基石和防护中心。

2020年工业互联网安全领域重点关注

1、工业互联网发展再迎利好政策,国家的顶层设计不断完善:工业和信息化部3月印发关于推动工业互联网加快发展的通知,7月印发《工业互联网专项工作组2020年工作计划》的通知,10月印发《“工业互联网+安全生产”行动计划(2021-2023年)》的通知。一系列相关文件出台,对工业互联网的发展起到了引导支撑的作用。

2、5G+工业互联网融合创新,项目应用快速落地:我国不断推进5G+工业互联网融合创新,目前全国建设项目超过1100个。10月29日,中国移动正式对外发布5G+工业互联网品牌“CMCC OnePOWER”及5G+工业互联网“1+1+1+N”产品体系,全面助力5G工业互联网融合创新发展。

3、工业APP爆发式增长,开启工业互联网蓝海:在2017年刚刚走过萌芽阶段的工业 APP,我国今年即爆发式地达到30万个。预计到 2025 年将达到百万规模。2030 年,工业 APP 开发和应用过程都将被人工智能技术颠覆,工业 APP 在工业内无处不在。多家机构研究认为,假设工业互联网发展情况和互联网大潮时期类似,到2030年工业互联网将为全球带来15万亿美元的GDP。

4、工业互联网安全事件不断增长,安全建设需同步进行:美国天然气管道遭受勒索软件攻击、钢铁制造商EVRAZ遭受勒索软件攻击、以色列水利基础设施遭受重大网络攻击、台湾两大炼油厂遭受勒索软件攻击等针对工业系统攻击事件不断增长,工业互联网安全需同步规划、同步建设、同步运营。

2021年工业互联网安全领域趋势

1、工业互联网安全政策持续利好:工业互联网安全是工业互联网健康有序发展的重要基石和防护中心,也是新基建加速发展的重要保障,工业互联网安全法律法规、政策标准将逐步完善和快速落地。

2、工业互联网安全市场持续爆发:随着等保2.0建设及各地工业互联网产业快速发展,工业互联网安全建设将全面加速,市场将迎来爆发式增长。

3、工业互联网安全事件持续关注:随着工业互联网发展,软件化、智能化、移动化的发展趋势,工业互联网面临着安全对象增多、安全边界扩大、安全风险增加的挑战,安全事件持续引起关注和重视。尤其是早期建设的工业控制系统中往往缺乏安全防护的措施和安全保障体系,一旦接入工业互联网中,会遭受较大安全挑战。

4、工业互联网安全技术持续创新:随着5G、智能终端等新技术、新产品引入,工业互联网安全技术也将随之不断提升,安全对象不断扩大、安全手段不断丰富、安全能力不断提高。尤其针对5G、智能终端、工业APP等进行安全技术不断升级以应对新的安全风险。 

5、工业互联网安全体系建设持续完善:工业互联网安全持续创新和突破,并伴随工业互联网进行同步规划、同步建设、同步运营,一方面从工业互联网生产网到互联网进行各工厂、集团智能化协同联动安全防御体系和安全运营体系建设,另一方面针对工业互联网中设备层、控制层、边缘层、平台层、工业APP层从固件、代码层进行安全检测和全方面防护,从本质安全角度进行系统级安全体系建设。

 

梆梆安全始终坚持本质层面做安全,围绕程序和数据两个层面构建安全。5大核心技术包含安全功能抽象、程序质量、程序保护、信任根构建和派生、程序可信。2020年,梆梆安全迎来了10年司庆,这5大层面技术在过往的十年里在安卓、iOS、H5、物联网终端、车联网、工业互联网上得到了广泛应用,梆梆安全在不断塑造数字化元素、数字化业务安全的内生和外延。 2020年是充满挑战的一年,充满变化的一年,也是孕育机遇的一年。安全业务越趋务实,各行各业数字化业态加速转型,“万物智联”也在加速落地。梆梆将不断坚持技术层面的创新,加持围绕客户需求,对客户数字化转型进行安全护航。

  • 渠道商申请
  • 真诚期待各位合作伙伴加盟,同梆梆安全一起塑造辉煌
  • 立即申请 > >
  • 服务热线
  • 在使用过程中遇到的任何问题,请随时联系梆梆安全客服人员,我们将第一时间为您解答
  • 4008-881-881
  • 在线反馈
  • 用心聆听用户声音,您的建议、评价、吐槽,是我们产品前进的动力
  • 我要反馈 > >
  • 帮助中心
  • 为您提供产品描述、功能介绍、使用方法、常见问题解答等内容,便于快速了解梆梆各项产品服务
  • 点击前往 > >