数字化革命正在将生产与业务流程结合起来,并将人工智能(AI)、云计算和增强现实(AR) 引入车间。通过在整个业务和供应链中收集实时数据, 企业可以更好地了解其运营情况,并分析和改进性能和维护。然而,这种更大的连通性,使制造业和工程部门在网络安全方面面临新的威胁。
制造企业和工程师更容易受到恶意软件、拒绝服务和设备黑客的攻击。如果设备遭到黑客攻击并失去控制, 可能会导致智能数据丢失、破坏停机时间和产品瑕疵, 甚至会造成健康和安全威胁。
随着对透明数据流的进一步关注,工厂车间和设备再也无法与主网络隔离。事实上,一切都是相互关联的, 更多的人和系统可以访问网络,这就为网络黑客打开了多个大门。移动设备也变得越来越普遍,很难确保总是及时完成安全更新。
数字化升级通常是分步实施的,这意味着旧系统与新系统并存,具有不同的安全性和脆弱性。再加上不能及时安装升级或补丁,这给企业带来了另一个挑战, 也给网络黑客带来了更多的机会。
制造业和工程部门需要采取一种全面的方法,将网络安全融入其业务的各个方面,创造一种安全文化。
在思考工业4.0 的网络安全时,需要重点考虑的因素包括:
如何确保系统和信息的完整性;
在整个数据生命周期内保护敏感信息;
关键系统的恢复过程,以及如何将事件影响降至最低。
首先,制造商必须首先评估其风险。为了保护智能网络免受网络罪犯的攻击,首先需要识别可能的风险及其发生的可能性。
应进行全面的风险评估,必须考虑组织、供应商及其技术。评估工业控制系统(ICS)的安全性、敏感数据的存储方式和位置、供应链的漏洞以及谁可以访问该系统。还要仔细观察哪些系统控制与物理过程相连接,以及如果遭到破坏,可能会带来什么后果。一旦知道了风险,就有可以着手制定缓解或消除这些风险的解决方案。
强化系统可减少网络安全威胁
强化系统有助于降低网络威胁的风险。这包括(但不局限于)一些下面的措施:
安装防火墙;
创建安装补丁的过程;
安装实时入侵检测或威胁情报;
加密;
访问和身份管理(物理和数字);
定期备份;
系统的细分。
制定灾难恢复计划或业务连续性计划,也有助于提高企业的应变能力,方法是确保组织做好应对事故的准备,并详细说明恢复正常所需的步骤。
保持持续的警惕是关键,应对网络、人员和环境进行持续监控,以尽早发现威胁。为了提高警惕,工人需要接受培训。应定期进行网络安全意识培训,尤其是在引入新技术或出现新威胁时。
此外,还应确保供应商以及与系统相关的任何其它组织,承诺进行定期审核,并在软件补丁可用后尽快安装。
发展安全文化
要创建安全第一的方法,将信息安全整合到整个企业中,最好实施一个全面的信息安全管理系统,如ISO 27001,其中包括物理、数字和法律风险的流程。
ISO 27001的114项控制措施,旨在帮助实施最佳实践流程,将安全性集成到人员、数字和实物资产中。这些过程包括访问控制、运营安全、系统获取和维护、供应商关系和事件管理,为在制造或工程业务中建立真正的安全文化提供必要的框架。
该标准还可以通过附加的实践规范进行扩展,以使其适应组织的需要。例如,ISO 27017提供了额外的控制措施,涵盖云服务的信息安全,而ISO 27018则解决了对保存在云中的个人身份信息的保护。
无论是否采用了管理系统,创建一个综合防御战略, 使安全性尽可能一致仍然很重要。
给小伙伴们一些建议:
目前国内互联网,网络安全是一个很大的缺口,但是这个缺口,是中高级网络安全工程师,一定要自己动手做点小项目,再去找工作。网络安全工程师的职业规划很多,决定了你是否愿意持续学习,因为后面可扩展的技术太多了。
工作前三年建议是选择成长大于薪资的公司,三年后可以更注重发展空间,越是困难的时候,越是要选择好道路。
网络安全学习路线&学习资源
网络安全学习路线
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
阶段一:基础入门
该阶段学完即可年薪15w+
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
阶段二:技术进阶(到了这一步你才算入门)
该阶段学完年薪25w+
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
阶段三:高阶提升
该阶段学完即可年薪30w+
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
阶段四:蓝队课程
攻防兼备,年薪收入可以达到40w+
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容
同学们可以扫描下方二维码获取哦!
学习教程
第一阶段:零基础入门系列教程
第二阶段:学习书籍
第三阶段:实战文档
尾言
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。!!!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
