一、什么是产品网络安全管理?

产品网络安全(Cyber Security)管理是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不会中断,而且网络通信的质量能得到保证。 

2024年3月15日,2024年中央广播电视总台3·15晚会曝光了使用“AI换脸”进行网络诈骗的行为。 

自2025年1月1日起,我国《网络数据安全管理条例》施行。

如今,人们周围的电子电气设备大部分是联网的物联网(IoT)设备,如智能手机、智能汽车、无人机、机器人、远程医疗、数字货币等场景。任何通过网络存储、处理或传输敏感信息,或控制关键基础设施的产品或服务,都可能面临网络安全风险,需评估其潜在威胁。因此,进行网络安全的设计是有必要的。 

 根据共创力咨询的总结,产品网络安全设计的内容主要包括以下八大类:

 

 

二、为什么需要产品网络安全管理?  

随着5G在全球的大规模应用, 基于有线或无线的网络通信越来越普遍,离开网络,个人及企业均无法生存,去超市购物,需要网络支付;坐地铁,需要刷手机二维码;去旅游,需要与家人保持联系并且发朋友圈,因此,网络通信越来越重要,但随着网络使用的频率越来越高,网络安全也遇到了前所未有的挑战,如以下是网络安全的一个典型案例:

 

 

据统计,2024年1至11月:全国检察长会议数据显示,2024年1至11月,检察机关起诉电信网络诈骗犯罪6.7万人,同比上升58.5% 根据共创力咨询的统计, 目前对于网络安全管理主要存在以下的挑战:

Availability(可用性)、Integrity(完整性)、Confidentiality(机密性)

机密性私密的数据不能透露给非授权的个体。

完整性:信息和程序只能按照指定且授权的方式进行修改,不能受到故意或无意的非授权操纵

可用性:系统必须及时的服务,不能拒绝向授权用户提供服务。

 

比如,从哈尔滨市公安局了解到,2025年哈尔滨第九届亚冬会期间,赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击。经查,美国国家安全局特定入侵行动办公室(简称“TAO”)凯瑟琳·威尔逊、罗伯特·思内尔、斯蒂芬·约翰逊等3名特工,参与实施了上述网络攻击活动。

另外,国家也颁布的不得强制采集人脸信息的合规倡议如下:

《人脸识别技术应用安全管理办法》已经2024年9月30日国家互联网信息办公室2024年第23次室务会会议审议通过,并经公安部同意,现予公布,自2025年6月1日起施行。这项制度的实施,保护了公民的隐私。

 

三、产品网络安全管理通常遇到哪些问题?

产品网络安全管理是一个系统性工程。涉及到产品的安全架构设计、测试、安全审核、安全风险评估与分析及加固,如对于软件设计, 需要对产品代码进行审视,找出安全漏洞。根据共创力咨询长期在网络安全领域的研究, 总结出以下的痛点:

  1. SE在进行系统设计时,DFX设计只考虑了DFT,DFS,DFM等,未考虑安全方面的设计;
  2. 缺乏安全测试的手段和工具,如黑客入侵、暴力破解、SQL注入等测试手段和工具;
  3. 数据的安全性无法得到保证,造成用户隐私泄露,不能保证用户的信息安全;
  4. 网络的稳定性,抗干扰性弱,如智能驾驶或者无人机功能,如果被黑客入侵,将会导致不可估量的损失;
  5. 缺乏专业的网络安全领域专家, 大部分的公司安全设计人员是兼职;
  6. 未建立产品的安全红线,对于安全的知识比较零散,不能系统分析安全的需求。

 

四、共创力咨询产品网络安全管理的总体框架

共创力咨询(联系方式:13928485154)自2014年成立以来,已帮助多家企业进行了IPD产品网络安全的咨询辅导,包括通信、无人机、物联网、智能终端设备等。我们认为在IPD模式下进行产品网络安全管理,总体框架如下:

 

安全设计的思想是贯穿于在整个系统架构设计阶段中的,而不是做完所有的架构设计后,再来孤立地来进行系统安全性的设计考虑。

大量历史经验表明,越早在架构设计阶段考虑到安全设计的系统,比那些在越晚的开发设计阶段才考虑安全设计的系统,要安全得多。

  

 

五、共创力产品网络安全管理咨询的方法和流程

共创力顾问组建议产品研发团队引入业界大获成功的基于IPD流程产品网络安全管理模式,业界通用的安全标准和应用如下:

 

前期启动调研:主要收集企业各产品线的安全需求,并根据目前的安全漏洞进行诊断。输出《产品网络安全管理建议书》

网络安全设计阶段:辅导各系统设计人员进行安全的设计,在TR1和TR2阶段输出《产品网络安全需求说明书》和《产品网络安全架构设计说明书》。

网络安全测试阶段:辅导安全测试人员进行网络安全的测试,包括安全测试需求分析和测试工具开发、引入。输出《产品安全测试用例设计》和《产品网络安全测试报告》

正式运作:对网络安全意识进行推广培训,并在IPD系统设计时充分考虑系统网络安全性的需求。

 

六、IPD模式下产品网络安全管理咨询的交付物

共创力咨询在IPD模式下产品网络安全管理咨询项目中会与甲方一起共同交付产品网络安全管理的体系文件,并共同评审最终的部分交付件如下:

ž   《产品网络安全需求说明书》

ž   《产品网络安全架构设计说明书》

ž   《产品安全测试用例设计》

ž   《产品网络安全测试报告》

ž   《产品网络安全架构设计原则》培训

ž   《产品网络安全测试》培训

 

七、共创力研发咨询成功案例

1、国内某通信企业(中国500强企业,上市公司)   

2、中航工业集团某公司(军工企业,上市公司)   

3、南京某工业机器人企业(工业机器人龙头,上市公司)   

4、深圳某智能控制企业(伺服器龙头企业,上市公司)   

5、北京某人工智能企业(AI龙头企业,上市公司)   

6、国家电网某研究院(电网直属企业,上市公司)   

7、珠海某电力公司(电力安全龙头企业,上市公司)   

8、某激光装备企业(中国500强企业,上市公司)     

9、某芯片企业(GPU龙头企业,上市公司)   

10、医疗器械企业(医疗装备龙头企业,上市公司)……