为什么网络安全对于智慧城市至关重要

随着智慧城市变得越来越智能，确保其安全性变得越来越重要。毕竟，它们严重依赖信息网络以及系统、传感器和设备之间的连接。

凭借如此巨大的规模，可能会有网络攻击者利用“bolted on”安全性并渗透到系统中，获取敏感信息，甚至可能破坏关键操作。没有在系统中有效设计安全性的情况下，黑客就可以寻找不安全的端口，访问居民的家用计算机网络，并窃取银行或保险记录等个人数据。

这就是为什么在确保智慧城市的安全性和隐私性时，设计安全性、良好的安全卫生习惯以及一组网络专家至关重要。

 基于零信任打造封闭访问空间

开放是互联网的宗旨，而网络安全是保持系统正常运行的需要，对应用的访问面临着开放和封闭的选择。是选择通过开放的互联网公有协议访问，还是选择基于零信任的封闭加密私有协议访问，很大程度上取决于我们所访问的应用对网络安全的要求，基于场景去权衡封闭与开放的关系是应用和安全要考虑的首要问题之一。

零信任网络将封闭区间延伸至用户侧和数据侧，从紧靠用户的统一入口，到贴近应用的访问网关，加上控制中心，零信任网络打造了一个全封闭的应用访问系统，最大化封闭区间，最小化数据暴露面，充分保障应用访问安全。

 美国ICT供应链风险管理特别任务组工作观察及启示

随着大国博弈的日益激烈及中国在人工智能、5G等新技术方面的崛起，美国对供应链的完整性及脆弱性表示出了越来越多的担忧。鉴于国家关键基础设施和各级政府对ICT技术的严重依赖，美国政府认为，确保ICT技术供应链的弹性和可信不仅仅是一个网络安全问题，而是一个影响国家安全、经济安全、公共卫生和安全的问题。

近年来，美国在ICT供应链风险管理方面频繁推出多项新的政策措施，ICT供应链风险管理特别工作组，作为美国公私合作的供应链风险管理伙伴关系的试点和范例，正是针对解决这些现实问题而建立的，肩负着识别和制定加强ICT供应链安全的共识性战略的关键任务。

水坑攻击的原理和预防措施

水坑攻击属于APT攻击的一种，与钓鱼攻击相比，攻击者无需耗费精力制作钓鱼网站，而是利用合法网站的弱点，隐蔽性比较强。在人们安全意识不断加强的今天，攻击者处心积虑地制作钓鱼网站却被有心人轻易识破，而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码，攻击代码利用浏览器的缺陷，被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。

 聊聊关于系统安全的话题

公司的信息安全体系建设是每个安全从业人员，尤其是安全管理者所绕不过的工作内容;信息安全技术体系是为了实现公司安全建设目标，对公司技术相应风险进行识别，并建立相应的安全技术措施，实现层级保护结构，保护信息资产，实现业务持续性发展。

主机系统是信息系统的关键载体，系统安全是技术体系层级保护中比较重要的一环，如果系统配置不当可能会导致黑客利用系统漏洞进行攻击，可能导致系统出现权限提升、非授权访问、软件或服务崩溃，病毒木马等情况。

 威胁捕捉：化被动为主动

威胁捕捉是指主动去搜索隐藏在系统中的威胁活动。安全专家认为，威胁捕捉正在成为企业安全的必备元素；传统的边界防御尽管依然重要，但并非万无一失。

当然，企业的安全团队总是肩负着发现企业当中的威胁，并且在他们绕过企业防御的时候拦截的重任。但是，安全团队往往只有在威胁暴露自己的时候才会发现这些威胁——比如威胁触发了SOC的告警系统。

管理咨询公司Protiviti的安全与隐私主任Mike Ortlieb表示：“威胁在被检测到之前，在系统中的平均时间长达100多天，因为有必要更主动地去发现这些威胁；而威胁捕捉可以让你在攻击者成功前发现他们。”

 国内外VPN产品安全现状和趋势的思考

VPN，全称为虚拟专用网络，其主要作用是连接处于互联网上的各个终端，使其能够像在局域网一样访问彼此的资源，并且提供统一的数据加密，授权管理服务，因此在政府、学校、商业机构中被广泛应用。VPN在疫情期间变得越来越火，企业级用户激增，其带来丰厚效益提升的同时也带来层出不穷的问题。

以国外的VPN为例，在过去一年中海外的其他VPN服务提供商例如：Palo Alto Networks、Fortinet、Cisco等都被披露有严重安全漏洞。从身份验证失效，到远程代码执行问题，从登录信息泄漏，到权限管理失效。国内的VPN也一样，目前国内市场占有率靠前的深信服，其VPN也面临同样的情况，也在今年被爆出了漏洞。