推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展，青蓮云TinyScan高效檢測工業(yè)互聯(lián)網(wǎng)安全漏洞

　　一、工業(yè)互聯(lián)網(wǎng)國家政策體系不斷發(fā)展

　　2018年6月，工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃（2018-2020年）》

　　目標2020年底，初步建成工業(yè)互聯(lián)網(wǎng)基礎設施和產(chǎn)業(yè)體系，在重點任務八大行動中，明確提出安全保障水平增強行動。

　　2019年7月，十部門發(fā)布《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見通知》

　　第8條提到： 強化平臺和工業(yè)應用程序（APP）安全。要求工業(yè)互聯(lián)網(wǎng)平臺的建設、運營單位按照相關(guān)標準開展平臺建設，在平臺上線前進行安全評估，建立健全工業(yè)APP應用前安全檢測機制。

　　第14條提到：構(gòu)建工業(yè)互聯(lián)網(wǎng)設備、網(wǎng)絡、平臺、工業(yè)APP等的安全評估體系，依托產(chǎn)業(yè)聯(lián)盟、行業(yè)協(xié)會等第三方機構(gòu)為工業(yè)互聯(lián)網(wǎng)企業(yè)持續(xù)開展安全能力評測評估服務。

　　第15條提到：鼓勵和支持專業(yè)機構(gòu)、網(wǎng)絡安全企業(yè)等提供安全診斷評估、安全咨詢、數(shù)據(jù)保護、代碼檢查、系統(tǒng)加固、云端防護等服務。

　　第16條提到：加強攻擊防護、漏洞挖掘、態(tài)勢感知等安全產(chǎn)品研發(fā)。支持通過眾測眾研等創(chuàng)新方式，聚集社會力量，提升漏洞隱患發(fā)現(xiàn)技術(shù)能力。

　　2020年3月工信部發(fā)布《推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》

　　通知中明確提出要完善安全技術(shù)監(jiān)測體系和對100個以上的工業(yè)APP開展檢測分析，增強APP安全性。健全安全檢查檢測機制，定期對重點平臺、工業(yè)企業(yè)、工業(yè)APP開展檢查檢測， 指導和服務企業(yè)排查安全隱患，及時做好安全整改，提高企業(yè)安全防護水平。

　　二、工業(yè)互聯(lián)網(wǎng)安全隱患不斷顯現(xiàn)

　　由于工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，越來越多新的安全風險和攻擊面被暴露在互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)中。隨著業(yè)務上云和數(shù)據(jù)互通的場景出現(xiàn)，在享受互聯(lián)互通帶來節(jié)本提效的好處同時，也需要有能力識別出潛在的安全隱患。國家多部門在一系列有關(guān)工業(yè)互聯(lián)網(wǎng)的政府公告中也都提出針對工業(yè)互聯(lián)安全建設的指導意見。

　　在傳統(tǒng)工控安全領域之外，目前存在的可能導致工業(yè)生產(chǎn)安全的隱患有以下三類：

　　1、工業(yè)邊緣設備的安全： 如工業(yè)路由器、網(wǎng)關(guān)、DTU的安全，此類設備在部署位置上屬于核心邊緣節(jié)點，在功能上既要滿足邊緣計算，也要滿足數(shù)據(jù)收發(fā)，是工業(yè)生產(chǎn)安全和運營安全環(huán)節(jié)中的重要組成部分。但是通常情況下，工業(yè)邊緣設備并沒有一套完善的定期安全檢測機制和安全監(jiān)測機制，黑客可以通過攻擊工業(yè)邊緣設備來影響生產(chǎn)流程或者通過入侵邊緣設備來發(fā)起更大規(guī)模的工業(yè)內(nèi)網(wǎng)攻擊。

　　2、工業(yè)互聯(lián)網(wǎng)云平臺的安全： 隨著企業(yè)紛紛上云上平臺，不管是第三方的公有云平臺還是企業(yè)自己建立的私有云平臺，都面臨來自Web安全領域的黑客攻擊風險。工業(yè)互聯(lián)網(wǎng)云平臺作為PaaS服務在為工業(yè)設備和生產(chǎn)業(yè)務提供管理和運營的同時，其自身也是一個暴露在互聯(lián)網(wǎng)上的Web應用，隨時可能面臨諸如暴力破解、SQL注入、DDoS等網(wǎng)絡攻擊，而工業(yè)企業(yè)普遍對云安全和Web安全了解甚少，無法評估自身業(yè)務的安全健壯性。

　　3、工業(yè)APP的安全： 工業(yè)APP在業(yè)務發(fā)展上為工業(yè)互聯(lián)網(wǎng)場景帶來極大的管理便利性，基本實現(xiàn)了對工業(yè)設備的管理、對云平臺的管理、對業(yè)務流程的管理以及常見的數(shù)據(jù)分析、故障告警、售后維護等日常管理功能。工業(yè)APP在滿足管理功能的同時，自身也涉及到多類企業(yè)生產(chǎn)隱私數(shù)據(jù)、云端接口數(shù)據(jù)、業(yè)務管理權(quán)限等高危紅線，一旦發(fā)生安全事故，將有可能出現(xiàn)敏感數(shù)據(jù)泄露、生產(chǎn)安全流程被篡改等惡意后果。

　　基于以上三個安全維度和國家相關(guān)政策要求，青蓮云推出了IoT安全檢測平臺：TinyScan。TInyScan圍繞工業(yè)邊緣設備安全、工業(yè)互聯(lián)網(wǎng)云平臺安全、工業(yè)APP安全三方面提供端到端的遠程自動化安全檢測服務，并且提供標準的企業(yè)級API，可以與工業(yè)企業(yè)內(nèi)部信息系統(tǒng)集成，通過持續(xù)、定期、有效的安全檢測來構(gòu)建工業(yè)互聯(lián)網(wǎng)企業(yè)的生產(chǎn)研發(fā)安全監(jiān)測體系，規(guī)范企業(yè)安全測試流程，幫助企業(yè)建立安全測試和安全開發(fā)的技術(shù)規(guī)范。

　　三、青蓮云IoT安全檢測平臺產(chǎn)品介紹

　　平臺簡介：以SaaS服務的形式，提供覆蓋設備固件、云平臺/API、客戶端APP的遠程自動化安全檢測服務，并出具可下載、可復測的企業(yè)專屬安全檢測報告，標準的企業(yè)API接口，幫助企業(yè)實現(xiàn)定期自動化安全監(jiān)測，也可以通過API將TInyScan的自動化漏洞挖掘能力集成在企業(yè)內(nèi)部的安全管理平臺或運維平臺中，幫助企業(yè)建立屬于自己的安全測試流程。

　　平臺內(nèi)含數(shù)百種檢測項目，包括但不限于：

　　? 設備固件安全檢測： 軟件漏洞檢測、組件漏洞檢測、CVE漏洞識別、敏感信息檢測、硬編碼檢測、加密安全檢測、認證安全檢測、系統(tǒng)服務檢測、遠程溢出漏洞檢測、用戶密碼檢測等等。

　　? 云平臺/API安全檢測： SQL注入檢測、XSS檢測、遠程命令執(zhí)行檢測、遠程文件包含檢測、目錄遍歷檢測、CSRF檢測、身份識別檢測、水平權(quán)限檢測、敏感文件泄露檢測等等

　　? 客戶端APP檢測： 組件安全檢測、任意調(diào)試檢測、任意備份檢測、加密檢測、文件讀寫檢測、系統(tǒng)漏洞檢測、認證安全檢測、端口安全檢測、惡意代碼執(zhí)行檢測等等。

　　TInyScan安全檢測結(jié)果示例（支持PDF報告下載）

　　四、收費模式

　　青蓮云IoT安全檢測平臺提供免費版和商業(yè)版兩種版本，不同版本所提供的檢測能力和服務能力有所不同