日立评论

这里是土地和空间的起点

创建一个安全可靠的网络空间

跳到主要内容

日立

日立评论

这里是土地和空间的起点

作者简介

吴克群加藤

  • 产业政策司,政府和对外关系集团,株式会社日立制作所

表的内容

探险时代和海洋法

只要你来到这片美丽的土地上(这里是陆地和海洋的起点)。这句话被铭刻在一座石碑上,从欧亚大陆最西端的葡萄牙罗卡岛望向浩瀚的大西洋。这篇文章是葡萄牙著名诗人路易斯·德·卡莫斯写的,出自一首描写葡萄牙在探索时代的伟大成就的诗。正是葡萄牙和西班牙揭开了这段历史的序幕。

这两个国家都没有寻找到地中海,这是伊斯兰势力的控制之下,而是大西洋。葡萄牙探险家迪亚士巴尔托洛梅达到良好的好望角于1488年,并通过赞助西班牙,克里斯托弗·哥伦布在1492年打开了通道西印度群岛。

[1]托尔德西里亚斯条约[1]托尔德西里亚斯条约

为避免两国之间的竞争,他们签署了第1494条条约,同意将世界伟大的海洋的权利分开[1]。这些巨大权力的挑战是英格兰和荷兰的新兴国家。英格兰开始通过一类被称为私人家的海盗船只弥补财富* 1他们得到伊丽莎白女王一世的授权,从西班牙船只上掠夺南美的黄金、白银和其他贵重物品。当西班牙试图保持其海上路线的机密时,该情报是由弗朗西斯·沃尔辛厄姆爵士经营的一个网络获取的。沃尔辛厄姆爵士是伊丽莎白女王一世的首席秘书,后来被视为英国最早的间谍首脑。

荷兰人想要开辟通往印度洋的航线,这使得雨果·格罗秀斯(Hugo Grotius)在1609年提出了“自由海域”的概念。这是对葡萄牙的反对,因为葡萄牙垄断了与该区域的贸易,并标志着国际法的开始。凭借私掠船队的成功致富的英国,在与荷兰发生冲突时开始诉诸法律。英国反对自由海域的主张,提出了海洋管辖权的主张,引入了领海的概念,并于1651年通过了《航海法》。直到18世纪,对海洋的控制主要是建立在战争规则的基础上,但后来逐渐过渡到旨在增强海上旅行信心并使其更安全的法律。

1945年,美国总统杜鲁门发表了《杜鲁门宣言》,内容包括大陆架权利等,并考虑到近海油田和渔业。该公告在全世界产生了重大影响,并导致了一项国际条约(《大陆架公约》)以及专属经济区的概念。联合国海洋法会议于1958年举行,《联合国海洋法公约》于1994年生效,后者被称为“海洋宪法”。“《托尔德西拉斯条约》签署五百年后,关于海洋安全和保障的国际法终于生效。

* 1
已授予的船“私掠许可证”,意思是从一个国家的政府许可来攻击和掠夺敌国的船只。

黑客,海盗在网络空间的伟大时代

战争的葡萄牙男子被命名为它的相似到航行在海洋探险时代的轻快帆船海洋生物。在日本,然而,种(学名僧帽)通常被称为电动水母。电影是去年在日本发布了上播放这些有毒生物这个共同的名字:电气Kurage没有Inshidento(电动水母事件)。坐落在福冈,它是关于谁故意利差恶意软件为窃取移动电话和“白帽”黑客是谁给追逐个人信息的黑客之间的冲突。

恶意软件是计算机病毒等恶意程序的一般术语。它们有各种形式,包括通过传播文件或程序传播的病毒,传播为独立程序的蠕虫,以及似乎是合法软件但隐藏恶意目的的特洛伊木马。曾经用作尊重精通技能的人的尊重,“黑客”现在已经意味着网络空间的海盗,即试图获得未经授权访问网络的人(黑客)。与此同时,“白帽”黑客是指试图阻止这些恶意黑客的计算机安全人员。同样,“事件”是威胁网络的安全性的东西,例如黑客攻击或数据的破坏。虽然电影是虚构的工作,但实际的事件足以在小说或电影中保证一个地方。虽然出生在日本,但托特莫穆鲁拉自他的青少年少年以洛斯阿拉姆斯国家实验室等地方作为计算机安全专家活跃。1995年,他曾担任白帽黑客协助美国联邦调查局(FBI)的令人震惊的黑客逮捕,帮助追踪这个人的生活。在使用互联网时刚刚开始成为主流的时候,这一事件引起了广泛的关注,包括一本关于发生的事情的书,“抛弃”,这也被进入电影“搬运”(“追逐“在一些市场中)。

世界上第一个黑客出现在1903年,那时互联网和计算机还没有出现。在那一年,无线电电报的发明者古格里莫•马可尼进行了一项实验,他将一份明文传输从远在英格兰西海岸的康沃尔发送到300英里外的伦敦。不幸的是,有人成功地侵入了这个实验,并发送了一条他们自己的信息侮辱了马可尼。尽管这第一个黑客的身份尚不清楚,但魔术师内维尔·马斯基林(Nevil Maskelyne)创造了“黑客”一词,以表达无线电报(一种非常开放的基础设施形式)的脆弱性。

作为征服世界海洋的国家,英国认识到信息网络的重要性。随着电报作为一项实用技术的确立,海底电缆的铺设工作在19世纪50年代开始进行,电报网络尤其是横跨欧洲和美国,以及许多英国的海外殖民地。英国情报机构在第一次世界大战期间利用该网络破解了德国外交国务秘书亚瑟·齐默尔曼(Arthur Zimmermann)发给墨西哥政府的加密电报,鼓励墨西哥加入对抗美国的战争。英国将消息传递给了美国,但对其来源保密。“归因”一词用来表示对黑客或其他网络攻击负责的个人或组织的身份。这种归因并不容易,而且根据造成的损害程度或实际上是否有任何损害,攻击的受害者甚至可能没有意识到它已经发生,这一事实使情况更加复杂。

最近的奥运会也经历了大规模的网络攻击,包括伦敦和里约热内卢de Janeiro主办的奥运会。据称,仅伦敦就遭受了2亿次此类袭击。虽然它的延期已经被宣布,但计划于2020年在东京举行的奥运会也逐渐提高了公众对网络攻击和安全的意识,如上面讨论的新电影的上映。

网络空间的攻防

碧玉马斯基林,Nevil和他的父亲一样著名的魔术师的儿子,二战期间加入了英国陆军和戏弄隆美尔将军的德国非洲军团与利用魔术来伪装坦克不等,以移动亚历山大港和更聪明的计划使苏伊士运河消失。碧玉谈到魔术为科学和人类行为的知识的应用。这种思维方式也被称为社会工程,在网络空间,其中包括进攻和防御的应用。

Cyber​​attacks可以广泛分为那些不分青红皂白的人和目标。用于滥用网络内的示例技术包括将恶意软件附加到文件并通过电子邮件或嵌入网站中的恶意软件来扩展。Cyber​​attack的不分青红皂白族方法是赎金软件事件中的一个共同功能,其中恶意软件首先锁定受感染的计算机或加密所有数据,然后要求赎金撤消损坏。社会工程用于巧妙地利用用户的心理弱点,以欺骗他们打开附加文件。

有针对性的网络攻击,同时,往往政府机构或公司去后,特别是那些组织,如酒店,航空公司,和医院持有大量重要的个人信息。即使在这种情况下,然而,攻击常常先用一个假的电子邮件渗透到恶意软件,然后通过受害者的数据会犯下的。

Jasper Maillyne用假港和虚拟潜艇来保护来自敌人攻击的重要基础设施,这种方法也适用于网络防御。“沙箱”是计算机上的安全虚拟环境,可用于确定附加文件中包含的程序是否为恶意软件。类似地,“蜜罐”是通过例如在其操作系统(OS)中的漏洞来攻击攻击来检测网络内攻击的方式。

针对关键基础设施的针对性攻击的例子太多了,难以计数。2012年,中东一家石油工厂控制系统中使用的3000台电脑被恶意软件感染。2016年,美国总统大选后,美国和加拿大的电力系统遭到攻击。在针对政府机构的攻击中,最著名的例子是2007年针对爱沙尼亚的分布式拒绝服务(DDoS)攻击,爱沙尼亚是一个拥有完善IT基础设施的国家。DDoS攻击通常包括迫使目标服务关闭,方法包括用大量不同地址的数据淹没其服务器或其他系统。由于这些网络攻击有时是国家支持的,就像探索时代的私掠船,或者可能是神秘的国际恐怖组织的秘密行动,就像詹姆斯·邦德电影中那样,确定犯罪者是困难的,保持对这些攻击的完美防御也是困难的。

高级管理人员的网络安全意识

说起詹姆斯·邦德电影,他们已经包括了一些实例,其中M,英国情报部门的负责人,著名女演员朱迪·丹奇扮演,有她自己的PC通过债券或恶棍的一个黑客攻击的。虽然人们可能不知道如何低的人谁领导的情报机构可能真的是,其中M被黑客入侵导致了整个影片的价值冲突的事件之一的安全意识。Don’t be too quick to laugh this off as being just a movie: in real life a business e-mail fraud was detected in 2016 that involved fake e-mails purporting to be from the chief executive officer (CEO) of a European aerospace component manufacturer. In accordance with instructions received, accounting staff were duped into making an emergency transfer of 42 million euros to fund a corporate acquisition. Of this sum, the company only succeeded in recovering 10.9 million euros. Whereas M got the job done without succumbing to hacking, the long-serving CEO of the component manufacturer lost his job for dereliction of duty.

那部电影中的恶棍战斗。在最终的高潮对抗时,当债券和恶棍面对后者的秘密隐藏时,邦德起初发现它很容易进入。当该设施然后以某种方式被设置为达到时,火灾在整个大面积中占据了几个削减,掀起了一个巨大的网站范围爆炸并揭示了这一切,因为它的所有明显的辉煌,藏身物实际上很便宜地放在一起。虽然恶棍在袭击中占据了很大的攻击,但他尚未在安全方面进入,好像他看到了藏人只是一个成本中心。因此,他的计划被挫败了。

在这里,类似的事件发生在现实生活中(尽管它涉及到网络攻击,而不是物理上的)。一家北美的IT设备制造商,在2009年横空出世去经营了,因为在2000年左右它是在2004年发现,CEO和其他高层管理人员的帐户被劫持已根据网络攻击。保安人员敦促管理层采取相应的对策,但建议被忽视,从而使攻击继续为未来几年。这导致重要文件,包括研究和开发的材料和商业计划的盗窃,被认为是该公司的倒闭作出了贡献。

治疗网络安全作为一个管理问题,提高高级管理人员之间的安全意识是目前世界范围内的挑战。这导致了日本经济团体联合会(经团联)宣布其网络安全管理的宣言在2018年,随后在2019年网络风险手册出版公司董事。

框架网络安全

拥有一个网络安全框架可以帮助公司和他们的管理者了解安全。一个著名的例子是由美国国家标准和技术协会(NIST)于2014年2月[2]首次发布的框架。奥巴马总统在2013年的国情咨文中谈到了关键基础设施遭受网络攻击的风险,并在同年2月发布了第13636号行政命令(改善关键基础设施的网络安全)。NIST正是对此做出回应,制定了自己的网络安全框架。

框架定义了5个核心函数:(1)识别,(2)保护,(3)检测,(4)响应,(5)恢复。“识别”是指识别哪些信息和其他资产将受到保护,免受网络攻击。从管理的角度来看,这是一个涉及确定组织的核心竞争力和什么支撑了它的竞争优势的练习,了解业务的风险,如果这些被侵犯或破坏,并制定信息和其他需要保护的资产的清单。而第二个功能,“保护”,意味着部署实际的对策,考虑到没有任何防御将是100%有效的,“探测”,“反应”和“恢复”的功能也是必不可少的。

管理中的“识别”功能起着核心的作用,同时考虑因素,如企业理念,而其它功能由被称为计算机安全事件响应小组(CSIRT)或安全运营中心(SOC)专家小组来处理。CSIRT的出现是承认需要一个团队,可以提供与事件和其他相关信息及时更新整个组织,这在过去是由第一蠕虫感染CSIRT的1988年在互联网上完成服务于广泛的损害突出出来作为指挥中心的事件响应,与该组织之间的差别很大责任的范围。同样,SOC是一个专用于事件检测和响应小组。

日立established an incident response project in 1998 that was subsequently formalized as the Hitachi Incident Response Team (HIRT) in 2004. Along with incident response, HIRT supports Hitachi’s cybersecurity work by patching system vulnerabilities and dealing with in-house information security, and also through its work on customer information and control systems to ensure the security of Hitachi products and services. The SOC has been providing 24-hour-365-day monitoring of cyberattacks since October 2017. Hitachi’s activities also include the supply of managed security services (MSSs) for customers across more than 50 different countries and in four different languages (English, French, Spanish, and Japanese) from four sites around the world.

[2] NIST网络安全框架[2] NIST网络安全框架

让安全透明化

下村修博士,白帽黑客下村努的父亲,被授予诺贝尔化学奖于2008年为他的研究负责晶型水母的生物发光(绿色荧光蛋白(GFP)aequorea victoria)。当绿色荧光蛋白与细胞蛋白质结合时,绿色荧光蛋白的绿色生物发光更容易看到细胞内部发生了什么。

目前挑战的挑战之一,提高高级管理人员之间的安全意识就是如何提高透明度,使其更容易看到他们公司的网络安全程度。要重申,安全性并不是一个技术问题,因为它是管理问题。在这方面,日本网络安全创新委员会(JCIC)是一个致力于网络安全的Thinktank,已经提出了一个关键绩效指标(KPI)模型,这些模型利用货币和金融损失,以帮助人们欣赏安全是管理问题[3]。JCIC KPI模型将组织的安全性分类为三级“初始”,“改进”或“优化”,并使用“遵守性”的类别“培训/练习”,“组织/程序,“评估”和“外部合作”,以分组不同的安全措施。然后,该模型将这些形式与矩阵的形式结合起来表示公司的情况。

在2014年,英国政府推出了规定了公司和其他组织的核心安全活动的网络必备的认证方案。有了这个认证是一项条件的投标涉及机密信息的政府合同。同时,2018年修订的NIST网络安全框架中加入供应链风险管理为核心的功能。鉴于他们在与其他公司转互连,这显然是不够的,客户和供应商仅仅是为了提高自身安全的成熟度。相反,随着社会的5.0的特点是高层次的网络和物理领域之间的重叠,所需要的是提高网络安全的成熟横跨整个社会。

为表彰其商品,人员和组织,以及社会相互连接的方式,日立采用了建筑的安全生态系统的新战略。由于它的工作对实现社会5.0,日立正在采取措施,以提高网络回弹使人们将能够享受更高的安全性和安全性,追求建立通过行业,政府之间的合作创造建成了全社会的安全生态系统,以及拥有自己的内部活动以及学术界。

[3] JCIC的网络安全KPI模型[3] JCIC的网络安全KPI模型

针对更安全的网络空间和更安全的使用

在2019年达沃斯论坛上,安倍首相谈到了未来数据驱动社会中数据治理(“数据在信任下自由流动”)的重要性,提出了数据治理的“大阪轨道”。在同年的G20峰会上,他还敦促制定国际规则,提出了一个允许数据自由跨境流动的区域的想法。

之间的关系的信任和真诚,“日立成立精神的元素之一,Naosaburo高雄,在日立的早期的高级经理认为真诚是人类社会的基本道德原则,超越了时间和地点,而信任是最重要的关键基础设施仍在使用多长时间。因此,通过真诚努力的积累而建立起来的信任比什么都重要。他接着说,真诚制造的产品充满了真诚,使用真诚产品的公司本身也充满了真诚,这样的公司会兴旺发达。高雄设想的“真诚之链”,既是一股克服恶意软件和其他形式网络攻击的力量,也是建立在信任基础上安全使用网络空间的国际规则的基础。

现在,我们站在社会5.0的边缘和可能性的伟大浩瀚它提供,物理和网络世界的复杂混合体。日立通过提供人员,并帮助提高安全性的生态系统内的成熟程度,如吉林化工总头并主持日本CSIRT协会工作委员会提供安全的工作人员填写的角色发挥自己的作用。该公司还从事在全球范围内,参与国际标准化机构(包括ISO / IEC JTC 1 / SC 27,OASIS CTI和WG 10和IEC的工作组20 TC 65* 2),它希望抓住一切机会,将这种真诚的精神不仅传播到产品和服务的供应方,而且传播到整个生态系统和整个社会。

在这里,这里的土地结束,空间开始。(只要你住在这里,你就能享受生活。

石碑上刻有“只要你住在这里,你就能享受生活。(这里是陆地和海洋的尽头)”,以及从卡波·达·罗卡俯瞰大西洋的景色。石碑用“的Onde一个千佛SE acabaËÔ月começa(在这里,这里的土地结束,大海开始)”,并认为出过,从罗卡大西洋题写。

* 2名缩写
ISO国际标准化组织、国际电工委员会IEC: ISO / IEC JTC 1 / SC 27日:一个小组委员会(SC 27)联合技术委员会ISO和IEC (JCT 1),绿洲CTI:网络威胁情报(CTI)技术委员会的结构化信息标准促进组织(OASIS) TC 65: IEC技术委员会在工业过程测量、控制和自动化,WG:工作组

参考文献

1)
工业控制解决方案实验室有限公司,“逐份网络安全事件,”(2019年2月)在日本。
2)
“NTT网络安全实验室:网络安全作为管理的一个方面,”日经商业出版公司,东京(10月2015)在日本。
3)
T.卡基,“R&Security Technologies的d的安全和信任的社会基础设施,”日本杂志,55卷,7号,在日本国立情报学研究所(2014年7月)的信息处理学会。
4)
K.蒲田“介绍网络安全管理,” Kinzai公司,东京(10月2017)在日本。
5)
古贺明,“现代海商法的兴起:海商法的历史发展”,中华人民共和国海商法研究所硕士论文,台北,2004年。
6)
O. Shimomura,“从水母中学习:获得诺贝尔奖之路”,长崎本研社有限公司,长崎(2010年10月),日文。
7)
T. Shimomura等人,《拿下》,亥伯龙城,纽约(1996年1月)
8)
高雄,《日立回忆录》,日立印刷股份有限公司,东京(1985年2月),日文。
9)
1 .武田,《海洋地缘政治——400年霸权史》,中央研究院,东京(2019年11月),日文。
10)
一,武田,“海盗使世界历史,”筑摩书房有限公司,东京(2011年2月)在日本。
11)
土屋:“网络安全的地缘政治”,《国际电联学报》,第47卷,第9期(2017年9月),日文。
12)
D.费舍尔,“战争魔术师:该名男子谁编造的胜利在沙漠中,”韦登菲尔德和尼科尔森,伦敦(2004年10月)
13)
K.中尾,“历史认识通过安全技术:这是现在和未来”,日本,数字练习,卷信息处理学会。9,第3号(2018年7月)在日本。
14)
JCIC,“网络安全KPI模型”(2019年4月)
15)
Hitachi,Ltd。“2018年2月”(2019年2月)
16)
日立。“日立综合报告2019”(截至2019年3月31日)
17)
蓝色星球工程公司,“最终版-网络安全:新威胁与防御”,东洋经济公司,东京(2018年11月),日文。
18)
M. Matsubara,“网络安全,保护我们的数字生活方式”,“2019年11月11日”新彩沙出版有限公司。
19)
T.秘要“安全解决方案,帮助社会基础设施的数字化,”日立评论,67,第591〜596(8月2018)
20)
D. Gascuena,“Nevil Maskelyne vs Marconi: 1903年的黑客”(见2020年3月)。