为什么贵公司需要在实施安全计划之前制定安全策略

核心观点与关键数据

• 安全重要性：安全是跨行业的关键问题，嵌入式设备安全对企业整体安全至关重要。网络攻击来源多样，包括侧信道攻击、内存和总线攻击、冷启动攻击及网络攻击。
• 数据泄露现状：IdentityForce®报告显示，2019年前9个月全球超过79亿条数据记录泄露，同比增长33%。TechCrunch报道黑客攻击能源和电信公司，United States Cybersecurity Magazine指出31%的组织曾遭遇运营技术网络攻击。
• 调研结果：Electronic Design杂志调研发现，嵌入式系统安全是重要但具有挑战性的课题。受访者来自工业、医疗、国防、汽车等行业，63%的管理者和59%的个人贡献者认为设备故障或被接管是最大威胁。
• 安全要求来源：企业主要关注行业建议作为安全要求来源，其次是内部建议和政府机构建议。46%的高管认为公司投入10-24%的精力用于安全功能，但40%的个人贡献者认为不足9%。

研究结论

• 安全政策缺失：调查显示，首要障碍是确定资产安全程度，其次是实施复杂性、内部专业知识有限和预算限制。
• 生命周期认知差异：高管认为设计阶段最耗时（35%），而个人贡献者认为设计（30%）、实施（29%）和需求（24%）时间相当，维护（16%）最少。
• 安全实践认知偏差：60-66%的受访者认为监控设备安全事件重要，但仅32%的个人贡献者认为主动监控漏洞公告必要。近半数高管通过模拟工具测试，但近三分之二的公司仅做有限测试。
• 维护与检测不足：9-12%的公司不做安全维护更新，34%的受访者认为自己从未遭受过安全事件，但实际可能依赖客户发现漏洞。

安全计划建议

• 制定安全政策：建立基于CIA三要素（机密性、完整性、可用性）的安全政策，明确各阶段安全要求。
• 多层次防御：采用分层防御策略，结合DevSecOps和系统模拟，持续监控和缓解威胁。
• 持续维护：部署后持续更新和修补，确保设备长期安全。

风险与建议

• 高风险领域：医疗、工业、基础设施等领域设备故障可能导致灾难性后果，需高度重视。
• 解决方案：Wind River提供VxWorks、Linux、Helix虚拟化平台等安全软件，以及安全评估、专业服务和培训。