食品安全为什么要采用零信任方法?

近日,我国再次曝出震惊全球的食品安全重大事件,一批食用油被发现与煤制油混装运输,导致食用油中残留有害化学物质。此事件不仅极大挫伤了消费者对食品安全的信心,更暴露了食品行业积攒数十年的“安全债”。

今天,千疮百孔的食品安全早已不是仅仅“修补漏洞”就能解决的企业责任和法规监管问题,而是一个需要系统性变革的重大社会议题。为了彻底解决食品安全问题,食品行业亟需引入“零信任”方法。

什么是“零信任”方法?

“零信任”(Zero Trust)原本是一个信息安全领域的概念,由Forrester Research的分析师约翰·金德维格(John Kindervag)于2010年提出。其核心思想是:“永不信任、始终验证”。不信任任何人,默认所有访问请求都是潜在的威胁。通过严格的身份验证、权限控制和持续监测,来确保系统的安全性。

通俗来说,所谓零信任方法,就是假设任何产品、服务、流程、制度、权限的设计和使用者都是“草台班子”,任何内部和外部人员都是潜在“威胁行为者”,通过消除一切“潜规则”和“隐式信任”,提高安全能见度。在一个危机四伏,充满不确定性的丛林时代重新打造实时可信的生产和消费环境。

当我们将“零信任”方法跨界应用到食品安全领域,其具体定义可映射为:无论是原材料供应商、生产加工企业,运输企业,还是终端销售商,均需严格审核和监控,任何环节的技术、人员、流程都不能被盲目信任或逃避监管,任何操作都需要动态验证和检测。

在物联网、5G移动通信、大数据分析等信息技术高度发达(过剩)的今天,将网络安全行业颇为成熟的零信任方法应用到食品安全领域已经不再有技术门槛。

食品安全的供应链威胁

现代食品供应链异常复杂,从原材料的种植、收购、运输,到加工、包装、存储,再到最后的分销和销售。任何一个环节出现问题,都可能导致整个产品的安全性受到威胁。而现有的监管体系往往难以全面、实时覆盖每一个细节。在我国,食用油(以及更为广泛的食品类别)的生产和销售尤其如此。

近年来,随着食品安全法规的不断完善,虽然整体情况有所改善,但个别企业仍存在钻法律空子、违规操作的现象。例如,《食用植物油散装运输规范》(GB/T 30354-2013)国家标准明确要求运输食用油应使用专用车辆,但由于该标准只是推荐性的,缺乏强制执行力,导致许多企业未能严格遵守。

与此同时,与食用油运输直接相关的强制性法规既没有明确禁止“交叉运输”,也没有给出明确的检测范围和标准。例如,《中华人民共和国食品安全法》第三十三条规定:贮存、运输和装卸食品的容器、工具和设备应当安全、无害,保持清洁,防止食品污染,并符合保证食品安全所需的温度、湿度等特殊要求,不得将食品与有毒、有害物品一同贮存、运输。

《粮食流通管理条例》也未明确禁止“交叉运输”,该条例要求:不得使用被污染的运输工具或者包装材料运输粮食,不得与有毒有害物质混装运输。大豆、油料和食用植物油的收购、销售、储存、运输、加工、进出口等经营活动,适用本条例。

据《财经》道,矿物油甚至不在食用油(有害物品)检测检测范围。《财经》采访的业内专家称,矿物油检测属于风险检测项目,不是食用油的监督抽查项目,这给食用油的混装运输留下了隐患。

零信任方法如何保障食品安全?

根据“扩展事故三角”理论,每次重大(死亡)事故之前都有10次严重事故、30次轻微事故、600次未遂事故以及无数次不安全操作。此次食用油与工业制品混装的食品安全事故,也绝非偶然突发事件,而是多年来行业内广泛存在的“潜规则”,相关法规标准和风险评估多年来形同虚设。这进一步凸显了实施零信任方法的重要性:

1

全面身份/资质验证

在零信任框架下,每一个参与食品供应链的企业、个人、资产都需要进行严格的身份/资质验证,真正做到不留死角。生产商需要对原材料供应商进行详细的背景调查和资质审核;同时,终端销售商也需要对其进货和物流渠道进行严格把关。通过建立一个统一的身份认证系统,可以确保每一个环节的参与者都是可信并安全的。

2

实时监控和数据透明

零信任方法强调实时监控和数据透明。在食品安全领域,这意味着需要建立一个覆盖全供应链的实时监控系统。通过物联网(IoT)技术和区块链技术,可以实现对原材料来源、生产加工过程、物流运输和终端销售的全程追踪。每一个环节的数据都应当公开透明,消费者可以随时查询产品的生产和流通过程,确保其安全性。

3

持续风险评估和动态调整

零信任方法并不是一成不变的。它要求对每一个环节进行持续的风险评估,根据实际情况进行动态调整。在食品安全领域,监管部门需要根据市场情况和风险评估结果,及时调整监管措施和标准。例如,对于存在潜在风险的原材料供应商,可以增加抽检频次;对于高风险的生产工艺和运输环节,可以实施更严格的监管措施。

零信任机制需要自上而下建立

尽管零信任方法在理论上具有很大的优势,但在现实中推行这一方法仍面临诸多挑战。

首先,技术基础设施的建设需要大量的投入。实时监控系统、区块链技术、物联网设备的安装和维护,都需要巨大的资金和技术支持。对于一些中小型企业来说,这无疑是一个巨大的负担。

其次,零信任方法的推行需要整个行业的协同合作。单靠某一家企业的努力,难以形成全供应链的安全保障。监管部门需要加强行业协调,推动建立统一的标准和规范、法规和制度,确保每一个环节都能严格执行零信任方法。

此外,消费者的参与和监督也是不可或缺的一环。只有当消费者对食品安全有足够的认知,并积极参与监督,企业和监管部门才能真正做到透明和公正。通过建立消费者投诉和反馈机制,可以有效地促进企业改进和提升食品安全水平。(例如油罐车轨迹查询等食品安全相关数据平台向公众开放)

每个行业都需要“零信任”

“360行,行行要人命”。在当前复杂的全球环境中,食品安全、意识形态安全、公共卫生安全、人工智能安全、交通安全和生态安全等领域的安全威胁日益严峻,安全态势感知与应急响应能力亟待加强。每一个领域都涉及到广泛的供应链和复杂的监管体系,任何一个环节出现漏洞,都可能带来巨大的生命财产安全隐患和社会影响。

数字化时代,物理与网络空间的融合为网络安全领域最先进的理念之一——零信任方法的“跨界”铺平了道路。例如,疫情期间,公共卫生安全问题凸显,各国纷纷加强对药品、医疗设备的供应链监管。意识形态安全方面,信息传播的安全性和真实性也成为各国政府关注的重点。生态安全领域,环境保护和可持续发展的要求,使得资源的开采、加工和流通环节的监管更加严格。

这些领域的共同特点是,安全问题不仅仅是技术层面的问题,更是涉及到社会、经济、政治等多个层面的复杂问题。零信任方法通过全面的身份验证、实时监控和持续风险评估,为这些领域的安全提供了一种全新的系统性安全架构。

据业内预测,随着全球对安全问题的重视和监管力度的加大,零信任方法在各个领域的应用前景广阔,预计将为网络安全市场打开万亿级别的市场空间。未来,每个行业和大型组织都需要建立自己的安全运营中心(SOC),通过实时监控和数据分析,识别和应对潜在的安全威胁,确保业务的连续性和安全性。

前一篇网络安全保险市场迎来全球化扩张引爆点
后一篇德国将把华为设备清除出其5G移动网络