工业数据防 黑客0803.docx

工业数据防 黑客0803.docx

《工业数据防 黑客0803.docx》由会员分享，可在线阅读，更多相关《工业数据防 黑客0803.docx（5页珍藏版）》请在冰豆网上搜索。

工业数据防黑客0803

工业数据-防黑客

工业数据：

黑客盯上的又一块“肥肉”

科技日报| 2018-08-0101:

39:

09

　　工业数据：

黑客盯上的又一块“肥肉”

　　数据平台存在的漏洞是导致此次事件发生的根本原因。

近年来，工业数据平台被曝出的漏洞日益增多，且大量集中在装备制造、交通、能源等重要领域。

一些黑客正是利用这些漏洞，窃取了大量的工业信息。

　　包括克莱斯勒、福特、特斯拉等全球100家车企的超过47000个机密文件遭外泄，这一被媒体称为迄今为止最严重的工业数据“车祸”于近日发生。

　　据报道，数据泄露的源头指向了这些车厂共同的服务器提供商LevelOneRoboticsandControls（以下简称LevelOne），泄露的数据包括产品设计原理图、装配线原理图、工厂平面图、采购合同等敏感信息。

　　“这只是全球近年来频发的工业信息安全事故的缩影。

”7月30日北京理工大学网络攻防对抗技术研究所所长闫怀志在接受科技日报记者采访时说，从全球发展趋势来看，工业互联网和工业数据日益成为黑客攻击的重点目标。

　　那么，到底谁是这次工业数据泄露事件的罪魁祸首呢？

我们又该如何有效防止类似事件的发生呢？

　　访问不设限酿“车祸”平台漏洞是祸首

　　“车祸”主角LevelOne是一家数据管理平台公司，它主要提供基于客户原始数据的定制化服务。

　　“LevelOne在使用远程数据同步工具rsync处理数据时，备份服务器没有限制使用者的IP地址，并且未设置身份验证等用户访问权限，因此任何人都能直接通过rsync访问备份服务器，这是导致事故发生的主要原因。

”7月30日宝沃汽车（上海）有限公司总工程师刘凯在接受科技日报记者采访时说，“由于业务扩展需要，如今越来越多的第三方公司获得了车企的访问权限，车企数据泄露的风险也就随之增加。

”

　　在闫怀志看来，数据平台存在的漏洞是导致此次事件发生的根本原因。

“近年来，工业数据平台被曝出的漏洞日益增多，尤其是工业控制系统内的安全漏洞层出不穷，且大量集中在装备制造、交通、能源等重要领域，严重威胁国家信息基础设施安全。

一些黑客正是利用这些漏洞，窃取了大量的工业敏感信息。

”闫怀志说。

　　自2015年以来，全球每年发生的工业信息安全事件接近300起，工业领域已成为网络攻击“重灾区”。

　　国家工业信息安全发展研究中心监测数据结果显示，我国3000余个暴露在互联网上的工业控制系统，95%以上都存在漏洞，可轻易被远程控制，约20%的重要工控系统可被远程入侵并完全接管。

　　“目前很多工业系统和设备没有防护软件，也未安装杀毒系统，一旦上了网就基本处于‘裸奔’状态。

”一位业内人士表示，目前我国一些通信、能源、水利、电力等关键基础设施存在着较大的安全风险，而入侵和控制工业信息系统也已成为商业上打压竞争对手的不法手段。

　　企业安全意识薄弱相关人才储备匮乏

　　“目前，我国很多地区、部门、工业企业对工业数据安全重视不够，重发展轻安全，不重视漏洞、修复不及时等现象普遍存在。

”闫怀志说。

　　据360补天漏洞响应平台统计，在其涵盖的工业相关信息系统漏洞中，25.6%的漏洞未进行修复，一些漏洞的平均修复时间长达数月之久。

　　我国对工业信息领域安全的认识还处在初级阶段。

2017年5月“WannaCry”勒索病毒事件暴发，微软在当年3月就发布了相应的安全漏洞补丁，但我国很多单位一直由于未及时打补丁，导致近30万台主机和电脑被感染。

　　直到今年，360公司还能监测到每天有近千台电脑感染此勒索病毒。

　　在企业中，因私人行为导致设备感染病毒的情况也较为多见。

例如，个人通过工控设备违规上网，或是厂商的维护人员电脑感染病毒后造成设备系统全网感染等。

　　此外，我国工业企业目前的防护技术还较为落后。

国家工业信息安全发展研究中心通过安全监测发现，工业企业信息安全应急备灾手段不足，约70%的被调查企业缺少完善的应灾备灾体系。

　　防护技术之外，我国在工业信息领域的核心产品自主可控度也较低。

　　国家工业信息安全产业发展联盟发布的《2017年工业信息安全态势白皮书》显示，国产数据库仅占据7%的低端市场，大量工控系统由外国厂商提供运行维护。

我国部分企业不具备自主维护能力，而且缺乏对外国产品和服务的监管。

　　同时，人才匮乏也是导致工业信息安全技术薄弱的原因之一。

“公共信息安全人才需掌握自动化和网络安全两个学科的知识和技能，这类人才缺口巨大。

但目前在高校中尚没有设立工业信息安全领域硕士、博士的培养方向，工业信息安全从业人员几乎都是在实践中学习。

”闫怀志说。

　　筑防线需多方合力可借鉴欧盟做法

　　“工业大数据的共享是工业互联网应用的基础和灵魂，而工业数据安全及隐私保护又是一切应用的前提。

”闫怀志建议，要想给工业信息构筑起一道“防线”，首先企业应树立信息安全与隐私保护意识。

　　闫怀志介绍，传统IT网络中的隐私规范，主要应用“告知与许可”原则，由信息所有者自行决定可否、如何且由谁来处理或利用其信息，信息隐私保护的责任方为信息所有者。

在工业大数据和工业互联网领域，工业数据需要被多次使用，传统的“告知与许可”隐私保护机制不具备现实可行性，工业数据信息隐私保护的责任将由数据使用方来承担。

这种方式下可采用的保护手段包括数据分类分级和数据脱敏等。

　　此外，掌握大量工业信息的数据平台也应肩负起管理的责任。

“此前我国网络安全与信息平台监管主体不清晰，多头监管问题突出，信息系统平台安全监管不力甚至监管缺失的情况时有发生，特别是在工业互联网和工业数据安全保护方面表现得更为突出。

”闫怀志表示，“平台应不断完善数据隐私保护以及网络安全策略，成立数据安全与隐私保护的专门负责机构或组织。

”

　　360集团董事长兼CEO周鸿祎也强调了漏洞管理的问题。

他认为，应建立漏洞管理全流程监督处罚制度，制定覆盖网络安全漏洞的发现、审核、披露、通报、修复、追责等全流程管理细则，强制要求漏洞必须及时修复，对漏洞修复时间以及违规处罚措施予以明确规定。

此外，应建立监督检查机制和力量，及时发现未及时修复漏洞，追究相关单位和责任人责任。

　　中国政法大学法学院大数据和人工智能法律研究中心主任汪庆华教授则从立法角度给出了建议。

他对科技日报记者说，我国在网络安全和信息保护方面的立法呈现出分散式立法、多头式监管的特点。

目前，我国已经初步建立起了以《网络安全法》为中心的分散式信息保护和数据安全方面的法律体系，未来还需进一步加强相关立法工作。

　　在政府监管方面上，闫怀志认为，我国可参考借鉴欧盟出台《通用数据保护条例》（GDPR）的做法，提高对信息非法获取的惩戒力度。

　　“GDPR是与当前网络空间现状最为契合的数据保护条例，要求手握数据的企业和机构设立专门的数据保护官员来负责数据管理。

我国也可适当借鉴，要求企业和机构设立类似职位。

此外，GDPR不仅倒逼中国企业更加重视数据安全和隐私保护，而且也为中国数据安全工作提供了一种思路——中国也可以制定类似条例来维护我国企业和公民个人的数据安全，防止国内外机构非法滥用。

特别是在工业互联网和工业数据安全保护方面，有针对性的制度已成为燃眉之急。

”闫怀志说。

云计算和大数据领域或面临三大安全挑战

中国青年报| 2018-07-3009:

01:

14

　　云计算和大数据领域或面临三大安全挑战

　　本报讯（实习生李晓盼中国青年报·中青在线记者张茜）在近日举办的第十届云计算大会上，网络安全专家、中国科学技术大学网络空间安全学院副院长俞能海认为，云计算和大数据领域可能会面临共享虚拟安全、安全管理挑战以及数据失控风险三大问题。

　　近10年来，我国云计算从概念提出到落地应用，再到生态构建，其发展路线渐稳，成效越发显著。

据工业和信息化部党组成员、总工程师张峰介绍，我国云计算产业已经成为全球增速最快的市场之一。

　　而随着云计算、大数据技术的深入应用，安全问题始终是悬在数字化技术应用之上的达摩克利斯之剑。

　　针对该问题，俞能海表示：

“云计算和大数据是相互依存的关系。

随着信息社会不断深化演进，移动互联网、物联网和社交网络把所有人、机构和物连接在一起，在广泛互联化的IT环境中，大到国家和社会、小到机构和个人都面临着如何保障自身信息安全的问题。

”

　　俞能海认为云计算和大数据安全可能出现的问题有三大块：

共享虚拟安全、安全的管理和数据失控带来的风险，并建议从以下方面考虑云计算服务的安全隐患问题。

比如，把数据外包给云服务商如何保证数据隐私与安全？

如何确定云服务商反馈的服务是可信的？

资源集中后如何保证不被破译密码等非法租用？

如何管控虚拟资源和多租户？

　　面对可能出现的隐患，俞能海认为应该跨界引进新的技术来解决问题。

俞能海还建议从法律层面进行考量，比如如何让技术符合国家的法律法规，以及国家制定的法律法规如何更加符合各单位和个体隐私保护的需要。

　　来源：

中国青年报

发展数字经济，大数据安全是前提

光明日报| 2018-07-2515:

39:

17

　　发展数字经济，大数据安全是前提

　　【光明时评】

　　据报道，正在开展的全国网络安全执法大检查行动，首次将对大数据安全的整治纳入其中。

这一专项整治将对我国大数据信息内容、存储位置、所涉企业进行全面摸底，包括大数据的采集、存储、应用、传输、销毁等全生命周期的监管、安全以及保护。

　　作为数字经济发展新引擎，大数据与互联网、人工智能、云计算以及物联网等技术协同发展，与实体经济深度融合，成为全球经济发展的新趋势。

我国发布了《关于运用大数据加强对市场主体服务和监管的若干意见》《促进大数据发展行动纲要》《大数据产业发展规划（2016-2020年）》等，积极支持和促进大数据发展。

　　没有网络安全，就没有国家安全。

现阶段，大数据安全是网络安全中问题最为突出的。

无论是对国家，还是对公民个人、数字经济企业而言，大数据的违法运用都会造成严重危害。

　　违法运用大数据，可能会危害国家安全、政治安全、军事安全，譬如国家公职人员出行、举办或参加重要会议等信息被采集、泄露。

例如，名为剑桥分析的数据咨询公司被曝料，其通过脸书网站收集8700万用户的偏好信息，然后利用这些信息进行针对性的广告推送。

　　违法运用大数据，还可能损害个人信息安全。

除了违法采集个人隐私信息外，通过分析合法采集的信息对个人实施“精准画像”，描绘出该个体的身份职务、作息时间、活动区域、社交范围、日常收支、健康状况等，可以实现对其全方位透视。

如果由于企业内控制度不完善或安防技术滞后，导致个人信息被不法分子窃取，则极易助长诈骗、盗窃等违法行为。

有相关研究机构发布的调查显示，在取样的208家企业中，69％曾在过去一年内“遭公司内部人员窃取数据或试图盗取”。

还有一些企业将收集的个人信息向第三方主体提供，进行非法交易谋利。

　　违法运用大数据，可能导致企业自身利益受损。

数字经济企业违法运用数据信息，会造成企业自身形象受损、竞争力下降，不仅会影响企业“走出去”，还可能引发监管部门的高额罚款、业务禁止等制裁，不利于企业长远发展。

具有域外效力的欧盟《通用数据保护条例》已于不久前生效，其重罚机制对违法采集处理数据的企业，最高可处以2000万欧元或上一财年全球营业额4%的罚款，可能直接导致企业破产。

　　大数据被喻为21世纪的“钻石矿”。

但在大数据运用过程中，无论是侵犯个人信息、损害企业利益，还是危害国家安全，都是数字经济良性发展的绊脚石。

“矿”不可随意挖，大数据安全是最重要的前提。

　　（作者：

刘权，系中央财经大学数字经济与法治研究中心执行主任、法学院副教授）