工業(yè)數(shù)據(jù): 黑客盯上的又一塊“肥肉”


來(lái)源:中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)   時(shí)間:2018-08-01





  數(shù)據(jù)平臺(tái)存在的漏洞是導(dǎo)致此次事件發(fā)生的根本原因。近年來(lái),工業(yè)數(shù)據(jù)平臺(tái)被曝出的漏洞日益增多,且大量集中在裝備制造、交通、能源等重要領(lǐng)域。一些黑客正是利用這些漏洞,竊取了大量的工業(yè)信息。
 
  包括克萊斯勒、福特、特斯拉等全球100家車企的超過(guò)47000個(gè)機(jī)密文件遭外泄,這一被媒體稱為迄今為止最嚴(yán)重的工業(yè)數(shù)據(jù)“車禍”于近日發(fā)生。
 
  據(jù)報(bào)道,數(shù)據(jù)泄露的源頭指向了這些車廠共同的服務(wù)器提供商Level One Robotics and Controls(以下簡(jiǎn)稱Level One),泄露的數(shù)據(jù)包括產(chǎn)品設(shè)計(jì)原理圖、裝配線原理圖、工廠平面圖、采購(gòu)合同等敏感信息。
 
  “這只是全球近年來(lái)頻發(fā)的工業(yè)信息安全事故的縮影。”7月30日北京理工大學(xué)網(wǎng)絡(luò)攻防對(duì)抗技術(shù)研究所所長(zhǎng)閆懷志在接受科技日?qǐng)?bào)記者采訪時(shí)說(shuō),從全球發(fā)展趨勢(shì)來(lái)看,工業(yè)互聯(lián)網(wǎng)和工業(yè)數(shù)據(jù)日益成為黑客攻擊的重點(diǎn)目標(biāo)。
 
  那么,到底誰(shuí)是這次工業(yè)數(shù)據(jù)泄露事件的罪魁禍?zhǔn)啄??我們又該如何有效防止類似事件的發(fā)生呢?
 
  訪問(wèn)不設(shè)限釀“車禍” 平臺(tái)漏洞是禍?zhǔn)?/strong>
 
  “車禍”主角Level One是一家數(shù)據(jù)管理平臺(tái)公司,它主要提供基于客戶原始數(shù)據(jù)的定制化服務(wù)。
 
  “Level One在使用遠(yuǎn)程數(shù)據(jù)同步工具rsync處理數(shù)據(jù)時(shí),備份服務(wù)器沒(méi)有限制使用者的IP地址,并且未設(shè)置身份驗(yàn)證等用戶訪問(wèn)權(quán)限,因此任何人都能直接通過(guò)rsync訪問(wèn)備份服務(wù)器,這是導(dǎo)致事故發(fā)生的主要原因。”7月30日寶沃汽車(上海)有限公司總工程師劉凱在接受科技日?qǐng)?bào)記者采訪時(shí)說(shuō),“由于業(yè)務(wù)擴(kuò)展需要,如今越來(lái)越多的第三方公司獲得了車企的訪問(wèn)權(quán)限,車企數(shù)據(jù)泄露的風(fēng)險(xiǎn)也就隨之增加。”
 
  在閆懷志看來(lái),數(shù)據(jù)平臺(tái)存在的漏洞是導(dǎo)致此次事件發(fā)生的根本原因。“近年來(lái),工業(yè)數(shù)據(jù)平臺(tái)被曝出的漏洞日益增多,尤其是工業(yè)控制系統(tǒng)內(nèi)的安全漏洞層出不窮,且大量集中在裝備制造、交通、能源等重要領(lǐng)域,嚴(yán)重威脅國(guó)家信息基礎(chǔ)設(shè)施安全。一些黑客正是利用這些漏洞,竊取了大量的工業(yè)敏感信息。”閆懷志說(shuō)。
 
  自2015年以來(lái),全球每年發(fā)生的工業(yè)信息安全事件接近300起,工業(yè)領(lǐng)域已成為網(wǎng)絡(luò)攻擊“重災(zāi)區(qū)”。
 
  國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè)數(shù)據(jù)結(jié)果顯示,我國(guó)3000余個(gè)暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng),95%以上都存在漏洞,可輕易被遠(yuǎn)程控制,約20%的重要工控系統(tǒng)可被遠(yuǎn)程入侵并完全接管。
 
  “目前很多工業(yè)系統(tǒng)和設(shè)備沒(méi)有防護(hù)軟件,也未安裝殺毒系統(tǒng),一旦上了網(wǎng)就基本處于‘裸奔’狀態(tài)。”一位業(yè)內(nèi)人士表示,目前我國(guó)一些通信、能源、水利、電力等關(guān)鍵基礎(chǔ)設(shè)施存在著較大的安全風(fēng)險(xiǎn),而入侵和控制工業(yè)信息系統(tǒng)也已成為商業(yè)上打壓競(jìng)爭(zhēng)對(duì)手的不法手段。
 
  企業(yè)安全意識(shí)薄弱 相關(guān)人才儲(chǔ)備匱乏
 
  “目前,我國(guó)很多地區(qū)、部門(mén)、工業(yè)企業(yè)對(duì)工業(yè)數(shù)據(jù)安全重視不夠,重發(fā)展輕安全,不重視漏洞、修復(fù)不及時(shí)等現(xiàn)象普遍存在。”閆懷志說(shuō)。
 
  據(jù)360補(bǔ)天漏洞響應(yīng)平臺(tái)統(tǒng)計(jì),在其涵蓋的工業(yè)相關(guān)信息系統(tǒng)漏洞中,25.6%的漏洞未進(jìn)行修復(fù),一些漏洞的平均修復(fù)時(shí)間長(zhǎng)達(dá)數(shù)月之久。
 
  我國(guó)對(duì)工業(yè)信息領(lǐng)域安全的認(rèn)識(shí)還處在初級(jí)階段。2017年5月“Wanna Cry”勒索病毒事件暴發(fā),微軟在當(dāng)年3月就發(fā)布了相應(yīng)的安全漏洞補(bǔ)丁,但我國(guó)很多單位一直由于未及時(shí)打補(bǔ)丁,導(dǎo)致近30萬(wàn)臺(tái)主機(jī)和電腦被感染。
 
  直到今年,360公司還能監(jiān)測(cè)到每天有近千臺(tái)電腦感染此勒索病毒。
 
  在企業(yè)中,因私人行為導(dǎo)致設(shè)備感染病毒的情況也較為多見(jiàn)。例如,個(gè)人通過(guò)工控設(shè)備違規(guī)上網(wǎng),或是廠商的維護(hù)人員電腦感染病毒后造成設(shè)備系統(tǒng)全網(wǎng)感染等。
 
  此外,我國(guó)工業(yè)企業(yè)目前的防護(hù)技術(shù)還較為落后。國(guó)家工業(yè)信息安全發(fā)展研究中心通過(guò)安全監(jiān)測(cè)發(fā)現(xiàn),工業(yè)企業(yè)信息安全應(yīng)急備災(zāi)手段不足,約70%的被調(diào)查企業(yè)缺少完善的應(yīng)災(zāi)備災(zāi)體系。
 
  防護(hù)技術(shù)之外,我國(guó)在工業(yè)信息領(lǐng)域的核心產(chǎn)品自主可控度也較低。
 
  國(guó)家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布的《2017年工業(yè)信息安全態(tài)勢(shì)白皮書(shū)》顯示,國(guó)產(chǎn)數(shù)據(jù)庫(kù)僅占據(jù)7%的低端市場(chǎng),大量工控系統(tǒng)由外國(guó)廠商提供運(yùn)行維護(hù)。我國(guó)部分企業(yè)不具備自主維護(hù)能力,而且缺乏對(duì)外國(guó)產(chǎn)品和服務(wù)的監(jiān)管。
 
  同時(shí),人才匱乏也是導(dǎo)致工業(yè)信息安全技術(shù)薄弱的原因之一。“公共信息安全人才需掌握自動(dòng)化和網(wǎng)絡(luò)安全兩個(gè)學(xué)科的知識(shí)和技能,這類人才缺口巨大。但目前在高校中尚沒(méi)有設(shè)立工業(yè)信息安全領(lǐng)域碩士、博士的培養(yǎng)方向,工業(yè)信息安全從業(yè)人員幾乎都是在實(shí)踐中學(xué)習(xí)。”閆懷志說(shuō)。
 
  筑防線需多方合力 可借鑒歐盟做法
 
  “工業(yè)大數(shù)據(jù)的共享是工業(yè)互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)和靈魂,而工業(yè)數(shù)據(jù)安全及隱私保護(hù)又是一切應(yīng)用的前提。”閆懷志建議,要想給工業(yè)信息構(gòu)筑起一道“防線”,首先企業(yè)應(yīng)樹(shù)立信息安全與隱私保護(hù)意識(shí)。
 
  閆懷志介紹,傳統(tǒng)IT網(wǎng)絡(luò)中的隱私規(guī)范,主要應(yīng)用“告知與許可”原則,由信息所有者自行決定可否、如何且由誰(shuí)來(lái)處理或利用其信息,信息隱私保護(hù)的責(zé)任方為信息所有者。在工業(yè)大數(shù)據(jù)和工業(yè)互聯(lián)網(wǎng)領(lǐng)域,工業(yè)數(shù)據(jù)需要被多次使用,傳統(tǒng)的“告知與許可”隱私保護(hù)機(jī)制不具備現(xiàn)實(shí)可行性,工業(yè)數(shù)據(jù)信息隱私保護(hù)的責(zé)任將由數(shù)據(jù)使用方來(lái)承擔(dān)。這種方式下可采用的保護(hù)手段包括數(shù)據(jù)分類分級(jí)和數(shù)據(jù)脫敏等。
 
  此外,掌握大量工業(yè)信息的數(shù)據(jù)平臺(tái)也應(yīng)肩負(fù)起管理的責(zé)任。“此前我國(guó)網(wǎng)絡(luò)安全與信息平臺(tái)監(jiān)管主體不清晰,多頭監(jiān)管問(wèn)題突出,信息系統(tǒng)平臺(tái)安全監(jiān)管不力甚至監(jiān)管缺失的情況時(shí)有發(fā)生,特別是在工業(yè)互聯(lián)網(wǎng)和工業(yè)數(shù)據(jù)安全保護(hù)方面表現(xiàn)得更為突出。”閆懷志表示,“平臺(tái)應(yīng)不斷完善數(shù)據(jù)隱私保護(hù)以及網(wǎng)絡(luò)安全策略,成立數(shù)據(jù)安全與隱私保護(hù)的專門(mén)負(fù)責(zé)機(jī)構(gòu)或組織。”
 
  360集團(tuán)董事長(zhǎng)兼CEO周鴻祎也強(qiáng)調(diào)了漏洞管理的問(wèn)題。他認(rèn)為,應(yīng)建立漏洞管理全流程監(jiān)督處罰制度,制定覆蓋網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)、審核、披露、通報(bào)、修復(fù)、追責(zé)等全流程管理細(xì)則,強(qiáng)制要求漏洞必須及時(shí)修復(fù),對(duì)漏洞修復(fù)時(shí)間以及違規(guī)處罰措施予以明確規(guī)定。此外,應(yīng)建立監(jiān)督檢查機(jī)制和力量,及時(shí)發(fā)現(xiàn)未及時(shí)修復(fù)漏洞,追究相關(guān)單位和責(zé)任人責(zé)任。
 
  中國(guó)政法大學(xué)法學(xué)院大數(shù)據(jù)和人工智能法律研究中心主任汪慶華教授則從立法角度給出了建議。他對(duì)科技日?qǐng)?bào)記者說(shuō),我國(guó)在網(wǎng)絡(luò)安全和信息保護(hù)方面的立法呈現(xiàn)出分散式立法、多頭式監(jiān)管的特點(diǎn)。目前,我國(guó)已經(jīng)初步建立起了以《網(wǎng)絡(luò)安全法》為中心的分散式信息保護(hù)和數(shù)據(jù)安全方面的法律體系,未來(lái)還需進(jìn)一步加強(qiáng)相關(guān)立法工作。
 
  在政府監(jiān)管方面上,閆懷志認(rèn)為,我國(guó)可參考借鑒歐盟出臺(tái)《通用數(shù)據(jù)保護(hù)條例》(GDPR)的做法,提高對(duì)信息非法獲取的懲戒力度。
 
  “GDPR是與當(dāng)前網(wǎng)絡(luò)空間現(xiàn)狀最為契合的數(shù)據(jù)保護(hù)條例,要求手握數(shù)據(jù)的企業(yè)和機(jī)構(gòu)設(shè)立專門(mén)的數(shù)據(jù)保護(hù)官員來(lái)負(fù)責(zé)數(shù)據(jù)管理。我國(guó)也可適當(dāng)借鑒,要求企業(yè)和機(jī)構(gòu)設(shè)立類似職位。此外,GDPR不僅倒逼中國(guó)企業(yè)更加重視數(shù)據(jù)安全和隱私保護(hù),而且也為中國(guó)數(shù)據(jù)安全工作提供了一種思路——中國(guó)也可以制定類似條例來(lái)維護(hù)我國(guó)企業(yè)和公民個(gè)人的數(shù)據(jù)安全,防止國(guó)內(nèi)外機(jī)構(gòu)非法濫用。特別是在工業(yè)互聯(lián)網(wǎng)和工業(yè)數(shù)據(jù)安全保護(hù)方面,有針對(duì)性的制度已成為燃眉之急。”閆懷志說(shuō)。
 
  轉(zhuǎn)自:科技日?qǐng)?bào)
 

  版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。

延伸閱讀

  • 2017年工業(yè)通信業(yè)標(biāo)準(zhǔn)化工作要點(diǎn)確定

    工業(yè)和信息化部日前發(fā)布《2017年工業(yè)通信業(yè)標(biāo)準(zhǔn)化工作要點(diǎn)》(以下簡(jiǎn)稱《要點(diǎn)》),確定今年工業(yè)通信業(yè)標(biāo)準(zhǔn)化工作要點(diǎn),含六項(xiàng)重點(diǎn)任務(wù)
    2017-04-05
  • 2017年工業(yè)通信業(yè)標(biāo)準(zhǔn)化工作要點(diǎn)印發(fā)

    近日,工信部辦公廳印發(fā)《2017年工業(yè)通信業(yè)標(biāo)準(zhǔn)化工作要點(diǎn)》(以下簡(jiǎn)稱《工作要點(diǎn)》),旨在不斷提升工業(yè)通信業(yè)標(biāo)準(zhǔn)的技術(shù)水平和國(guó)際化水平,充分發(fā)揮標(biāo)準(zhǔn)在產(chǎn)業(yè)發(fā)展中的指導(dǎo)、規(guī)范、引領(lǐng)和保障作用。
    2017-04-12
  • 工信部:將做好工業(yè)云頂層設(shè)計(jì)研究

    4月18日,工業(yè)云平臺(tái)建設(shè)及應(yīng)用推廣現(xiàn)場(chǎng)會(huì)在京召開(kāi)。工信部信息化和軟件服務(wù)業(yè)司副司長(zhǎng)安筱鵬表示,下一步,將做好頂層設(shè)計(jì)和重大問(wèn)題研究,推動(dòng)16個(gè)試點(diǎn)省市工業(yè)云平臺(tái)功能完善,不斷提升感知與自動(dòng)控制產(chǎn)業(yè)支撐能力,加快推...
    2017-04-19
  • 工信部:促進(jìn)軟件業(yè)與工業(yè)協(xié)同發(fā)展

    中國(guó)產(chǎn)工業(yè)軟件優(yōu)秀解決方案展示對(duì)接會(huì)(上海專場(chǎng))召開(kāi),下一步,工信部信息化和軟件服務(wù)業(yè)司將把國(guó)產(chǎn)工業(yè)軟件展示對(duì)接作為一項(xiàng)長(zhǎng)期工作持續(xù)開(kāi)展下去,積極協(xié)調(diào)資源,營(yíng)造良好環(huán)境,推動(dòng)工業(yè)軟件企業(yè)優(yōu)化產(chǎn)品和服務(wù),促進(jìn)軟件...
    2017-05-24

熱點(diǎn)視頻

消費(fèi)結(jié)構(gòu)持續(xù)優(yōu)化 拉動(dòng)中國(guó)經(jīng)濟(jì)行穩(wěn)致遠(yuǎn) 消費(fèi)結(jié)構(gòu)持續(xù)優(yōu)化 拉動(dòng)中國(guó)經(jīng)濟(jì)行穩(wěn)致遠(yuǎn)

熱點(diǎn)新聞

熱點(diǎn)輿情

特色小鎮(zhèn)

?

微信公眾號(hào)

版權(quán)所有:中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)京ICP備11041399號(hào)-2京公網(wǎng)安備11010502035964