澳门新莆京免费网址欢迎您

澳门新莆京 1
当当:错失的未来
图片 1
应届博士年薪80万元AI行业工作真这么好找吗?

澳门新莆京娱乐网站k工业互联网安全“三大痛点”如何破解

近年来,随着我国网络技术水平的不断提升,基于互联网诞生的新产业新模式如雨后春笋般涌现,而随之而来的网络安全问题也越来越受到关注与重视。日前,全国政协委员、360集团董事长兼CEO周鸿祎在两会间隙接受《中国经营报》记者采访时表示,网络安全已经从“信息安全”向“大安全”时代转变,网络安全的影响也随着互联网像水电一样成为社会运行的基础设施,影响到整个社会的方方面面。为此,周鸿祎表示自己这次上两会,从专业领域角度带来了几个提案都和网络安全息息相关,希望能够帮助国家真正提升网络安全水平。工业互联网需要“网络安全”护航周鸿祎表示,近年来工业互联网的发展使得现实世界和网络世界深度联通,导致网络空间的攻击穿透虚拟空间,直接影响到工业运行安全,并扩散、渗透到城市安全、人身安全、关键基础设施安全,乃至国家安全,造成的后果日益严重。网络安全从“信息安全”时代进入了“大安全”时代,工业互联网已成为国与国之间网络战的攻击目标。工业企业对网络安全不够重视,安全能力普遍缺乏,门户洞开。随着工业领域网络化、智能化的推进,工业控制系统的安全隐患越来越突出。另外,网络安全企业的产品和服务适配度不高,难以满足工业实际需要;以及工业企业和网络安全企业单打独斗多,深度合作少都是目前存在的问题。针对这些问题,周鸿祎提出相应方案:制定让工业企业上网络安全系统的强制性政策。不少工业企业出于成本、当下运行的稳定等考虑,对网络安全系统重视不够。很多工业控制系统使用期超过10年,为保证控制的稳定性,工控系统没有安装任何补丁,也没有安装杀毒软件,存在极大的安全隐患。建议制定工业企业上网络安全系统的强制性政策,让工业运行系统与网络安保系统融为一体,确保工业发展长治久安。鼓励工控系统制造企业、工业企业和网络安全企业深度合作。工业互联网安全覆盖面广、业务差异大、敏感度高,建议制定加快促进工业企业与网络安全企业合作的鼓励政策,成立国家级企业,选择汽车、航空航天、能源等重点产业进行集中攻关,合作研发高精尖安全产品和解决方案,共同打造高效、安全的工业互联网。产业政策要重视对工业互联网安全的倾斜。虽然我们已经逐渐意识到网络安全的重要性,但是安全不创造价值的观念依然普遍存在,相关投入依然不足。美国的网络安全投入占IT投入10%,而我国只有2%。建议国家加大对这方面的投入,以网络安全保护产业价值。漏洞是网络安全的“命门”,需要强化管理周鸿祎认为,漏洞是网络安全的“命门”。软硬件系统漏洞使得攻击者可以利用漏洞窃取信息或者控制、破坏目标系统,从而引发各种网络安全问题。我国在网络安全漏洞管理方面存在对漏洞不重视、修复不及时现象,以及缺少具体的漏洞修复管理细则和处罚机制等问题。为强化网络安全漏洞管理,降低被攻击风险,提高我国网络安全防护能力,周鸿祎建议:建立漏洞管理全流程监督处罚制度。尽快制定覆盖网络安全漏洞发现、审核、披露、通报、修复、追责等全流程的管理细则,强制要求漏洞必须及时修复,对漏洞修复时间以及违规处罚措施予以明确规定。此外,应建立监督检查机制和力量,及时发现未及时修复漏洞的行为,并追究相关单位和责任人责任。强制执行重要信息系统上线前漏洞检测。对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目,一方面在其上线运行或交付使用之前,应强制要求进行网络安全漏洞的自检和备案,尤其应加强源代码层面的安全缺陷和漏洞检测。另一方面,国家网络安全主管部门应对上线系统进行抽检,发现问题及时整改。同时,应引导和鼓励软硬件系统开发企业加强安全开发规范和流程,尽量在源头避免网络安全漏洞的出现。强制召回存在重大网络安全漏洞产品。对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,尤其是物联网、智能汽车等产品,应借鉴汽车行业的做法,对存在重大网络安全漏洞产品的实施强制召回,避免造成更大的损失。鼓励政企单位采用众测众包方式发现和收集漏洞。

全国政协委员、360集团董事长兼CEO周鸿祎
工业互联网作为新一代信息技术与制造业深度融合的产物,已经成为工业现代化、发展实体经济的关键支撑。它的安全问题,对国家经济社会发展来讲至关重要。
一、工业互联网安全对国家安全的威胁不断加深
近年来,工业互联网的发展使得现实世界和网络世界深度联通,导致网络空间的攻击穿透虚拟空间,直接影响到工业运行安全,并扩散、渗透到城市安全、人身安全、关键基础设施安全,乃至国家安全,造成的后果日益严重。这也就是我们常说的,网络安全从“信息安全”时代进入了“大安全”时代。
二、工业互联网已成为国与国之间网络战的攻击目标
工业互联网的重要性使它成为网络攻击的首要目标。近年来,乌克兰连续发生黑客攻击导致的大面积断电事件。美国2017年举行的“网络卫士”年度例行网络安全演习和今年“网络风暴”演习重点都是工业基础设施。2017年发生的“永恒之蓝”勒索病毒事件利用了美国泄漏的网络武器,是网络战的一次预演,造成我国众多工业企业中招,占各行业被攻击总数的17.3%,给经济社会带来严重影响。
三、工业互联网是一个新兴融合领域,面临新的安全问题。澳门新莆京娱乐网站k
一是工业企业对网络安全不够重视,安全能力普遍缺乏,门户洞开。比如,工业互联网的工业控制器在设计时往往重视它的功能是否好用,而忽略了它的安全性。随着工业领域网络化、智能化的推进,工业控制系统的安全隐患越来越突出。另据统计,近60%的工业企业在使用明文密码。平均每个工业应用站点存在5个高危漏洞。平均每个工业APP有4个以上安全问题。
二是网络安全企业的产品和服务适配度不高,难以满足工业实际需要。工业有39个大类,525个小类,每个行业有特殊的网络安全需求,而网络安全专家通常不具备工业细分领域专业知识,难以形成通用的网络安全解决方案。工业网络安全还存在许多限制条件,对实时性、可靠性等要求很高。如为了保证工业系统平稳运行,有的安全补丁就不能及时打上。
三是工业企业和网络安全企业单打独斗多,深度合作少。
从国外情况,工业控制企业通常会与网络安全企业合作,共同研发网络安全方案。这种合作模式目前在国内基本上还没有开始。一方面目前还没有对工业网络必须采用安全方案的强制要求,工业企业对网络安保也没有达到足够的重视程度,难以产生合作需求。另一方面一些工业集成企业希望自己做安全,与网络安全企业合作存在行业壁垒。
360集团是我国最大的网络安全企业,也一直是国家网络安全的核心保障单位,圆满完成了十九大、九三阅兵、G20杭州峰会等重大活动安保任务。两会的网络安保工作,360也是牵头支撑单位。从我们10多年的网络安全实战经验来看,工业互联网安全面临严峻挑战,亟需加大力度推进,为国家实体经济保驾护航。建议:
一是制定让工业企业上网络安全系统的强制性政策。不少工业企业出于成本、当下运行的稳定等考虑,对网络安全系统重视不够。360集团在实际工作就发现,很多工业控制系统使用期超过10年,为保证控制的稳定性,工控系统没有安装任何补丁,也没有安装杀毒软件,存在极大的安全隐患,一旦被网络攻击,造成的影响不可估量。建议制定工业企业上网络安全系统的强制性政策,让工业运行系统与网络安保系统融为一体,确保工业发展长治久安。
二是鼓励工控系统制造企业、工业企业和网络安全企业深度合作。“
”出来的新情况,还需要“
”起来解决。工业互联网安全覆盖面广、业务差异大、敏感度高。建议制定加快促进工业企业与网络安全企业合作的鼓励政策,成立国家级企业,选择汽车、航空航天、能源等重点产业进行集中攻关,合作研发高精尖安全产品和解决方案,共同打造高效、安全的工业互联网。
三是产业政策要重视对工业互联网安全的倾斜。虽然我们已经逐渐意识到网络安全的重要性,但是安全不创造价值的观念依然普遍存在,相关投入依然不足。美国的网络安全投入占IT投入10%,而我国只有2%。建议国家加大对这方面的投入,以网络安全保护产业价值。

澳门新莆京娱乐网站k 1

距离蠕虫勒索病毒“WannaCry”的全球范围大爆发已有一年,然而直到今天,我国每天仍有近千台设备受其感染,导致生产停滞或重要信息丢失。这背后,是我国绝大多数工业控制系统含有漏洞,且在没有防护的情况下“裸奔”上网的严峻现实。

随着“互联网+”、“智能制造”与工业生产进一步深度融合,工业控制系统作为工业领域“神经中枢”,呈现互联互通趋势,与此同时,工业互联网也成为黑客攻击和网络战的重要目标。

“万物互联”释放巨大红利

背后潜藏危机不可忽视

工业互联网是“互联网+”与工业系统的深度融合,是智能制造的基石,也是企业提质增效的必由之路。不过,国家工业信息安全产业发展联盟统计数据显示,全球工业信息安全漏洞呈现连年高发态势,2016年至2017年,漏洞增长率超过50%,其中半数以上为高危漏洞,广泛分布在能源、制造、商业设施、水务、市政等关键领域。

杭州一家轮胎生产企业的车间里,一块液晶大屏上跳动着一排排的参数,这些参数代表着橡胶原材料到成品轮胎的六十几道环节。通过工业互联网和人工智能算法匹配最优的合成方案,这家企业的产品合格率平均提升了3%到5%,年均增加利润上千万。这是工业互联网为企业带来巨大红利的一个典型案例。

然而,“万物互联”背后潜伏的危机不容小视。不久前,一家电路板企业分公司的40台工业电脑突然出现蓝屏、重启现象,导致生产线瘫痪,企业的运维工程师为恢复生产,两天两夜没有合眼。360集团在接到企业通报后前往现场应急维护,发现这场安全事件源自该企业总部此前曾感染的“WannaCry”病毒。

“这样的安全事件并不少见。在‘WannaCry’病毒在全球大范围爆发一年后,我们还能监测到,每天有近千台电脑感染此勒索病毒。”360集团董事长兼CEO周鸿祎说。“WannaCry”正是不法分子利用“永恒之蓝”漏洞发起的攻击。

攻击者发起网络攻击可以直接影响工业控制系统的正常运行,例如可以直接对某些联网工控设备发送指令导致设备关机或参数修改,造成生产事故,甚至影响生命财产安全和国家安全。

自2015年以来,全球每年发生的大型工业网络安全事件数量都超过300起。像去年爆发、影响至今的“WannaCry”感染了全球150个国家的30万台主机,雷诺、日产等汽车制造厂商被迫停产,多国能源、通信等重要行业遭受损失,我国教育、能源、通信领域也受到波及。

“近年来,工业互联网安全事件高发,呈现出定向攻击精准性提升迅速、技术手段复杂化专业化、攻击行为组织化的显著特征。”国家工业信息安全产业发展联盟相关人士对记者说。

随着越来越多的工控系统联网,黑客有目的地探测并锁定攻击目标更为容易。大量漏洞、攻击方法可以通过互联网等多种公开、半公开渠道获取,极易被黑客等不法分子利用。

知名黑客组织“影子经纪人”曾泄露出一份机密文档,其中包含了Windows远程漏洞利用工具,可影响全球70%的Windows服务器。从2017年6月开始,该组织还每月出售浏览器、路由器、手机漏洞等相关入侵工具以及入侵数据,曝光的工具更进一步通过匿名网络“暗网”等渠道进行非法交易和大量扩散。

业内人士表示,针对工业互联网的攻击已从原有的一个代码攻击一两种漏洞,进化成一个攻击代码可以嵌入数十种底层系统漏洞,“这绝非一个业余爱好者能够实现的攻击”。

“这些攻击通常都是经过精心策划的,可以对现实世界造成严重后果。”周鸿祎说。

根据国家工业信息安全产业发展联盟对维基解密公开的美国CIA文件分析,美国已建立起网络攻击武器库和战略资源库,可引发国家级有组织的网络攻击行动,具备全方位、多层次的攻击能力,可持续对全球开展大范围网络监听与攻击,不仅涵盖Windows、OS
X等主流操作系统,还包括手机、车载系统及智能电视等。

“有些国家甚至谋求通过工业设施和工业系统的网络攻击,达成政治诉求或经济诉求。”国家工业信息安全产业发展联盟专家委员会委员宫亚峰说。

漏洞隐蔽难以检测

部分系统带毒运行

《经济参考报》记者从国家工业信息安全发展研究中心了解到,目前该中心监测到我国3000余个暴露在互联网上的工控系统,九成以上含有漏洞,可以轻易被远程控制,约两成的重要工控系统可被远程入侵并完全接管。

业内人士表示,由于网络安全事件具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏了几年都不被发现,结果往往是“谁进来了不知道、是敌是友不知道、干了什么不知道”,隐患长期潜伏。

多数工业系统在设计之初是封闭的“单机系统”,没有考虑联网需求,现在随着工业“互联网+”的推进,将必然导致一批系统和设施暴露。很多的系统和设备没有防护软件,也不能安装杀毒系统,一旦上了网就是“裸奔”状态。

“我们遇到的很多现场设备比较老旧,有的还在使用十几年前的操作系统,没有任何安全防护软件,这样就可能存在很大的安全风险,而系统维护人员还没有认识到。很多系统带毒运行,有的主机甚至有三千多个病毒。一旦感染的恶意软件在某个特定触发条件下发作,就会对企业造成严重影响。”周鸿祎说。

一些重要的企业工控系统还被留下了后门程序,黑客或者恶意人员可以随意进出操作。

目前,绝大多数的企业没有能力识别或应对这些入侵和攻击。国家工业信息安全发展研究中心通过安全监测发现,工业企业的信息安全应急手段普遍不足,约70%的被查工业企业缺少完善的应灾备灾体系。

技术不足人才匮乏

安全防护短板待补

随着我国工业领域数字化、网络化、智能化水平提升,安全问题已经逐渐引起重视。高速发展的同时,工业互联网相关法规政策正逐步健全,标准体系建立取得进展,安全检查评估也正有序开展。目前我国还存在安全防护意识薄弱、技术水平偏低、人才匮乏的问题,工业互联网发展亟待补足短板。

对工业互联网漏洞不重视、修复不及时的现象普遍存在。360补天漏洞响应平台监测的工控信息系统漏洞中,有25.6%的漏洞未进行修复,一些行业漏洞平均修复时间长达数月之久。不少设备遭受攻击的案例,是由于企业员工私自利用设备上网、使用U盘或在远程维护过程中感染病毒造成的。

“从工业互联网整体技术基础上看,国外的技术产品还是主流,我们国家也在逐步用自己的产品进行替代,但还没有完全替代。很多地方既有自己的知识产权,也有国外的知识产权,技术体系复杂,也在一定程度上造成不稳定性和安全隐患。”国家工业信息安全发展研究中心网安部副主任张格说。

业内人士认为,CPU、服务器、操作系统等核心产品和技术发展滞后,国产化率低,竞争力不足,是工业互联网实现自主可控过程中的关键症结。《工业信息安全态势白皮书》显示,目前我国包括产品、技术和服务在内的工业信息安全产业占整个IT业比重不足2%,远低于欧美发达国家的10%水平。

根据白皮书对我国近几年重点领域信息安全检查工作统计,数千个工控系统均由外国厂商提供运行维护,大量企业不具备自主维护能力,缺乏对国外产品和服务的监管。记者在浙江一家企业采访时发现,进口设备厂商对工控系统控制异常严格,系统控制室的门禁卡甚至都掌握在进口厂商的维保人员手中,对于控制室内的情况,中方人员根本无法知晓和干预。

“网络安全实质是人与人的对抗,不是购买和部署一批网络安全设备、安装一批软件就能解决的。就像国家安全有了武器,还要有掌握武器的军人和警察。网络安全更需要专业安全运维人员来做分析、规划、态势研判、响应和处置。”周鸿祎认为,网络安全将成为一个智力密集型的服务业,形成巨大的人才需求,但眼下行业人才储备与需求规模相比还存在较大差距。

通力协作共同应对

织牢织密“安全网”

随着IPv6下一代互联网技术的部署和5G时代的到来,工业互联网将面临更为复杂多变的挑战。加强工业信息安全建设、加快构建全方位的安全保障体系,是制造大国迈向制造强国的基础。

“从国家到企业,应首先落实责任与分工。企业尤其需要重视并承担起主体责任,工业互联网不仅带来经济利益,也有相应的社会责任。”张格说。

“从现实情况看,政企单位还存在遭受网络攻击时不愿及时上报的问题。及时上报网络攻击事件对于早期发现、追踪溯源和防止攻击范围及危害进一步扩大、保障国家网络安全具有重大价值和意义。”周鸿祎认为,应出台鼓励网络攻击事件上报的相关政策,建立起漏洞管理全流程监督处罚制度和监督检查力量。

“只有自主可控的产业做强做大,工业互联网才能有安全可言。”多名业内人士表示,应尽快研究制定新一代信息技术在工业领域应用的安全架构,突破工业信息安全关键核心技术,重点发展一批高端产品,形成具有市场竞争力的产品体系。

启明星辰信息技术集团股份有限公司CEO严望佳建议,大力推动国产安全设备在关键信息基础设施保护中的应用,如对关键信息基础设施的运营企业购置国产网络安全设备出台税收优惠政策等,以激励企业加大投入,推动相关产业的发展。

还有专家建议,从整体产业角度推动人才培养和建设,支持相关教育培训机构开展网络安全学科联合建设,将工业网络安全纳入职业技能鉴定体系,培养一支门类齐全、技术精湛的专业人才队伍。

眼下,我国国家网络安全人才培养已取得一定进展,“网络空间安全”被增设为一级学科,意味着网络安全高层次人才培养迈出了重要一步。

不久前,我国首个工业信息安全技能大赛、阿里巴巴安全响应中心生态大会等相关领域会议召开,推动了行业内外进一步关注工业网络安全和人才培养问题。

“阿里巴巴安全响应中心将大额提升发现漏洞的奖金,激发技术人才积极性。同时通过线下活动等形式,联动国内国际技术人才,与高校等合作加大安全人才的培养力度。”阿里巴巴集团首席风险官郑俊芳表示,在技术化、全球化、生态化、多元化等趋势下,工业互联网呼唤产业联合共治、安全共建。

相关文章

No Comments, Be The First!
近期评论
    功能
    网站地图xml地图