工業數據: 黑客盯上的又一塊“肥肉”(下)
發布時間:2018-08-03企業安全意識薄弱 相關人才儲備匱乏
“目前,我國很多地區、部門、工業企業對工業數據安全重視不夠,重發展輕安全,不重視漏洞、修復不及時等現象普遍存在。”閆懷志說。
據360補天漏洞響應平臺統計,在其涵蓋的工業相關信息系統漏洞中,25.6%的漏洞未進行修復,一些漏洞的平均修復時間長達數月之久。
我國對工業信息領域安全的認識還處在初級階段。2017年5月“Wanna Cry”勒索病毒事件暴發,微軟在當年3月就發布了相應的安全漏洞補丁,但我國很多單位一直由于未及時打補丁,導致近30萬臺主機和電腦被感染。
直到今年,360公司還能監測到每天有近千臺電腦感染此勒索病毒。
在企業中,因私人行為導致設備感染病毒的情況也較為多見。例如,個人通過工控設備違規上網,或是廠商的維護人員電腦感染病毒后造成設備系統全網感染等。
此外,我國工業企業目前的防護技術還較為落后。國家工業信息安全發展研究中心通過安全監測發現,工業企業信息安全應急備災手段不足,約70%的被調查企業缺少完善的應災備災體系。
防護技術之外,我國在工業信息領域的核心產品自主可控度也較低。
國家工業信息安全產業發展聯盟發布的《2017年工業信息安全態勢白皮書》顯示,國產數據庫僅占據7%的低端市場,大量工控系統由外國廠商提供運行維護。我國部分企業不具備自主維護能力,而且缺乏對外國產品和服務的監管。
同時,人才匱乏也是導致工業信息安全技術薄弱的原因之一。“公共信息安全人才需掌握自動化和網絡安全兩個學科的知識和技能,這類人才缺口巨大。但目前在高校中尚沒有設立工業信息安全領域碩士、博士的培養方向,工業信息安全從業人員幾乎都是在實踐中學習。”閆懷志說。
筑防線需多方合力 可借鑒歐盟做法
“工業大數據的共享是工業互聯網應用的基礎和靈魂,而工業數據安全及隱私保護又是一切應用的前提。”閆懷志建議,要想給工業信息構筑起一道“防線”,首先企業應樹立信息安全與隱私保護意識。
閆懷志介紹,傳統IT網絡中的隱私規范,主要應用“告知與許可”原則,由信息所有者自行決定可否、如何且由誰來處理或利用其信息,信息隱私保護的責任方為信息所有者。在工業大數據和工業互聯網領域,工業數據需要被多次使用,傳統的“告知與許可”隱私保護機制不具備現實可行性,工業數據信息隱私保護的責任將由數據使用方來承擔。這種方式下可采用的保護手段包括數據分類分級和數據脫敏等。
此外,掌握大量工業信息的數據平臺也應肩負起管理的責任。“此前我國網絡安全與信息平臺監管主體不清晰,多頭監管問題突出,信息系統平臺安全監管不力甚至監管缺失的情況時有發生,特別是在工業互聯網和工業數據安全保護方面表現得更為突出。”閆懷志表示,“平臺應不斷完善數據隱私保護以及網絡安全策略,成立數據安全與隱私保護的專門負責機構或組織。”
360集團董事長兼CEO周鴻祎也強調了漏洞管理的問題。他認為,應建立漏洞管理全流程監督處罰制度,制定覆蓋網絡安全漏洞的發現、審核、披露、通報、修復、追責等全流程管理細則,強制要求漏洞必須及時修復,對漏洞修復時間以及違規處罰措施予以明確規定。此外,應建立監督檢查機制和力量,及時發現未及時修復漏洞,追究相關單位和責任人責任。
中國政法大學法學院大數據和人工智能法律研究中心主任汪慶華教授則從立法角度給出了建議。他對科技日報記者說,我國在網絡安全和信息保護方面的立法呈現出分散式立法、多頭式監管的特點。目前,我國已經初步建立起了以《網絡安全法》為中心的分散式信息保護和數據安全方面的法律體系,未來還需進一步加強相關立法工作。
在政府監管方面上,閆懷志認為,我國可參考借鑒歐盟出臺《通用數據保護條例》(GDPR)的做法,提高對信息非法獲取的懲戒力度。
“GDPR是與當前網絡空間現狀最為契合的數據保護條例,要求手握數據的企業和機構設立專門的數據保護官員來負責數據管理。我國也可適當借鑒,要求企業和機構設立類似職位。此外,GDPR不僅倒逼中國企業更加重視數據安全和隱私保護,而且也為中國數據安全工作提供了一種思路——中國也可以制定類似條例來維護我國企業和公民個人的數據安全,防止國內外機構非法濫用。特別是在工業互聯網和工業數據安全保護方面,有針對性的制度已成為燃眉之急。”閆懷志說。(來源:科技日報)
