工业数据： ***盯上的又一块“肥肉”

近年来，工业数据平台被曝出的漏洞日益增多，且大量集中在装备制造、交通、能源等重要领域。一些***正是利用这些漏洞，***了大量的工业信息。

包括克莱斯勒、福特、特斯拉等***100家车企的超过47000个***文件遭外泄，这一被媒体称为迄今为止***严重的工业数据“***”于近日发生。

据报道，数据***的源头指向了这些车厂共同的服务器提供商Level One Robotics and Controls(以下简称Level One)，***的数据包括产品设计原理图、装配线原理图、工厂平面图、采购合同等敏感信息。

“这只是***近年来频发的工业信息安全事故的缩影。”7月30日北京理工大学网络攻防对抗技术研究所所长闫怀志在接受科技日报记者采访时说，从***发展趋势来看，工业互联网和工业数据日益成为***攻击的***目标。

那么，到底谁是这次工业数据***事件的罪魁祸首呢？我们又该如何有效防止类似事件的发生呢？

访问不设限酿“***” 平台漏洞是祸首

“***”主角Level One是一家数据管理平台公司，它主要提供基于客户原始数据的定制化服务。

“Level One在使用远程数据同步工具rsync处理数据时，备份服务器没有限制使用者的IP地址，并且未设置身份验证等用户访问权限，因此任何人都能直接通过rsync访问备份服务器，这是导致事故发生的主要原因。”7月30日宝沃汽车(上海)有限公司总工程师刘凯在接受科技日报记者采访时说，“由于业务扩展需要，如今越来越多的第三方公司获得了车企的访问权限，车企数据***的风险也就随之增加。”

在闫怀志看来，数据平台存在的漏洞是导致此次事件发生的根本原因。“近年来，工业数据平台被曝出的漏洞日益增多，尤其是工业控制系统内的安全漏洞层出不穷，且大量集中在装备制造、交通、能源等重要领域，严重威胁***信息基础设施安全。一些***正是利用这些漏洞，***了大量的工业敏感信息。”闫怀志说。

自2015年以来，***每年发生的工业信息安全事件接近300起，工业领域已成为网络攻击“重***”。

***工业信息安全发展研究中心监测数据结果显示，我国3000余个暴露在互联网上的工业控制系统，95%以上都存在漏洞，可轻易被远程控制，约20%的重要工控系统可被远程***并完全接管。

“目前很多工业系统和设备没有防护软件，也未安装杀毒系统，一旦上了网就基本处于‘裸奔’状态。”一位业内人士表示，目前我国一些通信、能源、水利、电力等关键基础设施存在着较大的安全风险，而***和控制工业信息系统也已成为商业上打压竞争对手的不法手段。

企业安全意识薄弱 相关人才储备匮乏

“目前，我国很多地区、部门、工业企业对工业数据安全重视不够，重发展轻安全，不重视漏洞、修复不及时等现象普遍存在。”闫怀志说。

据360补天漏洞响应平台统计，在其涵盖的工业相关信息系统漏洞中，25.6%的漏洞未进行修复，一些漏洞的平均修复时间长达数月之久。

我国对工业信息领域安全的认识还处在初级阶段。2017年5月“Wanna Cry”***病毒事件暴发，微软在当年3月就发布了相应的安全漏洞补丁，但我国很多单位一直由于未及时打补丁，导致近30万台主机和电脑被***。

直到今年，360公司还能监测到每天有近千台电脑***此***病毒。

在企业中，因私人行为导致设备***病毒的情况也较为多见。例如，个人通过工控设备违规上网，或是厂商的维护人员电脑***病毒后造成设备系统全网***等。

此外，我国工业企业目前的防护技术还较为落后。***工业信息安全发展研究中心通过安全监测发现，工业企业信息安全应急备灾手段不足，约70%的被调查企业缺少完善的应灾备灾体系。

防护技术之外，我国在工业信息领域的核心产品自主可控度也较低。

***工业信息安全产业发展联盟发布的《2017年工业信息安全态势白皮书》显示，国产数据库仅占据7%的低端市场，大量工控系统由外国厂商提供运行维护。我国部分企业不具备自主维护能力，而且缺乏对外国产品和服务的监管。

同时，人才匮乏也是导致工业信息安全技术薄弱的原因之一。“公共信息安全人才需掌握自动化和网络安全两个学科的知识和技能，这类人才缺口巨大。但目前在高校中尚没有设立工业信息安全领域硕士、博士的培养方向，工业信息安全从业人员几乎都是在实践中学习。”闫怀志说。

筑防线需多方合力 可借鉴欧盟做法

“工业大数据的共享是工业互联网应用的基础和***，而工业数据安全及隐私保护又是一切应用的前提。”闫怀志建议，要想给工业信息构筑起一道“防线”，首先企业应树立信息安全与隐私保护意识。

闫怀志介绍，传统IT网络中的隐私规范，主要应用“告知与许可”原则，由信息所有者自行决定可否、如何且由谁来处理或利用其信息，信息隐私保护的责任方为信息所有者。在工业大数据和工业互联网领域，工业数据需要被多次使用，传统的“告知与许可”隐私保护机制不具备现实可行性，工业数据信息隐私保护的责任将由数据使用方来承担。这种方式下可采用的保护手段包括数据分类分级和数据***等。

此外，掌握大量工业信息的数据平台也应肩负起管理的责任。“此前我国网络安全与信息平台监管主体不清晰，多头监管问题突出，信息系统平台安全监管不力甚至监管缺失的情况时有发生，特别是在工业互联网和工业数据安全保护方面表现得更为突出。”闫怀志表示，“平台应不断完善数据隐私保护以及网络安全策略，成立数据安全与隐私保护的专门负责机构或***。”

360集团董事长兼CEO周鸿祎也强调了漏洞管理的问题。他认为，应建立漏洞管理全流程监督处罚制度，制定覆盖网络安全漏洞的发现、审核、披露、通报、修复、追责等全流程管理细则，强制要求漏洞必须及时修复，对漏洞修复时间以及违规处罚措施予以明确规定。此外，应建立监督检查机制和力量，及时发现未及时修复漏洞，追究相关单位和责任人责任。

中国***大学法学院大数据和人工智能***研究中心主任汪庆华***则从立法角度给出了建议。他对科技日报记者说，我国在网络安全和信息保护方面的立法呈现出分散式立法、多头式监管的特点。目前，我国已经初步建立起了以《网络安全法》为中心的分散式信息保护和数据安全方面的***体系，未来还需进一步加强相关立法工作。

在***监管方面上，闫怀志认为，我国可参考借鉴欧盟出台《通用数据保护条例》(GDPR)的做法，提高对信息***获取的惩戒力度。

“GDPR是与当前网络空间现状***为契合的数据保护条例，要求手握数据的企业和机构设立专门的数据保护官员来负责数据管理。我国也可适当借鉴，要求企业和机构设立类似职位。此外，GDPR不仅倒逼中国企业更加重视数据安全和隐私保护，而且也为中国数据安全工作提供了一种思路——中国也可以制定类似条例来维护我国企业和公民个人的数据安全，防止国内外机构***滥用。特别是在工业互联网和工业数据安全保护方面，有针对性的制度已成为燃眉之急。”闫怀志说。

可考虑针对中小型企业的数据安全管理平台

不要让企业淹没在数据中

综上所述，服务于中小企业数据安全与数据管理的智能工具派上用场。如基于企业数据安全而生的奥赛云盾和奥赛云柜，基于企业数据管理而生的奥赛云夹和奥赛云盘，以及为广大中小企业量身打造的小型数据中心奥赛云企等产品。他们通常配备了简洁直观的使用界面，可以对数据进行即时的存储，***的管理和安全有效的保护。企业在工业互联网和工业数据安全保护方面有这种***性(如果有的话)已经成为一种竞争优势：企业无需等待报告，即可立即开始分析。

对于企业来说，更多的数据并不总是等于更好的业务，很容易淹没在大数据中。即使作为一个小企业，也可以使用各种不同的数据源来收集所需要的不同信息。企业通过建设这些数据安全管理措施，将重要数据全部集中起来，让企业可以在一个集中的地方进行分析，并避免被数据淹没，发现会被忽略的趋势。奥赛系列数据管理产品在保障企业数据安全的前提下，实现了企业团队或管理层中的每个人都可以随时获得所需的信息的需求，无论他们身在何处。

小结

企业数据安全重在防范，目前，越来越多的企业正历经着数据安全与管理的阵痛并考虑到了各种不同的问题，开始利用大数据的力量，做出更明智的决策。借助轻量级和强大的管理工具，越来越多的中小企业可以从大数据中受益。