4G时代 你不可不知的安全风险

作者: 企业 / 电工电气  发布:2019-10-02

电工电气网】讯

广东11选5开奖记录,记者从25日召开的2016中国网络安全年会上获悉:目前有迹象显示我国部分网络地址已感染专门针对工业和基建控制系统的恶意程序,工业互联网存在潜在安全风险,其安全防护亟待提高。

随着我国三大电信运营商4G战略的纷纷推出,十几家虚拟运营商的蓄势待发,很多人的手机快速进入4G模式,而4G快速的网络能力也让人们大呼过瘾。但是从目前国内整体的推进形势以及国外先锋的经验来看,4G的普及却没有想象中的那么快。

2019年中国工业信息安全大会”发布《中国工业信息安全产业发展白皮书(2018—2019年)》,其中数据显示,2018年我国工业信息安全产业规模市场增长率达33.55%。预计2019年市场增长率将达19.23%,市场整体规模增长至93.91亿元。

与会专家表示,网络攻击威胁正日益向工业互联网领域渗透,国际上工业互联网安全事件频发。据国家互联网应急中心相关负责人介绍,我国关键基础设施网络安全形势不容乐观,加强相关安全技术保障能力建设已是当务之急。

除了网络、终端这些大家耳熟能详的因素外,信息和数据的安全问题也横亘在4G快速普及的道路上。4G让移动互联网提速的同时,基于移动互联网的云计算、物联网和移动应用发展也将迎来一个新高潮,但在目前“粗放型”发展模式下,运营商面临的信息安全问题将更加复杂。作为用户,我们无法解决产业方面的问题,但对于一些安全风险我们不得不去逐步认识,以建立起较高的安全意识和防范意识,尽可能做到有备无患。

这组数据佐证了这样的现实,传统的安全防护策略已难以为工业全产业链抵御外部攻击,即便5G可以盘活传统工业的活力,它首先要过的是安全风险大关。

手机支付安全风险与日俱增

我国工业互联网安全状况不容乐观

“手机收到验证码短信后,瞬间被转走数百元”,这是成都市民冯小姐的遭遇。由于使用的是安卓手机,并且手机中下载的银行客户端软件被内置了病毒,银行账号和密码被窃取,导致银行卡中的钱被犯罪分子轻松盗走。

随着自身防护能力较差的传统工业控制系统和设备接入互联网,海量工控系统、业务系统成为网络攻击的重点对象。

金山毒霸安全中心公布的数据显示,2013年我国第三方手机支付市场的规模已经超过了1.2万亿,用户数达到了1.25亿,但是随着市场的快速发展,手机支付也正在面临日渐严峻的安全问题。金山毒霸安全中心分析发现,从2013年年初至2014年2月,针对移动支付工具的恶意攻击表现极为突出,增长了312%,受害者损失大大超过以往。

工业和信息化部网络安全管理局副局长杨宇燕说:“互联网和工业的深度融合,打破了传统工业领域相对封闭可信的环境,将互联网的安全威胁渗透进工业领域。网络攻击直达生产一线。”

尤其是随着越来越多的用户习惯使用手机支付,犯罪分子也研发出了更多针对手机支付的病毒和恶意软件。比如一种名为“验证码大盗”的手机病毒,攻击者不需要拥有用户的手机,仅需要通过网购钓鱼等手段获取用户的银行卡、身份证号等信息后,再利用“验证码大盗”截取用户的验证码短信,就可以重置网购支付密码,盗取用户账户资金。

安恒信息技术股份有限公司董事长范渊介绍,工业环境最大的威胁是专有的靶向类恶意代码,如大家熟知的震网、火焰等病毒,它们的攻击对象是工业控制系统中的工程师站、操作员站、服务器等主机以及DCS、PLC等控制器。目的是,通过逐级渗透至现场层控制网络,直接对主机及现场控制设备进行恶意操控和逻辑篡改,达到破坏工业生产流程和损伤物理实体的目的。

为了保证用户良好的使用体验,现在的手机支付越来越便捷。但是在便捷性提升的同时,安全性却得不到足够的保证。同时,针对越来越多的移动支付行为,相关的恶意攻击的数量也呈现几何级增长,令人防不胜防。对此,安全专家给出了三点建议:第一是认识密码管理的重要性,确保邮箱、微博等关键网络服务不重复使用密码;二是安装安全软件防止木马病毒的入侵;三是尽量访问网购官方网站,防范钓鱼网站。

我国的工业互联网安全状况不容乐观,仅去年工业和信息化部网络安全管理局委托相关专业机构对20余家典型工业企业、工业互联网平台企业安全检查评估时就发现了2000多个安全威胁。

致命的位置泄漏

中国科学院院士王小云说:“我国的工控系统由各种自动化控制组件构成,运行环境相对落后,大量的工控系统采用私有协议通信,缺少安全设计和论证。多数情况是牺牲安全性、换取稳定性,安全更新维护不及时,这与我国的科技水平有关,特别是不能实现自主可控有密切关系。”

位置服务、定位功能,自移动互联网兴起之后就成为广受用户欢迎的业务。导航、查找周边、商户推荐等建立在位置服务基础上的各种应用风生水起,大大方便了人们的日常生活。然而,凡事总有两面性,位置服务为用户提供了便利,但是当位置信息被不法之徒掌握后,就有可能给用户带来危险。

首先守住工业主机防护大门

去年,深圳某高中女生失踪,次日凌晨其遗体被发现,经现场勘查鉴定系他杀。网友发现,该女生生前经常在微博上晒自拍照,并附带位置信息。公安机关提醒广大网友,在微博等社交媒体发布信息时要保护好自己的隐私,避免过多定位自拍,女性尤其要注意。

工业互联网涉及诸多设计及全产业链各环节,我国正在从政策、标准、规范、体系框架角度勾勒工业互联网安全的大蓝图。

无独有偶。根据外媒报道,2012年澳洲某女孩在Facebook上贴出了自己帮祖母数钱的照片,结果引起了小偷的注意。很快,小偷通过该女孩发布的位置信息,找到了她家房子的具体位置。晚上11点,两名蒙面劫匪就持作案工具进入这所房子,他们将屋内现金洗劫一空后扬长而去。

奇安信集团副总裁左英男认为,工业信息安全一定要构建一个完整的闭环的安全体系,才能最终解决问题,但目前阶段最需要解决的是工业主机的安全防护。

根据美国某调研机构的调查,92%的受访者认为自己在网络上分享了太多信息,很多人对于能够确定某人所在位置的地理定位服务感到担忧。便捷的移动互联网为人们带来了更多的分享和欢乐:人们在陌生的地方能够借助位置服务来寻求帮助,在旅途中可以与亲朋分享自己的行程,这些都很好。然而,在社交网络上,用户的信息在一定程度上是公开和透明的,如果这些用户的个人信息,尤其是自身所在位置这样的关键信息被不法之徒获取,就有可能给用户自身安全带来危害。所以,如何更好地使用位置服务,同时保障位置信息的安全值得业界思考。

左英男对科技日报记者说:“工业主机如同信息世界通往物理世界的大门,所有的生产控制指令、数据的获取都通过工业主机下发给具体的工业控制设备,如果守护好这个大门,就能从根本上解决非常多的安全问题。”

“有毒”的二维码

一个非常严重的问题是,过去一年很多工业企业遭遇的勒索病毒,并非专门针对工业控制设备特定的勒索软件,通用的勒索软件从信息化网络溜进了工控网络,而80%的病毒来源或入侵攻击源,都是通过USB的数据导入。

自二维码成为O2O模式中“线上和线下的关键入口”之后,这个小小的黑白方块便迅速走红。首先,二维码容量大。以目前流行的QR(QuickResponse)码为例,它能够容纳1850个大写字母或2710个数字,或500多个汉字,比普通条码容量高了几十倍。其次,二维码成本低。在读取用户一端,只要拥有智能手机并下载一个软件就能识别二维码。当前,二维码的应用方式主要有数据识别、解码上网、解码验证、形成购买等。

北京威努特技术有限公司首席技术官黄敏说:“以前的工控系统很封闭,但并没有带来工控系统的安全,50%以上的工控系统带毒运行,100%的工控系统带漏洞运转。短期甚至未来几年都不可能改变上述状况,因为大量的工控系统需要7?24小时不间断运转,没有机会及时修复补丁,一些未知的漏洞我们还没有掌握。”

左英男强调:“工业环境里大量的存量设备替换代价很高,步骤也很漫长,当前阶段以相对低的成本解决大存量的工业设备安全问题是首要命题。”

协同构建工业互联网安全发展环境

工业自动化和信息化系统广泛应用在能源、交通、电力、供水等关系国计民生的重点领域,一旦遭受攻击,将对经济社会发展和广大人民群众生命财产安全带来严重影响。

范渊说:“工业互联网是5G应用的大舞台,多样智能终端在工业互联网应用场景中广泛使用,未来安全将向设备、网络、控制、数据、应用全方面渗透。亟须从技术、管理、服务等多角度协同构建工业互联网安全发展环境。”

工业和信息化部副部长陈肇雄说:“近年来,委内瑞拉电网大规模断电、乌克兰氯气站受网络攻击等安全事件,给相关行业敲响了警钟。我们必须从维护国家安全的政治高度,进一步提高对工业信息安全工作极端重要性的认识。”

陈肇雄认为,关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。

中央网信办网络安全协调局副局长李爱东表示,针对加强关键信息基础设施的安全保护,将进一步强化供应链和重要数据安全管理,明确行业主管、监管部门的指导监督责任,落实运营单位主体责任,建立健全网络安全责任制。

本文由广东十一选五开奖结果发布于企业 / 电工电气,转载请注明出处:4G时代 你不可不知的安全风险

关键词: