近日，一起“無(wú)差別”車廠信息泄露事故引起關(guān)注，被稱作最嚴(yán)重的“車禍現(xiàn)場(chǎng)”。

據(jù)網(wǎng)絡(luò)安全公司UpGuard報(bào)告稱：100 多家車廠的機(jī)密數(shù)據(jù)泄露，包括福特、特斯拉、豐田、大眾、通用汽車等在內(nèi)。

數(shù)據(jù)泄漏的源頭指向Level One Robotics——這些車廠的共同服務(wù)器提供商，泄露的數(shù)據(jù)包括消費(fèi)者發(fā)票合約信息、產(chǎn)品設(shè)計(jì)圖表和工作研發(fā)計(jì)劃等一系列機(jī)密信息。

一石激起千層浪，很多網(wǎng)友調(diào)侃：這些秘密文件或?qū)⒊蔀橹袊?guó)車廠翻身的好機(jī)會(huì)。

但圍觀過(guò)后，這起“數(shù)據(jù)車禍”的確引人深思。

據(jù)相關(guān)科技媒體報(bào)道介紹，此次信息泄露除了車廠裝配線、工廠原理圖，機(jī)器配置規(guī)格、使用文檔以及工作動(dòng)畫均暴露在外，甚至數(shù)十份保密協(xié)議全文、客戶隱私條款、保密數(shù)據(jù)文件等各類保密協(xié)議也統(tǒng)統(tǒng)外露。此外，員工證件、身份證號(hào)碼以及照片等員工私密數(shù)據(jù)也在泄露之列。而Level One的合同、發(fā)票、報(bào)價(jià)等數(shù)據(jù)自然也沒(méi)能幸免于難。

從內(nèi)部人員到外部合作方數(shù)據(jù)，泄露數(shù)據(jù)之詳細(xì)、豐富確實(shí)細(xì)思極恐，通過(guò) Level One的文件傳輸協(xié)議 rsync，不需要密碼就可以直接訪問(wèn)這個(gè)數(shù)據(jù)庫(kù)。

機(jī)密數(shù)據(jù)處于公開(kāi)訪問(wèn)環(huán)境，甚至支持篡改，如果不是UpGuard發(fā)現(xiàn)此次數(shù)據(jù)泄露，而是被別有用心的企業(yè)利用呢？諷刺的是，這些信息是否已經(jīng)泄露都無(wú)從知曉。

網(wǎng)絡(luò)攻擊多樣化，推動(dòng)工業(yè)信息安全需求增長(zhǎng)

互聯(lián)網(wǎng)在不斷深化改造人們賴以生存的環(huán)境，使之互相聯(lián)結(jié)。2017年全球暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)設(shè)備數(shù)量超過(guò)10萬(wàn)個(gè)，同比增長(zhǎng)43%。截至2018年5月份，國(guó)內(nèi)范圍內(nèi)暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)設(shè)備數(shù)量達(dá)97625個(gè)。

根據(jù)美國(guó)ICS-CERT收錄的數(shù)據(jù)顯示，2010年以來(lái)，全球工業(yè)領(lǐng)域發(fā)生的信息安全事件數(shù)量呈現(xiàn)逐年上升趨勢(shì)，從2015年以來(lái)每年發(fā)生工業(yè)信息安全事件數(shù)量近300起。

攻擊的行業(yè)領(lǐng)域也不斷擴(kuò)大，造成后果愈加嚴(yán)重。從被攻擊的行業(yè)分布來(lái)看，目前主要分布在制造業(yè)、通信、能源、供水和市政施設(shè)領(lǐng)域。2017年5月，蠕蟲(chóng)病毒“WannaCry”入侵了全球150多個(gè)國(guó)家的信息系統(tǒng)，多家汽車制造商被迫停產(chǎn)，能源與通信等重要行業(yè)損失慘重。隨著工業(yè)控制系統(tǒng)越來(lái)越標(biāo)準(zhǔn)化，工控系統(tǒng)漏洞數(shù)量增加，工業(yè)信息安全變得易攻難守。

2017年12月，特朗普取消了奧巴馬時(shí)期的“網(wǎng)絡(luò)中立”原則，意味著中國(guó)未來(lái)將要面對(duì)斷網(wǎng)，網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的風(fēng)險(xiǎn)?，F(xiàn)在的戰(zhàn)爭(zhēng)已經(jīng)是無(wú)硝煙的戰(zhàn)爭(zhēng)，金融戰(zhàn)爭(zhēng)與網(wǎng)絡(luò)戰(zhàn)爭(zhēng)將會(huì)成為常態(tài)，目前中國(guó)工業(yè)信息安全基礎(chǔ)仍然比較薄弱，但是近兩年受到國(guó)家重視有較快發(fā)展。

建立信息安全防護(hù)體系，提升安全防護(hù)技術(shù)

工業(yè)控制系統(tǒng)安全是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要組成部分。在工業(yè)互聯(lián)網(wǎng)、"中國(guó)制造2025"、"工業(yè)4.0"等趨勢(shì)驅(qū)動(dòng)下，隨著云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)的成熟，信息化與工業(yè)化進(jìn)行了深度融合，在拓展了工業(yè)控制系統(tǒng)發(fā)展空間的同時(shí)，也帶來(lái)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題。

信息安全作為"十三五"重點(diǎn)建設(shè)方向，重磅支持政策加速出臺(tái)。隨著近年來(lái)國(guó)內(nèi)網(wǎng)絡(luò)安全事件地頻繁發(fā)生，我國(guó)政府對(duì)于信息安全防護(hù)，尤其是工業(yè)信息安全防護(hù)，建設(shè)意識(shí)逐漸加強(qiáng)，政策支持力度不斷上升。未來(lái)工業(yè)信息安全發(fā)展重點(diǎn)主要在安全防護(hù)體系構(gòu)建和信息安全防護(hù)技術(shù)提升上。預(yù)計(jì)未來(lái)5年中國(guó)工業(yè)信息安全市場(chǎng)規(guī)模實(shí)現(xiàn)快速增長(zhǎng)，復(fù)合增長(zhǎng)率為55%左右，到2023年工業(yè)信息安全行業(yè)市場(chǎng)規(guī)達(dá)到77.48億水平。

工業(yè)信息安全產(chǎn)業(yè)結(jié)構(gòu)可以分為產(chǎn)品和服務(wù)兩大板塊。產(chǎn)品結(jié)構(gòu)主要分為防護(hù)和管理兩大類。工業(yè)信息安全防護(hù)類產(chǎn)品主要包括邊界安全產(chǎn)品、終端安全產(chǎn)品及監(jiān)測(cè)審計(jì)類產(chǎn)品。工業(yè)信息安全管理類產(chǎn)品主要包括資產(chǎn)管理、身份認(rèn)證管理、安全運(yùn)營(yíng)管理等。

目前工業(yè)領(lǐng)域在信息安全方面的投入仍然以傳統(tǒng)IT信息安全為主，針對(duì)工業(yè)控制系統(tǒng)信息安全的投入僅占10%左右。2012年-2014年，中國(guó)工業(yè)信息安全市場(chǎng)規(guī)模增長(zhǎng)率只有10%左右，2015年開(kāi)始快速增長(zhǎng)，2017年中國(guó)工業(yè)信息安全市場(chǎng)規(guī)模為5.57億元，同比增長(zhǎng)53.60%。2017年中國(guó)信息安全市場(chǎng)規(guī)模約為419.1億元，中國(guó)工業(yè)信息安全市場(chǎng)規(guī)模占為1.33%，市場(chǎng)規(guī)模較小。

網(wǎng)絡(luò)安全已經(jīng)迅速波及制造業(yè)，涉及到產(chǎn)業(yè)鏈多環(huán)節(jié)

在工業(yè)互聯(lián)網(wǎng)平臺(tái)迅速發(fā)展的當(dāng)下，暫且不談安全隱患引起的嚴(yán)重后果，如果用戶對(duì)平臺(tái)的安全性存在質(zhì)疑，那么互聯(lián)即便有再多的益處，在風(fēng)險(xiǎn)面前也會(huì)令人望而卻步。

因此，構(gòu)建良好的安全體系是制造企業(yè)的當(dāng)務(wù)之急。從提升網(wǎng)絡(luò)安全性、設(shè)置更高的防護(hù)等級(jí)，到設(shè)備編程調(diào)試數(shù)據(jù)的保護(hù)等，安全應(yīng)當(dāng)融入到企業(yè)生產(chǎn)的全生命周期。此外定期的檢查分析、風(fēng)險(xiǎn)預(yù)測(cè)和信息的更新處理也應(yīng)當(dāng)引起重視。

安全事件頻發(fā)，對(duì)于大數(shù)據(jù)、云平臺(tái)等本就沒(méi)什么安全感的用戶來(lái)說(shuō)簡(jiǎn)直雪上加霜。因此對(duì)于相關(guān)供應(yīng)商來(lái)說(shuō)，如何加強(qiáng)對(duì)工業(yè)現(xiàn)場(chǎng)的理解，打造更加安全的方案至關(guān)重要。

安全不是概念，更不是口號(hào)和宣傳的噱頭，今天是供應(yīng)鏈管理，下一次可能是全生命周期管理，如果都要等到事故發(fā)現(xiàn)或發(fā)生后再“亡羊補(bǔ)牢”，那要付出的學(xué)費(fèi)是不是太昂貴了呢？