打开“互联网+” 守好信息安全门 为“中国制造2025”加把“锁”
2015-02-28崔丽媛
文 / 本刊记者 崔丽媛
打开“互联网+” 守好信息安全门 为“中国制造2025”加把“锁”
文 / 本刊记者 崔丽媛
步入信息化时代后,互联网正迅速渗透到各个领域,推动传统企业转型升级。今年3月的政府报告中提出了“中国制造2025”和“互联网+”行动计划,希冀可以通过顶层设计的规划进一步促使我国从制造大国向制造强国转变。然而,以“互联网+”与“中国制造2025”推动社会发展的愿景虽好,但若脱离了信息安全的把关,一切仍旧是空中楼阁。
众所周知,继支付宝因光纤被挖短暂失灵后,携程网也遭到了因员工操作失误导致的网络瘫痪,互联网安全事故接连发生……互联网信息安全问题已足以引起大众关注。与此同时,随着“互联网+”的提速,各行各业与互联网的融合日益加深,数据安全管理已成为企业核心竞争力。业内人士指出,“互联网+”时代为我们提供了数据高效传输和运用的便捷性,同时也提出了信息安全管理的挑战。
关注“热度”不减反增
2013年,斯诺登打开“棱镜门”这个潘多拉魔盒,信息安全问题再次被提到国家战略层面。尽管过去一年多,余波未消,信息安全仍是2015年IT产业最热门的话题之一。尤其在“互联网+”时代,移动互联网已进化为生产型的移动互联网,云计算、物联网、大数据为代表的新一代信息技术将与现代制造业、生产性服务业等进行融合创新,信息安全便成为重中之重。
今年“两会”期间,信息安全再次成为焦点,众多科技界代表就此进行提案。与以往不同,今年的信息安全更集中于云计算,移动智能终端等新问题上。此外,国家日前还成立了中央网络安全与信息化领导小组,习近平总书记任组长。他提出“网络安全与信息化是一体之双翼”,将网络安全与信息化提高到同等重要的高度上。当前的信息安全已不再是单纯过去所讲的技术安全,也不单纯是针对某一黑客。
对于交通运输行业信息化建设来说,如何有效落实一体双翼,真正实现网络安全与信息化比翼齐飞,也已成为交通运输信息安全中心重点关注的问题。
“互联网+”首先要“安全+”
李克强总理所提出的“互联网+”概念,是利用计算、数据、知识,推动传统行业乃至整个社会的改造与创新;而“中国制造2025”则是我国实施制造强国战略第一个十年行动纲领,以推动信息化与工业深度融合为任务,深化互联网在制造领域的应用。不难看出,所谓的“中国制造2025”,正是“互联网+”与传统制造业的10年深度融合。
然而,随着“互联网+”计划逐步落地,网络信息安全再成风口。制造业与互联网高度融合的同时,企业信息安全也逐渐暴露出来。360副总裁谭晓生曾在2015年第七届云计算大会上表示,企业在互联网云时代所面临的安全挑战,要远甚于传统时代。谭晓生认为,“互联网+”能为企业带来更大的利益,但同时也会带来更高的风险。因为互联网技术虽较传统技术更为发达,但其传统安全问题却并未解决,并且还诞生了新的攻击面,增加了企业防范难度。
“我国互联网云发展迅速,而互联网云安全技术却并未跟上其脚步,这是极为危险的”,谭晓生表示,在DT时代,数据的价值远胜以往,数据丢失将会导致难以估量的损失。
看得出来,信息安全不应仅停留在互联网行业的基本要求层面,更亟需以“安全+”的战略积极布局,保证在打开“互联网+”的同时,做好“安全+”的防护。
为“中国制造2025”上把锁
李克强总理在2015年政府工作报告中强调了要实施“中国制造2025”战略规划,坚持创新驱动、智能转型、强化基础、绿色发展,加快从制造大国转向制造强国。从本质来看,“中国制造2025”是工业信息化的智能化,其中网络是神经,大数据是血脉,信息安全是保障。在“中国制造2025”背景下,世界变成了一个巨大的物联网,形成了全覆盖的云环境,产品与消费者之间将达到空前的默契。
与此同时,随着《中国制造2025》的推进,网络信息安全威胁也将如影随行地进入智能制造的各个环节,网络安全威胁出现了不同以往的变化。
首先,颠覆了己有的互联网商业模式,网络安全威胁严重影响物质形态和特性的异化。当互联网技术融入智能制造,通过运用大数据和云计算而建立起统一的智能管理服务平台,各生产设备可以自发地实现信息交换、自动控制和自主决策,以及产品的实时监控与预警、维护,提高稳定性和各环节整体协作效率。由此可见,在智能制造中网络安全威胁不但可能会侵入产品“创意—设计—生产—消费—服务”的各环节,还将影响和改变产品的物理特性与物理形态,并将由于网络信息威胁的侵入使之异化,形成智能制造中的网络安全威胁新特征。
看得出来,信息安全不应仅停留在互联网行业的基本要求层面,更亟需以“安全+”的战略积极布局,保证在打开“互联网+”的同时,做好“安全+”的防护。
其次,智能制造中物理信息系统(CPS)成为网络安全威胁的核心目标。由于CPS中物理部件处于开放的环境中,其信息隐藏的程度受限,CPS中的设备极易暴露位置信息与时间信息,容易造成潜在的信息被物理攻击。而当前的推理技术与数据挖掘技术也难以保障CPS中海量数据的隐私与安全,CPS如何应对网络安全威胁成为研究热点。
第三,开放环境中智能制造存在受到攻击的风险。在当前的框架下,存在利用物理空间的部件对信息空间进行攻击的危险。此外,还存在着智能制造安全标准缺失的挑战。仅仅实现装备的高度自动化、数字化、智能化,其实并不能完全保障智能制造发挥作用,还需MES(制造执行管理系统)、ERP(企业资源计划)和工控等软件的集成应用,确保生产作业计划的准确性和企业资源的优化配置。也就是说,不仅要有一流的硬件设施,还需要提供一流的软件和服务。
因此,如果说网络和信息安全是实现“中国制造2025”目标的基石,那么也同样可能成为实现“中国制造2025”目标的薄弱环节。
除此之外,在推进“中国制造2025”过程中,智能制造作为主攻方向,自然也会存在安全隐患。其中,云服务和大数据安全是实现智能制造不可或缺的重要组成部分。据悉,目前在智能制造云计算环境中存在诸如拒绝服务攻击、中间人攻击、数据删除不彻底等多种网络安全威。据知名网络安全Garner公司预测称,在2015年,30%的中小企业的安全控制将基于云,到2018年超过一半的组织机构将建立专注于数据保护、安全风险管理及安全基础设施管理的云安全。
如果说网络和信息安全是实现“中国制造2025”目标的基石,那么也同样可能成为实现“中国制造2025”目标的薄弱环节。
而在大数据安全方面,据赛门铁克公司调查资料,2014年157个国家和地区的监测表明,其数据泄露总量较2013年增加了23%,数据泄露的主要原因占比分别为:攻击者占49%、意外泄露和设备被盗或丢失占43%以及内部偷窃8%。
看得出来,要想更好实现工业智能化,必须以保障大数据安全为前提。一方面,从技术层面来看,智能制造中需要和产生海量信息,加大了信息泄露的风险,故对实时安全和商务数据结合在一起的数据进行预防性分析,可提高识别非法网络行为的能力,从而防止钓鱼攻击、诈骗和阻止黑客入侵。同时,利用大数据技术整合计算和处理资源,有助于更有针对性地应对信息安全威胁,找到攻击的源头。
另一方面,大数据安全也需要法律监管。长期以来,国际网络规则和秩序是由美国制定并把持着,“棱镜门”暴露出互联网被美国一家垄断的严重缺陷,需要通过国际社会的共同努力,制定国际网络管理规则,真正建立起国际网络监管制度,将是解决网络安全问题的关键。积极完善国内信息安全的相关法律法规,制定大数据的技术标准和运营标准,启动大数据立法,解决数据隐私保护、数据主权归属问题,以保护智能制造大数据的安全。
交通运输行业的信息安全犹如一把悬于头顶上的双刃剑,如何处理行业中普遍存在的信息安全问题仍是行业内专家关注的焦点。
积极推进交通运输行业信息安全建设
在中国这个制造业大国里,交通运输制造业贡献并不小。在各行业领域积极落实“中国制造2025”战略的同时,交通运输制造业并没有置身事外。事实上,交通运输信息化建设的速度与规模还是发展较快的,但行业信息化也普遍缺乏顶层设计,部省之间、省市之间、不同业务线之间技术标准不统一,形成了大量信息孤岛,同时安全检验评估机制的缺失,导致交通运输行业处于多重、异构中。在复杂的信息系统环境下,行业中部分采用的国外信息产品和工控系统有可能存在的后门和漏洞,也成为严重威胁交通运输行业安全的重要症结。
具体来看,信息安全工作是交通运输信息化健康、持续发展的根本保障,也是交通运输信息化发展的短板。据了解,目前交通运输行业信息安全还未完全做到与系统建设同步,导致交通运输系统整体防御和纵深防御体系依然比较薄弱,物理隔离不到位、业务逻辑存在缺陷等现象依然存在。另外,交通运输行业基础信息网络点数众多,也容易导致网络中一个环节出现问题,整个网络都不再安全。构建完善的行业安全保障体系,必将成为交通运输行业信息化建设工作的重点任务之一。此外,行业信息安全中还存在着信息孤岛的现象。据了解,相关科研项目组已制定了适应交通运输行业的安全技术防护手段。通过开展行业可信安全环境技术体系框架研究,开发跨域身份认证交互、一体化配置基线等关键技术,编制了行业可信应用环境技术指南,并建立行业信息安全等级保护功能复合型检测支撑体系,保证了交通运输行业重要业务系统的安全和可信。
总而言之,交通运输行业的信息安全犹如一把悬于头顶上的双刃剑,如何处理行业中普遍存在的信息安全问题仍是行业内专家关注的焦点。
对于加强行业信息安全,业内人士认为,落实等级保护、建立交通运输行业信息安全保障体系,无疑是行业当中信息安全保障工作的核心部分。据悉,2012年中国交通信息中心承担了交通运输部科技司第一个信息安全科技项目《异构条件下交通运输行业可信安全环境和安全检测关键技术研究》,同时与高校、企业合作,走产学研道路,组成了十余人的项目组,开展面向行业信息安全等级保护测评调研,编制了《交通运输行业重要业务系统等级保护定级指南》,有效地降低交通运输行业异构问题带来的IT风险隐患,确保业务应用安全有序开展。另一方面,还有利于真正落实等级保护管理、技术、运行的具体制度,为交通运输行业信息安全建设提供具体指导意见和参考方法,有效提升交通运输行业服务国家和社会的能力,具有深远的行业影响和巨大的社会效益。
