|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
随着5G、人工智能、物联网、云计算、大数据等高新技术的应用与发展,“互联网+”多维度融合,我们的生活正迈入万物互联的智慧时代。可以预计,未来城市是一个全面物联、透彻感知、深化智能的智慧城市。1 X# n3 y4 Z" r5 u( z
. b9 x% C4 o* F, M
: ]; P. z) }5 C# ^+ b% y# [' b }
与此同时,智慧时代所面临的网络环境更加复杂、联网终端更为庞大、隐私风险更是加剧、安全威胁更具挑战。 H7 D7 r! N; B/ ^4 t4 O
6 D7 _2 L2 C+ P! w6 t ]. ?" {! J D0 i5 |
近期,笔者向国内漏洞挖掘平台反馈了一款信息安全类软件鉴权设计漏洞。该信息安全检测软件启动时虽需配合动态令牌获取验证码,但对PC端软件验证模块反汇编分析后证实,程序在内存空间明文呈现历史验证码。
3 w4 F9 l* ^2 ?: G/ ~) u
( v$ h4 q% n* O# c- P4 ~) J* O U7 b4 \6 o: V
这说明,从验证机制上存在安全设计漏洞,只需通过简单的操作就能够跳过安全认证或欺骗验证,权限限制形同虚设,同时也会导致软件内部敏感信息、涉密规范泄露。软件产品漏洞层级中最高危的就是安全机制上的缺陷。在信息安全防护领域,尽早制定一套完善的安全机制或规范有利于在源头上封堵漏洞。
. a; B6 i3 K3 j: I2 s, F/ o0 w! n. O* o. b) Q
. G7 P% ]& G2 q. ?
当前互联网技术高速发展的同时,带来了网络服务提供商大量出现和网络安全防护能力参差不齐的矛盾。智慧时代正迈步走来,未来网络环境面临的新型安全威胁更加未知、更为广泛、更难预料。1 ?1 F- D7 ^' A0 y) O; e' g
$ K; a5 L- \, p/ ^, Y) K! F' t2 u
) ]. O" d, p/ r# y
《治家格言》中曰:“宜未雨而绸缪;毋临渴而掘井。”面对未来复杂的网络环境,我们应保持警惕的思维、掌握过硬的本领、运用完善的措施,早做准备、早出方案、早下决心做好网络安全防范工作,确保能够抵御来自网络空间的未知威胁。6 d4 r9 I& t/ n7 Q! q9 f; X
3 J1 a2 c2 h% j& S) U: A警惕一:智慧城市建设过程中隐藏的风险隐患
* U7 [: E; r( r$ ]" ~6 ]著名游戏《看门狗》讲的是一个智慧城市被神秘组织操控的故事,该组织通过中央控制系统ctOS掌控了整个城市,所有人的秘密,银行账户,通话内容,人脉关系他们都了如指掌,甚至监视市民,收集并出售他们个人的数据,操纵选举和扰乱社会秩序。为防止此类剧情发生,我们必须重视隐藏在智慧城市之中的风险隐患。
8 W0 P9 G$ `4 R9 J" Q( ]7 c
1 r- _ D6 [2 }" C
( N) h+ U; |, e$ Y) r未来智慧城市几乎所有应用都将依托国际互联网环境,比如在“城市大脑”中会保存城市运行和管理的海量数据,这些海量数据来自各个领域,不仅仅涉及城市运行的大量公共数据还包括海量公民个人隐私数据,这些数据会被记录到中心服务器,并通过大数据分析筛选保存,这些单一的数据经过整合、处理、加工就具有了非常高的信息价值,对于这些数据,从攻击者角度来讲,有信息价值就有窃取价值。可想而知,未来智慧城市中的大数据信息资源将成为网络攻击的“大目标”。
' e7 q& x+ K! E- [
9 \8 A9 [. D% t- y6 U$ E+ s. B
/ Z5 a$ f4 t" g* Z省长袁家军在推进政府数字化转型专题会议上强调:“推动公共数据在安全可控的前提下最大程度开放共享,明确数据应用的权限、层级、范围,加强政府规章建设,坚决堵住风险漏洞,切实保护公民个人隐私,企业商业秘密。”
" N) V6 s% E. N1 ?
3 L2 j4 M: P* V: f0 ~+ V. u" ?/ t' D2 Y: c3 d6 P; q
因此,面对未来智慧城市可能遇到的威胁,必须倍加重视,应该在智慧城市建设过程中尽早对敏感信息制定安全防护规范、完善安全防护预案、采取高密级保护手段,确保不留安全隐患。# A0 N5 h2 Y% N4 v3 t! J
- M9 B) ^9 L; w6 d [) j警惕二:工业信息领域发展中存在的安全威胁
8 S& `+ S x% l) m+ q5 Q我们先来看几个案例:9 |+ E8 O0 U5 ?
. _! t; ]% _3 ?8 `" ^" G
. `4 q7 x7 ], Q# `' Z2010年6月,白俄罗斯一家安全公司对伊朗一些私人计算机进行故障排查时找出了一个隐蔽病毒。经分析,该病毒中隐藏有两个针对西门子工控软件漏洞的攻击代码,这也是世界上第一例针对工控系统攻击的病毒,这就是著名的“震网病毒”。; [2 @7 X# y- y, G
/ k/ \5 a7 P8 n, G5 E
& Z: {. a* D" J. M
2016年4月26日,德国RWE电力集团声称,在贡德雷明根核电站B机组一台电脑的操作系统中发现了病毒,这台电脑运行着核燃料棒插取装置相关的数据可视化控制软件。# H$ u) u L( r/ {8 A& }" `
. g! G3 {% ^' s: Y6 O
$ F1 L5 O8 X! a! w9 a8 w2020年5月5日委内瑞拉国家电网干线遭到病毒攻击,造成全国大面积停电。' w+ E2 c3 o5 Z: W% K8 a4 {" D
$ ^; T& q E7 W; K' ^1 ]
3 j% P5 L( l$ v8 l7 A- {2 S1 R2020年5月1日至5月15日国家信息安全漏洞库(CNNVD)共发布各类系统漏洞共757个,其中涉及工业系统或工业设备的中高危漏洞就有32个,但更令人发指的是至今仍有12个漏洞厂商未发布补丁。
* n2 v) V& W+ h. U+ j1 e& z$ `( ^ |2 W: V8 _$ a
" p. Z0 t" u: \( U# R6 [1 h由此可见,工业领域信息系统若遭受破坏必将危害国家安全、社会稳定。工业信息领域安全威胁主要来自两个大的方面。
# t1 k" e0 e- H$ @5 z# h+ q/ U/ N# Y# T
6 T# E Y) G0 H一个是现有企业内部使用境外工控设备的安全问题。由于大量企业工业主控设备来自境外,其软件系统漏洞修补受制于人,一方面无法掌握这类设备安全底数,另一方面是否存在未公开的安全漏洞更不得而知。对于此类威胁,加强封堵是先导。厂商一旦发布漏洞补丁,管理部门应尽早督促相关企业进行修补。协同通报是手段。企业在使用这类设备过程中,应加强隐患排查,对异常故障随时记录,对可能涉及到运行威胁的现象及时分析,问题设备及时上报。制定预案是保底。主管部门应当模拟工业互联网体系遭受恶意攻击,率先制定应对措施,确保安全底线。9 ?- g/ z* j7 s: H6 K. ~- o
" ^7 C* ]: z! w8 M- P; s3 J
; }4 |* ^/ Q, Z8 Z5 T4 \& J9 e另一个是发展我国自有工业互联网可能忽视的隐患。针对大量工业制造核心技术受制于人的现象,以阿里为代表的优质企业已经着手研发工业操作系统、工业信息安全网络、工业智联网、工业大数据、工业软件,以及工业互联网全链条创新技术研究。构建以自主可控为基础的工业互联网发展体系,从底层架构上能够摆脱受制于人的境况。但也要警惕因急于发展忽视安全模块建设等问题,应当主动作为,在网络设计早期率先制定安全防护规范。不过总体来讲,自主可控使我国在封堵漏洞、安全防范方面占据主动权。
5 G4 f1 F$ G, N4 _* [% p& \9 u" X; p: I5 h: c9 B" L: `. F/ Q
警惕三:智慧城市生活中暴露的隐私泄露. j. t' C8 t( i5 c& p$ S) |% c( |
未来智慧时代城市越智能、越发达,面临的威胁就越复杂,对抗就越艰难。智慧时代的人们在万物互联的城市中工作生活,网络连通你我、连通家庭、连通社区,公民的大量个人信息在网络环境里留存,当人们使用便捷的智能应用之时,各类网络运营商、服务平台也在“大摇大摆”地收集个人信息。隐私泄露并不是一个新鲜话题,那么除了如何保障这些隐私数据合理利用、有限使用,不被滥用之外,更要重视如何抵御来自网络空间攻击威胁。8 s) N" X/ U# A& N$ y& C
1 U! Q3 ^1 l8 i: i! F ^, z' a7 @/ p% R5 x# K W& H& I5 H
现阶段,对于隐私泄露可以用“收集过度、采集混乱、窃取隐蔽、防护困难”来形容。) j: s3 _9 h9 r& _- J4 n2 u
; p3 L- m3 a; d! ?2 z m: L! e+ x+ V* R x# _( t
数据收集量越大,采集机构越繁杂,安全隐患就越大。保护个人隐私数据安全,首先要控制数据收集源头,制定数据采集规范,加大存储保护力度。与此同时,用户也应提高自身安全防范意识,在网络上要慎重提交有关个人的身份信息。% c/ m" U3 ^+ F% L( I* h
# i8 i2 |7 Z# n6 G6 r; I
$ v9 n0 x9 |) I
未来,智慧时代数据收集、集中存储将会面临更大的泄露风险。目前我们还处于智慧城市建设的初期阶段,对这些威胁还没有得到足够的认识。大量数据的汇集不可避免地加大了用户隐私泄露的风险。中科曙光大数据总工程师宋怀明说:“大数据时代,网络安全的风险在于网络攻击目的性更强,可针对特定的目标人群,也可面向普通网民,危害性范围广;攻击的技术手段增多、更隐蔽,可以说无孔不入。”因此,我们应提前制定监测、预警、处置的联合网络安全处理机制,建立“链式防守”体系,把政府职能部门、网络接入商、服务提供商联合起来,组成坚实的防守阵容,一旦遇到威胁能够把风险隐患降到最低。7 X6 Y$ k6 V7 t7 x/ L2 S
$ M$ _7 ~" E1 k; B O. E. K
$ h& T4 ?8 ?! }5 x
科斯定律告诉我们:“一项资源,谁用得好,就归谁。”智慧时代,要想确保数据安全、城市运行稳定,就得主动把牢使用权。面对未知的网络安全威胁,作为智慧时代网络环境的规划者、建设者、参与者应该做到“早定制度、强制规范、技术防护、常抓审查”,从源头封堵漏洞。防护好网络及各项信息系统,确保云平台、物联网、工控系统、大数据、移动互联等各类新技术顺利应用。* _- X- o* ?8 D' M+ B, m
. H, |, C8 N# ]/ _: B0 V. |, l3 R4 Y& P
6 f2 \1 ~( d' U; G7 V网络空间安全防护由不得半点懈怠,这关乎国家安全、经济发展、社会稳定、人民隐私,我们应深刻认识到网络空间的战斗警报从未停歇。
6 T' s' `" C% s* [4 p& c5 f( W+ H9 q% L" p; c* ~
|
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2023-6-8 14:40:36
变色卡
抢沙发
千斤顶
显身卡
发表于 2023-6-8 15:07:59