包括克萊斯勒、福特、特斯拉等全球100家車企的超過47000個機密文件遭外泄，這一被媒體稱為迄今為止最嚴重的工業數據“車禍”於近日發生。

    據報道，數據泄露的源頭指向了這些車廠共同的服務器提供商Level One Robotics and Controls（以下簡稱Level One），泄露的數據包括產品設計原理圖、裝配線原理圖、工廠平麵圖
、采購合同等敏感信息。

    “這隻是全球近年來頻發的工業信息安全事故的縮影。”7月30日ri北bei京jing理li工gong大da學xue網wang絡luo攻gong防fang對dui抗kang技ji術shu研yan究jiu所suo所suo長chang閆yan懷huai誌zhi在zai接jie受shou科ke技ji日ri報bao記ji者zhe采cai訪fang時shi說shuo
，從cong全quan球qiu發fa展zhan趨qu勢shi來lai看kan，工gong業ye互hu聯lian網wang和he工gong業ye數shu據ju日ri益yi成cheng為wei黑hei客ke攻gong擊ji的de重zhong點dian目mu標biao。

    那麼，到底誰是這次工業數據泄露事件的罪魁禍首呢？我們又該如何有效防止類似事件的發生呢？

    訪問不設限釀“車禍” 平台漏洞是禍首

    “車禍”主角Level One是一家數據管理平台公司，它主要提供基於客戶原始數據的定製化服務。

    “Level One在使用遠程數據同步工具rsync處理數據時
，備份服務器沒有限製使用者的IP地址，並且未設置身份驗證等用戶訪問權限
，因此任何人都能直接通過rsync訪問備份服務器，這是導致事故發生的主要原因。”7月30日寶沃汽車（上海）有限公司總工程師劉凱在接受科技日報記者采訪時說，“由於業務擴展需要
，如今越來越多的第三方公司獲得了車企的訪問權限，車企數據泄露的風險也就隨之增加。”

    在閆懷誌看來，數據平台存在的漏洞是導致此次事件發生的根本原因。“近年來，工業數據平台被曝出的漏洞日益增多，尤其是工業控製係統內的安全漏洞層出不窮，且大量集中在裝備製造、交通、能源等重要領域，嚴重威脅國家信息基礎設施安全。一些黑客正是利用這些漏洞
，竊取了大量的工業敏感信息。”閆懷誌說。

    自2015年以來，全球每年發生的工業信息安全事件接近300起，工業領域已成為網絡攻擊“重災區”。

    國家工業信息安全發展研究中心監測數據結果顯示，我國3000餘個暴露在互聯網上的工業控製係統，95%以上都存在漏洞
，可輕易被遠程控製，約20%的重要工控係統可被遠程入侵並完全接管。

    “目前很多工業係統和設備沒有防護軟件，也未安裝殺毒係統，一旦上了網就基本處於‘裸奔’狀態。”一位業內人士表示，目前我國一些通信、能源、水利
、電力等關鍵基礎設施存在著較大的安全風險，而入侵和控製工業信息係統也已成為商業上打壓競爭對手的不法手段。

    企業安全意識薄弱 相關人才儲備匱乏

    “目前
，我國很多地區

、部門
、工業企業對工業數據安全重視不夠，重發展輕安全，不重視漏洞
、修複不及時等現象普遍存在。”閆懷誌說。

    據360補天漏洞響應平台統計
，在工業相關信息係統漏洞中

，25.6%的漏洞未進行修複
，一些漏洞的平均修複時間長達數月之久。

    我國對工業信息領域安全的認識還處在初級階段。2017年5月“Wanna Cry”勒索病毒事件爆發，微軟在當年3月就發布了相應的安全漏洞補丁，但我國很多單位一直由於未及時打補丁
，導致近30萬台主機和電腦被感染。

    直到今年，360公司還能監測到每天有近千台電腦感染此勒索病毒。

    在zai企qi業ye中zhong，因yin私si人ren行xing為wei暴bao露lu並bing感gan染ran病bing毒du的de情qing況kuang也ye較jiao為wei多duo見jian。例li如ru
，個ge人ren通tong過guo工gong控kong設she備bei違wei規gui上shang網wang，或huo是shi廠chang商shang的de維wei護hu人ren員yuan電dian腦nao感gan染ran病bing毒du後hou造zao成cheng設she備bei係xi統tong全quan網wang感gan染ran等deng。

    ciwai
，woguogongyeqiyemuqiandefanghujishuhaijiaoweiluohou。guojiagongyexinxianquanfazhanyanjiuzhongxintongguoanquanjiancefaxian，gongyeqiyexinxianquanyingjibeizaishouduanbuzu，yue70%的被調查企業缺少完善的應災備災體係。

    防護技術之外，我國在工業信息領域的核心產品自主可控度也較低。

    國家工業信息安全產業發展聯盟發布的《2017年工業信息安全態勢白皮書》顯示
，國產數據庫僅占據7%的低端市場，大量工控係統由外國廠商提供運行維護。我國部分企業不具備自主維護能力，而且缺乏對外國產品和服務的監管。

    同時，人才匱乏也是導致工業信息安全技術薄弱的原因之一。“公gong共gong信xin息xi安an全quan人ren才cai需xu掌zhang握wo自zi動dong化hua和he網wang絡luo安an全quan兩liang個ge學xue科ke的de知zhi識shi和he技ji能neng，這zhe類lei人ren才cai缺que口kou巨ju大da。但dan目mu前qian在zai高gao校xiao中zhong尚shang沒mei有you設she立li工gong業ye信xin息xi安an全quan領ling域yu碩shuo士shi
、博士的培養方向，工業信息安全從業人員幾乎都是在實踐中學習。”閆懷誌說。

    築防線需多方合力 可借鑒歐盟做法

    “工業大數據的共享是工業互聯網應用的基礎和靈魂
，而工業數據安全及隱私保護又是一切應用的前提。”閆懷誌建議，要想給工業信息構築起一道“防線”
，首先企業應樹立信息安全與隱私保護意識。

    閆懷誌介紹，傳統IT網絡中的隱私規範，主要應用“告知與許可”原則，由信息所有者自行決定可否
、ruheqieyoushuilaichulihuoliyongqixinxi，xinxiyinsibaohudezerenfangweixinxisuoyouzhe。zaigongyedashujuhegongyehulianwanglingyu，gongyeshujuxuyaobeiduocishiyong，chuantongde“告知與許可”隱yin私si保bao護hu機ji製zhi不bu具ju備bei現xian實shi可ke行xing性xing，工gong業ye數shu據ju信xin息xi隱yin私si保bao護hu的de責ze任ren將jiang由you數shu據ju使shi用yong方fang來lai承cheng擔dan。這zhe種zhong方fang式shi下xia可ke采cai用yong的de保bao護hu手shou段duan包bao括kuo數shu據ju分fen類lei分fen級ji和he數shu據ju脫tuo敏min等deng。

    此外，掌握大量工業信息的數據平台也應肩負起管理的責任。“此ci前qian我wo國guo網wang絡luo安an全quan與yu信xin息xi平ping台tai監jian管guan主zhu體ti不bu清qing晰xi
，多duo頭tou監jian管guan問wen題ti突tu出chu，信xin息xi係xi統tong平ping台tai安an全quan監jian管guan不bu力li甚shen至zhi監jian管guan缺que失shi的de情qing況kuang時shi有you發fa生sheng，特te別bie是shi在zai工gong業ye互hu聯lian網wang和he工gong業ye數shu據ju安an全quan保bao護hu方fang麵mian表biao現xian得de更geng為wei突tu出chu。”閆懷誌表示，“平台應不斷完善數據隱私保護以及網絡安全策略
，成立數據安全與隱私保護的專門負責機構或組織。”

    360集團董事長兼CEO周鴻禕也強調了漏洞管理的問題。他認為
，應建立漏洞管理全流程監督處罰製度
，製定覆蓋網絡安全漏洞的發現、審核、披露、通報
、修複、zhuizedengquanliuchengguanlixize，qiangzhiyaoqiuloudongbixujishixiufu，duiloudongxiufushijianyijiweiguichufacuoshiyuyimingqueguiding。ciwai
，yingjianlijiandujianzhajizhiheliliang，jishifaxianweijishixiufuloudong，zhuijiuxiangguandanweihezerenrenzeren。

    中(zhong)國(guo)政(zheng)法(fa)大(da)學(xue)法(fa)學(xue)院(yuan)大(da)數(shu)據(ju)和(he)人(ren)工(gong)智(zhi)能(neng)法(fa)律(lv)研(yan)究(jiu)中(zhong)心(xin)主(zhu)任(ren)汪(wang)慶(qing)華(hua)教(jiao)授(shou)則(ze)從(cong)立(li)法(fa)角(jiao)度(du)給(gei)出(chu)了(le)建(jian)議(yi)。他(ta)對(dui)科(ke)技(ji)日(ri)報(bao)記(ji)者(zhe)說(shuo)，我(wo)國(guo)在(zai)網(wang)絡(luo)安(an)全(quan)和(he)信(xin)息(xi)保(bao)護(hu)方(fang)麵(mian)的(de)立(li)法(fa)呈(cheng)現(xian)出(chu)分(fen)散(san)式(shi)立(li)法(fa)
、多頭式監管的特點。目前
，我國已經初步建立起了以《網絡安全法》為中心的分散式信息保護和數據安全方麵的法律體係
，未來還需進一步加強相關立法工作。

    在政府監管方麵上
，閆懷誌認為，我國可參考借鑒歐盟出台《通用數據保護條例》（GDPR）的做法
，提高對信息非法獲取的懲戒力度。

    “GDPR是(shi)與(yu)當(dang)前(qian)網(wang)絡(luo)空(kong)間(jian)現(xian)狀(zhuang)最(zui)為(wei)契(qi)合(he)的(de)數(shu)據(ju)保(bao)護(hu)條(tiao)例(li)，要(yao)求(qiu)手(shou)握(wo)數(shu)據(ju)的(de)企(qi)業(ye)和(he)機(ji)構(gou)設(she)立(li)專(zhuan)門(men)的(de)數(shu)據(ju)保(bao)護(hu)官(guan)員(yuan)來(lai)負(fu)責(ze)數(shu)據(ju)管(guan)理(li)。我(wo)國(guo)也(ye)可(ke)適(shi)當(dang)借(jie)鑒(jian)

，要(yao)求(qiu)企(qi)業(ye)和(he)機(ji)構(gou)設(she)立(li)類(lei)似(si)職(zhi)位(wei)。此(ci)外(wai)，GDPR不僅倒逼中國企業更加重視數據安全和隱私保護
，而且也為中國數據安全工作提供了一種思路——zhongguoyekeyizhidingleisitiaolilaiweihuwoguoqiyehegongmingerendeshujuanquan
，fangzhiguoneiwaijigoufeifalanyong。tebieshizaigongyehulianwanghegongyeshujuanquanbaohufangmian，youzhenduixingdezhiduyichengweiranmeizhiji。”閆懷誌說。