工業安全和個人安全缺一不可
近幾年,隨著我國經濟的發展,科技是重要推手。5G、物聯網、數據中心、人工智能等技術的發展,加速助力我國經濟發展。這些發展不僅體現在工業制造、農業生產方面,而且還深深地烙印在我國普通民眾的生活中。
今天我們就幾個工業問題和生產生活問題采訪了卡巴斯基大中華區總經理鄭啟良,聽聽卡巴斯基對這些問題的看法。
卡巴斯基大中華區總經理鄭啟良
首先,我們先談談智能領域的工業網絡安全問題。
我國的智能制造進程正在快速推進,在工控網安全方面,我們很多人的腦海中可能會出現一些重要工業設施遭受不法侵害,造成經濟,甚至人員傷亡的畫面。那么卡巴斯基對此有哪些看法和建議呢?
如今的工控網絡架構已從傳統獨立網絡架構走向智能制造和工業聯網的架構中,現在已經能夠進行更快速的數據交換、收集和分析運用等服務。對于這個問題,鄭啟良認為,“在這些快速變化的服務之上,基本的安全防護更顯得至關重要。在不影響這些精密數據協議交換的過程中,導入合適的安全機制,提供完整的可視性和異常行為分析。這些應用能在工控網絡數據運行異常或是有所偏差時,實時快速為管理人員提供對應的可視化信息,更快辨別和找出可疑的威脅或信息異常的原因。而在這些應用當中,可視性在這種特殊運用的場景中顯得更為重要。因為,此場景通常為高度自動化的運作場景,若沒有足夠的可視性信息。對于安全運維或管理人員而言在處理異常行為時,無異于瞎子摸象,無法實時保護相關資產及數據的完整性。”
除了上述的工業生產環節網絡安全外,其實還有一個介于工控安全和個人安全之間的問題,也逐漸浮出水面。那就是無人駕駛的新能源汽車的安全問題。
近日,工信部起草了《關于加強車聯網(智能網聯汽車)網絡安全工作的通知》,而每年總有很多“安全愛好者”以入侵特斯拉為榮耀,前不久,就有人用無人機控制特斯拉,:那么這些新能源汽車,尤其是車聯網汽車,為什么這么容易受到攻擊?
鄭啟良認為,“只要是能連上互聯網的各種設備,就是這些”安全愛好者”的研究目標。加上近期新能源汽車、智能網聯……等議題的興起。更多人想證明在安全愛好者的領域里,這些設備或車輛是否有足夠的安全機制能確保在上路時還保有足夠的安全機制,避免被壞人利用造成意外事故。或是利用這樣的機會,展現自己的專業知識和技能。會選擇特斯拉只是剛好是最早提供相關應用的廠商。其實只要是智能聯網的相關設備都應該在上線使用前,通過專業的安全團隊來協助確保產品在開發到上線的過程中都有做好完整的安全相關評估,降低已知和零日漏洞利用的機會。“
談完了新能源汽車,接下來我們就將目光轉向更為個人化,私人化的話題了。近日,工信部針對攝像頭網絡安全問題開展活動,那么家庭和企業不同,企業有技術,有資金,可能會做很多防范工作,但家庭可能就沒有那么多資金、技術和設備去防范這些危險,家庭該如何防范攝像頭的網絡安全事件?
確保家庭使用的攝像頭是在制作過程中有通過相關的安全檢測機制的產品,避免有可利用的漏洞造成數據外泄的風險。為了防止數據泄露,鄭啟良表示,用戶要提高隱私保護的意識,可以采取以下步驟來降低安全攝像頭被黑客攻擊的可能性。他提出以下四點建議:
選擇正規廠家購買。通過正規渠道購買,不要購買“三無”產品,根據實際情況決定相應的功能是否開通使用。
持續保持對攝像頭固件更新。攝像頭企業應該定期發布修復軟件錯誤和修補安全漏洞的新固件。
定期更改攝像頭密碼。對攝像頭或軟件進行定期修改密碼。
第四,有條件的話,消費者要設置雙因素身份驗證。通過您的短信,電話,電子郵件或身份驗證應用程序向您發送一次性密碼。
上述建議基本上可以為消費者提供比較完備的攝像頭防護機制。其實攝像頭安全也是保護個人信息不被侵犯的一種形式。
說到個人信息或者說是數據安全,我們不得不提到我國正式啟動的《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》。卡巴斯基認為,數據安全已經成為事關國家安全與經濟社會發展的重大問題。逐漸完整的數據使用依據更能有效的利用數字數據來發展不同的領域又能明確界定各種不同數據信息所需的保護等級。
歐洲GDRP就是最為明確的一部關于個人數據合法應用的綱要。它確立了機構或企業收集和使用個人數據的嚴格要求。有玩游戲的朋友們可以回想一下,我們在玩一款游戲時,如今都需要向游戲廠商或者運營商提供一些個人隱私信息,這些信息哪些是必須的,哪些是非游戲必要的,為什么需要提供那么多信息?真有那個必要嗎?這些信息是否會被應用于其他用途,或者會被出賣給第三方進而引發不良后果,我們廣大群眾通常都是無法及時了解的。我國啟動《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》,確保數據安全的使用,避免數據的外泄,這代表國家對數字安全和個人信息保護越來越重視,從道德和法律角對企業機構和個人的信息收集和使用提出了嚴格的要求,對雙方的責任權益進行了更為細致地界定。進一步確保了我國企事業和個人的數據安全,起到了理清信息收集和應用的合法和必要性問題。明確了數據收集后,數據收集方和提供方的責任、義務和權利問題。
