浅谈在“工业4.0”时代如何重视信息安全问题
申惠芳
摘要:在国际上,网络信息系统安全已引起各国的高度重视,我国也已把信息安全保障工作迅速提到了一个新的高度,习总书记在中央网络安全和信息化领导小组深刻阐释了党中央关于加强网络安全和信息化工作的指导思想和方针路线。本文就“工业4.0”时代,信息安全面临的问题做简要阐述、从创新信息安全宣传工作,建立全民安全素质教育;加快技术标准化建设,尽快出台物联网相关安全法规;提倡创新发展,加紧研制并使用具有自主知识产权的网络产品;有效培养、聚合各种力量,增加国家与民间网络攻防能力等几个方面提出自己的想法和建议
关键词:工业4.0;嵌入式系统;信息安全
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)12-0016-02
机器人向总书记问好,总理和机器人“切磋”羽毛球,阿尔法狗战胜世界冠军,无人机,智能家居产品,无人驾驶汽车,智能电网。一系列的智能创新标志着“工业4.0”时代已经来临。工业4.0是第四次工业革命的简称,是在大数据、物联网技术与云计算技术,以及3D打印和AI(人工智能)的推动下,以智能制造为主导的,生产与服务智能化、生活信息化及智能化的全新革命。相对以前的几次工业革命,这次不是线性前进,而是曾几何级的速度在增长。
当我们尽情享受着智能设备在给生活带来巨大便利的同时,我们必须认识到,巨大的风险也在悄悄地面临。这主要是因为工业4.0时代使用了大量的嵌入式系统。嵌入式系统,就是在一个微型处理器控制板中,将控制程序存储在ROM(只读存储器)中的。在我们的现实生活中,智能冰箱、智能洗衣机、智能手表、电视、机顶盒、飞机、汽车等,只要带有数字接口的设备,随处可见嵌入式系统。
由于物联网设备可能是先部署、后联网,而这些分布式的物联网节点处于无人值守的状态,故而除了面对争对传统移动通信网络的网络安全问题外,还存在着一些特殊的、与已有移动网络安全不同的安全问题。智能设备的安全主要包括1)设备使用用户的安全识别,2)网络传输过程中的访问安全,3)嵌入式系统代码安全,4)数据存储安全,5)通讯安全,6)信息内容安全等。在一般情况下,企业面临着两种主要的物联网威胁——通过物联网设备所带来的专门针对企业的威胁,以及那些主要针对消费者的威胁。这些智能设备一旦出现安全漏洞,或者被敌对分子所操纵,带来的后果将是严重的、甚至是毁灭性的。
斯诺登事件爆发后,网络安全问题更加引起全球关注。如今军事对抗的范畴早已从冷兵器、热兵器演进成了核威慑、电子对抗、光电对抗和信息对抗,而信息对抗以其特有的隐蔽性、攻击的广泛性和极小的代价更凸显了它的价值。对于智能设备带来的信息安全问题,我们无需惊呼“狼来了”,但也不能忽视和轻视。除了在技术上加强,例如通过安全专业的第三方安全运行,以应对任何代码漏洞;远程管理功能,包括更新和软件清单管理,遥测和策略管理的安全性灵活性;良好的加密保护认证和潜在的保护数据的机密性;在允许该代码运行于任何配置的情况下,对任何和所有代码和配置进行加密验证;安全分析发现和打击复杂的对手,等等方面,还有在以下方面加强建设。
1) 创新信息安全宣传工作,建立全民安全素质教育。
习总书记在中央网络安全和信息化领导小组第一次会议提出的“没有网络安全就没有国家安全,没有信息化就没有现代化”、“建设网络强国的战略部署要与两个一百年奋斗目标同步推进”等重要论断,深刻阐释了党中央关于加强网络安全和信息化工作的指导思想和方针路线。我们的信息安全宣传不能只停留在纸上,而是要通过生动的实例让广大干部、知识分子和民众形象认识到安全的重要性。宣传部门可以和网络安全专家制作一些专题片,让大家了解工业4.0虽然能让整个生产、服务系统得以更具效率地运转,但如果安全保障没能跟进的话,也可能让整个人类工业系统变得更加脆弱,一次恶意地入侵,就可能毁坏一大片生产、服务活动的正常运作。通过形象生动的宣传,让信息安全意识深入人心。
2)加快技术标准化建设,尽快出台物联网相关安全法规。
比如对无人机的高度和禁飞区设置,对自动驾驶汽车的控制权限设置等。工信部多年前就已经颁布了《卫星移动通信系统终端地球站管理办法》,该办法能有效减少非法用户,确保通信安全,保障国家利益,但在执行力度上还需进一步的加强。国家发改委和工信部等部委于2013年10月发布的《十个物联网发展专项行动计划》,涵盖了推动制定相关标准的部分。《标准制定专项行动计划》设定的目标是,到2015年,研制一批基础共性、重点应用和关键技术标准,在物联网领域,将新成立5个物联网应用标准工作组,研制40项急需的应用标准,但这些标准目前还未全部出台。2016年4月19日-20日,国家物联网基础标准工作组在南京召开了基础标准工作组全体会议,与会专家对标准进行了充分讨论。国家在标准化建立的基础要尽快出台对应的安全法规。
3)提倡创新发展,加紧研制并使用具有自主知识产权的网络产品。
“创新驱动中国”已经成为中国的下一个战略优势。自主创新体系建设讲产学研用,要在自主创新体系的建设大学、大院、大所科技成果能够形成产业化,搭建重大成果产业化和转化的平台,构筑产业化的服务体系。德国是工业4.0的倡导者,而且德国在IT安全领域和安全解决方案都占据着全世界的领先地位,但德国自己也承认,全世界大多数的IT安全产品是在其他国家(如以色列、美国)生产的。《德国工业4.0战略计划实施建议》中已经明确指出,德国必须快速的行动,必须自己建立的安全行业,这样才能确保充分发挥在工业4.0中的优势。国内的很多涉及金融安全、通讯安全的部门,要尽可能地使用国产设备,如路由器,网络打印机等,健全开放式产品验证和检验机制,对于新兴的智能设备,在使用时,应重视设备中源代码及软件的归属问题,了解在维护期内的设备,用户是否能够支配其正常使用,交互方式是否采取了加密的方式,要保障信息在设备中及传输中的安全,使用还需要确保其使用正确的身份认证方式,以保证用户是控制设备的唯一人员。
4)有效培养、聚合各种力量,增加国家与民间网络攻防能力。
信息安全工作中,人的因素占据着主导作用,信息安全的保障,其实说到底就是信息安全专业人才的保障。当前社会对网络安全、信息安全人才的需求很大,国防、金融、电子商务等产业都急需大批专业。在全世界范围内,信息安全、网络安全类的人才也成为稀缺资源。我国目前信息安全专业人才的缺口高达百万,国家信息安全人才却面临着极度短缺的境地,尤其高端信息安全人才更是一将难求。由于信息安全技术是把双刃剑,国家对该类型专业在审批上比较慎重,除了教育部门的审批,还要得到公安部门的认可。纯信息安全专业的学生主要在密码算法等理论方面较高要求,但这些专业学生的理论知识强,专业实践能力欠缺,导致毕业后就业过程中无法很好的运用到实际工作中。随着安全领域的扩大,建议在一些相关专业也开设网络安全课程。利用“知识传授+科学创新+技术能力”培养模式,例如在建筑专业针对性开设实体安全防护课程,电子商务、金融专业开设针对防范APT攻击的课程,机电、电子专业类开设嵌入式安全技术课程。这样使学生具备 计算 机、数学、密码学等健全合理的知识结构,还有加强学习有关网络安全的法律法规,如《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》。除了专业学生的培养,也要在国家层面建立信息安全人才库,从各类初高中、职业学校、大专院校中,通过各类发明创造比赛、技能比赛中发现人才,定向培养,为网络安全人才的培养提供更为广阔的空间和平台,构建更加坚固的网络安全保障体系,只有如此,才能营造出和谐、安全的网络空间。