近日,罗克韦尔自动化(中国)有限公司旗下1756 ControlLogix PLC (CPU模块:L72,通讯模块:1756-EN2TR)顺利通过国家互联网应急中心的Acheron安全测试,标志着该产品已到达相关国际和国内网络安全标准要求。
1756 ControlLogix PLC是罗克韦尔自动化的综合型控制器,可以在一定程度上完成顺序控制、过程控制、批次控制、传动控制、运动控制和安全控制等多种控制功能,使用一个ControlLogix控制管理系统能够替代多种传统的控制系统。
国家互联网应急中心(英文简称CNCERT或CNCERT/CC)是CNAS认可的第三方测评机构,是网信办、工信部、公安部和认监委四部委共同认定的、第一批承担网络关键设施安全检测任务的单位之一,以拥有自主知识产权、国内第一个通过ISA Secure国际权威认可的Acheron测试平台为依托,面向关键信息基础设施领域的产品供应商与和行业用户开展安全测评认证服务。截止目前,已有西门子全系列典型PLC、天融信工业防火墙、海信道路交互与通行信号机、国电南自同步相量测量装置等24款主流工控设备和安全防护产品通过Acheron安全认证。
5G网络所具备的大带宽、广连接、低时延等特征,让万物可联、万物可算,也让信息触手可及、智能无处不在。但我们在享受5G网络便捷的同时,也不可忽视其安全问题。
近日,据外国媒体报道,美国普渡大学与爱荷华大学的科研人员发现了多个5G安全漏洞,黑客可利用这些漏洞对用户进行实时定位,甚至还能神不知鬼不觉地让用户的5G手机掉线。
那么,为何会出现这些安全漏洞?这些漏洞能被修复吗?用户又该怎么样应对这类黑客攻击?科技日报记者就此采访了业内相关专家。
北京理工大学计算机网络及对抗技术研究所所长闫怀志在接受科技日报记者正常采访时表示,这些漏洞大多属于网络协议方面的漏洞。在研发之初,5G网络协议设计了用户永久标识符和用户隐藏标识符,多数漏洞就“藏”在这两种标识符中。这些标识符是用户在网络上的“通行证”,黑客如果拿到它,就可以“潜入”目标用户的手机。
“攻击者只要利用伪基站,就能发现这些漏洞,进而实施相应的网络攻击。”闫怀志说。
“顾名思义,伪基站是一种经过伪装的假基站,也是一种独立存在的设备。伪基站通常是由主机、笔记本电脑等硬件组成的设备,它能利用通信网络及协议的缺陷和漏洞,搜索以其为中心、特定半径范围内的移动终端信息。”闫怀志说。
闫怀志指出,伪基站主要有两方面的危害:一是会干扰正常通信,使用户不能得到正常的通信服务;二是不法分子可利用伪基站与用户手机实现通信,向其发送诈骗短信、虚假广告等信息,或监听用户通信数据(如短信验证码),甚至登录用户手机银行账号盗走钱财。
“不过,从总体上来看,这些漏洞所造成的问题,并非是5G网络所独有的,伪基站更不是什么新鲜的攻击方式。”闫怀志表示,传统的4G、3G等移动通信网络,也可能受到同样的威胁。
闫怀志表示,在通信工程领域的具体实践中,信息系统出现安全漏洞,这一问题几乎是难以避免的。对于5G通信网络这样的复杂系统来说,更是如此。漏洞的发现过程会贯穿信息系统的全生命周期,虽然在研发早期能够最终靠安全需求分析、安全设计、安全编码、安全测试等手段,来最好能够降低或避免漏洞的出现,但若想做到万无一失,基本是不可能的。
“大多漏洞是可以被修复,但有小部分可能会一直存在下去。”360安全研究院安全专家李伟光对科技日报记者说,比如伪造警报的信息的漏洞是可以被修复,只需在警报消息上附加签名信息即可。
“虽然有些漏洞会一直存在下去,但是其本身的危害较小,不会对5G网络业务造成较大的危害,更不会影响用户的正常使用,大家不必过于担心。”李伟光表示。
闫怀志也特别指出,整体看来,建立5G网络的安全标准,还需要一个过程。假以时日,个人层面的5G网络应用,将实现风险可控,目前的漏洞对个人用户影响不大。“未来,业界更要关注的,是5G网络大连接业务的安全问题,特别是在工业控制、物联网等领域的5G应用。同时,5G网络切片技术使得移动网络的边界不再清晰,加之5G伪基站的存在,会使5G用户的位置信息、数据内容等面临着比4G时代更大的安全风险。”闫怀志说。
数据安全作为大数据时代的盔甲,有着不可动摇的地位。企业和国家应在完善数据处理和分析能力的同时,加快数据安全治理能力的建设,才能让大数据驱动的新时代变得更安全。
数据安全治理体系的建设要以数据全生命周期为核心实现数据安全的全方位治理。传统的数据安全监管方法以系统为中心,但目前数据的共享交换已经变成同一个部门、不同层级之间流动的常态化过程,所以构建数据全生命周期的监督管理体系势在必行。
数据安全治理整体系框架通过三个维度构建而成,包括政策法规、技术层面和安全组织人员。数据安全治理体系框架在符合政策法规及标准规范的同时,需要在技术上实现对数据的实时监管,并配合经过规范培训的安全组织人员,构成数据安全治理整体架构。
在整个体系中,核心监管的技术体现在技术架构层面包括安全运营中心、数据中心以及安全基础资源。基础安全资源通过提供基础技术工具支撑数据中心的同时,安全运营中心对整个数据中心进行实时地响应控制。安全运营中心集中体现在资产的管理、合规监管、实时监测、数据安全态势以及通报预警,通过采集数据中心数据,对数据来进行数据的汇聚、分析以及治理来实现对整体的实时管控。数据安全基础资源是整体技术框架的支持组件,提供最基础的技术保障的同时,以工具的形式保障数据安全。
数据安全可分为六个生命周期阶段。包括数据采集认证和风评估,数据传输加密控制,数据存储加密,数据授权和脱敏使用,数据安全共享交换,以及数据销毁追溯与责任。
第一,采集阶段,要明确采集规范,制定采集策略,完善数据采集风险评估以及保证数据采集的合规合法性。数据采集规范中要明确数据采集的目的、用途、方式、范围、采集源、采集渠道等内容,并对数据来源进行源鉴别和记录。制定明确的采集策略,只采集经过授权的数据并进行日志记录。对数据采集过程中的风险项进行定义,形成数据采集风险评估规范。数据采集全过程需要符合有关法律和法规和监督管理要求,做到合规合法的采集。
第二,数据传输阶段,使用合适的加密算法对数据来进行加密传输,其中主要用到的是对称加密算法和非对称加密算法。目前主要的对称加密算法有:DES、IDEA、AES、SM1(国密算法)等,非对称加密算法有RSA、ECC、SM2(国密算法)。
第三,数据存储阶段,制定存储介质标准和存储系统的安全防护重要标准。存储介质标准需要覆盖存储介质的定义、质量、存储介质的收发运输、存储介质的使用记录及管理、存储介质的维修规范。对存储系统的安全防护,需要包括数据备份、归档和恢复以及对存储系统弱点的识别及维护。
第四,数据处理阶段,明确数据脱敏的业务场景和统一使用适合的脱敏技术是关键。第五,数据交换和共享安全阶段,需建立数据交换和共享审核流程和监管平台。建立数据导入导出的流程化规范,统一权限管理和流程审批以及监控审计,以确保数据对于数据共享的所有操作和行为进行日志记录,并对高危行为进行风险是识别和管控。
第五,数据销毁阶段,结合场景保障销毁技术的多样化。针对不同的存储介绍和设备有其不可逆的销毁技术及流程,实现针对磁盘、光盘各类数据存储介质的不同销毁技术及流程,建立销毁监察机制,严防数据销毁阶段也许会出现的数据泄露问题。
在建设数据全生命周期监管的同时,为实现监控和审计,数据分级分类必不可少。在数据分级分类之前,一定要通过数据测绘来发现敏感数据,以及数据主要存储的位置。对数据来进行结构化分级分类分级,实现对数据资产安全进行敏感分级管理,并依据各级别部署相对应的数据安全策略, 以保障数据资产全生命周期过程中,数据的保密性、完整性、线、中央政法工作会议强调:
18日,中央政法工作会议在京召开。记者从会上获悉,2020年要把防控新型网络安全风险摆在突出位置来抓,提升网络社会综合治理能力,不断健全网络社会综合防控体系。一是构筑打击遏制网络犯罪的“新高地”。
中科院计算所团队“完全自主设计、开发和实现”的“木兰”编程语言是Python语言的套壳产品?针对近日这一网络质疑,1月17日,项目负责人、中科院计算所编译实验室员工刘雷在科学网上发表回应称,木兰语言在8位单片机上的编译器是本团队开发的,在32位单片机上的编译器是基于Python开源编译器进行的二次开发,但在接受采访中将木兰编程语言和编译器
本人系中科院计算所编译实验室员工。基于我在编译技术上的科研积累创办了中科智芯(北京)科技有限公司,该公司围绕青少年编程教育,设计开发编程语言、编译器和集成开发环境等产品。
为了更好地在中小学中普及计算思维,本人带领团队开发了一种称为“木兰“的编程语言。它包含三个组成部分:一、在语言规范上借鉴了Lua语言的特性并进行了扩展,增加数据表达方法等新的特性;二、开发了支持少儿编程教育的可视化编程环境;三、针对8位AVR单片机,实现了相应的编译器和运行时系统,开发了能模拟多任务执行的虚拟机。以上产品已经在数百所中小学中,开展了10万人次的编程科普活动。
针对STM32单片机,我们是基于Python开源编译器进行的二次开发,也就是先将木兰语言的源程序转换为Python的中间表示(AST),再在Python虚拟机上运行。这就是在开发和运行环境中会包含Python系统的原因。
在1月15日接受各个媒体采访时,本人在对木兰编程语言的介绍中,犯了以下错误:
木兰语言在8位单片机上的编译器是本团队开发的,在32位单片机上的编译器是基于Python开源编译器进行的二次开发,但在接受采访中将木兰编程语言和编译器夸大为完全自主开发。对于此次在网络上造成的不良影响,本人郑重道歉,对给中科院、中科院计算所带来的不良后果表示诚挚的歉意。本人感谢大家的监督与批评,并深刻反省,保证不再出现类似问题。
以色列国家网络局16日宣布,以色列启动了一个以共享网络安全信息为目的的新社交平台,用户可在平台共享网络安全信息,以防范并及时应对网络攻击。
平台声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
