黄色日本A片人人干人人澡|国模视频91avv免费|在线免费播放av|婷婷欧美激情综合|毛片黄色做爱视频在线观看网址|国产明星无码片伊人二区|澳洲二区在线视频|婷婷密臀五月天特片网AV|伊人国产福利久久|午夜久久一区二区,

中國儲能網訊：“你正在被監(jiān)視?！眲偦貧w的美劇《疑犯追蹤》第五季以此為開場白。這絕不是危言聳聽。在人人擁有智能手機的今天，一個升級包、沒有密碼的公共wifi、隨意打開的一封郵件、一張圖片……太多行為可以讓隱私暴露在光天化日之下。

如果不是參加5月24日的2016中國石油石化企業(yè)信息技術交流大會，記者不會意識到信息安全威脅已經給個人和社會帶來如此嚴峻的挑戰(zhàn)。更不知道保障社會運行發(fā)展的基礎設施尤其是能源行業(yè)早已成為黑客的目標——2010年伊朗核設施遭受“震網”病毒攻擊導致無法正常運行；2014 年，阻斷電力供應或破壞、劫持工業(yè)控制設備的“超級電廠”病毒讓全球上千座發(fā)電站遭到攻擊；2016年1月，烏克蘭至少有三個區(qū)域的電力系統被具有高度破壞性的惡意軟件BlackEnergy攻擊，成千上萬的家庭在黑暗中度過……

黑色產業(yè)鏈已形成

電力、水利、石油化工、冶金、汽車、航空航天……超過80%涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統來實現自動化作業(yè)。隨著“工業(yè)4.0”時代的來臨和“兩化融合”腳步的加快, 工控設備高危漏洞、無線技術應用的風險、工業(yè)網絡病毒、外國設備后門、高級持續(xù)性威脅等越來越多的網絡安全隱患被帶入了工業(yè)控制系統。與互聯網和辦公網相比，工控系統采用私有協議、運行環(huán)境相對落后，無法通過打補丁來解決安全問題。

2015年被ICS-CERT（美國工控系統網絡應急響應小組）收錄的工業(yè)控制網絡攻擊事件達到295起，其中能源行業(yè)排名第二，達到46起、占比16%。

和傳統的信息安全攻擊讓人斷網、電腦中毒、格式化硬盤相比，攻擊工業(yè)控制系統導致加油站爆炸、電網斷電的影響力和報酬顯然更讓黑客著迷。在網絡恐怖主義漸起的今天，一個黑色產業(yè)鏈已經悄然形成。

“幾年前，一個核心漏洞就可以賣到幾十萬歐元?！北本┛锒骶W絡科技責任有限公司技術委員會主席、首席戰(zhàn)略官孫一桉告訴《中國能源報》記者：政府、恐怖組織、競爭對手都可能成為攻擊來源。2015年已經出現了恐怖分子利用工業(yè)控制系統進行網絡襲擊的案例；朝鮮和伊朗曾成功攻擊了美國的網站和加油站。“防止這種攻擊比防止核擴散還難，一封電子郵件就可以傳播攻擊代碼?！?

為什么采用物理隔離的工業(yè)控制系統還會被病毒攻擊？事實上沒有絕對的隔離，絕對的隔離意味著靈活性的喪失。北京洋浦偉業(yè)科技發(fā)展有限公司（梆梆安全）高級副總裁席曼麗告訴記者，完全的孤島系統是無法有效提供服務的。出于工作便利性的需求，烏克蘭電網和德國鋼廠都存在控制類與非控制類系統未進行物理隔離，業(yè)務系統與工業(yè)系統聯網的問題。用戶在業(yè)務系統收發(fā)郵件、移動辦公時，就非常容易遭受到有預謀的攻擊。

另一個帶有移動互聯網時代特征的新趨勢是，人們應用最為廣泛的各類APP是惡意攻擊者下手的主要目標。席曼麗告訴記者，惡意攻擊者會對APP進行反編譯、二次打包、插入廣告、盜版，還會劫持用戶的鍵盤操作、攔截短信驗證碼等。現在許多攻擊還開始對移動設備與云端的通訊通道下手，進行信號劫持。有些無人機、智能設備的破解就是從通訊協議入手實現的。

能源互聯網，真的準備好了嗎？

隨時隨地的產能用能、隨處可見的智能終端……人們能想到任何能源互聯網的便利之處，都蘊藏著巨大的風險。

北京神州綠盟信息安全科技股份有限公司副總裁李晨告訴記者，隨著信息技術的不斷發(fā)展，石油石化領域的傳統工業(yè)控制系統正在從孤島式、封閉式結構，轉為開放的形式，很多企業(yè)將生產環(huán)境轉變?yōu)榫W絡自動化形式，所有的設備都通過網絡連接、搭建、管理和控制，這導致信息安全問題也接踵而至。2015年發(fā)生的烏克蘭電力遭受攻擊事件看到，在不需要利用復雜攻擊手段、不需要完整還原業(yè)務系統運行過程的情況下，就可以達到對工控系統的運行影響 。除此之外，傳輸安全、服務器、數據庫的保密性……這一系列都需要體系化的考慮和設計。

隨著能源互聯網的推進，大的統一電網體制會帶來越來越多穩(wěn)健性問題。某一環(huán)節(jié)或者節(jié)點的故障，可能會產生多米諾骨牌效應使整個網絡癱瘓?！翱稍偕茉窗l(fā)電的不確定性和雨雪冰凍等極端天氣對能源互聯網造成的損失可能會遠遠大于對傳統電網的影響。同時對網絡安全的要求也更苛刻，一旦遭受攻擊，可能會致使整個網絡癱瘓?！?南丹麥大學副教授任競爭認為，我國應積極推動面向能源互聯網的信息安全技術的研究、開發(fā)和示范，同時完善相關技術標準和法律法規(guī)建設。

匡恩網絡發(fā)布的《2015工業(yè)控制網絡安全態(tài)勢報告》顯示，隨著智能電網規(guī)模的擴大，電力系統結構的復雜性將顯著增加，導致接口數量激增、電力子系統之間的耦合度更高，很難在系統內部進行安全域的劃分，安全防護變得尤為復雜。

當前大量智能、可編程設備被接入系統，用于實現對電網運行狀態(tài)實時監(jiān)控、故障定位以及修復。這些智能設備一般都支持遠程訪問，比如遠程斷開/ 連接、軟件更新升級等。利用某些軟件漏洞,黑客可以入侵這些智能終端,操縱和關閉某些功能,暴露用戶的使用記錄,甚至可以通過入侵單點來控制局部電力系統。

用戶側的安全威脅也是能源互聯網面臨的全新課題。未來用戶和電網之間將會出現更加廣泛的聯系,實現信息和電能的雙向互動?；贏MI系統,用戶側的智能設備（如智能電器、插拔式電動車等）都將直接連到電力系統，不可避免地給用戶帶來安全隱患：一方面用戶與電力公司之間的信息交互涉及到公共互聯網,用戶的隱私將會受到威脅;另一方面家用的智能設備充分暴露在電力系統中,易受到黑客攻擊。

能源互聯網海量的感知終端意味著一切皆連接，戰(zhàn)線拉長了，黑客們擁有了更多的突破點。

綁好鞋帶再起跑

阿里巴巴集團研究員、云盾負責人吳瀚清把黑暗森林法則應用在企業(yè)安全上：一旦暴露在公眾的視野中，黑客就會對你很感興趣。世界杯期間，彩票網站受攻擊很厲害；在熱錢涌入P2P小貸行業(yè)期間，整個P2P小貸行業(yè)受攻擊非常頻繁。低調可以保護你一時，但是無法永遠保護你，因為業(yè)務要發(fā)展，必然會暴露在公眾的眼中。

中石油一位業(yè)內人士曾和孫一桉交流，認為現在防護越來越難，“以前是離散的工廠，現在開始互聯互通、智能工廠了,工控系統網絡安全防護難度越來越大。”

“我們國家正在智能化轉型的關鍵節(jié)點，如果不做好安全設計規(guī)劃，就像房子都裝修好了再加新風系統一樣麻煩且不可行，更像跑起來不系鞋帶一樣危險。”孫一桉認為，我們不能再重蹈互聯網對安全設計與規(guī)劃重視度不足的覆轍。在全國大建智能工廠、智能制造的過程中，早期做好網絡安全的設計、規(guī)劃、服務非常關鍵。對工業(yè)控制系統的防護，不是簡單的殺毒、防火墻、加設備這么簡單，建立有效的防護體系才是關鍵。

“眼下比較緊迫的有兩個方面，首先是感知能力，2013年havex病毒攻擊了全世界上千家能源企業(yè)，美國和西班牙可以實時報出有多少企業(yè)受到了攻擊，而我們不行——并不是沒有被感染，而是欠缺感知能力。我們正在很多行業(yè)部署設備，提供服務監(jiān)測，讓企業(yè)知道其實這種事情已經發(fā)生?！睂O一桉告訴記者。

接下來就是防護。全面的安全評估之后，防護要從四個方面入手?？锒鳘殑?chuàng)了涵蓋“結構安全性、本體安全性、行為安全性和基因安全性”及“時間持續(xù)性防護”的“4+1”安全防護體系。首先，工控系統的安全必須建立在結構安全的基礎上，即基礎設施建設過程中網絡結構、區(qū)域和層次的劃分必須滿足安全要求。工控系統一旦切斷可能造成停產甚至安全事故。只能先隔離故障的部分，其余部分繼續(xù)生產。采集數據可以停，但生產不能停。

第二是本體安全，確保設備自身不帶病毒、漏洞和后門，或者知道哪里有后門。

工控系統的設計與調試周期長達數年，考慮到經濟效益，補償性措施非常重要。

第三是行為安全，即系統內部和外部發(fā)起的行為是否具有安全隱患。攻擊手段已經越來越復雜，havex病毒的每一個步驟看起來都合法，但連起來就是惡意的?？锒髟谌肭痔卣鳈z測做了大量工作，包括智能學習引擎、黑白名單防護等，應用在了很多行業(yè)。

最后是基因安全，即CPU、存儲、操作系統內核、基本安全算法與協議等基礎軟硬件的完整可信、自主可控。這需要廠商的配合，在設備里逐漸植入工具，周期比較長。

這四個安全解決后，還需要時間的持續(xù)性——有相應的組織架構、人員、流程確保長期的監(jiān)控、感知、分析攻擊，這是個系統工程。

2014年起步的匡恩網絡雖然時間不長，但已經在全國15個城市建立了分公司和技術中心，逐漸形成覆蓋工業(yè)控制系統全生命周期的系列產品,參與并推動多個智能工業(yè)網絡安全相關國家標準和行業(yè)標準的制定，擁有全國唯一一家關鍵基礎設施控制網絡安全防護技術實驗室。

剛剛當選中國網絡安全產業(yè)聯盟第一屆關鍵基礎設施保護工作委員會主任的孫一桉告訴記者，因為起步較晚、實踐經驗不足，所以和發(fā)達國家相比，我國在標準上亟待完善。雖然匡恩參與了十幾個標準的制定，但這個過程推行的很慢。傳統的信息安全有自己的組織、理念，工業(yè)控制又有自己的一套理念，兩個糅合在一起做標準非常難。

不要等到事件驅動

有趣的是，工控系統的防護在企業(yè)內部遭遇到一些尷尬——誰來拍板負責？孫一桉參加過國內某大型鋼鐵企業(yè)的一次工控系統安全會議，分管的副總非常重視，坐在很長的會議桌的中間。一端坐著負責IT（信息中心）的人，另一端坐著負責OT（生產運維）的人，副總叫了好幾次，他們都不肯坐在一塊兒。到底用什么方法？真出了問題誰來負責任？常常存在很多分歧。

對安全的重視和實施來自三個方面：政策驅動、事件驅動和技術驅動。2014年我國成立了由國家主席習近平直接領導的中央網絡安全和信息化領導小組,2015年6月和7月我國相繼頒布了《中華人民共和國網絡安全法(草案)》和第29號主席令《中華人民共和國國家安全法》。

孫一桉表示，烏克蘭電網事件之后，公安部、工信部、網信辦等各部委高度重視工控安全。國資委2014年做試點以來，匡恩也積極參與，與電力石化冶金煙草等試點項目進行了多方位合作。去年開始配合國家有關機關，對很多行業(yè)特別是電力行業(yè)進行全面的安全風險評估測試，今年開始逐級實施解決方案。

事件驅動最有效，但代價也是最慘重的。事故一旦發(fā)生，回頭再去看防護的成本微乎其微。建成以后再加防護不只是成本高，對于有些系統來說是不可能的。

長遠考慮，孫一桉建議企業(yè)一定要有網絡安全部門。美國大多數工業(yè)企業(yè)都有首席信息安全官職位，有威脅情報團隊，定期進行內部分析，報告給CEO。“大型工業(yè)企業(yè)必然會走上這條路，這種威脅是沒有邊界的。針對核電站的攻擊，很可能會傳播到石化行業(yè)。很多已經發(fā)生的事故被歸結為生產事故，其實是網絡安全問題?！?