从脸书数据泄漏看工业信息安全

————不可忽视的工业互联网安全问题

近期，Facebook数据外泄事件成为市场最热议的话题之一，该事件的持续发酵，让大众对信息安全感到愈加担心。

3月18日，Facebook被曝出超过5000万用户信息被滥用，很快，欧盟、英国、及美国当地政府对事件作出强烈回应并着手开展调查，在数据泄漏丑闻的引爆下，Facebook股价遭遇重挫，据市场媒体报道，若以4万美元个案的最高罚款计算，Facebook可能面临2兆美元的处罚。

但严厉的处罚措施仍然不能杜绝信息安全问题的发生，Facebook数据门事件也并非个案，近年来，围绕信息泄漏的事件屡见不鲜。

2016年9月22日，全球互联网巨头雅虎证实，在2014年至少有5亿用户的账户信息被人窃取，窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码；2017年8月，山东徐玉玉被电信诈骗9900元学费致死案，其矛头也直指个人信息泄漏。

早在去年5月，上海社会科学院互联网研究中心就发布《大数据安全风险与对策研究报告》称，随着数据资源商业价值凸显，针对数据的攻击、窃取、滥用和劫持等活动持续泛滥，并呈现出产业化、高科技化和跨国化等特性，对国家和数据生态治理水平，以及组织的数据安全能力都提出了全新挑战。

信息安全隐患及信息泄漏事件不只出现在日常生活及媒体新闻中，工业信息安全领域同样严峻。随着互联网、物联网、云计算等信息技术对工业生产活动不断渗透，网络攻击早已从虚拟空间走向实体空间。

例如，2000年澳大利亚马卢奇污水处理厂非法入侵事件；2003年美国Davis-Besse核电站受到Slammer蠕虫攻击事件；2012年，位于美国加州的Chevron石油公司对外承认，其计算机系统曾受到专用于供给伊朗核设施的震网病毒的攻击；2010年后，由以色列攻击伊朗空中防御系统、摧毁其控制中心而实施的Flame火焰病毒肆虐中东。2015年6月，波兰航空公司的地面操作系统遭遇黑客攻击。至于我们中国，2017年3月，市面安装的海康威视智能摄像头遭到入侵，用户个人隐私被该摄像头一览无余的在网络上现场直播，此事件在网络上引起轩然大波。

从互联网信息安全到工业互联网信息安全，已经受到国家至高点层级的重视，十九大报告多次明确提及互联网及网络安全。国家工业信息安全发展研究中心对外合作研究中心主任汪礼俊表示，作为网络安全的核心领域，工业信息安全业已涉及国家安全和社会多个方面，对工业运行、国民经济、社会发展等领域都是牵一发而动全身，体量虽小但作用关键，具有重要性、综合型、系统性和战略性，成为“总体国家安全”的重要组成。

在今年两会中，工业互联网安全领域提出了多份提案建议。

在《关于推进工业互联网安全融合创新的提案》中，奇虎360周鸿祎指出，目前我国的网络安全已经从“信息安全”时代进入了“大安全”时代，而工业互联网的重要性使它成为网络攻击的首要目标，在工业互联网这个新兴融合领域，我们面临新的诸多安全问题。

在另一份提案中，全国政协委员严望佳《关于加强工业互联网信息安全建设的提案》提到，工业互联网实现了人、机器、产品和服务的泛在互联，为我国工业强国的发展提供了新的动力，但工业互联网也打破了工业控制系统传统的封闭和强调高可靠性的格局，使工控系统信息安全问题大量暴露出来。

面对工业互联网安全形势，委员们各自都提出来具有建设性的解决办法，工业互联网安全除了需要明确工业互联网安全责任主体、监督主体，提供法律保障依据，设立行业准入机制等，最重要的还是新技术的开发。

其中，区块链技术的引入或可解决一些问题。

区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式，其去中心化的特点被认为可以促进信息安全及隐私保护，区块链技术的提出放佛给长期以来的互联网安全问题带来了一丝曙光。

传统的中心化数据库，一旦黑客入侵，将导致大规模的信息泄漏，而引发严重的信息安全问题。区块链技术中的数据存储和共享数据的模式与目前信息安全是截然不同的做法，是一种可以作为防范安全攻击和安全威胁的工具。

学者认为，区块链在信息安全上的优势主要有三方面：（1）利用高冗余的数据库保障信息的数据完整性；（2）利用密码学的相关原理进行数据验证，保证不可篡改；（3）在权限管理方面，运用了多私钥规则进行访问权限控制。利用区块链的安全优势可以进行多重安全的开发。

然而，区块链能否真正承担互联网安全、乃至工业互联网安全的重任，业界同样不乏质疑之声。

首先，区块链技术本身仍然是一个新技术，从2008年提出至今，只过了十个年头，区块链技术中被现在认为可靠的技术，比如说共识机制，是否能真正接受时间的考验还需要进一步验证；其次便是51%算力攻击的问题，这是一个很明显的漏洞，虽然市场很难出现拥有51%算力的个人或组织，但也仅仅是一般认识而已，在工业互联网领域51%算力攻击可能会成为大问题。对于工业来说，任何单一的行业并非具有消费市场那么庞大的规模，对于一个细分的、具有特定特点的行业来说，极有可能会需要一套特殊的区块链协议标准，在一个细分行业中，区块链的私有链中就极容易出现51%算力被控制的问题。

最后，除了目前常规的工业网络攻击之外，还有一些潜在的风险也仍在不断酝酿中。“互联网+”及智能硬件产业的爆发，极大的丰富了现有民用及工业用产品种类，而在这其中，基于非标准协议框架的开发，基于消费电子产品的工业化应用等，都存在极大的安全隐患。