4000-110-253
科技(jì)戰持續蔓延,是時(shí)候重新審視(shì)網絡安全了. 2019-05-29
圖片來(lái)源@視(shì)覺中國
文 | 張國果
随着華為(wèi)被美國列入“實體(tǐ)清單”,壞消息接踵而來(lái)。
海康威視(shì)遭遇美國供應商斷供不久,美國國土安全部就向美國企業發出警告,中國制(zhì)造的無人(rén)機可(kě)能令企業數(shù)據面臨風險,大(dà)疆岌岌可(kě)危……很(hěn)明(míng)顯,此次兩大(dà)經濟體(tǐ)之間(jiān)的博弈,鋼鐵(tiě)和(hé)大(dà)豆隻是預演,信息化與網絡安全領域才是主戰場(chǎng)。
在芯片和(hé)操作(zuò)系統“慘遭不幸”之後,網絡安全這道(dào)屏障還(hái)會(huì)固若金湯嗎?
最後一道(dào)屏障
科技(jì)戰一旦大(dà)規模蔓延,網絡安全将面臨嚴峻的威脅。
在一些(xiē)重要的領域,例如能源、有(yǒu)色金屬、精密機械制(zhì)造等行(xíng)業,一旦出現商業機密外洩,很(hěn)容易給企業帶來(lái)毀滅性的損失,甚至威脅到國家(jiā)利益。
因網絡漏洞受到黑(hēi)客攻擊從而威脅國家(jiā)安全的例子數(shù)不勝數(shù)。
2010年,伊朗核設施遭遇來(lái)自國外的“震網”病毒攻擊,美國利用MS10-046、西門(mén)子SIMATIC WinCC系統0 Day漏洞攻擊鈾濃縮設備,直接導緻該國核設施1000多(duō)台離心機癱瘓——不少(shǎo)國外機構及媒體(tǐ)推論,這背後一個(gè)主要原因就在于,伊朗核設施相關信息控制(zhì)系統缺乏自主防護能力。
2015年聖誕節的前兩天,烏克蘭首都基輔部分地區(qū)和(hé)烏克蘭西部的140萬名居民突然發現家(jiā)中停電(diàn)。這次停電(diàn)不是因為(wèi)電(diàn)力短(duǎn)缺,而是遭到了黑(hēi)客攻擊。黑(hēi)客利用欺騙手段讓電(diàn)力公司員工下載了一款惡意軟件“BlackEnergy”(黑(hēi)暗力量)。該惡意軟件最早可(kě)追溯到2007年,由俄羅斯地下黑(hēi)客組織開(kāi)發并廣泛使用,包括用來(lái)“刺探”全球各國的電(diàn)力公司。
2017年“想哭”病毒爆發後,網絡攻擊發生(shēng)了一些(xiē)新的變化。
網絡攻擊不再重視(shì)個(gè)人(rén)電(diàn)腦(nǎo),而是大(dà)規模侵占學校(xiào)、醫(yī)療、公衆事務甚至機場(chǎng)的網絡設施,直接鎖死公用網絡,造成的危害幾何級上(shàng)升。事實上(shàng),銀行(xíng)、政府、大(dà)型企業、軍事設備、基礎設施的網絡也接二連三被攻克。針對非個(gè)人(rén)網絡的大(dà)規模攻擊正在成為(wèi)漸漸主流。
網絡戰時(shí)代,國家(jiā)重要網絡基礎設施跟整個(gè)民用網絡密不可(kě)分,所有(yǒu)網絡攻擊是無差别的攻擊,目的就是打擊基礎設施,最後讓整個(gè)社會(huì)停擺。
如果網絡攻擊讓你(nǐ)家(jiā)裏停電(diàn)、打不了車(chē)、飛機停飛、高(gāo)鐵(tiě)停運,這樣的網絡戰效果比傳統作(zuò)戰效果更好。
總而言之,随着技(jì)術(shù)的發展,互聯網沒有(yǒu)變的更安全,反而是網絡攻擊的技(jì)術(shù)越來(lái)越先進,破壞力愈發強勁。
對于當下的中國而言,種種不利因素疊加,網絡安全問題格外凸顯。
第一,中國目前用了很(hěn)多(duō)“别國”的系統,不少(shǎo)重要基礎設施、信息系統和(hé)個(gè)人(rén)計(jì)算(suàn)機中采用的核心零部件屬“非國貨”,存在着木馬、漏洞和(hé)後門(mén)等嚴重安全風險,這就為(wèi)國外監視(shì)和(hé)控制(zhì)提供了可(kě)能,給國家(jiā)的網絡安全埋下很(hěn)大(dà)隐患。
處理(lǐ)器(qì)、操作(zuò)系統等核心部件均有(yǒu)可(kě)能被“做(zuò)手腳”,從而可(kě)能通(tōng)過預設的操作(zuò)監控用戶行(xíng)為(wèi)、竊取敏感信息、造成病毒爆發等,導緻個(gè)人(rén)的隐私、企業信息的安全甚至國家(jiā)的安全均難以得(de)到保證。
第二,随着信息化不斷提升,最近幾年大(dà)數(shù)據、雲計(jì)算(suàn)、人(rén)工智能、物聯網、移動通(tōng)信各種各樣信息化技(jì)術(shù),用得(de)越多(duō),給網絡安全帶來(lái)巨大(dà)的壓力。系統越複雜,對安全防護能力的要求就越高(gāo)。
根據研究機構Gartner 公司的調查,2017年全球有(yǒu)84億台物聯網産品正在使用,比2016年增長31%,預計(jì)到2020年将達到204億台。預計(jì)到2020年,物聯網預計(jì)将産生(shēng)驚人(rén)的經濟影(yǐng)響,其市場(chǎng)規模高(gāo)達8.9萬億美元,如果安全問題不能夠很(hěn)好解決,那(nà)麽物聯網設備所承擔的風險将無法估量。
中國在科技(jì)上(shàng)的迅速發展,讓智能設備數(shù)量的爆炸式增長,中國有(yǒu) 5 億台電(diàn)腦(nǎo),15 億部手機,未來(lái)甚至可(kě)能有(yǒu)百億規模的智能設備,面對新形勢,需要有(yǒu)新的安全策略來(lái)應對。
現狀不容樂觀
中國在信息化投入上(shàng)不比其他國家(jiā)低(dī),但(dàn)我們在網絡安全方面投入嚴重不足。
2017年,安全領域創業企業總融資額創新高(gāo)。據不完全統計(jì),網絡安全領域當年全球投資300億美元,國內(nèi)僅為(wèi)5.4億美元;據分析,在歐美發達國家(jiā)和(hé)地區(qū),企業在網絡安全方面的投入占IT方面投入達到10%-13%,國內(nèi)僅1%-3%。
與投入相比,中國工業企業對自身企業安全建設水(shuǐ)平卻“迷之自信”,在一項企業網絡安全調查中,36.7%的被調查者認為(wèi)自己所在企業網絡安全建設水(shuǐ)平達到行(xíng)業領先;僅有(yǒu)2.9%的被調查者認為(wèi)自己所在的企業網絡安全建設水(shuǐ)平處于“裸奔”狀态。就實際情況來(lái)看,工業企業對自身安全建設程度普遍“自我感覺良好”,實際上(shàng)是一種過度樂觀的狀态。
之所以出現這種矛盾情形,中國網絡安全公司的不争氣難逃幹系。
國內(nèi)網絡安全業界長久以來(lái)一方面極力推崇自主研發、自主創新;但(dàn)在具體(tǐ)的産品實踐中,則又體(tǐ)現出自主研發創新能力和(hé)意願的不足,貼牌與OEM在行(xíng)業內(nèi)成為(wèi)一種通(tōng)行(xíng)法則。而一些(xiē)有(yǒu)一定自主研發能力的廠商,也通(tōng)過OEM的方式補齊一個(gè)完整的産品線,從而來(lái)扮演全能力的解決方案供應商形象。
按照傳統安全公司的做(zuò)法,對付網絡攻擊隻是建立防火(huǒ)牆,安裝入侵檢測的設備,這都是以銷售為(wèi)目的來(lái)推銷産品,事實上(shàng)無法從根本上(shàng)解決網絡戰的安全問題。
不僅如此,由于中國網絡安全産品的特殊性,全民對于網絡安全的認知存在偏差。
國內(nèi)的互聯網安全廠商,崛起于互聯網免費模式,而各互聯網寡頭也紛紛跟進。國際的免費安全模式更多(duō)的是靠個(gè)人(rén)用戶免費來(lái)獲取用戶口碑,而在商業用戶和(hé)企業用戶收費的模式;而國內(nèi)的模式實際上(shàng)更多(duō)是迎合國內(nèi)用戶更在意支出成本而忽視(shì)自我權益的價值取向,以免費服務形式引導用戶必須同意分享部分輕量級的隐私以及托管入口與流量的控制(zhì)權。
這種模式導緻中國網絡設備使用者的用戶體(tǐ)驗造成了一定的傷害,普遍對國內(nèi)安全企業提供的網絡安全服務存在不信任。
但(dàn)在基于免費的安全服務,接受這種推薦就是用戶要付出的代價。這也互聯網安全廠商必須維持巨大(dà)的裝機量才能保證生(shēng)存,因此難免出現在用戶控制(zhì)權上(shàng)的纏鬥和(hé)相互絞殺,甚至有(yǒu)可(kě)能出現與灰色渠道(dào)和(hé)分發體(tǐ)系的“媾和(hé)”。而這顯然已經與安全行(xíng)業應有(yǒu)的企業品質有(yǒu)所沖突。
邁入2019年,網絡安全風險加劇(jù),網絡安全人(rén)才缺口也不斷加大(dà)。
根據《第十一屆網絡空(kōng)間(jiān)安全學科專業建設與人(rén)才培養研討(tǎo)會(huì)》得(de)出的結論,“我國網絡空(kōng)間(jiān)安全人(rén)才年培養規模在3萬人(rén)左右,已培養的信息安全專業人(rén)才總量不足10萬,離目前需要的70萬差距巨大(dà)。而根據普華永道(dào)的報告,2019年網絡安全人(rén)才缺口可(kě)能達到150萬。
人(rén)工智能時(shí)代,機器(qì)雖然可(kě)以取代一部分機械重複的,但(dàn)短(duǎn)期難以改變這個(gè)行(xíng)業勞動密集的屬性,人(rén)才缺口越來(lái)越大(dà)同樣對中國網絡安全提出了嚴峻的挑戰。
複雜多(duō)變的網絡環境意味着更多(duō)的預判、更多(duō)的辨識和(hé)更多(duō)的定制(zhì)化,意味着更多(duō)的人(rén)。雖然有(yǒu)點詭異,但(dàn)要承認在面對複雜的網絡攻擊環境時(shí),人(rén)的綜合判斷力與應對能力是軟件無法比拟的。
尤其在物聯網攻擊層面,實時(shí)監控、快速止損等操作(zuò)都是目前機器(qì)無法取代的。為(wèi)了應對黑(hēi)客的低(dī)門(mén)檻高(gāo)效率,最簡單的方式還(hái)是培養足夠多(duō)的白帽子與之對攻。
網絡安全任重道(dào)遠
面對日益複雜的網絡環境和(hé)層出不窮的網絡攻擊威脅,國家(jiā)、企業升級的不僅是技(jì)術(shù),而是常識。
中國的網絡安全的希望必須首先寄托在網絡安全産業的發展之上(shàng),必須有(yǒu)一批具有(yǒu)核心能力的強力企業,而這一點正在為(wèi)更多(duō)人(rén)認同。
時(shí)代在變,企業必須從傳統意義上(shàng)保護終端的安全思路走出來(lái),變成保護數(shù)據、保護交互、保護硬件工作(zuò)等方方面面的網絡安全思路,要用頂層思維審視(shì)所面臨的難題。
這就意味着,在整個(gè)國家(jiā)的網絡安全防禦系統上(shàng),需要有(yǒu)一個(gè)頂層的設計(jì),數(shù)據需要打通(tōng)。現在個(gè)人(rén)用戶電(diàn)腦(nǎo)裏裝了各種各樣的安全軟件,單位花(huā)錢(qián)裝了各種各樣的網絡安全設備。如果今天這些(xiē)數(shù)據沒有(yǒu)打通(tōng)。網絡安全企業看到的隻是局部,無法判斷是惡意軟件,還(hái)是來(lái)自其他國家(jiā)的網絡攻擊。隻有(yǒu)通(tōng)過聚合網絡安全大(dà)數(shù)據能力,才能真正看清楚網絡發生(shēng)了什麽。
網絡安全領域受到數(shù)據不足的困擾,這很(hěn)大(dà)程度上(shàng)是因為(wèi)公司企業極不情願報告負面消息。如果以往數(shù)據洩露及網絡攻擊的相關數(shù)據能跨企業共享,網絡防禦就能得(de)到極大(dà)提升。
2017年6月1日,《網絡安全法》落地實施,這是我國首部網絡安全相關立法;這意味着,國家(jiā)法治保障體(tǐ)系建設已初具規模。
2019年3月7日,國務院國有(yǒu)資産監督管理(lǐ)委員會(huì)發布了新版《中央企業負責人(rén)經營業績考核辦法》,該辦法将于自2019年4月1日起施行(xíng)。與舊(jiù)版的考核辦法不同的是,新的考核辦法中增加了對網絡安全事件的考核要求。
由此可(kě)見,國家(jiā)層面已經網絡安全已經成為(wèi)國家(jiā)安全最重要的組成部分之一,接下來(lái),就需要企業主體(tǐ)的責任和(hé)擔當,以确保相關法律法規的落地執行(xíng)。
較量無聲,對抗無形,每時(shí)每刻,就在身邊。我們生(shēng)活在一個(gè)和(hé)平的國家(jiā),而不是一個(gè)和(hé)平的世界。居安思危,是永不過時(shí)的話(huà)題。(本文首發钛媒體(tǐ))
