科技戰(zhàn)持續(xù)蔓延��,是時(shí)候重新審視網(wǎng)絡(luò)安全了
隨著華為被美國(guó)列入“實(shí)體清單”��,壞消息接踵而來(lái)��。
��?低曉庥雒绹(guó)供應(yīng)商斷供不久��,美國(guó)國(guó)土安全部就向美國(guó)企業(yè)發(fā)出警告��,中國(guó)制造的無(wú)人機(jī)可能令企業(yè)數(shù)據(jù)面臨風(fēng)險(xiǎn)��,大疆岌岌可危……很明顯��,此次兩大經(jīng)濟(jì)體之間的博弈��,鋼鐵和大豆只是預(yù)演��,信息化與網(wǎng)絡(luò)安全領(lǐng)域才是主戰(zhàn)場(chǎng)��。
在芯片和操作系統(tǒng)“慘遭不幸”之后,網(wǎng)絡(luò)安全這道屏障還會(huì)固若金湯嗎��?
最后一道屏障
科技戰(zhàn)一旦大規(guī)模蔓延��,網(wǎng)絡(luò)安全將面臨嚴(yán)峻的威脅��。
在一些重要的領(lǐng)域��,例如能源��、有色金屬��、精密機(jī)械制造等行業(yè)��,一旦出現(xiàn)商業(yè)機(jī)密外泄��,很容易給企業(yè)帶來(lái)毀滅性的損失��,甚至威脅到國(guó)家利益��。
因網(wǎng)絡(luò)漏洞受到黑客攻擊從而威脅國(guó)家安全的例子數(shù)不勝數(shù)��。
2010年��,伊朗核設(shè)施遭遇來(lái)自國(guó)外的“震網(wǎng)”病毒攻擊��,美國(guó)利用MS10-046��、西門子SIMATIC WinCC系統(tǒng)0 Day漏洞攻擊鈾濃縮設(shè)備��,直接導(dǎo)致該國(guó)核設(shè)施1000多臺(tái)離心機(jī)癱瘓——不少國(guó)外機(jī)構(gòu)及媒體推論��,這背后一個(gè)主要原因就在于��,伊朗核設(shè)施相關(guān)信息控制系統(tǒng)缺乏自主防護(hù)能力��。
2015年圣誕節(jié)的前兩天��,烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬(wàn)名居民突然發(fā)現(xiàn)家中停電��。這次停電不是因?yàn)殡娏Χ倘��,而是遭到了黑客攻擊��。黑客利用欺騙手段讓電力公司員工下載了一款惡意軟件“BlackEnergy”(黑暗力量)��。該惡意軟件最早可追溯到2007年��,由俄羅斯地下黑客組織開發(fā)并廣泛使用��,包括用來(lái)“刺探”全球各國(guó)的電力公司��。
2017年“想哭”病毒爆發(fā)后,網(wǎng)絡(luò)攻擊發(fā)生了一些新的變化��。
網(wǎng)絡(luò)攻擊不再重視個(gè)人電腦��,而是大規(guī)模侵占學(xué)校��、醫(yī)療��、公眾事務(wù)甚至機(jī)場(chǎng)的網(wǎng)絡(luò)設(shè)施��,直接鎖死公用網(wǎng)絡(luò)��,造成的危害幾何級(jí)上升��。事實(shí)上��,銀行��、政府��、大型企業(yè)��、軍事設(shè)備��、基礎(chǔ)設(shè)施的網(wǎng)絡(luò)也接二連三被攻克��。針對(duì)非個(gè)人網(wǎng)絡(luò)的大規(guī)模攻擊正在成為漸漸主流��。
網(wǎng)絡(luò)戰(zhàn)時(shí)代��,國(guó)家重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施跟整個(gè)民用網(wǎng)絡(luò)密不可分��,所有網(wǎng)絡(luò)攻擊是無(wú)差別的攻擊��,目的就是打擊基礎(chǔ)設(shè)施��,最后讓整個(gè)社會(huì)停擺��。
如果網(wǎng)絡(luò)攻擊讓你家里停電��、打不了車��、飛機(jī)停飛��、高鐵停運(yùn)��,這樣的網(wǎng)絡(luò)戰(zhàn)效果比傳統(tǒng)作戰(zhàn)效果更好��。
總而言之��,隨著技術(shù)的發(fā)展��,互聯(lián)網(wǎng)沒(méi)有變的更安全,反而是網(wǎng)絡(luò)攻擊的技術(shù)越來(lái)越先進(jìn)��,破壞力愈發(fā)強(qiáng)勁��。
對(duì)于當(dāng)下的中國(guó)而言��,種種不利因素疊加��,網(wǎng)絡(luò)安全問(wèn)題格外凸顯��。
第一��,中國(guó)目前用了很多“別國(guó)”的系統(tǒng)��,不少重要基礎(chǔ)設(shè)施��、信息系統(tǒng)和個(gè)人計(jì)算機(jī)中采用的核心零部件屬“非國(guó)貨”��,存在著木馬��、漏洞和后門等嚴(yán)重安全風(fēng)險(xiǎn)��,這就為國(guó)外監(jiān)視和控制提供了可能��,給國(guó)家的網(wǎng)絡(luò)安全埋下很大隱患��。
處理器、操作系統(tǒng)等核心部件均有可能被“做手腳”��,從而可能通過(guò)預(yù)設(shè)的操作監(jiān)控用戶行為��、竊取敏感信息��、造成病毒爆發(fā)等��,導(dǎo)致個(gè)人的隱私��、企業(yè)信息的安全甚至國(guó)家的安全均難以得到保證��。
第二��,隨著信息化不斷提升��,最近幾年大數(shù)據(jù)��、云計(jì)算��、人工智能��、物聯(lián)網(wǎng)��、移動(dòng)通信各種各樣信息化技術(shù)��,用得越多��,給網(wǎng)絡(luò)安全帶來(lái)巨大的壓力��。系統(tǒng)越復(fù)雜��,對(duì)安全防護(hù)能力的要求就越高��。
根據(jù)研究機(jī)構(gòu)Gartner 公司的調(diào)查��,2017年全球有84億臺(tái)物聯(lián)網(wǎng)產(chǎn)品正在使用��,比2016年增長(zhǎng)31%��,預(yù)計(jì)到2020年將達(dá)到204億臺(tái)��。預(yù)計(jì)到2020年��,物聯(lián)網(wǎng)預(yù)計(jì)將產(chǎn)生驚人的經(jīng)濟(jì)影響��,其市場(chǎng)規(guī)模高達(dá)8.9萬(wàn)億美元��,如果安全問(wèn)題不能夠很好解決��,那么物聯(lián)網(wǎng)設(shè)備所承擔(dān)的風(fēng)險(xiǎn)將無(wú)法估量。
中國(guó)在科技上的迅速發(fā)展��,讓智能設(shè)備數(shù)量的爆炸式增長(zhǎng)��,中國(guó)有 5 億臺(tái)電腦��,15 億部手機(jī)��,未來(lái)甚至可能有百億規(guī)模的智能設(shè)備��,面對(duì)新形勢(shì)��,需要有新的安全策略來(lái)應(yīng)對(duì)��。
現(xiàn)狀不容樂(lè)觀
中國(guó)在信息化投入上不比其他國(guó)家低��,但我們?cè)诰W(wǎng)絡(luò)安全方面投入嚴(yán)重不足��。
2017年��,安全領(lǐng)域創(chuàng)業(yè)企業(yè)總?cè)谫Y額創(chuàng)新高��。據(jù)不完全統(tǒng)計(jì)��,網(wǎng)絡(luò)安全領(lǐng)域當(dāng)年全球投資300億美元��,國(guó)內(nèi)僅為5.4億美元��;據(jù)分析��,在歐美發(fā)達(dá)國(guó)家和地區(qū)��,企業(yè)在網(wǎng)絡(luò)安全方面的投入占IT方面投入達(dá)到10%-13%��,國(guó)內(nèi)僅1%-3%��。
與投入相比��,中國(guó)工業(yè)企業(yè)對(duì)自身企業(yè)安全建設(shè)水平卻“迷之自信”��,在一項(xiàng)企業(yè)網(wǎng)絡(luò)安全調(diào)查中��,36.7%的被調(diào)查者認(rèn)為自己所在企業(yè)網(wǎng)絡(luò)安全建設(shè)水平達(dá)到行業(yè)領(lǐng)先��;僅有2.9%的被調(diào)查者認(rèn)為自己所在的企業(yè)網(wǎng)絡(luò)安全建設(shè)水平處于“裸奔”狀態(tài)��。就實(shí)際情況來(lái)看��,工業(yè)企業(yè)對(duì)自身安全建設(shè)程度普遍“自我感覺(jué)良好”��,實(shí)際上是一種過(guò)度樂(lè)觀的狀態(tài)��。
之所以出現(xiàn)這種矛盾情形,中國(guó)網(wǎng)絡(luò)安全公司的不爭(zhēng)氣難逃干系��。
國(guó)內(nèi)網(wǎng)絡(luò)安全業(yè)界長(zhǎng)久以來(lái)一方面極力推崇自主研發(fā)��、自主創(chuàng)新��;但在具體的產(chǎn)品實(shí)踐中��,則又體現(xiàn)出自主研發(fā)創(chuàng)新能力和意愿的不足��,貼牌與OEM在行業(yè)內(nèi)成為一種通行法則��。而一些有一定自主研發(fā)能力的廠商��,也通過(guò)OEM的方式補(bǔ)齊一個(gè)完整的產(chǎn)品線��,從而來(lái)扮演全能力的解決方案供應(yīng)商形象��。
按照傳統(tǒng)安全公司的做法��,對(duì)付網(wǎng)絡(luò)攻擊只是建立防火墻��,安裝入侵檢測(cè)的設(shè)備��,這都是以銷售為目的來(lái)推銷產(chǎn)品��,事實(shí)上無(wú)法從根本上解決網(wǎng)絡(luò)戰(zhàn)的安全問(wèn)題��。
不僅如此��,由于中國(guó)網(wǎng)絡(luò)安全產(chǎn)品的特殊性��,全民對(duì)于網(wǎng)絡(luò)安全的認(rèn)知存在偏差��。
國(guó)內(nèi)的互聯(lián)網(wǎng)安全廠商��,崛起于互聯(lián)網(wǎng)免費(fèi)模式��,而各互聯(lián)網(wǎng)寡頭也紛紛跟進(jìn)��。國(guó)際的免費(fèi)安全模式更多的是靠個(gè)人用戶免費(fèi)來(lái)獲取用戶口碑��,而在商業(yè)用戶和企業(yè)用戶收費(fèi)的模式��;而國(guó)內(nèi)的模式實(shí)際上更多是迎合國(guó)內(nèi)用戶更在意支出成本而忽視自我權(quán)益的價(jià)值取向��,以免費(fèi)服務(wù)形式引導(dǎo)用戶必須同意分享部分輕量級(jí)的隱私以及托管入口與流量的控制權(quán)��。
這種模式導(dǎo)致中國(guó)網(wǎng)絡(luò)設(shè)備使用者的用戶體驗(yàn)造成了一定的傷害��,普遍對(duì)國(guó)內(nèi)安全企業(yè)提供的網(wǎng)絡(luò)安全服務(wù)存在不信任��。
但在基于免費(fèi)的安全服務(wù),接受這種推薦就是用戶要付出的代價(jià)��。這也互聯(lián)網(wǎng)安全廠商必須維持巨大的裝機(jī)量才能保證生存��,因此難免出現(xiàn)在用戶控制權(quán)上的纏斗和相互絞殺��,甚至有可能出現(xiàn)與灰色渠道和分發(fā)體系的“媾和”��。而這顯然已經(jīng)與安全行業(yè)應(yīng)有的企業(yè)品質(zhì)有所沖突��。
邁入2019年��,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)加劇��,網(wǎng)絡(luò)安全人才缺口也不斷加大��。
根據(jù)《第十一屆網(wǎng)絡(luò)空間安全學(xué)科專業(yè)建設(shè)與人才培養(yǎng)研討會(huì)》得出的結(jié)論��,“我國(guó)網(wǎng)絡(luò)空間安全人才年培養(yǎng)規(guī)模在3萬(wàn)人左右��,已培養(yǎng)的信息安全專業(yè)人才總量不足10萬(wàn)��,離目前需要的70萬(wàn)差距巨大��。而根據(jù)普華永道的報(bào)告��,2019年網(wǎng)絡(luò)安全人才缺口可能達(dá)到150萬(wàn)��。
人工智能時(shí)代��,機(jī)器雖然可以取代一部分機(jī)械重復(fù)的��,但短期難以改變這個(gè)行業(yè)勞動(dòng)密集的屬性��,人才缺口越來(lái)越大同樣對(duì)中國(guó)網(wǎng)絡(luò)安全提出了嚴(yán)峻的挑戰(zhàn)��。
復(fù)雜多變的網(wǎng)絡(luò)環(huán)境意味著更多的預(yù)判��、更多的辨識(shí)和更多的定制化��,意味著更多的人��。雖然有點(diǎn)詭異��,但要承認(rèn)在面對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊環(huán)境時(shí)��,人的綜合判斷力與應(yīng)對(duì)能力是軟件無(wú)法比擬的��。
尤其在物聯(lián)網(wǎng)攻擊層面��,實(shí)時(shí)監(jiān)控��、快速止損等操作都是目前機(jī)器無(wú)法取代的。為了應(yīng)對(duì)黑客的低門檻高效率��,最簡(jiǎn)單的方式還是培養(yǎng)足夠多的白帽子與之對(duì)攻��。
網(wǎng)絡(luò)安全任重道遠(yuǎn)
面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境和層出不窮的網(wǎng)絡(luò)攻擊威脅��,國(guó)家��、企業(yè)升級(jí)的不僅是技術(shù)��,而是常識(shí)��。
中國(guó)的網(wǎng)絡(luò)安全的希望必須首先寄托在網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展之上��,必須有一批具有核心能力的強(qiáng)力企業(yè)��,而這一點(diǎn)正在為更多人認(rèn)同��。
時(shí)代在變��,企業(yè)必須從傳統(tǒng)意義上保護(hù)終端的安全思路走出來(lái)��,變成保護(hù)數(shù)據(jù)��、保護(hù)交互��、保護(hù)硬件工作等方方面面的網(wǎng)絡(luò)安全思路��,要用頂層思維審視所面臨的難題��。
這就意味著��,在整個(gè)國(guó)家的網(wǎng)絡(luò)安全防御系統(tǒng)上��,需要有一個(gè)頂層的設(shè)計(jì)��,數(shù)據(jù)需要打通��,F(xiàn)在個(gè)人用戶電腦里裝了各種各樣的安全軟件��,單位花錢裝了各種各樣的網(wǎng)絡(luò)安全設(shè)備��。如果今天這些數(shù)據(jù)沒(méi)有打通��。網(wǎng)絡(luò)安全企業(yè)看到的只是局部��,無(wú)法判斷是惡意軟件��,還是來(lái)自其他國(guó)家的網(wǎng)絡(luò)攻擊��。只有通過(guò)聚合網(wǎng)絡(luò)安全大數(shù)據(jù)能力��,才能真正看清楚網(wǎng)絡(luò)發(fā)生了什么。
網(wǎng)絡(luò)安全領(lǐng)域受到數(shù)據(jù)不足的困擾��,這很大程度上是因?yàn)楣酒髽I(yè)極不情愿報(bào)告負(fù)面消息��。如果以往數(shù)據(jù)泄露及網(wǎng)絡(luò)攻擊的相關(guān)數(shù)據(jù)能跨企業(yè)共享��,網(wǎng)絡(luò)防御就能得到極大提升��。
2017年6月1日��,《網(wǎng)絡(luò)安全法》落地實(shí)施��,這是我國(guó)首部網(wǎng)絡(luò)安全相關(guān)立法��;這意味著��,國(guó)家法治保障體系建設(shè)已初具規(guī)模��。
2019年3月7日��,國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)發(fā)布了新版《中央企業(yè)負(fù)責(zé)人經(jīng)營(yíng)業(yè)績(jī)考核辦法》��,該辦法將于自2019年4月1日起施行��。與舊版的考核辦法不同的是,新的考核辦法中增加了對(duì)網(wǎng)絡(luò)安全事件的考核要求��。
由此可見(jiàn)��,國(guó)家層面已經(jīng)網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家安全最重要的組成部分之一��,接下來(lái)��,就需要企業(yè)主體的責(zé)任和擔(dān)當(dāng)��,以確保相關(guān)法律法規(guī)的落地執(zhí)行��。
較量無(wú)聲��,對(duì)抗無(wú)形��,每時(shí)每刻��,就在身邊��。我們生活在一個(gè)和平的國(guó)家��,而不是一個(gè)和平的世界��。居安思危��,是永不過(guò)時(shí)的話題��。
