網(wǎng)絡(luò)安全,不是新鮮話題,然而,兩個(gè)嵌入這一關(guān)鍵詞的新聞卻耐人尋味。
其一,日前在美國(guó)內(nèi)華達(dá)州拉斯維舉辦的defcon黑客大會(huì)上,一架配備了實(shí)現(xiàn)滲透測(cè)試(一種黑客或者網(wǎng)絡(luò)安全維護(hù)人員常用測(cè)試)的軟件工具的特殊無(wú)人機(jī),令人倒吸一口冷氣――那意味著,在電子遙控下,這架飛行器甚至可升至20層樓高度并停駐在目標(biāo)窗口,通過(guò)接入其wifi網(wǎng)絡(luò),入侵房間內(nèi)所有電子設(shè)備并獲得所需數(shù)據(jù),并同步傳回。
其二,近日中美就共同打擊網(wǎng)絡(luò)犯罪等執(zhí)法安全領(lǐng)域的突出問題深入交換意見,達(dá)成重要共識(shí)。
隨著網(wǎng)絡(luò)技術(shù)日新月異,其在傳統(tǒng)領(lǐng)域的安全威脅從未消失,與此同時(shí),惡意程序、遠(yuǎn)程控制等從pc端威脅逐步向移動(dòng)互聯(lián)網(wǎng)擴(kuò)散,不僅有日益入侵個(gè)人生活趨勢(shì),更成為國(guó)與國(guó)交流的關(guān)注焦點(diǎn)。
“萬(wàn)物互聯(lián)”時(shí)代,如何守住安全門?
網(wǎng)絡(luò)價(jià)值爆發(fā)
危機(jī)倍增
身在辦公室,輕點(diǎn)手機(jī)屏幕即可關(guān)閉家中臥室的電視機(jī);佩戴可識(shí)別芯片的豬肉,從屠宰到上桌全流程可追蹤;憑借感應(yīng)元件,萬(wàn)里之下海底動(dòng)態(tài)一目了然……如今已經(jīng)司空見慣的種種生活、科研便利,正不知不覺將把人類推向“萬(wàn)物互聯(lián)”時(shí)代,將人,流程,數(shù)據(jù)和事物結(jié)合通過(guò)網(wǎng)絡(luò)一一串起,創(chuàng)造出前所未有的功能和價(jià)值。正如“梅特卡夫定律”所預(yù)言的,網(wǎng)絡(luò)的價(jià)值與聯(lián)網(wǎng)的用戶數(shù)的平方呈正比。從本質(zhì)上講,網(wǎng)絡(luò)的力量大于部分之和,使得萬(wàn)物互聯(lián),令人難以置信的強(qiáng)大。
“萬(wàn)物互聯(lián)在給人們的工作和生活出行帶來(lái)便利的同時(shí),也引入潛在的新型安全隱患。”上海交通大學(xué)網(wǎng)絡(luò)信息中心姜開達(dá)博士說(shuō)。
“安全漏洞是在軟件、硬件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未充分授權(quán)的情況下訪問或改變?cè)邢到y(tǒng)功能和數(shù)據(jù)信息。它是伴隨著互聯(lián)網(wǎng)成長(zhǎng)的永恒話題,是對(duì)普通民眾的最大安全威脅,其存在是無(wú)法避免的。”在他看來(lái),物聯(lián)網(wǎng)、智能家居、云服務(wù)、發(fā)達(dá)的社交網(wǎng)絡(luò)等的發(fā)展,給惡意使用安全漏洞更大的施展空間。
僅此次黑客大會(huì)上,就有一批黑客相繼演示了破解特斯拉、切諾基汽車等與日常生活息息相關(guān)的設(shè)備。想象一下,當(dāng)正在使用的智能設(shè)備瞬間被其他人“接管”,無(wú)論經(jīng)濟(jì)安全、信息安全均可能已“敞開大門”。
更為可怕的是,隨著智能設(shè)備的發(fā)展普及,數(shù)量劇增,這些設(shè)備一旦被入侵,很可能變?yōu)樾碌?ldquo;僵尸”,成為分布式拒絕服務(wù)(ddos)攻擊的幫兇之一。通常,攻擊者使用一個(gè)偷竊賬號(hào)將ddos主控程序安裝在一個(gè)計(jì)算機(jī)上,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。據(jù)cncert統(tǒng)計(jì),僅2014年,中國(guó)就有1108萬(wàn)臺(tái)主機(jī)感染成僵尸主機(jī),這一數(shù)字若再增長(zhǎng),能量可想而知。
解題瓶頸“追不上”的尷尬
工業(yè)和信息化部電信研究院專家劉多此前發(fā)表的《當(dāng)前網(wǎng)絡(luò)安全形勢(shì)與展望》一文中,對(duì)此面臨的挑戰(zhàn)有著更為宏觀的表述。
萬(wàn)物互聯(lián)下網(wǎng)絡(luò)攻擊正逐步向各類聯(lián)網(wǎng)終端滲透。以智能家居為代表的聯(lián)網(wǎng)設(shè)備逐步成為網(wǎng)絡(luò)攻擊目標(biāo);專門針對(duì)工業(yè)控制系統(tǒng)的“震網(wǎng)”(stuxnet)病毒感染了全球超過(guò)45000個(gè)網(wǎng)絡(luò)。
與此同時(shí),木馬僵尸網(wǎng)絡(luò)、釣魚網(wǎng)站等非傳統(tǒng)網(wǎng)絡(luò)安全威脅有增無(wú)減,分布式拒絕服務(wù)(ddos攻擊)等新型網(wǎng)絡(luò)攻擊愈演愈烈。統(tǒng)計(jì)報(bào)告顯示,全球惡意代碼樣本數(shù)目正以每天可獲取300萬(wàn)個(gè)的速度增長(zhǎng),云端惡意代碼樣本已從2005年的40萬(wàn)種增長(zhǎng)至目前的60億種。基礎(chǔ)通信網(wǎng)絡(luò)和金融、工控等重要信息系統(tǒng)安全面臨挑戰(zhàn)。
情勢(shì)如此嚴(yán)峻,而安全防范卻直面“追不上”的尷尬。
一方面,網(wǎng)絡(luò)安全隱患遍布于新興技術(shù)產(chǎn)業(yè)的各重要環(huán)節(jié),但針對(duì)性的安全產(chǎn)品極度稀缺,相關(guān)防御技術(shù)手段的研發(fā)尚處于起步階段。在新興技術(shù)產(chǎn)業(yè)的強(qiáng)勁增長(zhǎng)驅(qū)動(dòng)下,網(wǎng)絡(luò)安全問題的影響范圍不斷延展,威脅程度日漸加深。
另一方面,則是理論范疇的“定義困境”。中國(guó)國(guó)際戰(zhàn)略學(xué)會(huì)副研究員虞爽認(rèn)為,互聯(lián)網(wǎng)誕生至今不過(guò)短短幾十年,由于技術(shù)發(fā)展、普及覆蓋速度過(guò)快,把相關(guān)的基礎(chǔ)理論研究遠(yuǎn)遠(yuǎn)地甩在身后,而網(wǎng)絡(luò)安全新問題層出不窮,令人措手不及,許多基礎(chǔ)定義、標(biāo)準(zhǔn)的缺失,造成了大量的“盲點(diǎn)”和“空白”,成為阻礙網(wǎng)絡(luò)安全問題解決的“堅(jiān)冰”。今年5月,他赴美參加?xùn)|西方研究所主辦的“國(guó)際網(wǎng)絡(luò)安全合作”圓桌會(huì)議,討論該所擬于年內(nèi)發(fā)表的網(wǎng)絡(luò)安全報(bào)告。然而在過(guò)程中,許多題目都受到了類似困擾。例如:“有效打擊跨國(guó)網(wǎng)絡(luò)犯罪行為”,到底哪些行為可以歸入“網(wǎng)絡(luò)犯罪行為”;“治理網(wǎng)絡(luò)不良內(nèi)容”,到底哪些內(nèi)容屬于“不良內(nèi)容”。同時(shí),國(guó)家間對(duì)一些基本定義和概念的不同理解,也嚴(yán)重影響了網(wǎng)絡(luò)安全國(guó)際合作。
可怕的是
我們對(duì)其熟視無(wú)睹
“新的漏洞不斷被挖掘和曝光,進(jìn)而被修復(fù),對(duì)整個(gè)網(wǎng)絡(luò)世界的整體安全性提升是有顯著積極作用的。安全威脅并不可怕,可怕的只是我們對(duì)其熟視無(wú)睹。”姜開達(dá)說(shuō)。
在他看來(lái),提供互聯(lián)網(wǎng)產(chǎn)品和服務(wù)的廠商,要承擔(dān)起自己的社會(huì)責(zé)任。產(chǎn)品存在漏洞是普遍現(xiàn)象,沒有必要遮遮掩掩,而是應(yīng)該加大安全方向投入,無(wú)論在產(chǎn)品的開發(fā)測(cè)試階段,還是提供正式服務(wù)以后的全生命周期內(nèi)都要真正重視起安全,提供持續(xù)的安全升級(jí)和及時(shí)發(fā)布公告修復(fù)已知漏洞,對(duì)用戶的安全負(fù)責(zé)。
而在互聯(lián)網(wǎng)安全行業(yè),商機(jī)也伴隨技術(shù)挑戰(zhàn)共生。近年來(lái),我國(guó)安全產(chǎn)業(yè)增長(zhǎng)速度不斷加快,預(yù)計(jì)2017年復(fù)合年增長(zhǎng)率將達(dá)到17.4%。增速第一的安全服務(wù)領(lǐng)域復(fù)合年增長(zhǎng)率將達(dá)到23.6%,遠(yuǎn)高于國(guó)際平均水平。
國(guó)家信息中心原首席工程師寧家駿認(rèn)為,傳統(tǒng)網(wǎng)絡(luò)安全實(shí)際上是基于靜態(tài)、被動(dòng)、防御的作戰(zhàn)思維。隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)攻擊也與時(shí)俱進(jìn)發(fā)生了新的變化。首先,隨著移動(dòng)互聯(lián)網(wǎng)、byod、虛擬化等技術(shù)的發(fā)展,傳統(tǒng)意義的邊界已經(jīng)不復(fù)存在,難以用簡(jiǎn)單“隔離”手段解決;其次,攻擊不再是秀肌肉炫耀式的攻擊,更多的是以政治、經(jīng)濟(jì)、軍事等為目的的有組織的針對(duì)性攻擊,諸多尚未有破解之道的未知漏洞成為其有效攻擊手段。
業(yè)內(nèi)專家指出,相關(guān)行業(yè)也應(yīng)及時(shí)求變,逐步實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)從靜態(tài)、基于威脅的保護(hù)向動(dòng)態(tài)、基于風(fēng)險(xiǎn)的防護(hù)轉(zhuǎn)變。
鏈接
我國(guó)首部《網(wǎng)絡(luò)安全法(草案)》公布
本報(bào)記者彭德倩
2015年6月,第十二屆全國(guó)人大常委會(huì)第十五次會(huì)議初次審議了《網(wǎng)絡(luò)安全法(草案)》,并將該草案在中國(guó)人大網(wǎng)公布。截至2015年8月6日,該草案已經(jīng)完成向社會(huì)公開征求意見。網(wǎng)絡(luò)安全法也被十二屆全國(guó)人大常委會(huì)列入立法規(guī)劃。
其中一點(diǎn)引人關(guān)注。草案提出,要加強(qiáng)對(duì)公民個(gè)人信息的保護(hù)。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立健全用戶信息保護(hù)制度。任何個(gè)人和組織也不得竊取或者以其他非法方式獲取公民個(gè)人信息,不得出售或者非法向他人提供公民個(gè)人信息。如未能依法保護(hù)公民個(gè)人信息,網(wǎng)絡(luò)運(yùn)營(yíng)者最高可被處以50萬(wàn)元罰款,甚至面臨停業(yè)整頓、關(guān)閉網(wǎng)站、撤銷相關(guān)業(yè)務(wù)許可或吊銷營(yíng)業(yè)執(zhí)照的處罰。
上海市信息安全行業(yè)協(xié)會(huì)專家委員會(huì)主任張威指出,網(wǎng)絡(luò)安全法的推進(jìn),在一定程度上反映了加強(qiáng)網(wǎng)絡(luò)安全管理的緊迫性,同時(shí),也邁出了依法治網(wǎng)的重要一步。我國(guó)將不斷加強(qiáng)網(wǎng)絡(luò)安全依法管理、科學(xué)管理,更加重視新技術(shù)新應(yīng)用安全問題,促進(jìn)移動(dòng)互聯(lián)網(wǎng)應(yīng)用生態(tài)環(huán)境優(yōu)化,加速構(gòu)建網(wǎng)絡(luò)安全保障體系,推動(dòng)網(wǎng)絡(luò)安全相關(guān)技術(shù)和產(chǎn)業(yè)快速發(fā)展。