容灾备份
新闻媒体
关于同向
加入同向
联系同向

网络安全事件高发期 谁来守卫祖国第五疆域?

浏览次数:590    发布时间:2018-04-04 01:50:12    来源:

  进入21世纪第18个年头,现代社会已经没有谁可以轻易离开网络,如同百万年前人类祖先对空气、阳光和水的感受那样,尽管这些东西往往以一种悄无声息的状态存在,却有着近乎生命本身一般的分量。

 

  不过,就像后者常常会面临空气污染、水污染等安全事件,藏匿于我们之间的网络世界,同样危机四伏、暗流涌动。

 

002.jpg

 

  新年伊始,网络安全事件便接连“爆发”:

 

  首当其冲的是全球最为知名的半导体制造巨头英特尔被曝出芯片存在设计漏洞;随后,美国一网络安全公司发布声明称,韩国平昌冬奥会被黑客“盯上了”,有黑客曾试图窃取平昌冬奥会的敏感数据。

 

  而类似事件,早已不是第一次发生。2017年5月,那场肆虐全球的勒索病毒事件至今令人心悸——一款名为“WannaCry”的勒索病毒一天横扫150多个国家。

 

  该事件也成为一个转折点,网络攻击对关键基础设施的破坏,让所谓的普通网民从“围观者”沦为“受害者”,而如果将攻击的主体看作一个个国家,这种危害性更是不言而喻。在后勒索病毒时代,面对网络安全这个新战场,该如何守卫,又将由谁守卫,成了一个新的命题。正如有关专家所说:

 

  “网络空间已成为继陆、海、空、天之外的第五疆域,相应的信息技术已经渗透到物理世界、人类社会各个方面,而信息技术渗透到哪里,安全的问题就会出现在哪里!”,这就体现到数据备份的重要性!

 

  在前不久举行的全国高校网络安全联赛网络安全人才培养与产业发展高峰论坛上,有专家指出,目前来看,网络安全形势十分严峻,相应的人才培养缺口非常大。

 

  过时的封堵查杀“老三样”VS没有真正“刀枪不入”的安全?

 

  在勒索病毒事件中,最让人惊讶的,莫过于该病毒的源头竟是美国官方针对Windows等系统自行研发的黑客武器。这再次让人们意识到,再强大的网络防护体系都有被攻破的可能。

 

  有专业人士曾试着从逻辑上证明“软件无BUG”,结果发现这个证明是伪命题,“世界上没有无BUG的软件,跟人体一样,有缺陷并发生病变是避免不了的”—— 不可能存在铜墙铁壁、刀枪不入的安全之地,即使设计再精巧,结构再复杂,无一例外都会有漏洞。

 

  网络安全领域的一项研究显示,程序员每写1000行代码,就会出现1到6个缺陷或错误,而这1到6个缺陷就有可能产生漏洞,如果这些漏洞是不可能避免的话,那么“被攻击”就有可能发生。

 

  在2015年中国互联网安全大会上,美国首任网军司令亚历山大的一番话震动不少人:世界上只有两种系统,一种是已知被攻破的系统,一种是已经被攻破但自己还不知道的系统。这意味着,在攻击者面前,没有任何安全的系统。

 

  现实中不乏案例佐证:2010年,伊朗核设施遭遇来自国外的“震网”病毒攻击,直接导致该国核设施1000多台离心机瘫痪,而这可是该国国防军守卫的机密目标;2014年,韩国两座核电站的内部文件遭到黑客“泄露”,这其中包括核电站近万名员工的个人信息、核电站程序运行说明、空调和冷却系统设计图、阀门设计图,等等。

 

  不过,这并不意味着人们对待网络攻击就束手无策了。过去人们往往通过防火墙、杀病毒和找漏洞等“老三样”的手段,希望把网络威胁“挡”在门外,让所保护的对象免受攻击风险。但信息安全问题是由设计缺陷而引起的,消极被动的“封堵查杀”是防不胜防的,这就好比,没有免疫系统的孩子只能生活在无菌的状态下,不停地杀病毒。说到底,从一出生就没有免疫系统,这是问题的关键。

 

  对此,网络安全专家开出的药方是——采用“安全可信”的免疫计算方法和计算体系结构,给中国的网络安全“造”属于自己的“免疫系统”。

 

  在2013年,曾有25名院士经过调研,给国家领导人写了一封关于国家网络安全和自主创新的建议信,其中就提到“可信计算”这个词。所谓“可信计算”,是一种运算和防护并存的主动免疫的新计算模式,具有身份识别、状态度量、保密存储等功能,可及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质——相当于人类的免疫系统。

 

  时隔3年,我国出台了《网络安全法》,其中就提到要推广“安全可信”的网络产品和容灾备份服务。如今,当年院士们所推崇的可信计算正在构筑我国网络安全防线,他们希望看到的最终效果是——攻击者进不去,非授权者的重要信息拿不到,窃取的保密信息看不懂,系统和信息改不了,攻击行为赖不掉。“黑暗力量”、“震网”、“火焰”、“Wannacry”等不查杀而自灭。

 

001.jpg

 

  网络安全说到底是人与人的对抗VS网络安全人才缺口巨大

 

  这也是国际IT巨头一个共同努力的方向。有多家外国计算机生产厂商在2002年即启动了可信计算计划,并先后在Vista、Win 8、Win 10中捆绑销售。在有关专家看来,这是一个“极大的威胁”——中国可信计算产业可能将失去进入市场的机会,将严重威胁中国的网络安全。

 

  美国陆军一份长达35页的《2016-2045年新兴科技趋势报告》显示,有20项最值得关注的科技发展趋势,而在20项趋势技术中,有11项和信息技术有关,更为重要的是,这11项技术每一项都谈到了安全问题。在网络安全上的投入研发似已成共识,而背后比拼的,就是人才培养的速度。

 

  正如有关人士所言,网络空间里所有的攻防,说到底是人和人的攻防,至于机器、系统、体系起到的、更多是辅助提高效率和水平。

 

  从目前来看,我国这方面的人才储备却不容乐观。这次论坛上披露了两组对比鲜明的数据——

 

  一组数据来自中国信息通信研究院《网络安全产业白皮书(2017)》,其中提到中国有超过30家年度营收过亿元的网络安全企业,其中不乏具有产业整合能力的龙头企业。近年来,中国的网络安全行业市场规模逐年扩大,2017年网络安全产业规模达457.13亿元。

 

  另一组数据则表明,当前国内信息系统和信息基础设施等重要行业网络安全人才需求达70万人,至2020年将增加到140万人,并且需求量预计将以每年1.5万人的速度递增,而目前高校每年培养的网络安全相关专业人员不到1万人。

 

  论坛上,有关人士还专门提到全国人大此前组织的一次调研,调研样本超过1万个,结果显示有69%的调研对象认为本单位和周边熟悉网络安全技术的人才不多,而有21.6%的人认为自己单位和周边没有熟悉网络安全技术的人员,“这从另一方面反映了我国网络安全人才培养工作急需加强。”