網絡安全,不是新鮮話題,然而,兩個嵌入這一關鍵詞的新聞卻耐人尋味。
其一,日前在美國內華達州拉斯維舉辦的defcon黑客大會上,一架配備了實現滲透測試(一種黑客或者網絡安全維護人員常用測試)的軟件工具的特殊無人機,令人倒吸一口冷氣――那意味著,在電子遙控下,這架飛行器甚至可升至20層樓高度并停駐在目標窗口,通過接入其wifi網絡,入侵房間內所有電子設備并獲得所需數據,并同步傳回。
其二,近日中美就共同打擊網絡犯罪等執法安全領域的突出問題深入交換意見,達成重要共識。
隨著網絡技術日新月異,其在傳統領域的安全威脅從未消失,與此同時,惡意程序、遠程控制等從pc端威脅逐步向移動互聯網擴散,不僅有日益入侵個人生活趨勢,更成為國與國交流的關注焦點。
“萬物互聯”時代,如何守住安全門?
網絡價值爆發
危機倍增
身在辦公室,輕點手機屏幕即可關閉家中臥室的電視機;佩戴可識別芯片的豬肉,從屠宰到上桌全流程可追蹤;憑借感應元件,萬里之下海底動態一目了然……如今已經司空見慣的種種生活、科研便利,正不知不覺將把人類推向“萬物互聯”時代,將人,流程,數據和事物結合通過網絡一一串起,創造出前所未有的功能和價值。正如“梅特卡夫定律”所預言的,網絡的價值與聯網的用戶數的平方呈正比。從本質上講,網絡的力量大于部分之和,使得萬物互聯,令人難以置信的強大。
“萬物互聯在給人們的工作和生活出行帶來便利的同時,也引入潛在的新型安全隱患。”上海交通大學網絡信息中心姜開達博士說。
“安全漏洞是在軟件、硬件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未充分授權的情況下訪問或改變原有系統功能和數據信息。它是伴隨著互聯網成長的永恒話題,是對普通民眾的最大安全威脅,其存在是無法避免的。”在他看來,物聯網、智能家居、云服務、發達的社交網絡等的發展,給惡意使用安全漏洞更大的施展空間。
僅此次黑客大會上,就有一批黑客相繼演示了破解特斯拉、切諾基汽車等與日常生活息息相關的設備。想象一下,當正在使用的智能設備瞬間被其他人“接管”,無論經濟安全、信息安全均可能已“敞開大門”。
更為可怕的是,隨著智能設備的發展普及,數量劇增,這些設備一旦被入侵,很可能變為新的“僵尸”,成為分布式拒絕服務(ddos)攻擊的幫兇之一。通常,攻擊者使用一個偷竊賬號將ddos主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。據cncert統計,僅2014年,中國就有1108萬臺主機感染成僵尸主機,這一數字若再增長,能量可想而知。
解題瓶頸“追不上”的尷尬
工業和信息化部電信研究院專家劉多此前發表的《當前網絡安全形勢與展望》一文中,對此面臨的挑戰有著更為宏觀的表述。
萬物互聯下網絡攻擊正逐步向各類聯網終端滲透。以智能家居為代表的聯網設備逐步成為網絡攻擊目標;專門針對工業控制系統的“震網”(stuxnet)病毒感染了全球超過45000個網絡。
與此同時,木馬僵尸網絡、釣魚網站等非傳統網絡安全威脅有增無減,分布式拒絕服務(ddos攻擊)等新型網絡攻擊愈演愈烈。統計報告顯示,全球惡意代碼樣本數目正以每天可獲取300萬個的速度增長,云端惡意代碼樣本已從2005年的40萬種增長至目前的60億種。基礎通信網絡和金融、工控等重要信息系統安全面臨挑戰。
情勢如此嚴峻,而安全防范卻直面“追不上”的尷尬。
一方面,網絡安全隱患遍布于新興技術產業的各重要環節,但針對性的安全產品極度稀缺,相關防御技術手段的研發尚處于起步階段。在新興技術產業的強勁增長驅動下,網絡安全問題的影響范圍不斷延展,威脅程度日漸加深。
另一方面,則是理論范疇的“定義困境”。中國國際戰略學會副研究員虞爽認為,互聯網誕生至今不過短短幾十年,由于技術發展、普及覆蓋速度過快,把相關的基礎理論研究遠遠地甩在身后,而網絡安全新問題層出不窮,令人措手不及,許多基礎定義、標準的缺失,造成了大量的“盲點”和“空白”,成為阻礙網絡安全問題解決的“堅冰”。今年5月,他赴美參加東西方研究所主辦的“國際網絡安全合作”圓桌會議,討論該所擬于年內發表的網絡安全報告。然而在過程中,許多題目都受到了類似困擾。例如:“有效打擊跨國網絡犯罪行為”,到底哪些行為可以歸入“網絡犯罪行為”;“治理網絡不良內容”,到底哪些內容屬于“不良內容”。同時,國家間對一些基本定義和概念的不同理解,也嚴重影響了網絡安全國際合作。
可怕的是
我們對其熟視無睹
“新的漏洞不斷被挖掘和曝光,進而被修復,對整個網絡世界的整體安全性提升是有顯著積極作用的。安全威脅并不可怕,可怕的只是我們對其熟視無睹。”姜開達說。
在他看來,提供互聯網產品和服務的廠商,要承擔起自己的社會責任。產品存在漏洞是普遍現象,沒有必要遮遮掩掩,而是應該加大安全方向投入,無論在產品的開發測試階段,還是提供正式服務以后的全生命周期內都要真正重視起安全,提供持續的安全升級和及時發布公告修復已知漏洞,對用戶的安全負責。
而在互聯網安全行業,商機也伴隨技術挑戰共生。近年來,我國安全產業增長速度不斷加快,預計2017年復合年增長率將達到17.4%。增速第一的安全服務領域復合年增長率將達到23.6%,遠高于國際平均水平。
國家信息中心原首席工程師寧家駿認為,傳統網絡安全實際上是基于靜態、被動、防御的作戰思維。隨著網絡的發展,網絡攻擊也與時俱進發生了新的變化。首先,隨著移動互聯網、byod、虛擬化等技術的發展,傳統意義的邊界已經不復存在,難以用簡單“隔離”手段解決;其次,攻擊不再是秀肌肉炫耀式的攻擊,更多的是以政治、經濟、軍事等為目的的有組織的針對性攻擊,諸多尚未有破解之道的未知漏洞成為其有效攻擊手段。
業內專家指出,相關行業也應及時求變,逐步實現網絡安全防護從靜態、基于威脅的保護向動態、基于風險的防護轉變。
鏈接
我國首部《網絡安全法(草案)》公布
本報記者彭德倩
2015年6月,第十二屆全國人大常委會第十五次會議初次審議了《網絡安全法(草案)》,并將該草案在中國人大網公布。截至2015年8月6日,該草案已經完成向社會公開征求意見。網絡安全法也被十二屆全國人大常委會列入立法規劃。
其中一點引人關注。草案提出,要加強對公民個人信息的保護。網絡運營者應當建立健全用戶信息保護制度。任何個人和組織也不得竊取或者以其他非法方式獲取公民個人信息,不得出售或者非法向他人提供公民個人信息。如未能依法保護公民個人信息,網絡運營者最高可被處以50萬元罰款,甚至面臨停業整頓、關閉網站、撤銷相關業務許可或吊銷營業執照的處罰。
上海市信息安全行業協會專家委員會主任張威指出,網絡安全法的推進,在一定程度上反映了加強網絡安全管理的緊迫性,同時,也邁出了依法治網的重要一步。我國將不斷加強網絡安全依法管理、科學管理,更加重視新技術新應用安全問題,促進移動互聯網應用生態環境優化,加速構建網絡安全保障體系,推動網絡安全相關技術和產業快速發展。
京公網安備 11010502049343號