剛買完房子,打開手機,裝修類信息瞬間“刷屏”;通過網站購買機票,旅游保險推銷接踵而至……隨著購物、網上支付、信息獲取等日常生活的“互聯網化”,隱私安全侵權行為發生的頻率日漸增加,公民個人信息“裸奔”似乎已成為常態。
6月1日起,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)正式生效,《網絡安全法》對網絡詐騙、在關鍵信息基礎設施的運行安全、建立網絡安全監測預警與應急處置制度等方面都作出了明確規定。
但即使是有法可依,“勒索病毒”的陰影在業界仍未散去。6月9日,2017中國網絡信息安全峰會在京召開,如何構筑堅固的網絡安全防線成為熱議話題。
個人信息在“裸奔”
互聯網時代,網上“留痕”的個人信息采集模式無處不在,個人信息被泄露、被濫用已成為無法回避的難題,就連虹膜識別、指紋識別、人臉識別這些生物識別技術也未幸免于難。
“僅用通過谷歌搜索找到高清晰圖像,就可以使用一些虹膜掃描工具進行攻擊。”清華大學語音和語言技術中心主任鄭方此言一出,滿座嘩然。他表示,指紋識別和人臉識別抵御攻擊的能力也同樣很弱。
“在西班牙巴塞羅那舉辦的世界移動通信大會上,《華爾街日報》的記者把指紋在軟膠膜上按壓了五分鐘,模具成型后,再按壓上一層橡皮泥就能形成一個指紋膜,簡單幾下iPhone指紋解鎖就被破解。”鄭方說,“美國斯坦福大學還研發出一款人臉跟蹤軟件,它可以通過攝像頭捕捉用戶的動作和面部表情,然后驅動視頻中的目標人物做出一模一樣的動作和表情,效果極其逼真。”
連生物識別都未能給個人信息加把“安全鎖”,就不得不讓人想起剛剛過去的勒索病毒事件,給網絡安全防護帶來的教訓與反思。
360企業安全集團副總裁左英男就深刻地認識到,我國終端安全管理和漏洞補丁運行能力仍有待加強;內網隔離不能一隔了之,內網也需要建立縱深防護體系;網絡安全監測預警、分析響應缺乏有效的技術手段,缺乏體系化的應急響應機制……
國家信息技術安全研究中心常務副主任兼總工程師李京春也表示,目前,網絡安全防御技術相對比較傳統,智能化設備發展滯后,網絡安全與大數據真正的融合還未完全實現,關鍵信息基礎設施保護也亟待解決一系列瓶頸問題。
例如此次的勒索病毒事件,“攻擊端攻擊鏈已經形成,而防守端并沒有真正形成資源整合,包括數據資源、情報資源的整合與共享等。”李京春說。
在中國工程院院士沈昌祥看來,“由于人們對IT的認識邏輯的局限性,不能窮盡所有組合,只能局限于完成計算任務去設計IT系統,必定存在邏輯不全的缺陷,從而難以應對人為利用缺陷進行的攻擊。”
可信計算開啟主動防御時代
在互聯網領域,安全是永恒的主題。在沈昌祥看來,“老三樣”封堵查殺的被動防御已經過時,網絡安全防護必須采取主動免疫防護的措施,從邏輯正確驗證、計算體系結構和計算模式等方面進行技術創新,以解決邏輯缺陷不被攻擊者所利用的問題,從而形成防攻矛盾的統一體。
沈昌祥說,大數據是一個有密碼保護的可信計算環境,要有可信邊界及安全可信的保護,更要有管理中心進行安全管理。只有構筑這樣的安全管理體系,才能應對各種漏洞。
他認為,就像剛出生的寶寶,如果沒有免疫系統就容易染病一樣,大數據漏洞永遠封堵查殺不完,用可信計算來增加自主的免疫力,才是大數據安全未來的出路。
“只有用可信計算才能不被攻擊者所利用,就是用中國的可信技術,涉及核心的關鍵設施用自己的創新技術解決安全問題。”沈昌祥說,“這樣才能達到攻擊者進不去,即便進去了也拿不到東西,就算拿到了也看不懂、改不了的效果。”
可信計算是指計算運算的同時進行安全防護,使計算全程可測可控,不被干擾,只有這樣才能改變只講求計算效率,而不講安全防護的片面計算模式。
沈昌祥表示,可信免疫的計算模式與結構是一種運算和防護并存的主動免疫的新計算模式,它以密碼為基因,實施身份識別、狀態度量、保密存儲等功能,及時識別“自己”和“非己”成分,從而破壞與排斥進入機制的有害物質,相當于為計算機信息系統培育了免疫能力。
“實施安全可信系統的架構,必須進行可信度量、識別和控制,確保體系結構、資源配置、操作行為、數據存儲和策略管理均可信。”沈昌祥補充道,要從根上解決大數據安全問題,就要構建安全管理支撐下防御體系。比如,數據源頭如果沒有按照協議收集過來的垃圾數據,就要把以前廢棄的處理出來;然后進行有邏輯的運算、挖掘、評估其規律,面向應用,支持表達,產生產品。
態勢感知成為網絡安全建設重點
對于安全大數據的基礎與技術,李京春指出了多個研究方向,例如威脅情報與信息共享、態勢感知與預警、基于機器學習的威脅分析、互聯網輿情情報預警等。
其中,態勢感知被認為是網絡安全建設的重點。左英男表示,積極防御強調人的參與,通過持續的檢測,主動消費威脅情報,獲取當前的安全態勢,從而采取行動,對抗攻擊者。
網絡安全態勢感知就是一種基于環境的、動態、整體地洞悉安全風險的能力,是以安全大數據為基礎,從全局視角提升對安全威脅的發現識別、理解分析、響應處理能力的一種方式,最終是為了決策與行動,是安全能力的落地。
左英男認為,在發展初期,受限于對態勢感知的理解偏差、數據和安全分析能力,態勢感知很多都淪為了展示匯報的“地圖炮”,用戶在使用的過程中,發現這些系統的能力與期望還是有很大的差距,并沒有真正解決安全問題。
而進入去年下半年,經過行業和企業用戶及網絡安全企業的共同努力,用戶逐漸對態勢感知在安全運營上的能力落地有了一些共同的認識,以態勢感知為基礎的這類系統和體系開始逐漸走向實用。
左英男同時提出了態勢感知能力落地的三個要素:數據是基礎、處置是關鍵、人員是保障。與會專家也提出,態勢感知系統一方面要盡可能具備全要素數據收集能力,除了資產信息、系統日志、安全設備日志之外,還要收集終端數據和網絡流量數據等。另一方面還要大量使用威脅情報,威脅情報的使用對于降低垃圾數據產生的噪音、提升威脅檢測的效率也極為關鍵。
京公網安備 11010502049343號