“萬物互聯(lián)規(guī)模前所未有,安全方面的挑戰(zhàn)會更加復雜。” 在2014年中國互聯(lián)網(wǎng)安全大會上,大會聯(lián)合主席、中國工程院院士、中國互聯(lián)網(wǎng)協(xié)會理事長鄔賀銓表示,“在應對安全威脅時,除了著眼目前的挑戰(zhàn),我們更應該放眼互聯(lián)網(wǎng)的未來。”
網(wǎng)絡(luò)安全威脅,野蠻人隱藏在內(nèi)部
互聯(lián)網(wǎng)在中國發(fā)展到今天已經(jīng)有20年,從用戶數(shù)量來看,我國是名副其實的互聯(lián)網(wǎng)大國。我國PC互聯(lián)網(wǎng)的網(wǎng)民數(shù)超過6億;移動互聯(lián)網(wǎng)的網(wǎng)民數(shù)超過5億,而且增長速度領(lǐng)先不少發(fā)達國家,還有很大的發(fā)展空間。中國在互聯(lián)網(wǎng)的推廣應用方面,也不落后于全球,但與發(fā)達國家相比,還不能稱為互聯(lián)網(wǎng)強國,尤其是隨著網(wǎng)民數(shù)量大增、應用不斷產(chǎn)生,網(wǎng)絡(luò)安全事件頻發(fā)。
從早期的CIH病毒到后來的“沖擊波”和“熊貓燒香”,再到2013年的“棱鏡門”事件,信息安全領(lǐng)域就像是上演了一部跌宕起伏的大片,吸引了整個世界的眼球,徹底顛覆了人們對網(wǎng)絡(luò)安全的認識。網(wǎng)絡(luò)安全已經(jīng)不僅僅是簡單的攻防戰(zhàn),而且關(guān)系到全社會的生存與發(fā)展,并且已經(jīng)上升為國家戰(zhàn)略。鄔賀銓表示,2014年年初,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組成立,習近平總書記提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”,首次將網(wǎng)絡(luò)安全置于前所未有的高度。
美國首任國土安全部部長湯姆·里奇在演講中也表示,幾個星期前,惡意軟件導致美國某主要零售商超過5600萬的個人信息被泄露,“蒼蠅不叮無縫的蛋,互聯(lián)網(wǎng)充滿了縫隙,這些野蠻人不僅是在門口對你攻擊,他們通常隱藏在內(nèi)部”?;ヂ?lián)網(wǎng)是一個開放的體系,基于匿名系統(tǒng)建立,它并不是用來設(shè)計建立一個安全的溝通平臺,這使網(wǎng)絡(luò)上的人們同時面臨著機遇和脆弱性。網(wǎng)絡(luò)犯罪問題是一個全球性的問題,各國政府應該共同合作來戰(zhàn)勝這些邪惡者。
當然,面對網(wǎng)絡(luò)安全威脅,中美兩國的應對有所區(qū)別,國家計算機網(wǎng)絡(luò)應急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春指出,與世界發(fā)達國家相比,中國在網(wǎng)絡(luò)安全保障方面還存在著較大差距。一是美國網(wǎng)絡(luò)安全體系靠的是對安全廠商、技術(shù)機構(gòu)、媒體的有效協(xié)調(diào),從而形成常態(tài)化優(yōu)勢,而國內(nèi)則是每一家安全公司都希望做大而全的完整的產(chǎn)品線;二是在投入方面,中美在網(wǎng)絡(luò)安全方面的投入規(guī)模差距較大,投入結(jié)構(gòu)也有差別,美國更多投入安全服務(wù),而中國更在意安全設(shè)備。
鄔賀銓進一步指出,長期以來,在網(wǎng)絡(luò)安全上,國內(nèi)一度存在管理體制分散、管理力度不夠的問題。此外,在網(wǎng)絡(luò)立法上也存在滯后現(xiàn)象。目前缺乏網(wǎng)絡(luò)相關(guān)的法律,只有一些規(guī)章制度,無法適應網(wǎng)絡(luò)時代的發(fā)展需要。在網(wǎng)絡(luò)技術(shù)方面,核心技術(shù)依然受制于人,提升國家網(wǎng)絡(luò)安全需要在核心技術(shù)層面作出努力。在網(wǎng)絡(luò)安全意識方面,普遍比較淡薄?,F(xiàn)實世界沒有100%的安全可言,提升安全意識,尤其是政府、企業(yè)的網(wǎng)絡(luò)安全意識尤為迫切。
IoT時代,機遇和挑戰(zhàn)并存
未來的互聯(lián)網(wǎng)將是怎么樣的?很多機構(gòu)都對此作過描述。在鄔賀銓看來,萬物互聯(lián)將是未來的趨勢。不僅手機、電腦、電視機等傳統(tǒng)信息化設(shè)備將連入網(wǎng)絡(luò),家用電器和工廠設(shè)備、基礎(chǔ)設(shè)施等也將逐步成為互聯(lián)網(wǎng)的端點。據(jù)預測,到2018年,用戶使用的信息終端將會全面移動化,每個用戶平均擁有1.4臺接入網(wǎng)絡(luò)的移動設(shè)備,38%的用戶將會攜帶個人移動設(shè)備辦公,這將催生海量的移動應用和數(shù)據(jù)。將來移動智能終端的數(shù)量將超過地球人口的總和,其在保持動態(tài)運作時也將產(chǎn)生無法預知的漏洞。
360公司董事長兼CEO周鴻也表達了同樣的觀點,他坦言,IoT(Internet of Things)是一個巨大的機會,對于互聯(lián)網(wǎng)公司來說,可利用IoT技術(shù)把原來很多線上的設(shè)計延展到線下。但IoT更大的機會是對中國傳統(tǒng)產(chǎn)業(yè)特別是傳統(tǒng)制造業(yè)的一個機會,很多傳統(tǒng)企業(yè)不僅僅利用互聯(lián)網(wǎng)來獲取信息、發(fā)布信息和賣東西,也可以利用IoT的技術(shù),讓自己的每個產(chǎn)品都變成具有互聯(lián)網(wǎng)體驗的產(chǎn)品,讓商業(yè)模式變成從一次性買賣的模式變成提供互聯(lián)網(wǎng)服務(wù)的模式。所以,IoT可以幫助很多企業(yè)轉(zhuǎn)型升級,最后所有的企業(yè)都會變成互聯(lián)網(wǎng)企業(yè)。
不過,他同時指出,IoT是時代的機遇,但在信息安全方面也存在重大的隱患。IoT時代所有的設(shè)備都會內(nèi)置智能芯片和操作系統(tǒng),所有東西都會變成智能終端,因此,信息安全將面臨六大挑戰(zhàn)。第一,隨著設(shè)備“接入點”范圍的不斷擴大,可被別人攻擊的點也就越來越多,傳統(tǒng)的邊界防護概念已經(jīng)被改變;第二,所有企業(yè)都面臨著向互聯(lián)網(wǎng)企業(yè)轉(zhuǎn)型和升級,企業(yè)安全一定要提高到一個更重要的優(yōu)先級;第三,隨著IoT技術(shù)的普及、透明人時代的到來,用戶隱私安全更加受到威脅;第四,智能設(shè)備的自動化,引發(fā)更多遠程控制的安全隱患;第五,大數(shù)據(jù)一旦被篡改、污染,其后果損失嚴重;第六,未來當云腦出現(xiàn)以后,一旦機器產(chǎn)生自我意識,將通過萬物互聯(lián)實現(xiàn)設(shè)計、制造和自主行為,人類將面對重大威脅來臨的安全奇點。
互聯(lián)網(wǎng)正在與實體經(jīng)濟進行快速融合,隨著移動終端、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)的快速普及,傳統(tǒng)的網(wǎng)絡(luò)邊界正在消失,傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)正在失靈,網(wǎng)絡(luò)攻擊的后果更加嚴重,這些都將成為IoT時代網(wǎng)絡(luò)安全面臨的新挑戰(zhàn)。
放眼未來,安全防護是一門新的藝術(shù)
為了應對萬物互聯(lián)時代新的網(wǎng)絡(luò)安全挑戰(zhàn),周鴻在大會上隆重提出了大數(shù)據(jù)時代信息安全保護必須遵循的“三原則”,從而為未來的網(wǎng)絡(luò)安全服務(wù)提供了新理論基礎(chǔ):首先,信息是用戶的個人資產(chǎn),只是托管在服務(wù)器上,必須明確用戶對信息數(shù)據(jù)的所有權(quán);其次,對收集到的用戶數(shù)據(jù)進行安全傳輸,安全存儲,是企業(yè)的責任,必須提升安全防護水平;最后,使用用戶的信息,要讓用戶有知情權(quán)選擇權(quán),平等交換、授權(quán)使用。
周鴻表示,未來安全問題不會被徹底解決掉,隨著人們對各種先進技術(shù)的使用越來越多,帶來的安全挑戰(zhàn)也隨之增多,只有在信息安全三原則的基礎(chǔ)上,才能讓大家對下一代互聯(lián)網(wǎng)感覺更放心。只有安全的互聯(lián)網(wǎng)才有美好的互聯(lián)網(wǎng),所以在互聯(lián)網(wǎng)上最重要的就是安全第一。
鄔賀銓也認為,在應對安全威脅時,除了著眼目前的挑戰(zhàn),更應該放眼互聯(lián)網(wǎng)的未來。萬物互聯(lián)規(guī)模前所未有,安全方面的挑戰(zhàn)會更加復雜。我們必須采取更主動、更智能的應對方式來發(fā)現(xiàn)和掃清網(wǎng)絡(luò)威脅,才能造就一個更安全、更健康的新一代互聯(lián)網(wǎng)。
除此之外,云曉春還從人才的角度提出了自己的看法。“我們這些年的實踐發(fā)現(xiàn),你買了一堆網(wǎng)絡(luò)安全設(shè)備放在那里,如果沒有人去跟蹤,沒有人對它升級,最終用不了一年甚至半年就成為一堆沒用的東西。”他透露,這些年來中國培養(yǎng)的網(wǎng)絡(luò)安全人才很少,而這很少的網(wǎng)絡(luò)安全人才,很大一部分跑到了國外頂級公司。與此同時,國內(nèi)培養(yǎng)體系培養(yǎng)出來的人才和實際需求差距也比較大。怎樣使我們培養(yǎng)出來的人才適應我們網(wǎng)絡(luò)安全實踐的需要,怎樣使培養(yǎng)出來的優(yōu)秀人才能夠留在國內(nèi)的保障體系中,為中國的安全服務(wù),這是需要不斷考慮的一個問題。
總之,正如計算機病毒之父弗雷德·科恩話所說:“在信息安全這一領(lǐng)域,這門藝術(shù)也同樣需要源源不斷的實驗調(diào)試。安全防護技術(shù)作為一門新的藝術(shù),天馬行空的幻想輔之不斷的實踐修正,其中的遺漏與盲點才能夠不斷被修復,趨于成熟的信息安全技術(shù)才能成為一件完美的藝術(shù)珍品。享受這件藝術(shù)品也需要更多的人聯(lián)手合作。”