張鵬攝
我國網絡安全形勢嚴峻。國家互聯網應急中心報告顯示,針對我國互聯網站的篡改、后門攻擊事件數量呈現逐年上升的趨勢;最近一次對國內近10家主流手機廠商的全部手機型號的測試表明,這些手機100%存在安全漏洞;再加上缺乏自主可控、安全可信的互聯網核心技術,我國網絡安全形勢雪上加霜。網絡安全成為監管部門和互聯網廠商最關心的話題。
安全工作不進則退,重發展輕安全的思想亟須轉變。在8月27日舉行的“2014中國網絡安全論壇”上,專家學者和業界精英齊聚一堂,就如何增強網絡信息安全保障能力,如何推動完善網絡與信息安全的法律法規、技術標準,如何加強基礎設施和技術手段體系化建設等話題,大家分享觀點,分析形勢,展望未來。本報記者會海拈花,擷取精華與讀者分享。
工信部通信保障局網絡安全處副處長付景廣
網絡安全工作需從5方面推進
•加強網絡基礎設施和互聯網業務系統安全防護,提升重大突發網絡安全事件應急處理能力。
•維護公共互聯網網絡安全環境,加強新技術新業務網絡安全管理和網絡安全技術能力建設。
在互聯網高速發展的同時,安全始終是人們無法回避的一個重大課題。面對新形勢、新要求,網絡安全工作不進則退,重發展輕安全的思想還普遍存在。前不久,工信部研究起草了關于加強電信和互聯網行業網絡安全工作的指導意見,這個意見將于近日指導印發。
一是大力加強網絡基礎設施和互聯網業務系統安全防護。寬帶網絡域名系統已經成為支撐我國經濟社會發展的戰略性關鍵基礎設施,承載著各個行業關系國計民生的信息系統。基礎設施安全是網絡安全的根本,同時商業網站、互聯網企業等所擁有的業務系統存儲了大量的用戶信息和數據,其數據安全、隱私保護的重要性日益凸顯。基礎電信企業、域名服務機構、互聯網企業等,要切實履行網絡安全的主體責任,確保保障網絡安全的各項制度措施落實到位。
二是著力提升重大突發網絡安全事件應急處理能力。網絡安全具有高度的攻防對抗特點,難免道高一尺魔高一丈,我們要樹立底限思維,做好最壞情況的應急處理。全行業要認真落實工信部公共互聯網網絡安全應急預案,制定和完善本單位網絡安全應急預案,健全大規模拒絕服務攻擊、重要域名系統故障、大規模用戶信息泄露和重大網絡安全事件的應急協同機制,加強應急預案演練,確保應急預案的科學性、實用性、可操作性。
三是積極維護公共互聯網網絡安全環境。針對黑客地下產業鏈、移動惡意程序等危害公共安全和用戶利益的問題,一方面企業、用戶要加強自身的安全防范,另一方面要加強綜合治理,遏制攻擊威脅源頭,建立移動互聯網惡意程序監測程序處置機制,健全釣魚網站的監測與懲治機制。此外還要加強犯罪線索的分析挖掘,積極配合公安機關打擊網絡違法犯罪,建立健全跨部門、跨行業的聯動機制,凈化互聯網環境,保護用戶合法環境。
四是加強新技術、新業務網絡安全管理。要加強對云計算、大數據、物聯網、移動互聯網以及下一代互聯網新技術、新業務網絡安全的跟蹤研究,加快推進相關網絡安全標準研制。涉及提供公共電信和互聯網服務的基礎設施和業務系統,都將納入工信部網絡安全防護管理體系進行監管。
五是強化網絡安全技術能力和手段建設。網絡安全工作技術性很強,離不開強有力的技術和手段支持。要大力開展網絡安全監測預警、漏洞挖掘、代碼分析、檢測評估和溯源取證技術研究,指導督促企業建立和完善自身網絡安全分戶技術手段,健全基于木馬病毒、移動惡意程序等的監測、分析與處置手段,積極研究利用云計算、大數據等新技術提高網絡安全監測預警能力,促進企業技術手段與行業主管部門技術手段對接,制定接口標準規范,實現監測數據共享。
復旦大學國際關系與公共事務學院副教授沈逸
主動樹立有形邊界會在戰略上被動
•防御分為兩種:消極防御和積極防御。積極防御取決于能力,而互聯網的邊界就是能力邊界。
•主動樹立有形邊界,就會在戰略上處于被動地位,外部的敵人可以在邊界點上,隨時發起攻擊。
美國政府很少講安全,有兩個原因:第一,對于美國來說國家安全是很特殊的詞,在美國貼上國家安全的事情不受法律約束。當一件事情被認為跟國家安全相關,那么這件事情跟法律是沒有關系的,所以美國非常謹慎使用這個詞。
第二,發展是美國實現安全的手段。美國確保其他國家使用美國的技術,幫助其他國家發展自己的技術,在這種發展的過程中美國獲得最大的安全。我個人認為防御分為兩種,一種是消極防御,一種是積極防御,這取決于能力。我們中國可能還不具備這種動態的積極防御的能力,但是我們長遠發展的愿景是什么還是可以討論的。
邊界有兩種邊界,第一種是有形的物理邊界,第二種是能力邊界。在互聯網環境當中我認為只有能力邊界,在網絡空間里表現出來就是你的能力有多強,你的邊界就可以伸到哪里去。當你自己主動給自己樹立有形邊界,你在戰略上先天就處于一個被動的態勢,這意味著外部的敵人可以在你邊界點上,選擇任何時間發起攻擊。
360公司首席隱私官、首席技術官、副總裁譚曉生
用混合云實現云+端+邊界的立體防御
•在未來兩三年,漏洞依然是互聯網最主要的威脅,傳統的安全防御思想在今天遇到了挑戰。
•邊界防御效果大打折扣,需要云+端+邊界立體防御:建立私有云,強化終端和網絡的安全。
未來的兩三年,漏洞是主要的威脅,依然會呈大規模爆發的趨勢。針對漏洞,不管是惡意程序還是遠程網絡層面的攻擊,都會成為系統主要的威脅。
互聯網的本質是讓信息的流動變得更加方便,在這樣四通八達的地方,犯罪分子進來和出去就會比較容易。于是,傳統的企業安全防御思想在今天遇到了挑戰,邊界的防御效果已經大打折扣。在這種情況下,需要云+端+邊界的立體防御。我們會強化私有云,在一個企業內部建私有云,應用私有云和公有云的架構。安全即邊界,要建立新的安全體系。對于企業來說,首先要解決的是終端的安全,其次是無線網絡的安全。防御要基于大數據,通過大數據才能知道歷史上發生的數據,什么是正常的,什么是異常的。
在過去一年我們做了嘗試,試圖把網站的漏洞挖掘出來,告訴網站的制作程序,讓他們去改進。但是其實還有另外一種方法,就是云的方法,即把網站外面攔一層,把攻擊擋住,對漏洞做檢測,幫網站做防護。
國家互聯網應急中心工程師何能強
0.3%應用商店決定網絡環境好壞
•應用程序的分布呈二八定律模式,絕大多數的App存在于少數的大型及巨型應用商店里。
•對主管部門來講,治理好占總數0.3%的50家大型熱門應用商店,就是治理好80%的應用。
移動互聯網的虛擬環境與自然環境是一樣的,它有一個生存法則,有一個地上世界和地下世界。在地上世界,有一些大家所熟知的App,它帶動了互聯網經濟的發展。在地下世界,有很多惡意程序來竊取用戶的手機信息,竊取用戶的賬戶信息,達到不正當的經濟目的,損害了網民的切身利益。
目前移動互聯網應用商店的發展有一個不平衡的現象。國內超大型的應用商店有兩家,大型應用商店有14家,中型42家,84.39%的移動應用程序存在于大型和超大型的應用商店里面。這里存在一個明顯的定律,就是二八定律,84%的移動應用程序存在于0.3%的應用商店里面。對于主管部門來講,治理好占總數0.3%的50家大型熱門應用商店,就是治理好80%的應用。
今年工信部開展了第三方身份認證的試點工作,目標就是加強對移動互聯網應用程序開發源頭的管理,實現應用程序的防篡改,保護用戶和原始開發商的合法權益。同時對應用商店、手機安全軟件和手機終端進行驗證和標識,提出統一的規范。目前這項工作正在如火如荼地開展中,有一些應用商店已經能夠支持開發商的標識。
移動互聯網黑名單的保護方式出現了明顯的局限性,白名單需求日益增加。因此我們發起了互聯網應用白名單的工作,倡導開發商提交白應用,并引導用戶下載,建立良性的生態環境。
騰訊高級副總裁丁珂
大數據已成黑客攻擊主要目標
•在大數據時代,并非所有的企業都能像三大運營商一樣自己建立數據中心,來存放大數據。
•數據的爆炸式發展,迫使中小型企業將數據放到云側,云端的海量數據需要專業的安全維護。
互聯網的數據每年增長50%,而且90%的數據是最近一兩年產生的。這個數據的產生,把大家的服務模式全壓到了云側,因為不可能所有的企業都能像三大運營商那樣有實力買地、買服務器、建數據中心,來存放大數據。趨勢就是中小企業將數據全放到云側,形成了云托管商。這么多的數據需要有專業人士來維護,需要有專業的地方去存放。但是因為政府在對行業管理的過程中,對于類似從業資質的問題有特殊的規定,這對能做云托管、能做云計算的企業來說就有了門檻。
對于如何發展安全產業,如何維護網絡安全,整個學術界形成兩派。一派說要像美國一樣,政府對安全不要投入太多。這無非需要做到三點:第一是合規,做事透明;第二是有商業空間,商業扶持有可持續性;第三是有重點方向,哪里有能力,哪個能力更強,機制就往哪個方向設立。另一派觀點是加強管控,讓國有資本購買有能力的中小企業。其實未來的發展,必然有一種更組合的方式來完成。
大數據已經成為黑客攻擊的主要目標。現在的安全技術在大數據時代分為三大核心部分,第一個核心技術是尋找和補漏洞,這在以前也存在;第二個核心技術是大數據環境下的攻擊與防御,黑客界為了訓練黑客的這種攻防技術,已經做出了一套完整的像培養軍人一樣的機制,中國軍方也在用這種方法做同樣的事情;第三個核心技術是主動掃描,如果手里有漏洞,就去掃所有的網站,看哪個網站存在這些漏洞,通過掃描可以快速比對和獲取互聯網用戶的個人信息和行為信息,例如住過的酒店、QQ號、微信號等。而前不久美國指控中國軍方5名軍人竊取美方機密數據,就是運用了大數據技術鎖定了他們,我們輸在了數據太散、數據引導不夠規范等方面。
互聯網實驗室、博客中國、全球網創始人董事長方興東
中國最大的挑戰來自互聯網治理
•隨著中國互聯網行業的飛速發展,國際互聯網必然會從以美國為中心轉到以中國為中心。
•未來中國互聯網業在多方面均會有比較大的突破,但對網絡空間的治理能力方面仍面臨挑戰。
在20年前,美國網民占全球網民總數的2/3,而現在卻不到10%。10年以后,美國網民的占比大概會不到5%,而中國網民占全球網民總數的比重會超過20%。互聯網必然會從以美國為中心轉變為以中國為中心。中國互聯網需要全球化,中國互聯網公司一定要開始布局全球化。中國的互聯網公司應該有一個更大的胸懷,學會低調、謙讓和推讓。中國應該把1/3的市場讓給美國和歐洲的互聯網公司,這樣才能順利進入到人家的市場里。
過去的互聯網是美國在主導全球發展,30億網民主要來自于發達國家;下一個30億網民將主要來自于發展中國家,網民基本上是低收入、低教育水平、居住在五六線城市和農村地區的人群。在這個過程中,天平自然會向中國傾斜。要想了解下一個10年的發展就一定要到農村去。
目前中國互聯網產業競爭力在下一個10年是非常樂觀的,我們最大的短板芯片和操作系統,在未來3~5年一定會有比較大的突破。網絡空間的威懾能力、攻防能力,隨著產業發展和人才隊伍的壯大,也會大幅提升。可能最大的挑戰來自對整個網絡空間的治理能力。中國應該把問題研究透,接受全球互聯網治理的概念,但是要抵制美國以退為進的治理概念。中國應該全力幫助聯合國拿回互聯網治理權,中國自己的訴求應該淡化。我們要學習美國政府,要在互聯網治理里面看不到政府的手。
在網絡強國的下一個10年里,我們第一階段是補課,第二階段是建立防御,第三階段就是進入體系防御,能夠跟美國博弈。在這個過程中我們最大的挑戰就是中國互聯網的治理能力,包括國內互聯網的治理,以及參與全球互聯網的治理。我們要有全球的視野,以美國作為參照系,下一個10年里唯一防范的就是自己不要犯戰略性錯誤。
