后勒索病毒時代誰來守衛(wèi)祖國第五疆域
發(fā)布時間:2018-01-16進入21世紀第18個年頭,,現(xiàn)代社會已經(jīng)沒有誰可以輕易離開網(wǎng)絡,如同百萬年前人類祖先對空氣,、陽光和水的感受那樣,,盡管這些東西往往以一種悄無聲息的狀態(tài)存在,卻有著近乎生命本身一般的分量,。不過,,就像后者常常會面臨空氣污染、水污染等安全事件,,藏匿于我們之間的網(wǎng)絡世界,,同樣危機四伏、暗流涌動,。
新年伊始,,網(wǎng)絡安全事件便接連“爆發(fā)”,首當其沖的是全球最為知名的半導體制造巨頭英特爾,,這個給全球提供電腦芯片的公司被曝出芯片存在設計漏洞,,隨后英特爾對外稱將建立新的網(wǎng)絡安全部門,該事件還被一些業(yè)內專家稱為“計算機史上最大安全事件”,;隨后,,美國一網(wǎng)絡安全公司發(fā)布聲明稱,將于下月舉行的韓國平昌冬奧會被黑客“盯上了”,,有黑客曾試圖竊取平昌冬奧會的敏感數(shù)據(jù),。
而類似事件,早已不是第一次發(fā)生,。2017年5月,,那場肆虐全球的勒索病毒事件至今令人心悸——一款名為“WannaCry”的勒索病毒一天橫掃150多個國家。該事件也成為一個轉折點,,網(wǎng)絡攻擊對關鍵基礎設施的破壞,,讓所謂的普通網(wǎng)民從“圍觀者”淪為“受害者”,而如果將攻擊的主體看作一個個國家,,這種危害性更是不言而喻,。在后勒索病毒時代,面對網(wǎng)絡安全這個新戰(zhàn)場,,該如何守衛(wèi),,又將由誰守衛(wèi),,成了一個新命題。
正如中國科學院信息工程研究所所長,、中國科學院大學網(wǎng)絡空間安全學院院長孟丹所說,,“網(wǎng)絡空間已成為繼陸、海,、空,、天之外的第五疆域,相應的信息技術已經(jīng)滲透到物理世界,、人類社會各個方面,,而信息技術滲透到哪里,安全的問題就出現(xiàn)在哪里,!”在前不久舉行的全國高校網(wǎng)絡安全聯(lián)賽網(wǎng)絡安全人才培養(yǎng)與產業(yè)發(fā)展高峰論壇上,,他說,目前來看,,網(wǎng)絡安全形勢十分嚴峻,,相應的人才培養(yǎng)缺口非常大。
過時的封堵查殺“老三樣”VS沒有真正“刀槍不入”的安全,?
在勒索病毒事件中,,最讓人驚訝的,莫過于該病毒的源頭竟是美國官方針對Windows等系統(tǒng)自行研發(fā)的黑客武器,。這再次讓人們意識到,,再強大的網(wǎng)絡防護體系都有被攻破的可能。
中國工程院院士,、海軍計算技術研究所高級工程師沈昌祥就持這種觀點,。在論壇上,他說自己曾試著從邏輯上證明“軟件無BUG”,,結果發(fā)現(xiàn)這個證明是偽命題,,“世界上沒有無BUG的軟件,跟人體一樣,,有缺陷并發(fā)生病變是避免不了的”,。
他認為,不可能存在銅墻鐵壁,、刀槍不入的安全之地,,即使設計再精巧,結構再復雜,,無一例外都會有漏洞,。
網(wǎng)絡安全領域的一項研究顯示,程序員每寫1000行代碼,就會出現(xiàn)1到6個缺陷或錯誤,,而這1到6個缺陷就有可能產生漏洞,,如果這些漏洞是不可能避免的話,那么“被攻擊”就有可能發(fā)生。
在2015年中國互聯(lián)網(wǎng)安全大會上,美國首任網(wǎng)軍司令亞歷山大的一番話震動不少人:世界上只有兩種系統(tǒng),,一種是已知被攻破的系統(tǒng),,一種是已經(jīng)被攻破但自己還不知道的系統(tǒng)。這意味著,,在攻擊者面前,,沒有任何安全的系統(tǒng)。
現(xiàn)實中不乏案例佐證:2010年,,伊朗核設施遭遇來自國外的“震網(wǎng)”病毒攻擊,,直接導致該國核設施1000多臺離心機癱瘓,而這可是該國國防軍守衛(wèi)的機密目標,;2014年,,韓國兩座核電站的內部文件遭到黑客“泄露”,這其中包括核電站近萬名員工的個人信息,、核電站程序運行說明,、空調和冷卻系統(tǒng)設計圖、閥門設計圖,,等等,。
不過,這并不意味著人們對待網(wǎng)絡攻擊就束手無策了,。沈昌祥說,,過去人們往往通過防火墻、殺病毒和找漏洞等“老三樣”的手段,,希望把網(wǎng)絡威脅“擋”在門外,,讓所保護的對象免受攻擊風險。但在他看來,,信息安全問題是由設計缺陷而引起的,,消極被動的“封堵查殺”是防不勝防的,這就好比,,沒有免疫系統(tǒng)的孩子只能生活在無菌的狀態(tài)下,,不停地殺病毒。說到底,,從一出生就沒有免疫系統(tǒng),,這是問題的關鍵。
他開出的藥方是采用“安全可信”的免疫計算方法和計算體系結構,,給中國的網(wǎng)絡安全“造”屬于自己的“免疫系統(tǒng)”,。
在2013年,,沈昌祥就和倪光南等25名院士經(jīng)過調研,給國家領導人寫了一封關于國家網(wǎng)絡安全和自主創(chuàng)新的建議信,,其中就提到“可信計算”這個詞,。所謂“可信計算”,是一種運算和防護并存的主動免疫的新計算模式,,具有身份識別,、狀態(tài)度量、保密存儲等功能,,可及時識別“自己”和“非己”成分,,從而破壞與排斥進入機體的有害物質——相當于人類的免疫系統(tǒng)。
時隔3年,,我國出臺了《網(wǎng)絡安全法》,,其中就提到要推廣“安全可信”的網(wǎng)絡產品和服務。如今,,沈昌祥所推崇的可信計算正在構筑我國網(wǎng)絡安全防線,,他希望看到的最終效果是——
攻擊者進不去,非授權者的重要信息拿不到,,竊取的保密信息看不懂,,系統(tǒng)和信息改不了,攻擊行為賴不掉,?!昂诎盗α俊薄罢鹁W(wǎng)”“火焰”“Wannacry”等不查殺而自滅。
網(wǎng)絡安全說到底是人與人的對抗VS網(wǎng)絡安全人才缺口巨大
這也是國際IT巨頭一個共同努力的方向,。以微軟為例,,該公司在2002年即啟動了可信計算計劃,并先后在Vista,、Win 8,、Win 10中捆綁銷售。在沈昌祥看來,,這是一個“極大的威脅”,,他說,中國可信計算產業(yè)可能將失去進入市場的機會,,將嚴重威脅中國的網(wǎng)絡安全,。
美國陸軍一份長達35頁的《2016-2045年新興科技趨勢報告》顯示,有20項最值得關注的科技發(fā)展趨勢,,而在20項趨勢技術中,,有11項和信息技術有關,更為重要的是,這11項技術每一項都談到了安全問題,。在網(wǎng)絡安全上的投入研發(fā)似已成共識,,而背后比拼的,就是人才培養(yǎng)的速度,。
正如孟丹所說,,網(wǎng)絡空間里所有的攻防,說到底是人和人的攻防,,至于機器,、系統(tǒng)、體系起到的,、更多是輔助提高效率和水平。
從目前來看,,我國這方面的人才儲備卻不容樂觀,。這次論壇上披露了兩組對比鮮明的數(shù)據(jù)——
一組數(shù)據(jù)來自中國信息通信研究院《網(wǎng)絡安全產業(yè)白皮書(2017)》,其中提到中國有超過30家年度營收過億元的網(wǎng)絡安全企業(yè),,其中不乏具有產業(yè)整合能力的龍頭企業(yè),。近年來,中國的網(wǎng)絡安全行業(yè)市場規(guī)模逐年擴大,,預計2017年網(wǎng)絡安全產業(yè)規(guī)模將達457.13億元,。
另一組數(shù)據(jù)則表明,當前國內信息系統(tǒng)和信息基礎設施等重要行業(yè)網(wǎng)絡安全人才需求達70萬人,,至2020年將增加到140萬人,,并且需求量預計將以每年1.5萬人的速度遞增,而目前高校每年培養(yǎng)的網(wǎng)絡安全相關專業(yè)人員不到1萬人,。
中央網(wǎng)信辦網(wǎng)絡安全協(xié)調局副局長胡嘯也提到,,2015年,我國專門設立了網(wǎng)絡空間安全一級學科,,在29所高校里設置了多個試點,,盡管如此,我國的網(wǎng)絡安全人才匱乏情況仍沒有得到根本改變,。
在這次論壇上,,他還專門提到全國人大此前組織的一次調研,調研樣本超過1萬個,,結果顯示有69%的調研對象認為本單位和周邊熟悉網(wǎng)絡安全技術的人才不多,,而有21.6%的人認為自己單位和周邊沒有熟悉網(wǎng)絡安全技術的人員。胡嘯說:“這從另一方面反映了我國網(wǎng)絡安全人才培養(yǎng)工作急需加強,?!?/span>
中國科學院院士、深圳大學計算機與軟件學院院長陳國良說,我國網(wǎng)絡安全學科建設才剛起步,,任重而道遠,。他還表示,目前國內網(wǎng)絡安全人才培養(yǎng)存在師資隊伍不強,,缺乏高層次專業(yè)教師,;教材體系不完善,專業(yè)教材良莠不齊,;實踐教學環(huán)節(jié)缺乏系統(tǒng)性,,理論教學與實際脫節(jié)等問題。
這也是與會專家推崇全國高校網(wǎng)絡安全聯(lián)賽的一個重要原因,?!熬W(wǎng)絡空間安全是一個實戰(zhàn)型非常強的學科,通過實戰(zhàn)鍛煉技術能力才是網(wǎng)絡安全人才的有效培養(yǎng)手段,?!敝袊茖W院重大科技任務局副局長戴博偉說。
當然,,網(wǎng)絡安全既需要進攻型人才,,也需要防守型人才。前者更加需要逆向思維與突破創(chuàng)新能力,,后者則強調責任心和快速學習能力,。在中國工程院院士、中國網(wǎng)絡空間安全協(xié)會理事長方濱興看來,,相比之下后者可能更難,,因為網(wǎng)絡安全存在“攻易防難非對稱性”。
他說,,作為攻擊者,,他失敗99次,只要有一次成功就是成功了,,但是作為防御者,,即便之前成功99次,但后來失敗了一次,,結局就是失敗了,。這就是所謂防御和攻擊不對稱,這種復雜性也從某種程度折射出網(wǎng)絡安全人才培養(yǎng)之不易,。(來源:中國青年報)
