张鹏摄
我国网络安全形势严峻。国家互联网应急中心报告显示,针对我国互联网站的篡改、后门攻击事件数量呈现逐年上升的趋势;最近一次对国内近10家主流手机厂商的全部手机型号的测试表明,这些手机100%存在安全漏洞;再加上缺乏自主可控、安全可信的互联网核心技术,我国网络安全形势雪上加霜。网络安全成为监管部门和互联网厂商最关心的话题。
安全工作不进则退,重发展轻安全的思想亟须转变。在8月27日举行的“2014中国网络安全论坛”上,专家学者和业界精英齐聚一堂,就如何增强网络信息安全保障能力,如何推动完善网络与信息安全的法律法规、技术标准,如何加强基础设施和技术手段体系化建设等话题,大家分享观点,分析形势,展望未来。本报记者会海拈花,撷取精华与读者分享。
工信部通信保障局网络安全处副处长付景广
网络安全工作需从5方面推进
•加强网络基础设施和互联网业务系统安全防护,提升重大突发网络安全事件应急处理能力。
•维护公共互联网网络安全环境,加强新技术新业务网络安全管理和网络安全技术能力建设。
在互联网高速发展的同时,安全始终是人们无法回避的一个重大课题。面对新形势、新要求,网络安全工作不进则退,重发展轻安全的思想还普遍存在。前不久,工信部研究起草了关于加强电信和互联网行业网络安全工作的指导意见,这个意见将于近日指导印发。
一是大力加强网络基础设施和互联网业务系统安全防护。宽带网络域名系统已经成为支撑我国经济社会发展的战略性关键基础设施,承载着各个行业关系国计民生的信息系统。基础设施安全是网络安全的根本,同时商业网站、互联网企业等所拥有的业务系统存储了大量的用户信息和数据,其数据安全、隐私保护的重要性日益凸显。基础电信企业、域名服务机构、互联网企业等,要切实履行网络安全的主体责任,确保保障网络安全的各项制度措施落实到位。
二是着力提升重大突发网络安全事件应急处理能力。网络安全具有高度的攻防对抗特点,难免道高一尺魔高一丈,我们要树立底限思维,做好最坏情况的应急处理。全行业要认真落实工信部公共互联网网络安全应急预案,制定和完善本单位网络安全应急预案,健全大规模拒绝服务攻击、重要域名系统故障、大规模用户信息泄露和重大网络安全事件的应急协同机制,加强应急预案演练,确保应急预案的科学性、实用性、可操作性。
三是积极维护公共互联网网络安全环境。针对黑客地下产业链、移动恶意程序等危害公共安全和用户利益的问题,一方面企业、用户要加强自身的安全防范,另一方面要加强综合治理,遏制攻击威胁源头,建立移动互联网恶意程序监测程序处置机制,健全钓鱼网站的监测与惩治机制。此外还要加强犯罪线索的分析挖掘,积极配合公安机关打击网络违法犯罪,建立健全跨部门、跨行业的联动机制,净化互联网环境,保护用户合法环境。
四是加强新技术、新业务网络安全管理。要加强对云计算、大数据、物联网、移动互联网以及下一代互联网新技术、新业务网络安全的跟踪研究,加快推进相关网络安全标准研制。涉及提供公共电信和互联网服务的基础设施和业务系统,都将纳入工信部网络安全防护管理体系进行监管。
五是强化网络安全技术能力和手段建设。网络安全工作技术性很强,离不开强有力的技术和手段支持。要大力开展网络安全监测预警、漏洞挖掘、代码分析、检测评估和溯源取证技术研究,指导督促企业建立和完善自身网络安全分户技术手段,健全基于木马病毒、移动恶意程序等的监测、分析与处置手段,积极研究利用云计算、大数据等新技术提高网络安全监测预警能力,促进企业技术手段与行业主管部门技术手段对接,制定接口标准规范,实现监测数据共享。
复旦大学国际关系与公共事务学院副教授沈逸
主动树立有形边界会在战略上被动
•防御分为两种:消极防御和积极防御。积极防御取决于能力,而互联网的边界就是能力边界。
•主动树立有形边界,就会在战略上处于被动地位,外部的敌人可以在边界点上,随时发起攻击。
美国政府很少讲安全,有两个原因:第一,对于美国来说国家安全是很特殊的词,在美国贴上国家安全的事情不受法律约束。当一件事情被认为跟国家安全相关,那么这件事情跟法律是没有关系的,所以美国非常谨慎使用这个词。
第二,发展是美国实现安全的手段。美国确保其他国家使用美国的技术,帮助其他国家发展自己的技术,在这种发展的过程中美国获得最大的安全。我个人认为防御分为两种,一种是消极防御,一种是积极防御,这取决于能力。我们中国可能还不具备这种动态的积极防御的能力,但是我们长远发展的愿景是什么还是可以讨论的。
边界有两种边界,第一种是有形的物理边界,第二种是能力边界。在互联网环境当中我认为只有能力边界,在网络空间里表现出来就是你的能力有多强,你的边界就可以伸到哪里去。当你自己主动给自己树立有形边界,你在战略上先天就处于一个被动的态势,这意味着外部的敌人可以在你边界点上,选择任何时间发起攻击。
360公司首席隐私官、首席技术官、副总裁谭晓生
用混合云实现云+端+边界的立体防御
•在未来两三年,漏洞依然是互联网最主要的威胁,传统的安全防御思想在今天遇到了挑战。
•边界防御效果大打折扣,需要云+端+边界立体防御:建立私有云,强化终端和网络的安全。
未来的两三年,漏洞是主要的威胁,依然会呈大规模爆发的趋势。针对漏洞,不管是恶意程序还是远程网络层面的攻击,都会成为系统主要的威胁。
互联网的本质是让信息的流动变得更加方便,在这样四通八达的地方,犯罪分子进来和出去就会比较容易。于是,传统的企业安全防御思想在今天遇到了挑战,边界的防御效果已经大打折扣。在这种情况下,需要云+端+边界的立体防御。我们会强化私有云,在一个企业内部建私有云,应用私有云和公有云的架构。安全即边界,要建立新的安全体系。对于企业来说,首先要解决的是终端的安全,其次是无线网络的安全。防御要基于大数据,通过大数据才能知道历史上发生的数据,什么是正常的,什么是异常的。
在过去一年我们做了尝试,试图把网站的漏洞挖掘出来,告诉网站的制作程序,让他们去改进。但是其实还有另外一种方法,就是云的方法,即把网站外面拦一层,把攻击挡住,对漏洞做检测,帮网站做防护。
国家互联网应急中心工程师何能强
0.3%应用商店决定网络环境好坏
•应用程序的分布呈二八定律模式,绝大多数的App存在于少数的大型及巨型应用商店里。
•对主管部门来讲,治理好占总数0.3%的50家大型热门应用商店,就是治理好80%的应用。
移动互联网的虚拟环境与自然环境是一样的,它有一个生存法则,有一个地上世界和地下世界。在地上世界,有一些大家所熟知的App,它带动了互联网经济的发展。在地下世界,有很多恶意程序来窃取用户的手机信息,窃取用户的账户信息,达到不正当的经济目的,损害了网民的切身利益。
目前移动互联网应用商店的发展有一个不平衡的现象。国内超大型的应用商店有两家,大型应用商店有14家,中型42家,84.39%的移动应用程序存在于大型和超大型的应用商店里面。这里存在一个明显的定律,就是二八定律,84%的移动应用程序存在于0.3%的应用商店里面。对于主管部门来讲,治理好占总数0.3%的50家大型热门应用商店,就是治理好80%的应用。
今年工信部开展了第三方身份认证的试点工作,目标就是加强对移动互联网应用程序开发源头的管理,实现应用程序的防篡改,保护用户和原始开发商的合法权益。同时对应用商店、手机安全软件和手机终端进行验证和标识,提出统一的规范。目前这项工作正在如火如荼地开展中,有一些应用商店已经能够支持开发商的标识。
移动互联网黑名单的保护方式出现了明显的局限性,白名单需求日益增加。因此我们发起了互联网应用白名单的工作,倡导开发商提交白应用,并引导用户下载,建立良性的生态环境。
腾讯高级副总裁丁珂
大数据已成黑客攻击主要目标
•在大数据时代,并非所有的企业都能像三大运营商一样自己建立数据中心,来存放大数据。
•数据的爆炸式发展,迫使中小型企业将数据放到云侧,云端的海量数据需要专业的安全维护。
互联网的数据每年增长50%,而且90%的数据是最近一两年产生的。这个数据的产生,把大家的服务模式全压到了云侧,因为不可能所有的企业都能像三大运营商那样有实力买地、买服务器、建数据中心,来存放大数据。趋势就是中小企业将数据全放到云侧,形成了云托管商。这么多的数据需要有专业人士来维护,需要有专业的地方去存放。但是因为政府在对行业管理的过程中,对于类似从业资质的问题有特殊的规定,这对能做云托管、能做云计算的企业来说就有了门槛。
对于如何发展安全产业,如何维护网络安全,整个学术界形成两派。一派说要像美国一样,政府对安全不要投入太多。这无非需要做到三点:第一是合规,做事透明;第二是有商业空间,商业扶持有可持续性;第三是有重点方向,哪里有能力,哪个能力更强,机制就往哪个方向设立。另一派观点是加强管控,让国有资本购买有能力的中小企业。其实未来的发展,必然有一种更组合的方式来完成。
大数据已经成为黑客攻击的主要目标。现在的安全技术在大数据时代分为三大核心部分,第一个核心技术是寻找和补漏洞,这在以前也存在;第二个核心技术是大数据环境下的攻击与防御,黑客界为了训练黑客的这种攻防技术,已经做出了一套完整的像培养军人一样的机制,中国军方也在用这种方法做同样的事情;第三个核心技术是主动扫描,如果手里有漏洞,就去扫所有的网站,看哪个网站存在这些漏洞,通过扫描可以快速比对和获取互联网用户的个人信息和行为信息,例如住过的酒店、QQ号、微信号等。而前不久美国指控中国军方5名军人窃取美方机密数据,就是运用了大数据技术锁定了他们,我们输在了数据太散、数据引导不够规范等方面。
互联网实验室、博客中国、全球网创始人董事长方兴东
中国最大的挑战来自互联网治理
•随着中国互联网行业的飞速发展,国际互联网必然会从以美国为中心转到以中国为中心。
•未来中国互联网业在多方面均会有比较大的突破,但对网络空间的治理能力方面仍面临挑战。
在20年前,美国网民占全球网民总数的2/3,而现在却不到10%。10年以后,美国网民的占比大概会不到5%,而中国网民占全球网民总数的比重会超过20%。互联网必然会从以美国为中心转变为以中国为中心。中国互联网需要全球化,中国互联网公司一定要开始布局全球化。中国的互联网公司应该有一个更大的胸怀,学会低调、谦让和推让。中国应该把1/3的市场让给美国和欧洲的互联网公司,这样才能顺利进入到人家的市场里。
过去的互联网是美国在主导全球发展,30亿网民主要来自于发达国家;下一个30亿网民将主要来自于发展中国家,网民基本上是低收入、低教育水平、居住在五六线城市和农村地区的人群。在这个过程中,天平自然会向中国倾斜。要想了解下一个10年的发展就一定要到农村去。
目前中国互联网产业竞争力在下一个10年是非常乐观的,我们最大的短板芯片和操作系统,在未来3~5年一定会有比较大的突破。网络空间的威慑能力、攻防能力,随着产业发展和人才队伍的壮大,也会大幅提升。可能最大的挑战来自对整个网络空间的治理能力。中国应该把问题研究透,接受全球互联网治理的概念,但是要抵制美国以退为进的治理概念。中国应该全力帮助联合国拿回互联网治理权,中国自己的诉求应该淡化。我们要学习美国政府,要在互联网治理里面看不到政府的手。
在网络强国的下一个10年里,我们第一阶段是补课,第二阶段是建立防御,第三阶段就是进入体系防御,能够跟美国博弈。在这个过程中我们最大的挑战就是中国互联网的治理能力,包括国内互联网的治理,以及参与全球互联网的治理。我们要有全球的视野,以美国作为参照系,下一个10年里唯一防范的就是自己不要犯战略性错误。
