新年伊始網(wǎng)絡(luò)安全事件接連“爆發(fā)”——后勒索病毒時代誰來守衛(wèi)祖國第五疆域
進(jìn)入21世紀(jì)第18個年頭���,現(xiàn)代社會已經(jīng)沒有誰可以輕易離開網(wǎng)絡(luò),如同百萬年前人類祖先對空氣���、陽光和水的感受那樣,盡管這些東西往往以一種悄無聲息的狀態(tài)存在��,卻有著近乎生命本身一般的分量�。不過,就像后者常常會面臨空氣污染��、水污染等安全事件�,藏匿于我們之間的網(wǎng)絡(luò)世界,同樣危機(jī)四伏�、暗流涌動。
新年伊始��,網(wǎng)絡(luò)安全事件便接連“爆發(fā)”��,首當(dāng)其沖的是全球最為知名的半導(dǎo)體制造巨頭英特爾���,這個給全球提供電腦芯片的公司被曝出芯片存在設(shè)計漏洞����,隨后英特爾對外稱將建立新的網(wǎng)絡(luò)安全部門����,該事件還被一些業(yè)內(nèi)專家稱為“計算機(jī)史上最大安全事件”�����;隨后�����,美國一網(wǎng)絡(luò)安全公司發(fā)布聲明稱����,將于下月舉行的韓國平昌冬奧會被黑客“盯上了”����,有黑客曾試圖竊取平昌冬奧會的敏感數(shù)據(jù)。
而類似事件�����,早已不是第一次發(fā)生����。2017年5月,那場肆虐全球的勒索病毒事件至今令人心悸——一款名為“WannaCry”的勒索病毒一天橫掃150多個國家����。該事件也成為一個轉(zhuǎn)折點����,網(wǎng)絡(luò)攻擊對關(guān)鍵基礎(chǔ)設(shè)施的破壞��,讓所謂的普通網(wǎng)民從“圍觀者”淪為“受害者”��,而如果將攻擊的主體看作一個個國家�����,這種危害性更是不言而喻���。在后勒索病毒時代,面對網(wǎng)絡(luò)安全這個新戰(zhàn)場�����,該如何守衛(wèi)���,又將由誰守衛(wèi)���,成了一個新命題。
正如中國科學(xué)院信息工程研究所所長、中國科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院院長孟丹所說����,“網(wǎng)絡(luò)空間已成為繼陸、海���、空����、天之外的第五疆域���,相應(yīng)的信息技術(shù)已經(jīng)滲透到物理世界��、人類社會各個方面���,而信息技術(shù)滲透到哪里,安全的問題就出現(xiàn)在哪里�!”在前不久舉行的全國高校網(wǎng)絡(luò)安全聯(lián)賽網(wǎng)絡(luò)安全人才培養(yǎng)與產(chǎn)業(yè)發(fā)展高峰論壇上,他說����,目前來看,網(wǎng)絡(luò)安全形勢十分嚴(yán)峻����,相應(yīng)的人才培養(yǎng)缺口非常大�。
過時的封堵查殺“老三樣”VS沒有真正“刀槍不入”的安全�?
在勒索病毒事件中,最讓人驚訝的����,莫過于該病毒的源頭竟是美國官方針對Windows等系統(tǒng)自行研發(fā)的黑客武器。這再次讓人們意識到�����,再強(qiáng)大的網(wǎng)絡(luò)防護(hù)體系都有被攻破的可能�����。
中國工程院院士���、海軍計算技術(shù)研究所高級工程師沈昌祥就持這種觀點。在論壇上�,他說自己曾試著從邏輯上證明“軟件無BUG”,結(jié)果發(fā)現(xiàn)這個證明是偽命題����,“世界上沒有無BUG的軟件�,跟人體一樣��,有缺陷并發(fā)生病變是避免不了的”��。
他認(rèn)為�����,不可能存在銅墻鐵壁�、刀槍不入的安全之地,即使設(shè)計再精巧���,結(jié)構(gòu)再復(fù)雜����,無一例外都會有漏洞��。
網(wǎng)絡(luò)安全領(lǐng)域的一項研究顯示���,程序員每寫1000行代碼�����,就會出現(xiàn)1到6個缺陷或錯誤����,而這1到6個缺陷就有可能產(chǎn)生漏洞,如果這些漏洞是不可能避免的話�����,那么“被攻擊”就有可能發(fā)生���。
在2015年中國互聯(lián)網(wǎng)安全大會上���,美國首任網(wǎng)軍司令亞歷山大的一番話震動不少人:世界上只有兩種系統(tǒng),一種是已知被攻破的系統(tǒng)��,一種是已經(jīng)被攻破但自己還不知道的系統(tǒng)���。這意味著,在攻擊者面前�����,沒有任何安全的系統(tǒng)����。
現(xiàn)實中不乏案例佐證:2010年����,伊朗核設(shè)施遭遇來自國外的“震網(wǎng)”病毒攻擊����,直接導(dǎo)致該國核設(shè)施1000多臺離心機(jī)癱瘓,而這可是該國國防軍守衛(wèi)的機(jī)密目標(biāo)��;2014年�,韓國兩座核電站的內(nèi)部文件遭到黑客“泄露”,這其中包括核電站近萬名員工的個人信息���、核電站程序運行說明����、空調(diào)和冷卻系統(tǒng)設(shè)計圖����、閥門設(shè)計圖,等等�����。
不過��,這并不意味著人們對待網(wǎng)絡(luò)攻擊就束手無策了。沈昌祥說����,過去人們往往通過防火墻、殺病毒和找漏洞等“老三樣”的手段�����,希望把網(wǎng)絡(luò)威脅“擋”在門外��,讓所保護(hù)的對象免受攻擊風(fēng)險����。但在他看來,信息安全問題是由設(shè)計缺陷而引起的���,消極被動的“封堵查殺”是防不勝防的�����,這就好比,沒有免疫系統(tǒng)的孩子只能生活在無菌的狀態(tài)下���,不停地殺病毒�。說到底,從一出生就沒有免疫系統(tǒng)�����,這是問題的關(guān)鍵���。
他開出的藥方是采用“安全可信”的免疫計算方法和計算體系結(jié)構(gòu)��,給中國的網(wǎng)絡(luò)安全“造”屬于自己的“免疫系統(tǒng)”���。
在2013年,沈昌祥就和倪光南等25名院士經(jīng)過調(diào)研���,給國家領(lǐng)導(dǎo)人寫了一封關(guān)于國家網(wǎng)絡(luò)安全和自主創(chuàng)新的建議信�����,其中就提到“可信計算”這個詞�。所謂“可信計算”���,是一種運算和防護(hù)并存的主動免疫的新計算模式����,具有身份識別、狀態(tài)度量��、保密存儲等功能�,可及時識別“自己”和“非己”成分,從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)——相當(dāng)于人類的免疫系統(tǒng)��。
時隔3年�,我國出臺了《網(wǎng)絡(luò)安全法》,其中就提到要推廣“安全可信”的網(wǎng)絡(luò)產(chǎn)品和服務(wù)���。如今�����,沈昌祥所推崇的可信計算正在構(gòu)筑我國網(wǎng)絡(luò)安全防線����,他希望看到的最終效果是——
攻擊者進(jìn)不去���,非授權(quán)者的重要信息拿不到���,竊取的保密信息看不懂,系統(tǒng)和信息改不了����,攻擊行為賴不掉�!昂诎盗α俊薄罢鹁W(wǎng)”“火焰”“Wannacry”等不查殺而自滅。
網(wǎng)絡(luò)安全說到底是人與人的對抗VS網(wǎng)絡(luò)安全人才缺口巨大
這也是國際IT巨頭一個共同努力的方向�����。以微軟為例����,該公司在2002年即啟動了可信計算計劃,并先后在Vista����、Win 8、Win 10中捆綁銷售�。在沈昌祥看來,這是一個“極大的威脅”���,他說���,中國可信計算產(chǎn)業(yè)可能將失去進(jìn)入市場的機(jī)會���,將嚴(yán)重威脅中國的網(wǎng)絡(luò)安全。
美國陸軍一份長達(dá)35頁的《2016-2045年新興科技趨勢報告》顯示�����,有20項最值得關(guān)注的科技發(fā)展趨勢���,而在20項趨勢技術(shù)中���,有11項和信息技術(shù)有關(guān),更為重要的是����,這11項技術(shù)每一項都談到了安全問題。在網(wǎng)絡(luò)安全上的投入研發(fā)似已成共識�����,而背后比拼的���,就是人才培養(yǎng)的速度�。
正如孟丹所說����,網(wǎng)絡(luò)空間里所有的攻防���,說到底是人和人的攻防��,至于機(jī)器����、系統(tǒng)、體系起到的�、更多是輔助提高效率和水平。
從目前來看�,我國這方面的人才儲備卻不容樂觀。這次論壇上披露了兩組對比鮮明的數(shù)據(jù)——
一組數(shù)據(jù)來自中國信息通信研究院《網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書(2017)》���,其中提到中國有超過30家年度營收過億元的網(wǎng)絡(luò)安全企業(yè)�����,其中不乏具有產(chǎn)業(yè)整合能力的龍頭企業(yè)����。近年來���,中國的網(wǎng)絡(luò)安全行業(yè)市場規(guī)模逐年擴(kuò)大��,預(yù)計2017年網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模將達(dá)457.13億元�����。
另一組數(shù)據(jù)則表明����,當(dāng)前國內(nèi)信息系統(tǒng)和信息基礎(chǔ)設(shè)施等重要行業(yè)網(wǎng)絡(luò)安全人才需求達(dá)70萬人,至2020年將增加到140萬人����,并且需求量預(yù)計將以每年1.5萬人的速度遞增,而目前高校每年培養(yǎng)的網(wǎng)絡(luò)安全相關(guān)專業(yè)人員不到1萬人��。
中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長胡嘯也提到�,2015年,我國專門設(shè)立了網(wǎng)絡(luò)空間安全一級學(xué)科����,在29所高校里設(shè)置了多個試點,盡管如此���,我國的網(wǎng)絡(luò)安全人才匱乏情況仍沒有得到根本改變�����。
在這次論壇上���,他還專門提到全國人大此前組織的一次調(diào)研���,調(diào)研樣本超過1萬個���,結(jié)果顯示有69%的調(diào)研對象認(rèn)為本單位和周邊熟悉網(wǎng)絡(luò)安全技術(shù)的人才不多���,而有21.6%的人認(rèn)為自己單位和周邊沒有熟悉網(wǎng)絡(luò)安全技術(shù)的人員。胡嘯說:“這從另一方面反映了我國網(wǎng)絡(luò)安全人才培養(yǎng)工作急需加強(qiáng)�。”
中國科學(xué)院院士�����、深圳大學(xué)計算機(jī)與軟件學(xué)院院長陳國良說��,我國網(wǎng)絡(luò)安全學(xué)科建設(shè)才剛起步�����,任重而道遠(yuǎn)。他還表示�����,目前國內(nèi)網(wǎng)絡(luò)安全人才培養(yǎng)存在師資隊伍不強(qiáng)���,缺乏高層次專業(yè)教師��;教材體系不完善�,專業(yè)教材良莠不齊�����;實踐教學(xué)環(huán)節(jié)缺乏系統(tǒng)性���,理論教學(xué)與實際脫節(jié)等問題�。
這也是與會專家推崇全國高校網(wǎng)絡(luò)安全聯(lián)賽的一個重要原因����。“網(wǎng)絡(luò)空間安全是一個實戰(zhàn)型非常強(qiáng)的學(xué)科�,通過實戰(zhàn)鍛煉技術(shù)能力才是網(wǎng)絡(luò)安全人才的有效培養(yǎng)手段。”中國科學(xué)院重大科技任務(wù)局副局長戴博偉說����。
當(dāng)然,網(wǎng)絡(luò)安全既需要進(jìn)攻型人才�����,也需要防守型人才��。前者更加需要逆向思維與突破創(chuàng)新能力�,后者則強(qiáng)調(diào)責(zé)任心和快速學(xué)習(xí)能力。在中國工程院院士��、中國網(wǎng)絡(luò)空間安全協(xié)會理事長方濱興看來�,相比之下后者可能更難���,因為網(wǎng)絡(luò)安全存在“攻易防難非對稱性”����。
他說���,作為攻擊者����,他失敗99次,只要有一次成功就是成功了���,但是作為防御者�,即便之前成功99次���,但后來失敗了一次����,結(jié)局就是失敗了����。這就是所謂防御和攻擊不對稱,這種復(fù)雜性也從某種程度折射出網(wǎng)絡(luò)安全人才培養(yǎng)之不易����。(中國青年報·中青在線記者 邱晨輝)
來源:中國青年報 責(zé)任編輯:陳葉軍
