论文部分内容阅读
网络安全为人民,网络安全靠人民。
9月19日,2018网络安全宣传周正式开幕,本届网络安全宣传周以“网络安全为人民,网络安全靠人民”为主题。大数据、人工智能、云计算、物联网……成为今年被频频提及的“关键词”,它们赋予了网络安全技术和应用全新的面貌,也给网络安全态势带来了前所未有的挑战。
挑战
互联网飞速发展的同时,网络安全问题日益凸显,网络攻击、网络恐怖等安全事件时有发生,侵犯个人隐私、窃取个人信息、诈骗网民钱财等违法犯罪行为时有发生,网上黄赌毒、网络谣言等屡见不鲜,已经成为影响国家公共安全的突出问题,也为广大群众所诟病。
新技术带来新挑战。网络边界逐渐模糊与新兴技术的大量应用,使得基于规则判断的传统信息安全技术面临极大挑战。不法分子将手机充电桩植入恶意芯片,用户手机接入后病毒会注入系统,黑客就能远程打开手机摄像头窃照、打开手机麦克风窃听、获取手机通讯录等敏感信息……网络安全风险正从传统的信息安全扩展到涉及基础设施、经济社会等诸多层面的网络空间安全。
中央网信办副总工、国家互联网应急中心主任李湘宁说,“当前,互联网虚拟空间与现实空间安全危险叠加交织,对国家安全、社会稳定和人民群众切身利益带来严重影响。”
杭州安恒信息技术股份有限公司董事长范渊说,“新技术的普及,加大了网络攻击造成的损失。比如,企业的机床被劫持,就无法生产出合格的产品,消费者的智能门锁被攻破,小偷就能轻松入室盗窃。”
微软(中国)首席技术官韦青也表示,“大智云联”打破了内外网的界限,也让安全边界变得模糊不清。“从信息的产生到采集再到传输,甚至信息的存储分析、展现和使用,每一个环节都可能产生新的安全风险。”
国家计算机网络应急技术处理协调中心发布的《2017年中国互联网网络安全报告》中提到,从检测数据看,近年来,国家信息安全漏洞共享平台所收录的安全漏洞数量持续走高,自2013年以来,安全漏洞数量年平均增长率为21.6%,但2017年较2016年增长47.4%,达到15955个。
中国工程院院士沈昌祥表示,现在我们遇到的威胁极大,网络空间极其脆弱。“计算科学少攻防理念,体系结构缺防护部件,计算模式无安全服务。网络安全系统设计必定会存在逻辑组合,必定会存在逻辑不全的缺陷,攻击者就会利用这个漏洞进行恶意攻击。因此,要有相对的安全目标,铜墙铁壁、刀枪不入的防御体系,要确保未完成计算任务的逻辑组合不被篡改和破坏,以实现正确的计算。”
沈昌祥进一步表示,“老三样”封堵查杀已经过时,防病毒、防火墙、入侵检测的传统“老三样”难以应对人为攻击,且容易被攻击者利用,找漏洞、打补丁的传统思路不利于整体安全。“我们要建立主动免疫可信计算,以密码为基因实施身份识别、状态度量、保密存储等功能,及时识别自己和非己成分,从而破坏与排斥进入机体的有害物质,为网络信息系统培育免疫能力,这是我们唯一的出路。”
应对
网络安全维护说到底是人与人的博弈,网络安全人才建设是解决网络安全问题的关键所在。四川大学网络空间安全学院副院长刘嘉勇说:“目前,国内对网络安全人才的需求量高达70余万,社会对网络安全人才的需求量每年约1.5万人,而高校每年培养的网络安全相关专业人数不到1万人。”
沈昌祥认为,网络空间安全人才的需求呈金字塔型。“除了需要基础研究型人才外,更需要大量的工程应用型人才和推广实用型人才,高精尖人才需要,基础推广实用人才同样需要,网络安全人才的工匠精神不能缺失。”
中国科学院大学网络空间安全学院副院长邹维表示,人才培养应该是分类型的。中国科学院大学在研究生阶段就涉及了工程型、研究型、特殊技能型的人才培养。“特别是特殊技能型的人才,是一种特殊攻防人才,也是当前网络安全的重要需求。”邹维说。
中国工程院院士倪光南认为,网络安全核心是技术安全。如何达到技术安全?“我们要意识到关键核心技术是买不到、要不到、讨不来的。”倪光南表示,实现技术安全首先要保证技术可控,“先从自主可控到技术安全,再达到网络安全。”
亚信安全通用安全产品副总经理刘政平表示:“人工智能技术已经开始广泛‘落地’,比如在海量日志中寻找有问题的几条信息,在看似正常的行为中寻找异常,人工智能在帮助网络安全厂商‘大海捞针’,甚至有可能从事后追溯、事中干预前移至事前预判。”
志翔科技创始人蒋天仪表示,他们正在与电力行业客户合作实施一个智能电表的安全项目。“智能电表会因为环境、故障等多种因素产生误差,传统方式只能靠人工查验,工作量很大,但通过采集和清洗电表的历史运行数据、地域环境、实时数据等,并且利用机器学习的算法,就可以找到发生故障的电表。这当然属于物联网安全,但网络安全也开始与核心业务融合,帮助合作伙伴直接产生价值,不只是加一道锁。”
阿里巴巴集团首席风险官郑俊芳认为,网络安全态势正在经历剧烈变化,也要求安全服务商必须放眼长远,始终关注创新。“数据的可用不可见、物联网安全、区块链乃至更远期的量子计算安全……我们都有专门的团队在研究,安全厂商不仅要解决能用的问题,还要好用和成本够低,能够大规模应用。”
刘政平表示,“城市的安全变成了一个整体,从运营商的骨干网,到政府部门,再到广大企业和个人用户。在目前的形势下,网络攻击正在变得离散,想要应对这些五花八门的攻击,就要将安全资源整合起来。一个部门被攻击了,同类型的单位都能得到预警”。
李湘宁表示,推进网络安全工作,应加强数据安全和各类信息保护,加快推动数据安全管理办法、个人信息和重要数据出境安全评估办法出台;要强化关鍵基础设施安全保护,加强关键基础设施顶层设计和总体的协调,避免多头分散、各自为政;积极应对新技术、新应用安全风险,加大新兴技术研究力度,及早谋划、预先布局,做到防患于未然。
9月19日,2018网络安全宣传周正式开幕,本届网络安全宣传周以“网络安全为人民,网络安全靠人民”为主题。大数据、人工智能、云计算、物联网……成为今年被频频提及的“关键词”,它们赋予了网络安全技术和应用全新的面貌,也给网络安全态势带来了前所未有的挑战。
挑战
互联网飞速发展的同时,网络安全问题日益凸显,网络攻击、网络恐怖等安全事件时有发生,侵犯个人隐私、窃取个人信息、诈骗网民钱财等违法犯罪行为时有发生,网上黄赌毒、网络谣言等屡见不鲜,已经成为影响国家公共安全的突出问题,也为广大群众所诟病。
新技术带来新挑战。网络边界逐渐模糊与新兴技术的大量应用,使得基于规则判断的传统信息安全技术面临极大挑战。不法分子将手机充电桩植入恶意芯片,用户手机接入后病毒会注入系统,黑客就能远程打开手机摄像头窃照、打开手机麦克风窃听、获取手机通讯录等敏感信息……网络安全风险正从传统的信息安全扩展到涉及基础设施、经济社会等诸多层面的网络空间安全。
中央网信办副总工、国家互联网应急中心主任李湘宁说,“当前,互联网虚拟空间与现实空间安全危险叠加交织,对国家安全、社会稳定和人民群众切身利益带来严重影响。”
杭州安恒信息技术股份有限公司董事长范渊说,“新技术的普及,加大了网络攻击造成的损失。比如,企业的机床被劫持,就无法生产出合格的产品,消费者的智能门锁被攻破,小偷就能轻松入室盗窃。”
微软(中国)首席技术官韦青也表示,“大智云联”打破了内外网的界限,也让安全边界变得模糊不清。“从信息的产生到采集再到传输,甚至信息的存储分析、展现和使用,每一个环节都可能产生新的安全风险。”
国家计算机网络应急技术处理协调中心发布的《2017年中国互联网网络安全报告》中提到,从检测数据看,近年来,国家信息安全漏洞共享平台所收录的安全漏洞数量持续走高,自2013年以来,安全漏洞数量年平均增长率为21.6%,但2017年较2016年增长47.4%,达到15955个。
中国工程院院士沈昌祥表示,现在我们遇到的威胁极大,网络空间极其脆弱。“计算科学少攻防理念,体系结构缺防护部件,计算模式无安全服务。网络安全系统设计必定会存在逻辑组合,必定会存在逻辑不全的缺陷,攻击者就会利用这个漏洞进行恶意攻击。因此,要有相对的安全目标,铜墙铁壁、刀枪不入的防御体系,要确保未完成计算任务的逻辑组合不被篡改和破坏,以实现正确的计算。”
沈昌祥进一步表示,“老三样”封堵查杀已经过时,防病毒、防火墙、入侵检测的传统“老三样”难以应对人为攻击,且容易被攻击者利用,找漏洞、打补丁的传统思路不利于整体安全。“我们要建立主动免疫可信计算,以密码为基因实施身份识别、状态度量、保密存储等功能,及时识别自己和非己成分,从而破坏与排斥进入机体的有害物质,为网络信息系统培育免疫能力,这是我们唯一的出路。”
应对
网络安全维护说到底是人与人的博弈,网络安全人才建设是解决网络安全问题的关键所在。四川大学网络空间安全学院副院长刘嘉勇说:“目前,国内对网络安全人才的需求量高达70余万,社会对网络安全人才的需求量每年约1.5万人,而高校每年培养的网络安全相关专业人数不到1万人。”
沈昌祥认为,网络空间安全人才的需求呈金字塔型。“除了需要基础研究型人才外,更需要大量的工程应用型人才和推广实用型人才,高精尖人才需要,基础推广实用人才同样需要,网络安全人才的工匠精神不能缺失。”
中国科学院大学网络空间安全学院副院长邹维表示,人才培养应该是分类型的。中国科学院大学在研究生阶段就涉及了工程型、研究型、特殊技能型的人才培养。“特别是特殊技能型的人才,是一种特殊攻防人才,也是当前网络安全的重要需求。”邹维说。
中国工程院院士倪光南认为,网络安全核心是技术安全。如何达到技术安全?“我们要意识到关键核心技术是买不到、要不到、讨不来的。”倪光南表示,实现技术安全首先要保证技术可控,“先从自主可控到技术安全,再达到网络安全。”
亚信安全通用安全产品副总经理刘政平表示:“人工智能技术已经开始广泛‘落地’,比如在海量日志中寻找有问题的几条信息,在看似正常的行为中寻找异常,人工智能在帮助网络安全厂商‘大海捞针’,甚至有可能从事后追溯、事中干预前移至事前预判。”
志翔科技创始人蒋天仪表示,他们正在与电力行业客户合作实施一个智能电表的安全项目。“智能电表会因为环境、故障等多种因素产生误差,传统方式只能靠人工查验,工作量很大,但通过采集和清洗电表的历史运行数据、地域环境、实时数据等,并且利用机器学习的算法,就可以找到发生故障的电表。这当然属于物联网安全,但网络安全也开始与核心业务融合,帮助合作伙伴直接产生价值,不只是加一道锁。”
阿里巴巴集团首席风险官郑俊芳认为,网络安全态势正在经历剧烈变化,也要求安全服务商必须放眼长远,始终关注创新。“数据的可用不可见、物联网安全、区块链乃至更远期的量子计算安全……我们都有专门的团队在研究,安全厂商不仅要解决能用的问题,还要好用和成本够低,能够大规模应用。”
刘政平表示,“城市的安全变成了一个整体,从运营商的骨干网,到政府部门,再到广大企业和个人用户。在目前的形势下,网络攻击正在变得离散,想要应对这些五花八门的攻击,就要将安全资源整合起来。一个部门被攻击了,同类型的单位都能得到预警”。
李湘宁表示,推进网络安全工作,应加强数据安全和各类信息保护,加快推动数据安全管理办法、个人信息和重要数据出境安全评估办法出台;要强化关鍵基础设施安全保护,加强关键基础设施顶层设计和总体的协调,避免多头分散、各自为政;积极应对新技术、新应用安全风险,加大新兴技术研究力度,及早谋划、预先布局,做到防患于未然。