央广网北京9月13日消息(记者张棉棉 见习记者郭明)据中国之声《新闻纵横》报道,网络信息技术推动社会发展的作用日益凸显,但是网络安全风险也随之增强,不法网络黑客的能力超乎人们的想象,像今年的“勒索病毒”,让人们再次感受到了维护互联网安全的紧迫性。
目前,最尖端的黑客技术究竟能达到怎样的破坏程度?当危险离我们越来越近,又该如何搭建安全之门?昨天(12日),在第五届中国互联网安全大会上,来自政府、企业和行业专家都给出了他们的答案。
电影《X战警3:背水一战》中,万磁王控制金属将金门大桥折断,平移架到了通往恶魔岛的海上。现在,控制金属已经不再是电影中幻想出的情景,而是真切地出现在我们身边。在昨天的互联网安全大会上,来自荷兰的全球顶级生物黑客帕特里克·保门(Patrick Paumen)轻轻一抬手,就将瓶盖、钉子、弧形针吸了起来,秘密就是他将14个磁体分别植入了包括手指在内的身体各个部位。这些磁体还可以帮他成为生物黑客,也就是他只要摸过包括门禁卡等电磁设备,瞬间就可以完成复制,进而用身体开锁、开电脑、解码设备。
帕特里克·保门提醒,“大家不要把你的门禁卡给别人,你好好带着,因为别人可以用这种解码器去把你的门禁卡给复制掉。这就是嵌入的复制器。”
帕特里克·保门给大家示范的生物黑客做法,只是在当前网络安全形势之下的一种威胁。最近12个月内,“永恒之蓝”勒索蠕虫病毒席卷150多个国家、乌克兰电网遭遇系列黑客攻击,网络空间冲突不断升级。
我国作为互联网大国,截至上半年,网民规模达7.51亿,互联网普及率达54.3%。工信部网络安全管理局局长赵志国表示,仅今年以来,工信部相继协调处置了多起针对互联网的攻击事件,涵盖了病毒、木马、漏洞、流量攻击等多种类型,涉及到网络基础设施公共系统,重要信息系统和终端。
赵志国指出,攻击仍处于高发态势,呈现出攻击门槛不断降低,攻击对象更加广泛,攻击手段更加多样。甚至可以攻击获取的各方面信息进行大数据的关联、挖掘分析等特点,并向大数据、云计算新领域蔓延,网络安全的形势依然十分复杂严峻。
在网络安全面前,线上线下的边界越来越模糊,几近消失。中国工程院院士邬贺铨说:“随着产业互联网的普及,人工智能等新兴技术的广泛应用,会带来新的安全隐患,给网络攻击者带来新的攻击目标。”
在360集团董事长周鸿祎看来,今天,我们进入了一个“大安全时代”,网络安全不再单指信息安全和信息系统安全,而是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。过去的网络防护依赖于技术体系,一味地堆砌设备,重金打造的防线看似固若金汤,实际不堪一击,因为安全不仅仅是技术问题,更是“人”的问题。“人是网络安全中最脆弱的因素,所有的攻击能得逞除了利用某个漏洞和技术,最后人一定是出问题的。比如希拉里也是前国务卿,总统候选人,她有强大的安保团队,但希拉里在家里偷偷架了邮件服务器,系统再强大也架不住一个人在中间给你出问题。”
人的问题不仅是网络威胁中受害者自身的问题,也是入侵者的问题。360企业安全集团董事长齐向东以过去一年爆发的众多网络安全事件举例,在这些事件中,黑客采用的都是未知漏洞,或者新的攻击方法,按照过去的做法,只是用一道防火墙来防范显然是不够的,亟需建立“人加系统”的新安全体系,也就是把建设网络安全当成打造服务业来对待。
齐向东提出,“我们把所有技术的、物质的、设备的方法都已经穷尽了,这个时候我们要通过人,借助大数据、借助于机器学习、人工智能,然后把已经渗透到我们网络里面的攻击,以最快的速度把它找出来,然后快速地阻断,这时候我们的网络还是安全的。”
也许有人会说,在围棋界战胜所有人类对手的阿尔法狗作为一种人工智能的程序,它并不是人,拦截它应该直接用技术手段。对此,中国工程院院士方滨兴的回答是:“阿尔法狗不是人,但是阿尔法狗代表的是人,他完成的是人的意志,背后总是人。这个空间里面它的主体是用户,但背后是人。”
既然阿尔法狗完成的是人的意志,最终针对它的防范措施也应该是由人来灵活应对。当然,培养网络安全人才同样重要。据预测,网络安全产业未来5年至少有百万级的缺口。
时下,很多国内的网络安全技术人才为了让自己得到提升,也为了证明自己,倾向于参与国际上的“白帽大会”,就好像参加互联网安全领域的“奥林匹克竞赛”。所谓“白帽”就是那些用自己的黑客技术来做好事的黑客,主要是测试网络或系统的性能来判定这些网络或系统能够承受入侵的强弱程度。但周鸿祎却并不赞成这一做法,“美国军方、美国情报机构特别热衷干这件事,为什么呢?因为你这个漏洞一亮这个漏洞再也用不了,美国人就知道了。第二个,从来就没有美国队,前三名都被中国队包办,但美国自己就不参加。北约有个规定,北约盟国研究漏洞的人根本不允许来中国、俄罗斯,难道美国人就不想参加奥林匹克吗?”
国家层面上,也会基于“人的角度”来考虑,从而加强对网络安全的建设。公安部网络安全保卫局总工程师郭启全说,网络安全等级保护制度已经进入2.0时代,国家关键基础设施是在等级保护制度基础上实施重点保护,两者缺一不可。保卫主要发挥我们军队、警察两支武装力量,对国家关键基础设施开展保卫。重要行业部门对国家关键基础设施进行保护。企业、专家在这个保护过程当中,充分发挥作用。国家各级财政以及有关部门要为保卫、保护国家关键基础设施提供人力、财力、物力、经费、装备、机构等方面的保障。
习近平出席金砖厦门会晤系列活动纪实
