“不设防”,看到这三个字的时候,是不是文艺青年的第一想法是一座城?毕竟意义生产机制下,有一部《罗马,一座不设防的城市》这样的大片,光看标题是不是就很迷人?没错,但就像电影本身所映射的悲剧主题一样,构建现代信息社会的基础可能不再是了一笔一划一纸一书,而是有海量“0和1”所代表的信息流。当一人、一家、一城、一国的对应的信息流可被他人通过某些非正义技术手段轻松获取时,此一国一城一家一人的信息安全将等同于“不设防”。而错综复杂的国际社会形势,决定了“不设防”将要付出惨烈的代价。
构建现代文明的基础是信息社会,然而历经二十年发展,中国信息社会的基建工程无论是硬件还是软件,却无可避免的深陷“不自主”这个泥淖,最严重时上升到为了制约中国超级计算机技术的增长,美国限制因特尔公司向中国出口芯片的程度。但更严峻的问题在于,不管硬件还是软件,“后门”和“漏洞”是挥之不去的阴影,中国互联网飞速发展的20年,从信息安全、国家安全角度而言,本质上是一部血泪史,尤其是在“棱镜门”、“网络军火商”等事件爆发后,该如何保障中国互联网信息安全?
“不设防”——国将不国
棱镜门事件的持续性爆发和发酵,让我们了解到原来国家首脑手机被监听的好莱坞经典谍战片桥段,在美国人手中还真就如砍瓜切菜一般简单。中国科学院院士邬江兴在访谈中表示,“看看我们的手机你就知道了,芯片是美国高通的、操作系统是安卓或微软的,移动通信基站是爱立信的,网络路由器或交换机是思科的,可以说从器件、部件到系统,从硬件、软件到各种中间件,从终端套片设计到高端应用服务提供,几乎全都被美国人占了。在这样的态势下,美国人无论对谁,实施监听和跟踪,在技术上都是可能的”。
邬院士还说:“在网络世界这样的虚拟空间上,美国人早就声称它要追求绝对的行动自由,在信息领域则追求所谓的单向透明,即他能随时随地的窥视你而你不能窥视他。我们切记不可以为美国人只是说说而已,它完全有这样的技术实力、能力和手段”。在美国以审查的名义戴着有色眼镜区别对待中国企业华为、中兴入美时,有权威媒体作出的一封调查报告震惊国人:以思科为代表的美国“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)在中国风生水起,几乎涵盖了中国信息社会基础架构的方方面面。其中,仅思科一家就占据了中国电信163骨干网络约73%的份额,把持了163骨干网所有的超级核心节点和绝大部分普通核心节点。
彼时,有信息安全专家称:“作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国‘八大金刚’面前”。在危机时刻,美国“八大金刚”可能对中国带来的危害,丝毫不亚于当年火烧圆明园的“八国联军”,这可不是什么盛世危言。周知,网络基础设施领域是整个网络的命脉所在。当美国“八大金刚”的产品已全面渗透到我国电信、金融、石油、化工等关系到国计民生的关键信息基础设施时,“设防”与“不设防”便成了一种象征意义上的挣扎和扭曲,但问题终归是要解决的,我们终究是要“设防”的。
毕竟,在互联网这个特殊的信息地球村设定下,网络渗透与网络控制已成为国际斗争的终极手段之一。通过网络攻击,可以获取别国信息,大到国家情报、小到个人隐私;能够摧毁别国的通信系统、金融信息系统等一切与互联网挂钩的信息系统,不费一兵一卒就能实现战略目的;通过信息渗透,控制民众思想,煽动不良情绪,阿拉伯世界伊斯兰国的乱局,就已经证明了互联网在颠覆政权方面的巨大破坏力。如果连本国的互联网安全都无法保障,那么国家安全便无从谈起。
“要设防”——首先立法
还有不到一个月时间,《中华人民共和国网络安全法》就要正式实施。《网络安全法》首先对“网络(Cyber)”进行了重新定义,是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,而“网络安全(Cyber Security)”,是指“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。
从宏观的层面来讲,这意味着网络安全同国土、经济安全等一样成为国家安全的一个重要组成部分;从小的方面来讲,意味着网络运营者(指网络的所有者、管理者和网络服务提供者)需要担负起履行网络安全的责任。而不是像以前那样,动辄某某网站几十G用户数据泄漏,发个声明就完事了,至于由此而引发的网络欺诈威胁,还得用户本身去承担。《网络安全法》的实施,意味着那些涉及到网络的运营主体如果对安全不重视甚至出现影响较大的事故,将会受到法律的严惩。
事实上,在网络安全制度的前瞻、深入和细致程度上,欧美等国早就走在了前列,2014年12月18日,奥巴马一口气签署了包括《2014年国家网络安全保护法》在内的四个法案,以加强美国网络安全和抵御网络攻击的能力;2015年初,美国众议院通过了意在辅助美国政府对网络威胁进行提前防控的《网络情报共享和保护法案》,以推动网络信息在公司和政府之间的共享;2016年4月,欧洲议会通过了最新的《数据保护法》,用以保护消费者的数据和隐私;2016年7月,欧盟立法机构正式通过旨在加强基础服务运营者、数字服务提供者的网络与信息系统安全的首部网络安全法《网络与信息系统安全指令》,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。
“设好防”——弯道超车
国家网络战争层面的对抗,显然是非专业职业人士无法参与到其中的。但在商业领域,中国安全企业拥有着无限可能。尤其是在大环境变革下,针对企业的各类恶意攻击常态化,国家立法保护普通消费者个人隐私权益,各类涉及网络运营的企业需保证数据、信息安全的当下,针对恶意攻击系统性或单一方面的技术创新,都有可能获得成功。
在攻击门槛较低,但实际危害较大的网络攻击范畴,以针对Web攻击的安全产品WAF(Web Application Firewall)为例,拥有招商银行、广发银行、民生银行、农信银资金清算中心、中国银河证券股份有限公司、东方证券、上海证券交易所、中国国际电子商务中心、黑龙江社保、上海移动、北京电信、7天酒店集团、太平洋保险、中国五矿集团、南方电网公司、宁波公安、深圳国税局、清华大学、北京大学、Sony中国等一大批明星级客户的Imperva公司(全球顶尖的美籍以色列安全公司),客户类型涵盖中国的金融、电讯、教育、政府等多领域。
但其产品从理念、技术、效果、服务等多个维度看,均不如近两年以黑马姿态崛起的一家专门盯着Web安全的中国技术创新型安全企业长亭科技旗下的同类产品。据悉,长亭科技技术团队,结合对网络安全技术及现状的深度研究,以及全球网络安全最新发展趋势,将基于语义分析的一套全新算法植入传统网络安全产品,提出了灵动(Smart),联动(Connect),主动(Dominate)的“三动”技术理念。其中,灵动(Smart)指进化传统网络安全单点设备,使之摆脱规则、突破限制,缔造真正“聪明”的单点防护理念。联动(Connect)指连接每一个“聪明”的安全单点设备,汇聚单点的聪明,集成互联的智慧。主动(Dominate)指主动学习并深度理解入侵行为,精准预警;及时调整防御策略;主动避免、控制、追踪网络安全风险,中国互联网应用的高速发展决定了中国网络安全公司的技术也走在了世界的前列。
这款被成为下一代WAF产品雷池(SafeLine),系全球首款非规则的网络应用防火墙。据了解,雷池基于攻击行为判断,将语义识别与网络安全成功结合,开创网络安全技术应用实践先河,从根本上解决了采用大量人力不断维护更新黑白名单,最终却只能防御已知威胁的无奈。而使用雷池的企业,不再需要大量人力维护规则。同时,雷池还从基因上赋予了WAF抵御未知威胁的能力。而开发这种更智能的安全产品,是中国企业弯道超车打开全球市场的突破口。
业内共识认为,下一个十年网络空间战略的重点是中美网络空间博弈。目前美国在综合实力、产业竞争力和软实力方面占据明显优势。尤其是苹果、Google、微软等掌握着操作系统的三大巨头,我们还缺乏可以对等竞争的企业。若再在互联网信息安全领域掉队,那就真没机会谈竞争和超越了。从网络大国到网络强国,还需很长时间的努力。但短期内,我们的目标是初步建立关键基础设施网络安全体系,初步形成自主可控的能力。而这,需要更多像长亭科技这样依靠技术创新、司职关键信息安全的中国企业站出来,也需要国家、政府、政策、企业、个人等多维度的配合和支持。
Copyright @ 2008-2015 www.7015.cn All Rights Reserved 理财日报 版权所有
联系网站:licairibao@sina1.com.cn 违法信息举报邮箱:3 392 950@qq.com
备案号: 豫ICP备2020035879号-14