新年伊始网络安全事件接连“爆发”——
后勒索病毒时代谁来守卫祖国第五疆域
进入21世纪第18个年头,现代社会已经没有谁可以轻易离开网络,如同百万年前人类祖先对空气、阳光和水的感受那样,尽管这些东西往往以一种悄无声息的状态存在,却有着近乎生命本身一般的分量。不过,就像后者常常会面临空气污染、水污染等安全事件,藏匿于我们之间的网络世界,同样危机四伏、暗流涌动。
新年伊始,网络安全事件便接连“爆发”,首当其冲的是全球最为知名的半导体制造巨头英特尔,这个给全球提供电脑芯片的公司被曝出芯片存在设计漏洞,随后英特尔对外称将建立新的网络安全部门,该事件还被一些业内专家称为“计算机史上最大安全事件”;随后,美国一网络安全公司发布声明称,将于下月举行的韩国平昌冬奥会被黑客“盯上了”,有黑客曾试图窃取平昌冬奥会的敏感数据。
而类似事件,早已不是第一次发生。2017年5月,那场肆虐全球的勒索病毒事件至今令人心悸——一款名为“WannaCry”的勒索病毒一天横扫150多个国家。该事件也成为一个转折点,网络攻击对关键基础设施的破坏,让所谓的普通网民从“围观者”沦为“受害者”,而如果将攻击的主体看作一个个国家,这种危害性更是不言而喻。在后勒索病毒时代,面对网络安全这个新战场,该如何守卫,又将由谁守卫,成了一个新命题。
正如中国科学院信息工程研究所所长、中国科学院大学网络空间安全学院院长孟丹所说,“网络空间已成为继陆、海、空、天之外的第五疆域,相应的信息技术已经渗透到物理世界、人类社会各个方面,而信息技术渗透到哪里,安全的问题就出现在哪里!”在前不久举行的全国高校网络安全联赛网络安全人才培养与产业发展高峰论坛上,他说,目前来看,网络安全形势十分严峻,相应的人才培养缺口非常大。
过时的封堵查杀“老三样”VS没有真正“刀枪不入”的安全?
在勒索病毒事件中,最让人惊讶的,莫过于该病毒的源头竟是美国官方针对Windows等系统自行研发的黑客武器。这再次让人们意识到,再强大的网络防护体系都有被攻破的可能。
中国工程院院士、海军计算技术研究所高级工程师沈昌祥就持这种观点。在论坛上,他说自己曾试着从逻辑上证明“软件无BUG”,结果发现这个证明是伪命题,“世界上没有无BUG的软件,跟人体一样,有缺陷并发生病变是避免不了的”。
他认为,不可能存在铜墙铁壁、刀枪不入的安全之地,即使设计再精巧,结构再复杂,无一例外都会有漏洞。
网络安全领域的一项研究显示,程序员每写1000行代码,就会出现1到6个缺陷或错误,而这1到6个缺陷就有可能产生漏洞,如果这些漏洞是不可能避免的话,那么“被攻击”就有可能发生。
在2015年中国互联网安全大会上,美国首任网军司令亚历山大的一番话震动不少人:世界上只有两种系统,一种是已知被攻破的系统,一种是已经被攻破但自己还不知道的系统。这意味着,在攻击者面前,没有任何安全的系统。
现实中不乏案例佐证:2010年,伊朗核设施遭遇来自国外的“震网”病毒攻击,直接导致该国核设施1000多台离心机瘫痪,而这可是该国国防军守卫的机密目标;2014年,韩国两座核电站的内部文件遭到黑客“泄露”,这其中包括核电站近万名员工的个人信息、核电站程序运行说明、空调和冷却系统设计图、阀门设计图,等等。
不过,这并不意味着人们对待网络攻击就束手无策了。沈昌祥说,过去人们往往通过防火墙、杀病毒和找漏洞等“老三样”的手段,希望把网络威胁“挡”在门外,让所保护的对象免受攻击风险。但在他看来,信息安全问题是由设计缺陷而引起的,消极被动的“封堵查杀”是防不胜防的,这就好比,没有免疫系统的孩子只能生活在无菌的状态下,不停地杀病毒。说到底,从一出生就没有免疫系统,这是问题的关键。
他开出的药方是采用“安全可信”的免疫计算方法和计算体系结构,给中国的网络安全“造”属于自己的“免疫系统”。
在2013年,沈昌祥就和倪光南等25名院士经过调研,给国家领导人写了一封关于国家网络安全和自主创新的建议信,其中就提到“可信计算”这个词。所谓“可信计算”,是一种运算和防护并存的主动免疫的新计算模式,具有身份识别、状态度量、保密存储等功能,可及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质——相当于人类的免疫系统。
时隔3年,我国出台了《网络安全法》,其中就提到要推广“安全可信”的网络产品和服务。如今,沈昌祥所推崇的可信计算正在构筑我国网络安全防线,他希望看到的最终效果是——
攻击者进不去,非授权者的重要信息拿不到,窃取的保密信息看不懂,系统和信息改不了,攻击行为赖不掉。“黑暗力量”“震网”“火焰”“Wannacry”等不查杀而自灭。
网络安全说到底是人与人的对抗VS网络安全人才缺口巨大
这也是国际IT巨头一个共同努力的方向。以微软为例,该公司在2002年即启动了可信计算计划,并先后在Vista、Win 8、Win 10中捆绑销售。在沈昌祥看来,这是一个“极大的威胁”,他说,中国可信计算产业可能将失去进入市场的机会,将严重威胁中国的网络安全。
美国陆军一份长达35页的《2016-2045年新兴科技趋势报告》显示,有20项最值得关注的科技发展趋势,而在20项趋势技术中,有11项和信息技术有关,更为重要的是,这11项技术每一项都谈到了安全问题。在网络安全上的投入研发似已成共识,而背后比拼的,就是人才培养的速度。
正如孟丹所说,网络空间里所有的攻防,说到底是人和人的攻防,至于机器、系统、体系起到的、更多是辅助提高效率和水平。
从目前来看,我国这方面的人才储备却不容乐观。这次论坛上披露了两组对比鲜明的数据——
一组数据来自中国信息通信研究院《网络安全产业白皮书(2017)》,其中提到中国有超过30家年度营收过亿元的网络安全企业,其中不乏具有产业整合能力的龙头企业。近年来,中国的网络安全行业市场规模逐年扩大,预计2017年网络安全产业规模将达457.13亿元。
另一组数据则表明,当前国内信息系统和信息基础设施等重要行业网络安全人才需求达70万人,至2020年将增加到140万人,并且需求量预计将以每年1.5万人的速度递增,而目前高校每年培养的网络安全相关专业人员不到1万人。
中央网信办网络安全协调局副局长胡啸也提到,2015年,我国专门设立了网络空间安全一级学科,在29所高校里设置了多个试点,尽管如此,我国的网络安全人才匮乏情况仍没有得到根本改变。
在这次论坛上,他还专门提到全国人大此前组织的一次调研,调研样本超过1万个,结果显示有69%的调研对象认为本单位和周边熟悉网络安全技术的人才不多,而有21.6%的人认为自己单位和周边没有熟悉网络安全技术的人员。胡啸说:“这从另一方面反映了我国网络安全人才培养工作急需加强。”
中国科学院院士、深圳大学计算机与软件学院院长陈国良说,我国网络安全学科建设才刚起步,任重而道远。他还表示,目前国内网络安全人才培养存在师资队伍不强,缺乏高层次专业教师;教材体系不完善,专业教材良莠不齐;实践教学环节缺乏系统性,理论教学与实际脱节等问题。
这也是与会专家推崇全国高校网络安全联赛的一个重要原因。“网络空间安全是一个实战型非常强的学科,通过实战锻炼技术能力才是网络安全人才的有效培养手段。”中国科学院重大科技任务局副局长戴博伟说。
当然,网络安全既需要进攻型人才,也需要防守型人才。前者更加需要逆向思维与突破创新能力,后者则强调责任心和快速学习能力。在中国工程院院士、中国网络空间安全协会理事长方滨兴看来,相比之下后者可能更难,因为网络安全存在“攻易防难非对称性”。
他说,作为攻击者,他失败99次,只要有一次成功就是成功了,但是作为防御者,即便之前成功99次,但后来失败了一次,结局就是失败了。这就是所谓防御和攻击不对称,这种复杂性也从某种程度折射出网络安全人才培养之不易。