数字化背后的“糖衣炮弹”
2019-09-23孙杰贤
孙杰贤
“敌人比想象中的强大,政府和企业的网络安全现状比想象中糟糕。”这是北京知道创宇信息技术有限公司安全服务产品线OSS总监蒋佳良在一次网络安全研讨会上的开场白。
蒋佳良是在参加了公安部组织的“护网2019”网络攻防演习(即“2019护网行动”)活动后发出的这番感慨,他是这次护网行动的技术负责人。
第一生产力
当前,整个人类社会正经历着新一轮科技革命,其发展之迅速,影响之深刻,前所未有。物联网、云计算、大数据、人工智能与实体经济之间深度融合,数字经济、平台经济、共享经济、智能经济浪潮迭起,新模式与新业态不断涌现。
人类社会已经开始由工业文明进入数字文明,“科技是第一生产力”的论断也在此时被诠释地淋漓尽致。
根据阿里巴巴集团发布的《2018年中国数字经济发展报告》,2018年,三四线城市的数字化消费迅速增长,更高品质的产品、更优的服务在数字化赋能下实现了无差别触达。更值关注的是,农村的数字消费增速全面超越了一线、新一线和二线城市的增长速度。这是数字技术带来普惠性增长的有力证明。2018年,全国数字城市建设也明显提速,已有442个城市(含县级市和省直辖县)将社保、公积金、生活缴费等公共城市服务搬上了支付宝平台。
另根据网信办发布的《数字中国建设发展报告(2 0 1 8年)》,2018年,中国数字经济规模再破新高,最终达到31.3万亿元,占GDP比重达34.8%。
在这轮科技革命中,越来越多的企业将“数字”视为核心资产、新资源和新财富。数字化转型升级,既是企业的战略性选择,更是企业精细化运营的必经之路。
当企业、民众和政府机构尽情地享用这场史无前例的科技盛宴所带来的高效与便捷时,美好而又相安无事的体验和经历让他们很容易忽视一个致命的问题——网络安全。
攻击从未停止
万豪酒店集团5亿用户数据遭黑客攻击泄漏的余波未了,今年5月,“永恒之蓝”便又卷土重来。美国马里兰州巴尔的摩市政府遭到勒索软件袭击,攻击持续了近三周,成千上万计算机被锁,政府系统瘫痪,电子邮件无法使用,房地产销售、水费账单等服务也中断。勒索软件其中一个关键部分,就是“永恒之蓝”。
只要有网络的地方必然就有攻击,而且网络越大,攻击所带来危害性便越大。
2015年12月23日,乌克兰电站遭受了BlackEnergy(黑色能量)等相关恶意代码的攻击。攻击导致7个110KV的变电站和23个35KV的变电站出现故障, 80000用户断电。BlackEnergy在执行攻击的过程中会释放KillDisk破坏数据来延缓系统的恢复。此外,还在其他服务器还发现一个添加后门的SSH程序,攻击者可以根据内置密码随时连入受感染主机。
相比之下,今年委内瑞拉因网络攻击的停电事件在波及范围、停电时间、经济损失等方面远超出乌克兰这个案例。
所以,进入万物互联的智能物联时代,当每一个体,每个家庭,每个企业,每一辆汽车,社会的每一处基础设施都联网的时候,其实是非常恐怖的一件事情。
著名安全专家Bruce Schneier说,越来越多的设备联网,被软件控制,意味着可能受到攻击的数量迅猛增长;当不同系统之间相互关联时,一个系统的漏洞容易牵连其他系统受到攻击;当联网设备普遍具有自主能力时(智能化),从安全的角度看,这意味攻击的影响可以立即、自动和广泛生效。
然而更可怕的时,浸淫在数字世界里的企业和个人在长时间“安全无忧”假象的蒙蔽下,安全这根弦慢慢放松了。
“企业信息化和数字化这么多年,没有发生大的安全事故。”“上网购物和网上银行使用这么多年资金安全问题从来没有发生过。”享受着数字化这一“糖衣炮弹”的甜蜜,憧憬着智能家居、自动驾驶等美妙时刻,安全问题已经被置之度外了。
麻痹大意之下,数字化这一“第一生产力”也是潜在的“第一破坏力”。
我们该怎么办?
中国计算机学会计算机安全专业委员会主任、原公安部第三研究所所长严明指出,我国网络安全企业整体规模和盈利能力相对落后,企业在网络安全上的支出比例的相对较低。如果一个国家的安全投入总量非常低,要求其安全企业能居于世界前列显然是不现实的。
我國社会对网络安全重视不够是一个普遍现实。但是“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大群众利益也难以得到保障”。所以在网络安全的问题上我们不能有丝毫的松懈。
公安部网络安全保卫局处长盘冠员表示,从博弈论的角度看当前的网络安全威胁,网络安全的本质就是对抗,对抗的本质在于攻与防两端的较量。当前针对关键信息基础设施的攻击事件快速增长,以窃取数据为目的的入侵攻击也十分突出,严重威胁国计民生的健康发展。另一方面,中美关系进入战略竞争时代,将会是一场持久战,关于网络空间的竞争也将成为中美大国博弈的重要战场。针对严峻的安全形势,作为社会主体的企业应做好自身安全建设,提升威胁应对能力与抗攻击抗打击能力,进而提高我国网络安全整体防护水平。
知道创宇的蒋佳良也指出:“当前网络安全攻击已经逐渐从针对个人和针对企业上升到针对国家关键信息基础设施,严重威胁国计民生的高度。‘2019护网行动中,在许多安全问题都暴露出来。提升网络安全对抗能力,企业运营者需从看清自己、隐藏自己和了解对手三个角度出发,从安全管理和安全意识培训,以及安全团队建设等多方面着手,全方面加强企业的安全能力。”
2017年6月1日,《网络安全法》正式施行,对企业加强网络安全建设提出了要求和约束。为了贯彻落实《网络安全法》,《网络安全等级保护条例》和《关键信息基础设施保护条例》正在制订当中,有望今年晚些时候发布。
应对网络安全问题,政策的顶层指引固然重要,但正如蒋佳良所说,社会安全意识、安全管理机制以及安全人才的培养才是根本,毕竟,网络安全的问题归根结底还是人的问题。