萬物互聯時代,虛擬空間與現實世界深度融合,網絡安全邊界變得逐漸模糊,各類已知和未知的安全威脅正在不斷涌現。如今,網絡空間已經成為“第五大空間”。如何防范新技術帶來的新安全隱患?加強關鍵信息基礎設施安全應該從哪些方面入手?大數據時代,個人信息安全如何防護?9月17日至23日,2018國家網絡安全宣傳周在全國統一舉行,其間舉辦的網絡安全博覽會、網絡安全技術高峰論壇以及主題分論壇上,這些話題成為各界熱議的焦點。
創新技術,實現更智慧的安全防護
在今年的網絡安全周博覽會上,記者捕捉到這樣一幕:駕駛平衡車逛公園,沒想到半路上車輛不聽使喚,一場交通事故一觸即發。原來,黑客可以通過超聲波,干擾平衡車、防抖云臺、無人機等智能物聯網設備。
萬物互聯時代,網絡攝像頭、路由器等大量設備直接暴露在互聯網上,且相當大比例的設備存在弱口令或漏洞風險,物聯網漸成網絡安全的“重災區”。中國工程院院士沈昌祥對記者坦言,在新的網絡安全環境下,殺病毒、防火墻、入侵檢測這傳統的“老三樣”,已經難以應對人為攻擊,且容易被攻擊者利用,因此,找漏洞、打補丁的傳統思路已不利于整體安全。
安恒信息總裁范淵也表示,物聯網生態下,網絡安全的形態正在發生變化,新技術正與網絡安全不斷融合。“‘大智移云’(大數據、智能化、移動互聯網和云計算)時代下的網絡安全,已不再是后天外部增補,而需要天生自帶‘免疫’功能。”范淵說。
諸多互聯網企業也給出了新的應對策略。記者從網絡安全博覽會現場了解到,騰訊安全“智慧共治平臺”集合安全大數據、麒麟偽基站定位系統,與相關機構協同治理電信詐騙等不法行為;安恒信息以“AI驅動創新安全服務”為主題,通過威脅狩獵技術對電子銀行體系監測,并可以提前進行安全評估;指掌易通過移動安全技術建設,保證移動考勤、文檔存儲等移動端上的信息安全。
“要用新思維構建萬物互聯安全共同體,產業心態、商業模式、供給側、利益分配等思路都要發生轉變,進而推進人工智能、大數據等新技術為萬物互聯安全賦能。”啟明星辰創新業務事業群總經理吳海民說。天空衛士CEO劉霖也認為,期待通過技術的不斷創新,打造完整的安全體系,實現基礎安全技術與創新技術并進,實現更智慧的安全防護。
感知風險,以不變應萬變
關鍵信息基礎設施是經濟社會的中樞神經,也是網絡安全的重中之重。此前,烏克蘭電力系統遭黑客攻擊,導致大規模停電事件,一直是業界的熱議話題。“大量電力行業新業態涌現,使得電力系統控制范圍擴大、結構變得更復雜,電力行業已成為網絡攻擊的重要目標。”國家能源局電力安全監管司副司長張揚民說。
與電力行業類似,中國移動信息安全管理與運行中心總經理張濱經常把通信設施比作一張“網”,它包含了通信終端、接入網、支撐系統、傳送網等多個層面,任何一個環節出現問題,都會對整個系統產生影響。“現在,網越來越大,應用越來越廣,風險也會越來越大。”張濱說。
中國電子科技網絡信息安全有限公司副總經理王文勝認為,目前,關鍵信息基礎設施安全防護能力還存在手段不多、單點防護、高低有別、信息隔離、體系不全等問題;另外,持續監控和分析能力不足,內外協調聯動力度不夠,導致難以面對有組織、高強度的針對性攻擊。
張濱建議,要加強標準體系完善,做到以不變應萬變,以無序對有序;還要注重布局“預”的能力,基于大數據分析做好預警、預知和預防,把事后的安全向事前、事中去轉移。
“感知網絡安全態勢是做好網絡安全工作的基礎。”在國家計算機網絡應急技術處理協調中心副主任云曉春看來,要不斷加強網絡安全信息統籌機制和平臺建設,強化檢測認證與審查的工作。另外,網絡安全漏洞也是重要資源,應逐漸完善漏洞共享、利用、披露機制,發揮漏洞在網絡對抗中的關鍵作用。
完善立法,提供系統性、體系化保護
近年來,個人信息與隱私泄漏事件頻發,與之相關的電信和網絡犯罪行為也成為社會的一大頑疾。今年國家網絡宣傳周期間發布的《2018年網民網絡安全感滿意度調查報告》顯示,過半網民認為在購物、社交聊天時,個人信息泄露風險更大;近四成網民認為手機APP、搜索信息對個人信息保護不夠安全;三成以上網民認為利用云盤存儲、投資理財不夠安全。
公安部第一研究所副所長于銳表示,實際上,絕大部分單位并不具備存儲和管理海量個人信息的能力,也缺少保護海量個人信息的責任,在技術上也缺乏保障個人信息以及隱私數據絕對安全的有效措施。“采集、存儲和管理個人信息及隱私數據,并非相關企業開展互聯網業務的必要前提,卻成了個人信息犯罪難以遏止的‘泛濫洪水’之源。”
新的網絡安全環境下,應該如何保護網民的個人信息安全?于銳說,長期實踐表明,單獨強調技術手段或行政監管產生的效果都很有限,應該做到技術手段與行政監管并重,“畢竟好的技術手段需要依托行政監管落地,行政制度也需要技術手段來做支撐”。
公安部第三研究所副所長李建瓴認為,在個人數據保護方面,我國個人數據保護立法尚不完善。2017年個人信息保護雖然已經寫入《網絡安全法》,讓個人數據的保護力度大大提升,但仍存在著立法分散、可操作性不強等問題。因此,李建瓴建議:“需盡快推進專門的個人信息保護法規的制定和出臺,為個人信息提供系統性、體系化的保護。”(光明網記者李政葳光明日報記者周洪雙)