“万物互联”时代,如何守住安全门
网络安全,不是新鲜话题,然而,两个嵌入这一关键词的新闻却耐人寻味。
其一,日前在美国内华达州拉斯维举办的defcon黑客大会上,一架配备了实现渗透测试(一种黑客或者网络安全维护人员常用测试)的软件工具的特殊无人机,令人倒吸一口冷气――那意味着,在电子遥控下,这架飞行器甚至可升至20层楼高度并停驻在目标窗口,通过接入其wifi网络,入侵房间内所有电子设备并获得所需数据,并同步传回。
其二,近日中美就共同打击网络犯罪等执法安全领域的突出问题深入交换意见,达成重要共识。
随着网络技术日新月异,其在传统领域的安全威胁从未消失,与此同时,恶意程序、远程控制等从pc端威胁逐步向移动互联网扩散,不仅有日益入侵个人生活趋势,更成为国与国交流的关注焦点。
“万物互联”时代,如何守住安全门?
网络价值爆发
危机倍增
身在办公室,轻点手机屏幕即可关闭家中卧室的电视机;佩戴可识别芯片的猪肉,从屠宰到上桌全流程可追踪;凭借感应元件,万里之下海底动态一目了然……如今已经司空见惯的种种生活、科研便利,正不知不觉将把人类推向“万物互联”时代,将人,流程,数据和事物结合通过网络一一串起,创造出前所未有的功能和价值。正如“梅特卡夫定律”所预言的,网络的价值与联网的用户数的平方呈正比。从本质上讲,网络的力量大于部分之和,使得万物互联,令人难以置信的强大。
“万物互联在给人们的工作和生活出行带来便利的同时,也引入潜在的新型安全隐患。”上海交通大学网络信息中心姜开达博士说。
“安全漏洞是在软件、硬件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未充分授权的情况下访问或改变原有系统功能和数据信息。它是伴随着互联网成长的永恒话题,是对普通民众的最大安全威胁,其存在是无法避免的。”在他看来,物联网、智能家居、云服务、发达的社交网络等的发展,给恶意使用安全漏洞更大的施展空间。
仅此次黑客大会上,就有一批黑客相继演示了破解特斯拉、切诺基汽车等与日常生活息息相关的设备。想象一下,当正在使用的智能设备瞬间被其他人“接管”,无论经济安全、信息安全均可能已“敞开大门”。
更为可怕的是,随着智能设备的发展普及,数量剧增,这些设备一旦被入侵,很可能变为新的“僵尸”,成为分布式拒绝服务(ddos)攻击的帮凶之一。通常,攻击者使用一个偷窃账号将ddos主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。据cncert统计,仅2014年,中国就有1108万台主机感染成僵尸主机,这一数字若再增长,能量可想而知。
解题瓶颈“追不上”的尴尬
工业和信息化部电信研究院专家刘多此前发表的《当前网络安全形势与展望》一文中,对此面临的挑战有着更为宏观的表述。
万物互联下网络攻击正逐步向各类联网终端渗透。以智能家居为代表的联网设备逐步成为网络攻击目标;专门针对工业控制系统的“震网”(stuxnet)病毒感染了全球超过45000个网络。
与此同时,木马僵尸网络、钓鱼网站等非传统网络安全威胁有增无减,分布式拒绝服务(ddos攻击)等新型网络攻击愈演愈烈。统计报告显示,全球恶意代码样本数目正以每天可获取300万个的速度增长,云端恶意代码样本已从2005年的40万种增长至目前的60亿种。基础通信网络和金融、工控等重要信息系统安全面临挑战。
情势如此严峻,而安全防范却直面“追不上”的尴尬。
一方面,网络安全隐患遍布于新兴技术产业的各重要环节,但针对性的安全产品极度稀缺,相关防御技术手段的研发尚处于起步阶段。在新兴技术产业的强劲增长驱动下,网络安全问题的影响范围不断延展,威胁程度日渐加深。
另一方面,则是理论范畴的“定义困境”。中国国际战略学会副研究员虞爽认为,互联网诞生至今不过短短几十年,由于技术发展、普及覆盖速度过快,把相关的基础理论研究远远地甩在身后,而网络安全新问题层出不穷,令人措手不及,许多基础定义、标准的缺失,造成了大量的“盲点”和“空白”,成为阻碍网络安全问题解决的“坚冰”。今年5月,他赴美参加东西方研究所主办的“国际网络安全合作”圆桌会议,讨论该所拟于年内发表的网络安全报告。然而在过程中,许多题目都受到了类似困扰。例如:“有效打击跨国网络犯罪行为”,到底哪些行为可以归入“网络犯罪行为”;“治理网络不良内容”,到底哪些内容属于“不良内容”。同时,国家间对一些基本定义和概念的不同理解,也严重影响了网络安全国际合作。
可怕的是
我们对其熟视无睹
“新的漏洞不断被挖掘和曝光,进而被修复,对整个网络世界的整体安全性提升是有显著积极作用的。安全威胁并不可怕,可怕的只是我们对其熟视无睹。”姜开达说。
在他看来,提供互联网产品和服务的厂商,要承担起自己的社会责任。产品存在漏洞是普遍现象,没有必要遮遮掩掩,而是应该加大安全方向投入,无论在产品的开发测试阶段,还是提供正式服务以后的全生命周期内都要真正重视起安全,提供持续的安全升级和及时发布公告修复已知漏洞,对用户的安全负责。
而在互联网安全行业,商机也伴随技术挑战共生。近年来,我国安全产业增长速度不断加快,预计2017年复合年增长率将达到17.4%。增速第一的安全服务领域复合年增长率将达到23.6%,远高于国际平均水平。
国家信息中心原首席工程师宁家骏认为,传统网络安全实际上是基于静态、被动、防御的作战思维。随着网络的发展,网络攻击也与时俱进发生了新的变化。首先,随着移动互联网、byod、虚拟化等技术的发展,传统意义的边界已经不复存在,难以用简单“隔离”手段解决;其次,攻击不再是秀肌肉炫耀式的攻击,更多的是以政治、经济、军事等为目的的有组织的针对性攻击,诸多尚未有破解之道的未知漏洞成为其有效攻击手段。
业内专家指出,相关行业也应及时求变,逐步实现网络安全防护从静态、基于威胁的保护向动态、基于风险的防护转变。
来源:解放日报
专注物联网新闻报道,每日推送最新物联网、人工智能、智能穿戴设备等相关产业资讯。扫描下方二维码关注 传感物联网 官方微信(或微信中搜:chuanganwang )。
