《求是》笔谈:没有网络安全就没有国家安全_掘图志

返回首页
当前位置: 主页 > 路由器设置 >

《求是》笔谈:没有网络安全就没有国家安全

时间:2016-04-07 00:51点击:

  10月15日,工程院院士邬贺铨、倪光南和沈昌祥在《求是》杂志上发表署名文章,题目为没有网络安全就没有国家安全,提出从战略高度重视网络安全,通过核心技术设备自主可控、相关法律完善等方面,全方位提升防御能力。

  核心要点:

  ■ 网络发展与网络安全相生相伴,二者既矛盾,又统一。我们既不能目光短浅,盲目追求信息流量和用户量的扩张,忽视新技术新业态带来的安全隐患,以网络安全失控为代价换取一时的发展;也不能因噎废食,为了谋求安全而放弃发展,失去因与威胁对抗而自我壮大的机会。

  ■ 技术只是手段,依法治网管网才是根本之策和长远之计。我们只有从战略高度重视网络安全,从核心技术与产业发展、相关法律的完善等全方位提升防御能力,网络安全才能真正实现。

  ■ 信息核心技术自主可控,不受制于人就显得尤为重要。尽管自主可控不等于安全,但它是网络安全的必要条件。如果信息核心关键技术和基础设施受制于人,那么由此构成的信息系统就像沙滩上的建筑,在遭到攻击时顷刻间便会土崩瓦解。

  ■ 可信计算就是把人类社会成功的管理经验用于计算机信息系统和网络空间。具体而言,就是首先在计算机系统中建立一个信任根,信任根的可信性由物理安全、技术安全、管理安全共同确保;再建立一条信任链,从信任根开始到硬件平台、操作系统、应用,一级测量认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。

  编者按:网络安全和信息化对一个国家很多领域都是牵一发而动全身的。没有网络安全就没有国家安全,没有信息化就没有现代化。我们约请三位院士谈谈如何维护我国的网络安全。

  建久安之势 成长治之业

  ■中国互联网协会理事长、中国工程院院士 邬贺铨

  中国是世界上最大的网络市场。中国互联网络信息中心(CNNIC)发布报告指出,到2015年6月底,我国互联网普及率为48.8%,网民总数达6.68亿。随着互联网的普及,网络安全事件呈上升趋势。中国也是黑客攻击的受害国。2014年,针对我国域名系统的流量规模达1Gbps以上的拒绝服务攻击事件日均约187起,约为2013年的3倍,被植入后门的网站达4万多个,有上千万台主机感染木马病毒。如何处理好网络安全与发展的关系,构建和平、安全、开放、合作的网络空间,成为摆在我们面前的现实课题。

  一、网络发展中的安全问题

  随着信息技术的发展,网络安全的内涵、形式和重点都在演变。互联网出现的早期,网络安全主要是保证电脑的物理安全以及通过密码解决通信安全问题。在Web时代,互联网商用带来的利益驱使,滋生了以制造木马为职业的黑客,网络安全的关注重点从物理网络转到所承载的信息。进入21世纪,各行各业对互联网的依赖越来越强。网络安全的保护范围从物理层、信息内容层扩展到控制决策层,时间上从被动的事后审计提前到事中防护和主动的事前监控,措施上从技术防护到管理保障,对网络安全的认识开始上升到纵深防御体系。2013年6月“棱镜门”事件曝光,联系到此前美国发布国家赛博空间安全战略,可见网络安全已上升到国家战略高度。

  网络安全小到个人电脑入侵,大到企业生产系统瘫痪、城乡基础设施故障、国家重要信息系统破坏和国防系统漏洞,影响无所不在。传统的网络安全问题包括劫持域名、篡改网页、钓鱼网站、盗窃账号、数据泄露等。随着应用技术向移动互联网、物联网、产业互联网、云计算和大数据的发展,网络安全问题也呈现出一些新趋势。

  新兴智能设备成为漏洞威胁的频发地。移动互联网与物联网相结合,催生出智能手环、智能手表、智能家电和智能汽车等。这些功能越来越复杂的智能硬件,具有永远在线、配置固定和系统升级慢等特点,因此承受的安全威胁在不断增大。2014年,国内已发现一些家庭网关、机顶盒和网络摄像头等被黑客控制的事件。

  互联网金融成为网络攻击的新靶场。2014年,针对第三方支付和网银等金融机构的网页仿冒事件,占到境内网站被仿冒页面数的80%。这些网站诱骗用户提供银行卡号、密码和身份证号码等信息,诈取钱财。针对我国境内的钓鱼网站近90%位于境外,而且近年来钓鱼站点有入驻云服务平台的趋势,这就难以基于IP地址来追踪处置。

  移动互联网成为网络攻击的重灾区。近年来,移动互联网恶意程序剧增。国家计算机网络应急技术处理协调中心监测发现,2014年移动互联网恶意程序数量近10万个,是2011年的152倍。恶意扣费、资费消耗和信息窃取位列移动恶意程序的前三类,具有拦截和伪造短信验证码功能的恶意程序也大幅增长。对移动恶意程序的安全检测将因程序制造者利用代码加密、加壳等“加固”手段而越发困难。

  云服务成为网络攻击的新高地。现在大量金融、游戏、电子商务、电子政务等业务迁移至云平台。2014年12月20日至21日,部署在阿里云上的一家知名游戏公司,被受木马控制的海量主机访问,遭遇了全球最大的一次分布式拒绝服务(DDoS)攻击,攻击时间长达14个小时,攻击峰值流量达每秒453Gb。按照Akamai公司2015年第2季度的全球网络安全报告,游戏占DDoS攻击次数之首,比重达35%,其次为软件与技术、互联网与电信、金融服务等。

  企业工控系统成为网络攻击的新战场。产业互联网的提出加快了信息化与工业化的融合,越来越多的工业控制系统开始联入企业的内网。这为黑客入侵企业工控系统提供了可能。2010年,一种名为“震网”的蠕虫病毒侵入西门子为伊朗核电站设计的工业控制软件,导致20%的离心机报废。2014年9月,一种远程木马“Havex”入侵全球能源行业的数千个工控系统,我国境内也有部分IP地址感染了该恶意程序并受到境外控制。近年来,针对产业互联网基础设施的网络攻击行为逐年增多,并具有长期潜伏、自我学习挖掘漏洞的能力。

  二、在发展中提升网络安全防御能力

  网络发展与网络安全相生相伴,二者既矛盾,又统一。我们既不能目光短浅,盲目追求信息流量和用户量的扩张,忽视新技术新业态带来的安全隐患,以网络安全失控为代价换取一时的发展;也不能因噎废食,为了谋求安全而放弃发展,失去因与威胁对抗而自我壮大的机会。

  安全问题是发展中出现的,只有靠自主创新推动发展才能解决。威胁与安全总是魔高一尺,道高一丈。以安全软件为例,从早期以对付软盘病毒为主的查特征码杀毒,到针对邮件和网页嵌入病毒的启发式杀毒,再到木马流行时期发展起来的云安全。当然,世界上不存在绝对安全的系统。虽然我们现在借助云端的安全软件和工程师经验可以大大提升查杀率,但是想要从源头上解决电脑的安全问题,还要从完善操作系统做起。我国在引入互联网的同时,几乎全盘接受来自国外的CPU、操作系统、路由器和服务器等产品。因为无法掌握其中的技术和源程序,也就难以发现内含的漏洞。大数据是企业和国家的战略资源。它既是网络安全保护的重要对象,也是支撑网络安全的新手段。通过收集网络攻击的大数据,我们可以发现网络攻击的异常行为和规律,有效识别攻击源和网络的风险点,阻止黑客入侵,使网络攻击行为无所遁形。

------分隔线----------------------------
推荐内容