新年伊始網路安全事件接連“爆發”——

後勒索病毒時代誰來守衛祖國第五疆域

進入21世紀第18個年頭,現代社會已經沒有誰可以輕易離開網路,如同百萬年前人類祖先對空氣、陽光和水的感受那樣,儘管這些東西往往以一種悄無聲息的狀態存在,卻有著近乎生命本身一般的分量。不過,就像後者常常會面臨空氣污染、水污染等安全事件,藏匿于我們之間的網路世界,同樣危機四伏、暗流涌動。

新年伊始,網路安全事件便接連“爆發”,首當其衝的是全球最為知名的半導體製造巨頭英特爾,這個給全球提供電腦晶片的公司被曝出晶片存在設計漏洞,隨後英特爾對外稱將建立新的網路安全部門,該事件還被一些業內專家稱為“電腦史上最大安全事件”;隨後,美國一網路安全公司發佈聲明稱,將於下月舉行的南韓平昌冬奧會被駭客“盯上了”,有駭客曾試圖竊取平昌冬奧會的敏感數據。

而類似事件,早已不是第一次發生。2017年5月,那場肆虐全球的勒索病毒事件至今令人心悸——一款名為“WannaCry”的勒索病毒一天橫掃150多個國家。該事件也成為一個轉捩點,網路攻擊對關鍵基礎設施的破壞,讓所謂的普通網民從“圍觀者”淪為“受害者”,而如果將攻擊的主體看作一個個國家,這種危害性更是不言而喻。在後勒索病毒時代,面對網路安全這個新戰場,該如何守衛,又將由誰守衛,成了一個新命題。

正如中國科學院資訊工程研究所所長、中國科學院大學網路空間安全學院院長孟丹所説,“網路空間已成為繼陸、海、空、天之外的第五疆域,相應的資訊技術已經滲透到物理世界、人類社會各個方面,而資訊技術滲透到哪,安全的問題就出現在哪!”在前不久舉行的全國高校網路安全聯賽網路安全人才培養與産業發展高峰論壇上,他説,目前來看,網路安全形勢十分嚴峻,相應的人才培養缺口非常大。

過時的封堵查殺“老三樣”VS沒有真正“刀槍不入”的安全?

在勒索病毒事件中,最讓人驚訝的,莫過於該病毒的源頭竟是美國官方針對Windows等系統自行研發的駭客武器。這再次讓人們意識到,再強大的網路防護體系都有被攻破的可能。

中國工程院院士、海軍計算技術研究所高級工程師沈昌祥就持這種觀點。在論壇上,他説自己曾試著從邏輯上證明“軟體無BUG”,結果發現這個證明是偽命題,“世界上沒有無BUG的軟體,跟人體一樣,有缺陷併發生病變是避免不了的”。

他認為,不可能存在銅墻鐵壁、刀槍不入的安全之地,即使設計再精巧,結構再複雜,無一例外都會有漏洞。

網路安全領域的一項研究顯示,程式員每寫1000行代碼,就會出現1到6個缺陷或錯誤,而這1到6個缺陷就有可能産生漏洞,如果這些漏洞是不可能避免的話,那麼“被攻擊”就有可能發生。

在2015年中國網際網路安全大會上,美國首任網軍司令亞歷山大的一番話震動不少人:世界上只有兩種系統,一種是已知被攻破的系統,一種是已經被攻破但自己還不知道的系統。這意味著,在攻擊者面前,沒有任何安全的系統。

現實中不乏案例佐證:2010年,伊朗核設施遭遇來自國外的“震網”病毒攻擊,直接導致該國核設施1000多臺離心機癱瘓,而這可是該國國防軍守衛的機密目標;2014年,南韓兩座核電站的內部文件遭到駭客“洩露”,這其中包括核電站近萬名員工的個人資訊、核電站程式運作説明、空調和冷卻系統設計圖、閥門設計圖,等等。

不過,這並不意味著人們對待網路攻擊就束手無策了。沈昌祥説,過去人們往往通過防火牆、殺病毒和找漏洞等“老三樣”的手段,希望把網路威脅“擋”在門外,讓所保護的對象免受攻擊風險。但在他看來,資訊安全問題是由設計缺陷而引起的,消極被動的“封堵查殺”是防不勝防的,這就好比,沒有免疫系統的孩子只能生活在無菌的狀態下,不停地殺病毒。説到底,從一齣生就沒有免疫系統,這是問題的關鍵。

他開出的藥方是採用“安全可信”的免疫計算方法和計算體系結構,給中國的網路安全“造”屬於自己的“免疫系統”。

在2013年,沈昌祥就和倪光南等25名院士經過調研,給國家領導人寫了一封關於國家網路安全和自主創新的建議信,其中就提到“可信計算”這個詞。所謂“可信計算”,是一種運算和防護並存的主動免疫的新計算模式,具有身份識別、狀態度量、保密存儲等功能,可及時識別“自己”和“非己”成分,從而破壞與排斥進入機體的有害物質——相當於人類的免疫系統。

時隔3年,我國出臺了《網路安全法》,其中就提到要推廣“安全可信”的網路産品和服務。如今,沈昌祥所推崇的可信計算正在構築我國網路安全防線,他希望看到的最終效果是——

攻擊者進不去,非授權者的重要資訊拿不到,竊取的保密資訊看不懂,系統和資訊改不了,攻擊行為賴不掉。“黑暗力量”“震網”“火焰”“Wannacry”等不查殺而自滅。

網路安全説到底是人與人的對抗VS網路安全人才缺口巨大

這也是國際IT巨頭一個共同努力的方向。以微軟為例,該公司在2002年即啟動了可信計算計劃,並先後在Vista、Win 8、Win 10中捆綁銷售。在沈昌祥看來,這是一個“極大的威脅”,他説,中國可信計算産業可能將失去進入市場的機會,將嚴重威脅中國的網路安全。

美國陸軍一份長達35頁的《2016-2045年新興科技趨勢報告》顯示,有20項最值得關注的科技發展趨勢,而在20項趨勢技術中,有11項和資訊技術有關,更為重要的是,這11項技術每一項都談到了安全問題。在網路安全上的投入研發似已成共識,而背後比拼的,就是人才培養的速度。

正如孟丹所説,網路空間裏所有的攻防,説到底是人和人的攻防,至於機器、系統、體系起到的、更多是輔助提高效率和水準。

從目前來看,我國這方面的人才儲備卻不容樂觀。這次論壇上披露了兩組對比鮮明的數據——

一組數據來自中國資訊通信研究院《網路安全産業白皮書(2017)》,其中提到中國有超過30家年度營收過億元的網路安全企業,其中不乏具有産業整合能力的龍頭企業。近年來,中國的網路安全行業市場規模逐年擴大,預計2017年網路安全産業規模將達457.13億元。

另一組數據則表明,當前國內資訊系統和資訊基礎設施等重要行業網路安全人才需求達70萬人,至2020年將增加到140萬人,並且需求量預計將以每年1.5萬人的速度遞增,而目前高校每年培養的網路安全相關專業人員不到1萬人。

中央網信辦網路安全協調局副局長胡嘯也提到,2015年,我國專門設立了網路空間安全一級學科,在29所高校裏設置了多個試點,儘管如此,我國的網路安全人才匱乏情況仍沒有得到根本改變。

在這次論壇上,他還專門提到全國人大此前組織的一次調研,調研樣本超過1萬個,結果顯示有69%的調研對象認為本單位和周邊熟悉網路安全技術的人才不多,而有21.6%的人認為自己單位和周邊沒有熟悉網路安全技術的人員。胡嘯説:“這從另一方面反映了我國網路安全人才培養工作急需加強。”

中國科學院院士、深圳大學電腦與軟體學院院長陳國良説,我國網路安全學科建設才剛起步,任重而道遠。他還表示,目前國內網路安全人才培養存在師資隊伍不強,缺乏高層次專業教師;教材體系不完善,專業教材良莠不齊;實踐教學環節缺乏系統性,理論教學與實際脫節等問題。

這也是與會專家推崇全國高校網路安全聯賽的一個重要原因。“網路空間安全是一個實戰型非常強的學科,通過實戰鍛鍊技術能力才是網路安全人才的有效培養手段。”中國科學院重大科技任務局副局長戴博偉説。

當然,網路安全既需要進攻型人才,也需要防守型人才。前者更加需要逆向思維與突破創新能力,後者則強調責任心和快速學習能力。在中國工程院院士、中國網路空間安全協會理事長方濱興看來,相比之下後者可能更難,因為網路安全存在“攻易防難非對稱性”。

他説,作為攻擊者,他失敗99次,只要有一次成功就是成功了,但是作為防禦者,即便之前成功99次,但後來失敗了一次,結局就是失敗了。這就是所謂防禦和攻擊不對稱,這種複雜性也從某種程度折射出網路安全人才培養之不易。

中國青年報·中青線上記者 邱晨輝 來源:中國青年報