8月7日,由公安部第三研究所《信息網(wǎng)絡(luò)安全》雜志主辦、北京知道創(chuàng)宇信息技術(shù)有限公司協(xié)辦的基于對抗的網(wǎng)絡(luò)空間安全高級研討會在京召開。與會專家結(jié)合自身工作,暢談網(wǎng)絡(luò)空間安全面臨的威脅以及應(yīng)對方法。
國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀遠比預(yù)期糟糕
如今,網(wǎng)絡(luò)空間已經(jīng)成為繼海、陸、空、天之后的第五大主權(quán)領(lǐng)域空間,沒有網(wǎng)絡(luò)安全,就沒有國家安全。
公安部網(wǎng)絡(luò)安全保衛(wèi)局處長盤冠員表示,雖然我國網(wǎng)絡(luò)安全整體能力有提高,但被動局面未根本改變;關(guān)鍵信息基礎(chǔ)設(shè)施安全有所改善,但發(fā)展不平衡,安全隱患仍突出,風(fēng)險大量存在。比如抗攻擊能力不強、內(nèi)網(wǎng)安防不到位等。
國家為應(yīng)對網(wǎng)絡(luò)安全問題,采取了一系列的行動。知道創(chuàng)宇作為某行動的支持單位,其安全服務(wù)產(chǎn)品線OSS總監(jiān)蔣佳良總結(jié)工作表示:“(安全)現(xiàn)狀遠遠比預(yù)期糟糕”,有的單位存在資產(chǎn)梳理不清、流量監(jiān)測不到位、安全意識薄弱、缺乏相關(guān)人力支撐等問題。
他還表示,弱口令、釣魚攻擊、新漏洞利用等都是企業(yè)容易遭遇的網(wǎng)絡(luò)安全威脅。
在眾多安全風(fēng)險和漏洞中,中國電子商會自主可控技術(shù)委員會理事長馮燕春少將表示:“開源軟件廣泛使用,開源風(fēng)險快速增加。”
她解釋說,開源治理公司——Sonatype的一項調(diào)查數(shù)據(jù)顯示,在調(diào)研的3000家企業(yè)中,每年每家企業(yè)平均下載5000個開源軟件,而開源代碼中存在的漏洞被黑產(chǎn)廣泛利用,并且,由于開源代碼成分未知,面對開源風(fēng)險威脅,運維和應(yīng)急響應(yīng)均處于被動地位。
“國外開源軟件安全(產(chǎn)業(yè))已經(jīng)開始爆發(fā),國內(nèi)市場開始萌芽。”馮燕春透露說,國外近幾年大的資本開始投入開源安全市場,比如Blackduck(開源代碼審計和管理領(lǐng)域的領(lǐng)導(dǎo)者)在2017年被Sonatype以5.48億美元收購,而國內(nèi)相關(guān)開源軟件安全的研究成果僅在高校、研究所產(chǎn)出。
真正發(fā)揮網(wǎng)絡(luò)安全防護能力,需建立跨部門協(xié)同安全體系
如何構(gòu)建安全的系統(tǒng),應(yīng)對網(wǎng)絡(luò)安全威脅?
人民銀行資深安全專家分享說,首先要解剖和反思自身系統(tǒng)存在的問題,比如是否存在威脅發(fā)現(xiàn)不及時、數(shù)據(jù)泄露風(fēng)險大、認(rèn)證與授權(quán)技術(shù)滯后、應(yīng)用系統(tǒng)防護不足、安全運營支撐較弱、邊界防御不足、保障體系不完善等;然后進行自我救贖,以互聯(lián)網(wǎng)為突破口開展自主風(fēng)險管理探索,逐步輻射覆蓋流程復(fù)雜、機構(gòu)龐多、結(jié)構(gòu)復(fù)雜的內(nèi)部網(wǎng)絡(luò)和系統(tǒng),形成以內(nèi)部發(fā)現(xiàn)處置為主、外部支撐服務(wù)為輔的綜合處置能力。
她還強調(diào),要真正發(fā)揮網(wǎng)絡(luò)防護的能力和水平,需要建立跨部門的互聯(lián)網(wǎng)協(xié)同安全體系,對內(nèi)協(xié)同關(guān)聯(lián)運行部門,對外協(xié)同國家安全主管部門,建立應(yīng)急響應(yīng)協(xié)同處置工作機制。
文/南都個人信息保護研究中心研究員 尤一煒