构筑更安全的“第五空间”
万物互联时代,虚拟空间与现实世界深度融合,网络安全边界变得逐渐模糊,各类已知和未知的安全威胁正在不断涌现。如今,网络空间已经成为“第五大空间”。如何防范新技术带来的新安全隐患?加强关键信息基础设施安全应该从哪些方面入手?大数据时代,个人信息安全如何防护?9月17日至23日,2018国家网络安全宣传周在全国统一举行,其间举办的网络安全博览会、网络安全技术高峰论坛以及主题分论坛上,这些话题成为各界热议的焦点。
创新技术,实现更智慧的安全防护
在今年的网络安全周博览会上,记者捕捉到这样一幕:驾驶平衡车逛公园,没想到半路上车辆不听使唤,一场交通事故一触即发。原来,黑客可以通过超声波,干扰平衡车、防抖云台、无人机等智能物联网设备。
万物互联时代,网络摄像头、路由器等大量设备直接暴露在互联网上,且相当大比例的设备存在弱口令或漏洞风险,物联网渐成网络安全的“重灾区”。中国工程院院士沈昌祥对记者坦言,在新的网络安全环境下,杀病毒、防火墙、入侵检测这传统的“老三样”,已经难以应对人为攻击,且容易被攻击者利用,因此,找漏洞、打补丁的传统思路已不利于整体安全。
安恒信息总裁范渊也表示,物联网生态下,网络安全的形态正在发生变化,新技术正与网络安全不断融合。“‘大智移云’(大数据、智能化、移动互联网和云计算)时代下的网络安全,已不再是后天外部增补,而需要天生自带‘免疫’功能。”范渊说。
诸多互联网企业也给出了新的应对策略。记者从网络安全博览会现场了解到,腾讯安全“智慧共治平台”集合安全大数据、麒麟伪基站定位系统,与相关机构协同治理电信诈骗等不法行为;安恒信息以“AI驱动创新安全服务”为主题,通过威胁狩猎技术对电子银行体系监测,并可以提前进行安全评估;指掌易通过移动安全技术建设,保证移动考勤、文档存储等移动端上的信息安全。
“要用新思维构建万物互联安全共同体,产业心态、商业模式、供给侧、利益分配等思路都要发生转变,进而推进人工智能、大数据等新技术为万物互联安全赋能。”启明星辰创新业务事业群总经理吴海民说。天空卫士CEO刘霖也认为,期待通过技术的不断创新,打造完整的安全体系,实现基础安全技术与创新技术并进,实现更智慧的安全防护。
感知风险,以不变应万变
关键信息基础设施是经济社会的中枢神经,也是网络安全的重中之重。此前,乌克兰电力系统遭黑客攻击,导致大规模停电事件,一直是业界的热议话题。“大量电力行业新业态涌现,使得电力系统控制范围扩大、结构变得更复杂,电力行业已成为网络攻击的重要目标。”国家能源局电力安全监管司副司长张扬民说。
与电力行业类似,中国移动信息安全管理与运行中心总经理张滨经常把通信设施比作一张“网”,它包含了通信终端、接入网、支撑系统、传送网等多个层面,任何一个环节出现问题,都会对整个系统产生影响。“现在,网越来越大,应用越来越广,风险也会越来越大。”张滨说。
中国电子科技网络信息安全有限公司副总经理王文胜认为,目前,关键信息基础设施安全防护能力还存在手段不多、单点防护、高低有别、信息隔离、体系不全等问题;另外,持续监控和分析能力不足,内外协调联动力度不够,导致难以面对有组织、高强度的针对性攻击。
张滨建议,要加强标准体系完善,做到以不变应万变,以无序对有序;还要注重布局“预”的能力,基于大数据分析做好预警、预知和预防,把事后的安全向事前、事中去转移。
“感知网络安全态势是做好网络安全工作的基础。”在国家计算机网络应急技术处理协调中心副主任云晓春看来,要不断加强网络安全信息统筹机制和平台建设,强化检测认证与审查的工作。另外,网络安全漏洞也是重要资源,应逐渐完善漏洞共享、利用、披露机制,发挥漏洞在网络对抗中的关键作用。
完善立法,提供系统性、体系化保护
近年来,个人信息与隐私泄漏事件频发,与之相关的电信和网络犯罪行为也成为社会的一大顽疾。今年国家网络宣传周期间发布的《2018年网民网络安全感满意度调查报告》显示,过半网民认为在购物、社交聊天时,个人信息泄露风险更大;近四成网民认为手机APP、搜索信息对个人信息保护不够安全;三成以上网民认为利用云盘存储、投资理财不够安全。
公安部第一研究所副所长于锐表示,实际上,绝大部分单位并不具备存储和管理海量个人信息的能力,也缺少保护海量个人信息的责任,在技术上也缺乏保障个人信息以及隐私数据绝对安全的有效措施。“采集、存储和管理个人信息及隐私数据,并非相关企业开展互联网业务的必要前提,却成了个人信息犯罪难以遏止的‘泛滥洪水’之源。”
新的网络安全环境下,应该如何保护网民的个人信息安全?于锐说,长期实践表明,单独强调技术手段或行政监管产生的效果都很有限,应该做到技术手段与行政监管并重,“毕竟好的技术手段需要依托行政监管落地,行政制度也需要技术手段来做支撑”。
公安部第三研究所副所长李建瓴认为,在个人数据保护方面,我国个人数据保护立法尚不完善。2017年个人信息保护虽然已经写入《网络安全法》,让个人数据的保护力度大大提升,但仍存在着立法分散、可操作性不强等问题。因此,李建瓴建议:“需尽快推进专门的个人信息保护法规的制定和出台,为个人信息提供系统性、体系化的保护。”
(光明网记者 李政葳 本报记者 周洪双)