刚买完房子,打开手机,装修类信息瞬间“刷屏”;通过网站购买机票,旅游保险推销接踵而至……随着购物、网上支付、信息获取等日常生活的“互联网化”,隐私安全侵权行为发生的频率日渐增加,公民个人信息“裸奔”似乎已成为常态。
6月1日起,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式生效,《网络安全法》对网络诈骗、在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。
但即使是有法可依,“勒索病毒”的阴影在业界仍未散去。6月9日,2017中国网络信息安全峰会在京召开,如何构筑坚固的网络安全防线成为热议话题。
个人信息在“裸奔”
互联网时代,网上“留痕”的个人信息采集模式无处不在,个人信息被泄露、被滥用已成为无法回避的难题,就连虹膜识别、指纹识别、人脸识别这些生物识别技术也未幸免于难。
“仅用通过谷歌搜索找到高清晰图像,就可以使用一些虹膜扫描工具进行攻击。”清华大学语音和语言技术中心主任郑方此言一出,满座哗然。他表示,指纹识别和人脸识别抵御攻击的能力也同样很弱。
“在西班牙巴塞罗那举办的世界移动通信大会上,《华尔街日报》的记者把指纹在软胶膜上按压了五分钟,模具成型后,再按压上一层橡皮泥就能形成一个指纹膜,简单几下iPhone指纹解锁就被破解。”郑方说,“美国斯坦福大学还研发出一款人脸跟踪软件,它可以通过摄像头捕捉用户的动作和面部表情,然后驱动视频中的目标人物做出一模一样的动作和表情,效果极其逼真。”
连生物识别都未能给个人信息加把“安全锁”,就不得不让人想起刚刚过去的勒索病毒事件,给网络安全防护带来的教训与反思。
360企业安全集团副总裁左英男就深刻地认识到,我国终端安全管理和漏洞补丁运行能力仍有待加强;内网隔离不能一隔了之,内网也需要建立纵深防护体系;网络安全监测预警、分析响应缺乏有效的技术手段,缺乏体系化的应急响应机制……
国家信息技术安全研究中心常务副主任兼总工程师李京春也表示,目前,网络安全防御技术相对比较传统,智能化设备发展滞后,网络安全与大数据真正的融合还未完全实现,关键信息基础设施保护也亟待解决一系列瓶颈问题。
例如此次的勒索病毒事件,“攻击端攻击链已经形成,而防守端并没有真正形成资源整合,包括数据资源、情报资源的整合与共享等。”李京春说。
在中国工程院院士沈昌祥看来,“由于人们对IT的认识逻辑的局限性,不能穷尽所有组合,只能局限于完成计算任务去设计IT系统,必定存在逻辑不全的缺陷,从而难以应对人为利用缺陷进行的攻击。”
可信计算开启主动防御时代
在互联网领域,安全是永恒的主题。在沈昌祥看来,“老三样”封堵查杀的被动防御已经过时,网络安全防护必须采取主动免疫防护的措施,从逻辑正确验证、计算体系结构和计算模式等方面进行技术创新,以解决逻辑缺陷不被攻击者所利用的问题,从而形成防攻矛盾的统一体。
沈昌祥说,大数据是一个有密码保护的可信计算环境,要有可信边界及安全可信的保护,更要有管理中心进行安全管理。只有构筑这样的安全管理体系,才能应对各种漏洞。
他认为,就像刚出生的宝宝,如果没有免疫系统就容易染病一样,大数据漏洞永远封堵查杀不完,用可信计算来增加自主的免疫力,才是大数据安全未来的出路。
“只有用可信计算才能不被攻击者所利用,就是用中国的可信技术,涉及核心的关键设施用自己的创新技术解决安全问题。”沈昌祥说,“这样才能达到攻击者进不去,即便进去了也拿不到东西,就算拿到了也看不懂、改不了的效果。”
可信计算是指计算运算的同时进行安全防护,使计算全程可测可控,不被干扰,只有这样才能改变只讲求计算效率,而不讲安全防护的片面计算模式。
沈昌祥表示,可信免疫的计算模式与结构是一种运算和防护并存的主动免疫的新计算模式,它以密码为基因,实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机制的有害物质,相当于为计算机信息系统培育了免疫能力。
“实施安全可信系统的架构,必须进行可信度量、识别和控制,确保体系结构、资源配置、操作行为、数据存储和策略管理均可信。”沈昌祥补充道,要从根上解决大数据安全问题,就要构建安全管理支撑下防御体系。比如,数据源头如果没有按照协议收集过来的垃圾数据,就要把以前废弃的处理出来;然后进行有逻辑的运算、挖掘、评估其规律,面向应用,支持表达,产生产品。
态势感知成为网络安全建设重点
对于安全大数据的基础与技术,李京春指出了多个研究方向,例如威胁情报与信息共享、态势感知与预警、基于机器学习的威胁分析、互联网舆情情报预警等。
其中,态势感知被认为是网络安全建设的重点。左英男表示,积极防御强调人的参与,通过持续的检测,主动消费威胁情报,获取当前的安全态势,从而采取行动,对抗攻击者。
网络安全态势感知就是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处理能力的一种方式,最终是为了决策与行动,是安全能力的落地。
左英男认为,在发展初期,受限于对态势感知的理解偏差、数据和安全分析能力,态势感知很多都沦为了展示汇报的“地图炮”,用户在使用的过程中,发现这些系统的能力与期望还是有很大的差距,并没有真正解决安全问题。
而进入去年下半年,经过行业和企业用户及网络安全企业的共同努力,用户逐渐对态势感知在安全运营上的能力落地有了一些共同的认识,以态势感知为基础的这类系统和体系开始逐渐走向实用。
左英男同时提出了态势感知能力落地的三个要素:数据是基础、处置是关键、人员是保障。与会专家也提出,态势感知系统一方面要尽可能具备全要素数据收集能力,除了资产信息、系统日志、安全设备日志之外,还要收集终端数据和网络流量数据等。另一方面还要大量使用威胁情报,威胁情报的使用对于降低垃圾数据产生的噪音、提升威胁检测的效率也极为关键。