今年,“永恒之蓝”“wannacry”等病毒在全球肆虐,想必不少人还记忆犹新;时不时爆出个人隐私被泄露的新闻,让人不禁担心:我们的互联网怎样才能更安全?
用个人信息换取优惠,
中国受访者愿意最高
“根据ITU全球网络安全指数,中国只有0.441分,美国是0.824分,差了将近一倍,全球网络安全排第49名。”中国工程院院士邬贺铨在2017年网络安全周“网络安全态势感知分论坛”上坦言,我国在网络安全方面仍有很大的进步空间。
首当其冲的问题是,我们对于个人数据的保护力度不够。在这一点上,欧盟的做法值得借鉴。
去年4月,欧洲议会通过了《通用数据保护法案》(GDPR)。该法案规定,无论数据控制者是否属于欧盟,只要用户数据涉及到欧盟成员国里个人的数据,都需要保护。
违规的处罚力度也很高。一般违规,行政罚款上限是1000万欧元,或该企业上一财年全球年度营业额的2%。严重违规,行政罚款上限加倍。
邬贺铨称,GDPR一旦正式实施,将对中国企业的移动应用安全、数据收集、处理和交易产生重大影响,比如银行、电子商务、互联网、IT企业和软硬件生产商。
有了行政处罚,但如果缺少用户的自觉配合,效果也很难说。遗憾的是,不少国人在个人数据的保护方面,意识严重欠缺,甚至为了“贪小便宜”,不惜出卖个人隐私。
他援引德国消费调研公司GFK一则调查显示,用个人信息换取低价或个人服务等优惠的意愿中,受访者愿意的最高比例是中国38%(完全不认可的只有8%),其次是墨西哥30%、俄罗斯29%,德国、法国、加拿大最不愿意透露个人信息。
“我国个人数据被滥用的情况比较严重,损害了个人隐私。不过,限制个人数据的合法利用,对互联网经济的发展也会有负面影响。” 邬贺铨指出,当下最关键是要明确对个人数据隐私的界定,这对相关政府部门,是一个挑战。
智能硬件普及,
“打补丁”来不及了
然而,仅仅依靠用户自身保护隐私,是远远不够的,尤其在物联网时代来临时。
众所周知,随着智能硬件的普及,联网的家居用品越来越多,甚至车联网的出现,使得汽车也变得容易被攻击。黑客不仅可以控制你的车辆,还可以通过麦克风偷听车内讲话。
“物联网的节点目前几乎没有安全措施,虽然用户有访问密码,但普遍比较简单,容易被破解。而且,物联网节点永远都在线,增加了物联网被木马控制的机会。物联网还往往控制基础设施或生产线,安全风险更大。” 邬贺铨院士担忧。
随着物联网的普及,过去的“打补丁”的思维变得落后了,毕竟,当电视、插座、摄像头、电饭煲、冰箱等都成为一台“电脑”的时候,“打补丁”已经不够用了。
更糟糕的是,过去可以“与世隔绝”、看上去绝对安全的政府和企业的内网,也面临着安全威胁,甚至可能面临“全军覆没”的风险。
就像360企业安全总裁吴云坤在演讲中称,“永恒之蓝”的爆发,充分印证了4个假设:假设系统一定有未被发现的漏洞;假设一定有已发现但未修补的漏洞;假设系统已经被渗透;假设内部人员不可靠。
上海市通信管理局局长陈皆重也表示:“拿‘Wannacry’的爆发举例,从微软漏洞补丁的发布,到蠕虫勒索病毒大规模爆发,有将近两个月的时间,在此期间我们错过了很多扼杀的机会,最终病毒仅仅用了几小时,就开始大面积传播。这个案例足以说明网络安全态势感知的重要性。”
所谓网络安全态势感知,是一种基于环境的,动态、整体地洞悉安全风险的能力,以安全大数据为基础,智能识别和处置安全威胁。简单来说,就是将病毒“扼杀在摇篮中”。
在展会现场,记者也目睹了全球首套基于VR可视化技术的3D网络安全态势感知系统,在这里,你可以身临其境地感受包括APT、DDos、钓鱼、电话诈骗、木马病毒在内的五大网络威胁的实时动态。
安全人才缺口,
最基础的安全技工成为短板
面对日趋严峻的网络危机,态势感知虽然可以有效未雨绸缪,但安全问题的根源,是人,同时,人也是安全防御的核心。
吴云坤的观点不乏无奈:“围绕态势感知的政企网络安全体系,离不开以人为核心的安全运营。从实践来看,态势感知系统的安全运营,人起到了关键性作用,但是安全人才的缺乏,是我们面临的现实问题。”
他告诉记者,目前整个安全行业当中出现了畸形人才需求,当下网络安全领域最火的,是各类挖漏洞的比赛。强调黑客文化,是好事,但对整个产业来说,却不一定。“美国有很多安全人员是最基础的安全技工,甚至是类似‘技校’出来的安全产业的技工。而在我国,这方面的技工恰恰是特别缺乏的。无论是政府还是企业,网站运营需要基础的架构安全和被动防御能力,只有安全技工的工作做好了,积极防御才能有效发挥作用,态势感知才能真正发挥作用。”