今天，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展并沒(méi)有帶來(lái)網(wǎng)絡(luò)環(huán)境的凈化，反而是安全問(wèn)題越來(lái)越嚴(yán)重。有關(guān)部門監(jiān)測(cè)到，僅今年上半年，新增的移動(dòng)惡意程序相比去年同期就增長(zhǎng)了13%。如此形式下，以現(xiàn)有的安全技術(shù)和ICT產(chǎn)業(yè)基礎(chǔ)，國(guó)家的安全該如何保障?企業(yè)的安全該如何防御?在2014互聯(lián)網(wǎng)安全大會(huì)上，各專家拋出新一輪的觀點(diǎn)，集中指向在當(dāng)前薄弱的信息安全基礎(chǔ)設(shè)施下，網(wǎng)絡(luò)安全應(yīng)以攻防結(jié)合為主。

　　不團(tuán)結(jié)就不安全

　　每一家安全廠商都希望做大而全的完整的產(chǎn)品線，但每一個(gè)點(diǎn)上都做得很粗糙。想的是怎么分蛋糕，而不是怎么把蛋糕做大。

　　其實(shí)，中國(guó)的網(wǎng)絡(luò)安全薄弱到何種程度，很多人并不知曉。

　　去年有兩件非常轟動(dòng)世界的事都和中國(guó)相關(guān)：一個(gè)是在2月份美國(guó)發(fā)布了APT分析報(bào)告，另一個(gè)是6月份發(fā)生的斯諾登棱鏡門事件。

　　國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春透露，從APT分析報(bào)告和斯諾登公布的資料發(fā)現(xiàn)，中國(guó)的技術(shù)和美國(guó)相比差距還是非常大的，包括威脅評(píng)估、追蹤溯源、取證能力。美國(guó)擁有全面的監(jiān)管和精確制造能力，而中國(guó)在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施方面仍然非常薄弱，防滲透能力非常差。而且，從棱鏡門事件可以看到，美國(guó)在面臨網(wǎng)絡(luò)安全問(wèn)題的時(shí)候能夠有效協(xié)調(diào)安全廠商、技術(shù)機(jī)構(gòu)、媒體形成常態(tài)化優(yōu)勢(shì)，而中國(guó)在技術(shù)標(biāo)準(zhǔn)、監(jiān)管機(jī)制和產(chǎn)業(yè)聯(lián)合引導(dǎo)方面還是非常不足。

　　今年上半年的“心臟出血”漏洞，引起全世界高度重視。有機(jī)構(gòu)初步統(tǒng)計(jì)了約20個(gè)國(guó)家的OpenSLL漏洞修復(fù)水平，能在漏洞被發(fā)現(xiàn)72個(gè)小時(shí)后修復(fù)的，全球平均水平是40%，但中國(guó)僅有18%的網(wǎng)站修復(fù)了漏洞。直到現(xiàn)在，還有16%的網(wǎng)站沒(méi)有進(jìn)行修補(bǔ)。

　　另外，產(chǎn)業(yè)界的不團(tuán)結(jié)也是導(dǎo)致安全技術(shù)和安全防護(hù)能力不高的原因?！懊恳患野踩珡S商都希望做大而全的完整的產(chǎn)品線，但實(shí)際上每個(gè)點(diǎn)上我們似乎都做了，每一個(gè)點(diǎn)上我們卻做得都很粗糙。大家更多的追求的是商業(yè)模式上的創(chuàng)新，在技術(shù)方面，實(shí)際上我們投入得非常少?！痹茣源赫f(shuō)，“這樣的結(jié)果是大家都聚焦在一個(gè)有限的市場(chǎng)上，想的是怎么分蛋糕，而不是怎么把蛋糕做大。同質(zhì)競(jìng)爭(zhēng)的結(jié)果往往是高質(zhì)量的安全產(chǎn)品賣出了一個(gè)白菜價(jià)，導(dǎo)致廠商盈利能力越來(lái)越差，也導(dǎo)致整個(gè)技術(shù)創(chuàng)新能力提高幅度有限?！?

　　反過(guò)來(lái)看，美國(guó)的安全產(chǎn)業(yè)總體格局非常完善，在最底層有強(qiáng)大的、全世界都要使用的基礎(chǔ)信息巨頭IBM、微軟、思科等，在上面有一系列網(wǎng)絡(luò)安全的產(chǎn)業(yè)聚集，而且有一系列的專業(yè)安全廠商，同時(shí)針對(duì)相應(yīng)的政府部門有一系列的專業(yè)技術(shù)企業(yè)，所有這些企業(yè)就構(gòu)成了一個(gè)完整的網(wǎng)絡(luò)安全產(chǎn)業(yè)格局，這種體系格局自然而然對(duì)提高美國(guó)整體網(wǎng)絡(luò)安全能力變得非常重要。

　　全國(guó)產(chǎn)不是唯一保障

　　就算全世界用的都是華為的路由器，也依然解決不了數(shù)據(jù)會(huì)在世界上繞一圈再回來(lái)，這就無(wú)法保證根本性的安全。

　　現(xiàn)在，很多人強(qiáng)調(diào)要實(shí)現(xiàn)網(wǎng)絡(luò)安全，首要是要IT基礎(chǔ)設(shè)施和信息系統(tǒng)從上至下都是國(guó)產(chǎn)。但是，全是國(guó)產(chǎn)的，并不能解決問(wèn)題。

　　網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室主任杜躍進(jìn)認(rèn)為，因?yàn)榻裉斓木W(wǎng)絡(luò)本身就存在很強(qiáng)的依賴關(guān)系，例如需要域名解析和國(guó)外企業(yè)的認(rèn)證，需要國(guó)際的計(jì)費(fèi)和路由系統(tǒng)的支撐。網(wǎng)絡(luò)安全對(duì)抗不僅僅是說(shuō)數(shù)據(jù)本身的保護(hù)，也包括系統(tǒng)運(yùn)行本身的保護(hù)。“震網(wǎng)”病毒侵入伊朗，提醒了我們只從系統(tǒng)安全的角度來(lái)看今天的網(wǎng)絡(luò)安全是有問(wèn)題的。因?yàn)閺南到y(tǒng)安全思考網(wǎng)絡(luò)安全，會(huì)想如果用國(guó)產(chǎn)的CPU、國(guó)產(chǎn)的操作系統(tǒng)、國(guó)產(chǎn)的數(shù)據(jù)庫(kù)不就安全了嗎?其實(shí)不是的。處在網(wǎng)絡(luò)環(huán)境中，就算全世界用的都是華為的路由器，也依然解決不了數(shù)據(jù)會(huì)在世界上繞一圈再回來(lái)，這就無(wú)法保證根本性的安全。

　　一味防御不如攻防結(jié)合、抓住機(jī)會(huì)進(jìn)攻。據(jù)悉，今年5月周邊某國(guó)匿名者組織了對(duì)我國(guó)的網(wǎng)絡(luò)攻擊行動(dòng)，篡改了一大批網(wǎng)站。今年6月，又有幾個(gè)周邊國(guó)家20多個(gè)黑客組織聯(lián)合起來(lái)攻擊中國(guó)，篡改了境內(nèi)多個(gè)網(wǎng)站。思科系統(tǒng)亞太區(qū)、大中華區(qū)首席信息安全官江明灶就指出，在安全事件中，29%~54%的企業(yè)或機(jī)構(gòu)都是超過(guò)幾個(gè)星期或幾個(gè)月才發(fā)現(xiàn)自己的網(wǎng)絡(luò)被攻破了，此時(shí)數(shù)據(jù)早就已經(jīng)泄漏。很多企業(yè)安全管理的做法主要針對(duì)防控，但是預(yù)防是針對(duì)知道的問(wèn)題才能預(yù)防，不知道的根本無(wú)法預(yù)防。當(dāng)一些新的漏洞被發(fā)現(xiàn)、新的攻擊大量出現(xiàn)時(shí)，對(duì)方利用這些漏洞攻擊系統(tǒng)時(shí)自己是不知道的，如果只顧著防御，很快就會(huì)被攻破。

　　所以，攻擊才能有效牽制對(duì)方發(fā)動(dòng)攻擊的意圖。對(duì)于安全基礎(chǔ)薄弱的一方來(lái)說(shuō)，如果已經(jīng)成為對(duì)方攻擊的目標(biāo)，與其被動(dòng)挨打，不如主動(dòng)出擊，擾亂對(duì)方視線。

　　不拘一格出人才

　　安全行業(yè)未來(lái)一定是人才的競(jìng)爭(zhēng)。網(wǎng)絡(luò)安全保障能力其實(shí)取決于服務(wù)、取決于提供服務(wù)的安全人員技術(shù)水平。

　　在杜躍進(jìn)看來(lái)，網(wǎng)絡(luò)安全的本質(zhì)是人和人之間的攻防對(duì)抗。中國(guó)對(duì)網(wǎng)絡(luò)安全提出了“戰(zhàn)略清晰、技術(shù)先進(jìn)、產(chǎn)業(yè)發(fā)達(dá)、攻防兼?zhèn)洹笔址结槪跑S進(jìn)將其解讀為：這些方針實(shí)現(xiàn)的基礎(chǔ)是人才。

　　云曉春指出，我國(guó)在網(wǎng)絡(luò)安全方面的投入絕大多數(shù)花在硬件上，一部分花在軟件上，很少一部分放在服務(wù)上，但是國(guó)外是將絕大部分投入放在了購(gòu)買安全服務(wù)上。這說(shuō)明，國(guó)際上通常認(rèn)為的網(wǎng)絡(luò)安全保障能力其實(shí)是取決于服務(wù)、取決于提供服務(wù)的安全人員技術(shù)水平。如果有非常強(qiáng)大的安全團(tuán)隊(duì)跟蹤網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，即使設(shè)備能力稍微弱一點(diǎn)，安全保障能力也能跟得上。所以，人才的能力對(duì)網(wǎng)絡(luò)安全始終是最重要的。如果整個(gè)國(guó)家、整個(gè)產(chǎn)業(yè)重視安全服務(wù)，那么安全隊(duì)伍也會(huì)人才輩出。

　　其實(shí)很多企業(yè)抱怨，高校培養(yǎng)出來(lái)的科班信息安全人員往往不能用在企業(yè)的安全技術(shù)研發(fā)創(chuàng)新上，也勝任不了攻防任務(wù)。偏偏很多不是學(xué)軟件、安全、計(jì)算機(jī)專業(yè)的人，以前沒(méi)有接觸過(guò)編程的人，成了網(wǎng)絡(luò)安全高手。他們以前有做律師的、做醫(yī)生的，也有做金融的、學(xué)數(shù)學(xué)的等等，因?yàn)榕d趣而投身到網(wǎng)絡(luò)安全中，成為頂尖的黑客。

　　360公司董事長(zhǎng)兼CEO周鴻祎認(rèn)為，安全行業(yè)未來(lái)一定是人才的競(jìng)爭(zhēng)。美國(guó)已經(jīng)有網(wǎng)絡(luò)部隊(duì)了，中國(guó)到目前為止還沒(méi)有，這方面的人才其實(shí)比較缺乏。而美國(guó)的網(wǎng)絡(luò)安全除了靠網(wǎng)絡(luò)部隊(duì)，還有很多民間承包商和民間公司幫助她做很多國(guó)家安全的事情，中國(guó)要學(xué)習(xí)這一點(diǎn)。以前，中國(guó)的安全人才有三個(gè)流向，一個(gè)是去了美國(guó)，另一個(gè)是落入了黑色產(chǎn)業(yè)鏈，還有一個(gè)是白帽子?，F(xiàn)在搞攻防大賽、XP挑戰(zhàn)賽，就是要將落入黑產(chǎn)的安全人才拉到白帽子行列，而重視安全服務(wù)，給安全人才更好的待遇，也能為培養(yǎng)安全隊(duì)伍打下基礎(chǔ)。

　　專家觀點(diǎn)

　　國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春

　　合作才能構(gòu)建完整的漏洞防御體系

　　在現(xiàn)代這種高水平、高強(qiáng)度的攻擊下，一方面絕大部分的部門沒(méi)有專業(yè)能力應(yīng)對(duì)高強(qiáng)度的攻擊，另一方面，因?yàn)楦鞲筛鞯模詈笮尾怀烧w合力，因此真正大規(guī)模攻擊發(fā)生的時(shí)候各單位都顧此失彼，最后沒(méi)有辦法有效應(yīng)對(duì)。我們面臨的問(wèn)題是分而有余，合而不足。之所以出現(xiàn)越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題，一個(gè)基礎(chǔ)的原因是我們現(xiàn)在在網(wǎng)絡(luò)安全方面的法律體系不健全，這種不健全，意味著在網(wǎng)絡(luò)上進(jìn)行犯罪的成本非常低。低成本的犯罪自然而然就縱容了網(wǎng)絡(luò)各種攻擊行為的出現(xiàn)。但更重要的是在目前的情況下，我國(guó)網(wǎng)絡(luò)安全保障工作體系化能力不足，沒(méi)有一個(gè)有效的、整體的防御體系和規(guī)劃，最后導(dǎo)致當(dāng)真正的攻擊來(lái)臨的時(shí)候，處理的難度非常大。網(wǎng)絡(luò)安全體系保障的困局，最終導(dǎo)致了我們?cè)诨ヂ?lián)網(wǎng)安全方面治理的困難。

　　要想解決整個(gè)國(guó)家網(wǎng)絡(luò)安全保障體系能力提升的問(wèn)題，實(shí)際上最重要的一點(diǎn)就是合作。我們知道網(wǎng)絡(luò)安全根本性的問(wèn)題是因?yàn)榇嬖诼┒?，如果我們能夠預(yù)先知道漏洞，在這個(gè)漏洞被利用前能找到并把它修補(bǔ)起來(lái)，自然而然網(wǎng)絡(luò)安全的保障能力就能很大提升。如果想提高發(fā)現(xiàn)漏洞的能力，就需要構(gòu)建一個(gè)漏洞防御體系。其中，構(gòu)建一個(gè)好的漏洞報(bào)告平臺(tái)非常重要。依賴于某一個(gè)人或某一個(gè)團(tuán)體就把所有的漏洞都發(fā)現(xiàn)，是不可能的事情。只有發(fā)揮全社會(huì)的力量，大家一起來(lái)干，才有可能把盡可能多的漏洞發(fā)現(xiàn)。

　　此外，還需要有專業(yè)的團(tuán)隊(duì)進(jìn)行檢驗(yàn)和評(píng)估，判斷漏洞的危害性。當(dāng)然漏洞出現(xiàn)了以后，相應(yīng)的廠商要結(jié)合到體系內(nèi)，把他自己產(chǎn)品的漏洞及時(shí)快速地修補(bǔ)起來(lái)，甚至做產(chǎn)品的召回。同時(shí)用戶接到漏洞的通報(bào)信息以后，也要能夠迅速地按照要求把補(bǔ)丁打上。

　　只有把報(bào)告平臺(tái)、專業(yè)隊(duì)伍、生產(chǎn)廠商、產(chǎn)品用戶團(tuán)結(jié)起來(lái)合作，才有可能構(gòu)成一個(gè)比較完整的漏洞防御體系。

　　中國(guó)工程院院士、車聯(lián)網(wǎng)專家郭孔輝

　　智能汽車安全狀況堪憂

　　車聯(lián)網(wǎng)的推廣和普及拉動(dòng)新的巨大產(chǎn)業(yè)鏈，對(duì)GDP有強(qiáng)力拉動(dòng)。假設(shè)平均一輛汽車設(shè)置的車聯(lián)網(wǎng)硬件是5000元的話，現(xiàn)在年產(chǎn)2300萬(wàn)輛車，一年的附加值可以達(dá)到1000億元以上，可是軟件和地面設(shè)施各種服務(wù)就可能達(dá)到上萬(wàn)億元的產(chǎn)值。車聯(lián)網(wǎng)產(chǎn)業(yè)鏈越來(lái)越長(zhǎng)，汽車產(chǎn)銷經(jīng)營(yíng)活動(dòng)加入了很多服務(wù)的內(nèi)容，汽車制造商和信息集成商、服務(wù)商可以直接聯(lián)系，聯(lián)通到各個(gè)領(lǐng)域的服務(wù)部門。

　　但是，車聯(lián)網(wǎng)、物聯(lián)網(wǎng)又帶來(lái)了安全的風(fēng)險(xiǎn)，信息技術(shù)在汽車上的應(yīng)用也成為了雙刃劍。目前智能汽車至少有超過(guò)80個(gè)智能傳感器，每天傳輸?shù)臄?shù)據(jù)高達(dá)100M，這些數(shù)據(jù)涵蓋了汽車和駕駛者的個(gè)人信息，利用市面上隨手可以得到的汽車診斷設(shè)備外加一款應(yīng)用軟件即可實(shí)現(xiàn)對(duì)智能汽車的攻擊。有網(wǎng)上傳言，只要10美元就可以攻破奔馳和寶馬。最近360破解了特斯拉Model S應(yīng)用軟件的一些漏洞，并實(shí)現(xiàn)對(duì)特斯拉車的開(kāi)鎖等行動(dòng)。

　　以O(shè)BD技術(shù)為例，它是用來(lái)自行診斷車輛故障類型的功能模塊，可以遠(yuǎn)程通過(guò)手機(jī)進(jìn)行遙控，可以讓汽車駕駛途中中途熄火，遙控打開(kāi)其后備廂進(jìn)行偷盜，隨時(shí)可以讓汽車車門打開(kāi)，進(jìn)行很多不安全的動(dòng)作。有的還有自動(dòng)的防撞系統(tǒng)，剎車一下后面追尾就一大串。這種應(yīng)用軟件一旦放到網(wǎng)上公布，任何使用手機(jī)的人都有可能變成汽車的黑客，這將是災(zāi)難性的。針對(duì)車聯(lián)網(wǎng)行業(yè)防OBD攻擊的智能汽車防火墻產(chǎn)品，SyScan360已經(jīng)首次開(kāi)始亮相了，可是道高一尺、魔高一丈，之后的發(fā)展前景還是值得憂慮的。

　　網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室主任杜躍進(jìn)

　　用競(jìng)賽尋找網(wǎng)絡(luò)安全人才

　　網(wǎng)絡(luò)安全的本質(zhì)和其他的東西不太一樣，本質(zhì)是人和人之間的攻防對(duì)抗，并不是客觀的。打個(gè)比喻，當(dāng)對(duì)手已經(jīng)用上隱形的戰(zhàn)機(jī)飛越屏障時(shí)，我們還想象著要修一個(gè)長(zhǎng)城就可以打退敵人，這顯然是無(wú)法攻防對(duì)抗的。你必須要了解對(duì)手是人不是一個(gè)已經(jīng)寫(xiě)好的程序，更需要像對(duì)手一樣思考。現(xiàn)實(shí)中防御團(tuán)隊(duì)做的很多東西，與攻擊團(tuán)隊(duì)的思路很不一樣，防御的手法很容易被攻擊者繞過(guò)去。所以對(duì)做網(wǎng)絡(luò)安全的人來(lái)說(shuō)，不能只是從自己的想象出發(fā)，還要了解自己的對(duì)手。例如網(wǎng)絡(luò)釣魚(yú)，專家給出的防范網(wǎng)絡(luò)釣魚(yú)的方法有很多條，而實(shí)際上，這些方法都可以被黑客繞過(guò)去，最終的結(jié)果是防不勝防。

　　我認(rèn)為解決網(wǎng)絡(luò)安全問(wèn)題的方法之一是競(jìng)賽，更廣泛地用集體的力量來(lái)幫助我們解決問(wèn)題。競(jìng)賽分成三種不同的類型，第一類是挑戰(zhàn)賽，針對(duì)一個(gè)真實(shí)存在的系統(tǒng)或者是應(yīng)用尋找問(wèn)題，進(jìn)行改進(jìn)。

　　第二類是創(chuàng)意賽，尋找新的方法。比如想解決一個(gè)問(wèn)題，某一個(gè)人的方法證明效果最好，我們就把這個(gè)方法拿出來(lái)解決實(shí)際問(wèn)題?，F(xiàn)實(shí)中有非常多的東西可以用這種方法來(lái)找到答案。

　　第三類是對(duì)抗賽，在比較短的時(shí)間里通過(guò)攻防對(duì)抗的方式和合作的方式找出誰(shuí)的技術(shù)積累、快速分析能力、應(yīng)變能力最強(qiáng)，從防的角度來(lái)說(shuō)也可以驗(yàn)證真實(shí)的效果。

　　我們認(rèn)為，網(wǎng)絡(luò)安全的人才是要在實(shí)際場(chǎng)景中練出來(lái)的。

　　360公司董事長(zhǎng)兼CEO周鴻祎

　　智能化與大數(shù)據(jù)帶來(lái)安全挑戰(zhàn)

　　安全的挑戰(zhàn)，我覺(jué)得有這么幾個(gè)問(wèn)題。

　　第一，當(dāng)所有的設(shè)備都變成智能化、都接入網(wǎng)絡(luò)以后，邊界的概念將會(huì)進(jìn)一步被削弱，也就是說(shuō)接入點(diǎn)越多，可以被攻破的可能的入口就會(huì)越多。過(guò)去，我們很奉行隔離、切斷，把電腦放在一個(gè)屋子里，把一個(gè)網(wǎng)絡(luò)進(jìn)行隔離，但今天會(huì)發(fā)現(xiàn)越來(lái)越多不起眼的設(shè)備都支持WiFi和藍(lán)牙，這里面有太多可以被別人攻擊的點(diǎn)，而且攻擊點(diǎn)越多，防守的挑戰(zhàn)就越大。

　　第二，過(guò)去很多企業(yè)可能不太重視企業(yè)的安全。我們很多時(shí)候買防火墻是為了合規(guī)，是上級(jí)要求和行業(yè)要求，但是防火墻究竟有沒(méi)有配置好，能起多大的作用并不知道，可能也不怎么會(huì)出事，因?yàn)檫^(guò)去，企業(yè)可以把自己割裂在一個(gè)安全的孤島上，但是現(xiàn)在變成互聯(lián)的企業(yè)之后，就不可避免要把自己的核心業(yè)務(wù)系統(tǒng)接入到互聯(lián)網(wǎng)上。

　　第三個(gè)問(wèn)題，大數(shù)據(jù)污染。就是大數(shù)據(jù)中如果被人人為加入了不好的數(shù)據(jù)、人為操作和注入修改虛假信息，在數(shù)據(jù)傳輸存儲(chǔ)過(guò)程中出現(xiàn)了問(wèn)題，而我們又根據(jù)大數(shù)據(jù)做一些行業(yè)的指導(dǎo)和趨勢(shì)的分析，可能會(huì)出問(wèn)題。

　　大數(shù)據(jù)還會(huì)帶來(lái)兩個(gè)挑戰(zhàn)。一個(gè)是大數(shù)據(jù)帶來(lái)的用戶隱私問(wèn)題。最近美國(guó)機(jī)器人很熱，當(dāng)大數(shù)據(jù)運(yùn)用到人工智能后很可能人類技術(shù)會(huì)發(fā)展到一個(gè)新的基點(diǎn)。當(dāng)機(jī)器智能能夠控制很多設(shè)備的時(shí)候，會(huì)出現(xiàn)兩種可能，一種是家庭生活會(huì)變得更加幸福，另一種是駭客帝國(guó)的時(shí)代會(huì)來(lái)臨。

　　另一個(gè)，也是最重要的一個(gè)挑戰(zhàn)是用戶隱私的挑戰(zhàn)。在這樣一個(gè)IoT和大數(shù)據(jù)的時(shí)代，我們每個(gè)人的數(shù)據(jù)，實(shí)際上只要使用網(wǎng)絡(luò)服務(wù)，就會(huì)被傳到云端，就會(huì)被儲(chǔ)存到各個(gè)提供互聯(lián)網(wǎng)的、或是聯(lián)入互聯(lián)網(wǎng)的公司的云端，每個(gè)人會(huì)變得更加透明。而法律和規(guī)則的制定往往是落后的，有很多問(wèn)題會(huì)說(shuō)不清楚，也管不清楚。