在今年“315”晚会现场,当观众将手机连接现场伪装Wi-Fi后,由网络安全工程师模仿的黑客便能获取现场观众手机上的照片和其他重要信息。
最近,在2015深圳IT峰会的“网络安全与法治”讨论中,有嘉宾指出当前企业的窘境:在网络安全面前,只有两种企业,一种是发现被攻击的,一种是尚未发现的。
网络安全涉及到三个层次:国家、企业及个人。在业内人士看来,这三个层次的网络安全息息相关。
3月26日,英国《金融时报》报道称,针对华为是否可能损害英国国家安全的担忧,这家中国电信设备制造商已获得“完全健康通知”。
这让华为公司松了口气。华为2010年在英格兰牛津郡的班伯里建立了网络安全评估中心,负责分解并剖析在英国使用的硬件设备和软件。此前,在美澳等国,有人对华为的网络安全有诸多质疑。因此,英国政府设立了一个监督委员会审查华为网络安全评估中心的工作。
业内人士分析,不论是其他几个国家以网络安全的名义来中国公司,还是中国公司出于安全考虑对国际产品做限制,都说明网络安全是一个敏感话题。
“企业、个人在中国现有的技术基础上,能轻松的获得相应的网络安全保障吗?”数字中国联合会常务理事丁健抛出了一个至关重要的话题。
安天实验室首席技术架构师肖新光指出,当前,国内网络安全产业处于一个既蓬勃又复杂、纠结的环境中。
“从单点技术而言,能够正常的看到很多亮点,但是这些亮点并没有转化成上述三个层次网络安全的有效能力。”肖新光说。
安天实验室、猎豹移动等都曾获得AV-TEST移动安全年度大奖。但是,肖新光认为,这些奖项并不意味着产业整体实际能力的提升。
他的佐证是,从个人角度看,中国PC端恶意代码数量下降,但病毒数并未减少,而是转移到了移动端;而从企业网来看,几乎有一半企业未进行安全管理,大量内网的反病毒程序要历经三个月,甚至半年才升级一次,企业因为担心影响业务,也不敢打补丁。
北极光投资顾问(北京)有限公司创始人邓锋认同这个观点中国企业的每一个单点网络安全技术也许不比国外差,但是把几个单点做成产品的能力却有待商榷。单个产品可能能力不错,但是却无法把一个产品做成一个良好的解决方案。
“网络安全不单单是防火墙、防病毒,我们差的不是产品和技术,而是网络安全的理念。”邓锋举例称,国内电商公司泄露数据现象严重,违法成本却很低,被泄露了信息的消费者甚至也无所谓,信息被“黑手”拿走了都没有意识到。
受到业内专家普遍推崇的一个观点是,网络安全涉及到人的意识、流程、工具、技术、立法等多方面,是一个需要综合治理的过程。
肖新光提出,从事地下经济的灰色人群数以万计,甚至百万计,已形成了既定事实存在,因此,对网络安全治理而言,也不是简单堵住的问题。
“网络安全的综合治理需要改变观念。比如,网络安全一定不可以建立在一个混乱的治理体系下,行业良性发展绝对不是建立在问题越多、保障越低的基础上。网络立法、有效的执法及其配套的综合治理才是网络安全厂商良性发展的基础。”肖新光说。
他进一步解释,一个综合治理方式,既能某些特定的程度地遏制住地下经济发展,又能使攻守双方进入基本平衡的保障博弈,还能有效地限制一些厂商滥用权限甚至违法犯罪行为,这样才可以促进网络安全产业的发展。
比如,国内曾有一段时间遭遇了大量分布式拒绝服务(DDoS)攻击,以此勒索企业。所谓DDoS攻击,是指借助于客户、服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。在这种攻击下,企业的服务能力将受到严重影响。
肖新光透露,某号称反DDoS产品的所谓“安全厂商”采用了先救用户,再敲诈用户的方式造成了不少危害网络安全的事件,在治理中,该厂商被一举端掉。
“网络安全企业、网络安全技术和服务人员总是要进行技术间的博弈,而公权部门则要时时打击制造病毒的人。”肖新光认为,网络安全的综合治理与产业良性发展也需要多方参与。
在谈到网络安全时,“比较敏感”的防火墙问题非常关注。在防火墙承担着守护网络安全的职责时,先进的技术应用及交流也被关在了门外。
“有些是国家信息,有些是企业信息,有些是个人隐私信息,有些是谁也说不清楚所有权归谁的信息,大家都是胡乱地安全防护,挡起来不进行区分,对整个行业是没有好处的。”讨论现场有人抱怨道。
“有没有一些方法能够更柔性一点,如果胳膊上出了一点伤口,能不能上点药,而不是把胳膊切了?”丁健给出了一个比喻式提问。
但是,一位业内人士指出:“中国的网络处于国外输送特洛伊木马的氛围中,不论是操作系统还是芯片,都面临风险。因此,在没能力安全操作这一些产品的情况下,只能尽量用防火墙挡起来。”
邓锋认为:“只把某些网站封堵,解决不了特洛伊木马的问题,某些网站封堵也不完全是因为木马,可能受制于网站内容,这种封堵并非最好方法。把坏东西挡住的时候,一些好东西进不来了,这些都是代价。以我的看法,今天的方法一定不是最好的方案,还有值得改进的地方。”