从密码到指纹到人脸,电子设备和便捷支付的认证手段越来越高级,在我们的个人信息登录时也有密码和短信验证等诸多保护。那么,我们今天的网络已经够安全了吗?答案是不,而且数据显示是完全不。
8 月 23 日,IAIC 信息安全高峰论坛暨 2019 中国芯应用创新设计大赛上,赛迪智库网络安全研究所黄忠义分享的《网络信息安全技术与发展趋势》用数据让现场的观众一片哗然,让大家知道目前的网络安全建设仍然任重道远,要实现安全网络还有很多问题待解。
赛迪智库网络安全研究所黄忠义
网络安全环境不容乐观
首先是国际环境。当前,美国并没有给出实质性理由就对华为的 5G 设备安全提出质疑,这种情况进入 2019 年之后更为严重,在未拿出任何证据的情况下禁止美国企业和华为、中科曙光等企业进行交易和服务,这使得我国网络安全产业的国际环境极其恶劣。黄忠义引用了具体的案例,5 月 16 日,美国总统特朗普签署《确保信息通信技术与服务供应链安全》,将华为及关联企业加入“实体名单”;然后在 5 月底和 6 月初,国际学术组织纷纷将华为的会员资格取消。
其次是国内环境。黄忠义引用研究机构 CNCERT 的数据指出,目前我国每月新增信息系统安全漏洞数量较为稳定,其中高危漏洞占比在 30%左右。境内被篡改网站数量在 4 月和 5 月表现呈现快速增长的趋势,尤其是 5 月份,网站被篡改数量达到了 16999 个。
内忧和外患同在的情况下,黄忠义表示当前我们的网络安全整体态势不容乐观。CNCERT 数据显示,我国在 5 月份感染网络病毒的终端数量达到了 79 万台。并且,在 2019 年上半年发生了很多典型的网络信息大规模泄露事件。包括深网视界的人脸识别数据泄露,波及 668 万条个人信息;多家 HR 企业的求职者数据泄露事件,共关联 5.9 亿份简历信息;还有上海交通大学的电子邮件泄露事件,8.4TB 电子邮件数据被窃取。
政企加大整治网络安全力度
黄忠义在报告中指出,我国网络安全政策法规在加速出台。包括关乎数据安全和个人信息的《个人信息出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》等;关乎网络安全审查和网络安全漏洞审查的《网络安全审查办法(征求意见稿)》、《区块链信息服务管理规定》等。多项政策法规的出台使得《网络安全法》配套法规更加完善。
虽然当前网络安全的整体环境还存在诸多待完善的情况,不过我国网络安全产业发展态势良好。黄忠义表示,目前我国网络安全在法律法规、产业基地筹备、示范项目扶持以及投融资方面都呈现出良好的发展态势。他在介绍产业投融资方面讲到,据不完全统计,上半年国内共有超过 16 起网络安全企业投融资和并购事件,涉及金额累计超过 27.5 亿元,360、启明星辰、芯盾时代等企业都获得了健康充足的现金流。
在他的演讲中提到,我国在网络信息安全方面还是有较为完备的产业链。在云安全方面,国内企业有阿里巴巴、腾讯、百度、华为、山石网科、杭州安恒、网康科技;在数据安全方面,国内企业有启明星辰、天融信、绿盟科技、神州泰岳、时代亿信、明朝万达、中国软科、中电长城国际、上海现安、360、亿阳、鼎普等;在 APT 攻击检测与防护方面,国内企业有 360、阿里巴巴、安天、知道创宇、绿盟科技、金山等;威胁情报分析及安全态势感知方面,国内企业有 360、阿里巴巴、安天、知道创宇、微步在线等;在智能制造安全方面,国内企业有和利时、浙大中控、四方继保、南京自动化、绿盟科技、启明星辰等。
区块链技术在网络安全领域的作用
黄忠义表示,在网络安全建设中,区块链技术将发挥重要作用。他强调,解决网络安全并不需要完备的区块链技术,轻量级的区块链技术就能够发挥很大的作用。
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链起源于比特币,2008 年 11 月 1 日,一位自称中本聪(Satoshi Nakamoto)的人发表了《比特币:一种点对点的电子现金系统》一文,阐述了基于 P2P 网络技术、加密技术、时间戳技术、区块链技术等的电子现金系统的构架理念,这标志着比特币的诞生。黄忠义指出,区块链+边缘计算+物联网在未来的网络安全中发挥重要作用,物联网和边缘计算的结合正在成为物联网发展的主要趋势,然而边缘计算的出现虽然能解决物联网处理时效问题,同样也带来了设备安全、网络传输安全和数据安全等新的问题,而这些问题将被区块链技术解决。
黄忠义介绍称,边缘计算的安全体系主要分为四个部分。第一部分为数据安全,主要涉及保密性和安全共享、数据网完整性和数据加密性;第二部分为隐私保护,包括数据隐私保护、身份隐私保护和位置隐私保护;第三部分为身份认证,包括单一域身份认证、跨域身份认证等;第四部分为访问权限,包括属性访问控制和角色访问控制等。
在隐私保护方面,目前主要存在的问题有:
1、 数据开放过程中缺少关键数据和隐私信息的加密保护和追溯管理;
2、 互联网模式下,海量的用户数据在管理端“裸奔”,大量隐私数据被出售;
3、 关键信息的脱敏处理,如用掩码形式将姓名、证件号码中的某些信息用“*”代替,但是在大数据情况下不同数据库间的关联性高,通过对数据进行分析很容易暴露真实信息,并不能完全保护隐私安全。
而区块链技术能够很好地解决这个问题,能够帮助完成安全多方计算、环签名、混币、群签名、零知识证明、非对称加密等安全部署措施。
网络信息安全关乎国计民生,目前的形势较为严峻。未来,随着 5G、人工智能、物联网等新兴技术逐步释放潜力,数据量将成倍,甚至是指数倍的提升,因此数据安全的形势更为严峻和紧迫,我们需要像区块链这样的安全技术帮助我们建立安全的网络世界。