当前位置:CIO频道新闻中心 → 正文

大智移云时代的网络安全形势与对策

责任编辑:cres |来源:企业网D1Net  2020-01-11 16:15:28 原创文章 企业网D1Net

2020年北京部委央企及大型企业CIO年会于1月11日在北京开启。大会邀请了约150位来自北京部委、央企和知名企业的信息高管出席,围绕“数字化转型的实践落地”,共同探讨数字经济下政府部门和大型企业在政府职能转变及企业业务变革方面的全新机遇,为企业数字化转型出谋划策。
 
以下是现场速记。


公安部保密中心副主任李超
 
李超:各位同仁,大家下午好!我是来自公安部保密科技司李超,下面由我给大家分享一下关于“大智移云”时代网络安全形势和对策。
 
刚才各位领导全面讲了信息化的整体情况包括自己单位信息化的情况,但实际上这一块从我来说,我一直在做安全,比如说从国家层面,全部进入电子化办公之后,如果你上了户口之后,发现网断了,连户口上不了了,到医院看病,网断了病都看不了了,家里电断了之后,网用不了或者在网上购物,自己数据被拿走了,这时你还想再用数字化、电子化的东西吗?因此关于安全的形势,一直在伴随着信息化的建设过程之中。
 
下面我简单从三个方面给大家分享一下:
 
第一,网络空间面临的威胁和挑战。
 
第二,等级保护2.0的工作要求。
 
第三,新形势下网络安全主要工作。
 
什么叫“大智移云”?大家都提到新技术的应用,从大数据、移动互联网、智慧城市,智慧城市主要是用了物联网相关的技术,还有云计算。大家可能会问到为什么不提区块链?因为区块链在我的眼里,也是在很多做信息安全或者密码学人的眼里,它不是新技术,只是出现新的方式。因为区块链核心技术还是基于加密算法还有哈希算法、疏密加密算法组成的概念,只要是能够用区块链解决的问题,用密码学都能解决。当然有些专家、高校学者为了忽悠甲方,包括特别注重AI的,现在各单位信息化到了一定程度之后也在提AI的概念。
 
AI是什么意思?当时浙大的陈院士在第十八次政务云授课时给习总讲了一次课,提到了区块链技术,当时习总不知道出于什么考虑,因为他连国产自主可控包括CPU、芯片、操作系统都没提过要大力推进,专门针对区块链提出概念。
 
因此有些技术方面的东西,从长期来看,AI技术如果不是使用区块链技术,就如同一个高楼大厦建在沙滩上,我始终没有想明白AI技术和区块链有多大关系,因为如果说AI技术没有做过密码学或者信息安全作为支撑的话,就如同高楼大厦建在沙滩上,我们是可以理解的。比如机器人建了之后不受控制,逮住谁打谁,这时会造成很大的危害。
 
因此在新时代,新技术应用之后,我们越来越重视网络安全。新技术给网络安全,给我们的生活包括社会发展、科技进步带来了巨大的便利,同时也给我们自己国家安全和社会安全、经济安全、文化安全等等都带来了巨大的挑战。
 
互联网从最早八几年提出来引进中国之后,用了罗邦帝的话说:网络把世界一网打尽,让世界变成一个小小的地球村。包括美国前副总统戈尔说:谁掌握了网络,谁就掌握了世界。
 
互联网被美国说得过分了,互联网给世界设下了一个局。美国是关于网络最大的赢家,网络的概念,我们现在提叫因特尔或者互联网,在真正翻译过程当中,我们上的是美国的网,不是上的中国的网。
 
我们知道陆、海、空、天是国家的新的主权空间,十八大以后,习总书记越来越重视关于网络安全。因此将信息提出了网络空间,上升到国家战略层面,提出了网络安全成为陆、海、空、天后新的主权的空间。
 
刚才提到了美国利用网络把世界一网打尽,它是怎么打尽的?给大家介绍一下。美国掌握着国际互联网的根服务器,但是在美国自己本土占了10个,还有3个在美国的小兄弟手里即日本、欧洲、美国驻外的领地。全国的IPV4地址有40多亿个,美国占30多亿,占了全球74%,中国14亿人口只占了5000万左右,只占了1%多一点点。大家都知道IP地址是上网用的,如果没有IP地址上什么网?或者上网也可以,但是你访问的时候把根服务器断了,你上什么网?整个国家网都断了。这是说的上网的问题,能上网了也可以,但是在互联网上的信息,我们国家建了国家防火墙之后,把很多信息屏蔽掉了。
 
将来如果翻墙出去会看到全世界由于它的英语信息占了90%,法语占了50%,只有中文信息不足1%。另外还有95%以上的服务信息都是由美国服务的,全世界互联网信息90%以上是英、美,95%以上都是美国控制的。我们为什么要建长城防火墙?它是有原因的。刚才提到全球的网络安全形势,我们上的是美国网。
 
下面说一下我们国家面临的网络安全的外部威胁,首先从几个方面来讲:
 
第一,以美国为主导的西方盟友,它有它的小兄弟们。从1993年克林顿时期已经开始提出了信息安全的概念,他当时已经认识到这个问题了,1993年可能我们的网络估计还是用电话线上网,已经开始筹建网络防御体系,知道自己保护数据了。就如同现在的老百姓对签字很敏感。到了小布什时期,2000年左右的时候,进入新时期之后,美国开始做网络风暴演习的工作,他提出制定第一份《网络空间安全国家战略》,第一份是由我翻译的,当时美国没太注意,它有网络风暴1.0,每两年搞一次,前几年的网络风暴它的方案我们都能拿到,后来就拿不到了,因此它也越来越注重安全性保护。之前演习报告在网站上是有的,所以我们能拿到,但是后来拿不到了。当时能看到美国人怎么做的,类似于我们今年国家在搞的公安部组织的护网行动,验验你好不好,但是我们还处于小儿科初级阶段,如果用学历来形容,美国拿到博士学位,中国在上小学二年级。
 
从网络工具到奥巴马时期,已经发展成型国家战略部队出来,它有国家任务部队,它的指挥体系、网络武器已经形成完备武器,同时它的假想敌还是中国。因为我们国家黑客水平很高,为什么没把俄罗斯当为主要对手?因为中国的水平比俄罗斯高一些,它随时对我们发起网络战。
 
下面说一下信息战的网络战概念,我们国家不敢明目张胆来做,但是在国外已经操作了。首先在北非,突尼斯还有茉莉花革命,茉莉花革命是怎么做的?就利用网上信息,通过网上宣扬美国设民主,当然我们国家当时在东丹也有茉莉花革命的迹象,虽然我们有防火墙拦着,但是还是有,中国老百姓特别实在。因此宁愿信网上的谣言,不信实际的事实,不信政府对外的辟谣。
 
另外美国对伊朗20年前就动手了,它利用“震网”病毒,美国让伊朗核设施基础瘫痪了。还有美国在两三年前向欧美、法国,利用“火焰”病毒,监听老百姓数据。包括德国总理的电话,各方面的信息都被他监听。
 
同时在中东,他布置了“火焰”病毒,中东向伊朗、包括以色列等它自己的盟友都监听。
 
下面说一下敌对势力,我们主要的敌对势力主要指的是藏独、疆独、法轮功,他们利用互联网对国家综合系统发起攻击、控制和突破,主要方式是篡改网页。特别是高校、中学网站经常被帖反党的标语。
 
新技术应用越来越广泛了,同时我们国家的网络安全也面临新的挑战。从技术方面,互联网的发展我们自己能感觉到,从2018年年底统计的数据,中国互联网网站数量是500多万个,美国估计没那么多,网民是8.29亿,其中这8.29亿里用手机上网的人是8.17亿,手机网民占所有网民98.6%,电子商务交易规模突破了30万亿以上。这个数量能反应出来我们国内对互联网或者对网络的依赖,包括社会运转、人民的生活越来越严重,同时就像以前我们提到的说网络社会是个虚拟社会,但是现在它这个虚拟社会已经深深的融入到了我们的现实生活之中,不能再说网上的社会是一个虚拟社会,它确实已经融入到我们的生活之中。
 
另外网络安全给我们国家关键基础设施带来的危害也非常严重,因为我们国家大部分设备,关键信息、基础设施存在很严重的隐患,因为前期建设过程中都不注重安全性建设,用我的话说“先跑起来再说”,先穿裤衩,外面护甲别带了,很多信息化建设都是这样。一个网站上面,甚至连防火墙都没有,信息直接出去了。前期由于欠帐太多,因此基础设施的隐患还是比较严重的,这也影响到我们国家安全还有社会的公共安全。
 
另外由于这些基础设施隐患比较严重,就像图片演示的一样。高铁一旦发生网络战,像高铁出轨,城市来断水、断电,整个城市瘫痪,这也会带来严重的后果。大家都知道,高铁按照等级保护定的是四级,自来水、供水系统以及国家电网系统都是定的四级,因为它太重要了,这些系统如果出问题,供不了水、断电了,整个城市就瘫了,根本不需要敌人来攻击我们,我们自己就乱了。再说打仗的目的是什么?打仗的目的就是为了把你搞乱,把你政权搞垮,为了一个目的是赚钱。
 
第三,网络安全、网络违法犯罪活动快速增长,同时给社会稳定带来巨大的影响。刚才提到了8亿多网民,网上诈骗、网上泄密、网上赌博等行为越来越猖獗,同时每个人身边,我估计每个人几乎每天会平均接到一个广告电话,这些个人信息泄露行为越来越多。
 
这个图片讲的是大家从网上买数据,买的关于考试的数据,比如网上有卖考试题,同时你找些人,买一些人员信息也是有的,包括股民的信用卡信息等,网上卖什么的都有。
 
还有人有卖药的,比如药贩子卖药,老年人的数据是有的,还有病历是有的,包括个人其他的数据,比如说身份证号码、银行卡、家庭住址等等在网上都有卖的。这些数据我们可以警惕,包括我们订高铁票需要身份证号码,在网上注册信息,手机号实名都需要身份证号码。比如国家前期调研的时候,我们在做实名制,前台拟名,后台实名,在聊天室或者论坛里别人不知道是你,但是我想知道你的时候,我随时可以知道是你,后台本来就是你在上网。
 
另外手机号码,我们有学术语言叫手机号码是实名制的,但是对个人说的时候,它是弱实名。前段时间滴滴平台做系统的评审,当时提到他们准备做实名制,但是他说手机号码不叫实名制,但是我们几个人一直认为,手机号码不是实名制,但是它是弱实名。手机号码本身就实名的,你这个人自己不知道,但是如果他知道你个人的手机号码之后,比如像运营商有些数据也是泄漏的,它可以从运营商泄漏出去的数据之后,就可以拿到身份证号码,拿了身份证号码之后可以对照你的银行卡、卡号,有了身份证号码、手机号码、银行卡号,去银行里面干点什么事,或者从网上银行干点什么事儿就太容易了,因此数据安全越来越重要。
 
前段时间,公安部也在组织一项专项行动叫做“净网行动”,在全国各地都有宣传。特别浙江最狠,把违规使用个人数据的公司老板、员工都抓走了,员工是做开发或者做数据的没有违法,是老板违法,但是老板以前也不知道是违法的,为什么?他认为采集一个人的数据,当时没有那么明确的要求,但是你采集我的数据,你用于干什么?经过用户的允许了吗?因此这时公安把公司老板抓了,为什么也抓了员工?把员工也抓走了,把员工正常发的工资全部缴回,你发的工资也属于公司非法所得,老板淘自己的腰包发工资。因此经过这一轮“净网行动”,像很多公司违规使用,采集个人数据的这些公司越来越少了。
 
还有钓鱼网站,比如说比较典型的工行的ICBC,网名改为1CBC,搞信息化的人能看出来,但是很多人看不出来,上1CBC把帐号、密码输入进去,不法分子拿到帐号、密码之后把钱转走。
 
另外还有网上赌博,网上赌博每年都有,现在随时都有,一抓一个准。还有大型活动世界杯这种情况,包括踢足球的网上赌博特别多。通过这些手段,网上违法的行为可以看到,虽无道德,但是多的是渠道。钓鱼网站、电话欺诈、中江信息、手机木马、招聘骗局、电商刷单等行为多得是,但是这些东西都是他们赚钱的方式,水军也很赚钱,通过给一条舆论点赞,他也挣钱。
 
第四个方面,我国信息化建设中核心技术、产品和服务严重依赖国外,安全隐患特别严重,特别是我们国家的重要行业选用国外的操作系统、数据库、服务器、核心路由器等等,很多产品都被预置了后门,这些产品的后门从发现的时候,它说自己是漏洞,如果没发现的时候,对我们来说就是后门,它里面的网上工具包括泄密提供了便利的渠道。
 
因此,从上面的数据可以看到,我们中国8多亿网民是网络大国,但是也被信息窃取、网络攻击的主要大国,从网络发展至今发展8亿多网民,是全球最大的互联网国家。
 
同时作为网络大国,我们信息产业的GDP占全国GDP的6%,产品出口占外贸35.3%,比如像全国卖手机、卖彩电、卖电子机等等占全球一半以上,但是全球一半以上,这些芯片或者操作系统由微软、英特尔、苹果把持着。 虽然我们是制造商,但是核心技术不在我们手里边。另外,国内数据库和云计算核心设备基本靠进口。
 
第五,网络新技术新应用不断出现,给保护网络安全带来新挑战。刚才提到移动互联网、云计算、大数据、物联网等技术的应用,使得重要行业包括电力、石油、交通逐步实现智能电网、智能油田和智慧城市等等,但是这些系统建设起来以后,也更容易成为被网络攻击的对象。
 
下面说一下新技术自身存在的安全隐患,比如医疗装置安全问题。2007年,美国时任副总统心脏病发作,被怀疑元于他的心脏除颤器被控制了。美国杰克演示了,在9米之外能控制心脏起搏器等医疗装置,杰克在参加大会的路上就死了,黑客可以遥控杀人。
 
还有汽车系统安全问题,大家知道的特斯拉,特斯拉系统存在安全隐患,黑客可以通过应用程序漏洞远程控制车辆,包括车辆开锁、鸣笛、闪灯以及车辆行驶中的天窗操作,包括科莱斯勒车载系统也遭到黑客攻击,进行车辆远程控制。
 
还有我们国家的比亚迪,国内安全公司演示了一下,通过远程控制破解了比亚迪云的安全漏洞,将比亚迪汽车车门子、发动机、后备厢开启都能操作。实际在汽车控制系统里,它很多都连着,也是通过破解安全网关就能控制它的汽车了。
 
另外我们国家工业控制系统安全面临挑战。我们国家工业控制系统基本靠进口,我们想防护也难防。包括像一些安全厂商,提到了企业卖的工控安全设备很少,顶多能上工控防火墙,因为它的工业控制里边的协议主要是西门子、ABB这些公司,他们的技术我们还是掌握不了,因为工业控制系统最要命的是要有业务稳定性、业务持续性。
 
物联网安全面临的挑战。包括黑客入侵电表、修改无线传感器,包括山东燃气表被修改,安徽电表远程超标系统被清零,都面临各种各样的挑战。
 
最后总结一下,网络空间的主要威胁来源包括四个方面:
 
第一,自然灾害存在的安全威胁。比如像暴风雨,网络瘫痪造成的威胁。
 
第二,管理体制。管理机构管理分散,信息共享不畅通,监管流于形式,同时安全防护机制不具备可操作性。
 
第三,恐怖主义。攻击国家信息系统和关键基础设施已成为恐怖分子的主要手段第一。
 
第四,网络攻击。网络攻击也是成本最低的,是敌对势力主要攻击和报复手段。
 
下面我提一下等级保护2.0,我们国家正式对外说是从今年对外说的,2018年当时要做《网络安全法》正式颁布,当时提到了等级保护2.0。但是我记得我从14年开始起草《网络安全法》相配套的东西,包括等保2.0标准已经做完了。
 
什么叫等级保护2.0?首先提一下等级保护的制度,已经改名了。在《网络安全法》第21条提出国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行网络安全保护义务。这一条是指做等级保护是义务。
 
《网络安全法》有一个罚责,每个单位不做等级保护工作,发现了之后轻则警告,重则首先对单位个人来说,网络安全主管罚5000到10000,对单位来说是2万到10万的罚度。如果造成了严重后果是要追刑的。
 
什么叫等级保护2.0?有三个含义:
 
第一,等级保护基础概念里面,这个概念一直保留了十二年了,等级保护分三个层次来讲:
 
第一信息系统和网络是分等级进行保护和监管,第二方面是信息安全的产品分等级的侵略管理,第三个方面是对发生的信息安全事件进行分等级响应和处置,这是等级保护核心内涵和概念。
 
我们一般说的等级保护指的是对信息系统分等级进行保护和监管,因为在安全产品还有这些东西指的是对安全厂商的要求,对用户、业主来说我要使用相应等级安全产品就可以了,一般来说没有这根弦,安全厂商给你推的时候也不跟你说。
 
信息安全事件等级已经响应了,但是可操作性不强。
 
刚才提到等级保护1.0到等级保护2.0提出以后,从《网络安全法》作为时间轴,在《网络安全法》发布以前叫等级保护1.0《网络安全法》发布以后叫等级保护2.0。刚才提到《网络安全法》,大家都在提网络安全,什么叫网络安全?首先搞清一个概念性的问题,国家发布的《网络安全法》如果翻译成英文,是网络安全空间的安全,并不是说连个网,几个交换机传就是网络。因此,里面很多条目都是针对于网络空间的要求。
 
另外,等级保护2.0从我们防守理念也开始变化了,以前是被动防护,偷你东西,把门锁紧就进不来了,但是理念转变了,从等级保护2.0以后,我们做的标准提出的是主动防御的概念。什么叫主动防御?你进来之后我打不过你,但是我知道是你进来了,同时加风险评估+安全监测+通报预警+应急处置以及安全工作的效果评价也纳入整个等级保护中来。
 
等级保护保护对象也变了,传统等级保护1.0保护的是网络安全,传统的信息系统,但是现在我们把大数据平台、数据中心、云计算平台、物联网平台、大型互联网企业纳入进来,以前像阿里、京东、滴滴,以前公安没有把它纳入进来,现在纳入进来作为监管对象。杭州市网安局领导基本都被阿里挖走了,给的级别都是M5,对应处长给5级。
 
最后讲一下新形势下,网络安全的主要工作。从两个方面来讲:
 
第一,国家层面。国家层面是指国家以等级保护为抓手,以信息通报作为平台,以侦查打击作为支撑,构建打防管控一体化的网络安全综合防控体系。
 
第二,我们要开展信息安全通报工作。现在包括央企也已经纳入了网络安全通报里边来了,每个单位都应该有联络员,同时有完善的通报机制,依托通报机制来开展安全监测、态势感知以及通报预警和应急处置工作。
 
第三,坚决打击网络攻击等违法犯罪活动。对黑客攻击类违法犯罪开展打击,建立与电信等部门、互联网企业的协作配合机制,网络攻击、窃取贩卖数据、公民个人信息等违法犯罪活动,坚决打击黑客团伙,产出地下黑色产业链,维护群众的合法利益。同时加强了国际执法合作,严厉打击跨境的网络攻击活动,这一块我们是国合局,包括中美谈判也是谈到了网络安全合作的内容。
 
最后讲一下,关于行业和单位层面的内容。要想搞好网络安全问题,首先是领导要重视,如果老大不重视,它就难,如果老大重视,它就不难。
 
同时,国家给了政策支持,各单位也要有相应的配套政策支持。首先要领导重视和政策支持,另外还要自己加强网络安全的综合防御能力,要建立包括防御保护、检查与考核、应急与保障、容灾与备份、感知预警覆盖整个系统全生命周期的安全的机制和策略,形成一个闭环。我们同时要通过健全的安全管理机制、健全的安全策略、完善的防御体系,加强加强前沿、基础性的技术研究和技术性的攻关,制定相应策略之后,同时我们在做保护体系时一定要注重安全与应用相平衡,同时着眼于将来发展趋势和发展重点。
 
我在这儿提一下,在做网络安全的过程中,很多信息化部门包括用户是背着锅呢,用户提到上了系统以后就不好用了。为什么不好用?类似于穿衣服一样,晚上睡觉为什么穿着睡衣睡觉?当里面只装净化机肯定要快,但是装了东西以后为了保护自己,肯定速度要慢一些,或者性能受影响。但是我们在做信息化建设过程中,同时要注重安全性同时,要保持应用与安全相平衡。搞安全的部门光注重安全了,上了一堆插件上去了,搞应用的说不用上,我们建议应用与安全平衡。
 
人防是根本、物防是基础、技防是关键,通过三者结合提高网络安全防护。
 
加强网络安全综合防御能力提到了四化:规范化管理、一体化运维、集成化监测、智能化研判。六加强是指加强总体规划设计、加强网络安全防护、加强数据保护、加强安全检查和演练,加强安全管理,同时加强技术队伍建设。我们四化六加强就涵盖了整个单位将来做信息化的过程,信息化过程中加强安全防御的策略。
 
最后是几个院士的观念,三位院士都提到了要通过自主可控技术来加强我们国家网络安全建设。谢谢大家!抱歉,超时了。
 
提问:李主任,比如说我在微信上面聊天,我想买一个照相机,今日头条、百度马上推荐给很多照相机的信息,我这个个人隐私是不是就被他盗取了呢?这个怎么保护?或者公安部对这些企业的管理是怎么做的?
 
李超:这是电商做的AI一种技术,你买这个东西时就自动掌握了你的行为,你的爱好就是这一点,所以被推送出来了。包括你在京东、淘宝买啤酒之后,发现这个人喜欢喝啤酒,下次再打开淘宝马上给你推送啤酒。
 
提问:微信上聊一聊,我聊完以后,今日头条就会推送相关信息过来,我手机上本身的信息是不是就被泄漏或者抓取了。
 
李超:是通过APP,已输入信息被解析之后,通过后台存储反馈回去。
 
提问:我的疑虑是我在使用网商银行的时候,比如输入密码、转账,这些今日头条、百度等能不能抓取我银行的信息?
 
李超:这个不会,银行里APP会通过安全监测。
 
提问:我浏览的页面,被知道是合法、合理的吗?我个人隐私怎么得到保护?
 
李超:刚才为什么提到国产化的东西,浏览器能掌握你所有的信息,通过浏览器浏览的东西,后台都知道。
 
提问:国家对这些方面,公安部有什么法律来规范企业行为。它盗取我个人信息,它肯定拿我的信息到它那里去。
 
李超:看你个人的什么信息。
 
提问:浏览页面。
 
李超:国家出台了个人信息保护条例,你那些东西算不上个人敏感信息,现在明确规定个人信息指的是姓名、身份证号码、家庭住址、帐号之类的,你的行为这些东西目前还没有。
 
张鸿飞:我插一句,关于信息国家正在制定法律。现在我们信息基本比较分散的管理,将来有一个公证机构,将来的发展方向是把你个人的信息放在第三方的平台上,这个信息厂商是看不到的,比如你要用这些信息,必须得经过一个验证方进行验证才可以用,这样个人信息得到保障。第三方体系是欧盟的标准,我们国家这方面还没有,现在正在逐步的,在个人隐私方面进行保护,待会儿会后再聊。
 
提问:谢谢。

关键字:云计算 网络安全

原创文章 企业网D1Net

大智移云时代的网络安全形势与对策 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2020 京ICP备09108050号-6

^