孫杰賢

“敵人比想象中的強(qiáng)大，政府和企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀比想象中糟糕。”這是北京知道創(chuàng)宇信息技術(shù)有限公司安全服務(wù)產(chǎn)品線OSS總監(jiān)蔣佳良在一次網(wǎng)絡(luò)安全研討會(huì)上的開場(chǎng)白。

蔣佳良是在參加了公安部組織的“護(hù)網(wǎng)2019”網(wǎng)絡(luò)攻防演習(xí)（即“2019護(hù)網(wǎng)行動(dòng)”）活動(dòng)后發(fā)出的這番感慨，他是這次護(hù)網(wǎng)行動(dòng)的技術(shù)負(fù)責(zé)人。

第一生產(chǎn)力

當(dāng)前，整個(gè)人類社會(huì)正經(jīng)歷著新一輪科技革命，其發(fā)展之迅速，影響之深刻，前所未有。物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能與實(shí)體經(jīng)濟(jì)之間深度融合，數(shù)字經(jīng)濟(jì)、平臺(tái)經(jīng)濟(jì)、共享經(jīng)濟(jì)、智能經(jīng)濟(jì)浪潮迭起，新模式與新業(yè)態(tài)不斷涌現(xiàn)。

人類社會(huì)已經(jīng)開始由工業(yè)文明進(jìn)入數(shù)字文明，“科技是第一生產(chǎn)力”的論斷也在此時(shí)被詮釋地淋漓盡致。

根據(jù)阿里巴巴集團(tuán)發(fā)布的《2018年中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展報(bào)告》，2018年，三四線城市的數(shù)字化消費(fèi)迅速增長(zhǎng)，更高品質(zhì)的產(chǎn)品、更優(yōu)的服務(wù)在數(shù)字化賦能下實(shí)現(xiàn)了無(wú)差別觸達(dá)。更值關(guān)注的是，農(nóng)村的數(shù)字消費(fèi)增速全面超越了一線、新一線和二線城市的增長(zhǎng)速度。這是數(shù)字技術(shù)帶來(lái)普惠性增長(zhǎng)的有力證明。2018年，全國(guó)數(shù)字城市建設(shè)也明顯提速，已有442個(gè)城市（含縣級(jí)市和省直轄縣）將社保、公積金、生活繳費(fèi)等公共城市服務(wù)搬上了支付寶平臺(tái)。

另根據(jù)網(wǎng)信辦發(fā)布的《數(shù)字中國(guó)建設(shè)發(fā)展報(bào)告（2 0 1 8年）》，2018年，中國(guó)數(shù)字經(jīng)濟(jì)規(guī)模再破新高，最終達(dá)到31.3萬(wàn)億元，占GDP比重達(dá)34.8%。

在這輪科技革命中，越來(lái)越多的企業(yè)將“數(shù)字”視為核心資產(chǎn)、新資源和新財(cái)富。數(shù)字化轉(zhuǎn)型升級(jí)，既是企業(yè)的戰(zhàn)略性選擇，更是企業(yè)精細(xì)化運(yùn)營(yíng)的必經(jīng)之路。

當(dāng)企業(yè)、民眾和政府機(jī)構(gòu)盡情地享用這場(chǎng)史無(wú)前例的科技盛宴所帶來(lái)的高效與便捷時(shí)，美好而又相安無(wú)事的體驗(yàn)和經(jīng)歷讓他們很容易忽視一個(gè)致命的問題——網(wǎng)絡(luò)安全。

攻擊從未停止

萬(wàn)豪酒店集團(tuán)5億用戶數(shù)據(jù)遭黑客攻擊泄漏的余波未了，今年5月，“永恒之藍(lán)”便又卷土重來(lái)。美國(guó)馬里蘭州巴爾的摩市政府遭到勒索軟件襲擊，攻擊持續(xù)了近三周，成千上萬(wàn)計(jì)算機(jī)被鎖，政府系統(tǒng)癱瘓，電子郵件無(wú)法使用，房地產(chǎn)銷售、水費(fèi)賬單等服務(wù)也中斷。勒索軟件其中一個(gè)關(guān)鍵部分，就是“永恒之藍(lán)”。

只要有網(wǎng)絡(luò)的地方必然就有攻擊，而且網(wǎng)絡(luò)越大，攻擊所帶來(lái)危害性便越大。

2015年12月23日，烏克蘭電站遭受了BlackEnergy（黑色能量）等相關(guān)惡意代碼的攻擊。攻擊導(dǎo)致7個(gè)110KV的變電站和23個(gè)35KV的變電站出現(xiàn)故障， 80000用戶斷電。BlackEnergy在執(zhí)行攻擊的過(guò)程中會(huì)釋放KillDisk破壞數(shù)據(jù)來(lái)延緩系統(tǒng)的恢復(fù)。此外，還在其他服務(wù)器還發(fā)現(xiàn)一個(gè)添加后門的SSH程序，攻擊者可以根據(jù)內(nèi)置密碼隨時(shí)連入受感染主機(jī)。

相比之下，今年委內(nèi)瑞拉因網(wǎng)絡(luò)攻擊的停電事件在波及范圍、停電時(shí)間、經(jīng)濟(jì)損失等方面遠(yuǎn)超出烏克蘭這個(gè)案例。

所以，進(jìn)入萬(wàn)物互聯(lián)的智能物聯(lián)時(shí)代，當(dāng)每一個(gè)體，每個(gè)家庭，每個(gè)企業(yè)，每一輛汽車，社會(huì)的每一處基礎(chǔ)設(shè)施都聯(lián)網(wǎng)的時(shí)候，其實(shí)是非常恐怖的一件事情。

著名安全專家Bruce Schneier說(shuō)，越來(lái)越多的設(shè)備聯(lián)網(wǎng)，被軟件控制，意味著可能受到攻擊的數(shù)量迅猛增長(zhǎng)；當(dāng)不同系統(tǒng)之間相互關(guān)聯(lián)時(shí)，一個(gè)系統(tǒng)的漏洞容易牽連其他系統(tǒng)受到攻擊；當(dāng)聯(lián)網(wǎng)設(shè)備普遍具有自主能力時(shí)（智能化），從安全的角度看，這意味攻擊的影響可以立即、自動(dòng)和廣泛生效。

然而更可怕的時(shí)，浸淫在數(shù)字世界里的企業(yè)和個(gè)人在長(zhǎng)時(shí)間“安全無(wú)憂”假象的蒙蔽下，安全這根弦慢慢放松了。

“企業(yè)信息化和數(shù)字化這么多年，沒有發(fā)生大的安全事故?！薄吧暇W(wǎng)購(gòu)物和網(wǎng)上銀行使用這么多年資金安全問題從來(lái)沒有發(fā)生過(guò)?！毕硎苤鴶?shù)字化這一“糖衣炮彈”的甜蜜，憧憬著智能家居、自動(dòng)駕駛等美妙時(shí)刻，安全問題已經(jīng)被置之度外了。

麻痹大意之下，數(shù)字化這一“第一生產(chǎn)力”也是潛在的“第一破壞力”。

我們?cè)撛趺崔k？

中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)主任、原公安部第三研究所所長(zhǎng)嚴(yán)明指出，我國(guó)網(wǎng)絡(luò)安全企業(yè)整體規(guī)模和盈利能力相對(duì)落后，企業(yè)在網(wǎng)絡(luò)安全上的支出比例的相對(duì)較低。如果一個(gè)國(guó)家的安全投入總量非常低，要求其安全企業(yè)能居于世界前列顯然是不現(xiàn)實(shí)的。

我國(guó)社會(huì)對(duì)網(wǎng)絡(luò)安全重視不夠是一個(gè)普遍現(xiàn)實(shí)。但是“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，就沒有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大群眾利益也難以得到保障”。所以在網(wǎng)絡(luò)安全的問題上我們不能有絲毫的松懈。

公安部網(wǎng)絡(luò)安全保衛(wèi)局處長(zhǎng)盤冠員表示，從博弈論的角度看當(dāng)前的網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)安全的本質(zhì)就是對(duì)抗，對(duì)抗的本質(zhì)在于攻與防兩端的較量。當(dāng)前針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事件快速增長(zhǎng)，以竊取數(shù)據(jù)為目的的入侵攻擊也十分突出，嚴(yán)重威脅國(guó)計(jì)民生的健康發(fā)展。另一方面，中美關(guān)系進(jìn)入戰(zhàn)略競(jìng)爭(zhēng)時(shí)代，將會(huì)是一場(chǎng)持久戰(zhàn)，關(guān)于網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)也將成為中美大國(guó)博弈的重要戰(zhàn)場(chǎng)。針對(duì)嚴(yán)峻的安全形勢(shì)，作為社會(huì)主體的企業(yè)應(yīng)做好自身安全建設(shè)，提升威脅應(yīng)對(duì)能力與抗攻擊抗打擊能力，進(jìn)而提高我國(guó)網(wǎng)絡(luò)安全整體防護(hù)水平。

知道創(chuàng)宇的蔣佳良也指出：“當(dāng)前網(wǎng)絡(luò)安全攻擊已經(jīng)逐漸從針對(duì)個(gè)人和針對(duì)企業(yè)上升到針對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，嚴(yán)重威脅國(guó)計(jì)民生的高度。‘2019護(hù)網(wǎng)行動(dòng)中，在許多安全問題都暴露出來(lái)。提升網(wǎng)絡(luò)安全對(duì)抗能力，企業(yè)運(yùn)營(yíng)者需從看清自己、隱藏自己和了解對(duì)手三個(gè)角度出發(fā)，從安全管理和安全意識(shí)培訓(xùn)，以及安全團(tuán)隊(duì)建設(shè)等多方面著手，全方面加強(qiáng)企業(yè)的安全能力?！?/p>

2017年6月1日，《網(wǎng)絡(luò)安全法》正式施行，對(duì)企業(yè)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)提出了要求和約束。為了貫徹落實(shí)《網(wǎng)絡(luò)安全法》，《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》和《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》正在制訂當(dāng)中，有望今年晚些時(shí)候發(fā)布。

應(yīng)對(duì)網(wǎng)絡(luò)安全問題，政策的頂層指引固然重要，但正如蔣佳良所說(shuō)，社會(huì)安全意識(shí)、安全管理機(jī)制以及安全人才的培養(yǎng)才是根本，畢竟，網(wǎng)絡(luò)安全的問題歸根結(jié)底還是人的問題。