听周鸿祎为政法干警讲网络安全

2017-11-03 12:41
方圆 2017年20期
关键词:网络战黑客漏洞

目前的网络安全形势日益嚴峻。网络空间也成为大国博弈斗争的焦点,成为关乎国家安全的战略高地。世界各国网络空间的军备竞赛也在不断加剧。

9月28日,中央政法委邀请360公司董事长兼CEO周鸿祎就“新时期全球网络安全形势及应对”作讲解,全国有超过150万政法干警通过视频的形式观看了大讲堂全过程。

周鸿祎的讲解分为四个部分:世界进入“大安全”时代、网络战的特点和趋势、应对“大安全”时代威胁的思考和建议、利用创新科技解决“大安全”时代城市和社会安全问题。下面,是讲座的部分精彩内容。

如今的时代,网络安全的重要性达到了前所未有的高度,而目前的网络安全形势也是日益严峻。网络空间也成为大国博弈斗争的焦点,成为关乎国家安全的战略高地。世界各国网络空间的军备竞赛也在不断加剧。比如,近期美国政府将美军网络司令部升级为美军第十个联合作战司令部,地位与美国中央司令部等主要作战司令部持平,网络空间正式与海洋、陆地、天空和太空并列成为美军的第五战场。

当前社会正在快速进入万物互联的智能化时代,社会都运行在互联网上,网络空间的攻击将会穿透虚拟空间,直接映射到现实世界的安全。因此,我提出了世界已经进入了“大安全时代”的观点。

“大安全时代”面临着以下几类网络攻击。

新型网络犯罪威胁百姓财产和人身安全。今年上半年360猎网平台共接到来自全国各地的网络诈骗举报10882起,涉案金额高达1.27亿元,人均损失超过1万元。

勒索病毒攻击威胁社会稳定和安全。勒索病毒已存在很多年,在过去的5年,我们发现了113种勒索病毒,在国内,我们就清理了500多万台电脑,现在这种犯罪已经成为一种商业模式。

网络攻击威胁国家关键基础设施安全。2015年12月,乌克兰电力系统遭到黑客攻击,导致全国大面积断电。

网络攻击威胁金融系统安全。2016年2月,孟加拉央行的打印机和电脑漏洞被人渗透,然后伪造指令付款约1.3亿美金,后来截回了一部分,但还是有8000万美金被窃取;去年下半年,台湾地区的银行系统被攻击,黑客等在ATM旁边,同一时间多个不同ATM机自动往外吐钱,窃贼盗取了200万美金;再如,我们发现了一个隐藏十年之久的犯罪组织,他们在开发的金融软件里埋藏木马,然后他们借此窃取券商等金融机构的信息获利。如此操作的话,让股市出现虚假的卖盘、重大的波动等,都不是没有可能的。

网络攻击可威胁国家政权安全。美国到现在还在为去年的总统大选有没有受到黑客攻击争论不休。从中我们可以看到,网络攻击甚至可以改变一个国家的政治格局,至少某种程度上可以决定谁来当总统。

大安全时代,首先也是网络战的时代。上半年我国出现的勒索病毒,我们认为不是国家级的攻击,试想如果这是一次国家攻击,如果它不这么高调,而是偷偷潜伏,然后选择在某个关键时期爆发,影响和损失会比现在大很多。这次勒索病毒事件实际上是黑客利用美国泄露的网络武器搞的一个小把戏,事情虽过去了,但我们要反思。这基本上可以看作一次网络战的小规模预演。

现在全球已经有112个国家组建了网络战部队,美国的网络战能力遥遥领先。我们经过研究发现,美国的网络武器已经不是利用漏洞来做一次性的攻击,而是已经有一套体系,把漏洞打造成平台化、系统化、自动化的网络武器平台。对此,我建议各国一方面要做好防守工作,另一方面要攻防兼备,比如网络武器方面,各国政府也应该要有相当的投入。

网络战时时处处都在发生,和平时期就必须未雨绸缪。网络战和传统战最大的区别在于,传统战有宣战的概念,而网络战则时时处处、不宣而战。陆战是以天或周为单位,空战是以小时为单位,而网络战则是以秒和分为单位。更好的效果、更低的成本,使得网络战越来越成为战争的首选。网络战也是现实世界国家间对抗博弈在网络空间的投射。一旦关键基础设施等成为主要攻击目标,威力不亚于传统战争。未来,万物互联把虚拟世界和物理世界打通了,那么所有原来在虚拟空间里的攻击都可以穿透到物理世界中来。比如,通过车联网远程遥控一辆汽车进行攻击,恐怖分子甚至可以劫持无人驾驶汽车去做自杀式的撞击,它完全可以远程操控。

漏洞是网络武器、网络军火,是网络战重要战略资源。一提到漏洞人们可能觉得就是小错误,但实际上,漏洞是网络攻击的根源,所有的网络攻击都是借助了漏洞才会形成这么大的攻击效果。没有漏洞就不要谈网络战,没有漏洞就无法建立网络战的进攻和防御体系。一个重要漏洞的价值不亚于一枚导弹。必须把漏洞上升到这个战略高度来认知。

美国有很多黑客大赛,背后的组织者不是中情局就是FBI,要么就是美国军方。这个做法是一箭三雕,一是让这些全世界的黑客来帮他们打工,来帮他们挖掘漏洞,通过实战来完善系统。二是他们给这种黑客大赛出的都是命题作文,能夺得前几名的都需要用到非常高级别的漏洞。三是参赛者往往会被美国人挖到网络安全公司中。

世上没有攻不破的网络,人是最薄弱的环节。任何网络都有漏洞,我国软件平均每1000行代码就会有6个缺陷,其中任何一个严重漏洞都可能成为所在系统的软肋。网络战中,人往往是最薄弱的环节,所有的攻击都是从人开始的。

网络战是超限战,需要超常规思维。网络战中,攻击手段将越来越剑走偏锋,没有底线和规则,无所不用其极。可见,制网权已成为未来战争的核心,今后战争中的首战将是网络战,包括利用网络战实施舆论影响、渗透、潜伏、控制、破坏等。因此,我们应该以战争的思维来看待网络空间安全,要以应对战争的要求,加强我们自身信息化建设以及国家关键信息基础设施的安全保障。

如何构建大安全时代的网络安全技术体系?1、假设被攻破,从拦截阻断转向检测响应。我们的防御思想必须假设网络一定会被攻破,就是要以最快的速度发现。2、从重边界防护转到云、管、端安全并重。3、从主要依靠技术引擎转向重点依靠安全大数据。4、做好网络隔离和网段划分。5、采用应用程序白名单技术。6、重要系统要采用多重身份认证与访问控制。7、做好数据备份对抗数据破坏攻击。8、建立钓鱼邮件过滤系统。9、利用系统加固对抗未知漏洞的攻击。10、构建云安全防护体系。11、尤其需要重视大数据安全。12、积极应对物联网安全。

完善网络安全管理也是重要方面。“三分技术,七分管理”是网络安全领域的一句至理名言,也就是说就算我们的安全技术再牛,如果没有制定完善的安全管理体系和措施,没有严格落实规定要求,我们的网络安全防护体系也是形同虚设。1、网络安全要做顶层规划设计。2、网络安全要有集中统一管理。3、业务系统开发的时候就要考虑安全问题。4、建立网络安全应急体系。5、管理要有技术手段来保障。

要加强组织和人员保障。1、加强组织保障,设置足够的岗位编制。2、建立网络安全技术运维团队。3、加大第三方网络安全服务采购投入。4、强化安全队伍的培训。

要完善国家法律和制度。1、制定漏洞修复管理细则并建立监督检查及责任追究机制。2、鼓励政企单位及时披露遭到的网络攻击。3、建立漏洞挖掘、发布、输出和交换统一管控制度。4、实网攻防演戏应该制度化、常态化。5、制定网络安全信息共享法规,促进网络安全信息共享。6、完善对日常主动式发现系统漏洞的网络安全服务的保护和激励制度。(来源:长安剑)

猜你喜欢
网络战黑客漏洞
漏洞
欢乐英雄
多少个屁能把布克崩起来?
伊朗网络战能力研究
俄罗斯网络战发展研究
网络黑客比核武器更可怕
三明:“两票制”堵住加价漏洞
高铁急救应补齐三漏洞
图片新闻
兰德公司给网络战支招