孫冰

互聯(lián)網(wǎng)正在成為我們這個時代不可或缺的基礎設施，隨著互聯(lián)網(wǎng)與各個行業(yè)深度融合，“互聯(lián)網(wǎng)+”時代下，網(wǎng)絡安全和信息安全正在成為公司、行業(yè)乃至國家維度上一個非常重要的話題。網(wǎng)絡安全不再只是技術問題，而是業(yè)務問題，更是一個萬億規(guī)模、正在風口上的大市場。

“互聯(lián)網(wǎng)+”正在打破數(shù)字邊界

坐擁全球數(shù)量最龐大的網(wǎng)民群體，世界前10大互聯(lián)網(wǎng)公司中中國已占據(jù)4席，尤其是“互聯(lián)網(wǎng)+”被提出并上升為國家戰(zhàn)略，越來越多的傳統(tǒng)行業(yè)開始與互聯(lián)網(wǎng)進行深度融合，互聯(lián)網(wǎng)的影響力正在以幾何級數(shù)增長……中國無疑已經(jīng)是一個“互聯(lián)網(wǎng)大國”。但是，與互聯(lián)網(wǎng)飛速發(fā)展形成鮮明對比的是，網(wǎng)絡安全領域卻明顯發(fā)展滯后。

普華永道的一項網(wǎng)絡信息安全狀況調(diào)查結(jié)果顯示：2015年，中國大陸和香港企業(yè)檢測到的信息安全事件平均數(shù)量高達1245次，與2014年相比攀升了517%。

市場研究機構(gòu)Gartner 發(fā)布的數(shù)據(jù)則顯示，2015年全球信息安全支出達833.78億美元，其中北美地區(qū)339.38億美元，西歐地區(qū)為225.14億美元，而大中華區(qū)為32.15億美元，與經(jīng)濟體量明顯不相稱，僅為美國的9%。

“不管是‘互聯(lián)網(wǎng)+，還是‘+互聯(lián)網(wǎng)，或是‘產(chǎn)業(yè)互聯(lián)網(wǎng)，都意味著互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)之間將形成不可逆的融合大勢，這個事業(yè)正在如火如荼地進行著，越來越多的傳統(tǒng)行業(yè)都感受到：這世事真的已經(jīng)變了！”亞信安全董事長何政告訴《中國經(jīng)濟周刊》記者。

“但是，當‘互聯(lián)網(wǎng)+打破企業(yè)與數(shù)字世界的邊界后，很多企業(yè)對風險毫無準備，也沒有概念，不知道自己的數(shù)據(jù)資產(chǎn)是多么的寶貴，也沒有意識到可能會面臨危險。對于網(wǎng)絡安全，大家思想上的誤區(qū)很大，比如對只花錢但不賺錢的網(wǎng)絡安全服務不重視，即便是要在網(wǎng)絡安全上投入，也更情愿買看得見摸得著的設備?！焙握f。

在何政看來，目前國內(nèi)很多傳統(tǒng)企業(yè)的信息系統(tǒng)，都很脆弱。“醫(yī)療行業(yè)、物流行業(yè)、零售業(yè)等傳統(tǒng)行業(yè)，其數(shù)據(jù)大多是用戶的真實身份，但這些行業(yè)的網(wǎng)絡安全意識相對落后，信息技術基礎薄弱，隨著線上業(yè)務與線下業(yè)務交融，這些行業(yè)逐漸成為隱私泄露的重災區(qū)?！焙握硎?。

國家衛(wèi)計委信息辦副主任高燕婕也非常同意何政觀點?！白罱鼛啄?，‘互聯(lián)網(wǎng)+醫(yī)療發(fā)展得非常迅速，電子化和網(wǎng)絡化滲透至醫(yī)院的各個環(huán)節(jié)，大家明顯感覺到醫(yī)療環(huán)境的改善，但我們對信息系統(tǒng)的依賴性越來越高，同時也要求醫(yī)療機構(gòu)的信息系統(tǒng)具有更高的可靠性、穩(wěn)定性和響應度?！备哐噫颊f。

較量升級：從偷盜竊取到敲詐勒索

“即使最領先的反病毒廠商也不得不承認，傳統(tǒng)反病毒軟件已死。殺毒軟件很難阻止針對特定目標的攻擊，比如高級持續(xù)性威脅（APT）和網(wǎng)絡釣魚等?！敝醒肭閳缶智癈TO Bob Flores告訴《中國經(jīng)濟周刊》記者，“今天的網(wǎng)絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，一種技術只能解決一方面的問題，而不是萬能的?！?/p>

確實，隨著大數(shù)據(jù)、云計算、人工智能……技術的普遍應用，網(wǎng)絡安全也正在迎來新的挑戰(zhàn)?！熬W(wǎng)絡勒索正處在歷史最高水平，2016年無疑將是一個網(wǎng)絡勒索年?！盋LOUDSEC云安全聯(lián)盟全球理事Jon Clay告訴《中國經(jīng)濟周刊》記者。

過去，黑客和網(wǎng)絡攻擊者通常是先盜取用戶的密碼，然后攻入賬戶、竊取數(shù)據(jù)信息，最后再去互聯(lián)網(wǎng)的黑市上銷售這些數(shù)據(jù)信息以獲得豐厚收益。可是最近幾年，他們發(fā)現(xiàn)似乎不用那么復雜，他們轉(zhuǎn)而采用另外一種更簡單粗暴的方法：網(wǎng)絡勒索。

根據(jù)研究公司Malware bytes的調(diào)查，目前網(wǎng)絡上60%的惡意軟件都是勒索軟件。因為網(wǎng)絡勒索非常有利可圖，可以給攻擊者帶來每年上百萬美元的凈收入。據(jù)Malware bytes公司委托Oster man所做研究的最新數(shù)據(jù)表明，2015年一共有39%的公司受到過勒索軟件威脅。在這39%的公司當中，有40%的公司選擇了支付贖金。

但這還不是最可怕的。“黑客和網(wǎng)絡勒索集團并非總是會采取固定不變的攻擊套路，而是會根據(jù)個人消費者及企業(yè)的安全防御措施改變攻擊方式，他們會不斷想出更多新的方法使得每一次的攻擊會變得更‘個人化。令人眼花繚亂的新型攻擊方式，逼迫防御手段不斷轉(zhuǎn)型升級，同時也逼迫網(wǎng)絡安全行業(yè)轉(zhuǎn)型。”亞信安全CTO張偉欽說。

“不知不覺，‘棱鏡門事件已經(jīng)過去3年，但國際網(wǎng)絡攻防對抗和沖突仍在逐步升級，跨境網(wǎng)絡攻擊活動日趨頻繁，云計算、移動互聯(lián)網(wǎng)、萬物互聯(lián)……也讓網(wǎng)絡防御邊界日益模糊，特別是隨著‘網(wǎng)絡強國戰(zhàn)略、‘互聯(lián)網(wǎng)+行動計劃、大數(shù)據(jù)戰(zhàn)略、‘中國制造2025等戰(zhàn)略的實施，可以說，網(wǎng)絡安全已經(jīng)是國家安全的核心形式之一，網(wǎng)絡安全關系國計民生的各領域。”何政說。

但何政也指出，對于中國的網(wǎng)絡安全產(chǎn)業(yè)來說，最大問題是總體規(guī)模太小，龍頭企業(yè)不夠大、也不夠強。但目前，政府更加重視網(wǎng)絡安全法律及政策的制定，越來越多的企業(yè)也將把網(wǎng)絡安全防護作為重要的企業(yè)戰(zhàn)略。

網(wǎng)絡安全如何能“魔高一尺道高一丈”？

中國工程院院士沈昌祥：

面對全新的網(wǎng)絡安全形勢，以前那種封堵查殺、被動防護的方式已經(jīng)過時了。目前“可信計算”（Trusted Computing，是指在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高系統(tǒng)整體的安全性）是一個熱潮，它是一個防御、運算并行的“免疫計算模式”，就像人體一樣，有針對病毒、癌細胞等的免疫系統(tǒng)，所以病毒等不會輕易入侵到人的身體中。

在這方面，中國也有大企業(yè)在跟進研究，而且中國也有自己的創(chuàng)新。我們經(jīng)過長期的攻關，軍民融合，形成了自主創(chuàng)新體系。比如國家電力調(diào)度系統(tǒng)在5年前就有了可信計算保障，有效提高“主動防御”的能力。

中國工程院院士鄔江興：

我國的網(wǎng)絡和信息化建設經(jīng)過多年發(fā)展取得了舉世矚目的成就，但是，在以美國為首的西方科技強國先發(fā)技術優(yōu)勢和咄咄逼人的攻勢戰(zhàn)略面前，我國網(wǎng)絡安全水平和防御體系整體上尚處于戰(zhàn)略弱勢。

網(wǎng)絡安全最本質(zhì)的安全威脅問題是安全漏洞或者后門?！袄忡R門”事件披露的黑幕信息給了我們警示：大部分后門和漏洞都是未知的。面對未知的漏洞、攻擊等安全威脅，靜態(tài)、相似、確定的IT系統(tǒng)架構(gòu)成為網(wǎng)絡空間最大的安全黑洞。被動防御只能獲得后天性免疫，不斷亡羊補牢、不斷地找漏洞、不斷地打補丁。

但生物擬態(tài)現(xiàn)象為破解安全網(wǎng)絡難題提供了啟示，擬態(tài)防御內(nèi)生機理可以從根本上改變網(wǎng)絡空間攻防不對稱。目前，我國的擬態(tài)計算關鍵核心技術已經(jīng)取得重大突破，為網(wǎng)絡安全防御提出了新思路，能夠有效降低未知漏洞和后門帶來的安全風險。擬態(tài)安全防御的實施在降低網(wǎng)絡空間安全風險的同時，還將扭轉(zhuǎn)當前市場由國外信息技術產(chǎn)品主導的局面。

美國中央情報局前CTO Bob Flores：

很多企業(yè)了解網(wǎng)絡安全風險的程度是不夠的，比如網(wǎng)絡風險是否已納入企業(yè)當前的風險管理架構(gòu)？企業(yè)有沒有網(wǎng)絡風險保險？什么是我們最重要的資產(chǎn)？你控制好了自己的網(wǎng)絡安全，但你的供貨商和服務提供商呢？……

一個真實的例子。一個金融企業(yè)雇傭了另外一個國家的公司開發(fā)一款軟件，為了方便測試，他們把數(shù)據(jù)訪問權(quán)開放給了這個第三方公司。但是這個金融企業(yè)并沒有意識到，這家外包服務商所在的國家、政府也是可以無條件進入自己企業(yè)網(wǎng)絡。

網(wǎng)絡安全是一個業(yè)務問題，而并非是單純的技術問題，它是任何組織從基層員工到最高層應該去討論并設法解決的問題。但現(xiàn)在，這樣做的公司非常少。比如，員工是否了解他們在網(wǎng)絡風險管理中的作用？那都是安全部門和安全專家的事情嗎？平均來說，當收到“釣魚”電子郵件時，有11%的人會點擊進去，所以需要對員工進行培訓，而且培訓之后，還要對公司內(nèi)部的每一個員工，進行必要評估，看其是否在網(wǎng)絡安全中履行了各自的職責。