网络安全越来越像一场“人民战争”。日前开幕的第四届网络安全周就是以“网络安全为人民 网络安全靠人民”为主题,和早前的ISC2017(中国互联网安全大会)的“万物皆变,人是安全的尺度”的议题遥相呼应。两个业内最具影响力的大会不约而同的都选择将“人”放在了网络安全的问题的核心位置。这一安全理念的转换,无异于大航海时代新大陆的发现,一个新的安全时代拉开序幕。
在ISC2017上,360集团董事长兼CEO周鸿祎提出“大安全时代”概念,并指出:“全球网络安全已经进入大安全时代。网络安全不再仅仅局限于网络本身的安全,更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。”
“大安全时代”这一概念的提出在业内获得广泛的认同,随着万物互联时代的到来,线上线下的边界已经消融,万物都在互联,万物都在线上,同时,万物也都在面临网络安全的隐患。这时,依靠传统的安全防御措施已经无法应对被无限拉长的网络安全防御阵线。而“人是安全的尺度”的提出,则真正画出了未来网络安全的挑战与机遇的边界。
大安全时代,万亿级市场有待打开
今年5月,“永恒之蓝”勒索病毒突然爆发,席卷全球100多个国家,包括英国、美国、中国、俄罗斯、西班牙和意大利,约7.5万台计算机被感染,其不仅破坏了大量高价值数据,且直接导致很多基础设施、公共服务、重要业务无法正常开展。高校、加油站、火车站、自助终端、邮政、医院、出入境签证、交通管理、政府办事等众多机构瘫痪,造成的经济损失高达80亿美元;紧接着6月,勒索病毒变种Petya从乌克兰爆发并迅速蔓延至全球,严重影响全球港口、能源、通信等多个行业,至少造成了8.5亿美元的经济损失。这两例网络安全事件和以往网络安全案例最大的不同是,影响波及范围更加广泛,破坏力更加巨大,并且更加难以防范。对此,周鸿祎表示,2017年,互联网已经进入全新的“大安全”时代。
不仅仅是勒索病毒,网络欺诈、个人信息泄漏等网络安全问题带来的经济损失也远超想象。中国互联网协会《中国网民权益保护调查报告2016》的数据显示,过去一年,国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。
“网络安全事件的频繁发生,无疑把网络安全推向了网络经济新风口,未来十年网络安全行业将迎来大发展,并有可能催生万亿级市场。”ISC联席主席、360企业安全集团董事长齐向东表示。根据媒体报道,目前网络安全黑灰产业一年的产值已达千亿,而国内网络安全行业的全部产值还不到300亿。据此,中商产业研究院估计,未来几年我国数据安全市场规模年增速在30%以上,一个万亿级的市场正待打开。
聚焦新安全威胁,人类智慧将发挥关键作用
如果我们现在回顾,在处理勒索病毒以及勒索病毒变种的过程中,其实已经彻底摆脱了对于所谓“安全系统”的依赖。无论是360给出的勒索病毒处理方法,还是在人心慌慌之下360公布的“周一开机指南”,其实都在发挥网络安全人才的主观能动性。从乌克兰电网断电,到美国部分地区大规模断网,再到利用“永恒之蓝”漏洞的勒索病毒,齐向东分析认为,上述事件都有一个显著的特点,就是用传统的技术方法和产品,不能防止这些灾难的发生。而采用“人+”系统的方法,并且人起到关键性作用。
随着万物互联时代的到来,网络安全的战线正被无限拉长,各种新安全威胁不断爆发。可怕的是,这种安全威胁是不可预知的,但却是百分之百客观存在的。事实上,正如网络是动态的一样,网络系统漏洞也无时不刻随时可能存在。单纯通过技术将每一个漏洞呈现并修复,所消耗的资源难以想象。进一步增设漏洞威胁系数的设定,也难以非常有效在用户体验和修复上取得平衡。而如果有专业人才对特殊漏洞进行以人为本的审查和分析,将为智能系统提供决定性的帮助和提升。
在齐向东看来,安全是特殊行业,比如医院、消防队,一定是社会责任和使命感驱动,不能先给钱后办事。一个医疗事故、一次救火失败,都会带来严重的后果,网络安全也是一样。360的补天平台每年投入数千万元,聚集35000多位注册白帽子,注册的企业达4500余家。在ISC2017大会上,齐向东对外宣布,360决定补天平台未来要保持“零利润”,把赚的钱都通过项目返给白帽子,让他们有更大的收入,以便更专注为企业提供漏洞服务。当然,从另一面来讲,360此举也将有利于聚拢和吸引更多优秀的网络安全人才,让人类智慧在应对未来新安全威胁之中发挥更加关键的作用。
人是安全的尺度也是互联网最后一道防线
在ISC2017大会上,周鸿祎指出,互联网最后一道防线,依旧是人——网络安全专家。网络安全人员在和黑客做对抗,大安全时代,所有企业都需要组建一支内部安全力量,或是请外部安全顾问来服务,这才是新时代下的做事方式,才有可能在网络战的时代中才能成为幸存者。在信息安全方面,国家相关部门也在加大对企业的引导、支持的力度,让企业成为维护网络安全的重要力量。人成为网络安全的第一生产力,网络安全人才的能力和水平直接决定了政企用户的网络安全的防御能力。今年实施的《网络安全法》,更是特别强调网络安全人才的培养,以建立建全网络安全保障体系,提高网络安全保护能力。
在网络安全环境日益复杂的今天,网络安全威胁已经不再局限于互联网行业,它已影响到各行各业。鉴于这种现状,本届ISC大会也有针对性地设置了众多垂直领域的分论坛,为企业提供了一个缩短安全技术差距的捷径,与前沿安全技术接轨,感受国际尖端的安全思想。在现场各个分论坛中,云计算、工业互联网安全、密码技术、移动终端安全、漏洞挖掘与源代码安全、电子取证技术、大数据与威胁分析等细分领域悉数出现。近年概念大热、核心技术略显不足的人工智能技术、区块链安全等领域,也在大会中设有单独的分论坛。
除了以论坛的形式开展技术交流之外,在网络安全专业人才面临巨大缺口的背景下,网络安全人才培养市场在近几年来成为热门领域。中国信息安全测评中心与360企业安全集团联合发布“中国信息安全注册人员渗透测试领域人才培养计划”,双方联合了建立面向业界的首家CISP-PTE认证考试中心。通过举办“攻防领域专家”技能水平考试,可以锻炼安全人才的实际解决网络安全问题的能力,有效帮助政企用户增强网络安全防御能力,促进政企用户的网络防御能力不断的提高。
15世纪末到16世纪初的“大航海时代”,是人类文明发展进程中最浓重的一笔。新大陆的发现;新航路的开辟;东西方文化、贸易的交互,让整个世界真正进入了互联互通时代。如今,“大安全时代”的提出,人类智慧成为应对安全威胁的“新大陆”。人类不仅仅是互联网的受益者,也是网络安全的第一生产力,同时在新的互联网安全形势下,人类智慧的优势势必将进一步凸显。