网络安全威胁“无人能够幸免”,国家、银行、企业各自该做什么?
2018国家网络安全宣传周上海地区活动明天开幕,打头炮的2018网络安全高峰论坛今天已在复旦大学举行。论坛演讲者解析了国家、银行、创业企业眼中的网络安全问题:不同主体面临的网络安全威胁不尽相同,但他们都认同,风险面前无人能够幸免,对抗隐患需要多方合作。
国家层面:没有网络安全就没有国家安全
“没有网络安全就没有国家安全,”复旦大学网络空间治理研究中心主任沈逸开宗明义,“要从国家安全视野出发,分析网络安全问题。”
不论是研究国家网络安全战略还是全球网络空间治理,当今世界的大国战略博弈新态势是绕不过去的宏观背景。自20世纪90年代末期到21世纪初期,以中国为代表的新兴国家和发展中国家的经济增速和全球经济贡献度显著超越发达国家。这一变化趋势对国际关系至关重要,是了解全球网络空间安全态势的整体背景。
面对网络安全威胁,“没有任何一个单一国家能够从大规模网络攻击中幸免于难。”沈逸将全球网络空间的常见威胁分为几大类,一是国家级网络武器及其技术的扩散,国家级网络武器的扩散就像现实世界中的核扩散,一旦落入不可靠行为体手中,可能对全世界形成威胁,始作俑者也不能豁免危险;二是先进的跨国有组织犯罪,跨国有组织犯罪团体和先进网络技术结合以后,在金融领域构成重大威胁,他们主导的金融攻击在特定形式下会演变或者触发全球金融危机;三是供应链污染与关键信息基础设施有效防御不足,全球化环境中任何一项关键基础设施,从生产、引进、制造到部署都具备全球化成分,防不胜防。
基于此,沈逸提出,全球网络空间的安全治理需要战略创新,构建新型的多方合作治理模式,最终推进形成造福世界人民的治理方案。
银行层面:新技术带来新的安全威胁
浦发银行科技部总经理蒋瞳主持打造了浦发银行的网络安全组织管理、运营体系。他说,银行业作为高度依赖信息技术的行业,一直面临巨大的信息安全挑战。浦发银行成立25周年,资产规模达到6万多亿元,自有的信息系统就有400多个。当前大数据、云计算、人工智能、区块链等新技术的应用,给银行带来新的安全威胁。目前,行业的防护体系总体强度不够,偏单点防御、被动防御、静态防御,对于综合性、连续性、精准性的攻击没有形成充分动态的纵深防御体系。
蒋瞳分析,近两年来的网络攻击呈现几大特征:人员组织化、资源全球化、动机利益化、活动常态化。以前的攻击者都是单打独斗,现在更多依靠互联网,分工协作开展攻击。
浦发银行目前正在实施一项三年行动计划,希望用三年时间实现安全治理升级,安全技术具备主动防御能力,安全运营实现智能化运转,应急处置达到行业先进水平。具体从治理、管理、技术、运营四方面着手,其中安全管理策略涵盖系统建设、数据、外包、脆弱性四个全周期安全管理,以外包为例,银行有大量的业务外包活动,它们往往涉及信息数据的使用,比如银行账单打印外包,牵涉客户信息,存在安全风险,因此,从前期立项评估、尽职调查,到后期过程监督等环节都要加强管理。
企业:核心技术自主,安全生态共建
创业企业优刻得的CSO(首席安全官)宗泽提出,核心技术尽量“自主”,安全生态合作“共建”是企业应对网络安全攻击的最好方式。
优刻得是一家云计算企业,云计算平台一方面向着重要技术平台演变,另一方面也正成为网络攻击的重要靶子,“就在这一小时间,我们的云平台已经遭受到数以十万次甚至是百万次的攻击。”
“有专家说过,(核心技术)自主可控并不一定是安全的,但如果不自主可控,一定是不安全的。”宗泽认同这个说法,他介绍,除了操作系统和硬件之外,优刻得的云平台技术和产品等核心技术全靠自主研发,“在云安全方面,我们靠自己的安全运营团队,自主研发了软硬件、数据、网络应用等,首先做到代码自主可控,从底层虚拟网络到上层应用安全,内部核心安全系统的代码全部自行维护。”
但是,安全不是一个人、一家企业的事,宗泽说:“我希望能够有更多人、更多企业、更多院校参与进来,共建安全生态。”
作者:钱蓓
编辑:孔韬
责任编辑:邵珍
*独家稿件,转载请注明出处。