数据显示,全球安全产业规模正在稳步增长,2017年市场规模为990亿美元,2018年预计增长至1060亿美元。然而,投入的持续加大并未有效改善安全形势,恶性攻击事件反而更加多元,面向未来的网络安全形势成为业界热议的话题。在第四届互联网安全领袖峰会上,学者、专家和行业人士普遍认为,数字经济时代的背景下,网络安全问题已成为所有0前面的1,也是未来物联网与新技术融合之路上的基本保障。
“以互联网为代表的信息通信网络已经渗透到经济、社会、生活等各个领域,与此同时,网络安全风险和威胁也随之蔓延、扩散和叠加,它已经成为影响经济社会发展、国家长治久安和人民群众利益福祉的重大战略问题。只有保障网络安全,才能夯实数字经济发展的基础。”工业和信息化部网络安全管理局副局长梁斌表示。
网络攻击出现新态势
“对于人类来说,这些图片只有仔细看才有一点失真,但它们攻破了人工智能的识别系统。”极棒实验室总监王海兵拿出4张图片,分别是秒表、宇宙飞船、蘑菇、猎狗图案。“人工智能‘看’出来的却是蘑菇、蘑菇、宇宙飞船、北极狐。这就是所谓的‘对抗样本’,可以想象一下,如果对路上的交通标志略作修改,无人驾驶车辆就会做出错误的判断。而这只是我们要面对的网络安全问题之一。”
当虚拟世界和现实世界彼此融合,网络安全问题的影响范围和深度不可同日而语。在国际著名安全技术专家布鲁斯·施奈尔看来,智能设备意味着大量设备接入了互联网,“冰箱、微波炉、汽车都成为连在网上的计算机,我们因此要面对前所未有的安全威胁。它不仅是泄露信息还能带来财产损失,设想一下,假如它修改了患者的血型或者使得汽车的刹车失灵会怎样?网络安全问题已经直接影响到人们的生命安全”。
新技术不断涌现让网络攻击出现了新态势。中国智能应用联盟副理事长国秀娟告诉经济日报记者:“到2030年,国内人工智能产业市场规模将超过1万亿元,这意味着人工智能将成为基础性的赋能技术,渗透到人们工作和生活的方方面面,但人工智能技术本身还存在相当大的未知性,在发展中到底会面临怎样的安全挑战,没有人能准确预测。”王海兵所演示的对抗样本,就是人工智能技术发展中遇到的新问题。
新的智能设备则留下了新的漏洞。“如果说手机和电脑还维持了比较高的安全水平,那么摄像头、智能音箱、可穿戴设备等这些新的智能设备更容易被黑客利用,比如硬件固件层面的漏洞、前期调试程序烧录的接口、芯片层面的安全存储、运算的安全防护等都需要考虑。”布鲁斯·施奈尔表示。
突破核心技术是关键
2018年中国网络安全技术对抗赛上的一场网络攻防演示让人印象深刻。安恒信息安全研究院破解了一款智能面膜,原本电压最高50伏的智能面膜被远程攻击后,电压可以加到140伏,足够对人体造成伤害。未来的网络攻击就这样无孔不入。
网络安全产业将如何面对这样的未来,重新建立起自己的安全边界?在腾讯高级副总裁丁珂看来,解决之道是“一横一纵”。“‘一横’,是通过研发加大对新技术的投入,通过技术来解决问题;‘一纵’,则是加快人才培养,通过校企合作,为‘互联网+’的各行各业提供更多专业网络安全人才。”
“网络安全核心技术突破是确保网络安全的治本之策。”梁斌告诉记者:“要以国家网络安全保障需求为核心驱动力,支持和引导电信和互联网企业及高校、科研机构等加大核心技术研发投入力度,全面加强网络安全核心技术自主创新,重点加强对工业互联网、人工智能、大数据等新领域安全技术的突破,为实现真正的网络安全打牢根基。”
新技术的应用带来了网络安全新挑战,但这些技术也为网络安全提供了新助力。中国工程院院士、中国互联网协会理事长邬贺铨表示:“5G技术可以帮助打击伪基站。因为5G有个特殊的功能,可以把基站上面的信息和信号强度上报给网络,但伪基站通常是通过非常强的信号把用户吸引到这里来,太强的信号表示网络是异常的。根据网络拓扑配置信息进行分析,就能确认某个小区是不是有伪基站,并且通过定位系统就可以锁定伪基站的位置。”
教育部信息安全教指委秘书长封化民表示,到2020年,我国重要行业信息系统和信息基础设施需要的各类网络安全人才达200万人。巨大的人才缺口已成为掣肘我国信息安全产业发展的关键因素之一。
如何让网络安全人才培养满足融合发展的需要?北京航空航天大学网络空间安全学院院长刘建伟坦言,这需要高校在顶层设计上“多走一步”。“比如我们的经验是将企业作为教学实验基地。我们在培养方案制定的时候,将网络安全专业的学分设置为140学分,比过去压缩了20多个学分,就是为了学生在大四时不设课,把学生全部‘轰出去’到企业实习,让他们积累足够多的实践经验。”
武汉大学国家网络安全学院副院长赵波则表示,考虑到“互联网+”深度融合的大背景,在网络安全学科发展中要考虑与其他学科的交叉合作。“比如说我们的空间信息安全与可信计算教育部重点实验室就是与测绘学科一起来合作的,未来还要考虑与管理学、数学乃至法学等学科的交叉合作。”
形成标准与生态合力
“今年1月份,我国成立了国家人工智能标准化总体组与专家咨询组,有序推动相关安全标准落地,包括已经立项的《人工智能终端设备安全环境技术要求》和《移动互联网+智能家居,智能音箱安全能力技术要求和测试方法》等,公开透明的标准能够帮助被融入的各行各业真正提升安全意识和水平。”泰尔终端实验室信息安全部主任潘娟说。
标准被视为未来网络安全防护长效机制的基础。百度安全事业部产品总经理韩祖利表示:“对于过去很多对互联网技术并不了解的传统企业来说,安全标准可以让它们更能信任网络安全服务商,同时根据行业应用需求的差异科学选型,消费者在购买时也可以知道谁更安全,看到厂商在网络安全方面投入的力量。”
不过,在中国电子技术标准化研究院副院长杨建军看来,网络安全标准目前还缺乏体系性,还需要制定具体领域政策法规,比如大数据安全指导意见、数据安全管理指导意见等。
网络安全下一步的发展方向还在于“生态共治”。“互联网+”的发展,让安全不再是单个企业或某个领域的事情,各机构、各领域间协同合作,才能织好互联网安全的“防护网”,推进信息网络安全联盟体系的建设。
“在我看来,这种合作应该建立3层应急响应模式。”丁珂说,“第一层是应急指挥中心。网络安全服务商要与传统企业深度合作,立足于每一个行业去做它的指挥大脑。第二层是应急响应体系。遇到重大安全问题,安全厂商需要集中核心能力,第一时间做解决方案。第三层是应急服务体系。网络安全服务商要共享数据,共同为客户提供有效的服务”。(记者 陈静)