编者按:2014年3月,日本开展了迄今最大规模的网络战演习;4月,29个国家参加了“2014网络欧洲”演习;5月,17个国家参加了“锁定盾牌2014” 国际网络防御演习;7月,美国举行“网络卫士”演习;11 月,北约开展“2014 赛博联盟”赛博防御演习。这些演习都是旨在测试、提升本国应对网络攻击的迅捷性和有效性,以及联盟协作应对网络安全事件的能力。未焚徙薪,有备无患,此起彼伏的网络攻防演习,事实上已经成为网络强国建设的检验范例,是维护网络空间安全和长远发展的绸缪之举。
今年以来,全球的网络攻防演习如火如荼,产业界也不甘落后,已有多场次技术性攻防演练,引发不少业内人士的关注。本来网络的应用是正向的,但是一些好胜者,在网上干了不该干的事,导致正常使用网络的秩序被破坏,人们就不得不防了。更有甚者,某个国家已经公开宣布,要将网络作为他们的第五作战空间。这就不得不让其他国家在此方面提高警惕并且要提升应对入侵的能力。应该说,美国人已经占据了网络空间的制高点,不论芯片、计算机体系结构、网络、操作系统等等,都处于统治地位,对于其他国家来说,可以说是单向透明的。而我们则是雾里看花,不论是防还是攻,都处在不利地位上。所以,对于我们来说,这种演练的意义更大。
万物互联的问题是许多厂商、官员、专家大谈特谈的一个方向。万物互联带来的美妙前景,许多人都在描绘。而笔者在看到这些美妙前景的同时,也看到了可怕的骷髅、熊熊的火灾、凄惨的交通事故和爆炸等各种灾难。笔者曾经拿着刑法,对着所有的犯罪进行分析,看看哪些犯罪可以直接利用物联网络就可以实施,最后只是在性侵害犯罪方面,没有想出办法,其他的都能想像出办法来。后来一些小伙伴告诉我,就是性侵害,他们也是有办法直接利用网络实现的。
这就很可怕了,目前的Internet是机器的联结,出现的的后果也都是发生在信息网络中的,是间接的。如果在万物互联的环境下,这个后果可就不仅是在信息网络空间了,对现实社会必然产生直接的破坏甚至是摧毁。后果可能是带有全局性的和灾难性的。
在万物互联的环境下,有两个基本点:一是高度的网络化,二是高度的智能化。高度的网络化有两层含义,一是万物都可以连结到网上,二是连网受到时间空间的限制越来越少,可以说基本上不受时间和空间的限制。高度的智能化,是指一个任务的完成过程,几乎不需要人的参与,只要我们给定了初始条件,给出任务目标,就可以了,系统就会自动的,根据对各类采集的数据进行分析,自动判断并执行相应的动作,来为我们完成相关的任务。
这样,问题就来了,如果在完成任务的过程中,采集到的数据有错误,就可能会导致严重的后果。2010年7月23日,甬温发生的动车相撞事故,曾有报导说是因为雷击导致了软件出现了问题;美国在伊朗利用病毒把伊朗的离心机搞掉了10%;伊朗则把美国的在空中进行侦察的无人机俘获,这些都是对万物互联的警示性事件。
安全,首先是要建立规则,建立秩序,现实社会如此,网络空间也是如此。但是规则建立后,还要有保障这些规则正确实施,不被破坏,不被绕过的机制保证才行。多年来,漏洞一词对于普通人说也不是陌生的名词。从某种意义上来说,漏洞就是对这些规则的破坏,如破坏隔离机制,或者进行反控制,或者绕过控制机制,使得安全规则形同虚设。入侵行为多发生于对漏洞的利用,漏洞问题是一个几乎无法解决的难题。所以尽早的发现漏洞,防范他人利用漏洞对我们系统的入侵就显得特别的重要。攻防演练实际上是对我们发现漏洞和利用漏洞能力的一个检验。在万物互联的环境下,这种演练会更加重要。
我们目前的演练还仅限于在系统软件和应用程序中发现漏洞。在万物互联的环境下,漏洞可能不仅是在这两个层面上,硬件漏洞、器件失效、对一些特定器件无线复制、插入干扰、信息截获等问题,都需要我们纳入到演练当中,及早的发现问题,及早的解决这些问题。
我们已经在网络空间处于下风地位,如果我们不能主动的发现漏洞并进行修补,同时利用这些漏洞进行反制,那我们的安全就成了大问题了。
(作者系中关村诚信互联网安全数据服务产业联盟 安全顾问)
(文章来源:中国信息安全)
| 相关专题 |
| · 专题报道 |
