圖片來源@視覺中國

文 | 張國果

隨著華為被美國列入“實體清單”，壞消息接踵而來。

海康威視遭遇美國供應(yīng)商斷供不久，美國國土安全部就向美國企業(yè)發(fā)出警告，中國制造的無人機可能令企業(yè)數(shù)據(jù)面臨風(fēng)險，大疆岌岌可危……很明顯，此次兩大經(jīng)濟體之間的博弈，鋼鐵和大豆只是預(yù)演，信息化與網(wǎng)絡(luò)安全領(lǐng)域才是主戰(zhàn)場。

在芯片和操作系統(tǒng)“慘遭不幸”之后，網(wǎng)絡(luò)安全這道屏障還會固若金湯嗎？

最后一道屏障

科技戰(zhàn)一旦大規(guī)模蔓延，網(wǎng)絡(luò)安全將面臨嚴峻的威脅。

在一些重要的領(lǐng)域，例如能源、有色金屬、精密機械制造等行業(yè)，一旦出現(xiàn)商業(yè)機密外泄，很容易給企業(yè)帶來毀滅性的損失，甚至威脅到國家利益。

因網(wǎng)絡(luò)漏洞受到黑客攻擊從而威脅國家安全的例子數(shù)不勝數(shù)。

2010年，伊朗核設(shè)施遭遇來自國外的“震網(wǎng)”病毒攻擊，美國利用MS10-046、西門子SIMATIC WinCC系統(tǒng)0 Day漏洞攻擊鈾濃縮設(shè)備，直接導(dǎo)致該國核設(shè)施1000多臺離心機癱瘓——不少國外機構(gòu)及媒體推論，這背后一個主要原因就在于，伊朗核設(shè)施相關(guān)信息控制系統(tǒng)缺乏自主防護能力。

2015年圣誕節(jié)的前兩天，烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民突然發(fā)現(xiàn)家中停電。這次停電不是因為電力短缺，而是遭到了黑客攻擊。黑客利用欺騙手段讓電力公司員工下載了一款惡意軟件“BlackEnergy”(黑暗力量)。該惡意軟件最早可追溯到2007年，由俄羅斯地下黑客組織開發(fā)并廣泛使用，包括用來“刺探”全球各國的電力公司。

2017年“想哭”病毒爆發(fā)后，網(wǎng)絡(luò)攻擊發(fā)生了一些新的變化。

網(wǎng)絡(luò)攻擊不再重視個人電腦，而是大規(guī)模侵占學(xué)校、醫(yī)療、公眾事務(wù)甚至機場的網(wǎng)絡(luò)設(shè)施，直接鎖死公用網(wǎng)絡(luò)，造成的危害幾何級上升。事實上，銀行、政府、大型企業(yè)、軍事設(shè)備、基礎(chǔ)設(shè)施的網(wǎng)絡(luò)也接二連三被攻克。針對非個人網(wǎng)絡(luò)的大規(guī)模攻擊正在成為漸漸主流。

網(wǎng)絡(luò)戰(zhàn)時代，國家重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施跟整個民用網(wǎng)絡(luò)密不可分，所有網(wǎng)絡(luò)攻擊是無差別的攻擊，目的就是打擊基礎(chǔ)設(shè)施，最后讓整個社會停擺。

如果網(wǎng)絡(luò)攻擊讓你家里停電、打不了車、飛機停飛、高鐵停運，這樣的網(wǎng)絡(luò)戰(zhàn)效果比傳統(tǒng)作戰(zhàn)效果更好。

總而言之，隨著技術(shù)的發(fā)展，互聯(lián)網(wǎng)沒有變的更安全，反而是網(wǎng)絡(luò)攻擊的技術(shù)越來越先進，破壞力愈發(fā)強勁。

對于當下的中國而言，種種不利因素疊加，網(wǎng)絡(luò)安全問題格外凸顯。

第一，中國目前用了很多“別國”的系統(tǒng)，不少重要基礎(chǔ)設(shè)施、信息系統(tǒng)和個人計算機中采用的核心零部件屬“非國貨”，存在著木馬、漏洞和后門等嚴重安全風(fēng)險，這就為國外監(jiān)視和控制提供了可能，給國家的網(wǎng)絡(luò)安全埋下很大隱患。

處理器、操作系統(tǒng)等核心部件均有可能被“做手腳”，從而可能通過預(yù)設(shè)的操作監(jiān)控用戶行為、竊取敏感信息、造成病毒爆發(fā)等，導(dǎo)致個人的隱私、企業(yè)信息的安全甚至國家的安全均難以得到保證。

第二，隨著信息化不斷提升，最近幾年大數(shù)據(jù)、云計算、人工智能、物聯(lián)網(wǎng)、移動通信各種各樣信息化技術(shù)，用得越多，給網(wǎng)絡(luò)安全帶來巨大的壓力。系統(tǒng)越復(fù)雜，對安全防護能力的要求就越高。

根據(jù)研究機構(gòu)Gartner 公司的調(diào)查，2017年全球有84億臺物聯(lián)網(wǎng)產(chǎn)品正在使用，比2016年增長31％，預(yù)計到2020年將達到204億臺。預(yù)計到2020年，物聯(lián)網(wǎng)預(yù)計將產(chǎn)生驚人的經(jīng)濟影響，其市場規(guī)模高達8．9萬億美元，如果安全問題不能夠很好解決，那么物聯(lián)網(wǎng)設(shè)備所承擔的風(fēng)險將無法估量。

中國在科技上的迅速發(fā)展，讓智能設(shè)備數(shù)量的爆炸式增長，中國有 5 億臺電腦，15 億部手機，未來甚至可能有百億規(guī)模的智能設(shè)備，面對新形勢，需要有新的安全策略來應(yīng)對。

現(xiàn)狀不容樂觀

中國在信息化投入上不比其他國家低，但我們在網(wǎng)絡(luò)安全方面投入嚴重不足。

2017年，安全領(lǐng)域創(chuàng)業(yè)企業(yè)總?cè)谫Y額創(chuàng)新高。據(jù)不完全統(tǒng)計，網(wǎng)絡(luò)安全領(lǐng)域當年全球投資300億美元，國內(nèi)僅為5．4億美元；據(jù)分析，在歐美發(fā)達國家和地區(qū)，企業(yè)在網(wǎng)絡(luò)安全方面的投入占IT方面投入達到10％－13％，國內(nèi)僅1％－3％。

與投入相比，中國工業(yè)企業(yè)對自身企業(yè)安全建設(shè)水平卻“迷之自信”，在一項企業(yè)網(wǎng)絡(luò)安全調(diào)查中，36.7%的被調(diào)查者認為自己所在企業(yè)網(wǎng)絡(luò)安全建設(shè)水平達到行業(yè)領(lǐng)先；僅有2.9%的被調(diào)查者認為自己所在的企業(yè)網(wǎng)絡(luò)安全建設(shè)水平處于“裸奔”狀態(tài)。就實際情況來看，工業(yè)企業(yè)對自身安全建設(shè)程度普遍“自我感覺良好”，實際上是一種過度樂觀的狀態(tài)。

之所以出現(xiàn)這種矛盾情形，中國網(wǎng)絡(luò)安全公司的不爭氣難逃干系。

國內(nèi)網(wǎng)絡(luò)安全業(yè)界長久以來一方面極力推崇自主研發(fā)、自主創(chuàng)新；但在具體的產(chǎn)品實踐中，則又體現(xiàn)出自主研發(fā)創(chuàng)新能力和意愿的不足，貼牌與OEM在行業(yè)內(nèi)成為一種通行法則。而一些有一定自主研發(fā)能力的廠商，也通過OEM的方式補齊一個完整的產(chǎn)品線，從而來扮演全能力的解決方案供應(yīng)商形象。

按照傳統(tǒng)安全公司的做法，對付網(wǎng)絡(luò)攻擊只是建立防火墻，安裝入侵檢測的設(shè)備，這都是以銷售為目的來推銷產(chǎn)品，事實上無法從根本上解決網(wǎng)絡(luò)戰(zhàn)的安全問題。

不僅如此，由于中國網(wǎng)絡(luò)安全產(chǎn)品的特殊性，全民對于網(wǎng)絡(luò)安全的認知存在偏差。

國內(nèi)的互聯(lián)網(wǎng)安全廠商，崛起于互聯(lián)網(wǎng)免費模式，而各互聯(lián)網(wǎng)寡頭也紛紛跟進。國際的免費安全模式更多的是靠個人用戶免費來獲取用戶口碑，而在商業(yè)用戶和企業(yè)用戶收費的模式；而國內(nèi)的模式實際上更多是迎合國內(nèi)用戶更在意支出成本而忽視自我權(quán)益的價值取向，以免費服務(wù)形式引導(dǎo)用戶必須同意分享部分輕量級的隱私以及托管入口與流量的控制權(quán)。

這種模式導(dǎo)致中國網(wǎng)絡(luò)設(shè)備使用者的用戶體驗造成了一定的傷害，普遍對國內(nèi)安全企業(yè)提供的網(wǎng)絡(luò)安全服務(wù)存在不信任。

但在基于免費的安全服務(wù)，接受這種推薦就是用戶要付出的代價。這也互聯(lián)網(wǎng)安全廠商必須維持巨大的裝機量才能保證生存，因此難免出現(xiàn)在用戶控制權(quán)上的纏斗和相互絞殺，甚至有可能出現(xiàn)與灰色渠道和分發(fā)體系的“媾和”。而這顯然已經(jīng)與安全行業(yè)應(yīng)有的企業(yè)品質(zhì)有所沖突。

邁入2019年，網(wǎng)絡(luò)安全風(fēng)險加劇，網(wǎng)絡(luò)安全人才缺口也不斷加大。

根據(jù)《第十一屆網(wǎng)絡(luò)空間安全學(xué)科專業(yè)建設(shè)與人才培養(yǎng)研討會》得出的結(jié)論，“我國網(wǎng)絡(luò)空間安全人才年培養(yǎng)規(guī)模在3萬人左右，已培養(yǎng)的信息安全專業(yè)人才總量不足10萬，離目前需要的70萬差距巨大。而根據(jù)普華永道的報告，2019年網(wǎng)絡(luò)安全人才缺口可能達到150萬。

人工智能時代，機器雖然可以取代一部分機械重復(fù)的，但短期難以改變這個行業(yè)勞動密集的屬性，人才缺口越來越大同樣對中國網(wǎng)絡(luò)安全提出了嚴峻的挑戰(zhàn)。

復(fù)雜多變的網(wǎng)絡(luò)環(huán)境意味著更多的預(yù)判、更多的辨識和更多的定制化，意味著更多的人。雖然有點詭異，但要承認在面對復(fù)雜的網(wǎng)絡(luò)攻擊環(huán)境時，人的綜合判斷力與應(yīng)對能力是軟件無法比擬的。

尤其在物聯(lián)網(wǎng)攻擊層面，實時監(jiān)控、快速止損等操作都是目前機器無法取代的。為了應(yīng)對黑客的低門檻高效率，最簡單的方式還是培養(yǎng)足夠多的白帽子與之對攻。

網(wǎng)絡(luò)安全任重道遠

面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境和層出不窮的網(wǎng)絡(luò)攻擊威脅，國家、企業(yè)升級的不僅是技術(shù)，而是常識。

中國的網(wǎng)絡(luò)安全的希望必須首先寄托在網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展之上，必須有一批具有核心能力的強力企業(yè)，而這一點正在為更多人認同。

時代在變，企業(yè)必須從傳統(tǒng)意義上保護終端的安全思路走出來，變成保護數(shù)據(jù)、保護交互、保護硬件工作等方方面面的網(wǎng)絡(luò)安全思路，要用頂層思維審視所面臨的難題。

這就意味著，在整個國家的網(wǎng)絡(luò)安全防御系統(tǒng)上，需要有一個頂層的設(shè)計，數(shù)據(jù)需要打通。現(xiàn)在個人用戶電腦里裝了各種各樣的安全軟件，單位花錢裝了各種各樣的網(wǎng)絡(luò)安全設(shè)備。如果今天這些數(shù)據(jù)沒有打通。網(wǎng)絡(luò)安全企業(yè)看到的只是局部，無法判斷是惡意軟件，還是來自其他國家的網(wǎng)絡(luò)攻擊。只有通過聚合網(wǎng)絡(luò)安全大數(shù)據(jù)能力，才能真正看清楚網(wǎng)絡(luò)發(fā)生了什么。

網(wǎng)絡(luò)安全領(lǐng)域受到數(shù)據(jù)不足的困擾，這很大程度上是因為公司企業(yè)極不情愿報告負面消息。如果以往數(shù)據(jù)泄露及網(wǎng)絡(luò)攻擊的相關(guān)數(shù)據(jù)能跨企業(yè)共享，網(wǎng)絡(luò)防御就能得到極大提升。

2017年6月1日，《網(wǎng)絡(luò)安全法》落地實施，這是我國首部網(wǎng)絡(luò)安全相關(guān)立法；這意味著，國家法治保障體系建設(shè)已初具規(guī)模。

2019年3月7日，國務(wù)院國有資產(chǎn)監(jiān)督管理委員會發(fā)布了新版《中央企業(yè)負責人經(jīng)營業(yè)績考核辦法》，該辦法將于自2019年4月1日起施行。與舊版的考核辦法不同的是，新的考核辦法中增加了對網(wǎng)絡(luò)安全事件的考核要求。

由此可見，國家層面已經(jīng)網(wǎng)絡(luò)安全已經(jīng)成為國家安全最重要的組成部分之一，接下來，就需要企業(yè)主體的責任和擔當，以確保相關(guān)法律法規(guī)的落地執(zhí)行。

較量無聲，對抗無形，每時每刻，就在身邊。我們生活在一個和平的國家，而不是一個和平的世界。居安思危，是永不過時的話題。