編者按:2014年3月,日本開展了迄今最大規模的網絡戰演習﹔4月,29個國家參加了“2014網絡歐洲”演習﹔5月,17個國家參加了“鎖定盾牌2014” 國際網絡防御演習﹔7月,美國舉行“網絡衛士”演習﹔11 月,北約開展“2014 賽博聯盟”賽博防御演習。這些演習都是旨在測試、提升本國應對網絡攻擊的迅捷性和有效性,以及聯盟協作應對網絡安全事件的能力。未焚徙薪,有備無患,此起彼伏的網絡攻防演習,事實上已經成為網絡強國建設的檢驗范例,是維護網絡空間安全和長遠發展的綢繆之舉。
今年以來,全球的網絡攻防演習如火如荼,產業界也不甘落后,已有多場次技術性攻防演練,引發不少業內人士的關注。本來網絡的應用是正向的,但是一些好勝者,在網上干了不該干的事,導致正常使用網絡的秩序被破壞,人們就不得不防了。更有甚者,某個國家已經公開宣布,要將網絡作為他們的第五作戰空間。這就不得不讓其他國家在此方面提高警惕並且要提升應對入侵的能力。應該說,美國人已經佔據了網絡空間的制高點,不論芯片、計算機體系結構、網絡、操作系統等等,都處於統治地位,對於其他國家來說,可以說是單向透明的。而我們則是霧裡看花,不論是防還是攻,都處在不利地位上。所以,對於我們來說,這種演練的意義更大。
萬物互聯的問題是許多廠商、官員、專家大談特談的一個方向。萬物互聯帶來的美妙前景,許多人都在描繪。而筆者在看到這些美妙前景的同時,也看到了可怕的骷髏、熊熊的火災、淒慘的交通事故和爆炸等各種災難。筆者曾經拿著刑法,對著所有的犯罪進行分析,看看哪些犯罪可以直接利用物聯網絡就可以實施,最后只是在性侵害犯罪方面,沒有想出辦法,其他的都能想像出辦法來。后來一些小伙伴告訴我,就是性侵害,他們也是有辦法直接利用網絡實現的。
這就很可怕了,目前的Internet是機器的聯結,出現的的后果也都是發生在信息網絡中的,是間接的。如果在萬物互聯的環境下,這個后果可就不僅是在信息網絡空間了,對現實社會必然產生直接的破壞甚至是摧毀。后果可能是帶有全局性的和災難性的。
在萬物互聯的環境下,有兩個基本點:一是高度的網絡化,二是高度的智能化。高度的網絡化有兩層含義,一是萬物都可以連結到網上,二是連網受到時間空間的限制越來越少,可以說基本上不受時間和空間的限制。高度的智能化,是指一個任務的完成過程,幾乎不需要人的參與,隻要我們給定了初始條件,給出任務目標,就可以了,系統就會自動的,根據對各類採集的數據進行分析,自動判斷並執行相應的動作,來為我們完成相關的任務。
這樣,問題就來了,如果在完成任務的過程中,採集到的數據有錯誤,就可能會導致嚴重的后果。2010年7月23日,甬溫發生的動車相撞事故,曾有報導說是因為雷擊導致了軟件出現了問題﹔美國在伊朗利用病毒把伊朗的離心機搞掉了10%﹔伊朗則把美國的在空中進行偵察的無人機俘獲,這些都是對萬物互聯的警示性事件。
安全,首先是要建立規則,建立秩序,現實社會如此,網絡空間也是如此。但是規則建立后,還要有保障這些規則正確實施,不被破壞,不被繞過的機制保証才行。多年來,漏洞一詞對於普通人說也不是陌生的名詞。從某種意義上來說,漏洞就是對這些規則的破壞,如破壞隔離機制,或者進行反控制,或者繞過控制機制,使得安全規則形同虛設。入侵行為多發生於對漏洞的利用,漏洞問題是一個幾乎無法解決的難題。所以盡早的發現漏洞,防范他人利用漏洞對我們系統的入侵就顯得特別的重要。攻防演練實際上是對我們發現漏洞和利用漏洞能力的一個檢驗。在萬物互聯的環境下,這種演練會更加重要。
我們目前的演練還僅限於在系統軟件和應用程序中發現漏洞。在萬物互聯的環境下,漏洞可能不僅是在這兩個層面上,硬件漏洞、器件失效、對一些特定器件無線復制、插入干擾、信息截獲等問題,都需要我們納入到演練當中,及早的發現問題,及早的解決這些問題。
我們已經在網絡空間處於下風地位,如果我們不能主動的發現漏洞並進行修補,同時利用這些漏洞進行反制,那我們的安全就成了大問題了。
(作者系中關村誠信互聯網安全數據服務產業聯盟 安全顧問)
(文章來源:中國信息安全)
| 相關專題 |
| · 專題報道 |
