物联网时代催生安全隐患 从全局看待基础设施安全
对于即将到来的物联网时代,社会各界都面临着各种挑战。作为我国重要的网络安全技术自主创新企业,安天很早就承担起国家级网络安全应急服务支撑单位工作,安天依托获得国际权威奖项的下一代威胁检测引擎核心技术,为国家相关部委和行业提供了高级威胁检测产品解决方案,并先后分析曝光了白象、方程式等境外组织对我国的APT攻击事件,引发国内外关注。今年5月25日,习近平总书记视察了安天总部。在2016世界物联网博览会安全论坛期间笔者徐倩专访了安天创始人、首席技术架构师肖新光。
物联网时代催生安全隐患
问:您如何看待物联网时代?
肖新光:物联网时代是人类信息化发展的一次重要的变革,其大大提升了对信息的采集能力和再造再加工能力,以及加快了信息传递的速度,增大了信息化的覆盖面积。如果说计算机延展了人的脑力,那么物联网时代就延展了人类的感知能力,物联网时代会进一步加快生产力发展,提升人类的生活品质。但物联网时代也扩大了网络威胁影响的范围,给网络安全工作者提出了更高的挑战。
从全局看待基础设施安全
问:我国政府应该如何应对全球工业安全威胁,如何安全有效防护信息的泄露?
肖新光:习近平总书记在4.19网信工作会议讲话中指出“关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”要求我们“加快构建关键信息基础设施安全保障体系。”所以我们要注意一点,我们不要以偏概全、不能把关键基础设施安全窄带化为工控安全或者工业系统的安全,而是要站在“总体安全观的”的角度来全局看待关键基础设施安全。
超级大国、地缘利益竞合国家和地区和一些非政府攻击者,可能觊觎我关键基础设施,试图进行数据窃取、技术成果窃密、干扰破坏,以及进行长期持久化以达成后续行动便利等行动,我方当前面临的威胁是多层次和多边的。
因此保障关键基础设施安全,全面避免片面的从“孤立”、“静态”、“封闭”的角度看待,而是要从“供应链”、“信息流动”的大场景来看待,即要通过突破信息基础技术、工业关键技术,掌握供应链的优势;通过实现产业和服务全球化进取,达成信息流动的优势;要切实推动网络安全产业的成长,推动网络安全产业和关键基础设施的能力对接;从防御能力和威慑能力的角度完善国家能力准备。
保障政府采购体系安全
问:对政府采购体系的安全有哪些建议?
肖新光:政府采购体系是我们社会的基础经济运行体系的重要支撑环节,其安全非常关键。但信息系统的安全是复杂关联的,很难简单说清楚。总体上来看,其涉及到通过安全补丁加固、恶意代码检测和主动防御机制保证服务器节点的安全性;引入反APT级别的安全防护产品保证政府采购相关部门机构的内网安全;进行有效的应用层防护,对抗SQL注入等应用漏洞;推广账户和密码安全机制、实现关键数据字段的强加密,遏制撞库、脱库等攻击;贯彻安全开发方法和有效代码审查,减少应用层漏洞;强制使用HTTPS,避免通讯内容被从信道侧获取、实行更强有力的内审和监控机制,避免内鬼作案等等。同时,更要联合公安执法部门,对于攻击政府采购体系,恶意窃密牟利的违法犯罪活动予以高压打击,形成有效威慑。