郭守祥,近40年网络信息安全从业经历,曾任军口项目办主任,安全公司副总、科技集团副总裁兼信息安全研究院CEO。现任《信息安全与通信保密》理事会副会长,兼任多个协会、联盟专家委员,中国网安产业奖、中国支付行业奖和北京科技项目评审专家,国家网络安全产业园区运营平台公司顾问,CII网络安全尖锋训练营尖锋导师、北京商密顾问等。
Q:1、当今网络安全事件频发,个人隐私泄露成为人们关注的话题,站在专家的角度您认为应该怎样才能更好的保护个人信息安全?
A:当今我们所处的网络时代,数据无处不在,各类信息爆炸,可以毫不夸张地说我们整天都在被分布在各个系统的海量信息围堵着、骚扰着和瓜分着。这里所说的信息就包括与我们每个人有密切关联的个人隐私信息。个人信息泄露问题一直都是网络信息产业最严重的安全问题之一,据CNNIC发布的《中国互联网络发展状况统计报告》,仅半年就有54%的网民遇到过网络安全问题,上网遭遇个人信息泄露的比例达28.5%。网络时代如何防止个人隐私信息的泄露,保护好个人信息安全已成为政府、民众关注和热议的话题。
溯其之源,个人信息安全事件频发有两个环节不可忽略,一是个人信息被过度采集并被人为泄露,尤其是疫情防控期间这种情况更为突显,有关部门、企业、服务行业、社区甚至是保安、快递等等都在对个人数据信息无底线、无节制的采集和使用。二是诸多网络管理运营企业和采集部门监管不力,包括强行植入APP在内,对网络安全和个人数据信息保护漠视,只关注采集更多的用户信息分析获利,而缺乏对个人数据信息在采集、储存、分析、计算、调用过程中的安全加密保护措施。
在一些非法网站或暗网中,在我们看见或者看不见的地方,涉及个人信息数据的黑产规模更是在不断扩大,一些不法分子通过攻击政企服务器盗取用户数据信息,然后再通过暗网贩卖数据牟利,用户数据交易已经成为常态,触目惊心。例如近期被曝光的中国电信2亿多条用户信息被出卖,微博538亿用户数据在暗网被出售,江苏5000多万条个人信息在暗网被倒卖等等…还有的甚至直接利用个人隐私数据进行敲诈勒索,实施网络电信诈骗,严重破坏社会稳定。
国家政府极为重视对个人信息安全保护工作,颁布了一系列法律、法规、标准,中央网信办在疫情防控期间(2020年2月4日)还专门下发通知,要求各地方各部门高度重视个人信息保护工作。指出除国家依法指定机构外,任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。重申收集联防联控所必需的个人信息应参照国家标准,坚持最小范围原则,对个人信息的安全保护负责,防止被窃取、被泄露。强调要及时处置违规违法收集、使用、公开个人信息的行为,依法严厉打击造成个人信息大量泄露的事件。
目前,我们正处的时代是只有相对隐私,没有绝对隐私的信息“裸奔”时代,增强个人防范意识,了解个人信息保护方法尤为重要。
首先是要从我做起,注重自己的网络行为,依法上网、文明上网、安全上网。坚持做到不蹭用、不连接免费网络或公共wifi,不访问非法网站,不下载非正规或盗版软件,不点击不明真相的链接,不使用来历不明的App,不盲目开启各种应用权限,不随意参与网上有奖活动,不乱抢假冒中奖红包和奖品,不贪图小便宜随意扫描小礼品二维码,不使用他人终端操作个人金融业务,慎用社交媒体,不把自己的身份信息、联系信息等暴露在网上,更不要相信坐在家里点击刷单就能免费获利赚钱的种种骗局。
其次是定期对自己的上网终端进行安全检查,设置并定期更换中高强度口令,及时清理长期无用的文档和应用程序,消除安全隐患。
三是不要随意丢弃如银行账单等,及时销毁如快递单等明显包含有个人信息的纸质数据材料。利用这类信息实施诈骗时有发生,应引起高度警觉。
四是在用的多个不同应用软件避免使用同一组账号密码,要避免使用个人生日、电话号码等作为账号密码,防止黑客利用个人信息数据进行“撞库”侵入账户,或一个系统的账号泄密而导致全军覆没的悲剧发生。最后,提倡外出消费每次尽量只携带一张卡,增加防范意识,防止个人账务信息被盗取,降低个人隐私信息被泄露和个人财产遭受损失的危险。
我们必须要清楚地看到,在大数据时代,信息的共享与有效利用,与用户隐私保护、数据有效控制安全需求之间存在着天然的矛盾。在个人数据信息的使用上,安全和便捷历来处于此消彼长的状态,技术的发展完全可以带动两者的同步提升,但却无法消除便捷与隐私、隐私与安全两者之间的矛盾。个人隐私保护仍然面临着诸多有待攻克的技术难题,网络安全威胁因素多种多样、黑客恶意攻击事件随时都会发生,甚至是许多全球知名企业也都遭遇过重大数据泄露事件,任何国家都很难置身事外。随着我国国家《网络安全法》、《民法典》等法规的实施和执法的逐渐严格,个人信息泄露的问题有望从源头上得到解决,广大网民的安全感和满意度有望得到提升。
Q:2、随着物联网、大数据、云计算、AI等手段不断被应用于我们的生活中,我们在迎来机遇的同时也在面临着前所未有的安全挑战,您认为未来网络安全行业的发展空间与未来方向在哪里?
A:人工智能、5G新技术的快速发展,物联网、大数据、云计算等基础应用的持续深化,在迎来大规模新技术应用机遇的同时我们必须要正视大规模的数据泄露、高危漏洞、新技术应用下网络攻击等频发的网络安全挑战。据CNCERT报告显示,截至2019年12月,CNCERT监测发现的我国境内被篡改网站高达185573个,国家信息安全漏洞共享平台收集到信息安全漏洞16193个,共处理网络安全事件10.78万余起,其中多项数据同比都有较大幅度增长,整体安全形势相当严峻。
随着网络安全问题的不断暴露,国家政府从战略层面高度,在政策上对网络安全行业给予了大力支持,近几年密集出台了国家《网络安全法》、《网络安全等级保护制度2.0标准》等多项推进网络安全产业发展的政策法规和标准,为网络安全行业的未来发展增添了新的动力。我国网络安全行业已初步形成了上游软件、硬件,中游安全产品、服务、集成,下游各行业用户应用的网络安全行业完整产业链。可以肯定在新兴技术的催化以及国家政策的支持下,我国网络安全技术应用前景可观,未来发展市场空间巨大。
在云计算、大数据、工业互联网、物联网等行业快速发展所带来的安全需求增长的推动下,近几年我国网络安全行业进入了快速发展期。预计到2022年仍将保持20%速率的增长势头。据IDC预测,到2022年,全球安全行业整体规模将达到1338亿美元,其中,中国网络安全行业规模将增至137.7亿美元。以云应用为例,伴随云计算的进步,云安全问题也引起了更多关注,为未来云安全产品与服务的研发与部署提供了广阔的应用场景,可以预见,云安全整体市场规模将随着云计算行业的快速发展而快速增加。
面对网络安全的新挑战,我国网络安全行业未来只要坚持“创新引领、需求导向、科学布局、合作共赢”发展方向,就能推动和加速网络安全产业的发展,提升网络安全的保障能力。一是要加强基础性、通用性技术创新,利用人工智能、大数据等技术赋能网络安全产业,发挥企业主体,推广创新应用。二是要面向5G、工业互联网、车联网等融合领域安全需求,完善网络安全产品和服务支撑体系,提升态势感知、监测预警、应急响应能力。三是要科学布局,优化产业政策环境,推进国家网络安全产业园区建设,加强人才队伍建设,打造产、学、研、用一体化的产业生态。四是要坚持合作共赢,发挥政府、企业、科研院所等各方作用,共同应对网络安全威胁与挑战,共同维护网络空间安全秩序。
Q:3、网络安全产业对当代社会来说具有重要意义,您认为我国应该怎样发展壮大网络安全产业?
A:目前,网络空间内涵和外延不断扩展,网络空间的竞争更加激烈,网络安全的威胁也在持续上升。从全球网络安全市场的格局看,我国的网络安全产业规模还较小,龙头企业还不多不强,产业碎片化现象突出。据中国网络空间安全协会发布的《2020年中国网络安全产业统计报告》,2019年,我国网络安全上市企业计62家,新三板上市企业39家。其中有13家企业网络安全业务年收入超过10亿元,占网络安全业务总收入的近50%。随着网络安全战略地位的不断提高,国家重视程度的强化和全民安全意识的提升,我国网络安全产业发展建设迎来了新机遇,进入新时代和更大的发展空间。
发展机遇与风险威胁历来都是并存的,网络安全建设如何加强、产业如何发展也是世界各国共同热议探讨的话题。就我国而言,网络安全已经提升为事关国家安全、国家发展的重大战略高度。2019年6月30日,《国家网络安全产业发展规划》正式发布,工业和信息化部与北京市人民政府决定建设国家网络安全产业园区。根据规划,近两年将依托国家网络安全产业园带动北京市网络安全产业规模超过1000亿元,拉动GDP增长超过3300亿元,打造不少于3家年收入超过100亿元的骨干企业。加快构建“高精尖”经济结构,增强网络安全产业发展的高端引领作用,保障网络时代的国家安全利益。
到2025年,我国将建成网络安全产业“五大基地”。以重大战略需求为核心驱动,超前部署、加速推进关键共性技术研究的国家安全战略支撑基地。搭建面向全球协同研发平台,推动核心技术创新和科研成果转化的国际领先的网络安全研发基地。培育一批具有全球竞争力的骨干企业,打造产、学、研、用一体化的网络安全产业生态链,在全国形成高端产业示范引领效应的网络安全高端产业集聚示范基地。依托北京市技术、人才、科研、教育等优势资源,建设一批总部型、基地型培训基地,吸引国内外高端网络安全人才的网络安全领军人才培育基地。加强政府统筹引领作用,推动园区体制机制创新,积极研究探索建立适应新时代网络安全产业发展需求的、创新的、先进的、高效的园区管理运营体制,实现政府、行业、企业、社会共建共享网络安全产业制度创新基地。
《国家网络安全产业发展规划》无疑为我国网络安全产业的发展确立了目标,指明了方向,给安全行业的持续发展壮大增添了新动力。在我国网络安全形势愈发严峻的背景下,国家政府对网络安全行业的高度重视和政策、制度的引领,各科研部门,研发机构、网络安全企业的积极践行,网络安全人才培养的加强和技术投资市场的有效保障等等,这些共同的推进都将有助于我国网络安全产业的发展壮大,助力网络安全产业建设取得新的成果。
Q:4、随着疫情的爆发,很多企业选择远程办公,信息安全受到很大挑战,对此您有什么建议?
A:一场突如其来的疫情改变了我们的生活,也改变了我们传统的现场办公模式。很多企业和单位不得不开启网上远程办公新模式。在线会议、即时通信、文档协作、后台操作、系统运维等典型远程办公应用场景突然显现并急剧增长。统计数据表明,仅在2020年春节后的首个复工日,就有2亿用户开始居家在线远程办公。毫无疑问,居家远程办公模式在保障人们健康和工作的同时,也带来了不可忽视的安全隐患。“全员上云”所带来的是网络信息安全的新挑战、新风险,会直接关系到企业的核心数据、资产利益。在新冠肺炎抗疫得到基本控制的同时,我们不能忽视远程办公的信息安全“次生疫情”,尤其是那些伴随疫情产生的,或者加重的安全威胁。
远程办公的最大特点一是方便及时接入系统,二是人员使用设备物理环境的不确定性。由此带来的问题是办公系统、设备、数据、人员和环境等安全风险的同步增加。远程办公系统安全功能的不完备,难以满足开展远程办公的安全要求。不同用户在接入远程办公系统时,未能启用适当的有针对性的安全策略,很容易被植入木马恶意软件。分散在外部的远程办公设备不合适的安全配置,缺乏安全防护将直接影响远程办公系统和设备安全。数据访问权限的简单和不合理设置、不按安全要求与规定使用不当的操作等都会造成用户数据的泄漏。居家办公网络设备的环境安全防护能力、网络通信保障能力相对较弱,有的环境嘈杂,设备各差,存在网络入侵和通信中断、数据被篡改、信息被劫持、被窃听、被钓鱼、被诈骗的风险。个人数据信息在远程办公系统被大量地多重采集和存储,严重存在被滥采、滥用、泄露和钓鱼的风险。基于云平台部署并利用云端传输的远程办公系统,用户可能失去对数据的直接管理和控制能力,存在数据被非法授权访问和使用的数据泄漏风险。
从当前的防控形势看,未来疫情防控工作将会常态化伴随。远程办公还将成为今后相当长一段时间举行会议、论坛、培训等工作的主要形式。随着远程办公应用的常态使用和规模的提升,信息安全问题,如防范发动定向威胁攻击等也将提上日程,并将成为各大平台解决方案的“标配能力”。充分利用好疫情防控工作取得阶段性成果的档口,适时启动针对性通信、接入和管控安全策略,积极防御远程办公的信息安全“次生疫情”风险很有必要。
专家建议
一、进行一次全面需求分析和业务梳理。明确用于远程办公的业务、数据和业务系统相关的安全需求。梳理系统接入网入口和接入操作的分类和要求。提出可行的流程和监管要求,通过持续的监控和改进,完善安全防护。
二、完善管理和培训制度。信息安全以人为本,开展远程办公安全教育和培训,提升全员安全意识最为重要。要按照国标相关要求,规范个人终端操作,遵循如安全口令字登录,安装杀毒软件,定期更新配置等操作要求。
三、选择优质的业务提供商。确定或重新选择安全保障能力和应急响应能力强,业界安全信誉度高,有安全承诺的业务提供商作为自已的合作伙伴。目前各大平台均已推出特色各异可以取代疫情过渡期间的替代性产品和解决方案。
四、制定操作流程和巡检制度。编制和演练应急预案,定期对远程办公接入系统、设备和网络进行检查和测试,坚持授权管理,使系统的配置管理、变更管理、数据备份策略及抽查测试都形成规范化操作。
五、要特别关注视频会议应用中的传输过程和接入终端侧环节的安全。在传输过程中,对核心数据传输采取加密,防止传输过程被窃取或篡改;对终端进行准入认证和安全防护,防止恶意终端侵入系统窃取敏感数据以及遭遇勒索病毒攻击的风险。
面对疫情伴随产生的“次生疫情”风险,企业数据信息面临诸多威胁。远程办公只有做到既保证访问企业内核应用,又保障数据安全才是硬道理。传统的网络安全防护体系中采用的多种边界防护措施是较为有效的防护策略。但对于安全能力较弱的小企业来说,远程办公带来的风险是比较大的,特别是面对远程办公沟通传输中的数据信息安全挑战更需要做好主动安全防护。通过采用如临时开放服务,增加登录要求,开启多重认证,外放应用安全加固,数据文件安全加密或限制打开时限次数,及时关闭访问通道等安全防护策略,都是减少由于远程办公而放大的安全威胁的有效措施。
Q:5、勒索病毒频发,企业用户数据大规模泄露,请您谈谈企业应该怎样做好网络安全?
A:近几年来,受到勒索病毒攻击的事件层出不穷,一直呈现高发状态,政府、企业、学校、医院以及关键基础设施等局域网机构无一幸免,成为受攻击的重灾区,带来了很多危害,造成很大损失。据统计,世界经济每年受勒索软件攻击造成损失超5000亿美元,与之对应的全球网络安全支出高达1000亿美元。达沃斯论坛全球风险报告称,网络攻击问题已经成为全球仅次于极端天气和自然灾害之外的全球性第三大威胁,这个说法一点都不为过。对于企业而言,数据信息是企业最重要的资产,威胁到数据安全的风险就是企业的最高风险。
从勒索病毒攻击方式看,弱口令、共享文件、漏洞是勒索软件最常用的攻击手段。弱口令攻击致远程终端服务被爆破,黑客远程登录用户终端投毒的占比超过一半。尽管很多远程爆破并非在短时间内发作,但用户在黑客攻击过程中很难觉察,往往事后等到服务器被攻破并投毒,通过查看相关日志才能发现。第二类攻击是所有文件或数据库文件被加密。这类情况一般是因为局域网中其他设备被感染了勒索软件,该软件通过搜索并加密局域网中的共享文件致使服务器瘫痪,通过向受害者显示勒索消息进行勒索。此类被勒索攻击的中小企业服务器案件在疫情期间也多有发生。第三类攻击是利用软件漏洞和系统漏洞来投放勒索软件。
利用缺陷挖掘漏洞进行攻击已成为永远的主题,对于被勒索病毒加密的文件依旧无法破解,传统堵查方式都无法保障,避免被勒索造成损失的最好办法就是提前做好安全防御。从近几年数据泄露发生被勒索事件分析数据看,大部分的原因还都是网站安全防护不到位、常态化防控工作没有做好所导致。对此,网络用户在应对勒索病毒事件总结了许多预防攻略和必备事项。但无论是八项注意还是十大手段,我认为最根本最关键还是人的安全意识和对规章措施的严格落实。
做好企业网络安全的防控必须先从坚持预防为主,强化全员网络安全意识入手,区分不同角色权限,避免内部管理出现问题。系统安装好杀毒软件,定期进行安全漏洞扫描并更新补丁,及时发现和有效地阻止病毒在企业网络内部传播。用好密码技术,这是当今世界公认的保障网络信息安全最有效、最可靠、最经济、最关键的技术手段。任何时间对重要文件习惯性备份都是一个好习惯,做好数据备份与恢复,是系统容灾的基础和减少损失的最后一道防线。每次在远程办公结束后,还应对远程终端文件、数据进行一次清理确保不造成病毒感染和重要信息泄露。
Q:6、近年来,网络安全人才问题逐渐成为网安领域最为热门的话题之一,结合目前的国内现状,请您谈谈网络安全人才正在面临哪些问题,该如何解决?
A:回答这个问题我不专业,只能从有限的导师经历谈点初浅的认识。综合国力的竞争说到底是人才的竞争。人才资源作为社会发展第一资源的特征和作用更加突显,人才竞争已经成为综合国力竞争的核心。能培养和吸引更多优秀人才,就能在国际竞争中占据优势。网络安全是技术更新最快的领域之一,网络空间的搏弈,说到底还是人才的对抗。当前我国网络空间安全人才缺口大、培养周期长、人才评价体系不健全的现状已成为行业的普遍共识。建设网络强国,解决好网络安全人才的培养、留存所面临的挑战仍是网络安全行业的首要任务。
网络空间安全人才该如何培养一直是广泛关注的热议话题。近几年网络安全人才培养工作得到了国家层面重视,取得了一些重要进展。教育部将网络空间安全增设为一级学科,首批29所。中央网信办专门成立了网络安全的专项基金,用于遴选和资助网络安全优秀教师和学生,在全国各地举行多种网络安全竞赛等锻炼队伍,发掘优秀人才。建立校企结合共同培养机制,开展网络安全培训等,这些措施都将有利于完善网络安全人才培养体系,推动网络安全人才培养工作向更纵深方向发展。
Q:7、请您对江民的发展提出一些建议。
A:江民科技是我国最早的知名查杀病毒专业公司,拥有自主研发的系列反病毒系列核心技术产品,业界影响力大,所创业绩非凡。希望江民科技在保持技术优势和产品特色的同时,继续引领技术发展,结合行业界需求,扩大新技术应用,打造反病毒产业生态链,提供更多的独特产品与服务。此外希望江民科技在发展中更加注重自身品牌价值建设,进一步提高行业知名度和公信力,继续向行业纵深发展,引领国内行业创建国际知名品牌。
来源:freebuf.com 2020-07-22 11:39:44 by: 江民安全实验室
请登录后发表评论
注册