前言:中文期刊網(wǎng)精心挑選了網(wǎng)絡(luò)空間安全的重要性范文供你參考和學(xué)習(xí),希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感,歡迎閱讀。
網(wǎng)絡(luò)空間安全的重要性范文1
關(guān)鍵詞:技術(shù) 管理 法規(guī) 網(wǎng)絡(luò)信息安全
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2013)02-0178-02
1 網(wǎng)絡(luò)信息安全現(xiàn)狀
今年10月份“網(wǎng)絡(luò)空間國際會(huì)議”在匈牙利閉幕,“網(wǎng)絡(luò)空間”繼倫敦會(huì)議后,再一次作為全球焦點(diǎn)被世界多國研究討論,會(huì)議最終呼吁各國在構(gòu)建安全的網(wǎng)絡(luò)空間方面進(jìn)行合作。由此可見網(wǎng)絡(luò)空間的安全問題已成為世界多個(gè)國家普遍存在且需全球協(xié)作的共性問題。互聯(lián)網(wǎng)自誕生之日起就將世界聯(lián)系成為一體,經(jīng)過30多年的發(fā)展,網(wǎng)絡(luò)技術(shù)在促進(jìn)經(jīng)濟(jì)繁榮、科技進(jìn)步、思想傳播等方面改變著人們的生產(chǎn)和生活方式,并逐漸的滲透到人類生存的各個(gè)環(huán)節(jié)中,各國政府也高度依賴由網(wǎng)絡(luò)聯(lián)結(jié)的政務(wù)、電力、交通、能源、通信、航空、金融、傳媒、軍事等“關(guān)鍵基礎(chǔ)設(shè)施”,實(shí)施經(jīng)濟(jì)治理和社會(huì)管理,網(wǎng)絡(luò)已成為國家政治、經(jīng)濟(jì)和軍事的戰(zhàn)略支點(diǎn)。但與此協(xié)同的安全問題卻沒有跟上網(wǎng)絡(luò)發(fā)展的步伐,在日益普及的網(wǎng)絡(luò)應(yīng)用空間中,安全問題已成為21世紀(jì)世界面臨的嚴(yán)重挑戰(zhàn)。
我國互聯(lián)網(wǎng)起步較晚,但發(fā)展速度十分驚人。據(jù)2012年7月中國互聯(lián)網(wǎng)信息中心的數(shù)據(jù)顯示,我國的網(wǎng)民數(shù)量已達(dá)到5.38億,其中低學(xué)歷人群增長較為明顯;互聯(lián)網(wǎng)普及率為39.9%,其中農(nóng)村人口占到51.8%;IPv6地址數(shù)達(dá)12499塊/32,躍居全球第三。同時(shí),根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的數(shù)據(jù),2011年境外有近4.7萬個(gè)IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器,控制我國境內(nèi)近890萬臺(tái)主機(jī),近3000個(gè)政府網(wǎng)站被篡改。日益龐大的網(wǎng)絡(luò)空間和終端用戶的低安全性造成我國網(wǎng)絡(luò)空間的安全問題更顯突出。
2 技術(shù)、管理、法規(guī)安全機(jī)制主要內(nèi)容
網(wǎng)絡(luò)與信息安全機(jī)制的研究從網(wǎng)絡(luò)產(chǎn)生時(shí)就一直沒有間斷過,它與網(wǎng)絡(luò)技術(shù)的發(fā)展息息相關(guān)。當(dāng)前網(wǎng)絡(luò)與信息的安全機(jī)制主要有:加密機(jī)制、安全認(rèn)證機(jī)制、訪問控制機(jī)制、完整性機(jī)制、不可否認(rèn)機(jī)制、公證機(jī)制和路由控制機(jī)制等。結(jié)合安全機(jī)制產(chǎn)生的網(wǎng)絡(luò)信息安全服務(wù)也基本涵蓋了應(yīng)用領(lǐng)域的各個(gè)方面[1]。但是這些防范技術(shù)總是很難和安全管理有效的結(jié)合,或者說是用技術(shù)實(shí)現(xiàn)管理的執(zhí)行力不強(qiáng)。究其原因,我覺得是在技術(shù)和管理之間缺少一個(gè)強(qiáng)有力的約束框架,為此我們?cè)诰W(wǎng)絡(luò)信息安全“技術(shù)+管理”的模式中,獨(dú)立出一個(gè)法規(guī)標(biāo)準(zhǔn),提出了技術(shù)、管理、法規(guī)三維一體的網(wǎng)絡(luò)信息安全體系,以技術(shù)為基礎(chǔ),用法規(guī)作保障,實(shí)現(xiàn)網(wǎng)絡(luò)空間的自主管理。如圖一所示:
(1)技術(shù)機(jī)制:網(wǎng)絡(luò)與信息安全機(jī)制采取在國家網(wǎng)絡(luò)空間盡遠(yuǎn)端保護(hù),中間處保障,核心端強(qiáng)調(diào)可生存性的三級(jí)安全防護(hù)措施。1)盡遠(yuǎn)端保護(hù)采取常規(guī)的安全措施,劃分明確的網(wǎng)絡(luò)空間邊界,利用加密、認(rèn)證、訪問控制等技術(shù)手段,在網(wǎng)絡(luò)空間邊界上阻止非法入侵,達(dá)到信息安全的目的。在盡遠(yuǎn)端保護(hù)中要著力解決兩個(gè)難題:一是網(wǎng)絡(luò)空間邊界不像陸、海、空、天等實(shí)體一樣,有清晰明確的邊界線,這就需要安全防護(hù)措施能夠根據(jù)自主識(shí)別動(dòng)態(tài)變化的敵我雙方邊界,合理有效的實(shí)施安全防護(hù);二是網(wǎng)絡(luò)和信息領(lǐng)域的攻擊手段和技術(shù)發(fā)展很快,各種保護(hù)措施需保證跟的上敵對(duì)方的發(fā)展速度,及時(shí)地調(diào)整安全防護(hù)機(jī)制。2)中間處安全保障采取以入侵檢測(cè)技術(shù)為核心,以恢復(fù)技術(shù)為后盾的入侵檢測(cè)恢復(fù)機(jī)制。該機(jī)制融合保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)四大技術(shù),通過對(duì)網(wǎng)絡(luò)流量或主機(jī)運(yùn)行狀態(tài)的檢測(cè)來發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)空間攻擊及破壞行為,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息空間狀態(tài)的動(dòng)態(tài)檢測(cè),并對(duì)各種惡意的入侵行為做出響應(yīng)。在實(shí)施入侵檢測(cè)機(jī)制時(shí),要能夠快速有效的分辨出攻擊行為,以便后續(xù)響應(yīng)措施的實(shí)施,另外還要能夠及時(shí)的恢復(fù)網(wǎng)絡(luò)和信息到攻擊前的正常狀態(tài)。3)核心端生存性技術(shù)是指在國家網(wǎng)絡(luò)空間核心處受到攻擊或意外事故發(fā)生時(shí),在限定時(shí)間內(nèi)恢復(fù)到正常狀態(tài)的能力。這里主要關(guān)注的是“容忍”技術(shù),即入侵或故障發(fā)生時(shí),網(wǎng)絡(luò)空間仍可以正常工作,在后續(xù)的時(shí)間內(nèi)逐漸的排除故障,確保核心端數(shù)據(jù)的完整性、機(jī)密性和可用性[2][3]。容忍概念的提出到現(xiàn)在經(jīng)歷了從容忍錯(cuò)誤到容忍入侵的過渡,但是目前應(yīng)用還很少,特別是國內(nèi),理論研究多而實(shí)際項(xiàng)目少,在下一步的網(wǎng)絡(luò)信息安全技術(shù)中,應(yīng)加大發(fā)展力度。4)安全防護(hù)設(shè)備信息融合機(jī)制。當(dāng)前存在有防火墻、入侵檢測(cè)、漏洞掃描等各自獨(dú)立的安全防護(hù)設(shè)備,彼此間信息不能共享。而在現(xiàn)實(shí)中,各個(gè)安全防護(hù)設(shè)備的信息可以互相利用,甚至有時(shí)候還可以成為對(duì)方的核心數(shù)據(jù)。因此,要建立防護(hù)設(shè)備信息融合機(jī)制,將攻擊信息有效整合起來,實(shí)現(xiàn)信息的充分利用。
(2)管理機(jī)制:網(wǎng)絡(luò)信息安全常說的一句話是“三分技術(shù),七分管理”。的確是這樣,再完美的防范技術(shù),如果沒有很好的執(zhí)行和落實(shí),到最后也發(fā)揮不了作用。這里我們提出的管理機(jī)制,不僅有網(wǎng)絡(luò)空間維護(hù)人員的管理,還有對(duì)眾多網(wǎng)絡(luò)空間使用人員的管理。1)末端宣傳教育機(jī)制。加大網(wǎng)絡(luò)空間安全意識(shí)的宣傳力度,普及安全使用網(wǎng)絡(luò)的基礎(chǔ)知識(shí),在一些機(jī)關(guān)或企事業(yè)單位,適當(dāng)?shù)拈_展網(wǎng)絡(luò)信息安全的培訓(xùn),提升我國眾多網(wǎng)民安全防護(hù)意識(shí)和安全使用網(wǎng)絡(luò)的能力。網(wǎng)絡(luò)空間安全意識(shí)作為一種機(jī)制,要形成常態(tài)化,并通過法規(guī)制度,提升各級(jí)單位的重視程度。現(xiàn)在的信息技術(shù)是先進(jìn)的,但也需要會(huì)使用先進(jìn)技術(shù)的網(wǎng)民,這樣才能在末端接入處提高網(wǎng)絡(luò)空間的安全,從根本上解決隱患。2)中段管理人員的歸口負(fù)責(zé),把零散的“點(diǎn)”的管理轉(zhuǎn)向系統(tǒng)性、有序的“面”的管理。早在1997年我國就成立了信息技術(shù)和安全技術(shù)委員會(huì),各級(jí)各類的安全部門也相應(yīng)成立,但這些安全管理人員信息分散,彼此間沒有統(tǒng)一協(xié)調(diào)的部署和指揮,在面臨突況時(shí)很難有效整合。因此,對(duì)管理人員要建立系統(tǒng)組織機(jī)構(gòu),做到分工明確,職責(zé)清晰,建立健全網(wǎng)絡(luò)應(yīng)急處理的協(xié)調(diào)機(jī)制。3)國家安全一票否決制。在網(wǎng)絡(luò)空間,處理一些具有安全隱患問題時(shí),采取一票否決制,即只要有危害國家信息安全的潛在風(fēng)險(xiǎn)因素,就直接否決。其主要針對(duì)于應(yīng)用國外的網(wǎng)絡(luò)設(shè)備或軟硬件商品。如同美國在通信設(shè)備中拒絕使用華為和中興設(shè)備;禁止華為收購美國3Com的理由是一樣。在技術(shù)含量高的網(wǎng)絡(luò)空間產(chǎn)業(yè)的競(jìng)爭(zhēng),一般的反傾銷、反補(bǔ)貼等貿(mào)易救濟(jì)措施抑制效果有限,且還要受到世界貿(mào)易組織爭(zhēng)端解決機(jī)制制約。相比之下,合理的使用一票否決制,可有效將存在潛在威脅的企業(yè)或商品擋在國門之外。
(3)法規(guī)機(jī)制:安全技術(shù)領(lǐng)域需要有各類標(biāo)準(zhǔn),安全管理需要有行為規(guī)范,維護(hù)網(wǎng)絡(luò)空間需要有法律,處理安全事故責(zé)任需要有依據(jù),在網(wǎng)絡(luò)信息空間新領(lǐng)域里要重視標(biāo)準(zhǔn)和法規(guī)制度的建設(shè),及時(shí)更新修改,有效保障管理措施。1)盡快制定我國《國家網(wǎng)絡(luò)安全戰(zhàn)略》,將網(wǎng)絡(luò)空間安全問題上升為國家戰(zhàn)略問題進(jìn)行通盤考慮和研究。在國家戰(zhàn)略背景下,逐步建立各類安全技術(shù)的評(píng)判標(biāo)準(zhǔn)和網(wǎng)絡(luò)信息安全體系構(gòu)建標(biāo)準(zhǔn),指導(dǎo)網(wǎng)絡(luò)空間安全建設(shè)。要加強(qiáng)與世界其他國家的溝通交流與合作,特別是先進(jìn)發(fā)達(dá)國家,吸取經(jīng)驗(yàn)教訓(xùn),指導(dǎo)科學(xué)合理的戰(zhàn)略規(guī)劃[5]。2)結(jié)合當(dāng)前的網(wǎng)絡(luò)安全技術(shù)建立各級(jí)各類人員的行為規(guī)范,大力加快信息安全相關(guān)法規(guī)建設(shè),通過法律法規(guī)來明確各自的義務(wù)、權(quán)益、責(zé)任和處事流程,并制定相關(guān)的處罰措施,讓管理能有章可循,有據(jù)可查。積極參與制定國際網(wǎng)絡(luò)沖突行為準(zhǔn)則,在國際網(wǎng)絡(luò)空間事務(wù)中發(fā)揮話語權(quán)的作用,為捍衛(wèi)我國在網(wǎng)絡(luò)空間的提供有力依據(jù)。3)緊跟時(shí)代,注重技術(shù)標(biāo)準(zhǔn)的建設(shè)。使國家網(wǎng)絡(luò)空間相關(guān)人員能夠參與到國際信息安全技術(shù)標(biāo)準(zhǔn)建設(shè)中去,通過對(duì)其他先進(jìn)國家的學(xué)習(xí),加快自身技術(shù)研究的發(fā)展,在國際網(wǎng)絡(luò)空間標(biāo)準(zhǔn)制定中發(fā)揮一定的作用,從而更好的指導(dǎo)本國網(wǎng)絡(luò)安全的基礎(chǔ)建設(shè)。
3 結(jié)語
綜上所述,在網(wǎng)絡(luò)空間信息安全的范疇內(nèi),技術(shù)是基礎(chǔ)、法規(guī)是依據(jù),管理是重心。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)空間的安全防范技術(shù)也需不斷革新,這里提出的可生存性就是一個(gè)新的發(fā)展方向;而法規(guī)制度雖然是網(wǎng)絡(luò)行為的評(píng)判標(biāo)準(zhǔn),但它自身建設(shè)也必須根據(jù)安全防范的新技術(shù)時(shí)時(shí)更新、積極建設(shè),才能為管理提供有效依據(jù);管理要以法規(guī)為依據(jù),通過運(yùn)用各種技術(shù)手段來維護(hù)網(wǎng)絡(luò)信息的安全,特別是全國性組織機(jī)構(gòu)的建立,有效整合資源,總體發(fā)揮合力。
參考文獻(xiàn)
[1]彭新光,吳興興.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.科學(xué)出版社,2005
[2]賴積保,王慧強(qiáng),王健等.系統(tǒng)可生存性研究綜述[J].計(jì)算機(jī)科學(xué),2007,34(3):237-239,275.
[3]張鴻志,張玉清,李學(xué)干等.網(wǎng)絡(luò)可生存性研究進(jìn)展[J].計(jì)算機(jī)工程,2005,31(20): 3-5.
網(wǎng)絡(luò)空間安全的重要性范文2
本次“青少年日”活動(dòng)由主辦,團(tuán)湖北省委、團(tuán)武漢市委、團(tuán)中央未來網(wǎng)承辦,以“青年之聲?青少年與網(wǎng)絡(luò)安全”為主題,緊密結(jié)合青少年特點(diǎn),通過豐富生動(dòng)的主題活動(dòng),引導(dǎo)青少年提升網(wǎng)絡(luò)安全知識(shí)和技能,增強(qiáng)網(wǎng)絡(luò)安全意識(shí)。活動(dòng)當(dāng)天,網(wǎng)絡(luò)安全博覽會(huì)現(xiàn)場(chǎng)吸引了萬余名青少年前來體驗(yàn),同時(shí)活動(dòng)通過斗魚網(wǎng)絡(luò)、青年之聲?武漢等平臺(tái)進(jìn)行現(xiàn)場(chǎng)直播。
在武漢市青少年宮廣場(chǎng)上,網(wǎng)絡(luò)安全主題展覽展板一字排開,大批市民前來參觀學(xué)習(xí)。廣大青少年紛紛在“青年之聲?青少年與網(wǎng)絡(luò)安全”簽名墻上簽名留言,參與到共護(hù)網(wǎng)絡(luò)安全的行動(dòng)中來;在活動(dòng)互動(dòng)區(qū),網(wǎng)絡(luò)安全知識(shí)互動(dòng)答題吸引了不少青少年駐足,孩子們爭(zhēng)前恐后進(jìn)行搶答,在激烈的搶答中學(xué)習(xí)了網(wǎng)絡(luò)安全相關(guān)知識(shí);在VR體驗(yàn)區(qū),青少年現(xiàn)場(chǎng)佩戴VR眼鏡,在互動(dòng)體驗(yàn)中學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí),并邀請(qǐng)家長、老師錄制微視頻分享至朋友圈;在文化交流區(qū),主辦方組織了“網(wǎng)絡(luò)安全廣場(chǎng)行”活動(dòng),專家精彩的演講吸引了大批青少年聆聽,他們了解了網(wǎng)絡(luò)空間安全的奧秘,深刻感受到網(wǎng)絡(luò)安全的重要性。
活動(dòng)現(xiàn)場(chǎng),由未來網(wǎng)攜手360公司打造的“網(wǎng)絡(luò)安全宣傳車”亮相,孩子們登上宣傳車并體驗(yàn)VR、4D體感、AR魔鏡、跨屏投籃、安全之戰(zhàn)等互動(dòng)項(xiàng)目,在高科技的體感游戲中增強(qiáng)了網(wǎng)絡(luò)安全防范意識(shí),許多青少年都表示大開眼界。
在青少年宮主場(chǎng)活動(dòng)火熱開展的同時(shí),武漢市各級(jí)團(tuán)組織統(tǒng)一開展主題團(tuán)日活動(dòng),并在全市1093個(gè)青少年空間開展網(wǎng)絡(luò)安全進(jìn)社區(qū)活動(dòng)。通過專題講座、青年劇場(chǎng)等形式多樣的活動(dòng)宣講網(wǎng)絡(luò)安全知識(shí),播放“宣傳周”主題宣傳片,發(fā)放網(wǎng)絡(luò)安全知識(shí)手冊(cè),張貼網(wǎng)絡(luò)安全公益宣傳海報(bào)。
網(wǎng)絡(luò)空間安全的重要性范文3
1 大數(shù)據(jù)安全的范疇
大數(shù)據(jù)作為一個(gè)新的技術(shù)模式和學(xué)科分支,已經(jīng)開始對(duì)網(wǎng)絡(luò)信息安全產(chǎn)生深刻的影響,這種影響既要循著安全本身的固有規(guī)律,也會(huì)帶著數(shù)據(jù)自身以前不被重視的新特性。
1.1 安全的本質(zhì)性結(jié)構(gòu)
在IT領(lǐng)域的各個(gè)分支中,網(wǎng)絡(luò)信息安全區(qū)別于其他分支的根本不同,就是安全永遠(yuǎn)是一個(gè)三要素互相交織、博弈的課題。這3個(gè)要素為:業(yè)務(wù)和資產(chǎn)、威脅和危害、保障和處置,如圖1所示。
安全的獨(dú)特性在于:有難以控制、難以意料的“威脅和危害”一方,自然就有了特有的“保障和處置”這一方,兩者和業(yè)務(wù)資產(chǎn)一起形成了一個(gè)三方博弈關(guān)系。
所有的安全問題,都要就這3方面分別闡述清楚才談得到思考的完備性,而大數(shù)據(jù)安全這個(gè)話題也不例外。
1.2 大數(shù)據(jù)安全的方向
大數(shù)據(jù)安全的如下3個(gè)方向,是大數(shù)據(jù)方法和技術(shù)作用于安全三要素所演繹出來的方向。
(1)大數(shù)據(jù)作用于業(yè)務(wù)和資產(chǎn),即大數(shù)據(jù)的主流應(yīng)用。這必然會(huì)面臨新的針對(duì)大數(shù)據(jù)的攻擊和威脅,進(jìn)而對(duì)大數(shù)據(jù)的保護(hù)要對(duì)抗這種針對(duì)大數(shù)據(jù)的攻擊。
(2)大數(shù)據(jù)作用于威脅和危害,即大數(shù)據(jù)攻擊和副作用。如果是主動(dòng)和故意的舉措,那就是大數(shù)據(jù)攻擊;如果是被動(dòng)的,就是大數(shù)據(jù)產(chǎn)生的副作用,比如大數(shù)據(jù)技術(shù)對(duì)于公民隱私保護(hù)的破壞。
(3)大數(shù)據(jù)作用于保障和處置,即安全大數(shù)據(jù)應(yīng)用。就是在對(duì)抗各類安全威脅的時(shí)候,運(yùn)用大數(shù)據(jù)技術(shù)進(jìn)行分析和檢測(cè),特別是無特征檢測(cè)、異常檢測(cè)、態(tài)勢(shì)分析等方面。
文章論述的重點(diǎn)是大數(shù)據(jù)安全的第1個(gè)方向。研究對(duì)大數(shù)據(jù)的保護(hù)必須先研究針對(duì)大數(shù)據(jù)的攻擊,如果沒有真正研究、設(shè)計(jì)、實(shí)現(xiàn)并測(cè)度大數(shù)據(jù)的攻擊,那么之前所設(shè)計(jì)的所謂大數(shù)據(jù)防護(hù)就都是臆想,只有真實(shí)的攻擊才能夠驗(yàn)證保護(hù)和防護(hù)的有效性。
2 數(shù)據(jù)本質(zhì)和特質(zhì)
研究針對(duì)大數(shù)據(jù)的攻擊,我們必須搞清楚針對(duì)大數(shù)據(jù)的攻擊的對(duì)象——大數(shù)據(jù)對(duì)象。
2.1 大數(shù)據(jù)的7V特性
在描述大數(shù)據(jù)問題時(shí),我們常說其有7個(gè)V的特性[1],具體如下:
1V(Volume),即海量的數(shù)據(jù)規(guī)模。這體現(xiàn)了大數(shù)據(jù)問題在數(shù)據(jù)量上的海量。
2V(Velocity),即快速數(shù)據(jù)流轉(zhuǎn)和動(dòng)態(tài)數(shù)據(jù)體系。這代表了時(shí)間軸上的大數(shù)據(jù),除了對(duì)于分析快速及時(shí)的要求之外,還體現(xiàn)海量數(shù)據(jù)可能來自于時(shí)間軸的長度延展(存儲(chǔ))和顆粒度的細(xì)化(頻度);時(shí)間的相關(guān)性也是數(shù)據(jù)間相關(guān)性的一大類,比如視頻和音頻數(shù)據(jù)就是“順序時(shí)間”的典型結(jié)構(gòu)。
3V(Vast),即數(shù)據(jù)來自廣大無邊的空間。每個(gè)數(shù)據(jù)都來自于一個(gè)空間的位置,可能是物理空間(現(xiàn)實(shí)世界),也可能是網(wǎng)絡(luò)空間,空間的相關(guān)性也是數(shù)據(jù)間相關(guān)性的一大類,也是一大類典型結(jié)構(gòu)。
4V(Variety),即多樣的數(shù)據(jù)類型。大數(shù)據(jù),比所謂的“量大”更重要的一個(gè)特性就是“高維”。特別是當(dāng)數(shù)據(jù)樣本的數(shù)量難以滿足對(duì)于高維問題求解的基本要求時(shí),大數(shù)據(jù)更傾向于回避精確解的求解,而滿足于有價(jià)值的近似解。這種不追求精確解的特性,讓大數(shù)據(jù)及其系統(tǒng)具有了一定的魯棒性基礎(chǔ),增加了攻擊難度。
5V(Veracity),即數(shù)據(jù)的真實(shí)和準(zhǔn)確性更難判斷。數(shù)據(jù)有好壞問題,而這個(gè)好壞問題在大數(shù)據(jù)中會(huì)更加極端地被放大,更泛地表達(dá)這個(gè)話題就是數(shù)據(jù)的“質(zhì)”,即數(shù)據(jù)質(zhì)量[2]的相關(guān)問題。
6V(Value),即大數(shù)據(jù)的低價(jià)值密度。對(duì)于大數(shù)據(jù)的攻擊,背后必然要針對(duì)其價(jià)值進(jìn)行。
7V(Visualization),即大數(shù)據(jù)可視化的重要性。大數(shù)據(jù)的價(jià)值需要展現(xiàn),如果能夠破壞和斬?cái)鄡r(jià)值鏈,也是重要的攻擊成果。
在這7個(gè)V中:第1個(gè)V,表達(dá)的是大數(shù)據(jù)外在表現(xiàn)的 “大”量;第2~4個(gè)V是從時(shí)間、空間和多樣性這3個(gè)方面說明大數(shù)據(jù)的“大”;第5~7個(gè)V闡述的是大數(shù)據(jù)的價(jià)值流轉(zhuǎn),即從數(shù)據(jù)本身的客觀質(zhì)量,到有立場(chǎng)的價(jià)值認(rèn)識(shí)和價(jià)值挖掘,最后到價(jià)值的展示和利用。
2.2 攻擊大數(shù)據(jù)的常規(guī)理解
在傳統(tǒng)的網(wǎng)絡(luò)信息安全領(lǐng)域中(這里指融合大數(shù)據(jù)特有特征的思考之前),對(duì)于攻防的認(rèn)知主要集中于系統(tǒng)方面:漏洞是系統(tǒng)的漏洞,越權(quán)是對(duì)于系統(tǒng)訪問控制的突破,拒絕服務(wù)攻擊是對(duì)網(wǎng)絡(luò)系統(tǒng)的擁塞,偽裝是對(duì)于系統(tǒng)訪問者身份的假冒等;安全方法也主要都圍繞系統(tǒng)的防護(hù)而展開。當(dāng)然,這個(gè)系統(tǒng)是包括了節(jié)點(diǎn)式的系統(tǒng)(如主機(jī)操作系統(tǒng))、結(jié)構(gòu)化的網(wǎng)絡(luò)系統(tǒng)。
在探討攻擊大數(shù)據(jù)的時(shí)候,我們首先想到的就是如何攻擊大數(shù)據(jù)系統(tǒng),而由于大數(shù)據(jù)目前的主要應(yīng)用模式就是分析和決策支持,其系統(tǒng)的對(duì)外暴露面非常少,因此至今還沒有關(guān)于重要的大數(shù)據(jù)系統(tǒng)遭遇滲透性攻擊的報(bào)道。能夠見諸報(bào)道的大數(shù)據(jù)系統(tǒng)出現(xiàn)的問題和故障,常常是由于電力故障等物理性故障導(dǎo)致的可用性事故,而這些所謂的問題并沒有體現(xiàn)出大數(shù)據(jù)的獨(dú)特性。
對(duì)于大數(shù)據(jù)系統(tǒng)的、具有針對(duì)性的攻擊假設(shè),需要針對(duì)大數(shù)據(jù)系統(tǒng)的分布式特色發(fā)起攻擊。對(duì)于大數(shù)據(jù)的特色攻擊還沒有太多的研究,可能有兩個(gè)原因:第一,大數(shù)據(jù)系統(tǒng)還在快速地演化和發(fā)展;第二,攻擊研究者要搭建一個(gè)接近真實(shí)的大數(shù)據(jù)系統(tǒng),其成本比較高,技術(shù)門檻也較高。但是,由于大數(shù)據(jù)系統(tǒng)的高價(jià)值聚集,這樣的攻擊早晚會(huì)到來。
2.3 MCPs結(jié)構(gòu)
網(wǎng)絡(luò)空間已經(jīng)成為了大家非常熟悉的一個(gè)詞,它不僅僅指網(wǎng)絡(luò)相關(guān)的IT系統(tǒng),更被人們理解為一個(gè)空間,在這個(gè)空間中主要體現(xiàn)了Cyber實(shí)體及其“活動(dòng)”。
這里所說的活動(dòng)指Cyber過程,主要體現(xiàn)為操作和流。數(shù)據(jù)實(shí)體對(duì)應(yīng)的是數(shù)據(jù)流,應(yīng)用系統(tǒng)對(duì)應(yīng)業(yè)務(wù)流和服務(wù)關(guān)系,節(jié)點(diǎn)系統(tǒng)對(duì)應(yīng)了計(jì)算操作和存儲(chǔ)承載,網(wǎng)絡(luò)系統(tǒng)對(duì)應(yīng)了網(wǎng)絡(luò)流和連接關(guān)系,而物理實(shí)體則是對(duì)前述Cyber實(shí)體的承載。Cyber實(shí)體就如同生物體的解剖關(guān)系,而Cyber過程如同生物體的生理關(guān)系。當(dāng)前流行概念中的云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等等都是Cyber自身形態(tài)的多樣化、高能化和效益化。
信息物理系統(tǒng)(CPS)強(qiáng)調(diào)了Cyber與物理空間的關(guān)系:可將Cyber與物理空間的關(guān)系簡(jiǎn)化為控制與感知的關(guān)系。CPS類似的模型將物理世界和網(wǎng)絡(luò)空間關(guān)聯(lián)起來了,其關(guān)聯(lián)的根本媒介其實(shí)是數(shù)據(jù)。當(dāng)前流行概念中的物聯(lián)網(wǎng)、工業(yè)控制、智能生活等等都是將Cyber空間與物理世界更加緊密地關(guān)聯(lián)起來。
網(wǎng)絡(luò)空間安全領(lǐng)域被分為兩大領(lǐng)域:一個(gè)是從技術(shù)上說的網(wǎng)絡(luò)安全,比如加解密、攻防滲透、系統(tǒng)加固等;另一個(gè)是從系統(tǒng)的內(nèi)容上說的信息安全,比如輿情態(tài)勢(shì)感知、社交網(wǎng)絡(luò)策動(dòng)攻擊等。這兩方面現(xiàn)在是單獨(dú)研究和治理的,交集不大。
現(xiàn)在,隨著大數(shù)據(jù)的方法和技術(shù)日益得到重視,數(shù)據(jù)也越來越受到人們的重視。大數(shù)據(jù)又是一個(gè)應(yīng)用驅(qū)動(dòng)、價(jià)值驅(qū)動(dòng)的領(lǐng)域。當(dāng)數(shù)據(jù)與數(shù)據(jù)的語義總是密切關(guān)聯(lián)在一起的時(shí)候,我們就發(fā)現(xiàn)人的意識(shí)空間和Cyber空間的關(guān)系變得密切起來。多人的共同意識(shí)空間就是群體社交意識(shí)。
數(shù)據(jù)將人的意識(shí)空間(包括群體意識(shí))、Cyber空間、物理世界3方面鏈接在一起,形成了一個(gè)整體意識(shí)信息物理系統(tǒng)(MCPs),如圖2所示。
當(dāng)我們有了MCPs這樣的整體認(rèn)識(shí),在考慮安全問題(特別是大數(shù)據(jù)安全問題)的時(shí)候,就要考慮MCPs模式下的攻擊。
3 MCPs的攻擊假設(shè)矩陣
3.1 攻擊面和攻擊目標(biāo)
攻擊面是指攻擊者的著手之處和著手模式;攻擊目標(biāo)是指攻擊者希望被攻擊體系中的某個(gè)部分或環(huán)節(jié)出現(xiàn)重大偏差。我們將攻擊面和攻擊目標(biāo)分開來定義,是因?yàn)閮烧卟⒎强偸峭坏摹?/p>
3.2 MCPs的3x3攻擊假設(shè)矩陣
在系統(tǒng)攻擊中,攻擊面和攻擊目標(biāo)可能不同。這種攻擊面與攻擊目標(biāo)的錯(cuò)位,可能出現(xiàn)在MCPs的3個(gè)方面,由意識(shí)空間、網(wǎng)絡(luò)空間、物理空間(現(xiàn)實(shí)世界)的交叉攻擊假設(shè),形成如圖3所示的3x3攻擊假設(shè)矩陣。
3.3 MCPs的14x14攻擊假設(shè)矩陣
要對(duì)MCPs攻擊假設(shè)矩陣進(jìn)行更具體的研究,就需要將MCPs分解成更細(xì)致的環(huán)節(jié)。我們可以將MCPs簡(jiǎn)單分解為14個(gè)方面,其編碼如下:
Mm:動(dòng)機(jī)
Mv:價(jià)值
Ms:語義
Cd:數(shù)據(jù)和數(shù)據(jù)流
Cm:元數(shù)據(jù)和純數(shù)據(jù)
Ca:應(yīng)用和業(yè)務(wù)流
Cc:計(jì)算節(jié)點(diǎn)
Cs:存儲(chǔ)節(jié)點(diǎn)
Cn:網(wǎng)絡(luò)和網(wǎng)絡(luò)流
Cp:Cyber物理實(shí)體
Pc:控制器
Ps:傳感器
PS:空間關(guān)系
PT:時(shí)間關(guān)系
將MSPs的這14個(gè)方面組成一個(gè)矩陣,矩陣不同的行代表不同的攻擊面,矩陣不同的列代表不同的攻擊目標(biāo)。如表1 所示。
表1中,藍(lán)色區(qū)域就是從傳統(tǒng)的系統(tǒng)攻擊視角看到的攻擊假設(shè),攻擊面可能是網(wǎng)絡(luò)系統(tǒng)、存儲(chǔ)節(jié)點(diǎn)、計(jì)算主機(jī)、應(yīng)用系統(tǒng),而最終最受影響的攻擊目標(biāo)也在這其中。
數(shù)據(jù)Cd和元數(shù)據(jù)Cm,將MCPs三大空間連接起來。表1中的紅色部分表示數(shù)據(jù)作為攻擊面和攻擊目標(biāo)會(huì)橫縱貫穿整個(gè)攻擊假設(shè)矩陣,而且數(shù)據(jù)會(huì)成為MCPs3個(gè)空間的橋梁,產(chǎn)生交叉攻擊的可能性。
表1反映了大數(shù)據(jù)和數(shù)據(jù)視角引入后,給我們帶來的更加全面統(tǒng)合的攻擊假設(shè)視界。
4 MCPs攻擊假設(shè)矩陣的
歸類分析
MCPs的14x14攻擊假設(shè)矩陣中的每一個(gè)格子,都是一種攻擊模式,甚至是一個(gè)攻擊鏈的索引。歸類后的每個(gè)格子,都具有一定的攻擊模式共性;格子之間則應(yīng)當(dāng)有攻擊模式的差異化特點(diǎn)。
做出這樣的分類研究,可以讓我們把攻擊研究得更細(xì)致,比如可以將計(jì)算節(jié)點(diǎn)(Cs)進(jìn)一步細(xì)分為PC節(jié)點(diǎn)、移動(dòng)節(jié)點(diǎn)、工控節(jié)點(diǎn)等。這樣還可提醒我們注意那些原先忽視的空白部分,是否有攻擊可能存在。只有對(duì)于攻擊的全面和細(xì)致的研究,才能讓我們對(duì)于防御和對(duì)抗的問題上有更多的把握。
4.1 [Cc,Cc]攻擊
[Cc,Cc]攻擊是最常被關(guān)注到的攻擊模式,比如,對(duì)于操作系統(tǒng)漏洞的挖掘和利用,進(jìn)而對(duì)于系統(tǒng)進(jìn)行破壞和滲透,其攻擊面和受影響目標(biāo)都是系統(tǒng)。
4.2 [Cn,Cc]攻擊
與節(jié)點(diǎn)攻擊不同,[Cn,Cc]對(duì)網(wǎng)絡(luò)的攻擊是對(duì)結(jié)構(gòu)的攻擊。另外,一般把對(duì)于網(wǎng)絡(luò)設(shè)備的攻擊歸類為對(duì)于網(wǎng)絡(luò)的攻擊。
分布式拒絕服務(wù)攻擊(DDoS)是一個(gè)典型例子,其通過對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)性的攻擊,并通過占領(lǐng)海量節(jié)點(diǎn)而構(gòu)成了一個(gè)攻擊網(wǎng)絡(luò)結(jié)構(gòu),將流量導(dǎo)入給一個(gè)目標(biāo)系統(tǒng)使其癱瘓。這是典型的攻擊網(wǎng)絡(luò)最終危害節(jié)點(diǎn)系統(tǒng)。
網(wǎng)絡(luò)劫持竊聽也是一個(gè)典型例子,攻擊點(diǎn)在網(wǎng)絡(luò)的路上。通過竊聽下來的明文或者密文進(jìn)行分析,達(dá)到滲透相關(guān)系統(tǒng)的目的。
從Cn到Cc的影響傳遞很直接,因?yàn)橛?jì)算節(jié)點(diǎn)都自然連接在網(wǎng)絡(luò)中,所以對(duì)網(wǎng)絡(luò)的攻擊會(huì)很快傳遞給計(jì)算節(jié)點(diǎn)。
4.3 [Cn,Cn]攻擊
內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)是當(dāng)前一個(gè)非常重要的網(wǎng)絡(luò)服務(wù)。如果能夠利用CDN服務(wù)構(gòu)建一個(gè)CDN指向的環(huán),當(dāng)向這個(gè)環(huán)投入足夠多的流量時(shí),環(huán)就會(huì)利用CDN機(jī)制在網(wǎng)絡(luò)中形成一種自激振蕩式的流量洪流,可能導(dǎo)致網(wǎng)絡(luò)風(fēng)暴的發(fā)生[3]。這是典型的攻擊網(wǎng)絡(luò)而危害網(wǎng)絡(luò),是一種結(jié)構(gòu)性破壞。
4.4 [Cs,Cd]攻擊
[Cs,Cd]攻擊存儲(chǔ)設(shè)備,甚至滲透并控制存儲(chǔ)設(shè)備,自然會(huì)對(duì)于存儲(chǔ)設(shè)備上存儲(chǔ)的數(shù)據(jù)產(chǎn)生直接的危害。
4.5 [Cs,Ms]:=[Cs,Cd][Cd,Ms]攻擊
如果[Cs,Ms]:=[Cs,Cd][Cd,Ms]攻擊存儲(chǔ)并對(duì)存儲(chǔ)進(jìn)行破壞,或者對(duì)于存儲(chǔ)的攻擊和篡改被較快發(fā)現(xiàn),那么這種影響就難于進(jìn)一步傳遞到其他攻擊假設(shè)矩陣格子。
如果對(duì)于存儲(chǔ)的攻擊充分考慮了存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu),在篡改中保持其基本的數(shù)據(jù)結(jié)構(gòu),不讓這樣的篡改被輕易發(fā)現(xiàn);同時(shí),篡改的數(shù)據(jù)又能夠借助應(yīng)用系統(tǒng)的分析對(duì)于分析結(jié)果進(jìn)行有效影響,那么就能夠?qū)⑦@樣的攻擊傳遞到語義層,進(jìn)而影響人的意識(shí)空間,影響人的決策。
而如果要在大數(shù)據(jù)存儲(chǔ)環(huán)境下達(dá)到[Cs,Ms],就要順應(yīng)大數(shù)據(jù)存儲(chǔ)的系統(tǒng)模式和其存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu),做到篡改不易被發(fā)現(xiàn);還要了解大數(shù)據(jù)存儲(chǔ)的數(shù)據(jù)將如何被分析和應(yīng)用,讓篡改的數(shù)據(jù)能夠污染到大數(shù)據(jù)分析的結(jié)果。
大數(shù)據(jù)相關(guān)的攻擊假設(shè),能夠讓我們反思如何對(duì)抗這種攻擊。如果將存儲(chǔ)的系統(tǒng)模式和數(shù)據(jù)結(jié)構(gòu)進(jìn)行一定的隨機(jī)化(仿效操作系統(tǒng)中的地址隨機(jī)化思想),那么大量篡改數(shù)據(jù)就很容易被發(fā)現(xiàn);如果將大數(shù)據(jù)分析的容錯(cuò)能力(容忍不良質(zhì)量數(shù)據(jù))提高,那么就迫使要污染大數(shù)據(jù)分析結(jié)果必須篡改更多的數(shù)據(jù)。讓“篡改不易被發(fā)現(xiàn)”與“大量篡改數(shù)據(jù)才能產(chǎn)生語義污染”形成矛盾,進(jìn)而將攻擊的效果阻隔在Cyber空間中,不讓其有效影響人的意識(shí)空間。
4.6 [Mm,Ca]攻擊
2016年初的一個(gè)突發(fā)案例[4]:一則謠言,經(jīng)過微信朋友圈的擴(kuò)散,震動(dòng)了大半個(gè)互聯(lián)網(wǎng)金融圈。
2016年1月10日下午,回顧2015年微信數(shù)據(jù)的“我和微信的故事”在朋友圈突然被刷屏,正當(dāng)大家玩得非常歡快時(shí),一個(gè)啞彈突然向社群中拋來。當(dāng)晚,有用戶在自己的朋友圈中稱:該鏈接“千萬不要進(jìn),(黑客)馬上把支付寶的錢轉(zhuǎn)出去,已經(jīng)有人被盜”,還稱加載該鏈接時(shí)“很慢,已經(jīng)在盜取資料。”朋友圈截圖被瘋轉(zhuǎn),引發(fā)用戶集體不安。很多人嚇得把支付寶的銀行卡都解除綁定,支付寶里的余額全部打回銀行卡,還一一提醒朋友“如果我這個(gè)號(hào)向你借錢,千萬別理。”
在1月11日的一個(gè)報(bào)告中,張小龍說起10日晚的事稱:“我和微信的故事”的鏈接沒想到被分享出去,這樣帶來了3個(gè)問題。第1個(gè)問題:訪問太高,基本掛掉了;第2個(gè)問題,有人造謠說,打開鏈接支付寶的錢被偷了,這個(gè)時(shí)候,鏈接也確實(shí)因訪問量太高打不開了;第3個(gè)問題,百萬級(jí)用戶開始解綁銀行卡了,結(jié)果服務(wù)器也快掛了,銀行卡也解綁不了了。
這是一個(gè)典型案例:一個(gè)謠言(在人的群體意識(shí)空間),影響了人們的操作行動(dòng),進(jìn)而讓一個(gè)應(yīng)用系統(tǒng)崩潰(網(wǎng)絡(luò)空間中)。
對(duì)于這類有意的攻擊和無意的危害,有些防范措施可能在意識(shí)空間,有些防范措施就要在網(wǎng)絡(luò)空間,甚至需要二者結(jié)合。比如,針對(duì)這類[Mm,Ca]風(fēng)暴,就可以考慮建立態(tài)勢(shì)感知監(jiān)控和相關(guān)性研判,當(dāng)然這就要將輿情監(jiān)控和系統(tǒng)風(fēng)暴監(jiān)控進(jìn)行相關(guān)性聯(lián)動(dòng)分析。這在以前是沒有的,從這個(gè)事件讓我們意識(shí)到這種聯(lián)動(dòng)分析的必要性。
4.7 [Cn,Pc]:=[Cn,Cm][Cm,Pc]攻擊
光大證券烏龍指事件[5]給我們展示了一種可能性。
2013年8月16日11點(diǎn)05分上證指數(shù)出現(xiàn)大幅拉升,大盤一分鐘內(nèi)漲超5%,最高漲幅5.62%,指數(shù)最高報(bào)2 198.85點(diǎn),盤中逼近2 200點(diǎn)。11點(diǎn)44分上交所稱系統(tǒng)運(yùn)行正常,下午2點(diǎn),光大證券公告稱策略投資部門自營業(yè)務(wù)在使用其獨(dú)立的套利系統(tǒng)時(shí)出現(xiàn)問題。有媒體將此次事件稱為“光大證券烏龍指事件”。
一個(gè)系統(tǒng)網(wǎng)絡(luò)的故障,可能導(dǎo)致應(yīng)用系統(tǒng)和大量數(shù)據(jù)的錯(cuò)誤,這些可能是數(shù)據(jù)Cd或者元數(shù)據(jù)Cm。如果一些金融衍生品應(yīng)用系統(tǒng)是通過對(duì)數(shù)據(jù)監(jiān)測(cè)和分析自動(dòng)進(jìn)行買賣操作的,就可能因?yàn)楸槐O(jiān)測(cè)數(shù)據(jù)的錯(cuò)誤導(dǎo)致錯(cuò)誤的買賣決策(控制現(xiàn)實(shí)世界的控制器行動(dòng));而如果錯(cuò)誤的買賣決策又繼續(xù)導(dǎo)致被監(jiān)測(cè)數(shù)據(jù)的錯(cuò)誤效果放大,可能就在市場(chǎng)中產(chǎn)生連鎖效應(yīng),甚至有引發(fā)或誘發(fā)證券市場(chǎng)的瞬間大波動(dòng)甚至股災(zāi)。
這種危害的可能性,對(duì)于社會(huì)的危害是極為嚴(yán)峻的。
4.8 [Cp,Cm]攻擊和[PS, Cs]攻擊
在密碼破譯和密鑰分析領(lǐng)域,有一種方法:通過對(duì)密碼芯片外部的熱量分布進(jìn)行跟蹤分析,從而達(dá)到破解和猜測(cè)密鑰的目的。這是典型的[Cp,Cm]攻擊,用對(duì)系統(tǒng)物理實(shí)體的分析來攻擊到數(shù)據(jù)層。
對(duì)于系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行分析,我們也可以通過對(duì)系統(tǒng)的能量消耗進(jìn)行分析。這是典型的[PS, Cs] 攻擊,用物理世界的物理測(cè)度PS來分析系統(tǒng)Cs。
上述兩個(gè)分析(攻擊)都需要對(duì)物理世界測(cè)度并產(chǎn)生相當(dāng)大量的數(shù)據(jù),才能完成對(duì)于Cyber內(nèi)部的分析。換句話說,這個(gè)分析過程需要大數(shù)據(jù)技術(shù)和分析方法的支持。
5 結(jié)束語
MCPs攻擊假設(shè)矩陣還有很多空白之處需要填補(bǔ)和研判。可以想象:當(dāng)我們把各個(gè)格子的攻擊都能夠假想并模擬出來,那么對(duì)于有效的安全保障和問題防范就會(huì)產(chǎn)生不可估量的支撐。
大數(shù)據(jù)安全絕對(duì)不能停留在系統(tǒng)層面,一定要在MCPs的統(tǒng)合視角下研究整個(gè)攻擊假設(shè)矩陣。特別是跨MCP三大空間的攻擊,將是非常值得研究的,很多“黑天鵝”式的攻擊必然由此而產(chǎn)生。
網(wǎng)絡(luò)空間安全的重要性范文4
本文作者:李倫工作單位:湖南師范大學(xué)
代碼、市場(chǎng)和法律的局限性
法律、社會(huì)規(guī)范、市場(chǎng)和代碼在網(wǎng)絡(luò)社會(huì)中起著重要的規(guī)范作用,但由于網(wǎng)絡(luò)發(fā)展尚處于初級(jí)階段,加上網(wǎng)絡(luò)自身的特點(diǎn),這些規(guī)范力在網(wǎng)絡(luò)社會(huì)中的作用各有千秋。限于討論的專門性,本文旨在強(qiáng)調(diào)網(wǎng)絡(luò)道德在網(wǎng)絡(luò)文化建設(shè)中的作用,我們不妨通過分析法律、市場(chǎng)和代碼在規(guī)范網(wǎng)絡(luò)行為方面的局限性,突出網(wǎng)絡(luò)道德的獨(dú)特作用。事實(shí)上,德國學(xué)者恩格爾曾分析了技術(shù)、法律和市場(chǎng)等方面在解決網(wǎng)絡(luò)問題時(shí)面臨的困境。[3]第一,法律的局限性。由于法律本身的特點(diǎn)和立法技術(shù)上的困難,加上網(wǎng)絡(luò)不同于現(xiàn)實(shí)社會(huì)的內(nèi)質(zhì),以及法律的國際應(yīng)用的障礙等因素,法律面對(duì)網(wǎng)絡(luò)上層出不窮的新問題常常顯得有些被動(dòng)。眾所周知,法律本質(zhì)上屬于反應(yīng)性的規(guī)范力,一般僅對(duì)業(yè)已出現(xiàn)的問題做出反應(yīng)。例如,對(duì)網(wǎng)絡(luò)隱私問題而言,法律難以做出預(yù)先的制度安排,法律體系中常常出現(xiàn)空白。法律也常常是保守的。法律依靠國家強(qiáng)制力來實(shí)施,具有很高的權(quán)威,一旦立法就必須嚴(yán)格執(zhí)行,因此立法很謹(jǐn)慎,立法過程相對(duì)來說比較緩慢,只有當(dāng)問題充分顯現(xiàn)出來后才會(huì)論及立法。法律也具有異乎尋常的穩(wěn)定性。法律的權(quán)威來自它的穩(wěn)定性,朝令夕改無法建立權(quán)威。這種權(quán)威性恰恰導(dǎo)致了它的局限性,使它無法及時(shí)對(duì)網(wǎng)絡(luò)層出不窮的新問題做出反應(yīng)。法律的反應(yīng)性、保守性和穩(wěn)定性等特質(zhì)在發(fā)展速度異乎尋常的網(wǎng)絡(luò)社會(huì)中難以及時(shí)快速發(fā)揮作用。更具挑戰(zhàn)性的棘手問題來自法律的效力問題。每項(xiàng)法律都有其特定的效力范圍。以地域效力為例,法律僅在一定的地域范圍內(nèi)發(fā)生效力,超出該地域則沒有法律效力。網(wǎng)絡(luò)是一個(gè)國界模糊的全球一體化空間,這種結(jié)構(gòu)使網(wǎng)絡(luò)無法按各國領(lǐng)土份額進(jìn)行分割,而各國享有領(lǐng)土是現(xiàn)代國際法的基礎(chǔ)。由于領(lǐng)土對(duì)網(wǎng)絡(luò)的作用極度弱化,民族國家的法律在處理網(wǎng)絡(luò)問題時(shí)常常有些力不從心。[3]國際法的基本原則決定了一個(gè)國家不能將自己的控制目的和控制手段強(qiáng)加給他國,也限制民族將本國法律用于處理超出本國領(lǐng)土范圍的跨國問題。同時(shí),由于各國制訂法律的標(biāo)準(zhǔn)不一,控制手段不盡相同,這就給人們?cè)诰W(wǎng)絡(luò)空間中規(guī)避本國法律提供了可趁之機(jī)。為了尋求比較寬松的法律環(huán)境,人們可能設(shè)法避開較為嚴(yán)格的本國法律,到相對(duì)寬松的外國法律中尋找避風(fēng)港,公民逃避本國法律控制的機(jī)會(huì)大大增加。第二,市場(chǎng)的局限性。毫無疑問,市場(chǎng)仍是規(guī)范網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)企業(yè)的重要手段,但由于網(wǎng)絡(luò)社會(huì)具有許多不同于現(xiàn)實(shí)社會(huì)的特質(zhì),市場(chǎng)的規(guī)范力在網(wǎng)絡(luò)中有時(shí)難以如在現(xiàn)實(shí)社會(huì)中那么奏效。網(wǎng)絡(luò)中流行“免費(fèi)”文化,在網(wǎng)上無需付款就可以獲得現(xiàn)實(shí)世界中難以獲得的資料和信息。因此,在電子商務(wù)運(yùn)行中,常常容易導(dǎo)致以網(wǎng)絡(luò)“免費(fèi)”文化之名,行不正當(dāng)競(jìng)爭(zhēng)之實(shí),假借“免費(fèi)”打擊競(jìng)爭(zhēng)對(duì)手。網(wǎng)絡(luò)中也流行“眼球”文化和“瀏覽”經(jīng)濟(jì),點(diǎn)擊和瀏覽成了網(wǎng)絡(luò)社會(huì)的通貨,通過點(diǎn)擊網(wǎng)站和瀏覽網(wǎng)頁就能獲得回報(bào)。因此,市場(chǎng)對(duì)用戶行為的規(guī)范力下降。另一方面,有些用戶可能出于無政府主義的動(dòng)機(jī),惟恐天下不亂,或?yàn)榱讼蛩藞?bào)復(fù)泄憤,或以恐嚇?biāo)藶闃罚词篂榇嘶ㄐ╁X財(cái)也心甘情愿,市場(chǎng)規(guī)范在這些人身上效力不大。僅僅以市場(chǎng)來規(guī)范用戶的行為,其作用是有限的,因此,網(wǎng)絡(luò)中存在許多損人不利己的現(xiàn)象就不足為奇了。對(duì)網(wǎng)絡(luò)內(nèi)容商和電子商務(wù)服務(wù)商而言,網(wǎng)絡(luò)用戶的注意力成了許多他們營運(yùn)的最高業(yè)績(jī),為了爭(zhēng)奪“眼球”,在競(jìng)爭(zhēng)中立于不敗之地,不惜行走在法律和道德的邊沿,為追求經(jīng)濟(jì)利益,不惜迎合用戶的某些趣味,市場(chǎng)機(jī)制因此在網(wǎng)絡(luò)企業(yè)中產(chǎn)生畸形的作用。第三,技術(shù)(代碼)的局限性。網(wǎng)絡(luò)社會(huì)是基于快速發(fā)展的網(wǎng)絡(luò)技術(shù)形成的,與現(xiàn)實(shí)社會(huì)的調(diào)控方式相比較,網(wǎng)絡(luò)社會(huì)似乎有著鮮明的技術(shù)調(diào)控的傳統(tǒng)。自網(wǎng)絡(luò)建立以來,人們就對(duì)網(wǎng)絡(luò)社會(huì)的技術(shù)調(diào)控情有獨(dú)鐘。這在電子商務(wù)中表現(xiàn)尤為突出,人們總是對(duì)確保電子商務(wù)交易安全的技術(shù)給予極高期望。即使網(wǎng)絡(luò)社會(huì)的調(diào)控方式變得更加豐富,人們對(duì)技術(shù)調(diào)控的熱情也絲毫未減。然而,由于網(wǎng)絡(luò)技術(shù)具有綜合性、復(fù)雜性、漏洞性等特點(diǎn),技術(shù)常常難以克服自身帶來的問題。更有意思的是,嚴(yán)重影響網(wǎng)絡(luò)文化和電子商務(wù)發(fā)展的駭客技術(shù)、病毒技術(shù)常常比“正統(tǒng)”技術(shù)的發(fā)展速度更快,水平更高。用“道高一尺,魔高一丈”來形容這一技術(shù)較量的態(tài)勢(shì)一點(diǎn)也不過分。我國著名反病毒專家王江民承認(rèn),反病毒專家沒有病毒炮制者的技術(shù)水平高,查殺病毒、防病毒技術(shù)本身的特點(diǎn)使自己常常處于被動(dòng)狀態(tài),發(fā)展速度總是滯后于病毒技術(shù)。他指出,“編病毒的人多,反病毒的人少,幾個(gè)反病毒專家的思想怎么能夠和數(shù)不勝數(shù)的編病毒人的思想相比。另外,編病毒在暗處,反病毒在明處,所以,我們不可能超越他們,也無法知道他們正在琢磨什么怪招法。”[4](P477)多種因素導(dǎo)致防病毒技術(shù)發(fā)展滯后,使查殺病毒技術(shù)成為一種典型的被動(dòng)性的和反應(yīng)性的技術(shù)。與其他技術(shù)相比較,網(wǎng)絡(luò)技術(shù)似乎更富有“人”性。其他技術(shù)一般是建設(shè)性的,即使有防御性的,也多是技術(shù)防御性的。網(wǎng)絡(luò)技術(shù)有建設(shè)性的,也有防御性的,但防御性的技術(shù)比重更大。在這些防御性技術(shù)中,大部分屬于防人的防御性技術(shù)。在網(wǎng)絡(luò)技術(shù)中占有很大份額的網(wǎng)絡(luò)安全技術(shù),如防殺病毒技術(shù)、過濾技術(shù)、防火墻技術(shù)和加密技術(shù),實(shí)質(zhì)上都是“防人”的防御性技術(shù),屬于“防人術(shù)”。我們不妨以最引人注目的防火墻技術(shù)為例說明之。作為一種廣泛使用的網(wǎng)絡(luò)安全技術(shù),防火墻是設(shè)在內(nèi)部網(wǎng)與外部網(wǎng)之間的一道屏障,用來阻擋外部“火情”對(duì)內(nèi)部網(wǎng)絡(luò)的影響。防火墻的職責(zé)就是根據(jù)本單位的安全策略,對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的信息、數(shù)據(jù)進(jìn)行檢查,符合要求的予以放行,將不符合要求的拒之門外。防火墻技術(shù)在規(guī)范網(wǎng)絡(luò)行為方面無疑有很重要的作用,但它們也有自己的局限性,人們可以利用更先進(jìn)的技術(shù)突破防火墻。
網(wǎng)絡(luò)道德:和諧網(wǎng)絡(luò)文化建設(shè)的元規(guī)范力
萊斯格認(rèn)為法律、社會(huì)規(guī)范、市場(chǎng)和代碼是網(wǎng)絡(luò)行為的四種規(guī)范力,我們?cè)谏厦娣治隽朔伞⑹袌?chǎng)和代碼的局限性,那么,在萊斯格所闡述的規(guī)范體系中,道德起什么作用呢?著名網(wǎng)絡(luò)倫理學(xué)家理查德•斯皮內(nèi)洛(RichardSpinello)認(rèn)為,萊斯格把道德包括在“社會(huì)規(guī)范”的范疇里。也就是說,道德作為萊斯格所講的“社會(huì)規(guī)范”的一部分,是一種獨(dú)立的規(guī)范力,在網(wǎng)絡(luò)文化建設(shè)和電子商務(wù)發(fā)展中起著重要的規(guī)范作用。網(wǎng)絡(luò)道德能夠在網(wǎng)絡(luò)文化建設(shè)和電子商務(wù)發(fā)展中起著至關(guān)重要的作用,主要在于網(wǎng)絡(luò)道德的特點(diǎn)、網(wǎng)絡(luò)社會(huì)及電子商務(wù)的特點(diǎn),以及其他規(guī)范力如代碼、法律和市場(chǎng)在網(wǎng)絡(luò)社會(huì)中的局限性。網(wǎng)絡(luò)道德之所以能夠在網(wǎng)絡(luò)文化建設(shè)和電子商務(wù)發(fā)展中具有如此重要的作用,主要在于如下兩個(gè)方面的因素。(1)代碼、法律和市場(chǎng)在網(wǎng)絡(luò)社會(huì)中的規(guī)范作用存在一些局限性,因此,人們期望作為一種獨(dú)立規(guī)范力的網(wǎng)絡(luò)道德能夠在網(wǎng)絡(luò)社會(huì)中發(fā)揮其獨(dú)特作用;(2)網(wǎng)絡(luò)道德作為一種滲透性的規(guī)范力,可以規(guī)范代碼、法律和市場(chǎng)等規(guī)范力,從而使代碼、法律和市場(chǎng)充分發(fā)揮其規(guī)范作用。第一,網(wǎng)絡(luò)道德作為一種獨(dú)立的規(guī)范力,可以彌補(bǔ)其他規(guī)范力的局限性,在網(wǎng)絡(luò)社會(huì)中發(fā)揮獨(dú)特的作用。網(wǎng)絡(luò)道德之于網(wǎng)絡(luò)文化建設(shè)的重要性,不僅在于其自身的特點(diǎn),而且還在于網(wǎng)絡(luò)的特點(diǎn)和網(wǎng)絡(luò)文化、電子商務(wù)目前所處階段的特點(diǎn)。道德居于人們的內(nèi)心深處,依靠風(fēng)俗習(xí)慣、流行的態(tài)度、公共輿論等因素,通過調(diào)節(jié)內(nèi)心來調(diào)節(jié)人的行為,以一種特殊的方式指導(dǎo)人們的行動(dòng),在網(wǎng)絡(luò)社會(huì)中注定要承擔(dān)更多的責(zé)任。網(wǎng)絡(luò)發(fā)展目前仍處于初級(jí)階段,法律、市場(chǎng)和代碼等規(guī)范力尚處于發(fā)展階段,難以及時(shí)應(yīng)對(duì)各類問題。如果我們能夠自覺地?fù)?dān)負(fù)起道德責(zé)任,也就不必等到新的法律法規(guī)的出臺(tái),不必等到新技術(shù)的出現(xiàn)和市場(chǎng)機(jī)制的完善,就能及時(shí)規(guī)范自己的行為。誠然,就像網(wǎng)絡(luò)的建立源于技術(shù)一樣,網(wǎng)絡(luò)文化新秩序的建立,也依賴于網(wǎng)絡(luò)技術(shù)的創(chuàng)新,但網(wǎng)絡(luò)文化和電子商務(wù)不只是技術(shù)的架構(gòu),而是人的社會(huì),人的文化。麻省理工學(xué)院高級(jí)研究員克拉克曾指出:“把網(wǎng)絡(luò)看成是電腦之間的連接是不對(duì)的。相反,網(wǎng)絡(luò)把使用電腦的人連接起來了。互聯(lián)網(wǎng)的最大成功不在于技術(shù)層面,而在于對(duì)人的影響。”[5](P162)要解決網(wǎng)絡(luò)問題,建立網(wǎng)絡(luò)新秩序,形成和諧網(wǎng)絡(luò)文化,作為道德主體的人始終是關(guān)鍵。只有當(dāng)人有充足的自覺意識(shí)時(shí),問題的辨識(shí)和解決才會(huì)變得容易。互聯(lián)網(wǎng)源于技術(shù),但它已遠(yuǎn)遠(yuǎn)超出技術(shù)的層面。正如國際互聯(lián)網(wǎng)的創(chuàng)始人瑟夫、克拉克、卡恩、克萊因羅克和羅伯茨等人在“互聯(lián)網(wǎng)簡(jiǎn)史”一文中所指出的:“互聯(lián)網(wǎng)還是一個(gè)新生事物,還在不斷地變化、調(diào)整。然而,互聯(lián)網(wǎng)的未來在很大程度上并不取決于技術(shù)上的進(jìn)步,而在于人類如何對(duì)待這些變革。”[5](P162)也就是說,如果互聯(lián)網(wǎng)發(fā)生了問題,將不在于缺乏技術(shù)或者缺乏動(dòng)力,而在于我們對(duì)待網(wǎng)絡(luò)變革的態(tài)度。美國《未來學(xué)說》雜志曾指出,想通過技術(shù)或常規(guī)執(zhí)法途徑減少電腦空間犯罪的前景將是暗淡的。迄今為止,所有的高技術(shù)辦法幾乎立刻遭到駭客的反擊。真正值得擔(dān)心的是,這些新技術(shù)是否總是掌握在正義的力量手中。如同任何系統(tǒng)最危險(xiǎn)的因素是人一樣,網(wǎng)絡(luò)安全最終也在于人的自覺維護(hù)和管理。要建立和諧網(wǎng)絡(luò)文化,政府、網(wǎng)絡(luò)媒體、網(wǎng)絡(luò)服務(wù)商、網(wǎng)絡(luò)內(nèi)容商、電子商務(wù)網(wǎng)站、網(wǎng)民都應(yīng)自覺承擔(dān)起各自的網(wǎng)絡(luò)道德責(zé)任。第二,更為重要的是,道德作為一種滲透性的規(guī)范力,對(duì)其他三種規(guī)范力起著重要的規(guī)約作用。也就是說,道德是其他規(guī)范力的規(guī)范力,即元規(guī)范力,一種終極規(guī)范力。正如斯皮內(nèi)洛所指出的:“它應(yīng)當(dāng)是網(wǎng)絡(luò)空間的終極管理者,為個(gè)人行為和組織政策劃定邊界。它應(yīng)當(dāng)指導(dǎo)和協(xié)調(diào)法律、代碼、市場(chǎng)和社會(huì)規(guī)范的作用力,確保其中的相互作用和相互關(guān)系是慎重、公平和公正的。”[2](P7)作為一種元規(guī)范力和終極規(guī)范力,道德的作用主要表現(xiàn)在它對(duì)法律、市場(chǎng)和代碼等規(guī)范力起著重要的滲透作用和輻射影響,在規(guī)范網(wǎng)絡(luò)行為方面起著結(jié)構(gòu)性的和指導(dǎo)性的作用。正如斯皮內(nèi)洛所指出的,道德“應(yīng)當(dāng)指導(dǎo)和左右代碼、法律、市場(chǎng)和社會(huì)規(guī)范發(fā)揮其規(guī)范作用的方式。無論在現(xiàn)實(shí)空間還是在網(wǎng)絡(luò)空間,人類繁榮的價(jià)值是人類行為至高無上的規(guī)范。”[2](P6)下面我們不妨以“代碼”為例,闡述道德如何規(guī)范“法律”、“代碼”和“市場(chǎng)”等規(guī)范力的方式及其價(jià)值。斯皮內(nèi)洛認(rèn)為,編寫規(guī)范人類行為的代碼有負(fù)責(zé)的方式,也有不負(fù)責(zé)的方式,負(fù)責(zé)的編碼方式與自主這一核心價(jià)值密切相關(guān)。例如,電子商務(wù)網(wǎng)站為了增加被搜索引擎搜索到的概率,常常將網(wǎng)頁的關(guān)鍵詞設(shè)為最流行的搜索詞,而這些關(guān)鍵詞與其銷售的商品毫無聯(lián)系,這就是一種不負(fù)責(zé)任的、不誠實(shí)的濫貼標(biāo)簽的行為。斯皮內(nèi)洛強(qiáng)調(diào),“編寫程序或制定法律來規(guī)范網(wǎng)絡(luò)空間的人應(yīng)當(dāng)把倫理規(guī)范作為指導(dǎo)。代碼編寫者必須要足夠的負(fù)責(zé)和謹(jǐn)慎,才能把蘊(yùn)涵自主和隱私等基本道德價(jià)值的結(jié)構(gòu)整合到嶄新的網(wǎng)絡(luò)空間架構(gòu)中。而且,政府對(duì)網(wǎng)絡(luò)空間的管理一定不能屈服于某些誘惑而強(qiáng)加過分的控制。管理者也必須接受最高道德標(biāo)準(zhǔn)的指導(dǎo),尊重基本的人類價(jià)值,如自由和隱私。代碼本身是一個(gè)強(qiáng)有力的控制力量,如果它不能夠被適當(dāng)?shù)鼐帉懞凸芾恚敲此隙〞?huì)威脅到這些價(jià)值的傳承。[2](P7)因此,網(wǎng)絡(luò)道德在網(wǎng)絡(luò)文化建設(shè)和電子商務(wù)發(fā)展中的獨(dú)特作用表現(xiàn)在它對(duì)“代碼”這一規(guī)范力的規(guī)范作用,道德是代碼能夠正確發(fā)揮其規(guī)范作用的元規(guī)范力。由于問題討論的專門性,我們?cè)诖酥貜?qiáng)調(diào)了網(wǎng)絡(luò)道德之于和諧網(wǎng)絡(luò)文化建設(shè)和電子商務(wù)發(fā)展的重要性。像技術(shù)、市場(chǎng)和法律等規(guī)范力有自己的效力域和局限性一樣,網(wǎng)絡(luò)道德也有自己的局限性。倫理學(xué)家們也早已認(rèn)識(shí)到,道德決定論和道德萬能論是極其錯(cuò)誤的。但是,道德作為規(guī)范人的行為的法則擁有其他規(guī)范力沒有的獨(dú)特之處。需要強(qiáng)調(diào)的是,網(wǎng)絡(luò)道德之于網(wǎng)絡(luò)文化發(fā)展的必要性,并不僅僅因?yàn)榉伞⑹袌?chǎng)和技術(shù)等規(guī)范力的局限性,即使技術(shù)、法律和市場(chǎng)等手段日益健全有效,網(wǎng)絡(luò)道德仍將擁有其獨(dú)特的作用域和現(xiàn)實(shí)意義。
網(wǎng)絡(luò)空間安全的重要性范文5
在網(wǎng)絡(luò)交友的坐標(biāo)系中,一位朋友就是一個(gè)點(diǎn),而每位朋友都有自己的交友圈子,那么這一個(gè)點(diǎn)就成了一個(gè)面。所以,當(dāng)你拒絕一個(gè)朋友時(shí),一定要想到,你拒絕的不是一個(gè)人,而是一個(gè)面。要知道,這一個(gè)人可能不符合自己的交友原則,但他的朋友圈子中,不一定沒有你所需要的朋友。
現(xiàn)實(shí)生活中,人們常說“多個(gè)朋友多條路,多個(gè)仇人多堵墻”,這句格言充分說明了廣泛交友對(duì)每個(gè)人的人生的重要性。同時(shí),交友也不是隨便的,還要“慎交友”,避免因交錯(cuò)朋友而帶來的傷害。
網(wǎng)絡(luò)虛擬世界是現(xiàn)實(shí)的拓展與延伸,同樣存在“廣交友”與“慎交友”的矛盾,只不過,人們由于對(duì)網(wǎng)絡(luò)的生疏,出于對(duì)自身安全的考量,在網(wǎng)絡(luò)交友上還是趨于更為謹(jǐn)慎的態(tài)度罷了。現(xiàn)實(shí)中人們的開放程度不同,網(wǎng)絡(luò)上差異就更大。我想,網(wǎng)絡(luò)空間設(shè)限的朋友,并非不想交朋友,而是謹(jǐn)小慎微,不敢冒然行事罷了。更何況,有些新朋友,初入空間,各方面的知識(shí)知之甚少,有的是朋友或是孩子給注冊(cè)的、設(shè)限的,只知加友,不會(huì)打開空間,對(duì)這樣的新朋友一味拒交,是不是有些“寧可錯(cuò)殺三千,也不放過一個(gè)” 的感受呢?有時(shí)候好友空間設(shè)限,必須回答主人的問題方可進(jìn)入空間,我的一位網(wǎng)友叫“梅花傲雪霜”,進(jìn)入空間的設(shè)問是“我喜歡什么”,我嘗試著填上“梅花”,結(jié)果就打開了空間,進(jìn)了空間好象中了彩球一樣喜悅,多有趣呀,優(yōu)勝劣汰的自然法則應(yīng)用到空間交友的規(guī)則中,多么好的創(chuàng)意,有如此創(chuàng)意的人,應(yīng)是我們值得結(jié)交的朋友,劉備能三顧茅蘆聘用諸葛亮,我們?yōu)榱艘粋€(gè)好友做道題又算得了什么?這就相當(dāng)于玩益智游戲,增加了空間交流的趣味性。所以,我認(rèn)為對(duì)于空間設(shè)限的朋友是加友還是拒友,我們應(yīng)該采取寬容、積極的態(tài)度為妥。因?yàn)樗枷腴_放需要一個(gè)過程,更需要新老朋友的共同努力。多一份理解,也為自己打開一扇明亮的窗。
進(jìn)入網(wǎng)絡(luò)世界馳騁的人,絕大多數(shù)都是思想開放、有見地、有抱負(fù)之人,在網(wǎng)絡(luò)世界里,更要用發(fā)展的眼光看待一個(gè)人。他今天保守是網(wǎng)絡(luò)的排斥者,明天可能會(huì)很開放,成為網(wǎng)絡(luò)的崇拜者。他今天可能空間空空、或只會(huì)轉(zhuǎn)日志,明天可能就會(huì)寫出“一語驚人”的好文章。他今天不善說說,不妄加評(píng)論,明天可能就能為人指點(diǎn)迷錦。他今天是白丁一個(gè),明天可能就是綠鉆、黃鉆。…… 網(wǎng)絡(luò)世界是虛幻的,用現(xiàn)實(shí)的思維去看空間朋友,本身就容易曲解、誤解、錯(cuò)解,再加上自己對(duì)網(wǎng)絡(luò)的不了解、不把握,錯(cuò)誤在所難免。不要用眼前的表相作為判斷是非的依據(jù),那樣容易誤入歧途。對(duì)于空間設(shè)限的朋友,是加還是拒,不可以現(xiàn)實(shí)的“貌”來取人。我們不防采取“以時(shí)間換空間”的方法,給人一個(gè)機(jī)會(huì),也給自己留一片藍(lán)天,畢竟,他加你好友,就送給你一份尊重。網(wǎng)絡(luò)里的思想開放,還需要我們老朋友身先士卒,率先垂范。
網(wǎng)絡(luò)空間安全的重要性范文6
然而更重要的是,當(dāng)我們的工作、學(xué)習(xí)和生活都高度依賴互聯(lián)網(wǎng),黑客也在利用互聯(lián)網(wǎng)的優(yōu)勢(shì),對(duì)企業(yè)和消費(fèi)者展開攻擊。信息安全的形勢(shì)越來越嚴(yán)峻:公共互聯(lián)網(wǎng)信息安全形勢(shì)不容樂觀,政府信息系統(tǒng)、關(guān)鍵技術(shù)、IT基礎(chǔ)設(shè)施面臨前所未有的威脅。如何從法律、政策各方面積極采取應(yīng)對(duì)措施,逐步改善信息安全狀況,如何通過技術(shù)創(chuàng)新為網(wǎng)絡(luò)空間構(gòu)建起安全屏障,如何推出更加可靠的安全產(chǎn)品和解決方案,怎樣的產(chǎn)品和服務(wù)才能滿足用戶的需求,如何更好地促進(jìn)國際合作,共同推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展……這些信息安全領(lǐng)域關(guān)注的熱點(diǎn),在8月28日至29日舉行的2012 RSA中國信息安全大會(huì)上,成為備受關(guān)注的話題,與會(huì)專家就這些問題進(jìn)行了熱烈的討論。
企業(yè)IT突破三大邊界
新世紀(jì)以來,企業(yè)IT的改變給安全帶來極大挑戰(zhàn),當(dāng)智能移動(dòng)終端迅速崛起,當(dāng)云計(jì)算開始“化云為雨”,當(dāng)虛擬化技術(shù)在一些國家被高度應(yīng)用,企業(yè)的IT部門卻越來越傾向于在越來越多的無效網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù)工作。信息安全必須經(jīng)歷“涅槃”,才能重新讓企業(yè)收獲安全的IT基礎(chǔ)設(shè)施和網(wǎng)絡(luò)環(huán)境。
“IT的改變的確對(duì)信息安全造成很大挑戰(zhàn)。”在2012 RSA中國信息安全大會(huì)上,賽門鐵克中國區(qū)技術(shù)總監(jiān)李剛認(rèn)為,之所以給安全帶來挑戰(zhàn),是因?yàn)楫?dāng)前的企業(yè)IT已經(jīng)突破了三個(gè)邊界:一是突破了應(yīng)用的邊界,因?yàn)樵朴?jì)算及IT的變化,使得應(yīng)用開發(fā)的難度降低了,企業(yè)應(yīng)用越來越多。二是服務(wù)的邊界發(fā)生變化,企業(yè)所需的任何服務(wù)都可以通過第三方來提供,而云計(jì)算讓服務(wù)的提供方式變得更加便捷,也使企業(yè)的邊界不斷拓展。三是企業(yè)內(nèi)部IT資產(chǎn)的概念變得更加模糊,“現(xiàn)在很多基礎(chǔ)設(shè)施并不是你擁有的,你真正擁有的是信息和數(shù)據(jù)”。在李剛的眼里,應(yīng)用、服務(wù)和資產(chǎn)邊界的變化,使IT主管對(duì)安全產(chǎn)品的控制力減弱,企業(yè)暴露出的安全隱患越來越多。
賽門鐵克公司發(fā)展經(jīng)理Dave Elliott認(rèn)為,企業(yè)對(duì)于云計(jì)算安全的認(rèn)識(shí)存在七大誤區(qū),即忽視信息的價(jià)值、抵觸云計(jì)算技術(shù)、盲目樂觀和輕視基礎(chǔ)設(shè)施建設(shè)、信息孤島、缺乏頂層設(shè)計(jì)和技術(shù)積累、缺乏風(fēng)險(xiǎn)預(yù)見能力,以及缺乏混合云、安全法規(guī)和合規(guī)政策的應(yīng)對(duì)策略。在他看來,云計(jì)算固然為企業(yè)描繪了一個(gè)美好的藍(lán)圖,但是目前企業(yè)距離成功應(yīng)用云計(jì)算還很遠(yuǎn)。
的確,很多企業(yè)還沒有真正認(rèn)識(shí)到網(wǎng)絡(luò)威脅的嚴(yán)重性,并沒有對(duì)云計(jì)算、虛擬化和移動(dòng)互聯(lián)網(wǎng)帶來的安全問題有全面的、足夠的了解,沒有全面認(rèn)識(shí)到風(fēng)險(xiǎn)的存在。但就在企業(yè)的CIO或CSO(首席信息安全官)還沒有覺醒時(shí),網(wǎng)絡(luò)攻擊卻已經(jīng)發(fā)生變化。現(xiàn)在,黑客更傾向于長時(shí)間潛伏在企業(yè)的網(wǎng)絡(luò)內(nèi)部,廣泛收集企業(yè)和個(gè)人的信息,以最大限度地獲取利益。在2012 RSA中國信息安全大會(huì)進(jìn)行主題演講時(shí),EMC執(zhí)行副總裁兼EMC信息安全事業(yè)部RSA執(zhí)行主席亞瑟·科維洛介紹了一種新型的攻擊技術(shù)——“水坑”,它專門針對(duì)那些存在安全隱患的涉及公共服務(wù)、政府、金融機(jī)構(gòu)和學(xué)校的網(wǎng)站,將其作為自己的墊腳石,去攻擊最終的目標(biāo)。當(dāng)木馬被注入這些網(wǎng)站,用戶在進(jìn)行合法訪問時(shí),也將感染這些木馬,“黑客就像是在水坑邊上等待來飲水的動(dòng)物的實(shí)質(zhì)一樣,等待被攻擊對(duì)象的訪問”。“水坑”不容易對(duì)付,要擊敗這類攻擊,企業(yè)需要具備利用最新、最先進(jìn)的檢測(cè)能力,不僅是簡(jiǎn)單地檢查每個(gè)數(shù)據(jù)包的流量和每個(gè)相關(guān)的日志文件,而且要明白這些數(shù)據(jù)背后的意義所在。
盡管“水坑”只是黑客攻擊的眾多工具中之一,但管中窺豹,我們可以看到信息安全的風(fēng)險(xiǎn)無處不在,黑客可能潛藏在網(wǎng)絡(luò)的每個(gè)角落,隨時(shí)準(zhǔn)備對(duì)企業(yè)發(fā)起攻擊。而這些攻擊往往難以預(yù)測(cè),大多數(shù)企業(yè)只能亡羊補(bǔ)牢,做事后諸葛,而在事前防范、事中檢測(cè)和應(yīng)急響應(yīng)的階段幾乎沒有作為。
基于智能的信息安全模式
當(dāng)傳統(tǒng)的防御方法開始逐漸失效,企業(yè)的安全防護(hù)也需要更加智慧的思路,能夠洞察風(fēng)險(xiǎn)并及時(shí)有效地響應(yīng)。
在本次大會(huì)上,亞瑟·科洛維給出了更加智慧地應(yīng)對(duì)威脅的四點(diǎn)建議:致力于智能驅(qū)動(dòng)型的信息安全建設(shè),最佳的防御是分層防御,找到合適的安全專業(yè)人才和合作共贏。亞瑟·科洛維認(rèn)為,在應(yīng)對(duì)風(fēng)險(xiǎn)上,企業(yè)首先需要一個(gè)更加智能的網(wǎng)絡(luò)安全模型。“這是一個(gè)以智能為基礎(chǔ)并且囊括許多組成部分的安全體系,對(duì)風(fēng)險(xiǎn)具有透徹的理解。該模型以技術(shù)為導(dǎo)向,利用基于模式識(shí)別和預(yù)測(cè)分析的靈活控制以及大數(shù)據(jù)分析,來解析從多種來源得到的數(shù)據(jù),從而及時(shí)獲取有價(jià)值的信息。因此,該模型需要具備相關(guān)技能的專業(yè)人員,并且需要大規(guī)模的信息共享。”
