现在几乎人人都在讲安全,但你是否知道安全里的误区和谎言呢?中国计算机学会计算机安全专业委员会常务委员杜跃进博士在中国SIS大会上的主题《几个根深蒂固网络安全误区的分析》里告诉人们,曾经的安全技术在当今的IT环境下可能已不再“安全”。
误区一:加密能解决一切问题安全始于战场上的需求,最原始的安全技术就是各类“加密”,比如中国的虎符。环境的变化使得沧海变桑田,曾经的固若金汤如今却岌岌可危,绕过“加密/破密”的战线成为了新的攻击捷径。
误区二:安全就是保护计算机系统在互联网时代之前,仅仅是PC机+局域网,那时的威胁主要是病毒,对抗位置集中在计算机系统中。相互依赖关系和环节很少,系统封闭、网络独立、业务独立,所以系统安全是对抗的焦点。而今,社会化和网络化的时代,一切变得相互依赖。全球互联网乃至万物互联改变了原来的世界,蝴蝶效应正在成为可能,比如519暴风影音事件、比如百度域名被篡改事件……错综复杂的相互依赖关系,导致谁也无法“独善其身”。依然局限于系统安全就变成了盲人摸象,无法获得网络安全的真相。
误区三:设备和软件自主就是安全在全球网络主要用于通信的时代,控制网络十分关键。对抗位置处于网络空间,对抗焦点是网络安全。但如今网络空间是直接承载服务的网络,网络在成为社会的基础之一,全球化的信息服务、商业服务能力会弱化甚至旁路信息通信网络和产业层面的优势。哪怕核心技术、网络运行、信息数据都是自主可控的,但随着数据的全球化流转,“仅仅局限于发展自己的核心技术和产品,或者认为国际网络空间运行秩序的改善就能解决我们的安全问题,则又不够了。”网络空间环境不断变化,不断催生新的对抗思路。需要全局视角下的安全思维,不能再仅看某一方面。
网络安全本质是攻防对抗,未知攻,焉知防?不了解对手的能力,安全防线就是一道马其诺防线。要了解对手的能力、特点、动机,更要像对手那样思考。
网络安全竞赛可以发现新问题、发现新方法、发现新人才、验证真效果。是骡子是马拉出来遛遛,挑战真实环境才能认识真实的安全、认知真实的自我。
今年XP停更后国内举办的“XP靶场挑战赛”,帮助国内主流安全厂商打造出更为牢固的安全产品。杜跃进博士表示竞评演练工作组的成立就是希望通过组织更多的安全竞赛促进国家安全的整体提高与进步。
在西湖论剑——中国SIS大会演讲的最后,杜跃进博士提出了“论剑精神与亮剑精神”:敢于直面真正的问题,敢于迎接真正的挑战,敢于真刀真枪的对抗,敢于在持续的摸爬滚打中不断成长。在不断摔倒和站起中真正成长,不做待宰的羔羊!
