今年以來,全球發生(shēng)了多起網絡攻擊導緻關鍵信息基礎設施癱瘓的案例。随着2017中(zhōng)國互聯網安全大(dà)會(ISC)即将在9月召開(kāi),網絡安全和關鍵信息基礎設施安全保護再次成爲網絡熱詞。
多位安全專家指出,網絡安全行業的本質就是人與人之間的攻防對抗,網絡安全人才培養也被多國納入國家戰略。作爲擁有7億多網民的網絡大(dà)國,中(zhōng)國網絡安全人才的儲備卻捉襟見肘。數據顯示,我(wǒ)國網絡安全人才缺口已近百萬。加強網絡安全人才培養刻不容緩。
關鍵信息基礎設施保護迫在眉睫
自“永恒之藍(lán)”勒索病毒在今年5月肆虐全球150多個國家後,網絡攻擊對關鍵信息基礎設施的潛在危害一(yī)直在不斷上升。
僅7月份就發生(shēng)了多起潛在攻擊:7月23日,有英國機構發布警告稱,一(yī)部分(fēn)工(gōng)業控制系統工(gōng)程技術與服務機構很有可能面臨着新一(yī)輪潛在網絡攻擊;7月18日,英國媒體(tǐ)報道稱,黑客已攻擊愛爾蘭能源網絡,并可能加劇對關鍵信息基礎設施的網絡攻擊;7月9日,美國國土安全部官員(yuán)證實,持續的黑客活動正在瞄準核能源行業,多個核電(diàn)站被入侵。
ISC聯席主席、360企業安全集團董事長齊向東表示,以“永恒之藍(lán)”勒索病毒事件爲标志(zhì),網絡攻擊已經從過去(qù)的“弱感知(zhī)”變成了“強感知(zhī)”,而網絡攻擊者對關鍵基礎設施的破壞,讓大(dà)部分(fēn)人從“圍觀者”被迫成爲“受害者”。
“網絡戰不費(fèi)一(yī)槍一(yī)炮,就能夠達到以往傳統戰争破壞社會、政治、經濟正常秩序等系列目的,勒索病毒攻擊就是這樣的形式。”齊向東表示,網絡空間已經成爲新型戰場,未來網絡攻擊引發的社會混亂将成爲常态。
齊向東對記者分(fēn)析,通過對比今年5月和6月爆發的兩次勒索病毒事件可以發現,現在網絡攻擊者不再單純地以盈利爲目的,而是以擾亂社會穩定爲目标。在勒索病毒變種襲擊全球的過程中(zhōng),大(dà)量受影響的設備都屬于關鍵信息基礎設施,遍布金融、能源、通信等各個行業,危害性極大(dà)。
聯合國國際電(diàn)信聯盟(ITU)發布的最新報告指出,網絡互聯程度表明,任何信息都可能會被暴露,從國家關鍵信息基礎設施到基本人權的一(yī)切都可能受到損害。因此,政府應在網絡安全領域投入更多精力,考慮将網絡安全納入國家政策,并鼓勵公民做出明智決策。
安全本質是人與人的攻防對抗
勒索病毒事件讓人們認識到,軟件和硬件的漏洞無法避免,再強大(dà)的網絡防護體(tǐ)系都有可能被攻破。那麽,面對不知(zhī)名的黑客和勒索方式,我(wǒ)們已經束手無策了嗎(ma)?
對此,齊向東認爲,一(yī)個防不住的網絡乃至于被攻破的網絡不代表它就不安全,關鍵在于技術和設備的防護加上人工(gōng)應急響應。
“比如5月12日的晚上發現WannaCry勒索病毒之後,政府部門、國企和其他大(dà)型企業都及時啓動了應急響應,360也出動了3000多人給1700多家單位提供了直接支持。”齊向東告訴記者,這次處理勒索病毒的經驗表明,安全人才将在網絡攻防戰中(zhōng)發揮越來越重要的作用。
齊向東表示,“國家、社會、企業歸根結底都是由人構成,安全行業的本質就是人與人之間的攻防對抗。”他預言,未來網絡安全行業将成爲高智力人才密集型行業,技術和設備的防護,加上網絡安全人才的人海戰術将讓網絡更加安全。
ISC大(dà)會秘書(shū)長、360企業安全集團副總裁韓笑也認爲,如果有足夠多的安全人員(yuán)正确有效地運維網絡安全産品,那麽就能在一(yī)定程度上有效防禦網絡攻擊。不過,目前國内很多企業機構雖然購買了很多安全産品,但大(dà)部分(fēn)都嚴重缺乏有效的運維管理,安全措施形同虛設。
“未來,企業機構有必要建立自己的安全研究團隊。”360企業安全研究院首席研究員(yuán)裴智勇告訴記者,雖然這些團隊不能代替安全廠商(shāng)的專家,但他們完全有能力對自身企業的安全形勢做出正确的預判,對安全廠商(shāng)提出的安全建議進行有效的甄别和深入的理解,這對防禦網絡攻擊具有重大(dà)的意義。
加強網絡安全人才培養刻不容緩
聯合國國際電(diàn)信聯盟(ITU)發布的《2017年全球網絡安全指數》調查報告顯示,193個國家中(zhōng),中(zhōng)國的網絡安全指數排名第32,無緣前30。
作爲一(yī)個擁有7億多網民的網絡大(dà)國,中(zhōng)國是全球互聯網用戶規模最大(dà)的國家,網絡安全一(yī)旦出現問題,造成的危害難以想象,因此加強網絡安全人才培養刻不容緩。
縱觀世界各國的網絡安全戰略,網絡安全人才培養已經成爲不可或缺的一(yī)部分(fēn)。比如美國早在2003年就将網絡安全教育計劃寫入了《保護網絡安全國家戰略》中(zhōng);2012年,美國發布《網絡安全教育戰略計劃》,明确提出擴充網絡安全人才儲備、培養網絡安全專業隊伍;今年7月,美國國家安全局計劃撥出550萬美元,用于培養下(xià)一(yī)代聯邦網絡安全工(gōng)作者。而英國也在2009年發布的《網絡安全戰略》中(zhōng)明确提出,要鼓勵建立網絡安全專業人才隊伍;2016年,英國政府出資(zī)2000萬英鎊,推出新“網絡校園項目”,爲青少年提供網絡安全培訓,儲備專業網絡安全人才。
相比之下(xià),中(zhōng)國的網絡安全人才培養戰略起步較晚。
2016年12月,國家互聯網信息辦公室發布的《國家網絡空間安全戰略》明确提出,要“實施網絡安全人才工(gōng)程,加強網絡安全學科專業建設,打造一(yī)流網絡安全學院和創新園區”;今年6月1日正式實施的網絡安全法也明确提到,“國家支持企業和高等院校、職業學校等教育培訓機構開(kāi)展網絡安全相關教育與培訓,采取多種方式培養網絡安全人才,促進網絡安全人才交流。”
多位安全專家表示,在政策和法律的指引下(xià),未來會有越來越多的資(zī)源投入到網絡安全人才的培養和團隊的建設中(zhōng),可以預見,填補上網絡安全人才的缺口已爲時不遠。
上一(yī)篇:黑客盜走了上千份公司内部文件
下(xià)一(yī)篇:這位22歲黑客阻止勒索軟件WannaCry擴散 卻遭FBI逮捕