周鸿祎为全国百万政法干警开讲网络安全文稿首度曝光!
2017-09-30 09:27:01
  • 0
  • 2
  • 0

来源:长安剑

世界进入“大安全”时代

习近平总书记多次就网络安全发表重要讲话,作出了“没有网络安全就没有国家安全”的重要论断。可以说这句话是划时代的,网络安全的重要性达到了前所未有的高度,整个改变了我国网络安全面貌。

360公司做网络安全,我们希望360度不留任何死角,全方位的防护。但是因为我们创新了一个免费模式,同行对我们恨得咬牙切齿,就觉得我们梦想在网上除暴安良,老想做网上110,但又不赚钱,这就是250的行为,250+110就正好等于360。所以大家以后看到360这个名字,这两个解释都可以(笑)。

大家可以看到这几年的一个矛盾是什么呢?就是现在,我们的生活越来越智能,整个世界好像变得越来越美好了。其实,从安全的角度看并不是,我们发现安全形势实际上是日益严峻。

网络空间也成为大国博弈斗争的焦点,成为关乎国家安全的战略高地。世界各国网络空间的军备竞赛也在不断加剧。比如近期美国政府将美军网络司令部升级为美军第十个联合作战司令部,地位与美国中央司令部等主要作战司令部持平,网络空间正式与海洋、陆地、天空和太空并列成为美军的第五战场。

孟建柱书记最近在全国社会治安综合治理表彰大会上讲到的这个观点,我们是非常认同的,就是网络犯罪已成为第一大犯罪类型,未来绝大多数犯罪都可能借助网络实施。

当前社会正在快速进入万物互联的智能化时代,可以说这个社会都运行在互联网上,网络空间的攻击将会穿透虚拟空间,直接映射到现实世界的安全。互联网已经成为社会运转的基石。因此,我提出了世界已经进入了“大安全时代”的观点。

“大安全时代”面临着以下几类网络攻击——

新型网络犯罪威胁百姓财产和人身安全。有分析显示,国内的网络诈骗从业者可能多达160万人。今年上半年360猎网平台共接到来自全国各地的网络诈骗举报10882起,涉案金额高达1.27亿元,人均损失超过1万元。

勒索病毒攻击威胁社会稳定和安全。其实勒索病毒已经存在很多年,在过去的五年里边,我们一共发现了113种勒索病毒,在国内我们就清理了500多万台电脑,所以我们就发现,现在这种犯罪已经成为一种商业模式。

网络攻击威胁国家关键基础设施安全。2015年12月乌克兰电力系统遭到黑客攻击,导致全国大面积断电。现在网络战的成本很低,用他们的一句话来说,现在乌克兰已经成了某国黑客部队的练兵场。同样举例说,未来如果有人在琢磨三峡大坝,肯定不是通过导弹去破坏,而是通过网络攻击提闸放水,最后造成损失了,可能都不知道是谁干的。

网络攻击威胁金融系统安全。举三个例子,一个是2016年2月,孟加拉央行的打印机和电脑漏洞被人渗透,然后伪造指令大概付款1.3亿,后来截回了一部分,但还是有8000万美金被窃取;去年下半年台湾银行系统被攻击,然后黑客就等在ATM旁边,同一时间多个不同ATM自动往外吐钱,盗取了两百万美金;还有一个例子,我们发现一个隐藏十年之久的犯罪组织,在开发的金融软件里埋藏木马,然后他们借此窃取一些券商等金融机构的信息获利。我觉得偷窃钱财是简单的,让股市出现虚假的卖盘、重大的波动等等,我觉得这都不是没有可能。

网络攻击威胁国家政权安全。美国到现在还在为去年的总统大选有没有受到黑客攻击争论不休。我们不去谈论那些是是非非,但可以看到网络攻击甚至可以改变一个国家的政治格局,可以决定或至少很大程度上可以决定谁来当总统。

还是举希拉里的例子。希拉里身为国务卿,不知出于什么原因,自己私下在个人住宅地下室里设立邮件服务器,这台服务器一定被世界各国黑客“如过无人之境”光顾过;另外,她的竞选主管非常得力,但缺乏网络安全常识,黑客往邮箱发了一封邮件说邮箱密码泄漏,这位主管就点击链接输入密码进行修改,结果邮箱被黑客接管;还有,她的助理胡玛因为和前夫还住在一起,并且共用一台电脑,其前夫浏览色情网站被联邦调查局钓鱼执法,FBI在搜查时意外发现希拉里发给胡玛的机密政务邮件。整个“邮件门”给民主党和希拉里带来了非常大的损失。

网络战的特点和趋势

大安全时代,首先也是网络战的时代。上半年的勒索病毒,我们认为不是国家级的攻击,试想一下,如果这是一次国家攻击,如果它不这么高调,而是偷偷潜伏,然后选择在某个关键时期爆发,影响和损失就会比现在大很多。

这次勒索病毒事件,实际上是黑客利用美国泄露的网络武器搞得一个小把戏,事情虽然过去了,但是值得反思,我们认为这基本上可以看作一次网络战的小规模预演。

现在全球已经有112个国家组建了网络战部队,但是美国人的网络战能力还是遥遥领先。这一次为什么美国人的武器让黑客拿到后可以造成这么大的影响。我们经过研究发现,美国整个的网络武器已经不是利用漏洞来做一次性的攻击,而是已经有一套体系,把漏洞打造成平台化、系统化、自动化的网络武器平台,比如说美国的CIA已经有很严密的组织分工,如何来制作、发行、使用网络武器,而在这方面世界其他各国还停留在一次网络攻击的程度,没有把漏洞变成武器之后可以多次反复使用。

我觉得这次事件会打醒全世界。一方面要做好防守,另一方面要攻防兼备,比如网络武器方面,我觉得可能各国政府也应该要相当的投入。

网络战时时处处都在发生,和平时期就必须未雨绸缪。网络战和传统战最大的区别在于,传统战有宣战概念,而网络战则时时处处不宣而战。陆战是以天或周为单位,空战是以小时为单位,而网络战则是以秒和分为单位。更好的效果、更低的成本,使得网络战越来越成为战争的首选。网络战也是现实世界国家间对抗博弈在网络空间的投射。前段时间,我国和印度出现一些边界上的问题,我们一直在监控的“摩诃草”组织,在洞朗对峙期间攻击次数达到高峰,我们甚至定位到了印度哪一家公司,甚至哪一个个人再在操纵网络攻击行动,很明显,它就想摸我们的情报,想了解我们的底牌。

关键基础设施等成为主要攻击目标,威力不亚于传统战争。未来,万物互联把虚拟世界和物理世界打通了,那么所有原来在虚拟空间里的攻击都可以穿透到物理世界来。比如,通过车联网远程遥控一辆汽车进行攻击,假设一下,未来恐怖分子劫持无人驾驶汽车,甚至都不用自己驾驶去做自杀式的撞击,它完全可以远程去操控。

漏洞是网络武器、网络军火,是网络战重要战略资源。一提到漏洞人们可能觉得就是小错误,但实际上,漏洞是网络攻击的根源,所有的网络攻击都是借助了漏洞才会形成这么大的攻击效果。没有漏洞就不要谈网络战,没有漏洞就无法建立网络战的进攻和防御体系。一个重要漏洞的价值不亚于一枚导弹。必须把漏洞上升到这个战略高度来认知。

美国很多黑客大赛,背后的组织者不是中情局就是FBI,要么就是美国军方,这可以一箭三雕,一是让这些全世界的黑客来帮他们打工,来帮他们挖掘漏洞,通过这种实战来完善系统。二是他们给的这种黑客大赛都是命题作文,要能够夺得前几名需要用到非常高级别的漏洞。三是这些人可能也会被美国人给挖走,挖到他们的网络安全公司。

世界上没有攻不破的网络,人是最薄弱的环节。任何网络系统无一例外都有漏洞,我们检测发现,我国软件平均每1000行代码就会有6个缺陷,其中任何一个严重漏洞都有可能成为所在系统的软肋。在网络战中,人往往是最薄弱的环节,所有的攻击都是从人开始。

网络战是整体战,终端安全非常关键。网络是一个相互连接的整体,任何单位或个人所使用的终端设备或者系统都是网络的一部分,任何个人或设备被攻破,整个网络可能就会被攻陷。

网络战是超限战,需要超常规思维。网络战中,攻击手段将越来越剑走偏锋,没有底线和规则,无所不用其极。例如“洋葱网络”被CIA监听、开源加密软件暗藏后门、CIA入侵三星智能电视等等。

通过这些我们看到,制网权已成为未来战争的核心,今后战争中的首战将是网络战,包括利用网络战实施舆论影响、渗透、潜伏、控制、破坏等等。因此,我们应该以战争的思维来看待网络空间安全,要以应对战争的要求,加强我们自身信息化建设以及国家关键信息基础设施的安全保障。

应对“大安全”时代威胁的思考和建议

构建大安全时代的网络安全技术体系。

1、假设被攻破,从拦截阻断转向检测响应。我们的防御思想必须假设网络一定会被攻破,就是要以最快的速度发现。

2、从重边界防护转到云、管、端安全并重。

3、从主要依靠技术引擎转向重点依靠安全大数据。

4、做好网络隔离和网段划分。

5、采用应用程序白名单技术。

6、重要系统要采用多重身份认证与访问控制。

7、做好数据备份对抗数据破坏攻击。

8、建立钓鱼邮件过滤系统。

9、利用系统加固对抗未知漏洞的攻击。

10、构建云安全防护体系。

11、尤其需要重视大数据安全。

12、积极应对物联网安全。

完善网络安全管理。“三分技术,七分管理”是网络安全领域的一句至理名言,也就是说就算我们的安全技术再牛,如果没有制定完善的安全管理体系和措施,没有严格落实规定要求,我们的网络安全防护体系也是形同虚设。

1、网络安全要做顶层规划设计。

2、网络安全要有集中统一管理。

3、业务系统开发的时候就要考虑安全问题。

4、建立网络安全应急体系。

5、管理要有技术手段来保障。

加强组织和人员保障

1、加强组织保障,设置足够的岗位编制。

2、建立网络安全技术运维团队。

3、加大第三方网络安全服务采购投入。

4、强化安全队伍的培训。

完善国家法律和制度

1、制定漏洞修复管理细则并建立监督检查及责任追究机制。

2、鼓励政企单位及时披露遭到的网络攻击。

3、建立漏洞挖掘、发布、输出和交换统一管控制度。

4、实网攻防演戏应该制度化、常态化。

5、制定网络安全信息共享法规,促进网络安全信息共享。

6、完善对日常主动式发现系统漏洞的网络安全服务的保护和激励制度

利用创新科技,解决“大安全”时代城市和社会安全问题

我想举几个简单的例子,就是说“授人以鱼,不如授人以渔”。

用大数据方法打击网络犯罪。过去很多网络犯罪有两个特点:线索比较难找,金额比较小经常达不到立案标准。所以我们就鼓励用户用视频音频图片多种方式报上来,然后利用大数据来并案分析,后来就发现很多案件一合并之后金额是够立案的,很多线索单独看拼不起来,但是在这个地方一汇总就能够拼起来。

利用人工智能+智能硬件提升社会综合安全防控水平。我们鼓励老百姓装摄像头,平时可以看家看店,真发生什么案件的时候可以开放给公安系统,这个数据利用起来,可能解决很多问题。另外,如果行车记录仪都能智能地发现行车中的问题,是不是交通警察的压力就会小点。还有,用智能手表定位等技术来解决电动车防盗问题,提高效率。

互联网+方式创新社会信用体系建设。近期我们和北京朝阳法院合作,打“老赖”电话,法院授权我们在软件界面上提示这是个“老赖”。另外我们之所以能够提示很多电话是不是诈骗电话,也是我们把用户调动起来,很多用户每天给我们举报某个电话号码是不是诈骗,是不是卖广告的。

如果我们把全中国用户的力量能够调动起来,它们愿意贡献数据,它们愿意来参与,效果就能更好。通过某种机制,政法系统也能建立自己的大数据库,有了自己的大数据库,就能发挥人工智能的作用,就能实现提前发现的能力,就能够用这些技术去解决社会安全、城市安全等问题。

 
最新文章
相关阅读