在網絡安全的世界裡,如果把0和1組成信息流,千軍萬馬衝鋒陷陣的畫面可以想象。這每一次的攻防博弈的精彩程度不亞於一步製作精良的大片。
從這個角度看,網絡安全的攻和守無疑是一門最純粹的藝術。在數字化轉型前,網絡安全工作應該是一群“藝術家”做的事情,悠閒又愜意。
在卡巴斯基、諾頓、金山等殺毒軟件裝機必備的年代,連續兩次的“勒索”病毒席捲全球PC這樣的事件,不可想象。
Facebook洩露5000萬用戶數據信息,互聯網大佬李彥宏又拋出一句:“中國人願意用隱私換取便利”,企業對用戶隱私安全的承諾,瞬間崩塌。
在充滿雲和WIFI的世界中,網絡安全早已七零八落,不管是企業的安全邊界,還是技術防護的安全邊界,似乎都不再那麼可靠,安全邊界意識越來越模糊。
01
技術安全邊界該如何界定
按照過往,一想到安全防禦,就會想象一個上鎖的房間裡,一排排巨型機櫃在嗡嗡作響,還有防火牆機器和外部隔開。但是,對於企業和個人來說,做到這麼大排場的安全防護似乎不太現實。
即便是搞網絡安全的公司,未必都能如此。2017年第三季全球網絡安全企業500強名名單,中國企業有360,安恆信息,瀚思,山石網科,安天,深信服,微步在線,綠盟科技和VKansee這9家中國企業。
有人說,靠防火牆來守護安全邊界根本靠不住,這根本防不住黑客們日新月異的攻擊。
什麼是防火牆?防火牆也叫防護牆。是由軟件和硬件設備組合而成、在內部和外部之間、專用網和公共網的界面上構造的保護屏障。它實際上是將內部網絡和公共訪問網分開的一種隔離技術。
對於網絡安全企業而言,加高防火牆的城防、拓展防塔,圍繞防火牆形成聯動的縱深防禦,極大的增加了黑客攻擊的成本。
防塔是一個術語。它可被比喻成地道戰。防塔的作用就是在很多地方設立出口,比如在牆上、井裡、灶臺、馬槽等這些地方挖出口子,就處處可以開槍。
但是這類的殺毒軟件或終端防護工具,說白了就是強化內部防禦。如果黑客進入內部,那還是照樣為所欲為。這就像鎖了大門,就不用保險箱了一樣。
歸根結底,不管防火牆如何升級,它都脫離不了一箇中心,最終就是要守住內部大本營。但真正的安全邊界,應該是去中心化的,就像區塊鏈技術原理一樣。不僅要去中心化,而且還應該是流動的。
以前,所謂的安全邊界就是網絡硬線連接,但這對於目前而言似乎行不通。相反,如果我們把數據保留在雲端,數據可以通過電腦、手機滿世界流動。只要API(執行應用程序)接入,數據可以遍佈各處,安全也就無處不在。
所以,技術的安全邊界應該是去中心化的,流動的。最佳實踐應該是前門有防線,裡面還有各種後衛。而且這些“守衛”應該是遍佈各地流動的,只有“守衛”才清楚自己在哪裡作戰。除非“守衛”授權別人,否則別人無從得知突破口在哪。
技術是國之重器,提高技術壁壘防護是核心之一。
02
道德安全邊界為輔,法律安全邊界為主
但是,技術壁壘只是其中之一,並不能完全杜絕企業信息和個人信息“洩露”的可能。
我們從道德高度來講,這是一個人甚至一個企業的道德問題。從國家信息安全角度來看,網絡安全不僅僅是道德問題,而應該有法律卻規範、約束。就如Facebook那5000萬用戶信息出賣,李彥宏自認為中國人更願意那隱私換取便利,還有網絡上有人說自己沒錢,個人隱私不值錢一樣,如果簡單的用道德規範,安全邊界就真的蕩然無存了。
數據顯示,中國企業信息安全事件超過1萬件,合計給企業造成的真實損失遠遠超過百億元。網民遭遇網絡安全事件達整體網民70.5%,其中39.1%的網民曾遇到過網上詐騙這類事件。
除了技術壁壘,法律規範也刻不容緩。
不僅如此,國家級監聽計劃“稜鏡門”曝光,暴露出美國依靠基礎硬件優勢形成“網絡霸權”,也暴露了我國與歐美國家在網絡信息安全領域的巨大差距。在全球193個成員國中,中國網絡安全指數名列32位。
因此將網絡安全上升到法律層面很有必要。
03
鼓勵網絡安全企業“百花竟放”
不論是技術壁壘,還是法律約束,最終都是需求驅動。同樣地,也因為有了需求,技術實力和法律規範才會更加完善。
數據顯示,中國是全球最大的網絡安全市場,預計在2020年規模將達2000億元。但我國在網絡安全投入佔IT整體投資比重僅為1%-2%之間,遠不如發達國家8%-12%以上。也就是說中國的網絡與信息安全市場投入嚴重不足。
網絡信息安全產品主要包括安全硬件、安全軟件和安全服務。按產品結構,可以分為防火牆、入侵檢測和防禦、統一威脅管理、安全內容管理、身份認證、安全審計、安全管理等等。按照對象分,可分為網絡邊界安全、內網安全、以及針對服務器、終端、操作系統、數據庫等軟硬件系統安全。
然而新三板安全企業細分為整體解決方案服務商佔31%,身份認證准入控制佔17.5%,數據安全管理佔11.5%,安全內容與威脅管理佔3.75%,移動互聯網管理佔1.25%。整體方案服務商企業居多,有25家。而專注互聯網安全管理的企業只有1家。
因此,在供需嚴重不平衡的情況下,網絡安全問題自然就會突出。鼓勵安全企業應該“百花竟放”,只有這樣才能反哺網絡安全。保護企業和個人隱私免受侵犯。
04
安全邊界需要混合來看
從某種角度上說,但凡出現在網站上的東西,沒有什麼是真心不想公開的。重要得不是防止數據滲出,而是保護網站不被黑。企業信息是如此,個人信息更是如此。
就好比,無論你在哪裡工作,環境多先進,安全問題都無處不在。我們要考慮的不是把自己放到安全邊界裡面,而是自己找到安全的方法遷移。
那是不是說,不管是技術防護,還是法律防護,又或者別的防護,都不可靠,安全邊界不存在呢?當然不是,安全邊界需要混合來看。
既要加強技術壁壘,又需要法律庇佑,同時自己也要極具隱私意識。深層的安全防禦應該要在一個更高、更細化的層次上評估。
殺毒軟件或終端防禦不應該只是在內部和外部設一道門,而應該還有流動前鋒和後衛;網絡安全不應該僅僅從道德上去約束,還應該要有法律規範;網絡安全防禦技術不應該只是關起門來自己研發,而應該放到整個大的市場上去驗證。
以上三點漏掉哪一點,都不能說安全邊界更加層次化了,應該混合來看。
閱讀更多 壹創新商學 的文章
