在网络安全的世界里,如果把0和1组成信息流,千军万马冲锋陷阵的画面可以想象。这每一次的攻防博弈的精彩程度不亚于一步制作精良的大片。
从这个角度看,网络安全的攻和守无疑是一门最纯粹的艺术。在数字化转型前,网络安全工作应该是一群“艺术家”做的事情,悠闲又惬意。
在卡巴斯基、诺顿、金山等杀毒软件装机必备的年代,连续两次的“勒索”病毒席卷全球PC这样的事件,不可想象。
Facebook泄露5000万用户数据信息,互联网大佬李彦宏又抛出一句:“中国人愿意用隐私换取便利”,企业对用户隐私安全的承诺,瞬间崩塌。
在充满云和WIFI的世界中,网络安全早已七零八落,不管是企业的安全边界,还是技术防护的安全边界,似乎都不再那么可靠,安全边界意识越来越模糊。
01
技术安全边界该如何界定
按照过往,一想到安全防御,就会想象一个上锁的房间里,一排排巨型机柜在嗡嗡作响,还有防火墙机器和外部隔开。但是,对于企业和个人来说,做到这么大排场的安全防护似乎不太现实。
即便是搞网络安全的公司,未必都能如此。2017年第三季全球网络安全企业500强名名单,中国企业有360,安恒信息,瀚思,山石网科,安天,深信服,微步在线,绿盟科技和VKansee这9家中国企业。
有人说,靠防火墙来守护安全边界根本靠不住,这根本防不住黑客们日新月异的攻击。
什么是防火墙?防火墙也叫防护墙。是由软件和硬件设备组合而成、在内部和外部之间、专用网和公共网的界面上构造的保护屏障。它实际上是将内部网络和公共访问网分开的一种隔离技术。
对于网络安全企业而言,加高防火墙的城防、拓展防塔,围绕防火墙形成联动的纵深防御,极大的增加了黑客攻击的成本。
防塔是一个术语。它可被比喻成地道战。防塔的作用就是在很多地方设立出口,比如在墙上、井里、灶台、马槽等这些地方挖出口子,就处处可以开枪。
但是这类的杀毒软件或终端防护工具,说白了就是强化内部防御。如果黑客进入内部,那还是照样为所欲为。这就像锁了大门,就不用保险箱了一样。
归根结底,不管防火墙如何升级,它都脱离不了一个中心,最终就是要守住内部大本营。但真正的安全边界,应该是去中心化的,就像区块链技术原理一样。不仅要去中心化,而且还应该是流动的。
以前,所谓的安全边界就是网络硬线连接,但这对于目前而言似乎行不通。相反,如果我们把数据保留在云端,数据可以通过电脑、手机满世界流动。只要API(执行应用程序)接入,数据可以遍布各处,安全也就无处不在。
所以,技术的安全边界应该是去中心化的,流动的。最佳实践应该是前门有防线,里面还有各种后卫。而且这些“守卫”应该是遍布各地流动的,只有“守卫”才清楚自己在哪里作战。除非“守卫”授权别人,否则别人无从得知突破口在哪。
技术是国之重器,提高技术壁垒防护是核心之一。
02
道德安全边界为辅,法律安全边界为主
但是,技术壁垒只是其中之一,并不能完全杜绝企业信息和个人信息“泄露”的可能。
我们从道德高度来讲,这是一个人甚至一个企业的道德问题。从国家信息安全角度来看,网络安全不仅仅是道德问题,而应该有法律却规范、约束。就如Facebook那5000万用户信息出卖,李彦宏自认为中国人更愿意那隐私换取便利,还有网络上有人说自己没钱,个人隐私不值钱一样,如果简单的用道德规范,安全边界就真的荡然无存了。
数据显示,中国企业信息安全事件超过1万件,合计给企业造成的真实损失远远超过百亿元。网民遭遇网络安全事件达整体网民70.5%,其中39.1%的网民曾遇到过网上诈骗这类事件。
除了技术壁垒,法律规范也刻不容缓。
不仅如此,国家级监听计划“棱镜门”曝光,暴露出美国依靠基础硬件优势形成“网络霸权”,也暴露了我国与欧美国家在网络信息安全领域的巨大差距。在全球193个成员国中,中国网络安全指数名列32位。
因此将网络安全上升到法律层面很有必要。
03
鼓励网络安全企业“百花竟放”
不论是技术壁垒,还是法律约束,最终都是需求驱动。同样地,也因为有了需求,技术实力和法律规范才会更加完善。
数据显示,中国是全球最大的网络安全市场,预计在2020年规模将达2000亿元。但我国在网络安全投入占IT整体投资比重仅为1%-2%之间,远不如发达国家8%-12%以上。也就是说中国的网络与信息安全市场投入严重不足。
网络信息安全产品主要包括安全硬件、安全软件和安全服务。按产品结构,可以分为防火墙、入侵检测和防御、统一威胁管理、安全内容管理、身份认证、安全审计、安全管理等等。按照对象分,可分为网络边界安全、内网安全、以及针对服务器、终端、操作系统、数据库等软硬件系统安全。
然而新三板安全企业细分为整体解决方案服务商占31%,身份认证准入控制占17.5%,数据安全管理占11.5%,安全内容与威胁管理占3.75%,移动互联网管理占1.25%。整体方案服务商企业居多,有25家。而专注互联网安全管理的企业只有1家。
因此,在供需严重不平衡的情况下,网络安全问题自然就会突出。鼓励安全企业应该“百花竟放”,只有这样才能反哺网络安全。保护企业和个人隐私免受侵犯。
04
安全边界需要混合来看
从某种角度上说,但凡出现在网站上的东西,没有什么是真心不想公开的。重要得不是防止数据渗出,而是保护网站不被黑。企业信息是如此,个人信息更是如此。
就好比,无论你在哪里工作,环境多先进,安全问题都无处不在。我们要考虑的不是把自己放到安全边界里面,而是自己找到安全的方法迁移。
那是不是说,不管是技术防护,还是法律防护,又或者别的防护,都不可靠,安全边界不存在呢?当然不是,安全边界需要混合来看。
既要加强技术壁垒,又需要法律庇佑,同时自己也要极具隐私意识。深层的安全防御应该要在一个更高、更细化的层次上评估。
杀毒软件或终端防御不应该只是在内部和外部设一道门,而应该还有流动前锋和后卫;网络安全不应该仅仅从道德上去约束,还应该要有法律规范;网络安全防御技术不应该只是关起门来自己研发,而应该放到整个大的市场上去验证。
以上三点漏掉哪一点,都不能说安全边界更加层次化了,应该混合来看。
閱讀更多 壹創新商學 的文章
