重慶日報訊 關鍵信息基礎設施安全保護要點在哪?網絡攻防的本質又是什么……作為2019年重慶市網絡安全宣傳周重要活動之一,網絡安全高峰論壇9月16日在璧山區舉行,來自學界和業界的5位知名專家圍繞網絡安全標準、技術、產業等話題發表了主題演講。
關鍵信息基礎設施安全保護重在整體防護
中國信息安全研究院副院長左曉棟發表了題為《關鍵信息基礎設施安全保護條例研究與思考》的主題演講。
左曉棟說,關鍵信息基礎設施定義為一旦遭到破壞、喪失功能或者數據泄露,就可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統。
要做好這類事關重大的設施保護工作,左曉棟認為,首要是堅持正確的網絡安全觀。具體而言,就是要認識到網絡安全的整體性、動態性、開放性、相對性和共同性這五大特性。
他以整體性舉例解釋說,隨著云計算、物聯網、大數據的出現,傳統的信息系統邊界已經十分模糊,再強調單個系統的孤立保護已經不能適應新形勢的需要。“關鍵信息基礎設施保護,側重在保業務,及在同一業務上的所有信息系統整體防護。”左曉棟指出要注重關聯風險的應對,以便保障業務的安全穩定運行。
所有在公共網絡上的網絡攻擊行為都是違法行為
中科院信息工程研究所第六研究室主任劉寶旭就網絡攻防這一話題發表了主題演講。
劉寶旭認為,當前我國網絡空間的安全態勢復雜,網絡戰威脅日益嚴峻。“只有全面、深入地了解對手的能力、攻擊手法、攻擊目標和攻擊意圖,才能在網絡空間安全建設中做到知己知彼、有的放矢、有效防護。”劉寶旭說。
劉寶旭從偵查跟蹤、“武器”構建、載荷投遞、漏洞利用、安裝植入、命令與控制、目標達成等七個環節闡述了網絡攻擊的殺傷鏈模型。同時,他強調,所有在公共網絡上的網絡攻擊行為都是違法行為、未經授權進入他人計算機系統屬于網絡犯罪,提醒大家切莫以身試法。
當下互聯網內容安全機制存在三大痛點
北京理工大學副教授張華平發表了《大數據內容安全與輿情源畫像技術》主題演講。
張華平介紹,網絡信息安全存在五個層次,物理安全、數據安全、運行安全、內容安全以及實體安全。針對內容安全方面,張華平認為目前的安全機制存在耗人力、低效率、弱智能三個方面的痛點。
“舉個例子,新浪、搜狐、網易、知乎等都有24小時的內容監控專員,但是他們效率都不高。”張華平說,這些監控專員們通過詞表窮舉法來進行內容管理,耗費巨大的人力成本,效率卻并不高。他認為,當前的內容安全管理技術不能舉一反三,對于各種音變、形變、噪音、繁簡體等變化難以識別。
保護個人信息安全首要在于提高安全意識
深信服科技股份有限公司安全業務首席技術官郝軼發表了題為《網絡安全態勢與個人信息保護》的主題演講。
郝軼認為,目前我國網絡安全與隱私面臨著不小的挑戰,各種黑客組織都對個人信息垂涎欲滴。但網民普遍安全意識較為淡薄,為黑客組織帶來了可乘之機。
他以專門攻擊入住高端酒店商務人士的黑客組織——“DarkHotel”舉例說,這個組織專門利用酒店WiFi為入口,攻擊連入酒店WiFi的電腦,從而控制電腦,竊取相關個人數據。
那對于普通網民來說,該如何做好相關個人信息保護工作?郝軼建議,最重要的就是要提高安全意識,避免一切可供識別的個人信息公開發布在網絡上。比如不連接公共WiFi、關閉動態定位、不在網上暴露家中照片等涉及個人信息的內容。
主動動態防御技術讓黑客看到的一切都是假象
重慶洞見信息技術有限公司董事長張長河介紹了下一代主動動態防御技術。
張長河介紹,相較于傳統防御技術,動態防御追求動態的“相對安全”。動態防御可以主動變化,避免威脅,減少攻擊面,增加攻擊難度。同時,動態防御部署在暗處,攻擊者每次偵查、分析的結果因動態變化而不相同,攻擊者甚至不知道多次偵查的結果是否為同一個目標。
他以內網動態防御系統為例,闡述了“鏡像世界”“虛擬哨兵”“移形換影”“全息偽裝”等技術的工作機制。“簡而言之,就是讓黑客看到的一切都是假象。”張長河說。
