财新传媒

主题演讲:网络安全形势与对策

2016年02月02日 09:51 来源于 财新网 | 评论(0

  演讲者:徐晓军 公安部某测评中心副主任 中国计算机学会计算机安全专业委员会委员

  大家下午好!

  非常有幸来到现场和大家一起分享我个人对网络安全未来的一些理解。请问大家知道最近国际、国内发生了多少起网络安全事件?最近国内出台和修订了那些标准和法律?为什么网络安全事件、电信诈骗屡禁不止?网络安全发展的趋势是什么样?我们带着这些疑问,来开始咱们今天分享的话题。我从以下三个方面谈一下我个人的理解:一、网络安全事件案例 二、最新修改法律和政策 三、网络安全的发展趋势和应对之策。

  2015年12月1日英国Trident核武器系统可被网络攻击

  2015年12月2日俄罗斯黑客狂盗10亿美元堪称网络犯罪行业的独角兽

  2015年12月3日黑客窃取思科、IBM与甲骨文认证管理系统内的敏感数据。

  2015年12月8日中美网络安全对话:中国承认黑客入侵OPM,但非官方行为,中国政府表示他们逮捕了今年早些时候针对美国办公室(OPM)大规模网络攻击背后的犯罪黑客,逮捕行动发生之后习近平主席访问美国一致表示彼此都将不会参与双方的商业间谍。

  网络欺诈、网络赌博、酒店数据泄露、保单数据泄露、高考数据泄露等等安全事件无时无刻不在发生。所以网络安全要引起我们足够的重视。引发我们更多的思考并积极应对。

  2014年2月27日下午,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话。他强调,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。

  习总书记指出,没有网络安全就没有国家安全,没有信息化就没有现代化。

  10月29日,十八届五中全会审议通过了《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》。其中提出,实施网络强国战略,实施“互联网+”行动计划,发展分享经济,实施国家大数据战略。五中全会第一次为国家“五年规划”打上了网络时代的烙印。

  第二届世界互联网大会于12月16日至18日在浙江桐乡乌镇举行,大会的主题是“互联互通、共享共治,共建网络空间命运共同体”,互联网的发展对国家主权、安全、发展利益提出新的挑战,谋求共治,实现共赢,本次大会规模最大,八国元首参加。范围遍及五大洲,120个国家和地区,内容丰富,举办10场论坛和22个议题,网络文化传播,创新发展,数字经济合作,网络空间治理等。再加上国际政治方面,某国提出的我国网络安全威胁论,媒体报道的相关网络安全事件,以及我国采用的未来以安全厂商为主的去IOE(去国外依赖)等等,都是我国网络安全目前所面临的一些突出的课题。

  另外一方面,我认为所有的信息安全问题,最终都可以归结为:“人”是最大的威胁。前不久发生了我国境内的一些黑客号称“攻克”了某国际搜索公司,对于这个事情我的理解是,某国际搜索公司的技术已经非常好了,如果能“攻克”某国际搜索公司并且还拿下很多的数据,这是利用了社会工程学。黑客拿到了某国际搜索公司内部的人员帐号和密码,通过这个来进行提权攻击。所以在一切的安全管理和安全运维当中,人是最危险的。我们需要从传统的技术理念当中加强对人的管理,否则很容易出现人被“策反”的事情。

  有这样一个案例,石家庄的一个研究所(已经是公开的了),在对某敏感地区信息作战的过程当中付出了长达几十年的努力,结果其中的一个保安和一个清洁工被策反,他们收集到废纸篓当中的一些数据,将其拼接并传递了出去,使得国家遭受了几百亿的损失,。

  在这个过程当中还有一个案例:某一个大型公司要进行竞标,当他们的老总还没有看到他的员工写的竞标文件的时候,他们的竞争对手却已经拿到了文件。他一直都不知道是什么原因,最后查到了是在他的Word文档当中有一个病毒,可以将内容传输到他的打印机当中,之后他的内部人员通过连接打印机,从打印机上获取这个数据,最后我们也是通过这个员工的IP地址直接找到了他。

  再讲一个案例,在《黑箱子》这部影片中,冷战时代,一个有趣的现象引起了人们的注意:美苏两个核大国的元首,无论出访还是在国内旅行,身边都有一个神秘的人物,携带一个神秘的黑箱子,如影追随,不离左右。后来人们才知道,那个黑箱子就是可以启动毁灭性核大战的“核弹总按钮”。比较神秘大家肯定对这个黑色的箱子比较感兴趣。他最高的军队机密我们是接触不到的,在打核战的时候,那个箱子中的设备可以通过无线通信传输到核战司令部,核战司令部接到指令以后,会由核战司令再传输验证信息,通过这个信息再生成安全级别较高的密码,最终启动核弹。所以在理论当中,像俄罗斯和美国他们也都在互相窃听和攻防。而且理论上一方的技术如果更高,是完全可以拿到对方的密码的。

  提升大众的网络安全意识非常重要。包括对于钓鱼网站的警惕,所有的钓鱼网站在安全意识高的情况下是完全可以防范的。比如说一些手机上的卧底软件,有的模拟10086的号码给大家发一串数字,你点了以后手机就会默认安装,并且让你毫无知觉,之后在卸载的时候必须有他8位以上的指令才能卸载,而且用现在的通用软件根本看不到,必须得用特殊的软件才能从底层把它给卸载掉。这就是咱们为什么有时候网银有几位的密码被中间人截获了,而且他只需要一个笔记本这样的工具,就可以把验证码直接截获,这就是网络诈骗得逞的原因。

  个人的隐私与国家的安全同等重要。这是一个相辅相成、互为补充的过程。

  我今天想把这些在最短的时间更多地分享给大家,向大家传达这种意识,引起大家的重视,这就是我今天的目的。我想通过简短的简短的交流,至少让在座的各位提高防骗的意识。

  我给大家罗列一些安全事件:有一家公司泄漏了2300万的用户数据;二月份有一个大酒店泄漏了开房数据,所以说大家在这方面需要注意。4月份,有几个省出现安全管理漏洞,一些社保信息被泄漏;5月份有人寿的10万个保单信息泄漏;还有8、9月武汉和内蒙的学生,他们的信息被泄漏;10月19号网易的过亿用户信息被泄漏; 2015年的12月6号微软联合FBI打击网络犯罪;12月7号FBI强制维护企业的用户隐私,12月8号的时候咱们国家一些民间行为,攻击了美国的OPM(美国总统办公室),这是已经公开的;12月9号FBI主动承认在他的调查工作当中使用了“零日漏洞”;12月10号美国的前官员利用黑客技术窃取个人隐私被免职。

  通过以上的例子,大家可以看到几乎每天都在发生很严重的安全事件,我只列了一少部分。12月29号美国1.9亿的选民数据被泄漏,所以说像这些事件可能每一天都在发生。

  我罗列这些事件是想说明网络安全的加强的确已经到了刻不容缓的地步,这一点在各大会议还有各大论坛当中都被一次又一次地提及。我们国家针对这样的情况,像刚才司总监说的, 2015年7月出台了《网络安全法草案》,另外《刑法修正案》当中加入了对非法获取公民的个人信息罪,明确了对网络恐怖主义刑罚,在立法方面在逐步地健全。

  在等级保护制度方面,国家在网信办会议当中明确地提出了将进一步加大等级保护的监督检查制度落实的力度,将它提升为一个例行考核的一项制度。

  在未来的网络安全形势当中呈现出了几大趋势我想给大家分享一下。

  网络的军备竞赛。2009年美国就成立了网络司令部,网络的军备竞赛将是未来的趋势,这里有两个例子:

  例子一:某一年某国的航空指挥系统、民航指挥系统出现了一小点故障,所有的飞机都滞留机场(就因为一个小小的配置错误)。

  例子二:还有大规模的APT攻击、持续性攻击,它是有组织地对某一特定的对象、某一特定的人,一天24小时用尽各种手段进行攻击。主要是以获取商业情报还有军事情报为目的。

  在保密领域有这样一个警示教育,一个军人在某重要机关,他网络聊天时在偶然的情况下,跟他的网友视频当中穿着军装暴露了他的军人身份,在此以后他们不断地进行联系。有一次对方的一个女网友对他说,我对中国的风土人情非常感兴趣,你能不能给我提供一些这方面的图片。他就在网上找了傣族泼水节的图片发给她,之后对方网友马上10万美元直接打过来,他觉得这个钱挣得太容易了,刚开始他心理非常恐慌又给人家退回去了5万美元。第二次对方又让他干同样的事情,再后来她逐步地说,你能不能再给我拿一些军营文化的,你们有没有什么活动的图片。到最后他又给了一些,慢慢地他说你能不能给我拿一些你们的文件,直到他拿到一个非常秘密的文件,在他发出去的时候被军方给截获了。被逮捕以后这个军人家是农村的,他的母亲到看守所来看他的时候,只给他们15分钟的会见时间,会见时间之后就会审判注射死刑而且是立即执行。

  所以说并不能由于我们的疏忽就可以去违反。我在很多的地方也讲过课,我想把这个理念传递给大家,这样的案例是很多的。

  我再给大家看一下PPT, 2011年的5万个境外木马,控制了咱们网络的服务器,源头主要是来自于美国,还有美国的八大金刚。我们集成类、核心类的东西,比如这座大楼用的交换机可能都是某国外交换机厂商的(包括使用的防病毒设备都是国外的),国外厂商在华项目的比例已经达到了很高的比例。鼓励大家尽量地用咱们的民族品牌。

  安全意识是很重要的,比如说在前几年有一个人去另外一个单位问他们安没安装防火墙,当时的一个领导说,我们都是按照建筑标准建的。他根本就不知道防火墙是什么,他以为是建筑里建防火的墙。

  这个数据比较早了,也是一个国外的厂商对网络攻击事件的监测。这个是卡巴斯基对全球动态的监测图。我们个人认为网络安全现在已经由被动防御到主动防御,然后再到域外控制。像兵法当中说不战而屈人之兵,一个大将不在于你打了多少胜仗,而是在于你不动一兵一卒可以御敌于千里之外,可以不动一兵一卒把所有的城池取下,这是我的理解。当然我们现在还是主动防御阶段,我想如果咱们以后能做到域外控制的话,还需要很长的路要走,必须建立咱们自己网络安全防御体系。充分发挥我们自己的优势,扬长避短,建立中国特色的网络安全防御体系。

  我们刚才说到了网络军备竞赛,还有某国对我们网络安全的威胁,以及敌对势力和黑客组织。然后还有包括智能家居和新应用带来的威胁,包括咱们的智能汽车这一块儿。我们国家领导人的汽车现在都换成了红旗H7,原来的标配是XxA6车辆。国家一个机构做过一个测评,结果是人在车上的轨迹,而且包括你在车内的声音,谈的哪些事情都可以听到。所以说要推行咱们国产的,基本上都是红旗H7。

  在世界各国也都把网络安全提升到一个重要的战略部署方面。我个人理解,为什么要开第一届互联网大会,第二届互联网大会,提高咱们国家在网络安全领域的话语权,构建国际网络安全的新秩序,网络安全治理领域,咱们需要积极营造一个对我们有利的国际环境,网络是继陆、海、空、天的第五大空间,一个无形的战场。

  习主席在9月访美时在美国华盛顿州西雅图市出席欢迎宴会特别强调,互联网作为20世纪最伟大的发明之一,这块“新疆域”不是“法外之地”,同样要讲法治,同样要维护国家主权、安全、发展利益。在昨日的欢迎宴会上,习近平主席再次重申了对于维护网络安全的立场。他说,中国是网络安全的坚定维护者。中国是黑客攻击的受害国。中国政府不会以任何形式参与、鼓励或支持企业从事窃取商业秘密行为。

  双方来共同打击网络犯罪,而且已经把网络安全提高到与核安全一样的地位。

  这个图上大家可以看到,包括美国、加拿大、日本,他们在这方面是怎么做部署的。习主席参加巴西会议,提到了信息主权不容侵犯。9月份访美的时候说了来共同打击网络犯罪,建立有效的对话机制。

  我们一起看一看几个新的制度,像网络安全审查机制,它的标准核心是,你只要危害国家安全,我可以立刻对它进行禁用。比如带有严重漏洞和后门的产品,国家的主管部门。严格禁止这批产品在中国境内进行销售,以这种直接强制的手段来维护咱们的国家安全,网络安全审查机制在积极推进,来制订相关的标准。另外一方面网络安全审查机制还有一个重要的原因培育和扶植咱们国家的信息安全民族品牌,来应对国际上的不正当竞争和压制。比如说华为进入美国也受到各种各样的限制,其实他是没有法律条款来做约束的,所以我们的网络安全审查机制需要对国外的厂商进行审查和约束,只要威胁到国家安全就马上全面禁用。中国工程院院士倪光南说,在保障安全的同时,网络安全审查制度提高了外企入华门槛,也将成为我国遭遇不公平贸易待遇时的反制裁武器。

  我们可以看到有很多的杀毒软件产品,在杀毒辨别过程中有的是基于行为的,有是基于特征的。黑客完全可以做一个符合杀毒软件合法规则的病毒程序来运行,这完全是可能的。如果完全符合它的行为、编码规则之后,病毒是可以完全绕开杀毒软件的查杀的,需要考虑到这一点。

  信息安全等级保护制度大家应该知道了,对信息系统分等级进行保护,《中央网络安全和信息化领导小组2015年工作要点》中,要求“落实国家信息安全等级保护制度”。

  根据《网络安全法草案》,在发生了重大突发事件时候,可以进行临时断网,这是一个显著特点。《刑法修正案(九)草案》二审稿第二十八条就提供网络技术支持或帮助的行为进行了规定:“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”

  今天时间有限,讲到的不是很多,只是起一个抛砖引玉的作用,后面的内容会更加精彩。

  提问:现在微信、支付宝应用得非常多,对于普通的人来说,怎么知道行为有没有危险。

  徐晓军:像微信的话:

  判断一:如果你的手机在莫名的情况下去变慢;

  判断二:在莫名的情况下给你定制了很多你根本就不知道的东西的话,

  判断三:你要选用比较好的厂商的底层权限管理软件;

  判断四:用苹果的话不要越狱。

  判断五:用华为就不要Root,这样它就可以把病毒的权限也限制到很合理的范围内,只让他收集到最小的权限。

  判断六:另外你要找一款软件可以随时监控你的手机的每一个进程。我的手机中的毒比你还多呢,所以说这是一个你平时注意的过程,只要你有这个意识。

  判断七:不点莫名的链接,有可能对方采用社会工程学。比如说你是做商务,我给你发一个短信今天我已经知道了你在跟谁谈合同,我就直接给你发请查收合同文本,其实那就是我的窃听软件,你一点马上就得到了你的信息,你还不知道呢。

  判断八:你的图象、照片不要放在上面,有可能别人可以替换你,改成你的名字、你的头像和你进行聊天,这个就牵扯到个人信息泄漏的问题了。个人信息泄漏刚才《刑法修正案》也明确规定了非法获取个人信息罪。

  判断九:另外一方面大家注意保护好个人的信息,不要把信息随意地留给别人(包括身份证号),主要还是人的防范。

  提问:我是已经中招的,去年年底手机被截获,三张银行卡、信用卡都被盗刷,在这中间的过程当中我给移动打过电话,没有办法在短时间内解决这个问题。我是眼睁睁看着自己的钱被划走的,之后也做了处理,所有的密码和信息大概在半个小时之内被破解,因为我大概所有的信息都是用的一个密码。

  还好虽然受了损失,买个教训吧,但是我觉得这个太可怕了,因为自己从事的工作也是有很多的高端人脉和熟悉的人群,我觉得这个没有损失对我还是比较庆幸的,我是担心之后如果有这种东西,它实际上是对我身份的冒用。包括我们最近有一个群,应该是冯军在里面说了一句话,有很多人置疑这是不是冯军。

  所以说在网络时代,怎么解决安全性和信任性的问题,出了这个问题以后,最大的财富是你的信用还在,当你受到损失的时候,你可以打一个电话告诉我你是谁,我遇到这样的问题,我现在管你借钱是我本人。

  徐晓军:像这种情况下,比如说遇到问你来借钱,无论他说他是什么公安局的也好,包括禁毒大队的也好(当然中奖的就很多了)。所以像这种情况的话,你要第一时间以你能够确认的方式来确认(比如说打电话),而且另外一方面你只能说在你处理不了的情况之下,你如果认为有必要的话可以报警,有警察会对你的这个事件进行一个持续的跟踪。

  做个体的老板会遇到一些骚扰电话,他不停递给你打,正常的业务电话根本打不进来,像这种方法有一个很小的窍门,你把你的手机设成自动接听,你用不了几天他就不打了。因为他们每接听一个要扣费的,你刚才说的像微信的这一块儿。

  另外一方面不要轻易地去加任何的陌生人进入你的朋友圈,而且也不要公布你的行踪,比如说你去海南了,你一晒照片,他知道你家里没人了,这时候就给了他可以冒充你的机会。这一块儿也要注意。

  另外一方面尽量地有什么事情你可以直接打电话,留下一些明显的特征,我就可以判断出他肯定是骗人的嘛,所以说像这种情况下只要稍微注意一点,肯定就没问题了,而且也不要把自己的信息全部暴露在朋友圈当中。

  提问:您说到非常专业的建议是针对个人的,我们本身是做支付的,我知道所有的现在国内跟支付相关的安全性问题,基本上都是来自于电信欺诈。我想知道您提到的不管是分级制度还是公安部现在采取的措施,还有网络安全的网警,还有您说到的刑法,我想知道从个人角度防范,我个人觉得是非常难的,他的手段永远比你的防范意识更前,因为他一辈子琢磨的就是这个事儿,你每天处理的事情是很多的。

  我就想知道从伪基站的角度来说,公安部或者国家在从政策、执行层面怎么去管这些电信欺诈?您刚才提到的案例(包括在场所有的人案例)都是从电信欺诈开始的,短信也好、侦测电话也好、泄漏信息也好,这个如果说能像抓海天盛筵那样的案例,为什么电信欺诈没有办法防范。

  徐晓军:你提这个问题太尖锐了,因为我这个级别目前来说还不是太能回答你,但是我可以谈谈我个人的一些看法。

  你刚才说得很对,电信欺诈这一领域,公安部以及移动还有工信部,他们也在联合打击这方面的事情,取得了一些显著成果。我有一个朋友专门打击电信诈骗的,抓到犯人的时候问他为什么要这样做,他回答了一句话说,其他的他也干不了,只能干这个。另外有些问题需要在发展中去解决的问题。比如技术的瓶颈。在网络上你想全面布防是很难的。而且它是一个道高一尺、魔高一丈的过程。

  还有使用指纹贴,有的时候可以以假乱真,有些问题有待未来的发展才能解决这个问题,或者说如果有一些机会的话,我到了那个位置肯定把这个问题给解决了,好不好?

  (本文根据现场内容整理,有所删节)