网络信息安全 一场没有硝烟的战争
5月27日18时,支付宝宕机超过90分钟,最终公布的原因是“光纤被挖断”。携程于次日上午11时出现相同的情况,宕机持续12小时,网站直至当晚11时才全面恢复正常,而携程官方公布的事故原因是“员工错误操作”。
类似的事件不仅发生在中国,美国人事管理局当地时间6月4日称其人事档案数据库遭黑客攻击,约400万现任或离任政府雇员的个人信息“可能已经外泄”……随着信息安全事件呈现逐年递增的趋势,人们越来越关注网络信息安全问题。第二届国家网络安全宣传周科技日6日在中华世纪坛开锣,科技部高新司信息处调研员刘艳表示:“这一届国家网络安全宣传周是推动社会共同维护网络安全的实际行动,希望以此来增强网络安全意识,普及网络安全知识,提高网络安全技能。”
“层出不穷的信息安全事件让国家高度重视起信息安全的整体发展,所以就有了此次安全宣传周这样的活动。”拥有近20年信息技术管理、咨询和审计工作经验的毕马威(中国)企业咨询有限公司高级工程师蒋辉柏在科技日的网络安全知识大讲堂上说。
蒋辉柏还分享了这样一个真实的案例:“2010年的黑帽大会,这是全球黑客界以及网络安全界比较好的盛会。当时一个安全研究的人员,远程操控会场上的ATM机,让它远程吐钞,有一些钞票从ATM里面出来。你通过信息安全的攻击,完全可以掌控ATM机,当然技术层面会非常困难,但是从可能性上面来看,它是可能的。”
据蒋辉柏介绍,在一个叫做Wooyun的网站上还可以看到许多类似的网络信息安全事件。“产生这些信息安全事件的原因有很多,比如攻击者进行人为攻击,对于这种攻击除非专业的信息安全人士,不然很难防范;另外一种是系统故障。任何一个系统都是人生产的,包括我们的硬件系统和软件系统都会产生系统的故障,因此系统故障会产生信息安全事件。”蒋辉柏说,“第三种是操作失误导致的信息安全事件。”
“从攻击者黑客的攻击手段进行分析,他应用的手段大致有几种:有一种就是信息收集,这种不是直接的手段,它是后续攻击手段的基础。进行攻击的时候,会通过信息收集来看你这个网站有什么样的内容,有没有比较敏感的信息,能不能通过这个网站窥探信息系统内部的结构。”蒋辉柏说,“另外一种是暴力破解的手段,现在有很多这样的工具,破解各种各样的密码。”对于这样的攻击,他建议大家在使用系统或网络的时候要设置“强壮”一点的密码。“要不然现在有很多专业工具可以对密码破解,如果密码不‘强壮’一点,很容易被人家破解。”
“第三种是利用协议的缺陷来达成攻击的目的,事实上这种网络攻击也十分普遍。比如某个网站上有一些链接,你一点进去就会让对方到数据库里取数据,消耗服务器的资源就会很大;还有的链接一点,就有可能在缓存或某个文件夹里面把数据取出来。”蒋辉柏坦言,“目前,一些协议的缺陷我们还没有办法自己防范。”
中国工程院院士倪光南在接受科技日报记者专访时表示:“随着互联网+的兴起,经济生活的方方面面都与网络结合的越来越紧密。网络已经渗透到老百姓日常生活的方方面面,因此大家要有保护好自己的网络信息以及隐私的意识。”
对于网络信息安全,倪光南强调,“不仅个人要防范,企业也要防范,国家更要防范”。他表示,我国保障网络信息安全的能力在不断提升,未来,关键的核心技术、重要的装备,要逐步从依赖国外到自主创新。“毕竟使用别人的硬件和设备很难保障我们的信息安全,其中有可能有‘后门’和‘漏洞’。”他说,“通过‘后门’,对方可以窃取我们的信息;即便没有后门,如果我们没有掌握核心装备,依然有可能被他人利用‘漏洞’攻击、进行控制。”
“经过近年来的发展,我国的综合国力有所增强,科技人才资源总量也居世界前列;除此之外,快速的发展也为网络服务提供了广阔的市场前景。这些都是我们逐步健全网络信息安全体系的优势。”倪光南说。
北京工商大学计算机与信息工程学院的研一学生左强特地来到宣传周的现场,听过网络安全知识大讲堂后他告诉记者:“我觉得网络受到攻击的这类事件离我们非常近,对我们的影响也非常直接,比如聊天工具就有可能被盗号,还有可能遭遇网络诈骗等。”
“我现在的研究方向是大数据安全,因此对影响大数据安全的主要因素十分感兴趣,类似的讲座给我带来很大帮助。”左强说,“即便不是为了补充自己的专业知识,作为普通的网民或者说公民,我感觉像这种帮助我们加强网络信息安全意识的活动也十分有意义。”
(科技日报北京6月6日电)