今年以来,全球发生了多起网络攻击导致关键信息基础设施瘫痪的案例。随着2017中国互联网安全大会(ISC)开幕在即,网络安全和关键信息基础设施安全保护再次成为网络热词。
多位安全专家指出,网络安全行业的本质就是人与人之间的攻防对抗,网络安全人才培养也被多国纳入国家战略。作为拥有7亿多网民的网络大国,中国网络安全人才的储备却捉襟见肘。数据显示,我国网络安全人才缺口已近百万。加强网络安全人才培养刻不容缓。
关键信息基础设施保护迫在眉睫
自“永恒之蓝”勒索病毒在今年5月肆虐全球150多个国家后,网络攻击对关键信息基础设施的潜在危害一直在不断上升。
仅7月份就发生了多起潜在攻击:7月23日,有英国机构发布警告称,一部分工业控制系统工程技术与服务机构很有可能面临着新一轮潜在网络攻击;7月18日,英国媒体报道称,黑客已攻击爱尔兰能源网络,并可能加剧对关键信息基础设施的网络攻击;7月9日,美国国土安全部官员证实,持续的黑客活动正在瞄准核能源行业,多个核电站被入侵。
ISC联席主席、360企业安全集团董事长齐向东表示,以“永恒之蓝”勒索病毒事件为标志,网络攻击已经从过去的“弱感知”变成了“强感知”,而网络攻击者对关键基础设施的破坏,让大部分人从“围观者”被迫成为“受害者”。
“网络战不费一枪一炮,就能够达到以往传统战争破坏社会、政治、经济正常秩序等系列目的,勒索病毒攻击就是这样的形式。”齐向东表示,网络空间已经成为新型战场,未来网络攻击引发的社会混乱将成为常态。
齐向东对记者分析,通过对比今年5月和6月爆发的两次勒索病毒事件可以发现,现在网络攻击者不再单纯地以盈利为目的,而是以扰乱社会稳定为目标。在勒索病毒变种袭击全球的过程中,大量受影响的设备都属于关键信息基础设施,遍布金融、能源、通信等各个行业,危害性极大。
联合国国际电信联盟(ITU)发布的最新报告指出,网络互联程度表明,任何信息都可能会被暴露,从国家关键信息基础设施到基本人权的一切都可能受到损害。因此,政府应在网络安全领域投入更多精力,考虑将网络安全纳入国家政策,并鼓励公民做出明智决策。
安全本质是人与人的攻防对抗
勒索病毒事件让人们认识到,软件和硬件的漏洞无法避免,再强大的网络防护体系都有可能被攻破。那么,面对不知名的黑客和勒索方式,我们已经束手无策了吗?
对此,齐向东认为,一个防不住的网络乃至于被攻破的网络不代表它就不安全,关键在于技术和设备的防护加上人工应急响应。
“比如5月12日的晚上发现WannaCry勒索病毒之后,政府部门、国企和其他大型企业都及时启动了应急响应,360也出动了3000多人给1700多家单位提供了直接支持。”齐向东告诉记者,这次处理勒索病毒的经验表明,安全人才将在网络攻防战中发挥越来越重要的作用。
齐向东表示,“国家、社会、企业归根结底都是由人构成,安全行业的本质就是人与人之间的攻防对抗。”他预言,未来网络安全行业将成为高智力人才密集型行业,技术和设备的防护,加上网络安全人才的人海战术将让网络更加安全。
ISC大会秘书长、360企业安全集团副总裁韩笑也认为,如果有足够多的安全人员正确有效地运维网络安全产品,那么就能在一定程度上有效防御网络攻击。不过,目前国内很多企业机构虽然购买了很多安全产品,但大部分都严重缺乏有效的运维管理,安全措施形同虚设。
“未来,企业机构有必要建立自己的安全研究团队。”360企业安全研究院首席研究员裴智勇告诉记者,虽然这些团队不能代替安全厂商的专家,但他们完全有能力对自身企业的安全形势做出正确的预判,对安全厂商提出的安全建议进行有效的甄别和深入的理解,这对防御网络攻击具有重大的意义。
加强网络安全人才培养刻不容缓
联合国国际电信联盟(ITU)发布的《2017年全球网络安全指数》调查报告显示,193个国家中,中国的网络安全指数排名第32,无缘前30。
作为一个拥有7亿多网民的网络大国,中国是全球互联网用户规模最大的国家,网络安全一旦出现问题,造成的危害难以想象,因此加强网络安全人才培养刻不容缓。
纵观世界各国的网络安全战略,网络安全人才培养已经成为不可或缺的一部分。比如美国早在2003年就将网络安全教育计划写入了《保护网络安全国家战略》中;2012年,美国发布《网络安全教育战略计划》,明确提出扩充网络安全人才储备、培养网络安全专业队伍;今年7月,美国国家安全局计划拨出550万美元,用于培养下一代联邦网络安全工作者。而英国也在2009年发布的《网络安全战略》中明确提出,要鼓励建立网络安全专业人才队伍;2016年,英国政府出资2000万英镑,推出新“网络校园项目”,为青少年提供网络安全培训,储备专业网络安全人才。
相比之下,中国的网络安全人才培养战略起步较晚。
2016年12月,国家互联网信息办公室发布的《国家网络空间安全战略》明确提出,要“实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区”;今年6月1日正式实施的网络安全法也明确提到,“国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。”
多位安全专家表示,在政策和法律的指引下,未来会有越来越多的资源投入到网络安全人才的培养和团队的建设中,可以预见,填补上网络安全人才的缺口已为时不远。(侯云龙)
相关链接:
网络安全法、加强网络信息保护决定执法检查启动
·凡注明来源为“海口网”的所有文字、图片、音视频、美术设计等作品,版权均属海口网所有。未经本网书面授权,不得进行一切形式的下载、转载或建立镜像。
·凡注明为其它来源的信息,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
网络内容从业人员违法违规行为举报邮箱:jb66822333@126.com