时间:2023-09-25 18:00:14
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全演讲,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
有人说过,“谁掌握领了信息,控制了网络,谁将拥有整个世界。”这句话不完全对啊。不过这点在股市里体现的挺好。从此可见掌握网络是何等的重要,网络安全的重要性也从中体现出来。下面是小编为大家整理了中学生网络安全教育的演讲稿,欢迎大家阅读。
中学生网络安全教育演讲稿一
同学们,上网就像步入社会,你可以在这个虚拟的空间里,学到有益自己身心健康成长的东西,学到课本里没有学不到的东西,在这里你可以得到世界上成千上万的网友的帮助。但在这里也可能受到一些内容不健康的网站的影响,思想受到的侵害,也有可能做出犯法的事。为此,请大家熟记以下上网安全守则:
1、没有经过父母同意,不要把自己及父母家人的真实信息,如姓名、住址、学校、电话号码和相片等,在网上告诉其他人。
2、如果看到不文明的信息或图片,应立即告知父母。
3、进入聊天室前要告知父母。必要时由父母确认该聊天室是否适合学生使用。不要在各个聊天室之间“串门”。在聊天室中,如果发现有人发表不正确的言论,应立即离开,自己也不要在聊天室散布没有根据或不负责任的言论。
4、不要在聊天室或BBS上散布对别人有攻击性的言论,也不要传播或转贴他人的违反中小学生行为规范甚至触犯法律的内容。
5、尽可能不要在网上论坛,网上公告栏、聊天室上公布自己的E-MAIL地址。如果有多个E-MAIL信箱,要尽可能设置不同的密码。
6、未经父母同意,不和任何网上认识的人见面。如果确定要与网友见面,必须在父母的同意和护送下,或与可信任的同学、朋友一起在公共场所进行。
7、如果收到垃圾邮件(不明来历的邮件),应立即删除。包括主题为问候、发奖一类的邮件。若有疑问,立刻请教父母、老师如何处理。
8、如遇到网上有人伤害自己,应及时告诉父母或老师。
9、根据与父母的约定,适当控制上网时间,一般每次不要超过1小时,每天不超过3小时。
上网要注意安全,如果不加防范,网络的危害并不小,以下几方面应当引起同学们的足够重视。
一、网上娱乐谨防过度。
二、网上交友谨防受骗。
三、对网上内容要有取舍,自动远离不良信息的网站。
四、网上逗留谨防“毒黑”。也就是要防范病毒侵扰和黑客攻击,不要随便下载不知名网站的程序和附件。
最后,我们一起来学习《全国青少年网络文明公约》:
要善于网上学习不浏览不良信息
要诚实友好交流不侮辱欺诈他人
要增强自护意识不随意约会网友
要维护网络安全不破坏网络秩序
要有益身心健康不沉溺虚拟时空
中学生网络安全教育演讲稿二
尊敬的各位老师们,亲爱的同学们:
大家早上好,今天我国旗下讲话的题目是--“中学生网络安全教育”。
现在全世界通用信息技术,网络的出现正在潜移默化地改变着青少年的生活方式,影响着他们的人生观、价值观与社会观。网络是丰富多彩的,既有健康积极的,又有腐败消极的。网络是载体,本身无对错,学好学坏,取决于主观选择。我们应该正确地把握网络带给我们的利与弊,这有利于我们合理地运用网络。
中学生上网有以下好处:
1、可以开阔视野;
2、加强对外交流;
3、促进中学生个性化发展;
4、拓展当今中学生受教育的空间。
同时也存在以下弊端:
1、网络信息的丰富性易对中学生造成“信息污染”;
2、网络信息传播的任意性容易弱化中学生的道德意识;
3、网络的诱惑性造成中学生“网络上瘾”、“网络孤独”等症状。
通过我们调查分析,大多数学生都不懂得如何正确对待网络问题,不懂网络的利与弊,有一半的中学生上网是为了聊天,大多数的学生都有自己的网友,他们把上网聊天看作是有趣的事情,许多同学认为通过上网聊天可以认识很多陌生朋友,可以互相交谈,互相帮助,互相倾诉,十分方便地与认识或者不认识的人进行联系和交流,讨论共同感兴趣的话题。仅仅小部分同学能够充分利用网络资源为自己的学习提供帮助,也可以随意获得自己的需求,在网上浏览世界,了解世界最新的新闻信息,科技动态,极大地开阔了中学生的视野,给学习、生活带来了巨大的便利和乐趣。
作为中学生自身要遵守网络道德规范,养成良好的上网习惯。不要沉浸于网上聊天、游戏等虚拟世界,不浏览制作、转播不健康信息,不使用侮辱、谩骂语言聊天,不轻易和不曾相识的网友约会,尽量看一些和自己的日常学习生活有益的信息,并且一定要注意保持自制力。要在感性与理性认识相结合中学会五个拒绝:一是拒绝不健康心理的形成;二是拒绝网络侵害;三是拒绝不良癖好、不良行为;四是拒绝黄、暴力的毒害;五是拒绝进入未成年人不应该进入的网吧。总之,中学生要自觉遵守互联网道德规范,自觉抵制不良网络信息的侵蚀。
中学生网络安全教育演讲稿三
尊敬的老师、亲爱的同学们:
大家好!
我演讲的题目是“网络安全,重于泰山”生命是尘世间最美的事物,它如同明镜里的鲜花一样动人却易凋零,宛若清水中的明月一般皎洁却易破碎。生命的灿烂光辉与支离破碎仅有一步之遥,这更进一步说明生命需要我们倍加的珍惜与呵护,注意安全则显得至关重要。
现在,随着科学技术的不多发展,互联网这一新生事物也就应运而生。但它在带给人类方便、丰富人类生活的同时,也带给人类无尽的烦恼。特别是青少年嗜网成瘾的问题,已引起社会的高度重视。多少青少年因迷恋网络而荒废学业,甚至夜不归宿,更有甚者因过度劳累而猝死网吧?它不仅影响了许多学生的健康成长,也给无数的家庭带来痛苦,更影响了社会的安定。网络是一把双刃剑,我们应该注重网络安全,珍惜青春年华,远离网络危害。
网络的负面影响:对于青少年“三观”形成构成潜在威胁;网络改变了青少年在工作和生活中的人际关系及生活方式。上网是青少年容易形成一种以自我为中心的生存方式,集体意识淡薄,个人主义思潮泛滥。这种垃圾将弱化青少年思想道德意识,污染青少年心灵,误导青少年行为。网络的隐蔽性,导致青少年不道德行为和违法犯罪行为增多。另外,有关网络的法律制度不健全也给青少年违法犯罪以可乘之机。其实,我们要树立的生命安全意识并非只是网络安全,还有防拐防骗等安全。他们无一不是在提醒我们:珍爱生命,安全第一。对于关爱生命,不能只成为空泛的辞藻。难道只有失去之后才会醒悟?我们今后该怎么做,不是更应该令人深思吗?
《钢铁是怎应炼成的》的作者奥斯特洛夫斯基曾经说过:“人生最宝贵的东西是生命,生命属于我们只有一次?”同学们,让我们携起手来,树立安全意识,珍爱自己的生命珍爱他人的生命,使我们的身心健康成长,使我们的生活充满欢笑,使我们的生校园充满生机,使我们的未来充满希望!
万物互联给人们带来便捷的同时,也隐藏着巨大风险。云服务器碎片化了“存储部落”,移动互联拓宽了“数据通路”,二者使得虚拟世界的“点线”模式融合扩展成了“面”,边界消失之快始料未及,窃密风险如影随形,保障网络安全、加强网络空间治理工作亟待推进。
前所未有的挑战
在保密技术交流大会的公众体验区,有一面“绵羊墙”。工作人员解释说,网民在黑客面前就像一只只白绵羊,扫描一个二维码、打开一个中奖链接,他们的IP地址、终端系统乃至用户名和密码就展示在黑客的“绵羊墙”上。
在日常工作中,窃密风险更是防不胜防:使用无线键盘输入一次信息、用打印机打印一份资料、用U盘存储一份文件,我们就有可能落入木马芯片的陷阱。
正如大唐电信科技产业集团首席科学家张知恒所说,很多网民的状态是“不知道自己不知道”,不知道自认为安全的上网过程是否处在安全环境当中。
中国海洋大学法学专业学生庄宇符在公众体验区向记者直言:“你在网上玩得正嗨的时候,永远不知道别人在做什么。”
公众体验区的模拟场面只是网络安全现状的缩影,复杂多变的网络环境正给网络安全保障带来前所未有的挑战。主动适应信息化发展要求,从观念、制度、管理和技术等方面改革创新,打造网络安全升级版成为形势所需。
自主创新出“重器”
面对层出不穷的网络安全威胁和复杂情况,大会510余家参展企业和单位纷纷“亮剑”,展示了前沿的炫酷新技术和网络安全新利器,引起公众围观。
参展企业的关键词是自主创新。针对黑客对政府网站漏洞的攻击,有企业展示了自主研发的基于大数据分析的生态感知平台,能够实时监测黑客攻击的相关信息,实现分钟级的响应和预警;针对进口芯片安全性无法保证的问题,有企业推出了安全增强的“中国芯”,并将其应用到了打印机、复印机等设备中。
此外,一次可销毁6块4T硬盘的办公型销毁设备、可以实现抗干扰和通信加密的安全手机、基于云计算需求推出的服务器虚拟化产品等信息安全产品也让人眼前一亮。
网络安全需综合施策
促进信息安全技术创新,加快科技成果转化,既是国家战略需要,也是网络空间治理的前沿热点。为保障网络安全、加强网络空间治理、打破传统态势,突破核心技术、找到关键抓手、加强协同合作是大势所趋。网络安全业内人士及专家在大会中纵论安全形势,提出综合治理建议。
技术是安全的保障,核心技术则是信息化保密的关键。国家保密局的负责同志指出,目前,我国的集成电路芯片等核心技术受制于人,信息产品、服务严重依赖于国外,外部威胁随之而来。要守住安全底线,就要抓紧突破关键核心技术,加快推进国产自主可控替代计划。
如何改变网络安全攻防战中易攻难守的态势?中国工程院院士邬江兴在演讲中介绍了拟态防御技术。他指出,网络空间易攻难守态势出现的原因在于存在着未知漏洞和后门。拟态防御技术利用拟态构架“内生”的主动防御机制,有望从根本上颠覆网络空间基于“后门工程和隐匿漏洞”的攻方优势。
“以前,老齐(奇虎360总裁齐向东)总说,在美国拉斯维加斯有很多安全大会,黑客都可以去演讲,中情局在里面挑选技术和人才。我觉得有钱了我也可以去拉斯维加斯开会,但国内很多信息安全专家还没有机会去,所以我有一个梦想,希望有一天,在中国能办一个属于我们自己的网络安全大会。在这个大会上,来自世界各地的专家可以互联沟通,我们也能秀出自己独特的网络安全技术。”9月23日,国家会议中心奇虎360董事长周鸿祎正在演讲。
这一天,在这里,他的梦想实现了。
由360主办的为期3天的2013中国互联网安全大会(以下简称“ISC”)吸引了来自全球的近百位网络安全领域专家、技术大拿、白帽黑客、分析师以及终端设备、互联网、移动互联的主流安全厂商。
“很难想象,这些人、这些公司在同一个平台,在中国一起出现。”来参会的李先生说。他目前就职于一家国内的网络安全公司任技术总监,“我是托了市场部同事,用折扣价买的票。我们想看看360怎么做安全,以及目前国际上新的安全防御技术。”
据知情人透露,为了吸引更多的安全领域厂商来到展会参展,交流经验,360对部分参展商免费提供展会服务与展位的。
而在大会第一天的主会场,与以往的低调着装脱稿“放炮”不同,周鸿祎穿着红T恤牛仔裤,端端正正打开了PPT。
“2006年,我就在想网络安全会变得比即时通信、搜索引擎、电子商务更加关键。”周鸿祎说。可是很遗憾,当他把这个想法和当时的很多互联网大佬们沟通之后,完全被鄙视了。“他们都看不上,觉得很屌丝。”
那时,网络安全市场还被大量的传统杀毒软件厂商占据,卡巴斯基、诺顿、赛门铁克、瑞星、金山……
很多80后都有这样的回忆,用PC下个七、八百兆的杀毒软件之后,几个人互递共享一个不知从哪个技术论坛扒下来的密钥、验证码,验证成功后还窃喜用上了正版软件。然而,这种“免费午餐”带来的后果就是电脑运行速度奇慢、病毒数据库无法更新,以及只能抵抗一般常规病毒的攻击。“一直以来很多人都问我什么事情最热门,我也不知道。但是,互联网安全是每个人都需要,既然这是一个每个人都需要的服务,我认为,他就应该是最有潜力且免费的。”周鸿祎说。
2006年,周鸿祎开始带着团队用野路子做起安全。期间,免不了受到很多业内同行的嘲笑与不满。因为不是科班出身,“他们说360不专业”,“因为免费,我开始被骂”。
的确,360所倡导的全民免费理念给了传统安全厂商沉重打击——这种打击在个人用户市场尤其明显;真正日子不好过的还是那些互联网安全的创业公司,“我们比360做安全还早,但是,几年下来却一直靠融资生存,没有赢利。”不久前,一家做移动端安全产品的创业企业相关负责人向记者诉苦。即便如此,大量传统安全软件厂商依然活了下来,他们正在积极研发云服务的安全防护、推行移动端的安全保障,并尝试着向广大普通用户提供免费服务。这在15年前是不可想象的。尽管如此,各种投资、天使基金还是不断涌向安全产业,期待从技术创新的角度找到更多的商业模式。他们同周鸿祎一样,坚信“安全,必将是虚拟世界的永恒话题。”
中科网威副总裁李源在会上发表了题为《中科神威安全平台・全面助力自主可控》的主旨演讲。
他指出,我国信息安全产品的发展,正逐步进入基于国产处理器研制硬件平台以实现全面自主可控的新阶段。安全可靠的信息安全产品,特别是基于国产处理器研制的自主可控安全产品的广泛应用,符合我国的国家利益,是大势所趋。
他强调,中科网威经过多年的潜心钻研,对国内具有领先水平的国产处理器进行了审慎科学地试用、测试和比较,最终成功研制出基于“申威”处理器的硬件安全平台。
首先,该处理器采用了自主指令集,对溢出式攻击和恶意代码有天然的免疫能力,能够使硬件平台的自身安全高度自主可控,而且,通过对国产神威睿思系统、内存访问机制、网卡驱动等相关环节的深度优化,在吞吐量、数据延迟、新建并发连接等性能指标上达到了千兆级别,完全可以替换同级别采用以Intel为代表的国外x86架构处理器硬件平台。再者,该硬件平台在核心芯片组上也全面采用了国产专用的I/O套片,使SATA控制器、网卡控制器、显示控制器、SSD控制器等关键部件实现了国产化,整机国产化率达到了85%以上。未来,中科网威将以此平台为基础,建立自主可控信息安全产品研发和服务体系,助力国家信息安全在自主可控方向上的全面发展。
李源还介绍,中科网威已经率先推出了基于这款自主可控硬件安全平台的信息安全产品――中科神威NSFW-6000千兆防火墙。该防火墙产品是国内率先推出的真正采用国产处理器的千兆防火墙,已相继取得《计算机信息系统安全专用产品销售许可证》、《中国国家信息安全产品认证证书》、《信息系统产品检测证书》、《军用信息安全产品认证证书》等国家权威认证,并在军队、军工和政府等核心要害部门得以实际应用,深受好评。
在会场外设置的展台前,中科网威的技术人员细心讲解了自主可控安全平台和中科神威防火墙的有关技术细节,并结合产品样机一边现场模拟演示,一边答疑解惑,先后吸引了数百人驻足观摩交流,引起了广泛的关注。
值得一提的是,在此次大会上,中科神威防火墙荣获了“2015年度中国信息安全自主可控优选品牌”。
回顾我国网络安全产品的发展历程,迄今为止很明显地经历了两个阶段。从上世纪90年代中期到世纪之交,随着我国成功接入互联网,面对大量的网络安全问题,却只能选择软件、硬件和操作系统都是进口的网络安全产品,甚至连操作界面都是英文的。这是“中国人使用外国人的子弹和外国人的枪来保护自己安全”的阶段,很难实现真正的网络安全。
从本世纪初开始到目前,我国在网络安全产品领域陆续推出了国产化软件和全中文的操作界面,但是核心的关键部件如硬件芯片依然是国外进口。这是“中国人使用中国人的子弹和外国人的枪来保护自己安全”的阶段。国内的网络安全形势有所好转,但是硬件芯片等高智能敏感核心部件依然存在被人利用进行网络破坏的可能,网络安全依然存在风险。“棱镜门”事件就是明显的例证。
为了更好地保障我国信息化建设发展和实现真正意义上的网络安全,我国网络安全产品的发展必然进入一个全新的阶段:应用国产软件和国产硬件芯片研发安全产品来实现我国网络安全高自主可控的阶段,也就是“中国人使用中国人的子弹和中国人的枪来保护自己安全”的阶段。这其中的核心在于国产硬件芯片即国产处理器的运用。
近年来,随着国家信息化建设的不断发展,针对层出不穷的网络安全问题而研发的安全产品越来越多,越来越有针对性。同时,为了极大程度地保证各级政府的网络信息安全,国家大力推广了以等级保护为指导思想的网络信息防护体系,提出了防护要求,规定了技术手段。在这种情况下,国内网络安全产品种类不断丰富,防火墙、病毒防护、密码产品、入侵检测、终端接入控制、网络隔离、安全审计、安全管理、备份恢复等产品的研发取得明显进展,产品功能逐步向集成化、系统化方向发展。其中,据2014年的数据表明,防火墙硬件成为中国IT安全硬件市场中较大的子市场,说明防火墙还是网络安全防御体系建设中极为重要的一环,预计到2016年的市场规模将达到150亿元左右。
在此之际,中科网威旗下基于申威处理器研发的系列网络安全产品的中科神威品牌应运而生!
中科网威从2011年开始,与国家并行计算机工程技术研究中心和国家高性能集成电路(上海)设计中心合作,借鉴近年来芯片技术的最新发展,采用申威处理器及申威I/O套片等国产自主可控芯片、国产睿思操作系统和基础软件系统,构成了完整的中科神威系列安全产品的基础架构,并在此架构上研发多种应用,最终形成完善的系列安全产品,于2014年4月首先成功推出了防火墙产品即中科神威防火墙NSFW-6000。
除此以外,公司在研的产品包括中科神威入侵检测系统、中科神威入侵防御系统、中科神威漏洞扫描系统、中科神威网闸、中科神威单向导入系统、中科神威安全审计等多款产品。
中科神威系列安全产品的规划是按照国家等级保护政策的技术规范中对网络安全防护提出的设备需求来确定的,每一种产品都会有相应的潜在市场。2014年10月,有关部门印发的《关于进一步加强军队信息安全工作的意见》中,就明确提出“把建立等级保护基本制度作为规范建设管理的务实抓手”。由此可见,国家未来将更加严格在各领域推行等级保护政策,而相对应的防护设备的需求一定是刚性的。
同时,无论是军队、军工,还是金融、能源等重要行业,网络信息化建设对国产化的要求也越来越高,尤其是安全产品的自身安全性越来越受到重视,对网络安全的自主可控越来越重视。某军工集团在明年的工作计划中已明确提出网络设备要实现30%的国产化率的任务目标,用三年的时间基本实现全网国产化,网络安全产品是重中之重。
信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点。信息安全系统,可以说是信息系统的免疫系统:如果免疫系统不健全,整个系统将是无能的,甚至有害的。网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题。如果信息安全问题解决不好,将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战、信息恐怖和高度经济金融风险的威胁之中。
信息保障在国外
世界各国信息安全领域的研究,已经从早期的通信保密到信息安全发展到目前的信息保障。
美国:1998年5月22日,美国政府颁发了《保护美国关键基础设施》总统令(PDD-63)。围绕“信息保障”成立了多个组织,其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。
1998年美国国家安全局(NSA)制定了《信息保障技术框架》(IATF),提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。
2000年1月,美国了《保卫美国的计算机空间——保护信息系统的国家计划》。该计划分析了美国关键基础设施所面临的威胁,确定了计划的目标和范围,制定出联邦政府关键基础设施保护计划(其中包括民用机构的基础设施保护方案和国防部基础设施保护计划)以及私营部门、州和地方政府的关键基础设施保障框架。
俄罗斯:1995年颁布了《联邦信息、信息化和信息保护法》,为提供高效益、高质量的信息保障创造条件,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。
1997年,俄罗斯出台的《俄罗斯国家安全构想》明确提出:“保障国家安全应把保障经济安全放在第一位”,而“信息安全又是经济安全的重中之重”。
2000年,普京总统批准了《国家信息安全学说》,明确了联邦信息安全建设的目的、任务、原则和主要内容。第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。
日本:已经制定了国家信息通信技术发展战略,强调“信息安全保障是日本综合安全保障体系的核心”,出台了《21世纪信息通信构想》和《信息通信产业技术战略》
我国的迫切性
党的十五届五中全会提出了大力推进国民经济和社会信息化的战略举措——“以信息化带动工业化,发挥后发优势,实现社会生产力的跨越式发展”。同时,要求强化信息网络安全保障体系。
目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。国防科技大学的一项研究表明,目前我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
当前的信息与网络安全研究,处于忙于封堵现有信息系统的安全漏洞阶段。要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。
如何强化保障体系
信息系统的信息保障技术层面可以分为应用环境、应用区域边界、网络和电信传输、安全管理中心以及密码管理中心。
“Power of opportUNITY”,
中文意思是机遇的力量,或者是联合的力量。无论是机遇的力量,还是联合的力量,都凸显了当前网络面R的安全问题。
一方面,随着各种事件的发酵(比如美国总统大选“邮件门”),网络安全逐渐被重视起来,安全产业也获得了发展的机遇;另一方面,在网络迅速发展的今天,全球信息安全产业只有联合起来,共享信息情报,才是应对危机的不二法门。
信息技术比如人工智能、物联网、云计算的行业应用逐渐推广,在带来机遇的同时也埋下了隐患。
物联网已经成为下一个重要趋势,RSA官方也把物联网安全作为2017年的10大关注热点之一。在RSA等组织的安排下,2016年安全领域的专家曾经就这一主题进行了交流,来自产学研的学者们一致认为,需要为物联网安全制订相关行为准则和规范,以防患于未然。
利用物联网的攻击已逐渐成为趋势,最为典型的就是2016年10月21日美国Dyn DDoS攻击事件,攻击者利用分散在互联网的电子数码设备,例如使用弱密码或者出厂默认密码的电子摄像头设备,组建分散的僵尸主机从而发起高达1.2Tbps的DDoS攻击。针对利用物联网发起的攻击,除了采用专业安全防护外,IoT设备相关的安全法规的颁布与实施也是防范要素之一。
人工智能也是RSA安全大会的重要看点之一。机器学习已经成为了趋势,如何驾驭和应用此技术也在不断演进中。人工智能技术可以应用在产品的自学习和自动化方面。一些企业在对攻击检测、识别和防护上都会应用到自学习功能,例如应用层DDoS防御以及WAF的白名单自学习功能等。
云端安全、数据保护、区块链、欺诈软件也都在本次峰会的议程中出现,这些都是当前需要面对的重要安全问题。同时,由于网络空间的争夺在国际上已经形成,对于网络和国家安全这样的话题,相信也会被一些政府组织关注。
针对上述安全问题作出应对之策,是当前国内外安全企业的重要任务。微软等企业在之前收购了一些安全公司,此次参加RSA大会必然也是有备而来。
困局形势
近几年中国移动互联网发展非常快,每天都有成千上万的APP出现,但实际上这些APP里面有很多不规范的、恶意的行为。
我们曾处理过这样一个APP的例子:它实际上是一个小的创业文档的APP,主要功能是分享一些文档,完全不需要用户的联系人信息。但是它却在用户不知情的情况下偷偷读取用户联系人信息并上传。虽然它有明显的越界行为,但由于当下法律依据不足,就无法对这个APP的制作者进行彻底打击。
第二个例子是去年6月份出现的斯诺登事件,在这个事件里让大家很震惊的是所谓的“金刚”配合美国的NSA所做的一系列监控工作。当我们谴责这种行为的同时,我们也想思考另外一个问题:在涉及到国家安全方面的问题时,美国的公司能够完全摒弃相互之间的利益之争,合作并携手应对国家的安全问题。反过来,我们是什么情况呢?我们这些年来在整个国家总体部署下,各个单位和各个部门自身网络安全的保障能力都在持续地、不断地提高,但真正发生这种大规模的网络安全事件时,实际上还是各干各的,相互之间没有任何的协作。
我们现在面临的问题是分而有余,合而不足,之所以出现越来越多的网络安全问题,当然目前我国在网络安全方面的法律体系本身是不健全的。但更重要的是,我国在整个网络安全保障体系上能力不足,没有一个有效整体的防御体系和规划。网络安全体系保障的困局导致了我们在互联网安全方面治理的困难。
今年上半年我们监测发现,我国移动互联网在恶意程序方面,光今年上半年就新增了36.7万,和去年同期相比增长了13%。在这里我们发现移动恶意程序的趋利性越发明显,传播渠道非常广泛,防不胜防。甚至我们发现有一个单个域名所包含的恶意程序最多达到了1700多个。这种恶意程序的改主机的规模是非常大的,今年境内感染木马僵尸网络的主机就达到了262万台。
此外涉及到重要单位的漏洞事件越来越多,而且漏洞出现了以后,不仅每天有增量出现,存量也在不断往前走。像OpenSSL已经引起了全世界最大程度的重视,实际上一直到现在,还有16%没有修补。新的风险出现,但是原来的风险始终修补不了,这带给我们的风险压力和威胁就会变得越来越大。
差距现状
也就是说,目前我们面临着很大的类似于保障体系不足的问题。跟世界各国发达国家相比,我们在网络安全保障方面有哪些差距呢?
事实上,差距还是很大的。首先是从技术的角度来说,去年有两件轰动世界的事都与中国有关:一个是在去年2月份的时候,美国了一个所谓的APT的分析报告,第二个就是在6月份的时候斯诺登的棱镜事件。从棱镜事件中我们可以看到,美国在面临网络安全问题的时候能够有效协调安全厂商、技术机构、媒体形成常态化优势,而我们在技术标准、监管机制和产业联合引导方面仍旧不足,特别是在产业方面,国内很多安全厂商都希望做大而全的完整的产品线,大家更多是追求商业模式上的创新,在相关的技术方面的投入是非常少的。这样使得厂商都聚焦在一个有限的市场上,拼命想分蛋糕,而不是想怎么把蛋糕做大。同质竞争导致厂商盈利能力越来越差,整个技术创新能力始终提高幅度比较有限。
反过来,美国安全产业总体格局非常完善,在最底层它有非常强大的,全世界都要使用的基础的信息巨头,在上面有一系列网络安全的产业聚集和一系列的专业安全厂商,同时针对相应的政府的部门,它有一系列的专业技术企业,整个这一系列的企业最后构成了一个非常完整的网络安全的产业格局。这种体系格局自然而然对提高它的整体网络安全能力就变得非常重要。
从网络安全产业在IT领域的投入来看,中国只有1%的比例,而国外发达国家则远超该比例,一般有9%左右。而我国的安全人才储备也远远不足,本来已经很稀缺的一些高精尖的人才,还由于国内网络安全产业发展空间不足而流失国外。此外,一些人才也转而进入了游戏、移动互联网等应用领域,更令人痛心的是一些人还进入了黑色产业。
工作思路
要想解决整个国家网络安全保障体系能力提升的问题,最重要的一点就是要强调合作。
这些年我们一直尝试着和国内相关的安全企业、用户部门以及信息系统单位和政府部门合作。通过这种合作体系我们发现如果有了一个很广泛的合作体系,那么一旦出现大规模安全事件时,实际上就有一个很畅通的渠道,能够很容易或者相对迅速地把安全问题解决掉。
这些年来我们觉得面对安全问题的时候,一个非常重要的问题是存在着漏洞,如果我们能够预先知道漏洞,在这个漏洞整个被利用前能够找到和把它修补起来,自然而然网络安全的保障能力就会有一个很大的提升。对于一个整体的漏洞防御体系来说,有一个好的报告平台非常重要。
我们在2010年成立了一个CNVD国家信息漏洞安全平台,在这个平台中有国内2000多个白帽子群体加入进来,基于这个平台每天都能处置50到100起漏洞事件,建立了和多个厂家的合作渠道,能够开展持续有效的监督。
互联网这些年得到了蓬勃发展,它是大家一起出于共同的目的和共同的利益,在共同规则的基础上一起自愿参与和自主驱动,最后实现了目前这个大规模的互联网。我们的网络安全也可以按照这种发展体系,大家一起自主自愿自由的来驱动整个网络安全体系,以一种联盟的形式,携手共建保障我国网络安全自增长体系。
打造自增长技术体系 在技术的环节上,通过大家一起协商构建大家认可的技术标准,把运营商、互联网企业、用户部门一起基于这个共同的技术标准,把系统结合起来,扩大监测范围。这样对于企业来说能够把它的全局态势的破解能力和整个国家全局资源进行对接,对于整个运营商来说,它落实监管要求和增强自身的防控能力也是非常强的,对于党政机关其自身的防控需求和能力也会有一个提高。
打造自增长合作体系 在整个合作体系方面,有条件的运营商、企业等都可以加入到我们整个的协作体系中一起合作,这样在出现了问题以后,能够一起在整个全世界公认的CNCERT的理念和价值观驱动下快速协作,把问题解决。
打造人才自增长体系 在人才的体系方面,我们不但要利用高效的体制,还应该把整个社会力量发动起来,全局性的一起协作,培养真正有用的、实践上需要的网络安全人才。
手机设计既是综合科技也是工业艺术,涵盖了计算机技术与通信技术,更包括智能技术和人机工程学。作为ICT领域知名科学家,中国工程院倪光南院士十分关注智能终端技术发展,更从信息安全大局审视中国手机设计,多次出席中国手机设计大赛活动并作主旨演讲的倪光南对《通信产业报》(网)记者表示,对于安全,对于自主可控,我们没有讨价还价的余地。
安全产品极其重要
在人、机有机融合的新形势下,信息安全正在承受巨大的挑战。
根据IDC的数据显示,2014年,全球智能手机用户使用移动平台的时间,以及上网产生的数据流量已经全面超越个人电脑,这是IoT时代到来的重要信号。可见,潜移默化之间,用户习惯已经悄然改变。
然而无论时代如何改变,安全问题一直像是肉中刺一般,打压着用户的信任指数。信息安全、网络安全在“互联网+”始终是一个非常重要的问题,没有网络安全就没有国家安全。
而“互联网+”一定离不开智能终端,手机和智能硬件等产品内置的网络能力,将用户的个人信息释放到网络空间,埋下了安全隐患的伏笔,所谓的云端保护也没有真正起到作用。
倪光南进一步表示,面对日益严峻的安全形势,国内移动终端产业链企业绝不能让国际厂商“越俎代庖”,寄希望于他人之手解决安全问题,而是必须着眼底层技术,推出足够安全的产品,全面实现自主可控。
产业链在行动
去年,倪光南就曾表示目前中国的手机产业最薄弱的环节就是手机操作系统,建议把中国的智能操作系统的发展规定、推广提高到依法加强网络空间安全的高度。并建议,应该发扬中国能够办大事的优势,不仅要科技创新,还要推动产品创新、品牌创新、商业模式创新等,让中国手机产业链成为全世界第四家自主智能操作系统。
一年时间内,我们欣喜地看到国内手机产业链也正在动起来,据了解,紫光旗下展讯安全芯片“紫潭”、中兴通讯24亿元打造安全手机操作系统,成为产业链细分领域的“新生代”。展讯通信董事长兼首席执行官李力游也表示,手机安全和芯片有200%的关联,从安全意义上讲,芯片的自主可控、自主设计极其重要。
中国自主手机操作系统不断出现是幸事,不过无论对于芯片还是手机操作系统,主打安全注定是小众市场。面对这个问题,倪光南进一步表示,厂商应专注于发展那些对安全有较高需求的小众高端用户,继续打磨自身解决方案。而对于谁能成为第四大操作系统,倪光南认为值得期待,他表示,Android系统也不是一开始就很完善,历经了多次的升级,中国自主手机操作系统最少在2-3年内实现。
学习情境1通过学习局域网的通信特点和安全隐患,掌握局域网的安全部署。学习情境2让学生以本人使用的主机为起点,了解主机容易遭受的病毒和攻击,学习如何保护主机的安全。学习情境3展现网络信息离开本地主机、本地网络后所面对的外网通信环境,分析在传输通道中存在的大量安全威胁,提出具体的保护策略。学习情境4将前三个学习情境应用到具体的网络环境中,根据校园网、企业网具体的特点和安全需求来设计安全方案,这一过程既是所学知识的回顾也是将知识应用的实践和创新。针对每个项目,在教学中都设置具体的基本任务和拓展任务。基本任务是对项目基本内容的综合应用和考察重点,主要在课堂教学和实验教学环节完成;拓展任务具有一定的难度,是对本项目知识在深度和广度上延伸,也可将本项目与其他项目结合起来考查学生能力,一般布置在课外或自学环节。如在项目1中,可将基本的IP、TCP等协议的捕获与分析作为基本任务,而将针对聊天软件QQ或在线视频播放器PPTV等网络通信的捕获与分析作为拓展任务,或者将IP协议分析与网络攻防结合起来作为拓展任务,从多个方面、层次激发学生自学的兴趣,培养其钻研精神。
2情境教学的开展
2.1基于情境—案例的课堂教学
将案例教学引入“网络安全”的课堂教学,有助于把较为抽象的网络安全基本原理和技术知识蕴含于具体的案例中,变枯燥的理论学习为主动解决问题的求知过程,从而激发起学生的兴趣并充分调动学习的积极性。我们根据所设计的学习情境开展教学,学习情境1设计了窃取密码、邮件的安全传输、校外访问校内网资源、信用卡电子交易犯罪、Web通信身份认证和加密等案例;学习情境2首先由教师讲解计算机病毒的发展历程,辅以尼姆达、CIH、梅丽莎和熊猫烧香等著名病毒为例,指导学生关注计算机病毒及操作系统安全;学习情境3中,教师从已有的经典网络攻击案例入手,通过讲解攻击原理进而分析对应的防御方法,讲解防火墙时以古城墙为例比较二者的功能与作用,从而更加生动地诠释出防火墙的作用和地位;学习情境4以校园网为经典案例,向学生介绍网络安全体系的结构、安全策略的制定、安全技术的应用、安全工具的部署及安全服务防范体系的建立。
2.2基于情境—任务驱动的实践教学
“网络安全”课程的实践教学采用“实践说明—示范引导—任务布置—纠错重做—总结拓展”的模式开展。“实践说明”指实验开始前需对实验内容、目的、要求、考核方法等进行详细的说明;“示范引导”指教师边演示边讲解实验的基本内容,然后向学生布置实验任务,教师在巡视中给予学生实验的开展以纠错和针对性指导,并在实验完成后总结学生的实验过程和表现,进而向学生布置与本实验相关的拓展任务作为自学内容。以学习情境1为例,教师可采用以下步骤组织实践教学:第一,教师在课前实验准备中搭建好捕获环境;第二,课程开篇介绍背景知识,让学生了解局域网的通信特点,教师执行一次捕获,得到FTP用户名和密码,向学生直观展示FTP协议的安全隐患,鼓励学生在10分钟内通过阅读教材或互联网搜索的方式学习和了解协议捕获的方法及原理;第三,教师演示协议捕获的完整过程并布置实践任务(需告知学生本次实践的考核标准);第四,学生两人一组分工合作完成实践任务,重在提高学生的动手能力并培养合作精神;第五,教师对每一组的完成情况予以检查并进行针对性指导,组织学生对协议分析的方法、网络协议的安全性开展讨论,由教师完成课堂教学内容的总结;第六,教师提出拓展实践的任务,要求学生捕获其他网络协议并进行分析,进一步培养学生自学及灵活应用知识的能力。
3情境教学推进学生主动学习
主动学习使学生直接参与到问题的思考和解决中,从而获得更多的知识,明白自己学到了什么和怎样学习。“网络安全”课程在情境教学中结合授课疑点卡、自选讲题和安全周报等方法推进学生的主动学习。
3.1学习情境的动态观察—安全周报
“安全周报”指每周邀请一位同学解读国家互联网应急响应中心(CNCERT/CC)最近一期的网络安全信息与动态周报,鉴于该周报内容丰富、更新及时,涉及本周网络病毒的活动情况、网站安全情况、重要的安全漏洞、政府监管和政策法规动态、网络安全事件与威胁及业界动态等多个方面,及时了解周报不仅有助于学生了解本周网络安全的现状,而且能够促使学生进一步直观感受网络安全复杂度高、涉及面广、变化快等特点。
3.2学习情境的深入研究—自选讲题
自选讲题要求学生自由组成3-4人的学习小组,通过讨论确定讲题对象和类型,独立完成学习报告,并制作成PPT演示文件向教师及全班同学进行汇报演讲。“网络安全”课程的每个学习情境均设有案例和综述两种类型的讲题,案例类讲题要求学生针对该情境中的一个经典案例展开深度分析和讲解;综述类讲题要求学生针对该情境中某一项安全技术展开研究,要求涉及技术背景、技术现状以及技术展望等。教师对学生选题应有所调控,保证每个学习情境及每种讲题类型都有小组涉及。实践结果表明,自选讲题的方法能够充分调动学生自学的积极性,营造良好的合作氛围,提高学生的表达能力。
3.3学习情境的全面回顾—授课疑点卡
授课疑点卡指在每一个学习情境将要结束时,教师要求每位学生对所学知识进行思考,并写下学习中对概念、内容或实践环节最不清楚的地方,且以电子邮件的形式反馈给教师,教师对普遍存在的问题在下次授课时予以讲解,个别问题则通过回复电子邮件的方式来解答。记录学习中的问题和建议有助于学生回顾学习过程、理清知识结构和学习思路,以便开展更有效的学习活动,也有助于教师及时纠正学生的错误理解,进而改进以后的教学。
3.4学习情境的综合应用—方案设计
方案设计要求学生针对校园网、企业网或政府网设计出一个网络安全方案,这是对学生综合能力的一次考评,有利于学生回顾整个课程的学习,将知识全面应用到一个具体的网络环境中,健全其整个安全知识的结构。
4评估方法的创新
该课程的评估原则有:注重工作能力的考评,在试卷中体现平时工作内容;注重工作结果的考评,平时作业存档作为评分依据;注重工作理解的考评,在实验打分中考查学生对实验的理解层次。具体应用中采用笔试、口试、表现评分、实验报告与大作业相结合的方法来测评学生的学习情况。笔试是传统而有效的考核方法,笔试题目要求反映学习效果,并根据学习效果考查学生的成绩。口试要求学生对学习情境中的概念问题加以阐述。表现评分根据学生在自选讲题和安全周报中的具体表现予以评价。实验报告要求学生记录实验的目标、实验内容、实验步骤、结果综述以及拓展任务的开展和完成情况,这一考核帮助学生理清本次实验的思路,总结经验,督促学生在课外完成拓展任务并给出详细的记录。大作业要求学生针对校园网、企业网或政府网给出一个网络安全方案,这是对学生综合能力的一次考评,有利于学生回顾整个课程的学习,将知识全面应用到一个具体的网络环境中,健全其整个安全知识结构。笔试一般安排在整个课程结束之后,集中开展;口试安排在每个学习情境结束之后,分批开展;表现评分、实验日志和大作业在学生完成任务或递交作业之后开展,并及时予以评价,有利于学生在课程后继环节中及时调整学习方法,更有效地开展学习。
5结束语
所有人变得透明,未来安全隐患更严重
在第七届中美互联网论坛上,中美双方代表围绕互联网方面的各项议题进行深入交流。
中美互联网论坛由中国互联网协会和美国微软公司联合举办,已成为中美在互联网领域开展交流合作的重要平台。
周鸿t在演讲中表示,下一个五年,互联网安全的挑战更加艰难。传统的网络安全边界被打断,网络攻击带来的物理伤害后果更严重,而海量数据很多都与人的隐私有关,所有人都变得透明,带来一个全新的安全隐患。
因此,360提出用户保护三原则:首先是用户数据应该归用户所有;其次,用户有知情权和选择权,有权不允许网络公司使用自己的数据;再次,公司有更大的责任保护用户数据,对数据进行安全存储、安全传输。
本次中美互联网论坛的主题为“对话与合作”,下设“大数据和云服务”、“互联网接入”、“互联网治理”和“经济发展与社会利益”等四个分论坛。
在美期间,中方代表团还将与微软CEO纳德拉、苹果公司首席执行官蒂姆・库克、Facebook首席执行官扎克伯格、亚马逊公司创始人贝索斯、高通公司董事长雅各布、IBM董事长葛睿兰等美国互联网旗帜性人物进行会谈交流。
中国互联网并非美国互联网“复制品”
作为本次中国互联网企业代表,周鸿t表示,中美互联网论坛为中美两国互联网业界的交流与合作提供了一个平台,这是中美互联网从业者相互交流、紧密合作、共享技术成果的机会。移动互联网的发展带来了智能硬件的繁荣,产生海量、多样的大数据,将使人们共同进入一个万物互联的大数据时代。
周鸿t透露:“360也在积极布局海外,包括将免费杀毒的理念带到了美国市场,为美国网民提供优质、免费的网络安全产品和服务,我们希望通过中美互联网论坛这一平台,与两国的互联网企业加强交流,共同探讨互联网行业新的趋势,新技术和新的理念,推动中美乃至全球互联网的繁荣与发展。”
周鸿t认为,中国的互联网并不是美国互联网的镜像或是复制品,中国已经成为全球最大的互联网大国之一,也是万物物联和云计算的大国,过去都是美国互联网模式到中国来,但未来,相信会有更多中国创造的模式,从中国出发,到美国来。
他说,在美国互联网创业公司年轻的创业者身上,能感受到三个鲜明的特点:第一是与众不同的精神。这是创新精神的一个重要特征,创业者们会有形形、甚至是匪夷所思的想法;第二是产品经理精神。美国的创业者,每个人都是产品经理,喜欢津津乐道地谈自己创作的产品,大家都会聚焦在产品上;第三是颠覆精神。在美国,一个十八九岁的创业者,都怀揣用产品改变世界的梦想,他们的目标就是要挑战今天的大公司。
“美国的互联网创业者在专业领域经过深入的思考,做得很专注。这是中国互联网需要向美国互联网同仁学习的地方。”周鸿t同时表示:“虽然很多美国投资商认为中国互联网产业是美国网络的追随者;但中国的互联网也并不是美国互联网的镜像或是复制品。”
智能设备商机巨大
周鸿t还提到了360免费安全模式的例子,360的免费安全模式正是互联网产业中真正的中国创造。当初360赴美国上市期间,找不到一个参考的模式,就只好硬着头皮给美国投资者们解释:360就是“免费安全+开放平台+广告和增值服务”。
过去都是美国互联网模式到中国来,但360免费的安全模式得到了全世界主流资本的认可,这是第一个中国创造的模式。
当前高校信息化高速发展,在网络、服务器、存储和数据方面加大虚拟化的建设和应用,IPv6工作组技术沙龙北京外国语大学站就数据和网络虚拟化方面的问题组织了研讨。沙龙由中国高等教育学会信息化分会主办、中国计算机用户协会网络应用分会和北京外国语大学承办。
北京大学、北京外国语大学等高校代表,以及新华三、EMC、华为、VMware等技术公司出席了本次沙龙。
北京外国语大学信息技术中心副主任杨红波老师发表了题为《从IT 到DT 的数字转型》的演讲,并就北外的虚拟化工作进行了介绍。他表示,北外2009年开始部署虚拟化应用,2010年大部分应用系统迁移到虚拟化平台。目前北外教育信息化推进较快,2010年开通数字迎新、2011年开通数字离校。2013年开通学校信息化工作微信订阅号和服务号,2015年开通微信企业号。2015年学校建成500平米数据中心机房,同年将校内电子邮件系统迁移到腾讯企业邮平台,开通OA办公自动化系统,并于2015年底学校多语种网站群、第一版个人信息展示及校情展示平台。2016年信息化工作写入学校“十三五”信息化规划。2017年北外信息化领导小组改名网络安全和信息化领导小组,逐步落实信息化建设与管理办公室工作、统一全校信息化项目管理流程。
他解释,北外的信息化建设是依照学校自身的需求来设计和建设的,目前国内各高校的信息化建设定位层级不同,水平和意识也不尽相同,但总体业务种类大致趋同。
回归到高校的虚拟化建设上,北外的虚拟化建设是依据实际需求催生虚拟化应用的。目前随着数据量的指数增长,数据已经成为高校的核心资产,并且作为学校的发展基础,大数据分析也已成为主要的管理和辅助决策手段。北外的虚拟化工作总体框架整体可描述为:2012年开始,从学校管理层面规定非专网等特殊应用,各单位不再单独采购服务器,仅采购相关软件,推荐使用虚拟机;2017年开始全校信息化项目由网络安全和信息化领导小组配合相关部门,聘请校外信息化专家统一评审;学校数据中心机房存放全校虚拟化服务器硬件,东西两院天然进行异地容灾;调查校内用户需求,不断完善虚拟化服务,尤其要不断加强虚拟机安全防护;选择虚拟化软件的原则是以开源为主,试用部分商用软件的混合方案。在此基础上,北外近五年来数据中心从近100台实体服务器过渡到目前拥有4组刀片服务器、4组存储的虚拟化架构;从近100个以windows为主的操作系统增长到以linux为主的400余个虚拟操作系统;从操作系统、数据库、磁盘为主的单机备份升级到异地虚拟机备份及离线备份。
在他看来,为高校信息化提供服务的ICT厂商应该具备提供完善解决方案(标准化、易维护、可扩展)的能力,而学校自身也应该具备选择确定发展方向的能力。从信息化工作的重心来看,未来数据的管理、教学资源应用等应该成为高校信息化管理部门的重中之重。
这一观点在北京大学计算中心运行室副主任樊春的演讲中也得到了印证。樊春介绍道,从2016年开始,北京大学开始做到完全虚拟化,并淘汰了所有的小机。数据安全、网络安全、应用安全已成为计算中心日常工作的重点之一。
华为数据中心市场总监欧军表示,当前高校数据中心建设面临的主要问题包括:环境构建复杂,新应用部署需要M机房,动网络,时间长;且新应用没有统一规划;拓扑结构越来越复杂,新增系统布线困难。科研创新受制,各院系各部门存在大量信息孤岛无法共享,部门间信息化标准不统一,互通困难,资源的总体利用效率低。面临安全问题,高校正渐渐成为黑客经常光顾的领域之一。管理不统一,海量应用服务器和其他资源的管理工作量巨大,复杂业务系统的运维开支越来越大,复杂、架构导致故障定位困难,影响服务体验。因此,校园需要具备全局策略化的资源调度、灵活快速的服务以及端到端数据中心监控等能力的数据中心管理系统。
新华三教育系统部技术总监程旭分析,高校信息中心关于数据的困境在取、聚、用三方面都有表现。例如,部门壁垒深厚,数据集中难;数据来源多样,并行采集难。数据标准缺乏,统一管理难;数据种类多样,融合使用难;数据总量巨大,持久存储难。业务理解欠缺,数据价值发挥难;业务需求明确,应用开发难等。华三云数融合解决方案通过结构化和非结构化数据实时多维度聚、取,并通过智能ADE开放平台,轻松实现智慧校园建设多维度应用开发。
VMware公司资深方案架构师臧铁军从双活数据中心建设角度提出5个建议原则:从应用和基础架构两个层面去考虑可用性设计;同时实现可用性与资源利用率的提升;充分利用自动化手段来提高效率和可靠性;将本地与异地保护手段有机结合,实现更好的保障能力;可满足当前及未来发展需要。
“当人们在谷歌上找不到一些自己所需要的信息或内容时,他们会认为其他人也无法找到,但事实并非如此。”Shodan――互联网上最可怕的搜索引擎创造者约翰・玛瑟里(John Matherly)如是说。
谷歌是在网络上寻找网站,与之不同的是Shodan浏览的是互联网背后的渠道。这是一种“黑暗的”谷歌,在服务器、网络摄像头、打印机、路由器和其他所有与互联网相连接或组成互联网的载体上进行搜索。Shodan全天候运转,一周工作7天,每天工作24小时,每月在大约5亿个相连接的设备或服务器上收集信息。令人惊讶的是只需使用Shodan上一个简单的搜索就能找到许多你意想不到的内容,无数与互联网相连接的红绿灯、安防摄像头、家庭自动设备和加热系统很容易被识别出来。
Shodan搜索已经发现了水上公园、加油站、宾馆冷酒器和火葬场的控制系统。网络安全调研机构(Cybersecurity researchers)甚至通过使用Shodan定位了核电站和粒子加速器的指令和控制系统。Shodan搜索能力中最引人瞩目的是那些极少数内置各种安全设备的载体。Rapid7的首席安全官摩尔(HD Moore)出于个人的研究目的也在运行一款私人版本类似Shodan的数据库,他说:“你只需要用默认密码就可以登录近一半的网络,这是一个非常巨大的安全漏洞。”
只需用“默认密码”简单地搜索,你便会发现有无数的打印机、服务器、系统控制设备使用“admin”作为用户名,“1234”作为密码。更多可连接的系统竟然都不需要任何许可证,你只需要一个网络浏览器就能够与之连接。在去年防御网络安全会议(Defcon cybersecurity conference)中有这样一次演讲,独立安全渗透测试者丹・滕特勒(Dan Tentler)示范了他是如何利用Shodan寻找到蒸发冷却器、压力热水器和车库大门的控制系统。
他发现只要点击一下按钮,就可以控制一个洗车设备的开启和关闭,也可以使丹麦的一个曲棍球场解冻。一个城市的交通控制系统是连接在互联网上的,只需要一个简单的指令便能使其进入“测试模式”,同时他还发现了法国一家两台三兆瓦的水力发电机组的控制系统。令人感到恐怖的是,如果这些资源落入坏人手中后果将不堪设想。滕特勒在一份保守的陈述中表示:“你真的可以用它造成一些非常严重的破坏。”那么为什么这么多可连接的设备都缺乏必要的安全保障呢?有些设备在设计时便确定是可以与互联网连接的,例如可以被iPhone所控制的门锁,大多数人会认为它的控制系统会非常难以查找。安全是一项事后才产生的想法。
一个更重大的问题是许多这类设备完全不应该与互联网连接。企业常常买一些可供他们控制的系统,例如一个由计算机控制的加热系统。那么他们是如何将计算机和加热系统相连接的呢?许多企业的IT部门都是将两者连接在一个网络服务器上,而不是将二者直接连接在一起,这样在不经意间就使得其他个体或机构也能够与它们相连接。玛瑟里说:“当然,这些并没有什么安全问题,因为它们并不属于互联网范畴。”好消息是Shodan几乎只被用于正当的搜索。三年多以前,玛瑟里完成了Shodan,那时它只是一个实验性项目,对于搜索的数量有着严格地控制,在不申请账户的情况下只能进行10项搜索,申请一个账户可以搜索50项。如果你想看到Shodan提供的所有内容,玛瑟里会要求你提供更多的信息,例如你希望达到什么结果,以及所需支付的费用。
渗透试验器、安全专业人员、学术研究者和执法机构是Shodan的主要用户。玛瑟里承认坏人可能会利用Shodan做坏事,但通常网络犯罪都会使用“僵尸网络”,是指采用一种或多种传播手段将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间形成一个可一对多控制的网络。他们可以实现同样的任务且不被察觉。
现今,大多数网络攻击集中在盗窃钱财和知识产权方面。坏人还没有试图通过引爆一栋大楼或使一个城市的交通灯瘫痪来实施犯罪。
安全专家希望能够通过这些不安全的问题,利用Shodan连接设备和服务避免类似的灾难发生,提醒这些所有者他们的运营是容易受到攻击的。与此同时,有太多与互联网相连接的可怕事物都有可能发起攻击。
撰稿:David Goldman
来源:CNNMoneyTech
