近期,S hapchat 13G的用户照片被公开,美国零售巨头联合开发的支付工具C urrent C在试用阶段就出现了用户邮箱被泄露事件,网络安全问题被推上了风口浪尖。而在中国,维护网络安全也已经上升到国家战略高度。上周,“首届国家网络安全宣传周”在京举办,南都记者邀约一众参展企业负责人进行圆桌对话,共同探讨,网络安全最致命的“罩门”在哪?
议题1:移动支付的安全漏洞引发争执,如何界定责任?
齐向东:移动支付的便捷需要多个行业“跨行”协作实现,未来的趋势是,合作越深入越广泛,移动支付越方便越好用。移动支付是一整套流程体系,每一个环节出现问题,都可能导致安全事件发生,这应该是每一个链条互相监督、互相纠正、互相负责的对象。
代柏阳:应用终端和银行承担的责任不能简单的对半分,有些安全隐患来自于应用层面,还有一些在于用户自身的行为。服务提供方应该进行用户场景关联提醒,避免用户被动遭受损失。
刘硕琛:责任的界定是很复杂的问题。这是全球的问题,不是中国自己的问题,需要靠整个行业努力改进。信息泄露了,不管是哪个环节,都会对整个系统有影响。不管是厂商还是金融企业,都有自己的责任要承担。目前,在各自环节的权责明确上,还有很大的改进的空间。
议题2:最薄弱的环节是硬件、软件还是通讯服务?
齐向东:事实上,安全是个相对概念,不管是硬件还是软件还是通讯服务都存在薄弱环节,例如G SM已被破解,伪基站的泛滥,同时包括了软件和硬件环节,而目前最普遍、影响最大的是软件上木马病毒,2014年三季度的手机安全报告显示,今年以来,三季度共截获新增恶意程序样本约67.3万个,较2013年同期的28.9万个增长133%。
代柏阳:目前来看,硬件层面问题不是特别大。漏洞主要是在软件层面,在操作系统层面和应用两个方面较大挑战。一是操作系统层面,黑客或者恶意程序利用操作系统的漏洞入侵用户系统,监视用户交易行为。另一个常见情况是D N S劫持。在远程接入服务器的时候,恶意侵入者通过这两种方式将用户引向伪造的端口,比如非官方的平台,用户的银行汇款或者支付的费用就被不法分子收入囊中。
刘硕琛:我们偏向发展软件,所有运营维护最终都回到软件开发管理,我们认为软件是最需要关注的,软件也会承担安全防护最大的角色。
议题3:大数据时代,如何保护个人云端数据安全?
齐向东:对于云端服务商来说,一是加强数据中心安全防护;二是为用户提供更高级别的账号验证机制,访问重要数据推荐使用多重验证,而不仅仅依赖账号密码。对普通网民来说,一方面手机、电脑开启安全软件,预防和查杀木马病毒;另一方面,重要账号一定要单独设置密码,并定期更换密码;同时,避免使用他人设备或非可信的W iFi网络登录账号。
代柏阳:个人越来越多数据被放入云端,我建议关乎个人资产的关键数据不要在云端,比如银行账号,以及资产相关文件材料都不要存在云端。设定密码时候应该用复杂密码,同时不要所有云端账号都采用相同的密码。用户在使用云端服务的时候,也要考虑提供商的资质,大型云服务提供商用户规模大,必然要投入资源做安全防护措施,安全性会更好。此外,用户可能在不同的帖子里输入了邮箱、手机号码、地址或者照片等,用户在输入个人信息、访问对方服务的时候,会留下自己的访问痕迹。拼凑这些信息,在技术上是可以实现的。因此,用户应该注意个人信息的释放,警惕诱导性的交流。
议题4:网络安全产业的发展趋势在哪里?
齐向东:传统的安全市场注重边界,比如一个单位想盖栋楼,首先要圈块地,弄个院子,对外界表明,院墙外面是公共的,院墙里面是私人的,闲人免进,构筑一个安全边界。于是,诞生了防火墙、IPS、IT S、D LP网关等安全产品。
在万物互联的时候,联网的智能设备将数倍增长,企业安全和个人安全的区分将打破,也不再存在清晰的边界,未来的安全之道,一定是“边+端+云”的组合,即在边界上设置适当的防护,但是不指望边界将威胁全部拦住;在终端上用“白名单+黑名单”相结合的技术,将未知的一些东西进行过滤;建立安全云,把所有的数据集中进行大数据计算和分析,找出行为诡异的访问者,进行恶意行为的防范。
代柏阳:目前,网络安全产业至少有两三百家新企业,都是近两年内涌现的,它们原本是做舆情监控、网络安保服务以及传媒等领域的。但挤进第一梯队仅有十几家。所以,做网络安全要专注,其网络安全和技术产品在行业中应处于领先地位,否则就会像团购网站一样死掉一批。未来,网络安全是能跟电商、支付以及互联网金融齐头并进的产业,如水电煤一样,每个人都需要。
刘硕琛:无论是万物互联,还是网络消费,到最后都要回到架构安全。虽然企业对此的预算不是大头,但是却是必要的,这会带动产业迅速发展。
|