解放雙手的自動(dòng)駕駛汽車、網(wǎng)速超快的5G網(wǎng)絡(luò)、智能化的人臉識(shí)別安防系統(tǒng)……這些已經(jīng)來(lái)到我們身邊的各種“新基建”成果,正在一步步地改變著大眾的生活,但是在這些“新基建”的背后,除了讓“新基建”行業(yè)迎來(lái)風(fēng)口的同時(shí),也同樣面臨網(wǎng)絡(luò)安全的挑戰(zhàn)。今年全國(guó)兩會(huì)期間,多位全國(guó)政協(xié)委員、院士和安全行業(yè)的專家在多個(gè)場(chǎng)合提出,數(shù)字基建就是“新基建”,安全是發(fā)展“新基建”的重中之重,應(yīng)加強(qiáng)“安全基建”建設(shè),讓數(shù)字基建的每一塊磚,從建立之初都安全可溯源。
據(jù)南方日?qǐng)?bào)記者從日前舉行的GeekPwn2020新基建安全大賽上了解到,5G、云計(jì)算、車聯(lián)網(wǎng)、智慧農(nóng)業(yè)、智慧園區(qū)等新基建熱點(diǎn)領(lǐng)域都面臨著不同程度的安全威脅,而“安全基建”理念已成為安全行業(yè)的共識(shí)。
新技術(shù)帶來(lái)新安全隱患將更加嚴(yán)峻
僅憑一個(gè)口罩,白帽黑客假扮他人瞞過(guò)AI攝像頭。在日前舉辦的GeekPwn2020 CAAD AI變臉口罩挑戰(zhàn)賽上,AFMask戰(zhàn)隊(duì)利用AI生成圖像的口罩成功假扮成指定人員,騙過(guò)AI攝像頭,最終在30秒內(nèi)分別完成售貨機(jī)掉貨、ATM機(jī)吐錢的挑戰(zhàn)任務(wù)。據(jù)南方日?qǐng)?bào)記者了解到,參賽隊(duì)伍利用算法缺陷,分別對(duì)自動(dòng)售貨機(jī)和自動(dòng)ATM機(jī)的人臉識(shí)別攝像頭展開(kāi)白盒和黑盒攻擊。而本次大賽還原了AI對(duì)抗樣本在真實(shí)環(huán)境下的挑戰(zhàn),揭示了人臉識(shí)別技術(shù)應(yīng)用的盲點(diǎn)與弱點(diǎn),可引發(fā)隱私泄露、財(cái)產(chǎn)損失等后果。
據(jù)南方日?qǐng)?bào)記者從大會(huì)現(xiàn)場(chǎng)了解到,AI攝像頭面臨的安全威脅僅僅是眾多新基建項(xiàng)目中的其中一個(gè),安全研究人員利用未知安全漏洞以云端接入的方式,對(duì)正在作業(yè)的植保無(wú)人機(jī)發(fā)起攻擊,成功獲取了植保無(wú)人機(jī)的最高使用權(quán)限,使其偏離原定航道;白帽黑客成功利用特定技術(shù)對(duì)正在行駛中的低速汽車進(jìn)行攻擊,使得汽車突然停止;白帽黑客利用自制的雷達(dá)干擾槍設(shè)備使自動(dòng)駕駛汽車“致盲”,徑直撞向前方障礙物;騰訊安全玄武實(shí)驗(yàn)室高級(jí)研究員李冠成、戴戈利用5G通信協(xié)議的設(shè)計(jì)問(wèn)題,黑客可以“劫持”同一個(gè)基站覆蓋下的任意一臺(tái)手機(jī)的TCP通信,包括各類短信收發(fā)、App和服務(wù)端的通信均有可能被劫持。這意味著用戶收到一條顯示為“955**”的銀行短信或者App消息推送有可能來(lái)自未知的惡意用戶。黑產(chǎn)團(tuán)伙可以利用這個(gè)漏洞實(shí)施多種形式的攻擊,例如偽造銀行向受害者發(fā)送短信告知異常交易,引導(dǎo)受害者去點(diǎn)擊一個(gè)鏈接,實(shí)際上這個(gè)鏈接被植入木馬,可以竊取受害者銀行卡信息;也有可能偽造受害者的手機(jī)號(hào)向其家人發(fā)短信,提出轉(zhuǎn)賬或者其他要求;甚至劫持任意HTTP訪問(wèn),造成用戶賬號(hào)密碼等敏感信息泄露……
從種種針對(duì)新基建的安全演示案例可以看出,相對(duì)于傳統(tǒng)概念的網(wǎng)絡(luò)安全威脅,“新基建”之下,網(wǎng)絡(luò)安全所造成的后果和影響將更為嚴(yán)重和深遠(yuǎn),也讓網(wǎng)絡(luò)安全擺在了發(fā)展“新基建”的首位。
據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的報(bào)告顯示,2019年DDoS攻擊高發(fā)頻發(fā)且攻擊組織性與目的性更加凸顯,僅某黑客組織對(duì)我國(guó)300余家政府網(wǎng)站就發(fā)起1000多次攻擊;APT攻擊在重大活動(dòng)和敏感時(shí)期更加猖獗;移動(dòng)惡意應(yīng)用程序大量出現(xiàn)等。
值得留意的是,在“新基建”風(fēng)口下,新技術(shù)應(yīng)用帶來(lái)新安全隱患將更加嚴(yán)峻。中國(guó)工程院院士方濱興此前就曾表示,網(wǎng)絡(luò)安全取決于新技術(shù)帶來(lái)的新的安全問(wèn)題,“新基建”帶來(lái)新技術(shù),就必然伴生新的安全問(wèn)題,數(shù)字基建下的網(wǎng)絡(luò)安全問(wèn)題影響范圍將更加廣泛。
安全思維從“事后補(bǔ)”變?yōu)?ldquo;事前防”
“四五十年前的安全問(wèn)題可以后打補(bǔ)丁,‘新基建’下行不通了。”在今年8月舉辦的“新基建”安全大賽啟動(dòng)會(huì)上,鄔賀銓院士提出了“新基建”安全相比傳統(tǒng)安全的不同,網(wǎng)絡(luò)安全不再是事后應(yīng)對(duì)的問(wèn)題,僅靠原來(lái)的賣盒子、防火墻的方法論,顯然無(wú)法解決“新基建”帶來(lái)的新挑戰(zhàn),要將網(wǎng)絡(luò)安全措施與“新基建”同步部署,而不是出了問(wèn)題再打補(bǔ)丁。
實(shí)際上,數(shù)字時(shí)代的安全威脅一旦發(fā)生,其危害相對(duì)于傳統(tǒng)安全是指數(shù)級(jí)增長(zhǎng),而且具有典型的產(chǎn)業(yè)鏈屬性,破壞性極大。
“目前大多數(shù)企業(yè)對(duì)網(wǎng)絡(luò)安全的防護(hù)習(xí)慣于采取‘事后補(bǔ)救’措施,安全廠商也習(xí)慣于用‘治病救人’的方法,就是出了事再采取安全措施。‘事后補(bǔ)救’和‘治病救人’的措施,往往是‘頭痛醫(yī)頭、腳痛醫(yī)腳’的,是局部的、針對(duì)單點(diǎn)的,而不是徹底的和全面的,也無(wú)法滿足新型工業(yè)互聯(lián)網(wǎng)的安全需求。”奇安信技術(shù)專家在接受南方日?qǐng)?bào)記者采訪時(shí)就表示,網(wǎng)絡(luò)安全廠商要推動(dòng)整個(gè)行業(yè),主動(dòng)改變傳統(tǒng)網(wǎng)絡(luò)安全思維,變“事后補(bǔ)救”為“事前防控”型建設(shè)思路,網(wǎng)絡(luò)安全不僅要“治病救人”,還要做到“可防可控”。這一思路的轉(zhuǎn)變,將對(duì)各大重要信息化系統(tǒng),全面提升安全能力,有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅,奠定堅(jiān)實(shí)的基礎(chǔ)。
全國(guó)政協(xié)委員、中國(guó)科學(xué)院信息工程研究所所長(zhǎng)孟丹就指出,未來(lái)的網(wǎng)絡(luò)安全公司也不能僅從攻防的視角來(lái)考慮網(wǎng)絡(luò)安全問(wèn)題,需要從甲方視角出發(fā),重新構(gòu)建新一代安全架構(gòu)和安全基建標(biāo)準(zhǔn)。
“傳統(tǒng)網(wǎng)絡(luò)安全關(guān)注的重心大多在安全技術(shù)和產(chǎn)品方面,解決單點(diǎn)的問(wèn)題,而真正的安全能力是在具體業(yè)務(wù)的場(chǎng)景中千錘百煉成長(zhǎng)出來(lái)的,會(huì)運(yùn)用多種技術(shù)的組合去解決業(yè)務(wù)問(wèn)題。”阿里巴巴數(shù)字基建新一代安全架構(gòu)阿里安全首席架構(gòu)師錢磊在接受采訪時(shí)就認(rèn)為,不同業(yè)態(tài)和數(shù)字技術(shù)結(jié)合所帶來(lái)的全新化學(xué)反應(yīng),也要求新一代的安全架構(gòu)要立足甲方視角,以解決不同場(chǎng)景下的實(shí)際問(wèn)題為目標(biāo)。
據(jù)了解,今年3月底,阿里巴巴發(fā)布了數(shù)字基建新一代安全架構(gòu),提出“安全基建”概念,關(guān)注各類App和網(wǎng)站等數(shù)字經(jīng)濟(jì)實(shí)體在搭建過(guò)程中建立標(biāo)準(zhǔn)化流程、引入關(guān)鍵技術(shù),構(gòu)建“安全施工標(biāo)準(zhǔn)”,確保數(shù)字經(jīng)濟(jì)實(shí)體在建設(shè)之初就運(yùn)行在較高安全基線上。“‘安全基建’概念的提出,關(guān)注在數(shù)字經(jīng)濟(jì)實(shí)體的搭建過(guò)程中建立標(biāo)準(zhǔn)化流程、引入關(guān)鍵技術(shù),解決的就是數(shù)字經(jīng)濟(jì)實(shí)體搭建的‘安全施工標(biāo)準(zhǔn)’問(wèn)題。”錢磊介紹說(shuō),這一標(biāo)準(zhǔn)涵蓋軟件供應(yīng)鏈安全、技術(shù)和業(yè)務(wù)漏洞檢測(cè)、隱私與內(nèi)容風(fēng)險(xiǎn)檢測(cè)、應(yīng)用可信等多個(gè)維度,要從建設(shè)之初就要開(kāi)始打造免疫力,真正讓每一塊磚頭都安全可溯源。
南方日?qǐng)?bào)記者 葉丹
關(guān)鍵詞: 數(shù)字經(jīng)濟(jì) 安全基建
網(wǎng)站首頁(yè) |網(wǎng)站簡(jiǎn)介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
中國(guó)網(wǎng)絡(luò)消費(fèi)網(wǎng) 版權(quán)所有 未經(jīng)書(shū)面授權(quán) 不得復(fù)制或建立鏡像
聯(lián)系郵箱:920 891 263@qq.com