html模版網絡安全:最佳防線在哪裡?
網絡安全:最佳防線在哪裡?|界面新聞?JMedia

隻服務於獨立思考的人群

前輩尤物摩爾首頁天下中國宏觀娛樂體育時尚文化旅行生活遊戲軍事視頻歪樓正午APP◇ iPhone Android

關註 ◇RSS微博微信

互動 ◇吐槽報料投稿召集令好問 登錄 消息 我的面點我的關註我的文章投稿報料帳號設置退出商業科技汽車地產證券金融消費工業交通投資營銷職場管理創業出國數據必讀網絡安全:最佳防線在哪裡?不用花費太多就能輕松雇用到全世界最優秀的計算機科學傢來充當黑客。成本遠遠低於建造一枚彈道導彈、一架戰鬥機或一個核反應堆。構建一個攻擊所需支付的設備和攻擊汽車喇叭推薦者價格幾乎為零。

上海交大巴黎高科評論 · 2016/08/04 14:15評論(0) 收藏(3) 1.9W字體:宋

網絡安全

作者:Herv Guillou / 法國DCNS集團董事長兼CEO

網絡威脅在世界經濟中日益變得具有系統性。所有參與者的關註度不斷上升,在一定程度上可能會導致一個全球性的反數字化,對經濟造成巨大的負面影響。另一方面雲計算和大數據方面進展迅速,根據麥肯錫公司的研究,這些技術為全球經濟的貢獻每年在9.6-21.6萬億美元之間。如果網絡攻擊的復雜性超出瞭國傢和組織的防禦能力,為此而制定的嚴厲法規和政策則可能會減緩創新和增長。

巴黎高科評論:網絡威脅政府和企業而言,有什麼不同嗎?

Herv Guillou:區別不大。在網絡世界中,公共和私營部門之間的邊界不是根據企業或政府來界定。由於服務性行為的存在,這些邊界實際上存在很多孔隙。個人需要和使用醫療服務,軍隊需要後勤,納稅企業要向財政機構繳稅。但是為瞭理解方便,我們應該首先把網絡空間定義為一個相當復雜的組合,它由貫通 三個世界 的 三個層級 的 九個部分 構成。

最底層是物理層,包括電纜、光纖、海底電纜、無線電和衛星網絡、路由器 總之,需要一個支持並傳輸信息的系統。

然後是數據處理層,包括計算機、機器人、服務器、協議、直接可用的軟件包如Windows、機器人控制軟件或車載軟件。

最後是信息內容和功能層,這個層最具可見性,也最和網絡安全相關:我們這裡說的是所有經過加工或存儲的數據、應用程序、信息內容,包括在線金融交易(大多是采購付款)的數據和安全。

以往,這三個 橫向 貫穿三個垂直世界的水平層是各自分離的,所涉及的技術端口、標準和產業結構完全不同。三個世界是:1、一般計算機科學領域(IBM、Atos、Bull); 2、工業計算機領域(CATIA、西門子、施耐德),包括自動化、機器人、3D工具、數字化設備控制協議等;3、機(車)載計算機(霍尼韋爾、泰雷茲)憑借其在實時數據處理的專業化來控制飛機的飛行表面。

網絡威脅是如何傳播的?

互聯網協議(IP)是垂直滲透的(因為通信和路由系統對數據進行瞭虛擬化,同時,IP連接的是一般計算機科學層與工廠控制和管理軟件如使用SAP軟件來監控生產)。機載計算機現在也加上瞭工業數據處理。例如, 公文包 (suit-case)使車載數據處理設備將維修數據傳回到汽車制造商的技術中心,下載修復軟件補丁程序,甚至訂購備件。每架空客有7個IP地址可以連接 接口 ,來處理餐飲物流、上傳新航班時刻表,並且在飛行中發送回狀態數據。很明顯我前面提到的三個世界如今緊密嚙合在一起。

今天發生的一切讓我們回想起四個世紀以前國際貿易的發展情形。當時沿海港口到港口的旅行變得全球化,令人難以置信的巨大財富開始在海上航線流通。這種流通引來瞭海盜攻擊船隻,搶奪船上貨物,海軍艦隊因此建立。致命的病毒,開始蔓延。

這也正是今天互聯網上所發生的,除瞭攻擊者和防禦者之間的不對稱性更為驚人。不用花費太多就能輕松雇用到全世界最優秀的計算機科學傢來充當黑客。成本遠遠低於建造一枚彈道導彈、一架戰鬥機或一個核反應堆。構建一個攻擊所需支付的設備和攻擊者價格幾乎為零。此外,攻擊者可以在任何地方進行操作:用50美分租用一個服務器站,控制200萬臺服務器進行攻擊,就能賺到100萬美元。當有遍佈全球的200萬臺服務器,牽涉到14個國傢,誰有能力定位攻擊源?攻擊者不會因此受到懲罰,因為很少有受到攻擊的機構會選擇發動法庭訴訟程序,擔心這將會對聲譽產生明顯的負面影響。

我們隻能自己保護自己?

就算想要定性一個網絡攻擊,你也不具備相應的法律手段,因為實際上還沒有適用於互聯網的國際法。在這個領域罕見的國際條約之一《佈達佩斯網絡安全公約》覆蓋范圍極其有限,遠沒有涉及到空中交通、空間或海洋探索等領域。今天的受害者與往昔西班牙商船上的受害者處境相同。越來越多的財富正在網絡上被運輸。私募人士 透露 他們的銀行數據;設計師們交換自己的知識產權;企業傢也在使用在線生產工具,通過電子供應鏈和電子倉庫連接工廠和供應商,通過電子商務管理客戶,通過電子人力資源軟件管理員工。受害者是靜態的,並 努力 暴露可被攻擊的網絡端口!攻擊通道的數量呈指數級增長。2003年全球有5億個IP地址,到2020年,物聯網將導致這一數字不低於800億 所以沒有什麼比通過供應商或外部流動員工來攻擊一傢公司更容易瞭。

那麼,什麼是網絡犯罪?

有的人僅僅是為瞭錢,比如出售偷來的信用卡ID碼。其他動機可能是國傢級別的恐怖主義破壞,或非政府組織希望 懲罰 某傢公司,以及工業間諜和商業數據盜竊。所有這些行為背後,不是浪漫的羅賓漢,更多的是有組織的犯罪,我們現在必須稱之為 持續的高級威脅。 20歐元,你可以購買一個完整、有效的信用卡號碼,透支額度被竊賊設置在100歐元。如果攻擊竊取瞭你的工業設計圖紙,你必須知道,這類知識產權項目存在地下市場,購買者可以通過使用這些文件的內容賺取利潤或讓產品增值。

這場戰爭的成本是多少?

2013年,被網絡犯罪分子竊取的經濟財富為1900億歐元,這裡的數字僅指直接損失。例如,索尼公司被竊150萬個信用卡ID數據,直接價值1.5億歐元。但索尼隨後聲稱拿到瞭13億美元的保險賠償用於支付完全關閉受非法電子交易侵擾的服務器,對數據處理系統進行改造以及為重建公司信任度而進行的公關活動。與國防或能源部門合作的公司,如果工業圖紙被盜,其經濟或戰略損失可能非常巨大。

為什麼要追蹤黑客是如此困難?

連逮捕到敘利亞參加 聖戰 的聖戰者都被證明不可能汽車音響喇叭推薦,更別提抓到黑客 ..你該如何跟蹤一個在網絡上使用假IP地址的人?為此組建瞭完整的警察編隊,借助法國金融情報組[主要針對金融詐騙]和國傢安全部門的幫助。2013年約有2600萬個病毒(惡意軟件)軟件包被識別,意味著每天70萬個新的威脅。全球被病毒潛伏的計算機數量約為40%,一臺新電腦安裝初始程序後,隻能保持清潔3分鐘。之後,黑客安裝的一個小 僵屍網絡 (一個休眠的病毒軟件)可能喚醒,並在之後某個時刻運行僵屍網絡序列,然後使用這個 無辜 的IP發動網際攻擊。

黑客如何成功隱藏得這麼好?

發現一個復雜、高層次攻擊的平均用時為416天。法國財政部為G20峰會做的準備服務被黑客攻擊;一個由50名專傢組成的團隊,歷時4個月,一周七天不間斷地夜以繼日工作,才根除瞭 癌癥 。一旦黑客侵入你的系統,他/她隻需要等待24小時就可以獲得日常備份協議和文件,然後用一個月訪問每月備份、年備份,以此類推。漸漸地,他/她就能越來越深層次地訪問您的網絡結構。當你認為你已經關閉瞭一扇門的時候,他/她已經有瞭打開所有其他門的鑰匙。

總之是不可能有效地保護自己嗎?

確實很難,但又不能不做。我們的生存面臨著威脅,簡單的說,因為互聯網通過我們的所有系統以物理形式表現出來:在醫院手術室、我們的汽車、交通燈控制、電能表、供水網絡。同樣,以非物質的方式,互聯網服務框架通過銀行體系直接影響一國的經濟防禦能力,或能源采購政策和決策。我們可以回顧一下愛沙尼亞的情況 當時世界上技術最先進的國傢之一 俄羅斯黑客於2007年令其整個經濟癱瘓整整4天。

能否在成本可承受的前提下,實現一定的自我保護?

一般的電腦安全軟件是最基本的,能夠應付90%的低級別網絡犯罪。2013年,有7萬部手提電腦在倫敦地鐵被竊。全球70傢公司遭受瞭網絡攻擊。你必須小心防范。隻要樹立一道小 墻 ,就能阻止很多以簡單入侵為目標的網絡犯罪。但最終,你必須盡快安裝一個控制ID,基於三重授權:1. 我是誰(網名);2. 我的ID形式(證件還是卡片);3. 隻有我自己知道的信息(密碼)。如果密碼太多記不住,而必須做個列表,這個列表本身就成瞭軟肋。人們可以利用生物識別技術接入網絡,而你的密碼更是不堪一擊。我們必須小心自己的手機,這個介於計算機和機載數據處理設備之間的東西,完美體現瞭早期互相隔離的世界如今已經逐漸融為一體。

國傢和工業巨頭是否有共同利益基礎來實施各自的保護協議?他們最終會禁止使用雲計算嗎?

當然,國傢和巨頭們應該管好自己的事情,並采取措施保護自己。但必須指出的是,這些手段,通過適當部署,在其整個系統、網絡和數據處理設備中應該是同質,且與潛在損失是成比例。針對間諜、服務被迫關閉或被盜等不同性質的攻擊,保護手段也存在區別。然而,依我之見,禁止雲技術是沒有意義的。已經太晚瞭,走那條路經濟壓力也會過於沉重。我們必須與其共處,並盡最大可能來組織自身,例如通過不發送任何東西、數據到雲備份,通過高加密和對個人ID的專業控制、安全傳輸來保護我們的網絡行為。

今天,有可能保證一個公司或機構內部網絡的絕對完整性嗎?

不能。即使將一個內部網絡在技術上和物理上與外界隔離,隻要人們可以訪問,它們就會存在薄弱環節:缺乏紀律、人為錯誤、ID盜用

危險不僅是個人黑客,是嗎?

各國應該在兩個方面進行佈局:進攻和防守。愛德華 斯諾登披露的文件表明瞭一個事實,即美國國傢安全局投入瞭大量的資金和豐富資源,進行經濟間諜活動,甚至從設計和生產階段就開始去 感染 美國之外計算機和路由設備,以確保該機構獲得對所有入口和端口的訪問。與此同時,美國建立瞭更出色的網絡安全監管和法律框架,迫使傢庭和企業采取措施以保護自己免受網絡攻擊。動員各國解決這些問題為起點。在法國,2014年軍事立法規劃有幾篇致力於網絡安全的文章。被認為利益重大的項目和機構被要求依法提交專傢聽證會。2013年,英國政府要求CEO和所有FTSE100公司的外貿部門成員,發佈潛在攻擊和解決方案的警告。培訓也很重要,所有工程和博士課程現在都設置瞭網絡安全課程,專業課程也有必要開設。

那麼,企業界呢?

將控制風險納入戰略制定是必不可少的。一般來說,網絡安全部門的負責人向計算機和數據處理部門報告,這是最糟糕的配置台南汽車音響改裝。網絡安全預算與計算機部門的整體預算相沖突,系統中出現漏洞時,其負責人的位置很弱勢。往往是首席信息官(信息總監)全權負責一般功能的計算和數據處理,與工業計算或操作密集型數據處理沒有聯系。簡言之,2/3的計算功能存在於他的責任范圍以外。對於訪問控制非常重要的人力資源管理問題,也在他/她的權限之外。CIO受到職務等級的壓力,無法達到處理量規模和更低成本。他/她無權裁量網絡風險的經濟價值和實施充分保護的成本之間的投入產出。外資或出口部門也必須完全參與和動員。在法國大汽車公司,CTO(首席技術官)負責運營、工程及運轉,也負責網絡安全。這種安排很好,因為首席技術官對車載計算機設備很瞭解,他的團隊既是網絡的設計者,同時也是最終使用者。

哪些行業的安全保護做得更好?

最先進的是銀行,因為就其而言,一般的計算機操作和行業計算操作二者是同一件事。其他行業則明顯松懈得多。某些交鑰匙工廠項目並沒有實施任何網絡安全措施。我們曾經參觀中東一個煉油廠 世界上最大的煉油廠之一 整個工廠可以在10小時內遠程停止。隻需要盜取控制面板的IP,修改顯示屏內容設置,並誘導技術人員采取在這種設置下將導致工廠事故的 糾正 措施。你必須知道何時進行適當的投資。當一個石油公司的移動團隊得知所有勘探地圖和文件都被竊取時,他們在本質上失去瞭非常珍貴的商業談判砝碼,而雇主公司一定會後悔沒有購買幾部擁有加密功能的手機。

而最好的防線是 ?

關鍵是實時反應。為瞭減少損失,就必須先縮短受到攻擊後的覺察時間。探頭應該安裝在系統環境中。高水平的網絡罪犯分子仍然會通過,而其他人在離開時會留下微弱的信號。非工作時間內仍然安排 活躍 的監控。第二個關鍵點是要有選擇性,因為你不能實時保護所有的一切。數據處理系統應被劃分成不可混溶的單元,對系統訪問授權進行專業管理。

如何建立一個強大的網絡安全產品?

所謂高級別安全是非常保密的,應用領域很窄。例如,在核電站中使用的軍事通信代碼。這個市場完全掌握在美國人手中。他們買下瞭所有競爭對手,圍繞英特爾、微軟和思科建立瞭數十億美元的垂直產業。中等級別的安全產品,即保證大型、重要工業集團的防禦產品,在歐洲幾乎沒有,因為這個問題在很大程度上被忽視瞭。超過95%的企業資產不到5萬歐元。通常是資金不足的初創企業,產品有限,研發薄弱,很難拓展市場,尤其是國外市場。大型工業集團毫不猶豫地將自己的網絡安全外包,因為害怕重新部署和雇傭新員工 在美國,國土安全部對國傢安全局(NSA)擁有聯合控制,年收入50億美元,每年投資30億美元在網絡安全產業,為8萬人提供就業。我們在這個領域需要加強。在法國,關於網絡防禦的所謂的 33計劃 ,最近被寫進瞭建立一個專門的國傢安全部門的框架,向正確的方向邁出瞭一步。

法國CNIL(國傢計算機應用與自由委員會)和國外一些性質類似的機構註重保護個人。應該設立類似機構來保護企業嗎?

CNIL的職責是保護私人免受潛在個人資料濫用,也對這些個人的工作環境感興趣。因此該委員會很高調,但它不負責保護商人的商品或企業的數據。這是企業的責任,可能得到法國國傢信息系統安全局的支持和建議,或值得信賴的網絡安全公司,這些公司開始有所發展。唯一的問題是,這些公司還太小瞭。網絡安全產業應迅速建立並鞏固。

是否可以設想建立一個全球性的監管機構,以保證系統的完整性和網絡信息交換免受黑客攻擊?

有些人目前正在研究這個問題,但成果不大。各國傢目標不同,甚至對同一個概念的定義都存在分歧,那就是公共和私人自由到底是什麼!

(本采訪發表於2014年4月,Herv Guillou先生當時被任命為法國信托及安全產業委員會(法國)主席)

Herv Guillou

畢業於巴黎綜合理工學院、巴黎高科國立高等先進技術所、國立高等核技術學院(INSTN)和歐洲工商管理學院,職業生涯開始於1978年,擔任法國海軍造船廠DCN紅寶石攻擊潛艇力學和流體系統的經理。在此之後,在DCN Indret新一代核動力彈道導彈潛艇的核推進系統擔任項目經理。1989年到1993年,他是DGA的法國國傢軍備主任參謀和首席顧問。1993年在國際三方防空護衛艦地平線計劃擔任項目經理職位,是倫敦聯合項目辦公室主任。

1996年,他轉到Technicatome工程公司擔任董事總經理。1993年加入歐洲宇航防務集團(現在的空中客車集團),先後成為運載火箭的董事長兼CEO和航天運輸公司的CEO,EADS防務與通信系統(DCS)業務部門主席兼CEO,以及法國EADS防禦實體與SA安全系統的董事長兼CEO。

2014年,他被任命為法國DCNS集團(法國國有船舶制造企業)董事長兼CEO,擔任至今。

Herv Guillou是空中客車集團防禦和安全高級顧問,法國信托及安全產業委員會董事成員。

更多專業報道,請點擊下載 界面新聞 APP

0上海交大巴黎高科評論界面JMedia聯盟成員上海交大巴黎高科評論(www.sptreview.org)由上海交通大學與《巴黎高科評論》聯合推出。致力於為全球商業和公共領域的決策者與管理者提供深度科技評論

關註作者取消關註 私信

相關文章原債主7億入股樂視致新 總裁梁軍詳解背後投資邏...饒守春 楊洋 · 今天 08:52

聯想帝國的遲暮和曙光王潘 卜祥 郭曉峰 · 今天 08:51

【科技早報】三星發佈S8系列手機 小米支付首次...林嘉文 · 今天 07:39

表情您至少需輸入5個字發佈

評論(0)

60524E94D4D7DA41
, , , ,
創作者介紹

說回頭聊?然後呢

fntpk1d99 發表在 痞客邦 PIXNET 留言(0) 人氣()