人物配图 刘 莉摄
视觉中国供图
前沿
人类社会的信息化水平越高,对网络空间安全的要求就更高。5G时代来临,网络空间安全面临新的挑战,应如何紧守网络空间安全大门?谁又来为网络空间安全保驾护航?
8月3日,在南京举行的“第十二届全国大学生信息安全竞赛”颁奖典礼暨网络安全人才创新创业教育论坛上,中国工程院院士沈昌祥、方滨兴等与会专家表示,网络空间安全已经成为国家安全的战略高地,必须集中力量创新,解决网络安全的核心技术问题以及人才培养问题,打造好我国网络空间安全的“免疫系统”。
新技术“伴生”新的安全问题
人工智能、大数据、云计算、物联网、5G……随着新技术的交替涌现,人类开启万物互联时代。“每出现一种新技术,都会产生两种效应,一是赋能效应,一是伴生效应。”中国工程院院士方滨兴说。
从赋能防御角度看,新信息技术是可以用于解决信息安全问题的。方滨兴用物联网来举例:物联网被用于智慧城市的边界防控,一旦有任何的暴力、社会治安事件,都可以第一时间捕捉到,“所以我们说物联网保护了安全,让破坏者无法隐藏他的身份。”
但新技术自身也会有脆弱性,这可能会导致其“伴生”出新的安全问题,比如移动网络出现伪基站,“如果没有移动网络,就没有伪基站的出现。”再比如,NFC支付本身是个很好的技术,它本身没有问题,但它容易导致被近距离攻击。“你身上有张信用卡,另一个人身上有个pose机,现在很多都是小额免密支付,只要他刷的金额小一点,就可以在经过你身边时盗刷到你的信用卡。”
方滨兴总结道:新技术的出现会带来新的安全问题,从伴生效应角度来看,没有绝对的安全。
此前,在2019互联网安全领袖峰会上,中国工程院院士邬贺铨也指出,5G对安全是把双刃剑。“5G实现了计算跟通信的融合,基于大数据、人工智能的网络运维减少了人为的差错,智能化的监控有利于提高网络的安全防御水平,但是5G的虚拟化和软件定义的能力也引入了新的安全风险,也需要正视5G带来的安全挑战。”
“网络空间极其脆弱,绝对的安全不存在,也没有所谓‘刀枪不入’的体系——网络威胁是永远的主题。”沈昌祥院士说,当前大部分网络安全系统由防火墙、入侵监测和病毒查杀组成,称为“老三样”。但是在新形势下,“老三样”已经过时。“网络空间安全已经成为国家安全的战略高地。必须集中力量创新,解决网络安全的核心技术问题以及人才培养问题,打造好我国网络空间安全的‘免疫系统’。”
没有核心技术安全,
网络空间安全就只是“空中楼阁”
网络空间安全的组成部分自上而下包括应用层、基础软件层、硬件设备层、核心基础层。其中,最底层的核心基础层的安全最为关键。目前,我国在信息产业上的应用软件已经基本能够做到自主研发,但是很多核心基础层仍一直受控于其他科技发达国家。
“没有核心技术的安全,什么都是空谈。”中国长城科技集团股份有限公司副总裁谷虹说,“底层的东西也一定要我们自己来做,才能做到真正的安全,否则整个网络空间安全只是‘空中楼阁’。”
“实际上问题恰恰出在底层的运行环境,包括元器件、操作系统等,不是我们自主研发自主生产的。”东南大学网络空间安全学院宋宇波教授说,“如果别人在元器件内部植入一个恶意代码的话,你根本就不可能知道。他把恶意代码放到非常非常底层,那你在别人的地基上盖房子,上面做得再怎么好都没有意义,所以这是最需要我们努力去迎头赶上的。”
谷虹认为,在解决底层安全问题时,最重要的是选择一条正确的技术路线,这条路线一定要是主流路线才能带动技术的发展,“中国电子既有CPU也有操作系统,飞腾和麒麟做的产品在专业市场上有一定的份额,我们希望这样的标准能够成为中国标准,也成为世界标准,我们目前这样一个标准体系的产品也正在做国际输出,也有一些国家在用。”
除了走先进的路线、更加开放的路线以外,谷虹认为,我们也要同国际生态相融合,网信技术目前已经是全球技术的创新高地,它的特点是研发人员最集中、创新程度和活跃程度最高、应用也最广泛,中国的信息产业应抓住这一机会争取更广阔的发展天地。
沈昌祥认为,应建立主动免疫的计算架构,类似于人体自身的免疫系统,这样就可以破坏与排斥进入机体的有害物质,为网络信息系统培育免疫能力。“主动免疫安全防护的效果体现在:让攻击者‘进不去’、非授权者重要信息‘拿不到’、窃取保密信息‘看不懂’、系统和信息‘改不了’、系统工作‘瘫不成’、攻击行为‘赖不掉’。”
百万人才缺口亟待填补
“网络空间安全的竞争,归根结底是人才的竞争。”沈昌祥院士说。但是,我国该领域人才缺口相当之大。“当前,网络空间安全的人才需求量已达到100万人,但是每年相关专业的本硕博人才只有3万人。人才需求远远大于高校的供给量。”东南大学网络空间安全学院执行院长程光透露。与会专家们认为,要堵上“人才缺口”,需要政府、高校、企业协同发力。
2012年9月,美国发布了国家网络空间安全教育战略计划,建立了从基础教育到高等教育、从学历教育到职业培训、从常识普及到打造专家的完备人才体系;日本、法国、德国等也开展了网络空间安全人才建设的顶层设计,制定出台了相应的国家战略文件。
我国也将网络空间安全人才培养提升到了新的高度。2015年6月,国务院学位委员会、教育部批准增设“网络空间安全”一级学科。2016年11月,《网络安全法》正式通过,要求国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才。
沈昌祥院士一直担任教育部网络空间安全专业教学指导委员会名誉主任,他说,举办了12届的全国大学生信息安全竞赛,就是为选拔优秀网络空间安全专业人才、推动我国高校网络空间安全建设与改革的一项重要赛事。“我们现在需要的网络空间安全人才首先应具备创新实践能力,不能只会‘找漏洞’‘打补丁’。”他强调,除了要加强基础理论教学,还要加强实践能力的锻炼,学校和老师应坚持以创新为核心,办好学、教好学。
“目前网络安全人才的培养重点主要在于课程本身,但相关企业其实更关注学生的实践能力。”北京西普阳光教育科技股份有限公司副总经理林雪纲认为,促进行业和学术的交流非常必要,“不但要将产业的技术转化为教学资源,比如华为和教师的沟通,将新技术变成教学资源输送到高校;还要考虑如何将新技术应用到安全防护中,基于AI、机器学习的新技术也可以应用到网络安全防护中。”
为了解决人才缺失问题,东南大学整合集成信息与通信工程、计算机科学与技术、数学等优势学科资源,在全国高校中较早成立了网络空间安全学院,是目前全国唯一一个一流网络空间学院和国际治理基地共同建设的院校。除了通过学院培养和基地培养,为国内和网络空间国际组织输送高层次专业技术人才外,东大还通过社会培训、联合兄弟高校等模式,带动江苏省乃至全社会一起发展网络安全学科。
本报记者 蔡姝雯
实习生 刘 春 上官新宇
人物配图 刘 莉摄
