物聯網時代催生安全隱患 從全局看待基礎設施安全

　　對于即將到來的物聯網時代，社會各界都面臨著各種挑戰。作為我國重要的網絡安全技術自主創新企業，安天很早就承擔起國家級網絡安全應急服務支撐單位工作，安天依托獲得國際權威獎項的下一代威脅檢測引擎核心技術，為國家相關部委和行業提供了高級威脅檢測產品解決方案，并先后分析曝光了白象、方程式等境外組織對我國的APT攻擊事件，引發國內外關注。今年5月25日，習近平總書記視察了安天總部。在2016世界物聯網博覽會安全論壇期間筆者徐倩專訪了安天創始人、首席技術架構師肖新光。

　　物聯網時代催生安全隱患

　　問：您如何看待物聯網時代?

　　肖新光：物聯網時代是人類信息化發展的一次重要的變革，其大大提升了對信息的采集能力和再造再加工能力，以及加快了信息傳遞的速度，增大了信息化的覆蓋面積。如果說計算機延展了人的腦力，那么物聯網時代就延展了人類的感知能力，物聯網時代會進一步加快生產力發展，提升人類的生活品質。但物聯網時代也擴大了網絡威脅影響的范圍，給網絡安全工作者提出了更高的挑戰。

　　從全局看待基礎設施安全

　　問：我國政府應該如何應對全球工業安全威脅，如何安全有效防護信息的泄露?

　　肖新光：習近平總書記在4.19網信工作會議講話中指出“關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標。”要求我們“加快構建關鍵信息基礎設施安全保障體系。”所以我們要注意一點，我們不要以偏概全、不能把關鍵基礎設施安全窄帶化為工控安全或者工業系統的安全，而是要站在“總體安全觀的”的角度來全局看待關鍵基礎設施安全。

　　超級大國、地緣利益競合國家和地區和一些非政府攻擊者，可能覬覦我關鍵基礎設施，試圖進行數據竊取、技術成果竊密、干擾破壞，以及進行長期持久化以達成后續行動便利等行動，我方當前面臨的威脅是多層次和多邊的。

　　因此保障關鍵基礎設施安全，全面避免片面的從“孤立”、“靜態”、“封閉”的角度看待，而是要從“供應鏈”、“信息流動”的大場景來看待，即要通過突破信息基礎技術、工業關鍵技術，掌握供應鏈的優勢;通過實現產業和服務全球化進取，達成信息流動的優勢;要切實推動網絡安全產業的成長，推動網絡安全產業和關鍵基礎設施的能力對接;從防御能力和威懾能力的角度完善國家能力準備。

　　保障政府采購體系安全

　　問：對政府采購體系的安全有哪些建議?

　　肖新光：政府采購體系是我們社會的基礎經濟運行體系的重要支撐環節，其安全非常關鍵。但信息系統的安全是復雜關聯的，很難簡單說清楚。總體上來看，其涉及到通過安全補丁加固、惡意代碼檢測和主動防御機制保證服務器節點的安全性;引入反APT級別的安全防護產品保證政府采購相關部門機構的內網安全;進行有效的應用層防護，對抗SQL注入等應用漏洞;推廣賬戶和密碼安全機制、實現關鍵數據字段的強加密，遏制撞庫、脫庫等攻擊;貫徹安全開發方法和有效代碼審查，減少應用層漏洞;強制使用HTTPS，避免通訊內容被從信道側獲取、實行更強有力的內審和監控機制，避免內鬼作案等等。同時，更要聯合公安執法部門，對于攻擊政府采購體系，惡意竊密牟利的違法犯罪活動予以高壓打擊，形成有效威懾。