网络安全：全国产还不够 攻防更有效【2】

　　要想解决整个国家网络安全保障体系能力提升的问题，实际上最重要的一点就是合作。我们知道网络安全根本性的问题是因为存在漏洞，如果我们能够预先知道漏洞，在这个漏洞被利用前能找到并把它修补起来，自然而然网络安全的保障能力就能很大提升。如果想提高发现漏洞的能力，就需要构建一个漏洞防御体系。其中，构建一个好的漏洞报告平台非常重要。依赖于某一个人或某一个团体就把所有的漏洞都发现，是不可能的事情。只有发挥全社会的力量，大家一起来干，才有可能把尽可能多的漏洞发现。

　　此外，还需要有专业的团队进行检验和评估，判断漏洞的危害性。当然漏洞出现了以后，相应的厂商要结合到体系内，把他自己产品的漏洞及时快速地修补起来，甚至做产品的召回。同时用户接到漏洞的通报信息以后，也要能够迅速地按照要求把补丁打上。

　　只有把报告平台、专业队伍、生产厂商、产品用户团结起来合作，才有可能构成一个比较完整的漏洞防御体系。

　　中国工程院院士、车联网专家郭孔辉

　　智能汽车安全状况堪忧

　　车联网的推广和普及拉动新的巨大产业链，对GDP有强力拉动。假设平均一辆汽车设置的车联网硬件是5000元的话，现在年产2300万辆车，一年的附加值可以达到1000亿元以上，可是软件和地面设施各种服务就可能达到上万亿元的产值。车联网产业链越来越长，汽车产销经营活动加入了很多服务的内容，汽车制造商和信息集成商、服务商可以直接联系，联通到各个领域的服务部门。

　　但是，车联网、物联网又带来了安全的风险，信息技术在汽车上的应用也成为了双刃剑。目前智能汽车至少有超过80个智能传感器，每天传输的数据高达100M，这些数据涵盖了汽车和驾驶者的个人信息，利用市面上随手可以得到的汽车诊断设备外加一款应用软件即可实现对智能汽车的攻击。有网上传言，只要10美元就可以攻破奔驰和宝马。最近360破解了特斯拉Model S应用软件的一些漏洞，并实现对特斯拉车的开锁等行动。

　　以OBD技术为例，它是用来自行诊断车辆故障类型的功能模块，可以远程通过手机进行遥控，可以让汽车驾驶途中中途熄火，遥控打开其后备厢进行偷盗，随时可以让汽车车门打开，进行很多不安全的动作。有的还有自动的防撞系统，刹车一下后面追尾就一大串。这种应用软件一旦放到网上公布，任何使用手机的人都有可能变成汽车的黑客，这将是灾难性的。针对车联网行业防OBD攻击的智能汽车防火墙产品，SyScan360已经首次开始亮相了，可是道高一尺、魔高一丈，之后的发展前景还是值得忧虑的。

　　网络安全应急技术国家工程实验室主任杜跃进

　　用竞赛寻找网络安全人才

　　网络安全的本质和其他的东西不太一样，本质是人和人之间的攻防对抗，并不是客观的。打个比喻，当对手已经用上隐形的战机飞越屏障时，我们还想象着要修一个长城就可以打退敌人，这显然是无法攻防对抗的。你必须要了解对手是人不是一个已经写好的程序，更需要像对手一样思考。现实中防御团队做的很多东西，与攻击团队的思路很不一样，防御的手法很容易被攻击者绕过去。所以对做网络安全的人来说，不能只是从自己的想象出发，还要了解自己的对手。例如网络钓鱼，专家给出的防范网络钓鱼的方法有很多条，而实际上，这些方法都可以被黑客绕过去，最终的结果是防不胜防。

　　我认为解决网络安全问题的方法之一是竞赛，更广泛地用集体的力量来帮助我们解决问题。竞赛分成三种不同的类型，第一类是挑战赛，针对一个真实存在的系统或者是应用寻找问题，进行改进。

　　第二类是创意赛，寻找新的方法。比如想解决一个问题，某一个人的方法证明效果最好，我们就把这个方法拿出来解决实际问题。现实中有非常多的东西可以用这种方法来找到答案。

　　第三类是对抗赛，在比较短的时间里通过攻防对抗的方式和合作的方式找出谁的技术积累、快速分析能力、应变能力最强，从防的角度来说也可以验证真实的效果。

　　我们认为，网络安全的人才是要在实际场景中练出来的。

　　360公司董事长兼CEO周鸿祎

　　智能化与大数据带来安全挑战

　　安全的挑战，我觉得有这么几个问题。

　　第一，当所有的设备都变成智能化、都接入网络以后，边界的概念将会进一步被削弱，也就是说接入点越多，可以被攻破的可能的入口就会越多。过去，我们很奉行隔离、切断，把电脑放在一个屋子里，把一个网络进行隔离，但今天会发现越来越多不起眼的设备都支持WiFi和蓝牙，这里面有太多可以被别人攻击的点，而且攻击点越多，防守的挑战就越大。

　　第二，过去很多企业可能不太重视企业的安全。我们很多时候买防火墙是为了合规，是上级要求和行业要求，但是防火墙究竟有没有配置好，能起多大的作用并不知道，可能也不怎么会出事，因为过去，企业可以把自己割裂在一个安全的孤岛上，但是现在变成互联的企业之后，就不可避免要把自己的核心业务系统接入到互联网上。

　　第三个问题，大数据污染。就是大数据中如果被人人为加入了不好的数据、人为操作和注入修改虚假信息，在数据传输存储过程中出现了问题，而我们又根据大数据做一些行业的指导和趋势的分析，可能会出问题。

　　大数据还会带来两个挑战。一个是大数据带来的用户隐私问题。最近美国机器人很热，当大数据运用到人工智能后很可能人类技术会发展到一个新的基点。当机器智能能够控制很多设备的时候，会出现两种可能，一种是家庭生活会变得更加幸福，另一种是骇客帝国的时代会来临。

　　另一个，也是最重要的一个挑战是用户隐私的挑战。在这样一个IoT和大数据的时代，我们每个人的数据，实际上只要使用网络服务，就会被传到云端，就会被储存到各个提供互联网的、或是联入互联网的公司的云端，每个人会变得更加透明。而法律和规则的制定往往是落后的，有很多问题会说不清楚，也管不清楚。