“网络科技发展到哪里,各类风险挑战也会随之渗透到哪里。中国物联网在自主创新、安全可控方面需翻山越岭、走好新长征。”近日,在由中国信息安全测评中心等主办的“2019世界物联网博览会信息安全高峰论坛暨第十二届信息安全漏洞分析与风险评估大会”上,中国信息安全测评中心专家委员会副主任黄殿中说。
自主可控是网络安全的前提
中国信息安全测评中心总工程师王军表示,我国网络空间形势总体向好:网络安全法律体系不断健全,网络安全管理体制机制不断完善,网络安全防护水平和应急处置能力不断提升;网络病毒、网页篡改、网站后门等传统网络安全问题,在一定程度上得到有效控制;行业数据与个人数据的安全防护工作也在稳步推进。然而,不容忽视的是,物联网设备被攻击事件屡屡发生,造成用户隐私泄露、数据被窃取,甚至影响基础通信网络运行,安全问题已成为影响物联网行业健康发展的关键问题。
“网络安全的核心是技术安全, 网络安全必须实现关键核心技术自主可控。”中国工程院院士倪光南说。
倪光南指出,自主可控是实现网络安全的前提,是一个必要条件,但并不是充分条件。换言之,采用自主可控的技术不等于实现了网络安全,但没有采用自主可控的技术一定不安全。在操作层面上,为了保障网络安全,首先要做到自主可控,尤其是关键核心技术,能否满足自主可控要求,往往具有一票否决的地位。
在现场,为更好地解释何为可控性,倪光南举了这样一个例子:你买了一辆传统汽车,自然拥有了对汽车的控制权,一般不需考虑可控性,只需考虑安全性就行了。但是,如果你买的是自动驾驶汽车,而这辆汽车能联网,那么,它的安全性就变得复杂了。即使汽车本身的安全性没有问题,但它可能被黑客劫持,这时汽车的控制权就落到黑客手里,黑客可以遥控汽车,使其不受你的控制,甚至导致车毁人亡。“这就是可控性出了问题,由此可见,对属于非传统安全范畴的网络安全而言,离不开自主可控。”倪光南强调。
新技术带来安全新风险
“边缘计算、人工智能等新技术的应用,也加剧了物联网安全的新风险。”王军认为,在边缘计算加持下的物联网安全风险不断增加。由于参与边缘计算的设备分布广、环境复杂、数量庞大,且很多设备在设计之初未完备考虑安全风险,传统信息安全防护已不能完全适应边缘计算的防护需求。另外,人工智能的安全治理也存在滞后。王军指出,相对于人工智能产业的发展,有关人工智能的规划和治理原则等也存在明显滞后性,其安全问题也难以形成通用性的应对方式和解决措施。
安全问题凸显,究竟该如何应对?对此,王军表示,我们应该思考“现有防御能力够不够”“是不是足够抵抗攻击”,不能盲目地乐观,要时刻绷紧“网络安全”这根弦。首先,要构建物联网信息安全的完备体系,完善自身组织架构、理论框架和制度设计等顶层设计;其次,要关注技术本身,物联网安全与传统的网络安全相比有自身特点,更需要深入研究、持续创新、寻找解决方案;还要关注物联网信息安全生态圈建设,联合地方政府、行业协会、高校院所和企业等共建安全生态圈。(科技日报 记者付丽丽)