漏洞報告平臺的“漏洞”70%網路安全事件都是人的問題

玄學醬發表於2017-07-05

前不久,國內兩大漏洞報告平臺關閉的訊息引起軒然大波,也把網路安全問題再次拉進了人們的視野。

漏洞報告平臺的“漏洞”

漏洞報告平臺(又稱“白帽子”)的功能是幫助客戶“挖”網路系統的“漏洞”,從而達到預警客戶使其及時修補,以免遭受黑客攻擊造成損失。而就在7月下旬,國內兩大知名漏洞報告平臺“漏洞盒子”和“烏雲”相繼出現了無法訪問情況。

由此,網路安全人士對網路安全維護者的行為規範甚至是整個網路生態系統的“遊戲規則”進行了一場討論。上海交通大學資訊保安工程學院院長、中國網際網路安全大會網路空間安全人才培養分論壇主席李建華為中國青年報·中青線上記者舉了一個簡單的例子:“如果有人闖入你家拿了你的財產,他是不是有罪?”

因為當下“資訊是資源,資料是資產”,李建華說。的確,現在網路已經成為許多人賴以生存的生態系統。截至2014年11月,全球網際網路使用者數量突破30億大關,以網際網路為基礎的資訊系統幾乎構成了國家和社會的“中樞神經系統”。

網路生態系統的安全關乎著國防、公共服務管理體系和每個人的日常生活能否正常運轉。那麼,這個新興的生態系統需要什麼樣的人來保護?

70%的網路安全事件都是“人的問題”

目前,我國培養資訊保安類專業本科畢業生約每年1萬人,與我國高速發展的網際網路經濟以及資訊保安人才實際需求之間存在較大差距。有行業人士預測,近5年,我國資訊保安行業每年還需要增加約兩萬人。

繼2001年教育部批准設立資訊保安專業後,為實施國家安全戰略,加快網路空間安全高層次人才培養,2015年6月,國務院學位委員會、教育部決定在“工學”門類下增設“網路空間安全”一級學科。李建華所在的上海交通大學,是全國第一批被批准建設一級學科的高校之一,對於網路空間安全專業人才的培養問題,他有自己的見解。

李建華特別強調,大家必須先把網路空間安全的“內涵”搞清楚。他認為,人們對網路空間安全的理解需要突破“技術域”,走進“認知域”。通俗來講,即不僅要對網際網路物理裝置的安全性、傳遞資訊的機密性有所要求,還要對網路空間資訊的內容本身的安全性有界定,以及對網路空間的社會域特性有界定。

李建華說,網路安全問題遠非“技術攻防”,業內普遍認為70%的網路安全事件都是“人的問題”。他解釋說,高階的網路安全攻擊通常是從技術人員本身“下手”,運用社會工程學、心理學等知識找到人在網路生態系統中的“弱點”,而後再用技術手段開啟突破口。因此他認為,網路安全人才需要在社會公共管理科學知識、政治、文化等領域有紮實的通識教育基礎,同時需要具備良好的道德和法律素養,而非僅僅是“技術天才”。

具體到網路安全的相關知識結構上,他鼓勵對學生進行交叉學科的培養,除了要有專項技術能力,還要有社會工程學、法律、創新實踐等領域的相關知識和能力。

培養“高階”網路空間安全人才

針對種種網路安全威脅和攻擊,中國高校的網路空間安全教育者們一直在探索與時俱進的人才培養模式。

提到培養人才,李建華表示師資隊伍建設是首先需要考慮的問題。他提倡高校將網路空間安全的師資隊伍人員劃歸到獨立院系,並且鼓勵這些院系與行業和產業融合互動,形成“產學研”一體的專業教師隊伍。

在培養模式方面,他認為教育部批准實施的“卓越工程師教育培養計劃”為這一學科的設定提供了可以借鑑的經驗,即課堂、競賽、校企聯動、國際交流相互融合的培養模式。同時,李建華尤其強調了“實踐”的重要性。針對網路安全領域知識覆蓋面寬、更新快的特點,他在上海交通大學提出要在網路安全專業學生培養過程中大量增加實踐環節,通過創新平臺的搭建和應用,培養和訓練學生的創新思維,使學生形成“自主思考”、“獨立分析”和“自行解決問題”的習慣。

在培養層次上,李建華認為應該以培養碩士、博士等高階網路空間安全人才為主。他表示,碩士可以進行網路空間安全問題領域基礎研究和關鍵系統設計;博士生則可以著重解決前沿問題,甚至進行網路空間安全的頂層設計。

“網路安全空間其實是個看不見的戰場。”對李建華這個堅定的網路空間捍衛者來說,“技術不是唯一的衡量標準,還需要奉獻精神和其他。”

李建華是研究網路“攻防”技術和資訊內容安全管理出身,因積極參與國家資訊保安專案,他稱自己為“紅客”。他希望從事網路空間安全工作的年輕人可以意識到:“技術是中性的,但技術服務的物件是有立場的。”而這種意識的形成,需要國家、社會、高校的多方引導。

====================================分割線================================

本文轉自d1net(轉載)


相關文章