漏洞報告平臺的“漏洞”70%網路安全事件都是人的問題
前不久,國內兩大漏洞報告平臺關閉的訊息引起軒然大波,也把網路安全問題再次拉進了人們的視野。
漏洞報告平臺的“漏洞”
漏洞報告平臺(又稱“白帽子”)的功能是幫助客戶“挖”網路系統的“漏洞”,從而達到預警客戶使其及時修補,以免遭受黑客攻擊造成損失。而就在7月下旬,國內兩大知名漏洞報告平臺“漏洞盒子”和“烏雲”相繼出現了無法訪問情況。
由此,網路安全人士對網路安全維護者的行為規範甚至是整個網路生態系統的“遊戲規則”進行了一場討論。上海交通大學資訊保安工程學院院長、中國網際網路安全大會網路空間安全人才培養分論壇主席李建華為中國青年報·中青線上記者舉了一個簡單的例子:“如果有人闖入你家拿了你的財產,他是不是有罪?”
因為當下“資訊是資源,資料是資產”,李建華說。的確,現在網路已經成為許多人賴以生存的生態系統。截至2014年11月,全球網際網路使用者數量突破30億大關,以網際網路為基礎的資訊系統幾乎構成了國家和社會的“中樞神經系統”。
網路生態系統的安全關乎著國防、公共服務管理體系和每個人的日常生活能否正常運轉。那麼,這個新興的生態系統需要什麼樣的人來保護?
70%的網路安全事件都是“人的問題”
目前,我國培養資訊保安類專業本科畢業生約每年1萬人,與我國高速發展的網際網路經濟以及資訊保安人才實際需求之間存在較大差距。有行業人士預測,近5年,我國資訊保安行業每年還需要增加約兩萬人。
繼2001年教育部批准設立資訊保安專業後,為實施國家安全戰略,加快網路空間安全高層次人才培養,2015年6月,國務院學位委員會、教育部決定在“工學”門類下增設“網路空間安全”一級學科。李建華所在的上海交通大學,是全國第一批被批准建設一級學科的高校之一,對於網路空間安全專業人才的培養問題,他有自己的見解。
李建華特別強調,大家必須先把網路空間安全的“內涵”搞清楚。他認為,人們對網路空間安全的理解需要突破“技術域”,走進“認知域”。通俗來講,即不僅要對網際網路物理裝置的安全性、傳遞資訊的機密性有所要求,還要對網路空間資訊的內容本身的安全性有界定,以及對網路空間的社會域特性有界定。
李建華說,網路安全問題遠非“技術攻防”,業內普遍認為70%的網路安全事件都是“人的問題”。他解釋說,高階的網路安全攻擊通常是從技術人員本身“下手”,運用社會工程學、心理學等知識找到人在網路生態系統中的“弱點”,而後再用技術手段開啟突破口。因此他認為,網路安全人才需要在社會公共管理科學知識、政治、文化等領域有紮實的通識教育基礎,同時需要具備良好的道德和法律素養,而非僅僅是“技術天才”。
具體到網路安全的相關知識結構上,他鼓勵對學生進行交叉學科的培養,除了要有專項技術能力,還要有社會工程學、法律、創新實踐等領域的相關知識和能力。
培養“高階”網路空間安全人才
針對種種網路安全威脅和攻擊,中國高校的網路空間安全教育者們一直在探索與時俱進的人才培養模式。
提到培養人才,李建華表示師資隊伍建設是首先需要考慮的問題。他提倡高校將網路空間安全的師資隊伍人員劃歸到獨立院系,並且鼓勵這些院系與行業和產業融合互動,形成“產學研”一體的專業教師隊伍。
在培養模式方面,他認為教育部批准實施的“卓越工程師教育培養計劃”為這一學科的設定提供了可以借鑑的經驗,即課堂、競賽、校企聯動、國際交流相互融合的培養模式。同時,李建華尤其強調了“實踐”的重要性。針對網路安全領域知識覆蓋面寬、更新快的特點,他在上海交通大學提出要在網路安全專業學生培養過程中大量增加實踐環節,通過創新平臺的搭建和應用,培養和訓練學生的創新思維,使學生形成“自主思考”、“獨立分析”和“自行解決問題”的習慣。
在培養層次上,李建華認為應該以培養碩士、博士等高階網路空間安全人才為主。他表示,碩士可以進行網路空間安全問題領域基礎研究和關鍵系統設計;博士生則可以著重解決前沿問題,甚至進行網路空間安全的頂層設計。
“網路安全空間其實是個看不見的戰場。”對李建華這個堅定的網路空間捍衛者來說,“技術不是唯一的衡量標準,還需要奉獻精神和其他。”
李建華是研究網路“攻防”技術和資訊內容安全管理出身,因積極參與國家資訊保安專案,他稱自己為“紅客”。他希望從事網路空間安全工作的年輕人可以意識到:“技術是中性的,但技術服務的物件是有立場的。”而這種意識的形成,需要國家、社會、高校的多方引導。
====================================分割線================================
本文轉自d1net(轉載)
相關文章
- 卡巴斯基報告:70%的黑客攻擊事件瞄準Office漏洞黑客事件
- 從網路攻防視角,重塑漏洞平臺的價值
- 《網路產品安全漏洞管理規定》出臺,漏洞披露者的緊箍咒?
- 工信部網路安全威脅和漏洞資訊共享平臺正式上線執行
- 網站的安全漏洞網站
- 【漏洞分析】KaoyaSwap 安全事件分析事件
- WEB安全漏洞掃描與處理(下)——安全報告分析和漏洞處理Web
- 5月第2周網路安全報告:應用程式漏洞佔比第一
- 網路安全漏洞的種類分為哪些?
- 安全漏洞問題1:不安全的加密儲存加密
- 【網路安全】最常見的六大安全漏洞!
- 2019年網站漏洞檢測報告安全分析網站
- Mongodb未授權訪問漏洞全網探測報告MongoDB
- 360釋出網路安全九月月報 共收錄13個漏洞、211項安全事件事件
- 中國網際網路被Struts2漏洞血洗 烏雲收超100家網站漏洞報告網站
- 【阿里聚安全·安全週刊】Intel晶片級安全漏洞事件|macOS存在漏洞阿里Intel晶片事件Mac
- SUMAP網路空間測繪|2021年CVE漏洞趨勢安全分析報告
- 網路安全生態研究報告發布應用軟體漏洞成主要威脅
- 【漏洞復現】Paraluni 安全事件分析事件
- 安全廠商WSLab推出漏洞拍賣平臺
- 我的網站被黑了,該如何排除漏洞並修復安全問題網站
- AI輔助安全測試案例某電商-供應鏈平臺平臺安全漏洞AI
- 金山安全報告:二月漏洞頻出網站掛馬猖獗網站
- 論漏洞管理平臺的自我修養
- Docker再曝安全漏洞,這次是PWD的問題Docker
- 關於html的a標籤的target="__blank "的安全漏洞問題HTML
- 區塊鏈平臺EOS現系列高危安全漏洞區塊鏈
- 如何解決sql注入安全漏洞問題SQL
- 安全漏洞問題3:跨站指令碼指令碼
- 黑客提交漏洞先獲感謝後被舉報網路安全行業或現標誌性事件黑客行業事件
- 漏洞成為網路安全最大的隱患美軍網路武器庫被叫賣
- IDC報告|綠盟網路安全漏洞掃描與管理產品領跑十年
- Secunia:2014年程式安全漏洞研究報告 Chrome成為漏洞最多程式Chrome
- 漏洞管理平臺『洞察』部署指南
- Joomla 物件注入漏洞分析報告OOM物件
- 英國電信和畢馬威釋出網路安全報告,強調網路安全陷阱問題
- 2019年APP安全漏洞檢測安全工具報告APP
- 沒想到,歷史漏洞造成的安全事件這麼多?事件