數(shù)據(jù)說：我們的網(wǎng)絡(luò)世界很不安全，區(qū)塊鏈將大放異彩

從密碼到指紋到人臉，電子設(shè)備和便捷支付的認證手段越來越高級，在我們的個人信息登錄時也有密碼和短信驗證等諸多保護。那么，我們今天的網(wǎng)絡(luò)已經(jīng)夠安全了嗎？答案是不，而且數(shù)據(jù)顯示是完全不。

8 月 23 日，IAIC 信息安全高峰論壇暨 2019 中國芯應用創(chuàng)新設(shè)計大賽上，賽迪智庫網(wǎng)絡(luò)安全研究所黃忠義分享的《網(wǎng)絡(luò)信息安全技術(shù)與發(fā)展趨勢》用數(shù)據(jù)讓現(xiàn)場的觀眾一片嘩然，讓大家知道目前的網(wǎng)絡(luò)安全建設(shè)仍然任重道遠，要實現(xiàn)安全網(wǎng)絡(luò)還有很多問題待解。

賽迪智庫網(wǎng)絡(luò)安全研究所黃忠義

網(wǎng)絡(luò)安全環(huán)境不容樂觀
首先是國際環(huán)境。當前，美國并沒有給出實質(zhì)性理由就對華為的 5G 設(shè)備安全提出質(zhì)疑，這種情況進入 2019 年之后更為嚴重，在未拿出任何證據(jù)的情況下禁止美國企業(yè)和華為、中科曙光等企業(yè)進行交易和服務，這使得我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的國際環(huán)境極其惡劣。黃忠義引用了具體的案例，5 月 16 日，美國總統(tǒng)特朗普簽署《確保信息通信技術(shù)與服務供應鏈安全》，將華為及關(guān)聯(lián)企業(yè)加入“實體名單”；然后在 5 月底和 6 月初，國際學術(shù)組織紛紛將華為的會員資格取消。

其次是國內(nèi)環(huán)境。黃忠義引用研究機構(gòu) CNCERT 的數(shù)據(jù)指出，目前我國每月新增信息系統(tǒng)安全漏洞數(shù)量較為穩(wěn)定，其中高危漏洞占比在 30%左右。境內(nèi)被篡改網(wǎng)站數(shù)量在 4 月和 5 月表現(xiàn)呈現(xiàn)快速增長的趨勢，尤其是 5 月份，網(wǎng)站被篡改數(shù)量達到了 16999 個。

內(nèi)憂和外患同在的情況下，黃忠義表示當前我們的網(wǎng)絡(luò)安全整體態(tài)勢不容樂觀。CNCERT 數(shù)據(jù)顯示，我國在 5 月份感染網(wǎng)絡(luò)病毒的終端數(shù)量達到了 79 萬臺。并且，在 2019 年上半年發(fā)生了很多典型的網(wǎng)絡(luò)信息大規(guī)模泄露事件。包括深網(wǎng)視界的人臉識別數(shù)據(jù)泄露，波及 668 萬條個人信息；多家 HR 企業(yè)的求職者數(shù)據(jù)泄露事件，共關(guān)聯(lián) 5.9 億份簡歷信息；還有上海交通大學的電子郵件泄露事件，8.4TB 電子郵件數(shù)據(jù)被竊取。

政企加大整治網(wǎng)絡(luò)安全力度
黃忠義在報告中指出，我國網(wǎng)絡(luò)安全政策法規(guī)在加速出臺。包括關(guān)乎數(shù)據(jù)安全和個人信息的《個人信息出境安全評估辦法（征求意見稿）》、《數(shù)據(jù)安全管理辦法（征求意見稿）》等；關(guān)乎網(wǎng)絡(luò)安全審查和網(wǎng)絡(luò)安全漏洞審查的《網(wǎng)絡(luò)安全審查辦法（征求意見稿）》、《區(qū)塊鏈信息服務管理規(guī)定》等。多項政策法規(guī)的出臺使得《網(wǎng)絡(luò)安全法》配套法規(guī)更加完善。

雖然當前網(wǎng)絡(luò)安全的整體環(huán)境還存在諸多待完善的情況，不過我國網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展態(tài)勢良好。黃忠義表示，目前我國網(wǎng)絡(luò)安全在法律法規(guī)、產(chǎn)業(yè)基地籌備、示范項目扶持以及投融資方面都呈現(xiàn)出良好的發(fā)展態(tài)勢。他在介紹產(chǎn)業(yè)投融資方面講到，據(jù)不完全統(tǒng)計，上半年國內(nèi)共有超過 16 起網(wǎng)絡(luò)安全企業(yè)投融資和并購事件，涉及金額累計超過 27.5 億元，360、啟明星辰、芯盾時代等企業(yè)都獲得了健康充足的現(xiàn)金流。

在他的演講中提到，我國在網(wǎng)絡(luò)信息安全方面還是有較為完備的產(chǎn)業(yè)鏈。在云安全方面，國內(nèi)企業(yè)有阿里巴巴、騰訊、百度、華為、山石網(wǎng)科、杭州安恒、網(wǎng)康科技；在數(shù)據(jù)安全方面，國內(nèi)企業(yè)有啟明星辰、天融信、綠盟科技、神州泰岳、時代億信、明朝萬達、中國軟科、中電長城國際、上海現(xiàn)安、360、億陽、鼎普等；在 APT 攻擊檢測與防護方面，國內(nèi)企業(yè)有 360、阿里巴巴、安天、知道創(chuàng)宇、綠盟科技、金山等；威脅情報分析及安全態(tài)勢感知方面，國內(nèi)企業(yè)有 360、阿里巴巴、安天、知道創(chuàng)宇、微步在線等；在智能制造安全方面，國內(nèi)企業(yè)有和利時、浙大中控、四方繼保、南京自動化、綠盟科技、啟明星辰等。

區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的作用
黃忠義表示，在網(wǎng)絡(luò)安全建設(shè)中，區(qū)塊鏈技術(shù)將發(fā)揮重要作用。他強調(diào)，解決網(wǎng)絡(luò)安全并不需要完備的區(qū)塊鏈技術(shù)，輕量級的區(qū)塊鏈技術(shù)就能夠發(fā)揮很大的作用。

區(qū)塊鏈是分布式數(shù)據(jù)存儲、點對點傳輸、共識機制、加密算法等計算機技術(shù)的新型應用模式。區(qū)塊鏈起源于比特幣，2008 年 11 月 1 日，一位自稱中本聰(Satoshi Nakamoto)的人發(fā)表了《比特幣:一種點對點的電子現(xiàn)金系統(tǒng)》一文，闡述了基于 P2P 網(wǎng)絡(luò)技術(shù)、加密技術(shù)、時間戳技術(shù)、區(qū)塊鏈技術(shù)等的電子現(xiàn)金系統(tǒng)的構(gòu)架理念，這標志著比特幣的誕生。黃忠義指出，區(qū)塊鏈+邊緣計算+物聯(lián)網(wǎng)在未來的網(wǎng)絡(luò)安全中發(fā)揮重要作用，物聯(lián)網(wǎng)和邊緣計算的結(jié)合正在成為物聯(lián)網(wǎng)發(fā)展的主要趨勢，然而邊緣計算的出現(xiàn)雖然能解決物聯(lián)網(wǎng)處理時效問題，同樣也帶來了設(shè)備安全、網(wǎng)絡(luò)傳輸安全和數(shù)據(jù)安全等新的問題，而這些問題將被區(qū)塊鏈技術(shù)解決。

黃忠義介紹稱，邊緣計算的安全體系主要分為四個部分。第一部分為數(shù)據(jù)安全，主要涉及保密性和安全共享、數(shù)據(jù)網(wǎng)完整性和數(shù)據(jù)加密性；第二部分為隱私保護，包括數(shù)據(jù)隱私保護、身份隱私保護和位置隱私保護；第三部分為身份認證，包括單一域身份認證、跨域身份認證等；第四部分為訪問權(quán)限，包括屬性訪問控制和角色訪問控制等。

在隱私保護方面，目前主要存在的問題有：
1、?? ?數(shù)據(jù)開放過程中缺少關(guān)鍵數(shù)據(jù)和隱私信息的加密保護和追溯管理；
2、?? ?互聯(lián)網(wǎng)模式下，海量的用戶數(shù)據(jù)在管理端“裸奔”，大量隱私數(shù)據(jù)被出售；
3、?? ?關(guān)鍵信息的脫敏處理，如用掩碼形式將姓名、證件號碼中的某些信息用“*”代替，但是在大數(shù)據(jù)情況下不同數(shù)據(jù)庫間的關(guān)聯(lián)性高，通過對數(shù)據(jù)進行分析很容易暴露真實信息，并不能完全保護隱私安全。

而區(qū)塊鏈技術(shù)能夠很好地解決這個問題，能夠幫助完成安全多方計算、環(huán)簽名、混幣、群簽名、零知識證明、非對稱加密等安全部署措施。

網(wǎng)絡(luò)信息安全關(guān)乎國計民生，目前的形勢較為嚴峻。未來，隨著 5G、人工智能、物聯(lián)網(wǎng)等新興技術(shù)逐步釋放潛力，數(shù)據(jù)量將成倍，甚至是指數(shù)倍的提升，因此數(shù)據(jù)安全的形勢更為嚴峻和緊迫，我們需要像區(qū)塊鏈這樣的安全技術(shù)幫助我們建立安全的網(wǎng)絡(luò)世界。
?