11月12日,2020(第二届)”补天杯”破解大赛在杭州正式开赛,吸引了各界的注意。作为第24届中国国际软件博览会系列活动之亮点内容,来自全国范围内的企业、高校,以及民间的极客、白帽黑客等安全高手相聚一堂,以比赛竞技和现场表演秀的方式,发现智能交通、智能终端、智能家居等领域存在的安全问题。
经过4个小时紧张、刺激的对战,包括iPhone 12、全套智能家居、共享单车,以及新基建场景下的智能路灯、工业遥控器、企业级防火墙等数字设备均被选手成功破解。
“以新基建、智能交通、智能家居为代表的新技术、新基础设施加速在国家、经济、社会和个人生活中渗透和普及,正在消弭网络空间和物理空间的边界,网络安全也因此成为数字化、智能化时代的’底板'”。作为两届”补天杯”破解大赛的承办方,奇安信集团总裁吴云坤谈到,要保障新形势下的网络安全,首先必须了解和把握这些新设施和新技术的安全风险,而本次大赛就是要通过破解来发现和掌握这些领域的设备和软件的漏洞和风险,为更好的防护和保障寻找思路、技术和方法。
安全措施三同步
在回顾软件产业和信息化发展历史时吴云坤谈到,从2005年之后,主要的创新主要在个人和消费级领域,孕育了像阿里,腾讯这样的互联网公司,而在2015年之后,软件产业的重点侧重在产业互联网领域,大量的传统企业加速了数字化转型的进程,政府也加大了促进的力度。
与此同时,企业的经营信息、居民的个人隐私趋向于政企机构、运营商和互联网公司,信息安全的风险大大加强,而软件的作用也越来越大,被黑客和敌对分子操控的软件系统,要么导致重要的信息失窃,危机企业和国家安全,或者引发严重的事故,比如机车出轨、大坝决堤、电厂断电或核爆、卫星发射失败等等。
吴云坤指出,解决思路有两种,一是从逆向思维进行推理,从而提升软件企业的安全意识,破解大赛就发挥了这样的作用,二是信息系统采取安全工作的三同步措施,即同步规划、同步建设、同步运行,从一开始就把安全嵌入到规划中,覆盖到建设、运行全流程。
破解大赛意义非凡
吴云坤认为,举办”补天杯”破解大赛有三个方面的意义,一是提醒所有的软件开发企业和开发者要提升网络安全防范意识,大家都是参与者而不是旁观者,要从根本上解决安全问题,而不是仅仅依靠网络安全厂商;二是借此机会发现人才,因为大部分人才都在民间,不在体制内,要设法把他们变为正义力量的代表,为社会做出有益的贡献,而不是让他们流落在民间成为黑客,甚至从事违法犯罪行为,害人害己;三是确证现实生活和工作中存在大量漏洞,但大赛的目的更是提醒各界完善安全机制,采取应对措施。
“整体而言,大赛就是推荐体系性的防护思路,而不是为了攻,更多是为了防。”吴云坤说。
本次”补天杯”破解大赛是第二届大赛。据吴云坤介绍,第一届大赛在湖南长沙举行,当时大量破解的是跟家庭和个人相关的智能硬件,比如说一部手机,一台电饭煲,一个门禁系统,而今年大赛最大的亮点侧重于智能交通、智能路灯、工业遥控器、企业级防火墙等领域,通过演练,提醒新型基础设施建设者,要加强对电力、水利、交通等各种设施的安全保护工作。
事实上,当企业级安全防范措施能被轻易的情况下,个人及家庭领域的安全更加没有了保障。
从大型企业到个人,网络安全各有特色
新形势下,应该怎样去开展网络安全建设?
吴云坤认为,中国的各类单位非常多,需要采取不同的对策。
大型央企国企,无论是金融、交通还是钢铁行业,都具有强大的信息化组织机构和丰富的专业技术人才,也都在中央国资委、地方地方国资委或者行业主管部门的统一指导下,只要遵循像等级保护以及各种网络安全的政策法规,平时坚决执行落实并配合相关合规检查,在制订长远规划时将网络安全纳入其中,确保资金、资源和人力投入,网络信息安全基本能得到保障。
与上述企业不同,智慧城市建设更多是地方政府推动,涉及到众多的厅局委办,以及社区、教育和医疗机构等。这些单位或部门往往信息集中,但专业技术人力资源没有高可靠保障措施,因此最基础的做法就是要落实网络安全责任主体,同时采取集中防护措施而不是分散管理的方式,以防被各个击破。
民营企业既没有安全主管,专业人才也十分匮乏,安全隐患最为严重。
不过,少数知名民营企业对安全的重视程度超过人们的想象。例如,工程制造业领域的龙头企业三一重工,电动汽车领域的领头羊比亚迪,半数矿产资源在国外的紫金矿业,都把网络安全看成了企业的生死关键。
顶尖企业靠提升安全防护意识、采取有效安全防护措施来维持生产和发展,做出了表率,中小企业就更应该加以重视。
“通过大量的像这种比赛,意识教育,告诉所有的企业和个人风险在哪里,然后加以重视,这就是大赛举办的目的。”吴云坤说。
当今社会,如何唤醒普通大众的网络安全意识?吴云坤认为,百姓要养成良好的上网习惯,尤其是要做好保护老人孩子上网的措施;奇安信开辟了很多的课堂,走进中小学校、建设网信安全科普基地等,着重解决意识的问题。其次,因为隐私都不在自己手上,所以要压实网络安全责任,落实到个人,通过法规和惩罚体系提供保护。
承办破解大赛,彰显奇安信社会责任
作为两届”补天杯”破解大赛的承办方,奇安信是怎么想的呢?又凭借什么优势能担当此重任?
奇安信成立于2014年,现有员工8000余人,是当前中国最大的网络安全公司。与国内网络安全产业所有上市公司20年发展历史不同,奇安信从城里到上市仅用了六年时间,公司估值也名列前茅。
之所以成长如此迅速,吴云坤告诉记着,原因之一就是重视攻防,重视网络安全技术,”补天杯”破解大赛也正是展现攻防实力的平台,同时也警醒行业内所有的软件供应商。
目前,国内正在大力推进信创产业;产品国产化,也就是自主可控,在一定程度上解决了网络安全的问题,但自主可控并非没有网络安全问题。奇安信正在战略投资方中国电子的指导和协助下,把安全解决方案嵌入到国产化的产品中,利用自主可控的CPU、操作系统、内存等实现安全内生,达到更加安全的境界。
对于网络安全的规划、运行和建设三同步领域,大多数厂商都青睐建设领域而忽视了规划和运行,因为后两者很难带来利润。然而,奇安信在这两大领域加大了投资,承担起应尽的社会责任,最终目的是让产业变大,能够与发达国家抗衡。
谈到这里,吴云坤说出了他的担忧:某超级大国每年在安全领域的投资超过3000亿美元,而国内不足500亿元人民币,如果做大市场、做大产业,全球的资本、人才、技术都会流向国外,潜在的危机会越来越大。
“网络安全无边界无国界,但是网络安全公司是有国界和主权的。奇安信正在全力以赴,从根本上做大做强我国网络安全产业,为中国的网络安全事业贡献自己的一份力量。”吴云坤总结说。