中国科学院李炼数字经济时代下如何确保网络安全
6月11日,由北京金融科技产业联盟、移动支付网联合主办的“金融科技大讲堂”第五期准时与大家见面。本期,中国科学院计算技术研究所百人计划研究员李炼博士向观众讲述了数字经济时代下的网络安全问题。
数字信息时代的安全问题
随着互联网时代的发展,越来越的服务和应用开始运行在云上,不可避免的,用户要通过网络进行使用这些服务和应用。
李炼指出,在这样形势下,通过公共网络调用服务和应用很难保相应的安全,传统使用防火墙进行安全防护已经不是适应现在的安全需求。
在PC时代,网络安全事件可能只能影响一台或几台电脑,但是在现在这个时代,网络安全事件很有可能影响企业发展,甚至影响国家安全。
李炼通过分析Newegg电商平台信用卡账号泄露事件、iPhone被攻击事件、亚马逊数据泄露事件以及铝制造商NorskHydro遭受重大网络攻击等事件,指出以数字经济为重要内容的新时代,确保网络安全更是刻不容缓的。
层出不穷的数据泄露事件,严重影响着消费者的信心以及人身和财产安全。针对关键信息基础设施的攻击和破坏时有发生,严重威胁数字经济所赖以生存的网络设施。
数字时代网络安全防御方法
在数字经济时代,网络安全面对着新的挑战。李炼认为,应用安全是现在网络安全问题的核心,网络安全的核心是漏洞问题。
目前,95%以上的网络安全事件是由于软件或应用漏洞被攻击所造成的,而传统的防护方法不能解决漏洞安全问题,不能有效的防止未知的漏洞被攻击。
但是完全避免在软件编写过程中完全避免漏洞出现是不可能做到的事情,这个问题已经被很多人注意到。而如何尽可能的减少软件和应用中出现漏洞是今天要探讨的问题。
李炼表示,网络安全等级保护2.0明确提出一款安全的软件必须进行代码安全检测。代码安全检测是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性等指标。
他认为,传统的网络安全防护手段主要是将软件保护在一个安全的环境中,采用隔离的方法,避免外来攻击,而检测漏洞,则是通过提高软件对未知漏洞的免疫率,减少漏洞在实际上可以减少被攻击的可能,从而提高软件应用安全,增加系统安全性。
那么该怎么做呢?李炼认为,在软件开发生命周期当中,每个环节都需要加入安全理念。首先要对从业人员进行培训,包括开发人员、测试人员和设计人员,通过提升相关人员的安全意识,提升软件开发时的安全系数。
软件开发设计包括需求分析、底层设计、编码等多个过程。李炼表示,从需求分析开始,就要明确安全需求;在设计的时候要考虑设计的安全性,并进行验证;编码的时候要尽可能采用安全的编码规则,并使用多种工具保证代码安全。
李炼指出,在这个过程当中,使用到的核心技术就是自动程序分析。李炼介绍说,自动程序分析方法是自动分析程序行为从而推断程序属性,如正确性、鲁棒性、安全性的方法。
将自动程序分析应用到程序开发过程中,可以总结为,静态安全检测、动态安全检测和加固及运行防护。
静态分析是指在不运行程序时,检测代码中隐藏的安全漏洞,包括对已知漏洞分析和未知安全漏洞检测。
动态安全检测是指进行动态运行监测,插桩原有程序得到精确运行时状态,分析动态运行时日志。李炼表示,在大数据处理系统检测当中,常使用动态安全检测。
加固及运行时维护包括反逆向加固工具,混淆/加壳防止被逆向分析,从而加大黑客攻击难度。除此之外还有动态随机地址化,随机改变内存地址布局等技术,使得攻击容易失效。另外还可以使用安全沙箱,进行应用层的隔离,保护系统安全。
讨论环节
李炼在课件分享结束之后,对观众的问题进行了回答,包括《个人金融信息保护技术规范》的发布对银行开展业务有什么大的影响?银行的网络安全应该关注哪些要点?企业和用户都不愿意为网络安全买单,鸡和蛋的问题该如何解决?
李炼表示,在银行业《个人金融信息保护技术规范》的发布不会对银行业务带来很大影响,因为业务和安全之间并不是矛盾,可以通过技术手段在保证安全的同时开展业务,安全永远是为业务服务的。
在银行网络安全方面,李炼表示,银行在隔离等防护做的非常好,目前需要更关注应用安全,进一步提高银行应用安全性,包括出台编码规范、安全规范等标准,并深入的使用安全检测工具,加强相关人员培训。
其它精彩内容欢迎关注直播回看: