《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 論新技術(shù)與安全的關(guān)系

論新技術(shù)與安全的關(guān)系

2019-08-30

1.jpg

  網(wǎng)絡空間安全應該從保護緯度、風險緯度以及方法緯度來討論。保護緯度是弄清楚需要保護的是什么。風險緯度是討論網(wǎng)絡安全風險出在哪里,方法緯度是討論采取什么樣的方法解決問題。

  通常,在網(wǎng)絡的物理層、運行層、數(shù)據(jù)層、應用層,在信息的獲取、傳輸、處理和利用的過程中均可能存在風險。新技術(shù)是一把雙刃劍,它能夠賦能安全,但同時也會帶來伴生的安全風險。

  在大數(shù)據(jù)安全方面,現(xiàn)在90%以上的網(wǎng)絡威脅情報都是通過開源信息獲得。大數(shù)據(jù)產(chǎn)生速度快、數(shù)據(jù)類型復雜、安全性不確定,這都是亟待解決的問題。有了大數(shù)據(jù)之后,可以通過大數(shù)據(jù)運算把所有的脫敏信息還原,就好比當方程數(shù)超過變量數(shù)時,所有隱瞞的信息都可以被挖掘出來,這叫大數(shù)據(jù)的攻擊。

  云安全方面,很多人搞云安全就是搞防御,比如一些公司推出的云殺毒服務。云自己有天然的問題,過去沒有虛擬機逃逸的問題,現(xiàn)在有了云才冒出了虛擬機逃逸的攻擊,這是云帶來的內(nèi)生安全的問題。

  在物聯(lián)網(wǎng)安全方面,現(xiàn)在很多城市都在建設智慧城市,安防是其中關(guān)鍵一環(huán)。傳感設備進行數(shù)據(jù)交換的過程中,就存在數(shù)據(jù)安全的隱患,這是物聯(lián)網(wǎng)的內(nèi)生安全問題。同時,物聯(lián)網(wǎng)帶來的NFC支付和信用卡免密支付都有可能遭遇黑客攻擊,這是物聯(lián)網(wǎng)的衍生安全問題。

  量子安全方面,量子傳輸?shù)臅r候有一個特點是塌陷效應,傳輸?shù)臅r候一旦有人監(jiān)聽就會產(chǎn)生塌陷,導致對方知道,對方也獲得不了這個結(jié)果。以往通過無線技術(shù)、光纖通信等方式可以實現(xiàn)對量子通信的監(jiān)控,但當量子通信不再需要載體的時候,監(jiān)控便無法實現(xiàn)了,這是量子安全的衍生安全問題。

  區(qū)塊鏈安全方面,由于區(qū)塊鏈的思想是無政府主義,理論上來說是沒辦法糾正錯誤的,即所謂的錯誤保全。這是區(qū)塊鏈天生的缺陷。從這個意義上來說,區(qū)塊鏈的應用場景一定非常少。

  人工智能方面,人工智能可以助力攻擊,可以提升智能防御水平。但是,人工智能最大的錯誤點是樣例攻擊,人工智能背后主要是神經(jīng)安全網(wǎng)絡,里面隱含了不知道的是什么含義。一旦人工智能失控,將會傷及人類。

  新技術(shù)安全涉及到網(wǎng)絡安全的問題,主要表現(xiàn)出賦能效應與伴生效應這兩個核心屬性。新技術(shù)安全既要應對新技術(shù)系統(tǒng)及其承載數(shù)據(jù)因自身脆弱性而引發(fā)的內(nèi)生安全,也要應對新技術(shù)系統(tǒng)及其承載數(shù)據(jù)的應急,以及威脅外部世界而來的衍生安全問題。

  賦能效應和伴生效應

  網(wǎng)絡空間新技術(shù)的安全問題,主要體現(xiàn)在賦能效應和伴生效應這兩個核心屬性,分別對應衍生安全、內(nèi)生安全,和賦能攻擊、賦能防御。新技術(shù)的安全問題,既要應對技術(shù)及其承載數(shù)據(jù)自身脆弱性引發(fā)的內(nèi)生安全問題,也要應對新技術(shù)及其承載數(shù)據(jù)的應用危及外部而帶來的衍生安全問題。同時,新技術(shù)及其承載數(shù)據(jù),也可以被用于賦能網(wǎng)絡空間安全領(lǐng)域。

  以區(qū)塊鏈技術(shù)為例,區(qū)塊鏈的首要目標就是去中心化,這就意味著對于攻擊者而言,其獲得無法被“中心權(quán)威”維持秩序攻擊特性。對于防守方而言,區(qū)塊鏈另一特性——通過多方參與而無法被篡改的特性,也可以用于確保信息自身的安全。無法被篡改,也就意味著從內(nèi)生安全的視角,如果錯誤信息一旦上鏈,就會也無法被清楚,會出現(xiàn)錯誤保全的情況。而區(qū)塊鏈的重要應用,比特幣,也因為不可被監(jiān)管的特性,而不會被政府接受,這是衍生安全。

  從風險視角和攻擊視角看表象空間

  從風險視角(防守方),可以分為:

  已知的已知:知道己方的脆弱性,知道彼方的攻擊方法,例如已知的惡意軟件;

  已知的未知:知道己方的脆弱性,不知彼方的攻擊方法,例如惡意軟件變種;

  未知的已知:不知己方的脆弱性,知道彼方的攻擊方法,例如同源攻擊;

  未知的未知:不知己方的脆弱性,不知彼方的攻擊方法,例如內(nèi)部威脅。

  從攻擊視角(威脅),有四個維度,攻擊效果(控制)、廣泛目標、威脅定向和威脅形態(tài)(致癱):

  兼具“攻擊效果”和“廣泛目標”:例如,木馬、蠕蟲病毒,即廣譜控制性攻擊;

  兼具“攻擊效果”和“威脅定向”:例如,APT攻擊,即定向控制性攻擊;

  兼具”威脅形態(tài)“和”廣泛目標“:例如,勒索攻擊,即廣譜致癱性攻擊;

  兼具”威脅形態(tài)“和“威脅定向”:例如,DDoS攻擊,即定向致癱性攻擊。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。