6月11日,由北京金融科技產業聯盟、移動支付網聯合主辦的“金融科技大講堂”第五期準時與大家見面。本期,中國科學院計算技術研究所百人計劃研究員李煉博士向觀眾講述了數字經濟時代下的網路安全問題。
數字資訊時代的安全問題
隨著網際網路時代的發展,越來越的服務和應用開始執行在雲上,不可避免的,使用者要透過網路進行使用這些服務和應用。
李煉指出,在這樣形勢下,透過公共網路呼叫服務和應用很難保相應的安全,傳統使用防火牆進行安全防護已經不是適應現在的安全需求。
在PC時代,網路安全事件可能只能影響一臺或幾臺電腦,但是在現在這個時代,網路安全事件很有可能影響企業發展,甚至影響國家安全。
李煉透過分析Newegg電商平臺信用卡賬號洩露事件、iPhone被攻擊事件、亞馬遜資料洩露事件以及鋁製造商NorskHydro遭受重大網路攻擊等事件,指出以數字經濟為重要內容的新時代,確保網路安全更是刻不容緩的。
層出不窮的資料洩露事件,嚴重影響著消費者的信心以及人身和財產安全。針對關鍵資訊基礎設施的攻擊和破壞時有發生,嚴重威脅數字經濟所賴以生存的網路設施。
數字時代網路安全防禦方法
在數字經濟時代,網路安全面對著新的挑戰。李煉認為,應用安全是現在網路安全問題的核心,網路安全的核心是漏洞問題。
目前,95%以上的網路安全事件是由於軟體或應用漏洞被攻擊所造成的,而傳統的防護方法不能解決漏洞安全問題,不能有效的防止未知的漏洞被攻擊。
但是完全避免在軟體編寫過程中完全避免漏洞出現是不可能做到的事情,這個問題已經被很多人注意到。而如何儘可能的減少軟體和應用中出現漏洞是今天要探討的問題。
李煉表示,網路安全等級保護2.0明確提出一款安全的軟體必須進行程式碼安全檢測。程式碼安全檢測是指在不執行程式碼的方式下,透過詞法分析、語法分析、控制流、資料流分析等技術對程式程式碼進行掃描,驗證程式碼是否滿足規範性、安全性等指標。
他認為,傳統的網路安全防護手段主要是將軟體保護在一個安全的環境中,採用隔離的方法,避免外來攻擊,而檢測漏洞,則是透過提高軟體對未知漏洞的免疫率,減少漏洞在實際上可以減少被攻擊的可能,從而提高軟體應用安全,增加系統安全性。
那麼該怎麼做呢?李煉認為,在軟體開發生命週期當中,每個環節都需要加入安全理念。首先要對從業人員進行培訓,包括開發人員、測試人員和設計人員,透過提升相關人員的安全意識,提升軟體開發時的安全係數。
軟體開發設計包括需求分析、底層設計、編碼等多個過程。李煉表示,從需求分析開始,就要明確安全需求;在設計的時候要考慮設計的安全性,並進行驗證;編碼的時候要儘可能採用安全的編碼規則,並使用多種工具保證程式碼安全。
李煉指出,在這個過程當中,使用到的核心技術就是自動程式分析。李煉介紹說,自動程式分析方法是自動分析程式行為從而推斷程式屬性,如正確性、魯棒性、安全性的方法。
將自動程式分析應用到程式開發過程中,可以總結為,靜態安全檢測、動態安全檢測和加固及執行防護。
靜態分析是指在不執行程式時,檢測程式碼中隱藏的安全漏洞,包括對已知漏洞分析和未知安全漏洞檢測。
動態安全檢測是指進行動態執行監測,插樁原有程式得到精確執行時狀態,分析動態執行時日誌。李煉表示,在大資料處理系統檢測當中,常使用動態安全檢測。
加固及執行時維護包括反逆向加固工具,混淆/加殼防止被逆向分析,從而加大駭客攻擊難度。除此之外還有動態隨機地址化,隨機改變記憶體地址佈局等技術,使得攻擊容易失效。另外還可以使用安全沙箱,進行應用層的隔離,保護系統安全。
討論環節
李煉在課件分享結束之後,對觀眾的問題進行了回答,包括《個人金融資訊保護技術規範》的釋出對銀行開展業務有什麼大的影響?銀行的網路安全應該關注哪些要點?企業和使用者都不願意為網路安全買單,雞和蛋的問題該如何解決?
李煉表示,在銀行業《個人金融資訊保護技術規範》的釋出不會對銀行業務帶來很大影響,因為業務和安全之間並不是矛盾,可以透過技術手段在保證安全的同時開展業務,安全永遠是為業務服務的。
在銀行網路安全方面,李煉表示,銀行在隔離等防護做的非常好,目前需要更關注應用安全,進一步提高銀行應用安全性,包括出臺編碼規範、安全規範等標準,並深入的使用安全檢測工具,加強相關人員培訓。