網路安全需求迫切 強身份認證或成關鍵
記者 朱萍 實習生 武瑛港 北京報道
11月1日,《公安機關網際網路安全監督檢查規定》(下稱《規定》)開始施行,該規定於2018年9月5日由公安部部長辦公會議通過。在業內人士看來,新的規定讓忽視、破壞網路與資訊保安的行為被查出和處置的可能性大大提高了,在此基礎上,如何更好地建好第一道“防線”備受關注。
對此《規定》,11月1日北京九州雲騰董事長尚紅林在接受21世紀經濟報道記者採訪時表示,這更多是對網際網路的提供者和使用者的一種規範和約束。 “這些規定某種程度和歐盟在大力推廣的GDPR異曲同工,都是在立法層面對身份隱私等資料進行保護,因此身份認證的一些衍生技術會得到更多的重視。”
在尚紅林看來,數字化轉型帶來機遇的同時,也讓網路安全面臨挑戰,就像企業資產數字化後,其資訊保安風險也會越來越虛擬化。安全狗 CEO陳奮則指出,網路安全不僅影響個人生活,也會影響企業、城市、國家的關鍵資訊基礎設施的穩定執行等。
除了在監督檢查方面趨嚴外,身份認證也是一項基礎的網路安全手段。尚紅林指出,隨著雲端計算和網際網路的發展,公有云+移動成為行業趨勢,這種情況下,通過防火牆構建的網路邊界越來越模糊,原先針對封閉IDC系統的防護手段逐漸失效,業內開始需要基於“零信任”的全新解決方案,即利用強身份認證來代替信任網路。
安全需求日益迫切
2018年1月24日,江西省婦幼保健院遭遇勒索病毒;2月6日,上海某公立醫院資訊系統被拉黑,黑客勒索價值2億元以太幣;2月24日,湖南省兒童醫院伺服器疑似中了某種勒索病毒,所有資料檔案被強行加密,導致系統癱瘓,患者一度無法正常就醫。10月29日,一位做醫院資訊化的負責人向21世紀經濟報道表示,他們近日也遭遇疑似病毒攻擊。
醫療資料在黑客眼中簡直就是個大金庫,內有個人姓名、住址、聯絡方式、社會保險號碼、銀行賬號資訊、索賠資料和臨床資料等海量資訊。早在2017年5月,就有新聞爆出“黑客倒賣醫院資料落網,廣州醫藥圈震盪”。
陳奮向21世紀經濟報道記者分析稱,現在黑客的攻擊目標不再只是個人電腦,而是通過“黑掉”後端基礎設施,來影響前端的資訊保安,因此,網路安全已成各行業重點關注的問題。
尚紅林表示,隨著萬物互聯時代的到來,雲端計算和移動網際網路快速發展並普及,安全問題也不再僅存於網路和PC端,而是輻射到雲端和移動終端裝置,網路安全、雲端計算安全及移動終端安全將成為企業甚至是國家安全的重點。
為此,我國網路和資訊保安領域的法規也在不斷演進,如2017年正式釋出的《中華人民共和國網路安全法》的第二十一條明確指出,國家實行網路安全等級保護制度,網路運營者應當按照網路安全等級保護制度的要求,履行安全保護義務,防止網路資料洩露或者被竊取、篡改。
此次《規定》則加大了監督檢查的力度。根據規定,公安機關應當根據網路安全防範需要和網路安全風險隱患的具體情況,對網際網路服務提供者和聯網使用單位開展監督檢查,包括進入營業場所、機房、工作場所;要求監督檢查物件的負責人或者網路安全管理人員對監督檢查事項作出說明;查閱、複製與網際網路安全監督檢查事項相關的資訊;檢視網路與資訊保安保護技術措施執行情況等。
“這個《規定》是網路安全法的一個配套法律,使得檢查的目標、處罰瑣事更清晰,讓公安在執法檢查時更好地有法可依。像容易受到網際網路攻擊的服務場所、國家重要基礎設施等,這些都是檢查的重點目標,其中還特別強調了重大活動期間的網路安全等。”陳奮指出。
身份認證或成關鍵
事實上,有交易的地方几乎都需要身份認證,如銀行轉賬、電商交易等。由於身份認證是電子支付的基礎,銀行、證券、保險等在身份認證領域無不投入重金,但仍不斷爆出簡訊驗證碼劫持、賬戶被盜等事件,進而造成數十萬,甚至上百萬的資產損失。
對於金融行業產生資訊劫持的原因,尚紅林認為,雲端計算、大資料、物聯網、移動網際網路(下稱雲大物移)的發展推動產業變革,金融業也在朝著電子化、移動化、網際網路化方向快速發展。隨著企業內外部業務的關聯度逐漸提高,資產規模不斷擴張,資訊資產的管理風險也會不斷上升。“資訊化需要進行持續建設與實踐,易造成各業務系統冗雜和使用者體系混亂,同時移動化的發展,也會在賬戶安全和使用者體驗之間催生出新的挑戰。”
據瞭解,傳統的身份認證主要依靠賬戶和密碼,但隨著黑客攻擊手段以及電信詐騙的升級, 撞庫、拖庫等攻擊手段層出不窮,網路中的危險因素越來越多。在雲端計算和網際網路中,業界需要有新的技術手段來保障身份安全,而身份認證是在邊界模糊的“雲大物移”體系下的一個重要防護手段。
據瞭解,九州雲騰的身份認證採用多種方法,包括用傳統的戶名+密碼、簡訊驗證碼、第三方認證、指紋識別、人臉識別等,在確認了使用者身份的基礎上,又採用了OIDC、 SAML等聯邦身份認證標準協議,實現更多應用的使用者認證和授權。目前九州雲騰已經有十多萬線上活躍使用者。
據IDC統計,2020年,50%的線上交易將受指紋等生物認證技術的保護,近年來興起的FIDO認證,更被 騰訊 , 阿里 、 京東 等網際網路巨頭普遍採用。另據尚紅林介紹,網路安全市場已達到數百億,身份認證佔其20%左右,在中國,騰訊是典型的2C網際網路企業,但是不久前還成立了2B的事業部來順應此市場變化。
“美國身份認證企業OKTA市值已達數十億美元,年複合增長率超過70%,2018年一個季度就新增400多家付費使用者,這也證明IDaaS作為新一代身份認證服務,可以有效助力IT的雲化、移動化、智慧化發展。” 尚紅林指出。