github安全教育(github 网络安全)
观察者网:是的,我跟相关行业和法律人士交流的时候也了解到,这甚至会影响到国家安全,同时,从国家层面来说,对于数据的治理其实涉及非常复杂的跨部门协调。您怎么看待数据治理这个问题?
张雪松:刚才谈及的5G、人工智能、物联网等技术,其实都是未来发展趋势,也是由于科技进步和市场需求应运而生的。这种新技术的应用和推广速度非常快,对国家发展的好处不言而喻。我认为信息安全和技术革新是相辅相成的,我们可以发现一个现象,如果某种技术的安全可靠性还没有达到应用所需的标准的话,这样的技术可能也不会有更好的普及应用。例如现在的自动驾驶,如果自动驾驶的安全级别还没达到一定要求,它其实不会被允许上路的。
另一方面,只有在新技术不断应用探索过程中,我们才能发现问题。这个试错成本本身会被研发机构和先行企业承担,国家也会承担一部分,一个新事物的发展会有试错成本,这是必然规律。
试错的同时,应该马上推进的是安全的手段,这方面考验的是我们安全行业的反应速度和能力,我们有责任和义务去解决这些难题。
数据治理层面,国家也在有条不紊地做布局,比如说最近国家颁布了《数据安全法》,对数据管理进行了法律定义,对第三方存取管理公民隐私数据的行为也做了明确的法律规定,这样就从法律层面有了依据,界定了非法行为和合法行为。这样很多企业在获取数据的时候,就必须约束自己的行为,我觉得从治理的角度来说,是向前跨出了一大步,非常关键。
剩下的就应该是发展技术手段和监管,比如不久前有一个案例,某个第三方公司发明了一个爬虫软件,爬取某知名大型网购平台存储的、与个人隐私有关的数据,我觉得要有足够的监管手段,能够从技术层面了解到有哪些系统、哪些设施在暗中存储数据。其实某些主体获取到这些数据后,用于自己做分析、或是转化为一种算法、或是转化为大数据的某种结论,这些用途比较正常,但是这些信息如果留存,并且还对外提供查询,这就有安全和隐私风险,国家也要有更明确的监管要求和措施,来对此类企业进行管控。
观察者网:你们作为一家网络安全公司,在这方面有怎样的探索实践?
张雪松:我们是国内知名的白帽平台,叫漏洞银行。专注黑客攻防领域的安全漏洞平台,我们有全国超过4万名的黑客技术专家,现在更多地致力于解决企业、机构、政府遇到的网络安全问题。基于这样的业务,我们的思考和技术研究方向,更多的是帮助企业构建安全机制,发现先进威胁的风险。我们现在在积极地做以下几方面的努力:
一方面,我们尽可能地在网络层面及时发现威胁隐患,比如黑客攻击的风险性和漏洞危害,这是我们一直以来的主要研究方向,我们认为,研究漏洞可以帮助企业甚至国家层面获得安全防护的提前量。比如美国石油管道遭受一种定向攻击,我们能预判有这样的攻击风险,这就可以提前做一个可靠的防护。
另一方面,我们发现黑客现在更多关注数据,不管是攻击网站还是勒索,都是在打数据的主意,这是一种趋势。所以我们在数据安全方面投入很大,一是防控数据的安全,包括数据治理本身,我们跟很多数据中心在合作,尝试建立出一整套数据分级管理+防控+标记+追踪的完善安全体系,我们通过安全手段,对不同数据采取不同管理级别,对数据分别打上标签,这样在出现问题的时候,就能够有效追踪和确保数据安全,这就在国家数据治理框架下,强化了技术手段和监管手段,确保技术发展不会受黑客攻击的干扰。
观察者网:说到勒索病毒,最近黑客攻击基础设施的新闻很多。
张雪松:是的,之前作为美国重要基础设施的输油管道遭到攻击,导致总长度8000多公里的输油管道就停工,影响到了国民经济,甚至国家秩序领域,所以美国非常重视,出动了FBI等一些特殊机制来做反黑客的工作。
具体来说,他们追踪到了比特币交易钱包的一个记录,这种线上钱包实际上是一个网络地址,在技术上它其实是匿名的,但是这个地址可能在某个数字货币交易所产生过一些交易记录,或者账号被登记使用过,比如用这个数字钱包转账过一笔钱,这样的话这些记录会被一些机构和组织保存下来,这样就可以对反黑客、反黑产的行动提供一些信息支撑。调查机构找到使用这些加密钱包的个人,追踪到这些个人所在的地区。FBI还可以动用相关的法律机制,要求提供钱包服务的运营商和管理者冻结钱包,甚至通过运营商的一些技术信息找到钱包的密码,把钱包里的钱再转出来,这次的FBI追回勒索金也算是一个重大成果了。