这是一场没有硝烟的网络对抗战。
12月23日至28日,6天时间里,贵阳这座以大数据闻名的城市,再次成为社会各界关注的焦点。“2016贵阳大数据与网络安全攻防演练”活动在网络无形空间激烈展开,取得了圆满成功。
之所以如此受关注,是因为——这是国内首次以一座城市真实网络目标为对象的攻防活动,能够以省会城市的实网为目标,进行真刀的攻击测试,在国内尚属首创;是一次自上而下的安全推进、真抓实干的安全摸底、难能可贵的安全创新、问题驱动的安全亮点、举一反三的安全唤醒;是一次历史性的突破,具有里程碑意义。
之所以如此受关注,是因为——这次活动旨在发现、暴露和解决问题,检验网络空间的防护水平、应急处置能力,增强全社会的安全保密意识,建立健全网络空间治理机制,推动大数据安全产业健康有序发展。
之所以如此受关注,是因为——活动得到了32名来自公安部、中国工程院、著名企业等在内的国内权威院士、专家莅临指导,各位专家结合自身专业和领域,对演练活动进行了悉心指导,并对贵阳大数据和大数据安全产业发展提出了很多宝贵的建议。
公安部网络安全保卫局总工程师郭启全认为,贵阳开展实战攻防演练,找准了大数据与网络安全工作的关键抓手,体现了贵阳市高度的政治意识、大局意识和责任担当。
中国工程院院士沈昌祥认为,这次攻防演练准备充分、组织严密、水平很高、创新性强。
国家信息安全工程技术研究中心主任原晓岩表示,此次攻防演练的成功举办,是大家共同努力的结果,也体现了贵州、贵阳发展大数据安全的决心和胆识。
国家创新与发展战略研究会副会长郝叶力认为,应该为贵阳市的一把手工程和勇于担当、求真务实的安全观叫好,应该为攻防测试队伍实战能力与职业操守叫好,应该为被测试方的主动曝光、安全求实叫好。
……
专家们一致认为,实践证明:贵阳以大数据与网络安全攻防演练为抓手推动大数据安全发展的路子是正确的。
未来,贵阳将在推动攻防演练常态化的基础上,按照“1 1 3 N”的思路,坚持先行先试,努力建设大数据安全示范城市,千方百计推动大数据安全产业发展。
2016年12月23日至28日,注定在中国大数据与网络安全史上,写下浓墨重彩的一笔。
来自全国各地30余支共计131人的攻防队伍,双方在贵阳大数据安全产业园的特定区域内,采取背靠背地各自承担不同任务的方式,针对贵阳市范围内100个重点攻击目标,以及10000个网站进行了真实的攻防检测检验。
对于贵阳来说,敢于真刀直面网络安全问题,表面看是举行了一次大数据与网络安全演练,更深层次的却是贵阳推动大数据安全产业发展的决心。
为什么这样说呢?
攻击队伍成员赵军民,有着20余年的从军生涯,去年刚刚转业,在北京一家科技公司负责网络数据安全方面的工作。采访中,他告诉记者:“这样拿真实目标作为靶子的网络攻防演练,没想到贵阳这样的西部城市敢于去突破。”
此次演练中还有一个现象,至今还令参与攻防的人员津津乐道。就是有一家区政府的门户网站,听说贵阳要做攻防演练后,主动接受攻击队伍的纵深测试,直到安全漏洞被全面发现和及时修护。
这样的举动,也让此次攻防演练活动总评组组长、国家创新与发展战略研究会副会长郝叶力大为赞赏。她说:“这次贵阳的网络安全攻防演练,是一次自上而下的安全推进,真抓实干的安全摸底,难能可贵的安全创新,问题驱动的安全亮点,是一次历史性的突破,具有里程碑的意义。”
事实上,贵阳不打没把握的仗。为了打好这场攻防演练实战,贵阳用了足足8个多月的时间精心准备——
今年3月30日,省委常委、市委书记陈刚在市委常委会上作出“开展大数据安全攻防演练活动”的指示后,在7月召开的市委九届六次全会上再次对开展演练活动和探索建设大数据安全靶场进行部署。
随后,作为具体实施单位,贵阳经开区在省、市有关部门的指导帮助下迅速行动,先后赴全国各地陆续拜访100余位国内大数据安全领域权威专家及专业人士,实地考察了70多家国内大数据安全领域顶级研发机构和知名企业,全面了解国内外发展形势,及时进行学习借鉴。
同时,委托国家信息安全工程技术研究中心编制演练方案,并于8月22日至24日在贵阳经开区和花溪区范围进行了一次攻防演练热身活动,验证了方案,为12月的更大规模的攻防演练积累了经验,锻炼了队伍。
此外,为确保演练万无一失,在按照《信息安全等级保护管理办法》等相关法律法规,进行精准摸底,确定参演目标后,又于11月22日,在北京组织召开攻防演练工作方案专家论证会,邀请了国内17位权威专家对演练活动进行指导。
功夫不负有心人。演练活动结果显示,在扫描10000个网站中,发现了大量的无效网站。在100个重点攻击目标中,喜忧参半。
有专家说,本次攻防演练活动的意义、价值和效果都是封闭式演练不可比拟的;还有专家评价:“如果贵阳搭建一个1:1的真实模拟环境,那么贵阳的耗费要动辄数十亿、数百亿。贵阳这次演练活动,通过实网环境进行真刀攻击测试,用500万做到了500亿达不到的效果,是一次投入少、收益高的安全测试活动。”
对贵阳来说,这次攻防演练的成功,只是万里长征迈出的第一步。贵阳正在强化大数据安全与提升防护水平等方面不断发力,通过今后每年举办类似的大数据与网络实战演练,不断推动大数据安全产业的发展。
下一步,贵阳将在推动攻防演练常态化的基础上,按照“1 1 3 N”的思路,坚持先行先试,努力建设大数据安全示范城市,打造大数据安全靶场,建设大数据安全监管中心、技术创新中心、应用试验中心,搭建各种各样的安全实验测试平台,千方百计加快推动大数据安全产业发展。
打造大数据安全产业“联合舰队”
也许有人要问,通过做一个大数据与网络攻防演练活动,就能让大数据安全产业在贵阳崛起吗?
其实,围绕大数据安全产业,贵阳经开区已经先行先试,率先行动。此次举办的攻防演练活动的地方,就是位于贵阳经开区的贵阳大数据安全产业园内。
早在今年初,经开区就与中航科工集团第十研究院正式合作,启动了大数据安全产业园建设。目前,一期5000平方米的场馆已投入运营。中国科学院院士鄂维南、中国工程院院士沈昌祥等专家已应邀加盟。
正所谓,日日行,不怕千万里;常常做,不怕千万事。
按照贵阳市委“1 1 3 N”的总体规划,已明确将“大数据安全靶场”放在贵阳经开区建设。为不辱使命,经开区已进一步完善了大数据安全靶场建设的顶层设计,在现有大数据安全产业园基础上,迅速启动了大数据安全产业示范区规划建设。目前,示范区核心区规划用地1114亩,配套功能区、拓展区计划用地5000亩。
接下来,本着“自主创新、虚实结合、分步实施、市场运作、产业沉淀”的原则,经开区将分期建成国家级大数据安全靶场、大数据安全技术创新中心、大数据安全产业应用示范中心以及大数据安全研究院、大数据安全人才培养基地、大数据安全制造基地等内容板块。
与此同时,为了尽快实现企业、人才、技术的,贵阳经开区正着手制定大数据安全产业发展专项政策措施,组建大数据安全产业基金和大数据安全产业公司,搭建大数据安全服务平台,构建推动大数据安全产业发展机制,为企业提供交通便捷、配套完善、服务优质的宜居宜业的良好环境,让更多的大数据安全企业、发展、壮大。
正是这些长远的战略布局,正吸引着各路企业纷至沓来。在此次攻防演练总结大会上,经开区又与中国密码协会、中关村可信计算产业联盟、安赛创想科技、知道创宇科技等18家机构、企业达成合作协议,加上之前已入驻经开区的十余家大数据安全企业,贵阳大数据安全产业园已开始显现虹吸效应。
按照计划,经开区通过努力,预计三年之后,将基本建成国家级大数据安全靶场和安全人才培养体系,形成涵盖大数据安全产品制造、数据安全系统集成服务等产业链条,初步实现大数据安全产业的规模,在贵阳形成一支大数据安全产业“联合舰队”,成为国内大数据安全产业的重要区和大数据安全产业地标。
为贵阳求真务实的安全观和发展观叫好
■专家观点
攻防演练总评组组长、国家创新与发展战略研究会副会长郝叶力——
为贵阳求真务实的安全观和发展观叫好
“所有现场目击者都众口一词发自内心地为贵阳市首次用实网开展大规模攻防演练取得成功叫好、点赞。”此次攻防演练总评组组长、国家创新与发展战略研究会副会长郝叶力说,我曾经组织和经历过无数次的攻防演练,但是几乎都是在模拟仿真的环境里展开。这一次,贵阳市能够以省会城市的实网目标进行真刀的攻防演练,这在国内尚属首创。
郝叶力认为,如果没有此次公安部门的鼎力支持,没有一把手的超常胆识和担当,协调各个部门,主动去拿在线的数据和网站接受测试,这是根本不可能的;如果没有跨地域、跨部门多方力量参加、组织和策划来做应急响应、协调配合,那么要取得首战告捷也是不可能的。
在郝叶力看来,一次实网攻防演练,能否取得实效,取决于三方的行为选择,相当于政府敢不敢担起责任,开办医院,患者能不能自觉接受体检,医生有没有医术医德,尽职尽责,三者缺一不可。
“贵阳处于对大数据安全示范工程的考虑,率先提出用实网搞攻防演练,就是要暴露问题,摸清底数,这次演练前后累计发现762个中高危漏洞,攻陷了142个网站,突破了69个内网,控制了1574台主机。”郝叶力说,我相信,全国这样的问题不止一省一市、一家一户。
“但幸运的是,只有贵阳市有这么强大的一把手工程,不仅在大数据产业发展上抢抓机遇,先行先试,而且在大数据和网络安全上,还先检先测,先知先觉,借助攻防演练敢于当第一个吃螃蟹的人,通过廉价高效的实网测试,360度的全方位、多层次查找问题,主动作为走在了全国前列。”郝叶力认为,从这个意义上讲,暴露的短板越多,发现的问题越大,安全效益就越高,这些问题的发现和解决将为贵阳大数据产业的健康持续发展铺路奠基,也折射出贵阳市委、市政府的发展魄力和智慧。
郝叶力建议,一是希望贵阳坚持问题导向,事实证明,利用攻防演练活动对实网开展攻击性测试,是一条高效务实的强网之路,应该跳出实网不敢攻、不想攻、不能攻的误区,应该向要求人每年去体检一样,将重要的网络基础设施、大数据存在地的攻击性检测作为机制化和常态化。二是建立奖惩机制,在攻防演练中,必须树立发现问题是政绩,正视问题是品质,掩盖问题是犯罪,解决问题是责任这样一个鲜明导向,建立科学的奖惩机制,更好地推动以后的攻防演练活动。
■院士访谈
中国工程院院士沈昌祥——
用可信计算解决安全问题
是大数据安全未来唯一的出路
此次演练活动总结会当天,中国工程院院士沈昌祥专程来到了攻防演练现场,与攻防队伍成员进行了面对面交谈。为此,记者专访了沈昌祥院士,听听他对此次活动的评价。
记者:为了我们这次演练,之前在北京就邀请了您参加演练方案专家论证会,今天到现场来了以后感受怎么样?
沈昌祥:这次攻防演练准备充分、组织严密、水平很高、创新性强。贵阳这次大数据与网络安全演练区别于社会以往的网络安全竞赛,因为它的目的是保护实际的重要系统,尤其是大数据系统,因此跟出题目进行比赛是不一样的。
从现场来看,大家都很认真,攻击队伍通过分析现有的系统的区别性,找出它的风险点,然后用它自己的手段进行验证,这样做是很有意义的,因为我们国家现在系统建设得还是不够安全,存在很多缺陷。这样的演练,既能发现我们的缺陷,还能提高我们防护的水平,同时也培养我国网络安全应急处理方面的人才。
通过贵阳这次演练活动,我们大家对网络安全工作要有信心,要从实战演练中发现问题、总结经验、吸取教训,不断创新,加快构筑我国网络安全、大数据安全的保障体系。
记者:我们都知道,在大数据时代,传统的信息安全措施肯定是难以应对挑战的。就像您刚才说的,我们的安全也需要创新。那么您能不能给一些建议,我们未来在大数据安全方面应该怎么做?
沈昌祥:从这次演练可以看到我们好多防护手段,还是以前传统的“老三样”方法,即找漏洞、杀病毒、防火墙等,这些归结起来叫被动防御。未来,我们应该通过可信计算,来由被动防御转为主动防御。这就是我们说的“主动免疫可信计算3.0”。什么意思呢?其实,就相当于为传统的计算机加上“免疫”系统。从专业的定义上来说,可信计算是指在计算的同时运行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。
简单说,就相当于生下孩子来,如果没有免疫系统,就会变成残疾人一样。因此,用可信计算解决安全问题,是大数据安全未来唯一的出路,因为大数据这么大,环节这么多,漏洞是永远封堵查杀不完的,这样做也解决不了根本问题。所以,我们只有用可信计算来增加自主的免疫力,才能解决安全问题。
总理曾说过:“大数据是钻石矿”。如果我们的大数据安全问题越来越严重,那我们就算好不容易挖到了“钻石”,也会轻易被人家偷走。所以,还是那句话,大数据安全不是某一个环节的把控,而是要建立主动防御的保障体系,这是我们未来的出路.