中美之间商业网络窃密问题处理有高招

china-usa-cyber-espionage
APEC会议及全球互联网大会上的一个重要议题是网络安全,可见网络安全真的成为大国外交战略上的一个重要话题。抛开国际政治,专注于经济领域,跨国网络窃密问题更受商界领袖们的关注。美国总统奥巴马在美国商界领袖圆桌会议上表示,中美双方会积极处理商业网络窃密问题。如何处理呢?需要有政治大智慧,需要有专业的技术,也需要有更可靠的招数。

在全球一体化经济大背景下,网络窃密行为无疑是双方的。美国企业界拥有领先的科技创新力,能够借用互联网优势入侵中国的大型企业以及政府决策机构,进而获得竞争上的优势。而崛起之中的中国企业界,对拥有核心科技的饥渴,以及对高端高利润市场的奋扑,无疑也会成为网络窃密的驱动力。

尽管商业网络窃密事件给企业界带来了很大的冲击,但是切断国家网络这种粗暴的做法显然对谁都没有好处,所以商业网络窃密问题会一直持续下去,网络窃密情况已经有数十年了,之前有,现在有,未来肯定还会有。

我们没有办法完全杜绝商业网络窃密事件,但是却能减少这些事件的发生。如何做呢?昆明亭长朗然科技有限公司企业网络安全顾问董志军表示:在利益纷争之下,想从源头上切断企业的窃密念头,似乎难度较大。不过,如果双方强化网络安全领域内的协同执法,建立共通的网络安全法律框架,显然能够会对国与国之间的商业网络窃密以打击。如同“猎狐行动”给外逃贪官们的震慑一样,至少那些跨国企业不敢轻易入侵对方国家的竞争者,不过显然,如果我们过于强调网络主权,实施地方保护一套,那不用使用第三国的网络跳板,直接攻击窃密,谁也没有办法。

这么看来,从国家治理的高度来解决中美之间商业网络窃密问题,最迫切的是建立双方对网络安全的共同认知,进而形成了共通的网络安全法律框架。而互相学习和交流网络安全文化是建立共知的最重要的开端。

除了通过跨国协同机制来压制商业网络窃密的罪恶念头,再有就是增加网络窃密的难度。我国显然虽是网络大国,但并非网络强国。我们的网络安全攻击水平总体上显然落后于美国很多,虽然有少量精英网络安全人才,但整体杀伤力和防御力尚不如美国网军的一个小分队。我国的网络信息安全人才的培育和选拔机制显然不够灵活,关键的原因是大专院校信息安全专业教育课程的实战性不够,而实战性较强的社会培训机构又通常传播网络安全攻防相关的黑客工具,由于过于危害国内互联网,所以得不到认可常常被打压。

如何能够让经过正统教育的网络信息安全专业毕业生能够有较强的动手能力,同时又让社会培训机构出来的学员拥有较强的网络安全守法意识呢?亭长朗然公司董志军说:我们需要在加强网络安全技术培训的同时,强化学生和学员们的信息安全法制及道德建设。从国际范围看,不管是专业的CISSP课程,还是ISO 27001,合规守法及职业道德都有重要的篇幅内容。我们只要强化网络安全人才的守法意识宣传、职业承诺和相关监管,便能将网络安全技术更多地引导来用于正道。

增加商业网络窃密的难度,其实除了专业的网络安全人才之外,最重要的是建立全民皆兵的安全防线。网络窃密早不再是发现未知的或利用未公布的系统安全漏洞,进而获取目标信息系统中的数据,而是利用人性的弱点,发动高级可持续威胁攻击,比如利用自动化的社会工程学攻击工具、窃取员工帐户,长期潜伏慢慢渗透。根据木桶理论或围栏理论,只要有一个环节,一名员工的安全防范意识和相关措施不够,整个企业就可能轻易被大范围高强度地毯式的攻击拿下。

说到底,解决大国利益争端,化解网络安全争执,虽不是我等小民所能有所改变的,但是从身边做起倒是可以的,防范商业网络窃密的关键措施就是强化网络安全文化沟通和建立信息安全意识共知。我们有一部典型的商业网络窃密案例式动画教程,是一名实为商业间谍的“网络侦探”的自白,我们希望它能帮到您,如果您希望预览或者免费获得和使用它,请联系我们。

勿让网络安全人才培养走“中国足球”的老路

习近平4月19日在网络安全和信息化工作座谈会上发表重要讲话,强调,要聚天下英才而用之,为网信事业发展提供有力人才支撑。网络空间的竞争,归根结底是人才竞争。引进人才力度要进一步加大,人才体制机制改革步子要进一步迈开。各级党委和政府要从心底里尊重知识、尊重人才,为人才发挥聪明才智创造良好条件。要不拘一格降人才,解放思想,慧眼识才,爱才惜才。

没有人能否定,人才是网络强国的“杀手锏”。在信息时代,没有人才,就不可能掌握核心技术,中国网络将会如同渔网失去最基本的防护,网络强国只会是梦想。

人才要怎么来?从国外引进?还是国内培养?您是如何看待呢?我对此做出如下简单分析。

第一个方案是引进海外人才,我觉得从国外引进人才的风险高,因为网络安全与国家安全关系密切,歪果仁(外国人)怕是靠不住。不用多说,现在网络安全的核心技术多数仍然掌握在美国以及亲美的“民主”国家手中,想要收服那些国家的网络安全技术精英,特别在政治信仰和意识形态上改变他们,非常之难。其实即使是来自共产主义友邦的人才,也是靠不住的,我们不能忘记前苏联“援助”我国经济建设几年之后,给我国带来的巨大灾难。

另一个方案就是国内培养,近几年,不少高校都开设了网络信息安全专业,这显然是一个很好的措施。但是通过正规的高等教育,我们能够获得充分的网络安全英才吗?我觉得值得我们思考,一方面,目前多数高校的网络安全教师队伍建设还跟不上,网络安全人才培养还很滞后;另一方面,科技创新的速度太快,教材刚编出来就过时了的情况时有发生,这就让传统正规的高校教育陷入尴尬境地,也造成网络信息安全毕业生眼高手低,学业与就业脱节的现象。

看样子,网络安全人才靠国外引进是不可行的,国内培养也是很滞后且不见得就是“人才”的,那有什么好的办法么?我忽然想起中国足球的培养机制,插一句闲话:习总也是很爱足球的哦!其实,习中重点提人才引进,而不提人才培养,相信是担心网络安全人才培养再走入中国足球的挫折之路。

中国足球的人才培养显然是一条精英人才培育之路,可是十几年的青训下来,不夸张的说,是“没有完全失败”,因为我们在足球方面虽然失败了,但是至少还收获了可用于网络安全人才培育的经验教训。这惨痛的经验教训就是精英化的网络安全人才培训机制根本不行,因为精英培训的根基不牢,缺乏可持续发展性,更会造成后备人才的匮乏。

那该怎么办呢?我觉得:网络安全人才一定是得是对网络安全有深厚兴趣的人,有很多不适合这个行当的人,再培养他们也成不了人“才”,反倒误了人家本身的特长,成了木“材”。现在的社会是多样化的,人们的兴趣爱好也多种多样,兴趣爱好来自于内心和潜质,外部的强力培养很难成功。

我这么说并不是否定通过高校进行正规的信息安全教育的必要性,这是因为对于人才本身来讲,“教育”、“培训”是被动接受的,是来自外界力量的;而“学习”是主动索取的,来自于内心本体的。虽然它们之间有些交叉甚至混合,但是效果差别却很大。

说到底,要聚天下网络安全英才,我们应该做的不是进行网络信息安全人才的培养,而是找出对这个行业有强烈兴趣爱好的人员,给他们一个主动学习的平台。如何找出对网络安全有强烈兴趣爱好的人员呢?其实每个行业中都有一批人可能并是真心不喜欢那个行业和所从事的工作,只是没办法,只能把当成混饭吃的资本。

要找到有爱好又有潜质的人才,就要广撒网,通过强化全民网络安全意识,看受众人员的态度和兴趣;举办网络安全挑战赛,看参赛人员的天赋和资质;考查自愿主动参加网络安全学习的人员,看他们的是否有恒心毅力;和网络安全从业人员聊天,看他们的涉猎是否广泛,知识是否全面……

网络安全人才要敢于尝试新事物,要能坚持“活到老,学到老”。如同足球运动员年龄大了就要退役一样,最终,所有的网络安全人才都免不了一死,即使是最有才华的精英人才。我们要做的是保障可持续发展,要不断发掘后备人才,这样网络安全行业才会“江山代有才人出”。

要让网络安全人才后继有人,走出“中国足球”的困境,就应该持续不断地进行全民网络安全意识的教育,并以此为契机,发掘出对网络安全事业有兴趣爱的好苗子,然后给这些苗子必要的学习平台和成长空间。

美国、英国、德国、日本等国制定网络安全教育计划并写入国家《网络安全战略》中,采取多种措施鼓励人才培养。着重培养网络安全专业人才,广泛开展全民网络安全意识教育,已经成为各国网络安全战略的重要组成部分。落后就要挨打,我们不能落后啊!对此,习总特别指出:在网络安全人才培养方面,要吸取“中国足球”人才培养的经验教训,就要政府、企业、社会组织、广大网民共同参与,强化全民网络安全意识,共筑网络安全防线。

写了这么多,您可能觉得国家网络安全人才培训和您的具体工作关系不大。我不否认这一点,但是有一点您是必须同意的,那就是您可以通过学习网络信息安全管理知识、信息安全与保密意识等课程,来提升自己的眼界,和丰富自己的阅历。对吧?昆明亭长朗然科技有限公司推出了多部网络(信息)安全意识动画视频和电子教程,它们不仅仅可以用于网络安全人才的自我学习和在线培养,对于人才的引进和获得来讲,无疑也是重要的网络安全人才评测工具。

如果您对此话题有兴趣,或者需要预览我们的网络安全意识教育作品,或者想体验我们的网络安全大赛平台或网络安全人才评测系统,请不要犹豫,随时和我联系。

董志军

手机:18206751343

微信:18206751343

邮箱:james@securemymind.com

QQ:1767022898