近年来,全球领袖大会上的一个重要议题是网络安全,可见网络安全真的成为大国外交战略上的一个重要话题。抛开国际政治,专注于经济领域,跨国网络窃密问题更受商界领袖们的关注。美国前黑人总统奥巴马在一次商界领袖圆桌会议上表示,中美双方会积极处理商业网络窃密问题。如何处理呢?需要有政治大智慧,需要有专业的技术,也需要有更可靠的招数。
在全球一体化经济大背景下,网络窃密行为无疑是双方的。美国企业界拥有领先的科技创新力,能够借用互联网优势入侵中国的大型企业以及政府决策机构,进而获得竞争上的优势。而崛起之中的中国企业界,对拥有核心科技的饥渴,以及对高端高利润市场的奋扑,无疑也会成为网络窃密的驱动力。
尽管商业网络窃密事件给企业界带来了很大的冲击,但是切断国家网络这种粗暴的做法显然对谁都没有好处,所以商业网络窃密问题会一直持续下去,网络窃密情况已经有数十年了,之前有,现在有,未来肯定还会有。
我们没有办法完全杜绝商业网络窃密事件,但是却能减少这些事件的发生。如何做呢?昆明亭长朗然科技有限公司企业网络安全顾问董志军表示:在利益纷争之下,想从源头上切断企业的窃密念头,似乎难度较大。不过,如果双方强化网络安全领域内的协同执法,建立共通的网络安全法律框架,显然能够会对国与国之间的商业网络窃密以打击。如同“猎狐行动”给外逃贪官们的震慑一样,至少那些跨国企业不敢轻易入侵对方国家的竞争者,不过显然,如果我们过于强调网络主权,实施地方保护一套,那不用使用第三国的网络跳板,直接攻击窃密,谁也没有办法。
这么看来,从国家治理的高度来解决中美之间商业网络窃密问题,最迫切的是建立双方对网络安全的共同认知,进而形成了共通的网络安全法律框架。而互相学习和交流网络安全文化是建立共知的最重要的开端。
除了通过跨国协同机制来压制商业网络窃密的罪恶念头,再有就是增加网络窃密的难度。我国显然虽是网络大国,但并非网络强国。我们的网络安全攻击水平总体上显然落后于美国很多,虽然有少量精英网络安全人才,但整体杀伤力和防御力尚不如美国网军的一个小分队。我国的网络信息安全人才的培育和选拔机制显然不够灵活,关键的原因是大专院校信息安全专业教育课程的实战性不够,而实战性较强的社会培训机构又通常传播网络安全攻防相关的黑客工具,由于过于危害国内互联网,所以得不到认可常常被打压。
如何能够让经过正统教育的网络信息安全专业毕业生能够有较强的动手能力,同时又让社会培训机构出来的学员拥有较强的网络安全守法意识呢?亭长朗然公司董志军说:我们需要在加强网络安全技术培训的同时,强化学生和学员们的信息安全法制及道德建设。从国际范围看,不管是专业的CISSP课程,还是ISO 27001,合规守法(GDPR、网络安全法、个人信息保护法等)及职业道德都有重要的篇幅内容。我们只要强化网络安全人才的守法意识宣传、职业承诺和相关监管,便能将网络安全技术更多地引导来用于正道。
增加商业网络窃密的难度,其实除了专业的网络安全人才之外,最重要的是建立全民皆兵的安全防线。网络窃密早不再是发现未知的或利用未公布的系统安全漏洞,进而获取目标信息系统中的数据,而是利用人性的弱点,发动高级可持续威胁攻击,比如利用自动化的社会工程学攻击工具、窃取员工帐户,长期潜伏慢慢渗透。根据木桶理论或围栏理论,只要有一个环节,一名员工的安全防范意识和相关措施不够,整个企业就可能轻易被大范围高强度地毯式的攻击拿下。
说到底,解决大国利益争端,化解网络安全争执,虽不是我等小民所能有所改变的,但是从身边做起倒是可以的,防范商业网络窃密的关键措施就是强化网络安全文化沟通和建立信息安全意识共知。我们有一部典型的商业网络窃密案例式动画教程,是一名实为商业间谍的“网络侦探”的自白,我们希望它能帮到您,如果您希望预览或者免费获得和使用它,请联系我们。
