“网络安全产业开始进入To D时代”,沃通CA CEO王高华先生在第六届世界互联网大会互联网之光博览会“网络安全产业发展论坛”上发言时指出,这个论坛由中国网络空间安全协会于10月19日在乌镇优格花园酒店优格厅举办,论坛主题是如何能更好地促进我国网络安全产业发展。”这里的D是Data,也就是说,网络安全产业开始从To B(企业用户服务)、To C(终端用户服务)进入To D(数据保护服务)的新时代”。
网络安全产业从To C起步,为终端用户提供防病毒和防火墙等安全服务,经过多年的发展,C端业务已经非常成熟,经过多轮的洗牌涌现出一批大的服务提供商,基本上能保障用户终端方面的安全。而To B业务也有一大批网络安全厂商在防火墙、杀毒、防攻击、漏洞监控、入侵检测等各个方面取得不菲的成绩,有力地保障了政企用户在服务器端/云端的安全。
但是,为何现在网络攻击还是这么频繁?而且为何网络攻击者这么容易得手?为何电信诈骗案例频频发生而且有愈演愈烈之势?最根本的原因的是现在所有政务业务、企业服务,还有工业生产业务都移植到互联网上,各种用户数据从C端传递到云端时是明文传输,所有数据在互联网上流动时是明文的,非常容易被非法抓取和非法利用,各种大数据很容易获得而被利用来商业盈利、进行网络攻击和电信欺诈。这是To C无法解决的问题,因为数据已经离开C端;这也是To B服务解决不了的问题,因为攻击者并没有攻击B端系统,直接在数据离开C端,还没有达到B端服务器之前已经获取到所有数据。这是一个被我国网络安全产业界“忽视“了大安全问题,当然也是新的商机。所以,王高华在这次论坛上呼吁我国网络安全产业界不要忽视了这个安全问题和解决这问题的市场机会,积极投入到这个领域,为大数据从C端到云端的安全提供安全保护。
一位美国安全专家称:To catch up with modern threats,we need to focus less on defending systems and more on defending the data itself. 为了解决现代威胁,我们需要更少关注防御系统,更多地关注防御数据本身。其实,解决从C端到云端的数据安全问题早就有了可靠的技术方案,那就是在网站系统部署SSL证书采用https协议自动实现从C端(浏览器或APP)到服务器端/云端的数据传输加密。试想一下,如果互联网上流动的数据都是密文,即使数据被截获,也没有用!也就是说:加密互联网流量才是解决网络安全问题的根本,将大大减少网络攻击和数据泄露,数据加密给了互联网一层天然的安全保障,将大大减轻用网防护成本和大大提升网络安全水平。
目前,谷歌浏览器、火狐浏览器和苹果Safari浏览器都对没有部署SSL证书的http网站提示“不安全”,因为http从用户浏览器到服务器之间的数据传输是明文的,各种机密数据非常容易被非法窃取和非法篡改。所有网站都必须部署SSL证书实现https加密传输,这是大势所趋。美国政府所有网站和政务服务系统已经完成82% https安全改造,而我国政府网站系统https部署比例不到1%。我国在世界各国https部署量排名位于第22位,只占全世界0.83%的份额,而网站数量已经位居全球第一。这才是为何数据泄密事件频发和各种攻击不断的最根本原因!攻击者窃取到明文数据后就可以做大数据分析和画像,就可以利用这些大数据来实施犯罪和攻击!
即使我国有1%的网站部署了SSL证书,这些网站也仍然存在安全风险,因为都是部署国外CA签发的RSA加密算法SSL证书,极有可能由于政治、经济和贸易纠纷等各种原因吊销和断供这些SSL证书,而导致我国的各种重要信息基础设施系统无法正常提供服务。
为了我国互联网(包括政府网站和各种业务系统)安全可控,我国必须大力推广https加密,并且必须采用国密算法的国密SSL证书,全面实现https加密来实现我国互联网数据从用户端到云端在传输过程都是加密的,能有效地防止各种数据泄露和滥用犯罪。
而要实现https国密算法和国密SSL证书加密,必须是浏览器支持国密算法和国密SSL证书,CA能签发国密SSL证书,同时Web服务器包括WAF设备都必须支持国密算法和国密SSL证书,只有这样才能实现https国密加密。这是一个全生态的国密算法和国密证书支持,需要网络安全产业中相关的厂商都参与并支持才能形成良好的应用生态。王高华认为这是我国目前网络安全产业必须重视的问题,也是一个非常有潜力的大市场。
沃通CA早在3年前就着手了国密证书全生态应用的研究和相关产品研发,已经联合360浏览器和自主研发的密信浏览器支持国密算法实现国密https加密,并成功研发密信邮件客户端实现全自动国密证书加密每一封电子邮件来保障邮件机密信息在传输过程和在云端的安全保密,也已经成功研发密信阅读器支持国密证书签名和加密PDF/OFD文件。
但是,所有应用系统和各种网络安全设备都支持国密算法,还需要更多的安全厂商的参与,如各个国产浏览器厂商、各个国产Web服务器厂商、各种网关厂商和WAF厂商,都应该按照国密标准来支持国密算法和国密SSL证书。还有国产操作系统厂商,也应该像Windows操作系统支持RSA密码体系一样从操作系统底层支持国产密码体系,只有整个相关产业链产品都支持国密算法和国密SSL证书了,才能真正实现我国互联网的全网https国密算法加密,才能真正实现我国互联网的安全可控,从根本上解决数据泄密和网络攻击的问题。这一定会带动我国相关网络安全产业的发展,这是一个新的蓝海和新的利润增长点!
除了网络安全产业界广泛积极参与外,还需要国家相关主管部门制定政策支持。美国是一个市场经济国家,但是在网络安全方面政府政策支持力度非常大。就网站https加密这块,美国早在2015年6月就由负责协助总统实现其政策、预算、管理和目标监管和其他法定职责的总统管理和预算办公室(OMB)发文要求所有政府网站和政务系统都必须建立https安全连接,并制定的相应的技术标准和建立检查监督机制。截止到10月9日联邦政府网站系统已经完成81%的全站https加密,有效地解决了美国公众向政府系统提交机密信息的安全保障问题。有了政府的引导和示范,社会网站系统https部署率也已经超过60%,也就是说,美国互联网上流动的数据基本上都是加密的,切断了非法获取各种机密数据的可能性,有效地保护了美国网站和系统的安全和美国公民的隐私信息安全。为了我国的互联网安全可控,我国也应该制定有关政策强制要求所有政府网站和政务服务系统都必须部署国密https,建议用户使用支持国密算法的浏览器来访问所有政府网站、政务系统和各种关键信息基础设施系统。
网络安全产业已经开始从To B和To C进入到To D发展阶段,只有这三个方面(B/C/D)都安全了,才能真正保护和保障我国互联网的安全可控。大力发展国产密码应用体系和应用生态,这不仅是我国网络安全发展的需要,也是我国网络安全产业的一次大好发展机会。