塑造現代網絡安全格局的7個歷史時刻
數十年來,網絡安全、法規遵從和網絡威脅經歷了不斷的演變,但核心思想依然一樣:攻擊者試圖找到系統中的弱點,然后企圖趁虛而入。另一方面,防御者試圖找到自身系統的薄弱環節,力圖搭建更安全的系統來保護數字化資產。為了更好地理解現代網絡安全的發展格局,《福布斯》雜志技術委員會成員、GRSee咨詢公司CEO Ben.Aderet梳理總結了現代網絡安全格局形成中的7個代表性歷史時刻。
1971年:Reaper蠕蟲誕生
1971年,全球最早的蠕蟲病毒出現在阿帕網(ARPANET)系統中。這個蠕蟲是由Bob Thomas編寫的試驗性作品,也是史上第一個真實感染計算機網絡系統的蠕蟲病毒。雖然其初衷只是為了測試一個自我復制的應用程序,并且沒有對系統造成任何破壞。但是,這個事件直接促使了Ray Tomlinson開發出史上第一個反病毒軟件,該軟件可以在阿帕網上搜尋并刪除蠕蟲病毒程序。
1972年:首次滲透測試活動
James P. Anderson是滲透測試領域的最早期先驅之一,其原因是出于他想在自己的系統中驗證是否存在漏洞。在1972年的一份報告中,他系統性地總結了安全團隊可以采取的一系列步驟,以測試計算機環境有多脆弱,其中的幾個關鍵概念包括了模擬攻擊、漏洞識別,以及如何修補這些漏洞,以防止任何外部攻擊。這套特定的安全性測試方法后來被正式名為滲透測試,至今仍在業界廣泛使用。大多數網絡安全合規需求也都明確將滲透測試作為一項基本性的防護要求。
1983年:首套網絡安全控制措施發布
1983年,NSA(美國國家安全局)發布了史上第一套網絡安全控制措施,即廣為人知的《可信計算機系統評估標準》橙皮書。這套措施相當于第一套官方版網絡安全防護指南,用于評估測試計算機Zion給是否存在安全問題及其防護的效果。
借助這套安全控制措施,企業組織可以使用以下三種安全策略評估機密信息的處理和存儲:
- 強制性安全策略;
- 安全標記;
- 選擇性安全政策。
后來,這套安全措施逐漸演變為行業性的網絡安全合規標準,眾多用戶、系統和企業是以合規標準的要求為指引開展網絡安全保護工作。
1986年:Morris蠕蟲作者被判刑
1983年,一部名為《戰爭游戲》的好萊塢電影在科技界與法律界引發了巨大討論,之后《計算機欺詐與濫用法》正式出臺。在電影中,一個少年黑客闖入一臺軍用超級計算機,給多個國家造成了嚴重破壞。而在正式頒布的《計算機欺詐與濫用法》中規定,未經授權訪問計算機或網絡,并企圖造成破壞的行為屬于嚴重的違法行為,將會受到國家司法部門的懲罰。
1986年,23歲的Tappan Morris通過其編寫的Morris蠕蟲病毒程序發起了真實網絡中的第一起拒絕服務(DDoS)攻擊,影響了大約6萬臺與阿帕網連接的計算機系統。根據《計算機欺詐與濫用法》,Tappan Morris被判有罪,并被處以1萬美元罰款、400小時社區服務和3年有期徒刑。不久之后,Morris蠕蟲病毒事件還促成了美國國家計算機緊急響應小組(CERT)的成立。
1996年:HIPAA合規標準頒布
HIPAA是美國克林頓總統在1996年8月頒布的第一部健康隱私法案。該法案有助于規范商業性機構存儲和處理個人醫療信息的方式,旨在保護以電子形式存儲或傳輸的個人健康隱私信息。當醫療保健業開始由紙質系統轉向數字系統時,出臺這項合規標準非常重要而適時。
2004年:PCI DSS合規標準頒布
2004年,維薩、萬士達、Discover和美國運通四大信用卡公司聯合發起成立了支付卡安全和數據安全標準(PCI DSS)委員會。PCI DSS合規標準確保所有使用、處理或存儲信用卡信息的金融企業都在高度安全且精心維護的環境中進行操作。目前,PCI DSS合規標準已被全球的金融機構采用并實施,以保護其支付系統和敏感數據,遠離在線交易和信用卡欺詐及盜竊。
2005年:ISO 27001合規標準頒布
國際標準化組織(ISO)正式發布了這項合規標準,以幫助企業了解網絡安全風險、投入必要資源并確保利益相關者的責任能夠落實到位。ISO 27001合規標準涉及的控制措施幫助全球各大公司企業有序開展網絡安全建設工作,制定可靠的治理戰略,以防范網絡安全威脅。
展望未來
據報道,美國證券交易委員會(SEC)正在推動在每家上市企業的董事會中強制要求設置CISO,以提高企業的網絡安全防護能力,并加大上市公司對其客戶和全社會負有的安全責任。這可能會給網絡安全業帶來更加積極的變革。不過,雖然網絡安全行業正在迅猛發展,各種監管法規可以為企業提供更好的安全發展環境,但企業還須積極加強網絡安全意識宣教,真正把網絡安全建設作為數字化業務轉型和發展的賦能者。
