中國基建網路安全基石

❶ 數字化｜企業數字化轉型中的幾個典型誤區

大家有沒有注意到，這些年「數字化」（Digitization）不斷的被提及，各種峰會、論壇以及媒體報道等等，尤其這次疫情的發生更是成為了數字化轉型的催化劑，更甚是在國家「十四五規劃」中將其上升到國家戰略。我印象中「數字化」在國內被鄭重提及的人是馬雲，對，就是那個杭州的「英語老師」。他反復強調了大數據（Big Data）及數字化轉型（Digital Transformation）的重要性，以及後來阿里巴巴提出的「數字石油」的概念，也是強調了「數據」的重要性。數字化是不是真的那麼重要？答案是。

什麼是數字化（Digitization）？

通俗一點講，數字化是將信息轉換為數字（即計算機可讀）格式的過程。

包括數據的採集、傳輸、存儲、計算和應用，是指將各類復雜多變的信息轉變為可以度量的數據，並加以處理的過程。

-

那什麼是數字化轉型（Digital Transformation）？

數字化轉型是指企業利用新一代數字技術，將某個生產經營環節乃至整個業務流程的物理信息鏈接起來，形成有價值的數字資產，通過計算反饋有效信息，最終賦能到企業商業價值的過程。

-

企業為什麼要進行數字化轉型？

這是一個比較復雜的話題，要好好說的話可以聊好久，也經常跟朋友聊天的時候被問到。我一般是回答三個字「活下去」。因為你不做轉型，就要面臨淘汰出局，就像今天你可以不用支付寶或微信支付是可以的，因為還有紙幣，略麻煩點，但是哪天國家推行數字法幣的時候，人人都在用，你說你不用，你怎麼生活？又怎麼做生意？道理是一樣的，暫不多說。

受昨天跟一個老客戶（也是老朋友）聊天的影響，我來總結下我們在進行企業數字化進程中的一些誤區。我相信這還是蠻常見的，因為我們身邊一些客戶都有遇到，且誤解蠻深。

-

誤區一：推動和領導企業數字化轉型的人是企業的IT。

如果讓你選，你覺得一家企業進行數字化轉型的「推動人」或者「領導者」是誰？CTO？還是CEO？多數人都選擇了「CTO」，沒有「CTO」的都選了IT人員。事實上，能推動和領導企業數字化轉型的人只有「CEO」，因為企業數字化轉型是一個「戰略動作」，不是「戰術動作」。轉型一般分兩塊，一是基礎設施的建設，我們叫做數字基建，比如上雲（私有雲和公有雲）以及其他一些數據化設備的部署等等；另外一塊是指導方針，落實到企業的話，就是要伴隨著一系列的管理制度的建設和現有管理制度的優化。因為數字化轉型將伴隨著企業流程和業務發展的改變，甚至有些企業會帶來商業模式的顛覆等。基於這些，如果不是企業的CEO的話，有誰能夠推動呢？！這也是為什麼，很多企業在數字化轉型的時候困難重重，最後不了了之，充其量只是換了套辦公方式而已，因為領導這場轉型的人不對，當然不排除還有其它原因，但我相信這是一個很大的原因。

-

誤區二：網路安全問題是數字化轉型中的附屬問題。

從我們做過的項目經驗了解到，多數企業在進行數字化轉型時都是將安全問題滯後考慮的，認為數字化轉型完成之後，再考慮網路安全問題。感覺網路安全問題是一個配角，是附屬的。事實上，恰恰相反，網路安全是數字化轉型成功的「基石」，是基礎，是必要條件。沒有進行整體網路安全規劃的數字化建設好比是建在流沙上的建築，經不起考驗，且不說面臨怎樣的外圍風險，本身自身就身處危險之地。

今天我們所處的數字化時代的網路環境要比互聯網初期時代嚴峻的多，甚至要上一個量級都不為過。過去只是一些小毛賊，搞點計算機病毒之類的攻擊，即便威脅也只是個別的PC，畢竟那個時候數字化程度不高，大部分的核心業務和數據都不是「數據化」的。如今，如果攻擊的得手的話，將是「覆滅」，因為現在的數字化程度太高了，面臨的代價也是最大的。我相信你們或多或少也聽說過一些公司的遭遇……總而言之，如果我們在數字化轉型建設中沒有做好安全的規劃的話，這無疑是給「別人」建「倉庫」，你品。

-

誤區三：網路安全設備夠牛逼，就夠安全。

說這話的人肯定是沒遭受過「毒打」，但這樣考慮的人確實很普遍，代表了一大部分企業的現狀。上面提到的老客戶也是如此，企業是做高精醫療器械研發的，研發成果數據安全是第一位的，300多號人的企業，起初數字化建設的投入連續兩年每年超過400多萬，每年在企業數字化安全維護上投入的費用在100多萬（這其中絕大部分是設備更新的投入）。不得不說，安全設備的投入是會帶來一定的安全保障，但絕不是唯一，因為你在安全較量上面對的是「人」，人是有主觀能動性的，今天再牛逼的防盜門，給到一個開鎖師傅，他總能想到辦法把門打開，無非是花多少時間。換句話說，你面對的可能不是一個人，可能是一群人，他們天天盯著你，再牛逼的安全設備也是人做的，會有漏洞，有漏洞就有可能會被發現，就是這樣。所以，不要把安全的保障全部寄希望於設備，但安全設備的增加或更新換代還是有必要的，總好過沒有吧。還需要有人持續去發現「漏洞」，及時堵住，這不是你們理解的IT乾的，是安全專家乾的事情。

另外，還是要說到「人」，剛才在「誤區一」裡面講到要CEO領導數字化轉型的另一個原因，也是從安全方面考慮的。那就是面向員工的安全管理制度推行上，不要只顧著抵禦外部攻擊而忽視了內部員工安全素養的培養。

-

上面也是簡單聊一下個人的觀點，數字化轉型中遇到的問題遠比這些多的多。

簡單總結下，

我們即將迎來一個大的時代變局，我們的工作生活也將產生巨大的變化。無論是作為個人，或作為企業我們都要積極的去擁抱「它」，同時也要求我們去積極的做好准備。

相信：數字，創造更美好生活！

❷ 網路安全的基石（下）— 完整性與身份認證

網路安全篇，面對復雜多變的網路環境，我們需要掌握哪些關於網路安全的相關知識，聊一聊與網路安全相關的：HTTPS、SSL、TLS 等。

在上一篇文章中，我們介紹了通過非對稱加密協商出一個用於對稱加密的秘鑰，這樣便可以保證秘鑰不會被竊取，從而實現了機密性。

但僅有機密性，距離安全還差的很遠 ...

因為雖然會話密鑰無法被竊取，但是惡意者可以嘗試修改、重組相關信息返回給網站，因為沒有完整性的保證，伺服器也只能「照單全收」。

另外，惡意者也可以偽造公鑰，如果我們拿到的是「假的公鑰」，此時的混合加密就完全失效了。可能我們以為的目標，實際上對方卻是偽冒者。

所以，今天我們就來聊一聊，在機密性這一基礎之上的完整性和身份認證等特性。

缺乏完整性的機密，可能會被黑客替換或篡改。接下來我們先來看看如何給機密增加上完整這一特性。

如果說保證機密這一特性的是加密演算法，那實現完整性的手段主要是 摘要演算法 ，也就是常說的散列函數、哈希函數（Hash Function）。

我們可以把摘要演算法近似的理解成一種特殊的壓縮演算法，它能夠將任意長度的數據「壓縮」成固定長度，而且是獨一無二的「摘要字元串」，就好像是給信息生成了一個數字「指紋」。因此好的摘要演算法必須能夠「抵抗沖突」（兩份不同的原文對應相同的摘要），讓這種可能性盡量地小。因為摘要演算法對輸入具有單向性和 雪崩效應 。

1. 單向性

所有的散列函數都有一個基本特性：如果散列值是不相同的（同一個函數），那麼這兩個散列值的原始輸入也是不相同的。具有這種性質的散列函數稱為 單向散列函數 ，即 對於給定的散列值 ， 不能夠逆推出原文 。

2. 雪崩效應

雪崩效應是指當輸入發生最微小的改變時，也會導致輸出的不可區分性改變。合格的摘要演算法，無論是密鑰或明文的任何細微變化都必須引起散列值的不可區分性改變。所以摘要演算法也被 TLS 用來生成偽隨機數（PRF，pseudo random function）。

相信每個開發者在工作中都或多或少的聽過或用過 SHA-1 （Secure Hash Algorithm 1）和 MD5 （Message-Digest 5），它們就是最常用的兩個摘要演算法，能夠生成 20 位元組和 16 位元組長度的數字摘要。遺憾的是它們先後分別在 2005 年和 2009 年被破解，在 TLS 里已經被禁止使用了。

目前 TLS 推薦使用的是 SHA-1 的後繼者 SHA-2，區別於前者，它屬於 密碼散列函數
演算法標准，由美國國家安全局研發。總共有 6 種 ，常用的有 SHA224、SHA256 及 SHA384，它們分別能夠生成 28 位元組、32 位元組及 48 位元組的摘要。

摘要演算法能夠保證「數字摘要」和原文是完全等價的，所以，我們只要在原文後附上它的摘要，就能夠保證數據的完整性。

該怎麼理解呢？客戶端將消息和消息摘要（SHA-2）發送給服務端之後，服務端拿到後也計算下消息的摘要，對這兩份「指紋」做個對比，如果一致，就說明消息是完整可信的，沒有被修改。因為即使是對消息的很小變動（例如一個標點符號，這就是雪崩效應），摘要也會完全不同，服務端計算對比就會發現消息被篡改，是不可信的。

不過，大家這時候肯定也看出了問題，摘要演算法不具有機密性，如果明文傳輸，那麼黑客可以修改消息後，把摘要也一起修改。

所以，真正的完整性必須建立在機密性之上，就是在上期講解的《 網路安全的基石（上）— 加密 》：在混合加密系統里用會話密鑰加密消息和摘要，這樣黑客無法得知明文，也就沒有辦法「動手腳了」。

加密和摘要實現了通信過程的機密性和完整性，我們的通信過程可以說是比較安全了。但這里還有漏洞，那就是通信的兩端。

對於通信的兩端，我們還要解決身份認證的問題。簡單來說，就是如何證明對方真實身份。因為黑客可以偽裝成網站來竊取你的信息，反過來，他也可以偽裝成你，向網站發送支付、轉賬等消息，網站沒有辦法確認你的身份，錢可能就這樣被偷走了。

回想下現實生活中，解決身份認證常用的手段有簽名、手印和印章等，只要在紙上寫下簽名加上蓋章，就能證明這份文件確實是由本人而非其他人發出的。

那在 TLS 什麼東西和生活中的手印、印章很像，只能由本人持有呢？只要有了這個東西，就能夠在網路世界裡證明你的身份。回想下前面我們介紹的內容，大家也很容易想到，它就是非對稱加密里的 私鑰 ，使用私鑰再加上摘要演算法，就能夠實現 數字簽名 ，同時實現 身份認證 和 不可否認 。

簽名與驗簽

數字簽名的原理其實也不復雜，就是將公鑰和私鑰的用法反過來，之前是公鑰加密，私鑰解密； 現在是私鑰加密 ， 公鑰解密 。

簽名和公鑰一樣完全公開，任何人都可以獲取。但這個簽名只有用私鑰對應的公鑰才能解開，拿到摘要後，再比對原文驗證完整性，就可以簽署文件一樣證明消息確實是你發的。整個過程的兩個行為也有其專用術語，分別叫做 簽名 和 驗簽 。

回顧下安全通信的四大特性我們都已經實現了，整個通信過程是不是已經完美了呢？答案不是的，這里還有一個「公鑰的信任」問題，因為誰都可以發布公鑰，我們還缺少防止黑客偽造公鑰的手段。關於該部分內容你可以參考下篇文章 《公鑰信任問題 — 數字證書與 CA》 。

總結

網路安全涉及了方方面面太多的知識，尤其是網路的基礎知識對我們來說還是非常重要的，關於這部分大家又有什麼要分享的？歡迎你的分享留言或指正。

網路安全系列專題

❸ 網路安全未來發展怎麼樣

首先，從當前的發展趨勢來看，在工業互聯網的推動下，網路安全未來將受到越來越多的重視，一方面工業互聯網進一步推動了互聯網與實體領域的結合，這明顯拓展了傳統的網路應用邊界，也使得網路安全對於產業場景的影響越來越大，另一方面在新基建計劃的推動下，未來大量的社會資源和產業資源都將全面數據化，這必然會對網路安全提出更多的要求。

最後，在學習網路安全的過程中，並不建議在脫離實踐場景的情況下學習，一方面網路安全本身對於實驗環境有較高的要求，另一方面在實踐過程中積累的知識會有非常強的場景屬性。通常情況下，在掌握了基本的安全技術知識之後，應該找一個實習崗位繼續提升，在選擇實習崗位的時候，可以重點關注一下新興領域，比如大數據、物聯網等等。

❹ 網路安全在以後的時代是怎麼樣

過去，網路安全得不到用戶的足夠重視，行業發展緩慢。近幾年，一方面，工信部和發改委對網路安全行業的政策支持越來越大;另一方面，互聯網應用領域的發展越來越廣泛和深入，致使網路安全的需求越來越大。如今，5G網路、人工智慧、工業互聯網、大數據中心等為代表的一系列新型基礎設施逐漸成為了創新熱點。網路安全產業成為保障「新基建」安全的重要基石，隨著「新基建」在各個領域的深入開展，其將為網路安全企業的發展提供新的機遇。

網路安全行業政策密集出台

2013年11月，國家安全委員會正式成立;2014年2月，中央網路安全和信息化領導小組成立，充分展示了我國對網路安全行業的重視。近年來，我國政府一直出台多項政策推動網路信息安全行業的發展，以滿足對政府、企業等網路信息安全的合規要求。國家層面的政策從兩方面推動我國網路安全行業發展，一方面，加強對網路安全的重視，提高網路安全產品的應用規模;另一方面，從硬體設備等基礎設施上杜絕網路安全隱患。

一系列法規政策提高了政府、企業對網路信息安全的合規要求，預計將帶動政府、企業在網路信息安全方面的投入。

—— 以上數據來源於前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》

❺ 網路安全在以後的時代是怎麼樣

在信息化的現代，網路安全產業成為保障「新基建」安全的重要基石，我國網路安全行業市場規模一直呈現高速增長態勢。未來，隨著5G網路、人工智慧、大數據等新型網路技術在各個領域的深入開展，其將為網路安全企業的發展提供新的機遇。隨著科技的進步和社會的發展，網路安全的概念和內涵不斷演進。其發展歷程可分為起源期、萌芽期、成長期和加速期四個時期，分別對應通信加密時代、計算機安全時代、信息安全時代以及網路空間安全時代。目前網路安全正處於網路空間安全時代的加速期：2014年中央網路安全和信息化領導小組成立後，網路安全法、等保2.0等政策不斷出台，網路安全上升為國家戰略。與信息安全時代的區別在於網路邊界逐漸模糊或消失，僅憑傳統的邊界安全已不能做到有效防護，防護理念和技術發生深刻改變，主動安全逐漸興起。安全解決方案和安全服務也越來越被重視。