中国基建网络安全基石

❶ 数字化｜企业数字化转型中的几个典型误区

大家有没有注意到，这些年“数字化”（Digitization）不断的被提及，各种峰会、论坛以及媒体报道等等，尤其这次疫情的发生更是成为了数字化转型的催化剂，更甚是在国家“十四五规划”中将其上升到国家战略。我印象中“数字化”在国内被郑重提及的人是马云，对，就是那个杭州的“英语老师”。他反复强调了大数据（Big Data）及数字化转型（Digital Transformation）的重要性，以及后来阿里巴巴提出的“数字石油”的概念，也是强调了“数据”的重要性。数字化是不是真的那么重要？答案是。

什么是数字化（Digitization）？

通俗一点讲，数字化是将信息转换为数字（即计算机可读）格式的过程。

包括数据的采集、传输、存储、计算和应用，是指将各类复杂多变的信息转变为可以度量的数据，并加以处理的过程。

-

那什么是数字化转型（Digital Transformation）？

数字化转型是指企业利用新一代数字技术，将某个生产经营环节乃至整个业务流程的物理信息链接起来，形成有价值的数字资产，通过计算反馈有效信息，最终赋能到企业商业价值的过程。

-

企业为什么要进行数字化转型？

这是一个比较复杂的话题，要好好说的话可以聊好久，也经常跟朋友聊天的时候被问到。我一般是回答三个字“活下去”。因为你不做转型，就要面临淘汰出局，就像今天你可以不用支付宝或微信支付是可以的，因为还有纸币，略麻烦点，但是哪天国家推行数字法币的时候，人人都在用，你说你不用，你怎么生活？又怎么做生意？道理是一样的，暂不多说。

受昨天跟一个老客户（也是老朋友）聊天的影响，我来总结下我们在进行企业数字化进程中的一些误区。我相信这还是蛮常见的，因为我们身边一些客户都有遇到，且误解蛮深。

-

误区一：推动和领导企业数字化转型的人是企业的IT。

如果让你选，你觉得一家企业进行数字化转型的“推动人”或者“领导者”是谁？CTO？还是CEO？多数人都选择了“CTO”，没有“CTO”的都选了IT人员。事实上，能推动和领导企业数字化转型的人只有“CEO”，因为企业数字化转型是一个“战略动作”，不是“战术动作”。转型一般分两块，一是基础设施的建设，我们叫做数字基建，比如上云（私有云和公有云）以及其他一些数据化设备的部署等等；另外一块是指导方针，落实到企业的话，就是要伴随着一系列的管理制度的建设和现有管理制度的优化。因为数字化转型将伴随着企业流程和业务发展的改变，甚至有些企业会带来商业模式的颠覆等。基于这些，如果不是企业的CEO的话，有谁能够推动呢？！这也是为什么，很多企业在数字化转型的时候困难重重，最后不了了之，充其量只是换了套办公方式而已，因为领导这场转型的人不对，当然不排除还有其它原因，但我相信这是一个很大的原因。

-

误区二：网络安全问题是数字化转型中的附属问题。

从我们做过的项目经验了解到，多数企业在进行数字化转型时都是将安全问题滞后考虑的，认为数字化转型完成之后，再考虑网络安全问题。感觉网络安全问题是一个配角，是附属的。事实上，恰恰相反，网络安全是数字化转型成功的“基石”，是基础，是必要条件。没有进行整体网络安全规划的数字化建设好比是建在流沙上的建筑，经不起考验，且不说面临怎样的外围风险，本身自身就身处危险之地。

今天我们所处的数字化时代的网络环境要比互联网初期时代严峻的多，甚至要上一个量级都不为过。过去只是一些小毛贼，搞点计算机病毒之类的攻击，即便威胁也只是个别的PC，毕竟那个时候数字化程度不高，大部分的核心业务和数据都不是“数据化”的。如今，如果攻击的得手的话，将是“覆灭”，因为现在的数字化程度太高了，面临的代价也是最大的。我相信你们或多或少也听说过一些公司的遭遇……总而言之，如果我们在数字化转型建设中没有做好安全的规划的话，这无疑是给“别人”建“仓库”，你品。

-

误区三：网络安全设备够牛逼，就够安全。

说这话的人肯定是没遭受过“毒打”，但这样考虑的人确实很普遍，代表了一大部分企业的现状。上面提到的老客户也是如此，企业是做高精医疗器械研发的，研发成果数据安全是第一位的，300多号人的企业，起初数字化建设的投入连续两年每年超过400多万，每年在企业数字化安全维护上投入的费用在100多万（这其中绝大部分是设备更新的投入）。不得不说，安全设备的投入是会带来一定的安全保障，但绝不是唯一，因为你在安全较量上面对的是“人”，人是有主观能动性的，今天再牛逼的防盗门，给到一个开锁师傅，他总能想到办法把门打开，无非是花多少时间。换句话说，你面对的可能不是一个人，可能是一群人，他们天天盯着你，再牛逼的安全设备也是人做的，会有漏洞，有漏洞就有可能会被发现，就是这样。所以，不要把安全的保障全部寄希望于设备，但安全设备的增加或更新换代还是有必要的，总好过没有吧。还需要有人持续去发现“漏洞”，及时堵住，这不是你们理解的IT干的，是安全专家干的事情。

另外，还是要说到“人”，刚才在“误区一”里面讲到要CEO领导数字化转型的另一个原因，也是从安全方面考虑的。那就是面向员工的安全管理制度推行上，不要只顾着抵御外部攻击而忽视了内部员工安全素养的培养。

-

上面也是简单聊一下个人的观点，数字化转型中遇到的问题远比这些多的多。

简单总结下，

我们即将迎来一个大的时代变局，我们的工作生活也将产生巨大的变化。无论是作为个人，或作为企业我们都要积极的去拥抱“它”，同时也要求我们去积极的做好准备。

相信：数字，创造更美好生活！

❷ 网络安全的基石（下）— 完整性与身份认证

网络安全篇，面对复杂多变的网络环境，我们需要掌握哪些关于网络安全的相关知识，聊一聊与网络安全相关的：HTTPS、SSL、TLS 等。

在上一篇文章中，我们介绍了通过非对称加密协商出一个用于对称加密的秘钥，这样便可以保证秘钥不会被窃取，从而实现了机密性。

但仅有机密性，距离安全还差的很远 ...

因为虽然会话密钥无法被窃取，但是恶意者可以尝试修改、重组相关信息返回给网站，因为没有完整性的保证，服务器也只能“照单全收”。

另外，恶意者也可以伪造公钥，如果我们拿到的是“假的公钥”，此时的混合加密就完全失效了。可能我们以为的目标，实际上对方却是伪冒者。

所以，今天我们就来聊一聊，在机密性这一基础之上的完整性和身份认证等特性。

缺乏完整性的机密，可能会被黑客替换或篡改。接下来我们先来看看如何给机密增加上完整这一特性。

如果说保证机密这一特性的是加密算法，那实现完整性的手段主要是 摘要算法 ，也就是常说的散列函数、哈希函数（Hash Function）。

我们可以把摘要算法近似的理解成一种特殊的压缩算法，它能够将任意长度的数据“压缩”成固定长度，而且是独一无二的“摘要字符串”，就好像是给信息生成了一个数字“指纹”。因此好的摘要算法必须能够“抵抗冲突”（两份不同的原文对应相同的摘要），让这种可能性尽量地小。因为摘要算法对输入具有单向性和 雪崩效应 。

1. 单向性

所有的散列函数都有一个基本特性：如果散列值是不相同的（同一个函数），那么这两个散列值的原始输入也是不相同的。具有这种性质的散列函数称为 单向散列函数 ，即 对于给定的散列值 ， 不能够逆推出原文 。

2. 雪崩效应

雪崩效应是指当输入发生最微小的改变时，也会导致输出的不可区分性改变。合格的摘要算法，无论是密钥或明文的任何细微变化都必须引起散列值的不可区分性改变。所以摘要算法也被 TLS 用来生成伪随机数（PRF，pseudo random function）。

相信每个开发者在工作中都或多或少的听过或用过 SHA-1 （Secure Hash Algorithm 1）和 MD5 （Message-Digest 5），它们就是最常用的两个摘要算法，能够生成 20 字节和 16 字节长度的数字摘要。遗憾的是它们先后分别在 2005 年和 2009 年被破解，在 TLS 里已经被禁止使用了。

目前 TLS 推荐使用的是 SHA-1 的后继者 SHA-2，区别于前者，它属于 密码散列函数
算法标准，由美国国家安全局研发。总共有 6 种 ，常用的有 SHA224、SHA256 及 SHA384，它们分别能够生成 28 字节、32 字节及 48 字节的摘要。

摘要算法能够保证“数字摘要”和原文是完全等价的，所以，我们只要在原文后附上它的摘要，就能够保证数据的完整性。

该怎么理解呢？客户端将消息和消息摘要（SHA-2）发送给服务端之后，服务端拿到后也计算下消息的摘要，对这两份“指纹”做个对比，如果一致，就说明消息是完整可信的，没有被修改。因为即使是对消息的很小变动（例如一个标点符号，这就是雪崩效应），摘要也会完全不同，服务端计算对比就会发现消息被篡改，是不可信的。

不过，大家这时候肯定也看出了问题，摘要算法不具有机密性，如果明文传输，那么黑客可以修改消息后，把摘要也一起修改。

所以，真正的完整性必须建立在机密性之上，就是在上期讲解的《 网络安全的基石（上）— 加密 》：在混合加密系统里用会话密钥加密消息和摘要，这样黑客无法得知明文，也就没有办法“动手脚了”。

加密和摘要实现了通信过程的机密性和完整性，我们的通信过程可以说是比较安全了。但这里还有漏洞，那就是通信的两端。

对于通信的两端，我们还要解决身份认证的问题。简单来说，就是如何证明对方真实身份。因为黑客可以伪装成网站来窃取你的信息，反过来，他也可以伪装成你，向网站发送支付、转账等消息，网站没有办法确认你的身份，钱可能就这样被偷走了。

回想下现实生活中，解决身份认证常用的手段有签名、手印和印章等，只要在纸上写下签名加上盖章，就能证明这份文件确实是由本人而非其他人发出的。

那在 TLS 什么东西和生活中的手印、印章很像，只能由本人持有呢？只要有了这个东西，就能够在网络世界里证明你的身份。回想下前面我们介绍的内容，大家也很容易想到，它就是非对称加密里的 私钥 ，使用私钥再加上摘要算法，就能够实现 数字签名 ，同时实现 身份认证 和 不可否认 。

签名与验签

数字签名的原理其实也不复杂，就是将公钥和私钥的用法反过来，之前是公钥加密，私钥解密； 现在是私钥加密 ， 公钥解密 。

签名和公钥一样完全公开，任何人都可以获取。但这个签名只有用私钥对应的公钥才能解开，拿到摘要后，再比对原文验证完整性，就可以签署文件一样证明消息确实是你发的。整个过程的两个行为也有其专用术语，分别叫做 签名 和 验签 。

回顾下安全通信的四大特性我们都已经实现了，整个通信过程是不是已经完美了呢？答案不是的，这里还有一个“公钥的信任”问题，因为谁都可以发布公钥，我们还缺少防止黑客伪造公钥的手段。关于该部分内容你可以参考下篇文章 《公钥信任问题 — 数字证书与 CA》 。

总结

网络安全涉及了方方面面太多的知识，尤其是网络的基础知识对我们来说还是非常重要的，关于这部分大家又有什么要分享的？欢迎你的分享留言或指正。

网络安全系列专题

❸ 网络安全未来发展怎么样

首先，从当前的发展趋势来看，在工业互联网的推动下，网络安全未来将受到越来越多的重视，一方面工业互联网进一步推动了互联网与实体领域的结合，这明显拓展了传统的网络应用边界，也使得网络安全对于产业场景的影响越来越大，另一方面在新基建计划的推动下，未来大量的社会资源和产业资源都将全面数据化，这必然会对网络安全提出更多的要求。

最后，在学习网络安全的过程中，并不建议在脱离实践场景的情况下学习，一方面网络安全本身对于实验环境有较高的要求，另一方面在实践过程中积累的知识会有非常强的场景属性。通常情况下，在掌握了基本的安全技术知识之后，应该找一个实习岗位继续提升，在选择实习岗位的时候，可以重点关注一下新兴领域，比如大数据、物联网等等。

❹ 网络安全在以后的时代是怎么样

过去，网络安全得不到用户的足够重视，行业发展缓慢。近几年，一方面，工信部和发改委对网络安全行业的政策支持越来越大;另一方面，互联网应用领域的发展越来越广泛和深入，致使网络安全的需求越来越大。如今，5G网络、人工智能、工业互联网、大数据中心等为代表的一系列新型基础设施逐渐成为了创新热点。网络安全产业成为保障“新基建”安全的重要基石，随着“新基建”在各个领域的深入开展，其将为网络安全企业的发展提供新的机遇。

网络安全行业政策密集出台

2013年11月，国家安全委员会正式成立;2014年2月，中央网络安全和信息化领导小组成立，充分展示了我国对网络安全行业的重视。近年来，我国政府一直出台多项政策推动网络信息安全行业的发展，以满足对政府、企业等网络信息安全的合规要求。国家层面的政策从两方面推动我国网络安全行业发展，一方面，加强对网络安全的重视，提高网络安全产品的应用规模;另一方面，从硬件设备等基础设施上杜绝网络安全隐患。

一系列法规政策提高了政府、企业对网络信息安全的合规要求，预计将带动政府、企业在网络信息安全方面的投入。

—— 以上数据来源于前瞻产业研究院《中国网络安全行业发展前景预测与投资战略规划分析报告》

❺ 网络安全在以后的时代是怎么样

在信息化的现代，网络安全产业成为保障“新基建”安全的重要基石，我国网络安全行业市场规模一直呈现高速增长态势。未来，随着5G网络、人工智能、大数据等新型网络技术在各个领域的深入开展，其将为网络安全企业的发展提供新的机遇。随着科技的进步和社会的发展，网络安全的概念和内涵不断演进。其发展历程可分为起源期、萌芽期、成长期和加速期四个时期，分别对应通信加密时代、计算机安全时代、信息安全时代以及网络空间安全时代。目前网络安全正处于网络空间安全时代的加速期：2014年中央网络安全和信息化领导小组成立后，网络安全法、等保2.0等政策不断出台，网络安全上升为国家战略。与信息安全时代的区别在于网络边界逐渐模糊或消失，仅凭传统的边界安全已不能做到有效防护，防护理念和技术发生深刻改变，主动安全逐渐兴起。安全解决方案和安全服务也越来越被重视。