下载掌阅APP,畅读海量书库
立即打开
计算机技术从20世纪40年代走到今天,已经历经80余年的光景,互联网技术从美国国防部的阿帕(ARPA)网、国际互联网、移动互联网,再到今天的万物互联,也已经经历了近60年的光景。随着时代的变迁,技术在不断的发展,与此同时,安全问题也在持续演进。从计算机技术和互联网技术诞生的那一天起,黑与白、善与恶的攻防和交锋从来就没有停止过。为了更好地理解“零信任”,让我们简单回顾一下网络安全发展的重要历史阶段。
网络安全一直在演进之中,列举两个比较具有代表性的定义。
美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)对网络安全(Cyber Security)的定义:防止计算机、电子通信系统、电子通信服务、有线通信和电子通信,包括其中的信息受到损害、保护和恢复,以确保其可用性、完整性、认证性、机密性和不可抵赖性。
知名咨询公司Gartner对网络安全的定义:网络安全是一个企业为保护其网络资产而采用的人员、政策、流程和技术的组合。网络安全被优化到企业领导人定义的水平,平衡所需的资源与可用性/可管理性和抵消的风险量。网络安全的子集包括信息技术(Information Technology,IT)安全、物联网(Internet of Things,IoT)安全、信息安全和运营技术(Operational Technology,OT)安全。
许多物种并行进化,每个物种都寻求竞争优势,网络安全也不例外。随着网络攻击变得更加动态和多样化,网络安全正在不断发展以满足不同的需求。零信任正是在网络安全发展中不断孕育出来的一个新的范式,因此我们不能割裂地来看零信任。
网络安全的历史严格意义来说始于1972年的阿帕网(ARPANET)研究项目,这是互联网的前身。
以下列举一些人类历史发展过程中的典例安全事件,帮助读者了解网络安全发展的历史路径。
(1)1971年3月16日,爬行者(爬虫)病毒的出现。研究人员鲍勃·托马斯(Bob Thomas)编写了一个名为爬行者(Creeper)的计算机程序,可以在ARPANET中“移动”,无论走到哪里都会留下痕迹。上面写着:“我是爬行者,如果可以的话,抓住我”。电子邮件的发明者雷·汤姆林森(Ray Tomlinson)编写了“收割者”程序,该程序追逐并删除了爬行者。爬行者不仅是防病毒软件的第一个例子,而且也是第一个自我复制程序,使其成为有史以来第一个计算机蠕虫。
(2)1983年9月20日,美国首个网络安全专利诞生。随着计算机开始发展,世界各地的发明家和技术专家都急于创造历史,为新的计算机系统申请专利。1983年9月,麻省理工学院被授予“加密通信系统和方法”的美国专利,这是美国第一个网络安全专利。该专利介绍了RSA(Rivest-Shamir-Adleman)算法,它是最早的公钥密码系统之一,而密码学是现代网络安全的基石。
(3)1993年6月9日,第一次DEF CON会议召开。DEF CON是世界上最受欢迎的网络安全技术会议之一。1993年6月,由Jeff Moss发起,在美国拉斯维加斯开幕,大约有100人。现如今,每年至少来自世界各地的20 000多名网络安全专业人士参加了该会议。
(4)1995年2月,安全套接字层(SSL)2.0的诞生。安全套接字层(Security Socket Layer,SSL)协议使人们能够安全地做一些简单的事情,如在网上购买物品,这就是安全协议。在美国国家超级计算应用中心发布第一个网络浏览器后不久,网景公司开始开发SSL协议。1995年2月,网景公司发布了SSL 2.0。
(5)2003年10月1日,“匿名者”黑客组织诞生。匿名者是第一个知名的黑客组织。该组织没有领导者,代表了许多在线和离线社区用户。他们一起作为一个无政府的、数字化的全球大脑而存在。该组织戴着盖伊·福克斯的面具,以分布式拒绝服务(Distributed Denial of Service,DDoS)攻击的方式攻击了科学教会的网站,从而获得了全球的关注。匿名者继续与许多重要的事件联系在一起,其主要目的是保护公民的隐私。
(6)2010年,伊朗核设施遭“震网”病毒攻击。2010年伊朗政府宣布,大约3万个网络终端感染“震网”病毒,该病毒攻击目标直指核设施。分析人士在猜测病毒研发者具有国家背景的同时,更认为这预示着网络战已发展到以破坏硬件为目的的新阶段。伊朗政府指责美国和以色列是“震网”的幕后主使。整个攻击过程如同科幻电影:由于被病毒感染,监控录像被篡改。监控人员看到的是正常画面,而实际上离心机在失控情况下不断加速而最终损毁。位于伊朗纳坦兹的约8000台离心机中有1000台在2009年底和2010年初被换掉。
(7)2017年,全球暴发勒索病毒WannaCry。2017年5月12日,勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内暴发,一天内感染了23万台计算机。据报道,包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等国家均遭受大规模攻击。
(8)2020年,SolarWinds遭到供应链攻击。2020年,美国SolarWinds遭到供应链攻击。这是过去十年最重大的网络安全事件。SolarWinds是一家国际IT管理软件供应商,其Orion软件更新服务器上存在一个被感染的更新程序,这导致美国多家企业及政府单位网络受到感染。
(9)2021年,美国Colonial Pipeline遭黑客攻击。美国最大的燃油、燃气管道运营商Colonial Pipeline于2021年5月7日遭“恶意勒索病毒”攻击导致系统瘫痪,控制系统被迫全面暂停,中断了美国东岸45%的燃油运补。
(10)2022年,俄罗斯和乌克兰发生网络冲突,双方的网络攻击事件不断升级,其造成的影响正在不断蔓延至全球。可预测,该事件将影响全球网络安全的走向。
我国网络安全建设起步晚于美国,但是发展迅猛。下面介绍我国网络安全发展的关键历史节点。
(1)1986年,启蒙阶段。1986年,由缪道期先生牵头的中国计算机学会计算机安全专业委员会正式开始活动。1987年,第一个专门安全机构——国家信息中心信息安全处成立,从一个侧面反映中国的计算机安全事业的起步。
(2)1994年,开始阶段。1994年,公安部颁布了《中华人民共和国计算机信息系统安全保护条例》,这是我国第一部计算机安全方面的法规,较全面地从法规角度阐述了关于计算机信息系统安全相关的概念、内涵、管理、监督、责任。
(3)1999年,逐渐走向正轨阶段。1999年,国家信息化工作领导小组成立(现为中央网信办)。2001年,国务院信息化工作办公室成立的专门小组以负责网络与信息安全相关事宜的协调、管理与规划,是国家信息安全走向正轨的重要里程碑。
(4)2014年,快速发展阶段。2014年11月19日,中国举办了规模最大、层次最高的互联网大会——第一届世界互联网大会,全球众多互联网知名人士出席了大会,标志着我国网络安全发展按下快进键。
(5)2016年,依法治网时代来临。2016年11月7日,《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议审议通过,自2017年6月1日起施行。该法的颁布和实施,在我国的网络安全历史上有划时代的意义。
(6)2021年,《中华人民共和国数据安全法》与《中华人民共和国个人信息保护法》颁布。2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。2021年8月20日,第十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》,将于2021年11月1日起施行。