数十年来,网络安全、法规遵从和网络威胁经历了不断的演变,但核心思想依然一样:攻击者试图找到系统中的弱点,然后企图趁虚而入。另一方面,防御者试图找到自身系统的薄弱环节,力图搭建更安全的系统来保护数字化资产。为了更好地理解现代网络安全的发展格局,《福布斯》杂志技术委员会成员、GRSee咨询公司CEO Ben.Aderet梳理总结了现代网络安全格局形成中的7个代表性历史时刻。
1971年:Reaper蠕虫诞生
1971年,全球最早的蠕虫病毒出现在阿帕网(ARPANET)系统中。这个蠕虫是由Bob Thomas编写的试验性作品,也是史上第一个真实感染计算机网络系统的蠕虫病毒。虽然其初衷只是为了测试一个自我复制的应用程序,并且没有对系统造成任何破坏。但是,这个事件直接促使了Ray Tomlinson开发出史上第一个反病毒软件,该软件可以在阿帕网上搜寻并删除蠕虫病毒程序。
1972年:首次渗透测试活动
James P. Anderson是渗透测试领域的最早期先驱之一,其原因是出于他想在自己的系统中验证是否存在漏洞。在1972年的一份报告中,他系统性地总结了安全团队可以采取的一系列步骤,以测试计算机环境有多脆弱,其中的几个关键概念包括了模拟攻击、漏洞识别,以及如何修补这些漏洞,以防止任何外部攻击。这套特定的安全性测试方法后来被正式名为渗透测试,至今仍在业界广泛使用。大多数网络安全合规需求也都明确将渗透测试作为一项基本性的防护要求。
1983年:首套网络安全控制措施发布
1983年,NSA(美国国家安全局)发布了史上第一套网络安全控制措施,即广为人知的《可信计算机系统评估标准》橙皮书。这套措施相当于第一套官方版网络安全防护指南,用于评估测试计算机Zion给是否存在安全问题及其防护的效果。
借助这套安全控制措施,企业组织可以使用以下三种安全策略评估机密信息的处理和存储:
- 强制性安全策略;
- 安全标记;
- 选择性安全政策。
后来,这套安全措施逐渐演变为行业性的网络安全合规标准,众多用户、系统和企业是以合规标准的要求为指引开展网络安全保护工作。
1986年:Morris蠕虫作者被判刑
1983年,一部名为《战争游戏》的好莱坞电影在科技界与法律界引发了巨大讨论,之后《计算机欺诈与滥用法》正式出台。在电影中,一个少年黑客闯入一台军用超级计算机,给多个国家造成了严重破坏。而在正式颁布的《计算机欺诈与滥用法》中规定,未经授权访问计算机或网络,并企图造成破坏的行为属于严重的违法行为,将会受到国家司法部门的惩罚。
1986年,23岁的Tappan Morris通过其编写的Morris蠕虫病毒程序发起了真实网络中的第一起拒绝服务(DDoS)攻击,影响了大约6万台与阿帕网连接的计算机系统。根据《计算机欺诈与滥用法》,Tappan Morris被判有罪,并被处以1万美元罚款、400小时社区服务和3年有期徒刑。不久之后,Morris蠕虫病毒事件还促成了美国国家计算机紧急响应小组(CERT)的成立。
1996年:HIPAA合规标准颁布
HIPAA是美国克林顿总统在1996年8月颁布的第一部健康隐私法案。该法案有助于规范商业性机构存储和处理个人医疗信息的方式,旨在保护以电子形式存储或传输的个人健康隐私信息。当医疗保健业开始由纸质系统转向数字系统时,出台这项合规标准非常重要而适时。
2004年:PCI DSS合规标准颁布
2004年,维萨、万士达、Discover和美国运通四大信用卡公司联合发起成立了支付卡安全和数据安全标准(PCI DSS)委员会。PCI DSS合规标准确保所有使用、处理或存储信用卡信息的金融企业都在高度安全且精心维护的环境中进行操作。目前,PCI DSS合规标准已被全球的金融机构采用并实施,以保护其支付系统和敏感数据,远离在线交易和信用卡欺诈及盗窃。
2005年:ISO 27001合规标准颁布
国际标准化组织(ISO)正式发布了这项合规标准,以帮助企业了解网络安全风险、投入必要资源并确保利益相关者的责任能够落实到位。ISO 27001合规标准涉及的控制措施帮助全球各大公司企业有序开展网络安全建设工作,制定可靠的治理战略,以防范网络安全威胁。
展望未来
据报道,美国证券交易委员会(SEC)正在推动在每家上市企业的董事会中强制要求设置CISO,以提高企业的网络安全防护能力,并加大上市公司对其客户和全社会负有的安全责任。这可能会给网络安全业带来更加积极的变革。不过,虽然网络安全行业正在迅猛发展,各种监管法规可以为企业提供更好的安全发展环境,但企业还须积极加强网络安全意识宣教,真正把网络安全建设作为数字化业务转型和发展的赋能者。