前言
我们再来回顾“微软蓝屏”事件的经过,当地时间7月19日,美国微软公司旗下部分应用和服务无法使用,出现访问延迟、功能不全或无法访问,用户端电脑大量出现蓝屏现象。这个技术故障席卷全球,造成一场令人措手不及的大规模事件:多个国家和地区航班停飞,医疗、银行、酒店等行业“停摆”,连伦敦股票交易所都受到波及……
这个突如其来的技术故障是如何产生的?
据央视新闻报道,故障与一家与微软有关联的全球网络安全公司CrowdStrike(众击)有关。美国微软日本子公司也确认,安装了美国网络安全企业CrowdStrike软件的计算机上出现了该问题。
CrowdStrike是一家什么公司?公开资料显示,CrowdStrike公司主要提供网络安全产品和服务以阻止违规行为,该公司在2011年11月7日创立,总部位于美国得克萨斯州奥斯汀。数据显示,CrowdStrike是终端安全软件的领导者,在约两年前,其市场份额就达到了17.7%,公司已经积累了一大批精英客户,其中包括大量世界500强企业。
作为一名技术人员,我们该从此次事件中得到什么反思?
信息技术加速发展使得人类社会越来越依赖网络空间,网信领域已然成为现代社会的关键基础设施,网络安全一旦受到威胁,国家和社会的很多方面都会受影响。
尤其近年来随着国内互联网、以及数字化的转型升级。在软件、硬件,包括政府、银行、企业等等各个行业开启了数字化的浪潮。
“微软蓝屏”事件的破坏力之强,影响范围之大,让人唏嘘:
全球范围内,包括航空公司、医院、铁路网络和电视台在内的关键企业和服务都因微软系统中断而瘫痪,就连美国911电话的接线员都无法对紧急情况作出回应。此外,全球供应链也受打击,其中,高度复杂的航空系统受创最为严重,航空运输可能需要几周时间才能恢复正常。
在这件事情背后,作为一名技术人员,除了我们不断地创新产品,迭代业务需求,在这个过程中也要不断加强对安全的重视程度:
- 数字安全
- 我们日常开发的应用软件的安全
- 新创国产化,进一步降低对国外关键软件、硬件的依赖。
- 系统的稳定性和健壮性的基本原则呢
系统的健壮性和稳定性原则哪里去了?
回顾整个事件,最直接的原因是 CrowdStrike 未经充分测试就将错误的配置推送给了用户,但是对于整个软件系统来说,健壮性不能依赖某个组件不出问题。
在这次事件中,有三个方面是值得改进的:
- 首先是在操作系统和软件的升级上,生产环境下的关键业务系统中所依赖的系统更新不能像 CrowdStrike 这次事故中这样任性。对应更新应首先经过严格的测试,再以灰度方式进行小批量、阶梯式部署的方式发布给用户,在上一批用户没问题后,才能逐步分批推送给其他用户。另外,企业也应当通过域管平台等企业级集中管理系统合理配置相关策略,避免软件联网自更新造成不可控的故障。
- 其次是在操作系统的可恢复性上,尽管 Windows 提供了还原点、安全模式等功能,但是使用并不方便,需要专业人员进行操作,恢复过程较长。特别是普通用户如果在安全模式下进行文件操作,例如按照网上的指导删除问题文件,稍有差池,甚至可能进一步破坏操作系统。
- 最后就是有争议的系统边界问题。 操作系统作为数字时代的基础设施,需要保障其稳定性和兼容性,在其上运行的代码应当是严格测试和验证过的,任何软件均应通过标准接口与操作系统进行交互。特别是安全软件,为了实施安全策略,其往往具备较高权限,因此更应严守边界,做好测试,而不能采取侵入式技术截获系统函数以实现相关功能。
大的层面,我们应该更重视数字安全
数字安全内容引自:数字安全框架首发|数字经济腾飞,数字安全护航
如有侵权,请联系删除
数字安全的定义
数字安全是指在数字时代与数字化相关的一切安全要素、行为和状态的集合,既包括保障数字经济的安全性,也包括将数字技术用于安全领域。数字安全以数字身份为核心,以元安全为基础底座,涵盖了信息安全、网络安全、数据安全、隐私保护等领域或场景,并可扩展(如元宇宙安全)。除此之外,数字安全还包括利用数字技术保障数字基础设施的物理安全。虽然数字安全更偏重数字经济与数字技术,但是它与偏重国家网络主权的网络空间安全(Cybersecurity)在法律、标准、技术上也是相通的。
REE数字安全框架
规则层(Regulation Layer):规则层是数字安全框架的战略指引,主要包含数字安全法律、数字安全治理、数字安全标准等内容。这一层需要解决数字安全法律、法规、规章、政策、监管、标准等问题,为组织的数字安全建设与合规治理提供策略指导。
执行层(Execution Layer) 执行层涵盖了规则层落地所需的一切资源/工具及使用这些资源/工具的具体行动,主要包括执行数字安全技术、数字安全方案/产品、数字安全服务、数字安全教育等内容。这一层需要解决数字安全技术的研究与进步、数字安全方案/产品的研发与应用、数字安全服务的开展(如安全咨询、安全运营等)、数字安全人才的培育等方面的问题,是组织实现数字安全目标的核心。
评价层(Evaluation Layer):评价层针对组织的数字安全成熟度进行评估、验证及考核,主要包含数字安全奖项、数字安全排行、数字安全认证、数字安全案例等内容。这一层需要通过安全认证/审计/测评等方式对组织的数字安全能力进行持续评估,从而促进持续改进和提升,实现从规则、执行、评价到改进的安全闭环。除此以外通过数字安全奖项、数字安全排行榜/象限及数字安全优秀案例分享的方式进行相关的市场宣传和引导,从而促进数字安全产业的发展。
数字身份框架
数字身份是连接安全与业务的基座,提供所有的人、数字人、物、设备等的数字标识、认证、访问全生命周期管理,详情如图3(参考国际身份安全联盟)所示:
小结
我们如今已进入数字经济的全面发展时期,数字经济的发展离不开健全的数字经济治理体系和可靠的数字经济安全体系,作为这个浪潮中的每一名技术人员,我们需要更多的去关注在大的层面数字安全框架是怎样的,最终的落地会涉及到哪些层级和维度,而我们日常工作中会涉及到哪一层,我们在实际工作中需要关注哪些维度。
此次我们国家受影响为何受影响相对较小--信创国产化
首先最直接的是:CrowdStrike本身是一款基于云端的防病毒软件,在国内没有销售。此次中国内地的航空公司和机场没有购买和部署CrowdStrike,当天的航班运行和进出港都基本正常。
不知道jy所处行业是否有新创国产化的要求,现在国家在政务、金融、保险等行业大规模推进信创国产化。
总结
安全和漏洞往往发生在不经意间,造成的危害往往不可估量。一方面,我们新创国产化的进程会加速,另一方面,在框架层面,和我们技术人员的开发层面,都会越来越注重数字安全。
