2016年全國兩會(huì)于上周結(jié)束���。會(huì)上����,李克強(qiáng)總理指出要促進(jìn)大數(shù)據(jù)��、云計(jì)算和物聯(lián)網(wǎng)的廣泛應(yīng)用,而這三個(gè)應(yīng)用要想繁榮發(fā)展�����,無疑需要安全做為支撐��。為此,安全牛聯(lián)線采訪了本次參與網(wǎng)絡(luò)安全保衛(wèi)工作的兩位專家�����,一位來自政府機(jī)關(guān)的信息安全保障部門,另一位來自綠盟科技�����。兩位專家從政府和企業(yè)兩個(gè)角度探討了大數(shù)據(jù)、云計(jì)算���、物聯(lián)網(wǎng)�,以及個(gè)人隱私和安全法規(guī)等方面的問題。(注:應(yīng)被采訪者要求���,本文并未公開安保專家的姓名)
一���、解決大數(shù)據(jù)應(yīng)用的兩個(gè)重要問題
記者:兩會(huì)期間,國家領(lǐng)導(dǎo)人對大數(shù)據(jù)應(yīng)用進(jìn)行了規(guī)劃和指導(dǎo)�����,您認(rèn)為未來的大數(shù)據(jù)將來會(huì)有怎樣的發(fā)展前景�,會(huì)面臨哪些問題?
政府安保專家:大數(shù)據(jù)技術(shù)的確有非常廣闊的前景�,政府不少部門����,包括農(nóng)業(yè)部��、環(huán)保部、國土資源部等���,都在做大數(shù)據(jù)的規(guī)劃�����,但是現(xiàn)在有兩個(gè)最重要的事情需要解決。
一個(gè)是從政府的角度���,即政府部門如何把手中的大數(shù)據(jù)公開出來,讓企業(yè)利用政府的大數(shù)據(jù)去進(jìn)行應(yīng)用�,創(chuàng)造一個(gè)新的業(yè)態(tài)�����,這才是大數(shù)據(jù)對政府來講最重要的事。社會(huì)真正所需要的是政府部門把掌握的大數(shù)據(jù)無償?shù)墓_出來�����,讓企業(yè)在這個(gè)大數(shù)據(jù)上做增值性的服務(wù),就這一點(diǎn)而言��,目前強(qiáng)調(diào)的還不夠�����。
另一個(gè)就是政府部門如何利用社會(huì)上的大數(shù)據(jù)和自己本身管理行為產(chǎn)生的數(shù)據(jù),來促進(jìn)部門政府的決策更加科學(xué)性和技術(shù)性���。目前在貴州等很多地方建立大數(shù)據(jù)交易市場����,這樣的項(xiàng)目對于大數(shù)據(jù)的發(fā)展思路具有實(shí)踐意義���,但未來的走向還不好說����,畢竟大數(shù)據(jù)根本還在于應(yīng)用�����。
從長遠(yuǎn)發(fā)展前景上來講�,大數(shù)據(jù)的發(fā)展還沒有進(jìn)入到全面應(yīng)用階段。現(xiàn)在大數(shù)據(jù)的生產(chǎn)還不夠�,政府部門傳統(tǒng)的數(shù)據(jù)生產(chǎn)方式只是注重結(jié)果數(shù)據(jù),對過程數(shù)據(jù)采集不足�。隨著以后大數(shù)據(jù)的應(yīng)用和進(jìn)一步深化�����,政府部門和各個(gè)數(shù)據(jù)生產(chǎn)部門對過程數(shù)據(jù)的更加注重,這樣才能積累出足夠多的數(shù)據(jù)來深化應(yīng)用���。
大數(shù)據(jù)的本質(zhì)就是從看似沒有規(guī)律��,看似沒用的數(shù)據(jù)當(dāng)中,找出有規(guī)律的數(shù)據(jù)���,但是這些“看似沒用的數(shù)據(jù)”,我們現(xiàn)在在數(shù)據(jù)生產(chǎn)方面還有所欠缺���。不過在這方面,無論是“十三五”還是兩會(huì)都體現(xiàn)出了國家的特別重視。相信到“十三五”末期或者“十三五”以后�����,大數(shù)據(jù)應(yīng)用會(huì)更加發(fā)達(dá)�,前景會(huì)更加廣闊�。
二、云計(jì)算與物聯(lián)網(wǎng)均為初級(jí)階段
記者:李克強(qiáng)總理在兩會(huì)上不僅提到了大數(shù)據(jù)還有云計(jì)算和物聯(lián)網(wǎng)�,請兩位專家談一談這兩個(gè)領(lǐng)域的看法?
政府安保專家:云計(jì)算未來的發(fā)展是無處不在的����,不管是手機(jī)、智能設(shè)備或可穿戴設(shè)備�����,這些具備計(jì)算能力的物聯(lián)網(wǎng)設(shè)備無處不在��,會(huì)給云計(jì)算產(chǎn)生一個(gè)更加廣闊的影響��。
目前各地建立的基于數(shù)據(jù)中心的云平臺(tái)�����,即信息系統(tǒng)的應(yīng)用部署模式,在“十三五”期間�,應(yīng)該成為信息系統(tǒng)建設(shè)的一個(gè)主流模式����,但這只是云計(jì)算的初級(jí)階段��。云計(jì)算真正發(fā)展的時(shí)代是物聯(lián)網(wǎng)的全面普及�,計(jì)算無處不在�����,網(wǎng)絡(luò)無處不在��,那時(shí)云計(jì)算才會(huì)達(dá)到一個(gè)新的高度。目前的云計(jì)算主要還是在各種數(shù)據(jù)中心建設(shè)云平臺(tái)、建設(shè)云服務(wù)的提供等等這些方面,所以云計(jì)算的發(fā)展分兩個(gè)層次����,下一個(gè)層次還要三到五年甚至更多年才能達(dá)到����。
至于物聯(lián)網(wǎng)的發(fā)展�,無疑萬物互聯(lián)一定是未來�。但它同樣需要有一個(gè)過程��,目前并不具備充分的條件,需要大量的技術(shù)條件支撐,所以我覺得物聯(lián)網(wǎng)的到來還有一段時(shí)間���。
綠盟安保專家:這個(gè)月初���,在美國舉行的RSA會(huì)議當(dāng)中有一個(gè)很熱的技術(shù)話題CASB(云應(yīng)用服務(wù)代理)�。企業(yè)現(xiàn)在越來越多使用云端服務(wù)�,這可能會(huì)引發(fā)一系列安全問題�。�����,在傳統(tǒng)安全模型中一個(gè)很重要的概念就是安全邊界,但隨著企業(yè)云服務(wù)的使用���,這個(gè)安全邊界的概念正在變得越來越模糊�����,這就給企業(yè)發(fā)展帶來了非常大的挑戰(zhàn),隨之也對整個(gè)安全行業(yè)的技術(shù)和解決方案提出了很多新的要求���。
早在幾年前�����,綠盟科技充分認(rèn)識(shí)到了這個(gè)變化的趨勢,一直致力于大數(shù)據(jù)和云計(jì)算安全方面的工作���。一方面利用大數(shù)據(jù)技術(shù)來做安全數(shù)據(jù)的分析���,挖掘新的安全模型�����,另一方面����,也研究大數(shù)據(jù)自身的安全問題���。比如說大數(shù)據(jù)處理非常集中的情況下��,如果發(fā)生信息泄露或是系統(tǒng)自身安全性有比較大的漏洞����,這帶來的后果是非常嚴(yán)重的�。
云計(jì)算方面,去年我們提出了“智慧安全2.0”的概念�����,其中的“綠盟云”平臺(tái)����,通過在云端給企業(yè)提供自助式的漏洞掃描�、流量清洗以及反垃圾郵件等服務(wù),幫助企業(yè)便捷快速的得到安全能力的提升���,未來可以讓企業(yè)以應(yīng)用的形式快速部署到生產(chǎn)環(huán)境中��,讓安全動(dòng)起來,以適用于快速變化的業(yè)務(wù)需求����。另外,我們在建設(shè)私有云和公有云方面也提出了自己的解決方案并開發(fā)了相應(yīng)的產(chǎn)品。
在物聯(lián)網(wǎng)方面綠盟科技也有了相關(guān)布局,前年發(fā)布了工控系統(tǒng)的漏洞掃描產(chǎn)品,并投資了一家專門做工控系統(tǒng)的公司����。這些舉措�,讓我們得以快速提升安全服務(wù)交付能力���。
三、可信計(jì)算環(huán)境的安全模式不會(huì)持久
政府安保專家:談到云安全����,目前多數(shù)安全云服務(wù)�����,我覺得都還是在傳統(tǒng)架構(gòu)上一個(gè)簡單的安全應(yīng)用����,只是過去系統(tǒng)相對分散,而現(xiàn)在整體在云端提供服務(wù)了�。針對這樣的模式�,企業(yè)提出了一系列的解決方案,但我認(rèn)為這樣的模式不會(huì)持久�。
目前大多數(shù)人的安全理念是這樣的,為每個(gè)企業(yè)構(gòu)筑一個(gè)從終端到邊界再到服務(wù)器的一個(gè)可信計(jì)算環(huán)境�,在這個(gè)可信計(jì)算環(huán)境中實(shí)現(xiàn)安全的計(jì)算。但這樣的理念�,對于以后的泛在網(wǎng)絡(luò),即網(wǎng)絡(luò)無處不在和軟件定義一切的情況下已經(jīng)不再適應(yīng)�。未來我們的計(jì)算可能無法處于這個(gè)安全環(huán)境,我們必須在一個(gè)非安全的環(huán)境里實(shí)現(xiàn)安全計(jì)算�,這是一個(gè)根本性的改變。過去的訴求是構(gòu)建一個(gè)可信的環(huán)境��,在環(huán)境里實(shí)現(xiàn)云計(jì)算��,以后的信息安全很有可能發(fā)展到在非可信的環(huán)境中實(shí)現(xiàn)可信計(jì)算����。
比方說涉密系統(tǒng)�,并不是構(gòu)建一個(gè)封閉的涉密網(wǎng)絡(luò)然后在這個(gè)網(wǎng)絡(luò)里進(jìn)行實(shí)現(xiàn)安全�����,而是在一個(gè)廣泛的網(wǎng)絡(luò)開放空間里去實(shí)現(xiàn)涉密信息的保密傳輸和終端的安全�����,這才是未來的發(fā)展方向��。按照這個(gè)方向來看�����,現(xiàn)在大部分公司還是在交付傳統(tǒng)的安全解決方案���,并沒有做到適應(yīng)未來這種大范圍的���、全面的計(jì)算環(huán)境,隨著業(yè)態(tài)的發(fā)展�����,在未來����,這種局面一定會(huì)發(fā)生新的改變����。
企業(yè)安保專家:因?yàn)榛A(chǔ)設(shè)施的變化往往會(huì)帶來新的問題和挑戰(zhàn)�,所以安全體系本身也是在不停的演變之中,沒有任何一個(gè)安全體系和模型是一直不變的���。實(shí)際上今天所討論的這三個(gè)方面包括云計(jì)算�����、物聯(lián)網(wǎng)和大數(shù)據(jù)�����,這些方面產(chǎn)生的安全問題,都是由于這幾年計(jì)算環(huán)境發(fā)生巨大的變化對整個(gè)安全體系提出了非常大的挑戰(zhàn)���。
我們在去年發(fā)布了“智慧安全2.0”體系�����,這個(gè)體系的構(gòu)建思路也體現(xiàn)了這樣的發(fā)展趨勢�����,目前不管是國際還是國內(nèi)的同行����,大家都意識(shí)到,安全體系的設(shè)計(jì)一定要假設(shè)安全問題是一定會(huì)發(fā)生的����,只是知道或者不知道而已,在這個(gè)前提下首先強(qiáng)調(diào)安全事件的監(jiān)測和可見性�����,就是說你要有能力檢測到這個(gè)安全事件的發(fā)生�;其次是夠快速響應(yīng),快速去更新你的安全能力�����,這是我們整個(gè)智慧安全2.0體系中的重點(diǎn)��。
綠盟科技智慧安全2.0
在云端���,我們現(xiàn)在所提供的一些服務(wù)主要在脆弱性����、風(fēng)險(xiǎn)性評估方面,也包括一些比較成熟的安全傳輸服務(wù)���。此外�����,我們在假設(shè)失效的基礎(chǔ)上進(jìn)行了安全模型的改進(jìn)����,并發(fā)布相關(guān)解決方案�,也正是為了適應(yīng)從可信計(jì)算環(huán)境向非可信計(jì)算環(huán)境變化的發(fā)展趨勢。
政府安保專家:打一個(gè)簡單的比方����,假如我用一臺(tái)筆記本或臺(tái)式機(jī)接到了遠(yuǎn)端的云服務(wù)��。安全并不是說要確保當(dāng)前使用的終端設(shè)備沒有任何漏洞��,操作系統(tǒng)也沒有問題���,而應(yīng)該確保應(yīng)用安全�����,在這個(gè)薄弱環(huán)境上建立一個(gè)強(qiáng)壯的APP�,來實(shí)現(xiàn)安全的連接。所以未來最終的情況可能是這樣�����。
因?yàn)榈教幎际怯?jì)算機(jī)��,比如U盤�����,我這個(gè)U盤插到哪哪就是計(jì)算機(jī)��,到哪都能運(yùn)算�。運(yùn)算環(huán)境雖然千變?nèi)f化,但我的操作應(yīng)用必須是安全的�����。我想�,未來的發(fā)展方向肯定是逐步向這一方向去發(fā)展。但目前的安全工作還是在看有沒有漏洞,有沒有脆弱性����,是不是需要給操作系統(tǒng)進(jìn)行加固,始終在傳統(tǒng)安全的路子上����。
企業(yè)安保專家:確實(shí)是這樣。從整個(gè)安全行業(yè)來看�,目前提供的脆弱性方面的服務(wù),是一些很基礎(chǔ)的保障�。但是,大家也都在努力的去探討和研究未來的解決方案��。我們希望的是在基礎(chǔ)的環(huán)境保障基礎(chǔ)之上��,再對應(yīng)用層面的安全問題做相應(yīng)的設(shè)計(jì)���,這從已經(jīng)發(fā)布的軟件定義安全白皮書中可以看到相關(guān)的架構(gòu)設(shè)計(jì)��。
綠盟科技APP Store設(shè)計(jì)
比如說CASB技術(shù)方面出現(xiàn)了兩個(gè)方向的方案��,一個(gè)方案是實(shí)時(shí)的去監(jiān)控云端服務(wù)的使用情況�����,比如說一個(gè)企業(yè)用了Office 365的服務(wù)�,系統(tǒng)會(huì)檢測用戶是否存在異常的登錄�,是否存在敏感信息泄露的問題;另外一個(gè)方案是監(jiān)測企業(yè)出口與云服務(wù)的交互情況����。我覺得安全行業(yè)現(xiàn)在已經(jīng)關(guān)注這方面的問題,也正在向這個(gè)方面去努力���,實(shí)際上����,安全模型往往比應(yīng)用模型要稍微滯后一些��,這也是整個(gè)安全行業(yè)需要改進(jìn)的問題�����。
政府安保專家:我再打一個(gè)簡單的比方��。我使用某某云的服務(wù)����,除了明確標(biāo)密的信息和個(gè)人敏感信息��,其他文件我全部都會(huì)放在某某云上����,但是這些內(nèi)容全是密文�����,加密存放到云端�����,使用的時(shí)候�,下載到本地解密。這個(gè)過程中用戶自己確保了數(shù)據(jù)安全�����,與某某云的安全與否����、是否泄露、是不是有后門等等關(guān)系不大�。
通過這個(gè)例子可以看到,云安全還可以從數(shù)據(jù)安全及應(yīng)用安全的角度入手來做����。我對公有云的安全并不信任����,但照樣也可以放心的把文件放在云上���,只是利用云服務(wù)的便利性,用戶用加密來保障自己的數(shù)據(jù)安全���。而且���,現(xiàn)在所謂的云安全某種程度只是提供了一個(gè)穩(wěn)定性,用傳統(tǒng)安全產(chǎn)品去構(gòu)建新的基于云環(huán)境下的一種安全防護(hù)體系�,這并沒有跳出傳統(tǒng)的安全架構(gòu)。這里表達(dá)的意思并不是說公共云不好�,而是對用戶來講,可以把現(xiàn)有的服務(wù)提供商提供的云服務(wù)等都當(dāng)做非可信環(huán)境��,同時(shí)采取必要的安全措施確保自身安全性�,因?yàn)槲矣肋h(yuǎn)不可能信任某一個(gè)云。
四���、如何做好重要活動(dòng)期間的安保工作
記者:請兩位專家介紹一下今年兩會(huì)安保的基本情況�����,有沒有嚴(yán)重的網(wǎng)絡(luò)攻擊行為����?
政府安保專家:重大活動(dòng)期間的安全保障工作,尤其像兩會(huì)這樣重大的活動(dòng)�,重要會(huì)議期間,安全保障做的還是比較好的���。
一個(gè)是因?yàn)樯霞?jí)領(lǐng)導(dǎo)部門和組織部門的重視�����,各部門之間都對網(wǎng)絡(luò)安全也比較重視���。第二是技術(shù)層面的參與,像綠盟科技這樣的安全公司���,可以借助他們的技術(shù)能力來彌補(bǔ)政府部門技術(shù)方面的不足�,進(jìn)行漏洞掃描���、實(shí)時(shí)監(jiān)控等24小時(shí)的緊盯����,用“管理+技術(shù)”來確保兩會(huì)期間的安全。
網(wǎng)絡(luò)攻擊時(shí)時(shí)刻刻都在�,每天幾乎任何一個(gè)政府部門的網(wǎng)站都會(huì)面臨非常多的攻擊。在目前來講�����,一般常規(guī)性的攻擊已經(jīng)可以抵御了���,現(xiàn)在比較擔(dān)心的是針對性的高級(jí)木馬威脅或稱APT攻擊。
企業(yè)安保專家:綠盟科技參加了很多次重大活動(dòng)的安全保障工作��,從奧運(yùn)會(huì)��、世界互聯(lián)網(wǎng)大會(huì)到每年的兩會(huì)均有參與����。安保活動(dòng)有兩方面是比較重要的����,一方面是應(yīng)急響應(yīng),另外一方面是服務(wù)體系����。
一般來講��,根據(jù)安全保障服務(wù)體系的要求�����,會(huì)有不同的專家投入到安保工作����,包括現(xiàn)場安保指揮中心的高級(jí)專家���,包括云端監(jiān)控團(tuán)隊(duì)�����,他們將會(huì)7×24小時(shí)為現(xiàn)場專家提供相關(guān)信息��。同時(shí)��,在發(fā)生安全事件之后�,安全運(yùn)營中心作為第一接口���,調(diào)度后端的專家資源進(jìn)行事件響應(yīng)及分析工作���。
另外��,重大活動(dòng)的網(wǎng)絡(luò)安全保障工作�����,安保團(tuán)隊(duì)將參與前期整個(gè)安保應(yīng)急響應(yīng)的體系和服務(wù)內(nèi)容的規(guī)劃�����,并在活動(dòng)期間做應(yīng)急值守,協(xié)同相應(yīng)的政府部門來對重點(diǎn)保護(hù)網(wǎng)站的安全情況做監(jiān)控以及做相應(yīng)的服務(wù)���。
通過多年安�����;顒(dòng)的經(jīng)驗(yàn)積累����,綠盟科技已經(jīng)構(gòu)建了較為完善的應(yīng)急響應(yīng)體系及有效的應(yīng)對方法�,同時(shí)在技術(shù)、工具方面都取得了一些進(jìn)展���,并能夠提供體系化的模式和資源支撐��,進(jìn)而可以對工作過程進(jìn)行規(guī)范要求及評估���。
五����、網(wǎng)絡(luò)安全立法外大于內(nèi) 晚比早好
記者:近年來�,網(wǎng)絡(luò)安全立法的呼聲越來越高,您怎么看待網(wǎng)絡(luò)安全立法的迫在眉睫��?
政府安保專家:從國家的法治建設(shè)來講���,信息立法非常重要�����。但我認(rèn)為����,目前各種安全管理制度和法律法規(guī)�,已經(jīng)基本符合國內(nèi)安全狀況的需要,對現(xiàn)階段的安全建設(shè)并沒有帶來太大的影響。
立法的需求��,反而是對外方面更為迫切��。比方說我們的網(wǎng)絡(luò)應(yīng)該有邊界�,最終要以法律的形式確認(rèn)國家的網(wǎng)絡(luò)邊界。如果有這樣的立法出來���,在應(yīng)對美國的一些談判中就會(huì)處于一個(gè)好的地位��。
另外����,我個(gè)人覺得法律還應(yīng)該適當(dāng)晚一點(diǎn)��,這樣很多新情況��、新事物��,可以通過一段時(shí)間的檢驗(yàn)再做判斷��。哪些問題很重要���,哪些問題不重要,哪些可能會(huì)更有利或不利等。法律不是立的越早越好�,一定是通過充分的探索以后,讓該出現(xiàn)的問題出現(xiàn)了��,而這個(gè)問題也確實(shí)需要通過法律途徑解決的時(shí)候��,再去立法��,而不是越早越好��。
六�����、個(gè)人信息保護(hù)與商業(yè)利益的平衡
記者:“互聯(lián)網(wǎng)+ ”時(shí)代����,大數(shù)據(jù)共享的同時(shí),如何保障個(gè)人隱私���?是否會(huì)與商業(yè)利益產(chǎn)生沖突�����?
政府安保專家:在“互聯(lián)網(wǎng)+ ”時(shí)代���,個(gè)人信息安全需要從法律層面去解決�����。這里有兩個(gè)層次����,一個(gè)是個(gè)人應(yīng)用層面��。比方說����,我的購物信息應(yīng)該從法律上去規(guī)范。用戶個(gè)人有上網(wǎng)的權(quán)利��,但購物信息有權(quán)利不讓別人知道����。第二個(gè)是服務(wù)提供的層面,服務(wù)商應(yīng)該自覺的為用戶提供選擇權(quán)�����。比如在淘寶上購物的時(shí)候�,購物平臺(tái)就應(yīng)該提示用戶,是否保留個(gè)人信息���,把這個(gè)權(quán)利交給消費(fèi)者�。
另外在進(jìn)行大數(shù)據(jù)應(yīng)用的時(shí)候�����,必須把敏感項(xiàng)過濾掉�,進(jìn)行大數(shù)據(jù)采購分析的時(shí)候不能針對具體的人。好比房子信息可以公開����,但是房主的姓名、身份證之類的個(gè)人信息需要抹掉�。這種個(gè)人信息保護(hù)的做法如果在整個(gè)社會(huì)達(dá)成廣泛共識(shí)的話,個(gè)人信息保護(hù)的事情很好解決�����,并不難�,而且這也正是未來大數(shù)據(jù)發(fā)展的一個(gè)健康方向。
最后我再強(qiáng)調(diào)一下��,個(gè)人信息保護(hù)并不一定要形成一個(gè)隱私保護(hù)法之類的法律�,一些情況可以用管理規(guī)定或者標(biāo)準(zhǔn)���、通知就能解決。最重要的是既能保證大數(shù)據(jù)的適當(dāng)應(yīng)用�,又能保護(hù)個(gè)人隱私,在兩者之得到一個(gè)平衡����,這需要整個(gè)社會(huì)達(dá)成一個(gè)廣泛的共識(shí)。
企業(yè)安保專家:我們經(jīng)��?吹侥衬尘W(wǎng)站被拖庫��,某某服務(wù)平臺(tái)敏感信息泄露之類的新聞�����,Verizon的年度信息泄露報(bào)告也揭示了這一問題的嚴(yán)重性�。
我個(gè)人的觀點(diǎn)是這樣,從法律的層面來講��,確實(shí)如前面政府安保專家所言���,一方面是要對服務(wù)的提供商提出這樣的要求�����,服務(wù)商要對信息泄露承擔(dān)責(zé)任�。另一方面����,也需要對黑客團(tuán)伙形成法律方面的威懾,但這是需要技術(shù)支撐的����,比如取證的困難。綠盟科技正在建設(shè)這方面的技術(shù)能力�,希望通過互聯(lián)網(wǎng),包括我們?nèi)粘5陌踩⻊?wù)所收集的一些信息來監(jiān)控黑客團(tuán)伙的活動(dòng)�����,然后為客戶提供威脅情報(bào)方面的服務(wù)�����,也包括給國家政府提供相應(yīng)的技術(shù)支撐��。
