高级搜索

共筑网络安全堤坝

  • 来源:计算机世界
  • 关键字:网络安全,互联网,虚拟空间
  • 发布时间:2014-12-11 15:01

  今天,网络早已突破了虚拟空间而与现实世界走向融合。因此,网络安全不仅是互联网的发展基石,也是国家安全的重要组成部分,无论是个人还是企业都要对网络安全高度重视并积极行动起来,共同筑好网络安全的堤坝。

  网络安全,我们看不见也摸不着,但在当今这个信息社会中却又无处不在。在首届国家网络安全宣传周的现场,当记者随机向在场观众问起“网络安全的重要性”时,几乎所有的现场观众都回答说“非常重要”;“不少人一直认为网络安全就是电脑杀下毒,不过通过这次宣传周活动,人们应该改变原来的想法。以后不仅要注意对个人隐私的保护,防止手机被安装乱七八糟的APP,而且在工作中会严格遵守安全规章制度。”来北京旅游的卢先生向记者表示,“其实,网络安全就在我们每个人的身边。”

  事实也正如卢先生所言,网络安全早就已经不只是虚拟空间里的事情,而是与你和我的现实生活都息息相关,而且它不仅仅影响普通人的生活,而是也事关国家安全,去年爆出的棱镜门事件就是最好的例证。从这个意义上说,构建一个安全、健康、和谐的网络环境已经是势在必行,日前举行的首届国家网络安全宣传周正是在这一背景下举行的。

  网络安全周唤起全民安全意识

  2014年11月24日至30日,由中央网络安全和信息化领导小组办公室(下文简称“中央网信办”)会同中央机构编制委员会办公室、教育部、科技部、工业和信息化部、公安部、中国人民银行、新闻出版广电总局等部门联合主办,工业和信息化部电子情报所、计世传媒集团承办的首届国家网络安全宣传周在北京中华世纪坛举行。根据统计,在本次宣传周上设置的网络安全互动体验展在7天之内迎接了近5万3千人次的观众;本次宣传周举办期间制作的94部网络安全公益短片,在7天之内通过楼宇广告及公交、地铁屏幕总计播出了近17万次。据悉,国家网络安全宣传周将定于每年11月的最后一周举行。

  本次宣传周活动从国家层面唤醒了每一个人网络安全的意识。实际上,近年来国际上频繁发生的网络安全事件,早已经将网络安全上升到了关系公众财产和国防的重要地位。其中,最为“臭名昭著”的就是2010年“震网”病毒对伊朗布什尔核电站的攻击事件。在这一前提下,宣传周活动意图提高公众对网络安全的认知程度,将网络安全作为“国家话题”和“公众话题”长期延续下去。

  众所周知,目前网络安全已经上升到国家层面,不仅成立中央网络安全和信息化领导小组,而且习总书记亲任小组长。在2014年2月中央网信办第一次会议上,他强调了网络安全的重要性。他指出,没有网络安全就没有国家安全,没有信息化就没有现代化。

  中共中央政治局常委、中央书记处书记、中央网络安全和信息化领导小组副组长刘云山在安全周启动仪式上发表讲话时表示,网络安全、网络发展相辅相成,离开了安全堤坝,网络就不可能健康发展、持续发展。依法维护网络安全,是全面推进依法治国的重要内容。

  他强调,维护网络安全就是维护每个网民、每个公民自身的安全,设立国家网络安全宣传周就是顺应社会期盼,推动形成共建网络安全、共享网络文明的良好环境。。

  本次大会的主办方,中央网信办相关负责人在谈到信息安全周活动时对记者表示:“这次网络安全宣传周实现了网络安全宣传从概念到理念的跨越,下一步的任务是如何让理念付诸行动。要总结出更多可供百姓在实践中借鉴的行为准则和指引,今后的网络安全宣传工作任重道远。”中央网信办相关负责人强调,“只要是从人民的利益出发,这项工作就能持续、永久地开展下去,它本身就具有顽强的生命力。”

  掌握核心技术

  解决网络安全问题的一个关键是我们需要拥有自己的核心技术。由于IT技术最早源于美国,美国占有先发优势,其在一些基础产品上,比如操作系统、数据库、中间件、处理器芯片等已经形成了事实上的垄断。尽管这些年来国家对基础领域高度重视,我们在国产操作系统、数据库、芯片上都有所建树,然而一直难以撼动美国的领先地位。

  前车之鉴,今天我们需要高度重视对核心技术的掌握,特别是对于一些新兴领域从一开始我们就要把掌握核心技术作为重中之重。比如,在互联网领域,我们拥有庞大的用户群,这为技术创新提供了非常好的土壤。

  可喜的是,今天拥有自己的核心技术已经成为业界共识。在首届网络安全宣传周展会上,我们也看到一大批本土企业正在积极研发自己的核心技术。东方博盾(北京)科技有限公司在安全周上就展出了其3Gweb生物自防御Web平台,被称为是不可篡改、不可挂马、防刷库的第三代Web服务器。据介绍,3Gweb问世后获得了INTEROP最佳奖,并获得了多家权威机构的认证。

  “进入新世纪以来,我们面对的互联网环境变得空前险恶。”东方博盾(北京)科技有限公司董事长、首席科学家高振宇博士说,现在普遍使用的第二代Web服务器却含有致命的安全漏洞,不可信、可篡改、可挂马,而东方博盾推出的是可提供高可信、抗攻击和软硬件一体化的Web平台,特别是能抵御“未知攻击”。

  同样,信诺瑞得展出的WiseGrid慧敏系列应用交付网关也很有自己的特色。信诺瑞得集团总裁吴若松介绍说,这是一种可将数据中心网络转变为敏捷的新型应用交付基础架构,它在用户和数据中心之间创建了一个数据中心虚拟化层,部署在数据中心边界的战略控制点,确保数据中心的安全可控,并对数据中心进行优化和负载均衡。

  在此次体验展上,我们还看到了我国的互联网巨头们纷纷发力安全,比如百度、360、阿里、腾讯等,它们将其掌握大数据融入安全解决方案之中形成了独特的技术优势。据百度展台工作人员介绍,目前百度在手机、PC、云端三位一体构筑了完整的安全生态体系,形成联动。手机端的百度手机卫士提供了“泛安全”的全面支持;PC端的百度杀毒和百度卫士让电脑更安全同时电脑的速度更快;云端安全技术则让网站的速度更快,让用户找到最短的上网路径。除了技术外,百度安全在安全生态上通过信誉V等体系的建设,做到了从端到端的安全保障。

  自主可控

  毋容置疑,现在的IT世界还是欧美主导,我们用到的很多IT产品都并非国产。在这一背景之下,如何保证安全?“自主可控”因此被提了出来,不少企业,特别是一些大型国有企业更是身体力行,开始按照这一基本原则来构建自己的IT系统。

  中国工商银行信息科技部副总经理毛宇星表示,工商银行很早就在进行国产化与自主可控的相关工作,并卓有成效。比如,工商银行在架构上强调“异构多点、分层分级部署管理”来实现国产化的进程,目前在服务器层面,工商银行已经有65%以上全部实现了国产化。“根据不同的产业属性,有选择性地划定优先级,根据产业成熟度逐步推进自主可控。”毛宇星告诉本报记者。

  他提醒说提高国产化率不完全等于自主可控。“可控是目标,手段有多种。国产化只是手段之一。”他表示,“工商银行在力主国产化的同时,也在强调自主研发,利用开源来实现自主可控。”毛宇星说,在银行IT系统建设中金融产品应用、业务IT系统要100%实现自主可控是一个漫长的过程,需要进行不断地应用探索。

  对于自主可控,邮储银行的做法是:对设备和软件的选型按照应用需求有多种选择,其所使用的技术在二次开发时是可控的。据邮储银行信息科技部总经理、副总工程师汪航介绍,邮储银行已经采用小型机集群的形式替代了没有更多厂商选择的大型机,而在小型机集群上运行核心业务系统,各项指标都达到或超过上一代业务系统。目前,邮储银行有31个省的银行已采用了小型机集群。同时,邮储银行还使用PC服务器集群替代小型机支持关键业务,正是PC服务器集群保障了邮储银行跨行交易成功率连续三年在各家银行中排名第一。汪航说,在系统建设中,邮储银行还积极支持国产化。

  “对于国产设备,只有我们积极使用,才能更快发展起来。”汪航介绍说,浪潮K1系统问世后,邮储银行就开展国产小型机试点工作。

  “国产化在其中的作用,不仅是个人和企业的信息安全,甚至是整个信息安全发展国家战略中的基础。”北信源首席战略官胡建斌在接受记者采访时表示。

  他强调说,国产化除了设备本身以外,更要强调操作系统的自主与国产。“自主意味着要自主研制,这中间包括了软件、硬件、操作系统以及上层的应用等。目前,我们在自主操作系统上研制的终端安全管理已经成型,现在也通过了国家相关部门的检测和认证。”他说。

  坚持开放

  今天,自主可控已经被我国很多企业作为一项安全原则在贯彻,但是,业内专家指出不能因为自主可控就走向了另一个极端——盲目排斥国外的品牌。

  互联网实验室董事长方兴东认为,国家和企业在网络安全战略上应坚持开放和国际化的原则,而不是封闭和人为保护。对“自主可控、国产替代”,方兴东认为应该分级执行,而不要一刀切,即对于那些真正核心和关键的系统要坚持国产化,而对于一般系统则还是要坚持开放。

  “主旋律应该是开放,我们应该制定一些公开透明的政策而不是简单地限制国外的产品和技术,安全是为了更好的开放。”方兴东说,“越来越多的中国企业正在走向国际市场,我们也需要为它们走出国门创造条件,同时只有开放我们才能接纳更多先进的技术。”

  事实上,国外企业对“自主可控”还是持支持态度的。据同时负责韩国和中国市场的Check point北亚区总裁罗杉介绍,韩国也有类似支持国产化的政策。“我们认为自主可控对Check Point而言不是什么挑战。事实上,国家对安全的重视有利于壮大这个市场,也促使我们不断提升自己的能力。过去,我们的主要收入是硬件产品的销售,这很容易受到政策影响的。现在我们在逐渐向软件销售转型,近年来,我们软件销售收入增长在20%以上。同时,还在从事一些安全咨询的业务。”他表示,Check Point现在一方面更为重视本地化和本土研发,同时也要不但提升自己的服务能力。

  记者注意到,在安全市场以及整个IT市场,国外厂商的技术实力还是有目共睹的。在此次体验展中一些国外知名企业也利用此次机会充分展示其技术的领先性。IBM就全方位展示了融合数据分析与全新洞察的信息安全解决方案,并在智慧城市、金融、企业安全架构等诸多领域充分展示了IBM在保护数据信息安全方面所拥有的智能、集成、专业的强大实力。IBM表示,企业与组织应当通过三方面提升自身的信息安全管控能力:使用分析和洞察实现智慧防御;利用云计算及移动技术提升安全性;打造集成的安全管理模式。

  趋势科技(中国区)业务发展总监童宁在接受记者采访时也表示,一直以来趋势科技就在致力于将全球化的经验、技术与中国的实际情况相结合,以有效保证用户的数据安全。在这方面,趋势科技长期以来都在与中国的相关政府机构、组织合作,互通有无,将重要的信息进行共享。对于突发事件,趋势科技会提供第一时间的支持与协助。长期的合作与交流,使得趋势科技成功参与了包括北京奥运会、南京青奥会、2014年APEC会议等在内的多项大型活动的网络安全保证工作。

  值得一提的是,在国际上自主可控、国产化也是很多国家通行的一个做法,也被广泛认可。比如,在欧洲(比如英国和德国)都有相对规范、透明的制度,会要求国外企业把代码开放到一定程度,这一点值得我们借鉴。

  技术与管理相结合

  网络安全不仅仅是技术,人也是其中非常重要的因素。因此,网络安全一定是技术与管理的结合,并且首先要提高安全意识,再配以完善的管理制度和工作流程。这一点在采访过程中被采访对象屡屡提及。

  实际上,今天很多安全问题就是出在使用者安全意识薄弱上,一次不经意地下载或者手机接入无线网等都可能带来严重后果。在接受记者采访时,猎豹移动反病毒工程师李铁军就提到手机所面临的安全风险远远高于PC或笔记本电脑,公众必须提高安全意识。他介绍说,在手机应用中,目前Wi-Fi连接就存在非常大的安全风险,特别是随意连接无线网、蹭网等行为,不法分子往往利用无线网“钓鱼”,实施犯罪,而目前手机用户在这方面的安全意识极度缺乏,非常危险。

  李铁军的感受来自他的工作经历。据悉,目前猎豹移动已成为Google Play平台全球最大的安卓工具开发商,同时也是中国第二大互联网及移动互联网安全公司。截止到今年6月,猎豹移动全球移动用户安装总量达到6.62亿,活跃用户超过3亿。

  启明星辰首席战略官潘柱廷也建议,用户应该培养良好的安全习惯,这样很多网络安全问题就可以消弭在对于自己系统的自我保健中。比如,日常的检查(包括漏洞检查、病毒和木马的查杀、垃圾的清理等)。另外,用户要了解一些保护自己手机和PC机的基本常识,会用一些基本工具,比如杀毒软件、APP管理软件等。

  实际上,用户安全意识的薄弱对于企业级应用也是一个很大的威胁,为此很多企业也在加强对用户行为的管理和规范。中国工商银行信息科技部副总经理毛宇星表示,在安全方面银行需要做到完全的零风险,因此银行有着严格的问责制度,管理是非常必要的。“银行的风险管理文化是比较严谨的。”他表示。通过多年的实践,工商银行已经建立起来了严格的风险文化,这使得其成为国内银行业第一家研究私有云平台的企业。

  作为一家在网络领域耕耘多年的民族品牌,锐捷网络在网络安全方面自然有其独特的优势,锐捷网络产品和解决方案市场部安全产品总监王福光表示,锐捷网络在做安全产品时是从用户的角度想问题,以用户为中心,同时深入到用户应用现场,了解用户需求,并将技术与管理结合起来。

  远望电子提出的“体系化技术支撑下的安全管理之道”也正是从人和管理的角度来确保系统安全。浙江远望电子有限公司董事长傅如毅解释说,这一管理之道概括来说,就是以“信息网络安全管理技术支撑平台”为依托载体,构建政府和企事业单位的“人、技术、管理”相互融合、完善、严密的信息安全管理体系,有效提升领导者、管理者、使用者的安全意识和管理方法、技能水平,做到“目标明确、决策科学;规划合理、实施有序;检查及时、监测有效;职责清晰、处置高效”,确保信息安全风险最小化,确保风险、事件产生的危害最小化。

  “从组织流程上进行规范而不仅仅是技术手段,这才能确保整体安全。”傅如毅说。浙江远望电子有限公司是一家从事信息与网络安全管理服务研究和支撑安全管理的监测分析类技术研发的安全厂商,其产品在全国24个省市的公安系统都有部署,其中11个省是全省性的部署。

  壮大我国的安全产业

  解决网络安全的最终出路是要壮大我们的安全产业乃至整个IT产业。这一点在国家之间的网络攻防时体现得非常明显。近几年,随着网络安全被众多国家上升到国家安全的层面,国与国之间的网络攻防战就时有发生。应对这样的挑战,我们需要在安全领域有强大的技术实力作为后盾,这是需要一批高水准的安全厂商来做技术保障,这批高技术水准的安全厂商只能诞生于一个强大的安全产业之中。

  “要成为网络强国的一个基本要求是不能受制于人。”方兴东在接受本报记者采访时表示,这有四个方面的要求:产业发展上要有自己的核心技术;基础设施(比如电力)要能提高有效的安全保证;在国防上要守得住,必要时也能攻得出去;要有相对完整的治理能力,不仅对内(掌控大局能力)还要能对外(在规则制定上要有话语权)。这些都是需要一个强大的安全产业来提供保证。

  安天实验室首席技术架构师肖新光也提出了类似的观点。

  “在开放的网络空间,国家需要参与竞争,需要可靠的关键卡位防御能力,这需要独立的安全厂商的帮助。”肖新光告诉记者,“比如,对他国向我国发起的网络攻击,我们只有快速进行捕获、关联分析和取证溯源,持续形成分析案例,才能在网络安全规则的话语权博弈中赢得主动。这是对我国安全技术水平的考验。”

  当然,从根本上说网络安全厂商还是根植于整个IT行业,只有整个IT产业壮大了,才会培育出强大的安全厂商,为我们的网络提供可靠的保障。因此,最终还是要回归到IT产业本身,要引导和培育我们的IT产业使之成长壮大。

  值得高兴的是,随着国家对网络安全的高度重视,中国的安全企业迎来一个发展良机。浙江远望电子有限公司董事长傅如毅就明显感受到了这一变化。傅如毅介绍说今年公司的业务量比去年上升了50%以上。“过去,安全往往要让位于业务系统,安全方面的预算常常被业务系统挤占。如今,由于国家层面高度重视,安全方面的预算明显增加,也有了保障。”傅如毅表示。

  作为在网络安全领域摸爬滚打多年的老将,北信源首席战略官胡建斌对这个领域多年来的发展看在眼里。他表示,在十几年以前,网络安全是一个非常小众的市场。不过,随着网络安全被提升到国家层面以后,这一领域出现了翻天覆地的变化。

  在采访过程中,我们也强烈地感受到安全产业受政策利好的刺激而激发出来的动力以及各个安全厂商对未来的期望。在此我们也希望借助这个势头我国也能壮大自己的安全产业,形成一批可以和国际巨头比肩的企业,这既是维护国内网络秩序、确保个人和企业网络安全的需要更是国防的需要。

  本报记者 李旭阳 郭平 邹大斌

关注读览天下微信, 100万篇深度好文, 等你来看……
立即购买本期杂志
查看本期更多内容