> 與會專家、運營商及廠商代表探討云安全"/>
文 高媛
隨著互聯(lián)網的發(fā)展、通信網絡IP化,網絡面臨的安全威脅不斷加大,網絡管控的難度也隨之加大。
>> 與會專家、運營商及廠商代表探討云安全與安全服務。
近幾年,信息化的步伐在經濟發(fā)展中越走越快。隨著我國3G網絡的搭建、三網融合的啟動以及物聯(lián)網等新技術應用的不斷涌現(xiàn),通信網絡和信息安全問題也日益凸顯。病毒、木馬、黑客等安全隱患肆虐,正在嚴重威脅著我們的網絡生活和工作,信息安全管理也因此迎來了新的挑戰(zhàn)。
隨著社會的發(fā)展,人們對于手機和互聯(lián)網的依賴越來越大,工業(yè)和信息化部通信保障局網絡安全處處長閆宏強特別指出:“通信發(fā)展?jié)B透越來越強,社會和經濟越來越離不開通信網絡,因此當前通信網絡安全的戰(zhàn)略地位越來越重要,已經成為國家的關鍵基礎設施?!?/p>
與此同時,隨著互聯(lián)網的發(fā)展、通信網絡IP化,網絡面臨的安全威脅不斷加大,網絡管控的難度也隨之加大。閆宏強表示,由于越來越開放互聯(lián),所以這種網絡承載對于用戶的掌控權不再是封閉的。因此他強調,網絡管控難度加大,不僅僅是個人的安全問題,也會涉及企業(yè)利益和國家利益等。各方的網絡間諜會對國家網絡安全造成很大威脅。
網絡安全問題基本可以分為隱性安全問題和顯性安全問題。隱性安全事件主要體現(xiàn)為安全漏洞,它已經成為泄密、黑客安全事件的原動力,由此產生的地下產業(yè)鏈也在逐漸形成。2009年,中國地下黑產業(yè)鏈已經達到幾十億元人民幣的規(guī)模。在美國,目前黑客給美國帶來至少100億美元的損失。中國電信北京研究院馮曉東表示,以拒絕服務攻擊為代表的顯性安全比例非常低,不超過10%,而隱性安全問題已經超過了85%。
在通信網絡層面,應對傳統(tǒng)安全威脅有一套成熟的體制、規(guī)程和標準,但安全防御體系才剛剛起步,面臨著多元化的安全威脅。閆宏強指出,我國信息技術產品在完全可控的情況下,如CPU、操作系統(tǒng)、數據庫、服務器等很多都依賴國外廠商,所以一旦遭遇軟件炸彈,瞬間將會癱瘓。
所以他表示,目前應對網絡安全問題主要從兩個層面出發(fā):一是網絡安全防護,通過落實防護的標準、加強防護策略和監(jiān)管以提高網絡的安全水平;二是網絡安全應急,主要針對信息風暴等突發(fā)事件。
在網絡防護方面,工業(yè)和信息化部近期也出臺了《通信網絡安全防護管理辦法》(第11號文件)(以下簡稱《辦法》),《辦法》中指出通信網絡安全防護工作堅持積極防御、綜合防范、分級保護的原則,通信網絡運行單位應當對本單位已正式投入運行的通信網絡進行單元劃分,并按照各通信網絡單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為一級、二級、三級、四級、五級。三級及三級以上通信網絡單元應當每年進行一次符合性評測,二級通信網絡單元應當每兩年進行一次符合性評測。據了解,目前國家已經出臺了36項不同專業(yè)的防護標準,2010年還將增加6個專業(yè)的防護標準。
>> 網絡黑客已經威脅到全球的信息安全系統(tǒng)。
目前,云計算服務大致分為三個層級:IaaS、PaaS和SaaS,不同層級的安全問題各不相同,IaaS面臨的主要問題是云計算數據中心的可靠性、物理安全、網絡安全、傳輸安全、系統(tǒng)安全等;就PaaS而言,數據安全、數據與計算可用性、災備與恢復、針對應用程序的攻擊是主要問題;而對于SaaS,用戶更關注數據與應用的安全問題。
綠盟科技首席戰(zhàn)略官趙糧認為,對云計算所面臨的安全威脅進行防御可以從七個方面加以考慮:第一,云計算上的不同形式的拒絕服務或惡意使用,這需要在系統(tǒng)層面、應用層面和網絡層面等建立起完善的抗拒服務的能力;第二,云計算是外包的形式,是多方交織在一起的計算形式,所以需要企業(yè)之間經過合同團隊、律師團隊的共同工作,編寫出更仔細、更容易度量和更容易考核的文本;第三,云是基于Web的計算形式,如何保證Web的主流應用、主流系統(tǒng)、主流平臺的漏洞得到及時地公告、修復及與用戶保持好流程的暢通,將是云服務所面臨的又一新的挑戰(zhàn);第四,云計算時代如何保證數據安全;第五,如何優(yōu)化電子證據和審計系統(tǒng),以保證數據是完全不同的審計主體存放,這將對安全審計、云的合同及采購等構成新的挑戰(zhàn);第六,繼續(xù)加強云計算應用生命周期的安全投入;第七,加強供應商的安全管理,云時代,安全管理不僅僅局限于人機之間、人人之間,而更多的是機對機的應用,因此如何保證供應商的云開發(fā)過程的安全將顯得尤為重要。
網絡IP化、終端智能化、業(yè)務運營全業(yè)務化及安全事件趨利化,是當前我國網絡安全所面臨的幾個方面的問題。隨著網絡IP化,互聯(lián)網的安全風險正在向傳統(tǒng)通信網絡滲透,病毒、黑客等的入侵已經出現(xiàn)在通信基礎網絡中。終端智能化不僅讓手機上網逐漸成為一種時尚,也使得手機病毒應運而生。面對全業(yè)務運營時代的到來,網間防御力度將會減弱。同時,由于病毒入侵等惡意事件的發(fā)生幾乎都與利益相關,也就形成了安全事件趨利化的表現(xiàn)。
國內運營商通過近幾年的安全建設,已經從分散的、靜態(tài)的安全防護產品過渡到局部或者全面的安全事件管理上。北京天融信網絡安全技術有限公司高級安全咨詢顧問沈余鋒認為,運營商的下一步關注重點將是如何部署如何以客戶為中心的端到端安全防護,或者從靜態(tài)的網絡設備防護上提升到以業(yè)務目標為核心的動態(tài)防護上。在運營商完成自身安全建設之后,還要考慮如何更好地為客戶提供安全增值服務。在運營服務方面,一些IDC服務商已經做了一些工作,數據顯示,2008年全國IDC安全收入只占2%,而2009年已經提升到了5%。
國外運營商是通過各種合作的形式加強自身的網絡安全防護。比如,英國電信通過收購安全廠商或者與安全廠商進行合作來提供其安全服務,德國電信等歐洲的一些電信公司及印度的電信公司也都在通過與安全廠商的強強聯(lián)合來提供多元化的安全服務,如流量監(jiān)控分析、安全運營維護等。沈余鋒表示,接下來應該是安全產品的大規(guī)模發(fā)展階段,運營商可以結合自身的業(yè)務特點及資源優(yōu)勢發(fā)揮更大的作用。