繼“云計算”、“物聯(lián)網(wǎng)”之后，“大數(shù)據(jù)”成為技術(shù)領(lǐng)域又一熱點，并開始在社會生活各領(lǐng)域發(fā)揮其強大的影響力。大數(shù)據(jù)的規(guī)模不斷擴大，挑戰(zhàn)與機遇一同出現(xiàn)，國家、企業(yè)、個人隱私保障堪憂。針對目前我國信息安全呈現(xiàn)出來的漏洞，以及如何進一步打造國產(chǎn)化的信息安全產(chǎn)業(yè)鏈等問題，《經(jīng)濟》記者對國家信息技術(shù)安全研究中心總工程師李京春進行了專訪，探討我國信息安全技術(shù)發(fā)展的策略。

大數(shù)據(jù)海洋，危機重重不容忽視

《經(jīng)濟》：隨著信息數(shù)據(jù)的爆炸式增長，大數(shù)據(jù)給我國帶來了哪些機遇與挑戰(zhàn)？

李京春：大數(shù)據(jù)增長得非?？?，現(xiàn)在大家把它當成了“百科全書”、“知識的海洋”，遇到任何問題，都要去互聯(lián)網(wǎng)里面查。這個“海洋”每天還在以意想不到的速度增長，預(yù)計到2020年要增長到現(xiàn)在的50倍。用G和T來計量數(shù)據(jù)的時期已經(jīng)過去，很快大家會熟悉用P來計量，將來還會見到E和Z。除此之外，大數(shù)據(jù)的價值也在不斷增長，它是數(shù)據(jù)挖掘來源的重要渠道，而人們的判斷、決策越來越依賴于它。大數(shù)據(jù)已經(jīng)成為了戰(zhàn)略資源，各國正在圍繞大數(shù)據(jù)開展新一輪競爭。大數(shù)據(jù)還能提高企業(yè)的價值，通過大數(shù)據(jù)分析企業(yè)能夠?qū)κ袌鰬?zhàn)略發(fā)展挖掘更準確客觀的數(shù)據(jù)，進一步挖掘和細化市場。大數(shù)據(jù)同時也挑戰(zhàn)企業(yè)決策、數(shù)據(jù)處理管理能力。

大數(shù)據(jù)需要多領(lǐng)域的科學(xué)家共同研究，解決包括數(shù)據(jù)采集、存儲、處理、檢索、共享、分析、可視化等很多問題。它增長如此之快，以至于現(xiàn)有的管理手段都無法駕馭它。大數(shù)據(jù)對信息安全也帶來新的挑戰(zhàn)。從近日頗受關(guān)注的“棱鏡”事件中可以看出，美國早就利用“八大金剛”采集各國互聯(lián)網(wǎng)信息，輕松獲取我國在互聯(lián)網(wǎng)上流通的信息。大數(shù)據(jù)給我們帶來各項好處的同時，也帶來信息安全危機。

信息安全，堵塞“漏洞”是關(guān)鍵

《經(jīng)濟》：信息安全涉及的范圍很廣，大到國家機密安全，小到個人信息的泄露等，我國目前信息安全危機具體體現(xiàn)在哪些地方？

李京春：這里先給你們舉幾個例子?，F(xiàn)在咱們的互聯(lián)網(wǎng)相關(guān)設(shè)施、金融、電信等許多核心設(shè)備和存儲、交換設(shè)備等都是從國外進口，路由器、操作系統(tǒng)、服務(wù)器等主要產(chǎn)品都存在安全漏洞、后門或隱蔽通道。如果惡意人員或情報機構(gòu)利用這些漏洞、“后門”去竊取相關(guān)敏感信息，窺視個人隱私，控制大量計算機，或利用他人計算機作為“跳板”搞竊密、破壞，這些惡意行為不僅對網(wǎng)絡(luò)、系統(tǒng)的威脅巨大，也影響到政治、外交、軍事、文化等多個領(lǐng)域，甚至?xí)乐赝{到整個國家的網(wǎng)絡(luò)空間安全。事實上國外許多產(chǎn)品都存有“漏洞”和“后門”，某國公司生產(chǎn)的可編程控制器（PLC）產(chǎn)品和國外進口的USBkey產(chǎn)品、IC卡產(chǎn)品等都有非常嚴重的漏洞，有的被檢測出預(yù)先設(shè)置了“后門”程序，這些潛伏安全漏洞、后門危害很大。比如，我們在對某單位的進口USBkey進行檢測時，發(fā)現(xiàn)每次使用過程中它都會往外秘密輸送一組加密數(shù)據(jù)，經(jīng)深入分析，我們發(fā)現(xiàn)本不應(yīng)該外泄的數(shù)據(jù)竟然是用戶的敏感信息和認證密鑰，相當于門鎖的“鑰匙”，攻擊者一旦獲取這些數(shù)據(jù)便可以合法身份進入他人系統(tǒng)。USBkey認證產(chǎn)品在金融等多個領(lǐng)域使用很廣泛，銀行客戶在使用網(wǎng)銀時都會用到它。如果這些“漏洞”或“后門”未能及時發(fā)現(xiàn)并處置，甚至可能導(dǎo)致整個金融系統(tǒng)癱瘓。

信息安全保障的一項關(guān)鍵工作就是發(fā)現(xiàn)漏洞，堵塞漏洞，減少國家和企業(yè)重要信息系統(tǒng)的脆弱性。

“漏洞”有兩種，一種是編程過程中無意留下的，可以在應(yīng)用升級時“查漏補缺”；另外一種，則是有目的的預(yù)先蓄意設(shè)置，就是“后門”?！昂箝T”通過預(yù)設(shè)密碼或隱蔽通道獲得用戶通信模塊的管理權(quán)，操控設(shè)備，泄露敏感信息，甚至可能中斷通信，嚴重影響設(shè)備生產(chǎn)。網(wǎng)絡(luò)無處不在的同時，系統(tǒng)漏洞也無處不在，有漏洞的系統(tǒng)就是不健康的，就像是人的身體生病了。有的漏洞，如“棱鏡”之類的非法竊取項目就會乘虛而入，通過預(yù)設(shè)后門獲取數(shù)據(jù)和敏感信息，對此，我們必須及早診斷發(fā)現(xiàn)漏洞，規(guī)避消除它們。漏洞堵住了，病毒等威脅攻擊就會少了。國家信息安全技術(shù)研究中心每年都會對相關(guān)產(chǎn)品、系統(tǒng)做安全檢測、風(fēng)險評估。近年來，我國部分機關(guān)的電子郵件系統(tǒng)遭到境外攻擊，大量文件數(shù)據(jù)被竊取，國家敏感數(shù)據(jù)面臨嚴重威脅。我中心對一些重要用戶網(wǎng)絡(luò)進行應(yīng)急保障，阻擋攻擊，及時阻止更大損失。還有很多我們不知道的漏洞，平時并不會對系統(tǒng)正常應(yīng)用造成影響，但一旦發(fā)作，后果不堪設(shè)想。過去的漏洞可能影響局部、危害部分應(yīng)用，但在當今醫(yī)療、電力、金融乃至人民生產(chǎn)生活方方面面都在智能化的時代，一個嚴重漏洞和高危攻擊就可能蔓延至整個社會，導(dǎo)致大面積癱瘓，造成銀行可能拒絕服務(wù)，股票系統(tǒng)可能會出現(xiàn)異常，電力可能出現(xiàn)安全事故。

技術(shù)國產(chǎn)化，打造產(chǎn)業(yè)鏈是“硬道理”

《經(jīng)濟》：目前世界信息安全技術(shù)發(fā)展狀況如何？我國在這方面處于什么水平？

李京春：國外每年都會投入巨資研究大數(shù)據(jù)。“多尺度異常檢測”、“網(wǎng)絡(luò)內(nèi)部知情人檢測”、“洞察力計劃”、“機器閱讀計劃”等，都是近年來國家級信息安全項目。就我國來說，目前我們能夠熟練處理的是結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)，比如數(shù)據(jù)庫、搜索引擎結(jié)果等，但對于非結(jié)構(gòu)化數(shù)據(jù)比如音頻、視頻資料的處理技術(shù)還在攻關(guān)階段。而國外已經(jīng)研發(fā)出“智慧眼”等應(yīng)用來處理非結(jié)構(gòu)化數(shù)據(jù)。在技術(shù)上，我們與發(fā)達國家相差了至少5到10年，要迎頭趕上還有許多的工作要做?！胺阑饓Α?、“防病毒”、“入侵監(jiān)測”等傳統(tǒng)防護產(chǎn)品和技術(shù)在面對云計算互聯(lián)網(wǎng)、多網(wǎng)融合移動互聯(lián)網(wǎng)的大數(shù)據(jù)時代顯得力不從心。美國提出來采用全新的結(jié)構(gòu)和技術(shù)來防范網(wǎng)絡(luò)攻擊，發(fā)展軟件凈化、系統(tǒng)清洗、結(jié)構(gòu)化保護、系統(tǒng)異構(gòu)與可信計算等新技術(shù)。

最近，美國正在研究“可控性”問題，他們認為在一個網(wǎng)絡(luò)里，只要把20個方面的控制項做得好，就可基本抵御網(wǎng)絡(luò)上90%以上的威脅攻擊，如果把可利用漏洞的控制點規(guī)避好，整個城墻就相對安全了?，F(xiàn)在我們也在做這方面的研究，也有一定進展。還要不斷去研究新風(fēng)險、新增加的可控點，研究淘汰過時的、陳舊的、無意義可控點。

我國的互聯(lián)網(wǎng)相關(guān)設(shè)施大部分采用進口設(shè)備，把安全寄托在它們身上，就會對設(shè)備帶有的“漏洞”和“后門”抵抗力、免疫力減弱。不能預(yù)先檢測到間諜軟件、隱蔽通道，就無法有效遏制數(shù)據(jù)竊取?，F(xiàn)在我們的操作系統(tǒng)研究皆源自公開代碼，自主可控性很低，競爭力很弱。很多單位曾經(jīng)強制性使用國產(chǎn)操作系統(tǒng)，由于配套應(yīng)用、底層驅(qū)動、網(wǎng)絡(luò)接口軟件不配套，反響并不理想。這說明我們的產(chǎn)業(yè)化有弱點。美國的“八大金剛”在我國都能占有一席之地，為什么？因為他們有完善的產(chǎn)業(yè)鏈，從CPU、BIOS、操作系統(tǒng)、交換機、路由器、存儲、辦公應(yīng)用軟件、接口驅(qū)動軟件，上下游產(chǎn)業(yè)鏈十分成熟、完善，性能和工藝也非常成熟。選擇他們產(chǎn)品的同時，也能享受到信息化先進的服務(wù)?？梢钥偨Y(jié)，中國信息安全技術(shù)的發(fā)展，關(guān)鍵在于提高國產(chǎn)化率，形成IT產(chǎn)業(yè)鏈。

《經(jīng)濟》：在您看來，我國應(yīng)該如何打造信息安全技術(shù)產(chǎn)業(yè)鏈？

李京春：首先，國家要堅持自主創(chuàng)新、安全可控戰(zhàn)略。過去我國對集成電路的投入，是抓了又放，放了又抓，缺乏持續(xù)投入，單靠企業(yè)走市場化是不夠的。而信息安全技術(shù)產(chǎn)業(yè)鏈的建設(shè)，必須要國家在自主創(chuàng)新戰(zhàn)略下，狠抓起來，政策上、資金上持續(xù)投入。防止政府集中采購中單靠“低價中標”，忽視安全費用?；A(chǔ)產(chǎn)業(yè)需要持續(xù)投入，靠國家支持，更靠企業(yè)參與，符合市場規(guī)律，關(guān)鍵要做好加強頂層設(shè)計和科學(xué)規(guī)劃。

第二，制定明確的產(chǎn)品標準?，F(xiàn)在流通在市場上的信息安全技術(shù)產(chǎn)品看起來門檻很多、要求很高，實際上應(yīng)用上卻質(zhì)量、性能參差不齊，標準過于寬泛。各種低質(zhì)量、無保證的產(chǎn)品賣給消費者，降低了信息安全產(chǎn)業(yè)整體信譽。制定統(tǒng)一、細粒度的嚴格標準，減少產(chǎn)品的“脆弱性”，特別是軟件產(chǎn)品的漏洞，才能提升它們的競爭力，產(chǎn)品健康了，網(wǎng)絡(luò)才強壯。

第三，給予國內(nèi)企業(yè)充分的優(yōu)惠政策。信息安全產(chǎn)品本身比較敏感，而且發(fā)展的“條條框框”特別多，國內(nèi)企業(yè)發(fā)展得很“累”。產(chǎn)品前期需要得到不同領(lǐng)域的測評認證機構(gòu)，認證費動輒幾萬、十幾萬，開始銷售之前要耗費大量的資金和人力成本。我們需要做的，是給企業(yè)減肥、減負，營造良好的創(chuàng)新生產(chǎn)環(huán)境。

最后，加強信息安全技術(shù)人才培養(yǎng)。對于這方面人才的培養(yǎng)國家已經(jīng)采取了措施，在很多“211”院校都開設(shè)相關(guān)專業(yè)，但整個行業(yè)還是處于人才奇缺狀態(tài)。IT行業(yè)發(fā)展太快，變化太快，學(xué)生在學(xué)校學(xué)習(xí)的固定內(nèi)容和實際工作中需要面對的問題是很不一樣的，這個適應(yīng)過程往往要耗費較長的時間。學(xué)校教育更應(yīng)關(guān)注實際。

全民防護，技術(shù)+管理+協(xié)調(diào)

《經(jīng)濟》：除了提高國產(chǎn)化率，信息安全技術(shù)發(fā)展還有哪些關(guān)鍵點？國家、企業(yè)、民眾需要怎樣做？

李京春：第一，對關(guān)鍵技術(shù)設(shè)備的系統(tǒng)漏洞檢測評估要做到定期開展，發(fā)掘深層次隱患，提出相應(yīng)的加固解決辦法?！袄忡R”事件警示我們，信息安全的核心問題需要進一步研究，開展相應(yīng)的安全檢測和態(tài)勢評估。隨著云計算、物聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用的出現(xiàn)，現(xiàn)有的產(chǎn)品檢測標準已經(jīng)滯后或缺失，很難發(fā)現(xiàn)深層次的問題。有效的漏洞分析、風(fēng)險評估成本也很高，亟待創(chuàng)新思路，突出關(guān)鍵的“可控性”，定期查體，研討當前突出問題的解決辦法，提出對策建議。第二，要加強網(wǎng)絡(luò)安全態(tài)勢感知和預(yù)警平臺的建設(shè)?，F(xiàn)在境外的網(wǎng)絡(luò)攻擊都比較隱秘，行為加密，很難被發(fā)現(xiàn)。要想排除威脅就必須加強網(wǎng)絡(luò)安全態(tài)勢感知，發(fā)現(xiàn)深層次問題，從國家層面上還要進一步加強對基礎(chǔ)設(shè)施的保障保護，建立一些主動防御手段。

我們需要進一步強化漏洞意識和危機意識，從維護國家安全、公共安全和個人隱私的角度進行全民防護。企業(yè)則應(yīng)在他們的系統(tǒng)中采取相應(yīng)防護措施，拒絕非正當?shù)臄?shù)據(jù)獲取和利用。個人應(yīng)該加強安全意識，杜絕弱口令和不安全行為。另外，信息安全工作的開展亟需一個強有力的協(xié)調(diào)部門。前幾年高層設(shè)立的國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室發(fā)揮了很好的協(xié)調(diào)作用，現(xiàn)在這個機構(gòu)在工信部信息安全協(xié)調(diào)司層面開展工作，層次低了，難于協(xié)調(diào)，在很多地方難以發(fā)揮協(xié)調(diào)作用。最后，我國應(yīng)該更努力地加強國際合作。目前我們國家的信息安全技術(shù)發(fā)展處于中等偏下的水平，特別希望與發(fā)達國家展開合作，加入一些國際組織。但這些組織的門檻過高，而中國信息安全技術(shù)又被污名化，在國際上總被扣著“黑客”的帽子，從輿論上被競爭對手孤立起來，這種被動局面極大程度地限制了我們的發(fā)展。我們需要制定相關(guān)政策方針，與發(fā)達國家共同進步，結(jié)成國際信息安全產(chǎn)業(yè)聯(lián)盟。