本刊記者|閆城榛
互聯(lián)網(wǎng)的迅猛發(fā)展極大地改變了人類的生活方式,給世界的經(jīng)濟(jì)、政治、文化帶來(lái)了深刻的影響。但同時(shí),隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)的安全問(wèn)題卻日益突出。
據(jù)報(bào)道,全球平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件,大量的政府和門戶網(wǎng)站被攻陷。國(guó)外的政府網(wǎng)站及知名商業(yè)網(wǎng)站等都先后被黑客攻擊導(dǎo)致服務(wù)中斷,造成了很大的影響和損失。而在我國(guó),每年因黑客入侵、計(jì)算機(jī)病毒的破壞給企業(yè)造成的損失同樣令人觸目驚心。計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題正引起政府部門、企事業(yè)機(jī)關(guān)的高度重視。
媒體由于其特有的社會(huì)屬性,通常承擔(dān)著信息發(fā)布、輿論引導(dǎo)、社會(huì)服務(wù)等重大責(zé)任,其重要性不言而喻。信息安全已然成為了媒體在互聯(lián)網(wǎng)時(shí)代的“隱形戰(zhàn)線”——看不見、摸不著,卻至關(guān)重要。嚴(yán)重的信息安全事件將會(huì)造成極大的政治、經(jīng)濟(jì)和社會(huì)影響。如何降低媒體信息安全風(fēng)險(xiǎn),確保系統(tǒng)數(shù)據(jù)信息的安全性和可靠性,保障業(yè)務(wù)安全平穩(wěn)的運(yùn)行,同樣是安全建設(shè)媒體工作系統(tǒng)的重點(diǎn)。
“隱私(Privacy)是每個(gè)人所保有的權(quán)利——能否選擇孤獨(dú)生活的權(quán)力。去銀行取錢,你的資金情況有可能被別人獲取;拿著手機(jī),你的行動(dòng)軌跡有可能被別人獲??;哪怕是在IM上發(fā)表觀點(diǎn),也怕政治傾向有可能被別人獲??;去醫(yī)院看病,你的健康狀況有可能被別人獲取。而隱私,就是你選擇這些信息不被他人獲取的權(quán)利?!?360公司副總裁兼首席隱私官譚曉生在采訪中對(duì)記者說(shuō)。
2014年5月,一項(xiàng)由約瑟夫?朗特里改革基金會(huì)發(fā)起的調(diào)查顯示,85%的網(wǎng)民認(rèn)為,上網(wǎng)瀏覽記錄等信息的保密工作“相當(dāng)重要”;英國(guó)市場(chǎng)調(diào)研公司Mori最新的調(diào)查顯示,僅有12%的受訪者認(rèn)為這些隱私是否被監(jiān)控?zé)o所謂。2013年12月18日,聯(lián)合國(guó)大會(huì)通過(guò)了一項(xiàng) “數(shù)字時(shí)代隱私權(quán)”的決議。決議強(qiáng)調(diào),隱私權(quán)是民主社會(huì)的基礎(chǔ)之一,非法或任意監(jiān)控通信以及收集個(gè)人數(shù)據(jù),是侵犯隱私權(quán)和言論自由權(quán)利的行為,背離了民主社會(huì)的信念。決議也要求各國(guó)建立有效的國(guó)內(nèi)監(jiān)督機(jī)制,確保涉及通信監(jiān)控和截取、以及對(duì)個(gè)人數(shù)據(jù)收集的透明度,并接受問(wèn)責(zé)。
這項(xiàng)決議雖然沒(méi)有強(qiáng)制效力,卻在政治和道德層面體現(xiàn)了國(guó)際社會(huì)對(duì)保護(hù)網(wǎng)絡(luò)和電子通訊使用者隱私權(quán)的態(tài)度,表達(dá)了對(duì)越界情報(bào)行動(dòng)以及對(duì)個(gè)人數(shù)據(jù)大規(guī)模搜集的批評(píng)與憂慮,而這或許是斯諾登以及“棱鏡門”帶給整個(gè)世界的一個(gè)巨大的改變。
如果說(shuō)隱私是個(gè)人問(wèn)題,那么信息安全則是全體人類社會(huì)所面臨的共同課題。信息安全本身包括的范圍很大。大到國(guó)家軍事政治等機(jī)密安全,小到如防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對(duì)不良信息的瀏覽、個(gè)人信息的泄露等。
“信息安全中間的有一部分與隱私相關(guān)。通俗來(lái)說(shuō),信息安全是針對(duì)于信息的安全保障?!弊T曉生說(shuō):“在沒(méi)有計(jì)算機(jī)之前,政府核心部門的某份重要文件被竊取,其實(shí)也是信息安全被破壞的表現(xiàn)。當(dāng)今,我們進(jìn)入了網(wǎng)絡(luò)時(shí)代,信息被數(shù)字化,無(wú)須通過(guò)物理上的接觸就可以通過(guò)網(wǎng)絡(luò)將指定信息竊取或破壞?!?/p>
“破壞信息安全”在不同的時(shí)代上演著不同的演繹方式,從物理上的竊取 文件,到無(wú)線電時(shí)代的電波干擾,再到互聯(lián)網(wǎng)時(shí)代通過(guò)光纖對(duì)信息的進(jìn)行的竊取和破壞。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵,包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制(數(shù)字簽名、信息認(rèn)證、數(shù)據(jù)加密等),直至安全系統(tǒng),其中任何一個(gè)安全漏洞便可以威脅全局安全。
大數(shù)據(jù)指對(duì)不同來(lái)源的海量數(shù)據(jù)進(jìn)行分析并從中獲得所需信息的一類技術(shù)。比如在這個(gè)數(shù)字時(shí)代,人們會(huì)經(jīng)常收發(fā)郵件、網(wǎng)上購(gòu)物、社交媒體發(fā)帖……每天都會(huì)產(chǎn)生大量數(shù)據(jù)。如果企業(yè)對(duì)這些數(shù)據(jù)進(jìn)行有效分析,就能從中挖掘出巨大價(jià)值。
對(duì)此,新華社通信技術(shù)局信息安全辦公室副主任肖國(guó)煜有所感慨道:“現(xiàn)在,很多公司都說(shuō)自己與其說(shuō)是‘互聯(lián)網(wǎng)公司’,不如說(shuō)是‘?dāng)?shù)據(jù)’更為妥當(dāng)。其實(shí)對(duì)于當(dāng)代的媒體也是一樣的。在從前,傳統(tǒng)主流媒體處于居高臨下的主導(dǎo)地位;而如今進(jìn)入互聯(lián)網(wǎng)時(shí)代,信息更多的是以平等交流的方式傳播。媒體需要采集、保存海量的數(shù)據(jù)對(duì)用戶進(jìn)行分析,而且是從原來(lái)的商業(yè)消費(fèi)的行為分析,轉(zhuǎn)變?yōu)樾畔⑾M(fèi)的行為分析?!?/p>
但大數(shù)據(jù)時(shí)代的信息安全也存在巨大的隱患。全國(guó)人大代表、天津市經(jīng)濟(jì)和信息化委員會(huì)主任李朝興將大數(shù)據(jù)時(shí)代的信息安全問(wèn)題表現(xiàn)總結(jié)為三個(gè)層次:第一是網(wǎng)絡(luò)安全。李朝興說(shuō),我國(guó)目前的網(wǎng)絡(luò)產(chǎn)業(yè)無(wú)論硬件軟件都處于不設(shè)防的狀態(tài),使用的大多是國(guó)外企業(yè)生產(chǎn)的產(chǎn)品或者技術(shù),網(wǎng)絡(luò)本身不是自主研發(fā)的,很可能會(huì)因“后門”造成信息泄露,而發(fā)達(dá)國(guó)家在這方面則控制得很嚴(yán)。第二是數(shù)據(jù)安全?!拔覀兇嬖卩]箱、云端甚至電腦終端里面的數(shù)據(jù),通過(guò)網(wǎng)絡(luò)都有可能泄露出去,但目前的法律對(duì)此沒(méi)有明確的規(guī)定,這些數(shù)據(jù)的所有權(quán)歸誰(shuí)?是否應(yīng)該歸產(chǎn)生數(shù)據(jù)的人自身所有呢?”李朝興說(shuō)。第三是信息安全。數(shù)據(jù)一旦泄露,稍加分析和加工就變成了有用的信息,對(duì)個(gè)人而言是隱私,而對(duì)企業(yè)乃至國(guó)家機(jī)關(guān)而言則有可能是機(jī)密。
提起大數(shù)據(jù),就不能不談?wù)勗朴?jì)算。云計(jì)算加快了數(shù)據(jù)的沉淀,為大數(shù)據(jù)的快速處理和分析提供了足夠的計(jì)算能力,并且將計(jì)算變成一種公共服務(wù),通過(guò)互聯(lián)網(wǎng)輸送到千家萬(wàn)戶。
云計(jì)算的發(fā)展勢(shì)頭近年來(lái)日益迅猛,眾多企業(yè)開始享受云計(jì)算便利的計(jì)算資源服務(wù)、大數(shù)據(jù)沉淀與挖掘帶來(lái)的產(chǎn)業(yè)創(chuàng)新同時(shí),業(yè)界也一直存在關(guān)于云服務(wù)安全方面的挑戰(zhàn)與質(zhì)疑。2013年,亞馬遜AWS戰(zhàn)勝IBM獲得美國(guó)中央情報(bào)局6億美元云計(jì)算系統(tǒng)訂單,給質(zhì)疑云計(jì)算安全的聲音潑了一次冷水,對(duì)全世界范圍內(nèi)的云計(jì)算云服務(wù)進(jìn)程是一次不小的推動(dòng)。在中國(guó),云計(jì)算服務(wù)經(jīng)過(guò)3年多的發(fā)展實(shí)踐,已經(jīng)有了不小的規(guī)模,同時(shí)也產(chǎn)生了國(guó)外尚未涉足、對(duì)安全要求更高的金融行業(yè)等新的云計(jì)算服務(wù)領(lǐng)域。比如目前國(guó)內(nèi)最大的單只基金-余額寶,國(guó)內(nèi)第一家互聯(lián)網(wǎng)保險(xiǎn)公司-眾安在線均是構(gòu)建在阿里云的云計(jì)算平臺(tái)上。
當(dāng)然,對(duì)這一新鮮事物質(zhì)疑與擔(dān)憂也不少,據(jù)統(tǒng)計(jì)國(guó)內(nèi)50%的企業(yè)不敢使用云計(jì)算服務(wù)的主要原因是對(duì)安全問(wèn)題的擔(dān)憂,現(xiàn)任阿里巴巴集團(tuán)首席技術(shù)官王堅(jiān)博士的觀點(diǎn)認(rèn)為“云計(jì)算更安全,這是一個(gè)思維變革的過(guò)程。”
云計(jì)算的特點(diǎn)是把信息化的資源顆?;?,比如存儲(chǔ)、計(jì)算、軟件、數(shù)據(jù)、管理資源,這些資源虛擬化而且被顆?;院笮纬筛鞣N資源池然后統(tǒng)一整合進(jìn)行管理和利用,實(shí)時(shí)的按需分配。“就好比是以前家家戶戶自己打井汲水,現(xiàn)在由自來(lái)水公司集中管理全市用水,并且通過(guò)管道將自來(lái)水輸送到各家各戶。從井水到自來(lái)水的變遷讓千家萬(wàn)戶喝上了放心水,省去了挖井打水的功夫,不會(huì)有人擔(dān)心自來(lái)水公司被投毒而拒絕接入自來(lái)水?!?/p>
“事實(shí)上,云比原來(lái)的方法更安全,就好像把錢放在銀行事實(shí)上會(huì)比放在枕頭底下更安全一樣,需要克服的是心理障礙”。王堅(jiān)博士認(rèn)為這是一個(gè)思維變革的過(guò)程。
中共中央總書記、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長(zhǎng)習(xí)近平不久前提出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全,沒(méi)有信息化就沒(méi)有現(xiàn)代化”,“努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)”等重要論斷,把對(duì)網(wǎng)絡(luò)安全和信息化重要性的認(rèn)識(shí)提到了一個(gè)新的高度,成為了國(guó)家戰(zhàn)略層面的問(wèn)題,為下一步推進(jìn)網(wǎng)絡(luò)信息安全和信息化建設(shè)指明了方向。
各種跡象表明,網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家高層非常重視的問(wèn)題,從中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立,到國(guó)際電聯(lián)專門推出全球網(wǎng)絡(luò)安全指數(shù)新概念;從美國(guó)政府“嚴(yán)密審查”聯(lián)想收購(gòu)IBM的低端x86服務(wù)器部門,到微軟Windows XP“退役”引發(fā)中國(guó)兩億用戶的安全顧慮,網(wǎng)絡(luò)安全和信息化已成為社會(huì)關(guān)注的熱點(diǎn)。
國(guó)家互聯(lián)網(wǎng)信息辦公室于5月22日宣布,為維護(hù)國(guó)家網(wǎng)絡(luò)安全、保障中國(guó)用戶合法利益,我國(guó)即將推出網(wǎng)絡(luò)安全審查制度。該項(xiàng)制度規(guī)定,關(guān)系國(guó)家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù),應(yīng)通過(guò)網(wǎng)絡(luò)安全審查。
記者從國(guó)家互聯(lián)網(wǎng)信息辦公室獲悉,互聯(lián)網(wǎng)產(chǎn)品技術(shù)的安全性和可控性,將是網(wǎng)絡(luò)安全審查重點(diǎn)。網(wǎng)絡(luò)安全審查制度將針對(duì)重要信息技術(shù)產(chǎn)品及提供者,重點(diǎn)審查產(chǎn)品的安全性和可控性,以防產(chǎn)品提供者非法控制、干擾、中斷用戶系統(tǒng),非法收集、存儲(chǔ)、處理和利用用戶有關(guān)信息。對(duì)不符合安全要求的產(chǎn)品和服務(wù),將不得在中國(guó)境內(nèi)使用。
相比美國(guó)已實(shí)行了10多年的網(wǎng)絡(luò)安全審查制度,我國(guó)網(wǎng)絡(luò)安全審查制度的空白短板,在產(chǎn)業(yè)層面讓我國(guó)企業(yè)處于被動(dòng)劣勢(shì)。同時(shí),無(wú)論是個(gè)體信息安全的迫切需要,還是國(guó)家層面的安全保障,都使得推出網(wǎng)絡(luò)安全審查制度勢(shì)在必行。
“信息安全審查機(jī)制并不是常規(guī)性的門檻制度,而是在發(fā)現(xiàn)有可能出現(xiàn)潛在危害時(shí)需要采取的必要行動(dòng)。在這一方面,美、英、法、日等國(guó)很早就建立了相關(guān)制度?!?對(duì)于我國(guó)即將推出網(wǎng)絡(luò)安全審查制度的新聞,中國(guó)工程院院士、北京郵電大學(xué)原校長(zhǎng)方濱興表示:“在信息安全領(lǐng)域,早就有信息安全產(chǎn)品認(rèn)證的入市門檻制度,但這是白名單式的放行機(jī)制。信息安全審查制度不同,是戰(zhàn)術(shù)層面的事情,需要通過(guò)對(duì)提供技術(shù)、系統(tǒng)、服務(wù)的企業(yè)進(jìn)行背景審查,對(duì)所提供的技術(shù)、系統(tǒng)、服務(wù)的歷史情況進(jìn)行審查,對(duì)其帶來(lái)的潛在危害性進(jìn)行評(píng)估,然后才能考慮是否能夠進(jìn)入市場(chǎng),或者有條件(例如必須達(dá)到某種要求)進(jìn)入市場(chǎng)。這相當(dāng)于黑名單式的禁止機(jī)制,并不是所有的技術(shù)、系統(tǒng)、服務(wù)都必須進(jìn)行信息安全審查,但一旦納入審查,就不能在未通過(guò)審查的前提下進(jìn)入市場(chǎng)。這種方式可以有效防范那些被舉報(bào)或被揭發(fā)的企業(yè)、技術(shù)、產(chǎn)品與服務(wù)等給我國(guó)帶來(lái)潛在危害。”
互聯(lián)網(wǎng)的迅猛發(fā)展極大地改變了人類的生活方式,給世界的經(jīng)濟(jì)、政治、文化帶來(lái)了深刻的影響。但同時(shí),隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)的安全問(wèn)題卻日益突出。
據(jù)報(bào)道,全球平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件,大量的政府和門戶網(wǎng)站被攻陷。國(guó)外的政府網(wǎng)站及知名商業(yè)網(wǎng)站等都先后被黑客攻擊導(dǎo)致服務(wù)中斷,造成了很大的影響和損失。而在我國(guó),每年因黑客入侵、計(jì)算機(jī)病毒的破壞給企業(yè)造成的損失同樣令人觸目驚心。計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題正引起政府部門、企事業(yè)機(jī)關(guān)的高度重視。
大家一定對(duì)這樣一件事情并不陌生:
北京時(shí)間2013年4月24日早間消息,美聯(lián)社的Twitter賬號(hào)周二被黑客劫持,并在被黑后發(fā)布消息稱:“突發(fā)新聞:白宮發(fā)生兩次爆炸,奧巴馬受傷?!边@一消息迅速在Twitter上引發(fā)了強(qiáng)烈反響,幾秒鐘之內(nèi)被轉(zhuǎn)發(fā)了數(shù)百次。但幾分鐘后,美聯(lián)社的Twiter賬號(hào)被暫時(shí)關(guān)閉,證明該賬號(hào)遭到黑客入侵。美聯(lián)社隨后表示:“@AP賬號(hào)被黑,白宮遇襲消息不實(shí)。”盡管這一消息只傳播了幾分鐘,但依舊引發(fā)了美國(guó)股市的短暫跳水,道瓊斯工業(yè)平均指數(shù)在該消息發(fā)出后瞬間下跌超150點(diǎn)。在此事件前后發(fā)生了一系列針對(duì)國(guó)際媒體機(jī)構(gòu)的黑客攻擊事件,美聯(lián)社Twitter賬號(hào)遭竊只是其中的一例。
Twitter的安全問(wèn)題一直為人詬病。消息在Twitter上快速散播,但平心而論Twitter并不是一個(gè)可靠的新聞傳播平臺(tái)。如果Twitter不能采取措施解決其帳號(hào)的安全問(wèn)題,或者不能確保其信息的準(zhǔn)確性,Twitter可能將開始面臨法律審查甚至訴訟。
其實(shí),這個(gè)故事的本土化的版本每天也在中國(guó)的網(wǎng)絡(luò)上重復(fù)上演著。捫心自問(wèn),當(dāng)我們的媒體遇到類似事件的時(shí)候,是否有足夠的能力進(jìn)行預(yù)防、抵御、反擊和善后工作呢?
媒體由于其特有的社會(huì)屬性,通常承擔(dān)著信息發(fā)布、輿論引導(dǎo)、社會(huì)服務(wù)等重大責(zé)任,其重要性不言而喻。信息安全已然成為了媒體在互聯(lián)網(wǎng)時(shí)代的“隱形戰(zhàn)線”——看不見、摸不著,卻至關(guān)重要。嚴(yán)重的信息安全事件將會(huì)造成極大的政治、經(jīng)濟(jì)和社會(huì)影響。如何降低媒體信息安全風(fēng)險(xiǎn),確保系統(tǒng)數(shù)據(jù)信息的安全性和可靠性,保障業(yè)務(wù)安全平穩(wěn)的運(yùn)行,是安全建設(shè)媒體工作系統(tǒng)的重點(diǎn)。
“信息化是大趨勢(shì),網(wǎng)絡(luò)安全和信息化密切相關(guān)。”清華大學(xué)教授、微電子學(xué)研究所所長(zhǎng)魏少軍指出,網(wǎng)絡(luò)安全是信息化或者說(shuō)信息基礎(chǔ)設(shè)施當(dāng)中需要解決的基本問(wèn)題。綜合考慮網(wǎng)絡(luò)安全和信息化是一個(gè)非常重要的命題,國(guó)家需要頂層設(shè)計(jì)來(lái)整體統(tǒng)籌考慮。”
大到一個(gè)國(guó)家,小到一個(gè)企業(yè),在做信息安全建設(shè)的時(shí)候都需要做好頂層設(shè)計(jì),統(tǒng)籌考慮問(wèn)題,媒體機(jī)構(gòu)也不例外。
肖國(guó)煜在工作中體會(huì)到:“信息安全并不是從網(wǎng)絡(luò)安全做起的,而應(yīng)該是順應(yīng)整體業(yè)務(wù)發(fā)展的模式和邏輯而建立。信息安全的建設(shè)需要首先做好頂層設(shè)計(jì),想清楚業(yè)務(wù)要求的保護(hù)程度,再據(jù)此從物理層面到組織層面的環(huán)節(jié)設(shè)計(jì)整體運(yùn)營(yíng)架構(gòu)?!?/p>
聊到360在做信息安全的頂層設(shè)計(jì)時(shí),譚曉生沉吟片刻總結(jié)出以下幾點(diǎn):“貫徹一個(gè)核心理念;不忘四個(gè)假設(shè);一流人才是根本?!?/p>
他緊接著向記者進(jìn)行了詳細(xì)的闡述:
360公司副總裁兼首席隱私官譚曉生
第一,核心理念:信息安全的本質(zhì)是“攻”和“防”。所謂“未知攻,焉知防?”想要做好防護(hù),必須首先全方位地了解攻擊。在建立防御系統(tǒng)的時(shí)候,要知道別人會(huì)以怎樣的方式、途徑、利用那些漏洞來(lái)進(jìn)行攻擊,才能更有針對(duì)性地做防御系統(tǒng)。這四個(gè)假設(shè)對(duì)做信息安全的人員來(lái)說(shuō)稱得上是“噩夢(mèng)”一般的假設(shè),因?yàn)樗鼈円馕吨鴽](méi)有一個(gè)架構(gòu)、一個(gè)環(huán)節(jié)、一個(gè)人是絕對(duì)牢固、可信任的。但在真正面臨信息安全危機(jī)的時(shí)刻,在這四個(gè)假設(shè)的指導(dǎo)之下抽絲剝繭、層層排除,才能準(zhǔn)確地找到問(wèn)題的癥結(jié)所在。
第二,四個(gè)假設(shè)。
1,假設(shè)使用的系統(tǒng)一定存在沒(méi)有被發(fā)現(xiàn)的漏洞;
2.假設(shè)已經(jīng)發(fā)現(xiàn)的漏洞,會(huì)因?yàn)楦鞣N原因未能被修補(bǔ);
3.假設(shè)系統(tǒng)今天已經(jīng)被人滲透了;
4.假設(shè)員工是不可靠的。
第三,一流人才是根本。所有“攻”和“防”都需要人,技高一籌,即為勝者,任何公司、機(jī)構(gòu)都需要尋找、培養(yǎng)和留住一流的高手。
中間為阿里巴巴集團(tuán)首席技術(shù)官王堅(jiān)
在2014年1月發(fā)布的《阿里云安全白皮書V1.2》對(duì)阿里云的信息安全團(tuán)隊(duì)進(jìn)行了比較詳細(xì)的闡釋。
阿里云全職信息安全團(tuán)隊(duì)由超過(guò)50名的WEB應(yīng)用安全、系統(tǒng)和網(wǎng)絡(luò)安全、安全開發(fā)專家組成。這個(gè)團(tuán)隊(duì)負(fù)責(zé)設(shè)計(jì)、開發(fā)和運(yùn)營(yíng)基于阿里云云計(jì)算環(huán)境的云安全服務(wù)(云盾);防御各類對(duì)阿里云服務(wù)、系統(tǒng)和網(wǎng)絡(luò)的安全攻擊及入侵;制定和監(jiān)督云服務(wù)的安全開發(fā)流程。同時(shí)作為阿里云信息安全管理體系所有者代表方在安全策略和流程方面的設(shè)計(jì)、歸檔和執(zhí)行中扮演重要角色。
(1)設(shè)計(jì)、開發(fā)和運(yùn)營(yíng)采用云計(jì)算架構(gòu)和技術(shù)的云安全服務(wù)(云盾),對(duì)使用阿里云云服務(wù)的各類網(wǎng)站和應(yīng)用,提供全自動(dòng)防攻擊和入侵的安全服務(wù),例如防DDoS、防入侵、以及網(wǎng)站安全檢測(cè);
(2)依據(jù)不同數(shù)據(jù)類別及其安全等級(jí)設(shè)計(jì)訪問(wèn)控制策略,制定技術(shù)隔離措施和訪問(wèn)控制管理流程;
(3)依據(jù)代碼、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)訪問(wèn)流程,審核訪問(wèn)申請(qǐng),自動(dòng)化監(jiān)控可疑活動(dòng)(例如:數(shù)據(jù)的非授權(quán)訪問(wèn)及修改)并實(shí)時(shí)審計(jì);定期復(fù)查其執(zhí)行情況;
(4)制定安全開發(fā)流程,并依據(jù)數(shù)據(jù)安全級(jí)別界定所有云服務(wù)的各環(huán)節(jié)安全開發(fā)要求,通過(guò)配置管理系統(tǒng)保證各開發(fā)環(huán)節(jié)遵循其對(duì)應(yīng)的安全要求,并在上線前完成安全加固、通過(guò)安全審核;
(5)借助自動(dòng)化運(yùn)行在阿里云網(wǎng)絡(luò)內(nèi)部和外部的漏洞掃描程序,及時(shí)發(fā)現(xiàn)問(wèn)題區(qū)域,并在預(yù)期的時(shí)間表內(nèi)整治安全漏洞。
(6)遵循信息安全事件管理標(biāo)準(zhǔn)要求,依據(jù)對(duì)數(shù)據(jù)安全性的危害程度定義安全事件類別和響應(yīng)流程,采用全天候系統(tǒng)和人工監(jiān)控識(shí)別、分析和處理信息安全事件;
(7)基于預(yù)防和糾正云安全威脅根本成因來(lái)制定所有安全策略和控制措施;
(8)采用不斷演練的方式評(píng)估安全策略和控制措施的適用性,并及時(shí)更新;
(9)遵照阿里云安全策略,為員工開發(fā)和提供培訓(xùn)課程,包括個(gè)人信息保護(hù)、數(shù)據(jù)安全認(rèn)證和安全開發(fā)領(lǐng)域;
(10)通過(guò)第三方安全論壇接受外部安全專家的安全評(píng)估和建議。
可見,一支健全強(qiáng)有力技術(shù)團(tuán)隊(duì)是信息安全建設(shè)的基礎(chǔ)和保障。信息安全團(tuán)隊(duì)所擔(dān)任的不只是在災(zāi)難發(fā)生后救急的“滅火器”角色,更是在問(wèn)題發(fā)生前防微杜漸、毫不松懈的“濾水器”。
“今天傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品提供商仍然在致力于逐門逐戶的推廣安全加固的‘井蓋和井水凈化劑’,安全產(chǎn)品防御容量也從‘企業(yè)級(jí)’走向了‘電信級(jí)’。當(dāng)很多單位和企業(yè)其業(yè)務(wù)互聯(lián)網(wǎng)后面對(duì)用戶不可預(yù)知的攻擊動(dòng)機(jī)所引發(fā)的“現(xiàn)象級(jí)’安全保障挑戰(zhàn)時(shí),其在信息安全建設(shè)方面曾經(jīng)經(jīng)歷的‘堆產(chǎn)品、上服務(wù)、組團(tuán)隊(duì)’等安全歷程后、仍未能幫助解決‘攻擊難預(yù)測(cè)、服務(wù)響應(yīng)慢、安全人才一將難求’等方面的安全問(wèn)題。究其原因是對(duì)于‘現(xiàn)象級(jí)’安全保障挑戰(zhàn),未能具備安全攻擊自動(dòng)響應(yīng)、彈性防御的能力,從而無(wú)法保證安全防御能力不被海量用戶的差異化訪問(wèn)而稀釋。”王堅(jiān)對(duì)記者說(shuō)道。
在2014年1月發(fā)布的《阿里云安全白皮書V1.2》對(duì)阿里云的信息安全團(tuán)隊(duì)進(jìn)行了比較詳細(xì)的闡釋。
“信息流動(dòng)更加便利”是互聯(lián)網(wǎng)帶給這個(gè)時(shí)代的紅利,但同時(shí)也產(chǎn)生了一些問(wèn)題,其一就是人們?cè)诨ヂ?lián)網(wǎng)上發(fā)布的信息是不可能真正意義上“被撤回”的。我們?cè)诟臃奖憧旖莸孬@取所需信息的同時(shí),也一定會(huì)付出個(gè)人信息更加難以保護(hù)的代價(jià)。即使在未來(lái)有了法律的保護(hù),我們也生活在一個(gè)越來(lái)越透明化的時(shí)代。
然而,人們對(duì)于信息安全重視程度仍然處于嚴(yán)重不足的狀態(tài)。我們的信息、資產(chǎn)越來(lái)越數(shù)字化,比如工廠的設(shè)計(jì)圖紙、公司的合同等,社會(huì)經(jīng)濟(jì)越來(lái)越數(shù)字化,比如工業(yè)系統(tǒng)的自動(dòng)化控制等,與此同時(shí),必須提高人們對(duì)于信息安全的重視。你可能無(wú)法想象,一只保存了26份機(jī)密文件的U盤,只是在非涉密的電腦上插了一下,這26份機(jī)密文件就悉數(shù)顯示在了其他國(guó)家情報(bào)部門的屏幕上,然而,這些“駭人聽聞”的事件是真實(shí)存在并在這個(gè)世界的每個(gè)角落隨時(shí)上演的。
因而,媒體想要做好信息安全建設(shè),必須從每位員工入手,提高其信息安全意識(shí),培養(yǎng)企業(yè)的信息安全文化。
對(duì)此,譚曉生對(duì)記者分享了他的經(jīng)驗(yàn):“那時(shí)是2010年,我剛剛接手信息安全這方面的工作,立即對(duì)當(dāng)時(shí)的公司高管們進(jìn)行了一次‘滲透測(cè)試’。自此之后的四年里,我在信息安全方面的任何動(dòng)作都沒(méi)有遇到任何高管的反對(duì)。”譚曉生笑著說(shuō)道:“當(dāng)你想要阻止人們的某種行為時(shí),最好的方法是讓他們看到這么做的嚴(yán)重性。用事實(shí)告訴他們‘信息安全事件隨時(shí)都有可能在你身上發(fā)生,并且造成實(shí)實(shí)在在的損失’?!?/p>
誠(chéng)然,信息安全無(wú)處不在。大到國(guó)家機(jī)密,小到郵箱密碼,國(guó)計(jì)民生,各行各業(yè),無(wú)所不包。與之相隨的,是無(wú)孔不入、防不勝防的信息安全事件。2014年已經(jīng)過(guò)去了將近一半?;仡櫳习肽甑腎T圈不難發(fā)現(xiàn),涉及互聯(lián)網(wǎng)安全的討論愈加熱烈。從Windows XP系統(tǒng)停止服務(wù)致2億用戶“裸奔”,到小米攜程用戶信息泄露,抑或是全球互聯(lián)網(wǎng)通行的安全協(xié)議OpenSSL到免費(fèi)WIFI的安全隱患。無(wú)論是互聯(lián)網(wǎng)還是移動(dòng)端,涉及信息安全的問(wèn)題頻出,網(wǎng)民對(duì)安全上網(wǎng)的呼聲越來(lái)越高。
媒體作為國(guó)民社會(huì)生活中不容忽視的一部分,其信息安全不僅關(guān)系到媒體自身的建設(shè)發(fā)展,還影響著社會(huì)的長(zhǎng)治久安?;ヂ?lián)網(wǎng)信息安全這條“隱形戰(zhàn)線“,雖然看不見、摸不著,卻是媒體邁入互聯(lián)網(wǎng)時(shí)代的重要堡壘,需要實(shí)打?qū)嵉亍⒁徊揭粋€(gè)腳印地建設(shè)。從現(xiàn)在開始,還為時(shí)不晚。