隨著互聯(lián)網(wǎng)的迅速發(fā)展,網(wǎng)絡技術(shù)日新月異,前有虛擬化技術(shù),后有移動互聯(lián)、云計算應用的爆炸性增長,這一切在很大程度上加速推動了IT基礎架構(gòu)的融合,同時也對網(wǎng)絡信息的安全威脅環(huán)境提出了更為嚴峻的挑戰(zhàn),使得整個信息安全防護體系的構(gòu)建重心向整個IT體系架構(gòu)的協(xié)防轉(zhuǎn)變。
在這樣的背景下,5月10日,第十三屆中國信息安全大會在北京國際會議中心召開,主題是“構(gòu)建安全生態(tài)系統(tǒng)——新一代信息安全防護”,會議期間,業(yè)內(nèi)權(quán)威專家、國內(nèi)外知名企業(yè)代表以及重點行業(yè)用戶CIO圍繞全新IT環(huán)境給信息安全防護體系建設帶來的挑戰(zhàn)及應對策略進行了深入探討,為業(yè)界帶來了新的技術(shù)與聲音,一起來看一下。
變被動為主動
與以往不同,本屆大會不再以終端被動安防技術(shù)研討為主,而是集中在未知病毒主動預警技術(shù)的探討上。
首先國家網(wǎng)絡信息安全技術(shù)研究所所長杜躍進做了這樣一個形象的比喻,“APT是什么?我打一個簡單的比喻,不怕賊偷就怕賊惦記,APT本質(zhì)就是你被惦記上,一般黑客都是順手牽羊,被惦記上了黑客就會盯著你打盹的機會,老沒有機會就會找很多方法不斷的嘗試,如果實在有興趣的可能會持續(xù)很多年一直想辦法,可能構(gòu)建一些場景讓你入套。解決這些問題需要時間緯度的分析能力和空間緯度的分析能力,社會工程學利用其他外圍資源,現(xiàn)在很多APT入手不直接從最主要目標,是從旁邊繞過來。”
而要想不被賊惦記,就需要變被動為主動,正如電腦管家高級產(chǎn)品總監(jiān)陳起儒在發(fā)言中提到的,面對花樣百出的病毒入侵,以及安全防護“敵明我暗”的防護特點,“毒來我防”的傳統(tǒng)防護形式已遠遠不能適應新形勢下安防需要。唯有從源頭入手,加強防接觸、防入侵、抓潛伏、防爆發(fā)等四個層面安防力度,才能為用戶打造安全、值得信賴的電腦空間。
Phone起“云”涌
“Phone起‘云’涌話安全”是藍盾技術(shù)服務總監(jiān)楊育斌的主題演講題目,里面很形象地包含了移動互聯(lián)安全與云計算安全這兩個目前最熱的信息安全領域。而BYOD是他講到的第一個關(guān)鍵詞,在會上也不止一次被提到。
BYOD,是Bring Your Own Device(工作中使用自己的設備)的縮寫,作為個人計算設備從通用化、標準化走向個性化、移動化的一個必然趨勢,也是商用IT領域日漸升溫的一個概念,無庸置疑,IT消費化是未來的一個必然趨勢,未來工作和生活之間的界限將會越來越模糊,作為工具的計算設備也將逐漸統(tǒng)一化,而由于移動設備所具備的承載工作和私人信息平臺、易被盜取的特點,使得智能終端成為企業(yè)數(shù)據(jù)泄露的新來源。而且事實也的確如此,研究表明,目前移動惡意軟件加速增長93%,安全的世界正在變得更加兇險。
而這對于企業(yè)的信息主管部門來說,將是一個很大的挑戰(zhàn)。如何管理這些千差萬別的設備、如何規(guī)避由此帶來的安全和數(shù)據(jù)風險、如何保證業(yè)務和管理系統(tǒng)在多種設備上的兼容和正常運行,將是必須要考慮和面對的問題,對于企業(yè)用戶來說,要想為新的全面互聯(lián)的工作環(huán)境提供真正的保護,需要打破傳統(tǒng)的思維模式,重新思考保護企業(yè)安全的方式。
除了移動互聯(lián)安全外,云計算安全是如今受人關(guān)注的另一個方面,云計算的概念近兩年可以說是熱火朝天,幾乎到了無“云”不歡的地步,但與此同時,云計算帶來的數(shù)據(jù)與應用環(huán)境分離的特點,讓大家紛紛捏了一把汗,總是會對自己數(shù)據(jù)、軟件、服務商、接入渠道等方方面面的安全性持懷疑態(tài)度。
在很長時間以來,安全幾乎成為云計算落地的最大障礙,而各個云計算服務和基礎設施提供商,如藍盾、漢柏、H3C等都根據(jù)自己的建設方案和擅長要點出發(fā),提出了相應的解決方案,俗話說,“三個臭皮匠,賽過諸葛亮”,而眾多專業(yè)廠商的努力相信可以幫助用戶解決入云的安全風險,為大家提供相對安全的數(shù)據(jù)中心建設。
信息安全,任重而道遠
中國信息安全大會的舉辦,體現(xiàn)了信息安全產(chǎn)業(yè)成長、成熟的過程,但毫不避諱地說,中國的信息安全產(chǎn)業(yè)與國外相比,差距甚遠,在國家網(wǎng)絡信息安全技術(shù)研究所所長杜躍進的主題演講中提到這樣一個結(jié)論,據(jù)國外獨立研究的結(jié)果顯示,“中國的網(wǎng)絡攻擊能力與其經(jīng)濟大國的地位不相稱,能力偏低”,而且我國的安全產(chǎn)業(yè)過于弱小,而造成這種局面的最大根源之一,則是用戶的安全意識薄弱,以及政府部門安全意識缺乏,將網(wǎng)絡安全僅僅停留在口號上。
而信息安全領域要想真正發(fā)展,仍然需要政府、安全公司、網(wǎng)站以及用戶的通力合作才能夠?qū)崿F(xiàn),首先政府理應起到立法、監(jiān)管、懲戒的職能,為信息安全產(chǎn)業(yè)提供一個良好的生態(tài)環(huán)境,安全公司則要做好安全安全技術(shù)支持與第三方監(jiān)督的工作,而網(wǎng)站必須采取安全措施,提升管理水平,承擔起妥善保管用戶數(shù)據(jù)的責任。
隨著技術(shù)的進步加速推動IT基礎架構(gòu)的融合,信息安全防護體系的構(gòu)建重心將由此轉(zhuǎn)向整個IT體系架構(gòu)的協(xié)防,信息安全也因此成為整個IT業(yè)界集體關(guān)注的課題,我們有理由相信,信息安全產(chǎn)業(yè)將由此迎來一個全新的發(fā)展時期。