“互聯(lián)網(wǎng)+”遭遇安全挑戰(zhàn)
“什么互聯(lián)網(wǎng)+、工業(yè)4.0、大數(shù)據(jù)……都頂不住傳統(tǒng)行業(yè)一鏟子!”
5月27日,因杭州市政道路建設(shè)導(dǎo)致網(wǎng)絡(luò)光纜被挖斷,支付寶一度出現(xiàn)無法正常使用的情況,耗時(shí)兩個(gè)小時(shí)才逐漸恢復(fù)正常。
這一事件的發(fā)生,在招來大量網(wǎng)友調(diào)侃之余,也引發(fā)了更深層次的思考:現(xiàn)如今,當(dāng)互聯(lián)網(wǎng)深刻影響人們正常生活的背景下,我們究竟面臨著哪些挑戰(zhàn),需要怎樣的信息安全保障?
當(dāng)“互聯(lián)網(wǎng)+”上升為國(guó)家戰(zhàn)略之時(shí),當(dāng)眾多傳統(tǒng)企業(yè)發(fā)力實(shí)施向“互聯(lián)網(wǎng)+”轉(zhuǎn)型之際,這著實(shí)是一個(gè)需要認(rèn)真對(duì)待的問題。
異地多活發(fā)揮關(guān)鍵作用
此次支付寶受到光纜被挖斷影響后,阿里巴巴采取的“異地多活”系統(tǒng)架構(gòu),無意之間火了一把。
當(dāng)我們?cè)俅螌⒛抗饩劢勾舜问录蠒r(shí),可以發(fā)現(xiàn)一個(gè)值得回味的現(xiàn)象:被挖斷的光纜,耗時(shí)4個(gè)多小時(shí)才被修好,而支付寶的服務(wù),僅兩個(gè)小時(shí)就恢復(fù)了正常。
這意味著,支付寶的相關(guān)服務(wù),能夠在一定程度上抵御網(wǎng)絡(luò)信號(hào)在物理傳輸上的中斷。
支付寶在其聲明中指出,支付寶的異地多活系統(tǒng)架構(gòu)在此次意外中發(fā)揮了巨大作用,沒有因光纜被挖斷而影響全部用戶,并且緊急將故障機(jī)房的流量切換至了其他機(jī)房。
“為了應(yīng)對(duì)故障的發(fā)生,很多企業(yè)都會(huì)進(jìn)行容災(zāi)備份(以下簡(jiǎn)稱“災(zāi)備”)。傳統(tǒng)意義上的災(zāi)備,只是為了保證數(shù)據(jù)不會(huì)丟失,但這種觀點(diǎn)已經(jīng)過時(shí)了。”阿里安全部技術(shù)副總裁杜躍進(jìn)說。
杜躍進(jìn)告訴法治周末記者,按照傳統(tǒng)災(zāi)備的定義,只是對(duì)相關(guān)的數(shù)據(jù)多了一份存檔,卻并未考慮第一時(shí)間恢復(fù)相關(guān)服務(wù);但是,從發(fā)生問題到解決問題的很長(zhǎng)時(shí)間內(nèi),即便數(shù)據(jù)沒有丟失,也會(huì)因?yàn)榉?wù)無法開展而對(duì)用戶造成很大的影響,甚至損失。
法治周末記者了解到,所謂異地多活的系統(tǒng)架構(gòu),其特點(diǎn)就是在不同地點(diǎn)的數(shù)據(jù)中心都可以同時(shí)支持業(yè)務(wù),而且每個(gè)地點(diǎn)發(fā)生的交易都是真實(shí)業(yè)務(wù)流量。
“傳統(tǒng)災(zāi)備中的備份系統(tǒng),都不處于真實(shí)的交易活動(dòng)狀態(tài),所以很難判斷它的狀態(tài)到底怎么樣,在出現(xiàn)問題時(shí),都不一定敢切過去。”一位安全行業(yè)人士介紹說。
而在異地多活系統(tǒng)中,不同數(shù)據(jù)中心之間是能夠自由切換的,如果一個(gè)數(shù)據(jù)中心受到影響而無法正常工作,完全可以切換到其他不受影響的數(shù)據(jù)中心繼續(xù)提供服務(wù)。
杜躍進(jìn)認(rèn)為,異地多活系統(tǒng)就是為了應(yīng)對(duì)自然、地質(zhì)災(zāi)害等物理?yè)p害,即便某些數(shù)據(jù)中心遭遇通信、供電系統(tǒng)被切斷,也能夠保證相關(guān)服務(wù)的正常開展;而且,這種異地多活系統(tǒng),在技術(shù)上可以做到無縫銜接、甚至讓用戶感受不到異樣。
而此次支付寶在系統(tǒng)切換上耗費(fèi)了兩個(gè)小時(shí),據(jù)支付寶方面透露,原因在于支付寶作為一個(gè)金融系統(tǒng),對(duì)切換中數(shù)據(jù)與資金安全性的要求極高,因此切換速度上沒有做到更快;今后支付寶也會(huì)不斷提升切換速度。
杜躍進(jìn)向法治周末記者介紹,淘寶也曾受到過此類通信光纜被挖的影響,不過淘寶用戶就基本沒有感覺到服務(wù)的異常,同樣也是異地多活系統(tǒng)的功勞,實(shí)現(xiàn)了在淘寶上幾乎無縫切換,“這種異地多活系統(tǒng),除了阿里之外,目前全球也就Google和Facebook可以實(shí)現(xiàn)”。
“光纜被挖斷可能并不能完全杜絕,但對(duì)于支付寶而言,會(huì)繼續(xù)推進(jìn)技術(shù)的升級(jí)改造,繼續(xù)完善異地多活的系統(tǒng)架構(gòu)。未來,即使再次出現(xiàn)光纜被挖斷等意外情況,我們進(jìn)行異地切換時(shí),也盡量做到讓用戶最小感知甚至無感知。”支付寶在其聲明中表示。
注意“監(jiān)視”與“控制”問題
正如網(wǎng)民所調(diào)侃的那樣,作為我國(guó)最大的互聯(lián)網(wǎng)上市企業(yè),阿里巴巴在遇到類似光纜被挖斷的事件時(shí),也難免受到安全性的影響。
而在支付寶所遇到的問題發(fā)生后不久,攜程網(wǎng)、招商證券系統(tǒng)都遭遇了系統(tǒng)故障,大面積服務(wù)的癱瘓,讓人們因網(wǎng)絡(luò)安全而緊張的情緒,再一次繃緊。
接二連三的信息安全事件發(fā)生,不禁讓人疑慮:當(dāng)“互聯(lián)網(wǎng)+”戰(zhàn)略在全國(guó)各行各業(yè)內(nèi)如火如荼地開展時(shí),并不擁有頂尖網(wǎng)絡(luò)技術(shù)的傳統(tǒng)企業(yè),會(huì)遇到類似的挑戰(zhàn)么?
中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部副主任落紅衛(wèi)認(rèn)為,首先應(yīng)當(dāng)明確的是信息安全界定,對(duì)于信息安全的理解,更多時(shí)候都要放在特定的情境之中。
“狹義地來看,信息安全特指信息內(nèi)容本身的安全性;而廣義地來看,信息安全也包括網(wǎng)絡(luò)安全,例如信息基礎(chǔ)設(shè)施的安全。比如此次支付寶因光纜被挖斷而無法正常使用的情況,從廣義上來看是信息安全問題。”落紅衛(wèi)說。
落紅衛(wèi)認(rèn)為,對(duì)于工業(yè)控制的傳統(tǒng)企業(yè)而言,防范信息安全,需要注意兩個(gè)層面:“一個(gè)是‘監(jiān)視’,另一個(gè)是‘控制’,合起來就是通常所說的‘監(jiān)控’。”
落紅衛(wèi)介紹,在監(jiān)視層面,主要會(huì)影響到機(jī)密性,例如相關(guān)數(shù)據(jù)信息的泄露,但這并不是最令人擔(dān)憂的問題。
“對(duì)于傳統(tǒng)企業(yè)而言,特別是工業(yè)領(lǐng)域,最可怕的威脅來自于控制層面的安全問題。”落紅衛(wèi)說,“控制層面的安全,會(huì)影響到企業(yè)經(jīng)營(yíng)、生產(chǎn)的完整性、可用性,比如通過控制層面修改某些生產(chǎn)環(huán)節(jié)至關(guān)重要的參數(shù),引發(fā)的后果將不堪設(shè)想。”
作為安全廠商,啟明星辰首席戰(zhàn)略官潘柱廷提出,當(dāng)“互聯(lián)網(wǎng)+”遇到安全問題時(shí),就不是加法的關(guān)系了,而是一個(gè)乘法的關(guān)系:“如果企業(yè)在安全防范上做得不好,就會(huì)給我們現(xiàn)有的業(yè)務(wù)進(jìn)行一次乘法:安全系數(shù)如果是零點(diǎn)幾,就會(huì)讓這家企業(yè)的業(yè)務(wù)大量萎縮;而如果安全系數(shù)是一個(gè)負(fù)數(shù),那么企業(yè)此前大量積累的業(yè)務(wù)、數(shù)據(jù),甚至可能變成一種災(zāi)害。”
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副處長(zhǎng)李佳也認(rèn)為,在“互聯(lián)網(wǎng)+”的大背景下,數(shù)據(jù)是企業(yè)的核心資產(chǎn),但也是網(wǎng)絡(luò)攻擊的首要目標(biāo)。傳統(tǒng)企業(yè)面臨轉(zhuǎn)型時(shí),在網(wǎng)站或APP應(yīng)用上的開發(fā)經(jīng)驗(yàn)不足,安全意識(shí)和水平不夠,網(wǎng)站服務(wù)器訪問控制機(jī)制較弱,導(dǎo)致黑客能夠利用系統(tǒng)上的漏洞對(duì)服務(wù)器發(fā)起攻擊,從而輕易獲得服務(wù)器中所有信息,造成數(shù)據(jù)泄露。
“例如,2014年我國(guó)多家知名電商、快遞公司、招聘網(wǎng)站、考試報(bào)名網(wǎng)站等發(fā)生數(shù)據(jù)泄露事件。5月中旬,工業(yè)和信息化部處理了一起某知名手機(jī)廠商論壇數(shù)據(jù)泄露事件,原因是該論壇使用的用戶管理模塊存在漏洞,導(dǎo)致包括賬號(hào)、密碼和社交賬號(hào)等800萬條用戶信息泄露。”李佳告訴法治周末記者。
面對(duì)這樣的挑戰(zhàn),李佳建議,網(wǎng)絡(luò)安全防范工作是一個(gè)系統(tǒng)、復(fù)雜的工程,需要將技術(shù)與管理兩方面結(jié)合起來進(jìn)行綜合、全面的規(guī)劃和設(shè)計(jì)。
“在技術(shù)方面,應(yīng)部署身份認(rèn)證、訪問控制、入侵檢測(cè)、防火墻、日志審計(jì)、容災(zāi)備份等安全保護(hù)措施,并定期對(duì)系統(tǒng)進(jìn)行漏洞掃描等安全性檢測(cè)。在管理方面,一是要加強(qiáng)對(duì)內(nèi)部工作人員網(wǎng)絡(luò)安全意識(shí)的教育和管理,二是要有針對(duì)性的制定各種規(guī)章制度。”李佳說。
照搬安全系統(tǒng)并不可行
面對(duì)新形勢(shì)下的信息安全問題,眾多轉(zhuǎn)型“互聯(lián)網(wǎng)+”的企業(yè),尋求通過外界的幫助,來構(gòu)建一整套安全系統(tǒng)。大量的市場(chǎng)需求,也帶動(dòng)了企業(yè)級(jí)系統(tǒng)安全廠商的發(fā)展。
在6月1日啟動(dòng)的第二屆國(guó)家網(wǎng)絡(luò)安全宣傳周上,法治周末記者看到,諸如阿里巴巴、騰訊、360、啟明星辰等公司紛紛搭臺(tái),展示了面向企業(yè)用戶的安全解決方案。
然而,在中科院信息工程研究所高級(jí)工程師仇新梁看來,盡管有著外部安全廠商專門解決企業(yè)遇到的信息安全難題,但實(shí)際上,問題的根源還是要從企業(yè)內(nèi)部挖起。
“向‘互聯(lián)網(wǎng)+’轉(zhuǎn)型的傳統(tǒng)企業(yè),實(shí)際上都是看中了互聯(lián)網(wǎng)能夠帶來的成本降低以及效率、服務(wù)質(zhì)量的提升。但是,這些企業(yè)很多都沒有從意識(shí)中建立信息安全的觀念,就上馬‘互聯(lián)網(wǎng)+’戰(zhàn)略,進(jìn)而導(dǎo)致信息安全問題十分突出。”仇新梁說。
仇新梁提醒,“互聯(lián)網(wǎng)+”只是一種轉(zhuǎn)型,并不會(huì)創(chuàng)造很多新的問題,只不過是一些此前從未遇到過此類問題的企業(yè),在面臨這些問題時(shí)應(yīng)當(dāng)如何應(yīng)對(duì)。
“即便有安全廠商能夠提供安全服務(wù),一家企業(yè)也應(yīng)當(dāng)做好自身內(nèi)部安全保障機(jī)制和措施的建設(shè)。”仇新梁說。
杜躍進(jìn)強(qiáng)調(diào),目前最大的問題,實(shí)際上是傳統(tǒng)企業(yè)并不真正重視互聯(lián)網(wǎng)中的安全問題:“表面上看大家都很重視信息安全問題、天天都在講信息安全,也有很大的投入,但要是沒搞明白新環(huán)境下的安全究竟應(yīng)當(dāng)如何保護(hù)的話,這些投入再大都是沒有意義的。”
杜躍進(jìn)認(rèn)為,“互聯(lián)網(wǎng)+”的背景使得傳統(tǒng)生產(chǎn)模式互聯(lián)網(wǎng)化、線上線下領(lǐng)域疊加、環(huán)節(jié)越來越多、相關(guān)服務(wù)的快速迭代等情況出現(xiàn),讓很多安全問題本身復(fù)雜化了。
“僅僅靠一套系統(tǒng)、單點(diǎn)進(jìn)行安全保護(hù),對(duì)于當(dāng)下的環(huán)境而言,是遠(yuǎn)遠(yuǎn)不夠的。”杜躍進(jìn)說,“我們需要一整套生態(tài)系統(tǒng)、一整套鏈條來保障‘互聯(lián)網(wǎng)+’時(shí)代背景下的信息安全,而不僅僅是照搬一套安全系統(tǒng)、架構(gòu)來使用的問題。”
“安全問題”成不正當(dāng)競(jìng)爭(zhēng)新手段
傳統(tǒng)企業(yè)在向“互聯(lián)網(wǎng)+”轉(zhuǎn)型時(shí)應(yīng)當(dāng)提升對(duì)信息安全的認(rèn)識(shí)、真正理解新時(shí)代所面臨的問題與挑戰(zhàn),落紅衛(wèi)也提醒,企業(yè)在做好自身安全防范的同時(shí),也要量力而行,考慮在安全領(lǐng)域上的投入、產(chǎn)出性價(jià)比。
“首先要明確的是,網(wǎng)絡(luò)世界中并沒有絕對(duì)的安全。要是一家企業(yè)想把信息安全做到極致,投入可能是十分巨大的,這實(shí)際上會(huì)造成資源的浪費(fèi)。”落紅衛(wèi)指出。
落紅衛(wèi)建議,企業(yè)在考慮如何保障“互聯(lián)網(wǎng)+”轉(zhuǎn)型過程中的信息安全,要充分評(píng)估保護(hù)對(duì)象的社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值,相關(guān)投入一定要和自身的價(jià)值、重要性相匹配,找到最具性價(jià)比的做法,讓安全措施在最大限度內(nèi)發(fā)揮有效作用即可。
另外,仇新梁還提到,傳統(tǒng)企業(yè)在實(shí)施“互聯(lián)網(wǎng)+”戰(zhàn)略過程中,也要提防傳統(tǒng)行業(yè)之間的競(jìng)爭(zhēng)延伸到互聯(lián)網(wǎng)上,利用安全問題來做不正當(dāng)競(jìng)爭(zhēng)的文章。
“由于安全的重要性,一家企業(yè)在遭遇安全事件時(shí),往往會(huì)對(duì)企業(yè)的聲譽(yù)產(chǎn)生極大的負(fù)面影響,也會(huì)讓企業(yè)未來的‘互聯(lián)網(wǎng)+’之路舉步維艱。”仇新梁說,“現(xiàn)實(shí)中,利用網(wǎng)絡(luò)攻擊制造安全事件,并通過輿論施壓、抹黑競(jìng)爭(zhēng)對(duì)手的情況不在少數(shù)。”
而這些情況一旦發(fā)生,對(duì)于上市企業(yè)而言,很有可能被做空勢(shì)力利用,進(jìn)而造成股價(jià)下跌等一系列后果。
“也有一些網(wǎng)站以曝光企業(yè)系統(tǒng)中的漏洞為由,尋求企業(yè)‘贊助’,這種現(xiàn)象也值得關(guān)注。”仇新梁指出。
李佳認(rèn)為,隨著“互聯(lián)網(wǎng)+”戰(zhàn)略的實(shí)施,我國(guó)迫切需要在以下方面制定政策或法律:“一是出臺(tái)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略,加強(qiáng)網(wǎng)絡(luò)安全頂層設(shè)計(jì);二是制定關(guān)鍵信息基礎(chǔ)設(shè)施產(chǎn)品與服務(wù)安全審查制度,加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù);三是制定個(gè)人信息保護(hù)、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)安全行為準(zhǔn)則等法律法規(guī),治理互聯(lián)網(wǎng)惡意競(jìng)爭(zhēng)、凈化網(wǎng)絡(luò)環(huán)境。”