QQ號碼被盜、淘寶賬號支付異常、電腦運行速度變慢……當個人計算機出現(xiàn)問題時,很多人普遍通過升級防火墻、啟動殺毒軟件等手段加強防御。同樣地,企業(yè)級用戶面對網站被黑、重要數據泄露等信息安全事件,通常也會將防火墻等網絡層安全產品列為首先要考慮的問題,基于網絡層加強防御的傳統(tǒng)思想在大部分用戶群體中已然根深蒂固。
上月中旬,以色列相關官員透露,自以色列對加沙地區(qū)采取軍事行動以來,互聯(lián)網已成為“第二前線”。在短短四天的時間里,以色列政府機構網站遭受的網絡攻擊數量約為4400萬次,引起了媒體的廣泛關注和報道,信息安全問題再次被推到了風口浪尖?;仡櫞饲氨l(fā)的國內外安全事件,使從事信息安全事業(yè)的人們不得不思考:我們的信息安全防線究竟出了什么問題?
信息安全廠商椒圖科技常務副總經理李科在接受媒體采訪時曾指出,信息安全建設是一項多層次、體系化的系統(tǒng)工程,傳統(tǒng)“重網絡輕系統(tǒng)”的安全理念,無形中降低了整體的信息安全水平。造成這種危險局面的原因,一方面,是因為很多企業(yè)在信息安全建設中沒有政策合規(guī)性要求,難以主動地從物理層、網絡層、操作系統(tǒng)層等多個方面提升信息安全等級;另一方面,目前企業(yè)信息系統(tǒng)大多采用通用操作系統(tǒng),安全級別較低,無法抵抗黑客與信息炸彈的攻擊,加之用戶對操作系統(tǒng)防護的認知不足,很多安全問題雖然是由現(xiàn)有操作系統(tǒng)自身安全設計不健全和漏洞引起的,但用戶往往會認為是網絡層的原因,導致之后實施的信息安全措施缺乏針對性。
事實上也是如此,在過去的十幾年里,防火墻、入侵檢測、防病毒等傳統(tǒng)“老三樣”產品不斷推陳出新,在政府、金融、電信、企業(yè)等各行業(yè)獲得了廣泛的應用,有效增強了用戶信息系統(tǒng)的安全防護能力。與此形成鮮明反差的是,操作系統(tǒng)層的防護措施仍然是以打補丁、配置策略等手工方式為主,成為整體信息安全體系中的薄弱環(huán)節(jié)。一項全國測試數據顯示,參與測試的IT系統(tǒng)在網絡層、應用層等方面都有成熟的產品進行防御,主機層防護措施的狀況卻令人擔擾,是在達標性方面表現(xiàn)最差的環(huán)節(jié)。
“多層次防護最終的目的是保證業(yè)務系統(tǒng)連續(xù)性和數據安全性,而業(yè)務系統(tǒng)和數據的構架都基于操作系統(tǒng)。”椒圖科技常務副總經理李科表示,從保護數據和進程的角度上看,基于網絡層構建的安全防護措施發(fā)揮的作用是有限的。
信息安全專家陸寶華也曾撰文指出,“保護網絡并不是信息保障的最終目的,最終的目的還是要通過保護網絡來保護信息系統(tǒng)中的數據和信息系統(tǒng)的服務功能。所以保護網絡對信息系統(tǒng)安全目標來說還是間接的,同時在網絡保護中仍然存在著無法避免的脆弱性。”他同時表示,操作系統(tǒng)安全在信息系統(tǒng)多個層面中更為重要,是信息安全等級保護的關鍵技術所在。
記者相信,隨著我國信息安全等級保護工作的深入推進與用戶安全意識的不斷增強,“重網絡輕系統(tǒng)”的信息安全理念將會得以扭轉,而信息安全廠商、科研院所等機構在操作系統(tǒng)安全領域的積極探索和研發(fā)工作,也將為用戶提供更多更成熟的操作系統(tǒng)安全產品與技術,構建出多層次的信息安全防護體系,確保國內信息系統(tǒng)在安全風險持續(xù)增加的網絡環(huán)境中安全運行。