大数据网络时代的信息安全变革

　　2015年04月29日上午，主题为“海量数据 智得安全”的2015中国IT安全可靠体系建设研讨会在北京隆重召开。在新形势新常态下，信息安全的问题日渐突出，本次会议着眼于信息安全研讨。会议得到工业和信息化部软件服务业司、工业和信息化部电子信息司和国家安全密码管理局的支持，来自得安信息技术有限公司、中国建设银行、中国农业发展银行、中国邮政储蓄银行以及中国国家税务总局等企业的代表共计200余人参会。

　　跨界融合成新常态

　　正在兴起的“互联网+”的概念加快了跨界深度的融合，从以互联网为代表的新一代信息技术及其产业和服务的角度来看，“互联网+”出租车行业和交通行业——打车软件应运而生。在人们日常的出行中经常会遇到需要打车的情况，打车软件的出现为人们提供了方便，乘客通过软件预约出租车，出租车司机也能够通过打车软件更便捷找到乘客，降低空驶率。打车软件在资源优化配置方面做出了很大贡献。

　　“互联网+”金融带来的是金融行业新的活力，孕育了支付宝、余额宝。支付宝交易是互联网发展过程中一个创举，也是电子商务发展的一个里程碑。支付宝品牌以安全、诚信赢得了用户和业界的一致好评。

　　“互联网+”手机制造成就小米手机的辉煌。小米手机完全颠覆了手机制造行业，从设计到生产制造到营销到售后服务到升级换代等各个方面有了全方位的变革。向上游看小米没有一间自己的工厂，但是通过互联网的思维，通过最核心的手机解决方案的设计，它能够优化配置上游最好的元器件零部件和制造商;向下游看小米没有自己的直销店，但是它销售的情况非常疯狂，依托互联网、粉丝模式等不断创造销售奇迹。

　　“互联网+”带来变革的同时也带来潜在的信息安全问题。纵观信息安全的现状，可以说形势依然是严峻的，斯诺登事件、索尼影音公司遭遇的入侵和破坏事件、Heartbleed漏洞，都揭露出现在的安全形势不容乐观。

　　强化安全可控战略

　　随着网络技术和应用的迅速发展，网络空间已成为陆、海、空、天以外的第五疆域。在某种意义上，网络安全影响着甚至决定着其他疆域的安全，全球网络空间军备竞赛的风险不断增加。世界各国都开始重视加强网络战的攻防实力，纷纷组建网络攻击力量，构建各自的“网络威慑”，已经有50多个国家成立了网络部队，其中包括美国、俄罗斯、以色列等，各国仍在进一步扩大网络部队规模。

　　会上，工业和信息化部赛迪智库信息安全研究所刘权所长分享了赛迪智库网络安全研究所第一季度的总结和分析。在移动互联网领域，用户和应用的数量快速增长，带来严重信息安全隐患，移动终端恶意软件数量暴增，《2013中国移动互联网环境治理报告》指出， 2013年，移动互联网恶意程序传播事件1295万余次，比2012年同期增长22倍。据阿里巴巴移动安全报告显示，参与检测的app样本中，近97%的app都存在漏洞问题，且平均漏洞量高达40个。

　　刘权所长指出，我国网络安全系统攻防能力不足，网络空间缺乏战略威慑。产业根基不牢，安全可控战略实现面临困难。我国网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节;重要信息系统和工业控制系统对外依赖严重。目前，13%的重要系统若没有境外技术支持和运维服务，系统就无法正常运行;产品存在“带病上岗”现象，对国外产品缺少安全仿真验证环境。长期“跟随跑”战术已经使得我国的信息安全技术丧失了独立性，技术发展过程中过多地使用“拿来主义”，沦为代工厂。同时我国对各类网络犯罪技术缺乏有效应对。“心脏出血”漏洞以超强破坏力在网络安全业界引发了广泛担忧，从近期一份有关“从应对‘心脏出血’漏洞看各国攻防能力”的研究成果显示，我国在网络空间上的重要资产数量远低于其他国家，但在漏洞修复趋势和危机应急反应能力方面，全球排名仅占第102位，与我国的网络大国地位极不相称。

　　中央网络安全和信息化领导小组的成立，是我国把信息安全提高到国家战略的层面给予高度重视的体现。网络安全已然受到越来越多的关注。一方面网络管理进一步加强的同时，网络安全审查制度将出台;另一方面，包括苹果公司在内的若干全球品牌已被相关部门从政府采购名单中剔除，网络安全和信息化领域的国产化迅速发展。这些都促进了中国的信息安全热潮被掀起。

　　实现服务器自主化突破

　　服务器作为国家政治、经济、信息安全的核心应用，其自主化突破是确保行业信息化应用安全的关键，也是构筑中国信息安全长城不可或缺的基石。如何利用国产化密码系统进行安全加固，确保服务器的自主可控，为金融、电信、能源等对服务器安全性、可扩展性及可靠性要求严苛的行业数据中心和远程的企业环境，建立自主可控的信息产业体系，也是构建新一代信息技术安全的重要方面。

　　在这样的形势下，得安迈出了密码与服务器安全的跨界融合的第一步。作为老牌的商用密码安全核心企业，得安信息技术有限公司载誉而来：其拥有并保持尖端的技术研发能力，先后承担及参与了30多项国家和地方科研项目的研究和产业化任务，其中国家科技部“863”计划项目10项，国家发改委重大安全专项4项，国家火炬计划项目3项，国家科技部“973”计划项目1项，多项产品和技术填补了国内外空白。

　　行业人士曾这样评价得安：“它不仅为行业输出了大量的有前瞻性或者引领行业发展的技术，同时得安公司也堪称是整个密码界或者说它是电子信息服务行业的黄埔机构，为多家4A机构输送很多的人才。”

　　2014年，得安信息技术有限公司和服务器厂商进行合作，开始了跨界探索与大胆创新。据得安董事长邢少敏介绍：“经过研发团队的不懈努力，目前得安产品已在高性能服务器上实现了海量数据的高效加密处理，云端数据的可搜索加密，虚拟化环境下的密码安全的关键技术的创新。”从密码技术到服务器安全是得安构思的大胆尝试与创新，也是得安近20年辉煌的国产密码历程的延续，是得安迈向未来的新篇章。

　　信息安全的可信路径

　　没有网络安全就没有国家安全。在已经走过的2014年，信息安全市场正在逐渐成长，对于网络信息安全问题怎么解决，如何实现本质安全，我们需要从体系架构、体系建设的角度来思考，必须用系统的方法来解决。

　　要解决信息化核心技术设备受制于人的问题，当务之急就是实现自主可控，这是建设我国成为“技术先进、设备领先、攻防兼备”网络强国的关键步骤。要扭转不断被攻击，疲于防备防御的问题，首先要转变观念，变化思维，变被主动为主动。

　　中国工程院院士沈昌祥认为，可信领域的信息计算机体系的结构，不光是一个工程问题、科学技术问题，可信计算作为一种运算和防护并存的主动免疫的新计算模式，具有身份识别、状态度量等功能，能及时识别“自己”和“非己”成份，从而破坏与排斥进入机体的有害物质。在计算运算的同时进行安全防护，是计算结果总是与预期一样，计算过程可测可控，不被干扰。达到攻击者进不去，非授权者重要信息拿不到，窃取保密信息看不懂，系统和信息篡改不了，系统工作瘫痪不成，攻击行为赖不掉的安全防护效果，“震网”、“火焰”、“心脏滴血”等不“查杀”而自灭。

　　得安信息技术有限公司副总经理刘磊表示，信息安全加固刻不容缓。得安先后参与了服务器密码机20多项服务器和密码标准的制定，并且已经把这些广泛的成果应用于金融大型国企卫生教育等各行各业当中。近几年随着国家大力推进国产算法的要求，得安科技依托于得安云计算取得了高性能的进展。虚拟环境下的密码技术安全，服务器的密码安全加固技术以及服务器的安全技术等。“我们把取得的关键技术取决于服务器的加固，推出加固的得安大数据服务器。”刘磊说：“如果不进行加固服务器，用户的验证安全的监管审计方面都无法保障。特别是随着云计算大数据的发展，数据进行大集中，面对对服务器的安全性能提出了更高的要求。为了解决这种情况我们在国内提出国产化密码技术，确保服务器的自主可控。”他还表示：“得安从多个方面构建自主可控的安全方面、可信任的安全加固硬件。在驱动层面能够与文件层面和数据库实现无缝对接;在应用层面可以有二次开发接口，保证业务系统的安全;在系统层面，得安能够提供通信安全，安全认证软件防范敏感数据的防范的盗取的可靠技术;在灵活性方面，可根据工作负载要求，全面支持各种商业软件和科研软件。”相较于一般的应用服务器，得安的服务器将可信计算的相关的密码应用，还有加密传输等和服务器很好的结合起来，让用户的安装成本更低、效率更高。

　　修炼内功 打好安全防御战

　　在全面研究分析我国信息安全发展现状后，各位专家从多方面提出了针对性的建议与意见。沈昌祥院士说：“当前大部分网络安全系统主要是由防火墙、入侵检测和病毒防范等组成，称为‘老三样’，而消极被动的封杀堵截是防不胜防的。经过反思以后，从正面总结，我们不能关起门来创新，要善于利用全人类的财富，引进消化吸收再创新已有的科学成果，取其精髓去其糟粕，动脑创新可知体系。现在软件硬化，硬件软化，IT是可编的。所以可编不仅能验证我们拿得东西全不全，更重要的是我们消化吸收。同时重构也很重要。从过程体系结构上、数据结构上要变为更有效、更显性、更创新的东西，创新是重构。所以有人问自主可控是什么?我说如果重构了就可控了，没有重构那就是吸收引进。可信也是一个重构的一个很重要的措施。也是加强安全，加强我们自主可控的发展的趋势。”用可信来构建体系结构可信，操作行为可信，资源制约可信，数据存储可信，策略管理可信，有免疫能力的计算系统。构建我们国家当前保护最重要的结构。因此说我们可信计算不仅能解决安全问题，而且能保护我们自主可控的信息中心走下去，还能走到一个比较简便比较成本低的风险小的安全加权的建设提出路线。

　　刘权所长也表示我国要加快出台网络安全战略，加强统筹规划和顶层设计。一是加快网络安全战略研究制定。该战略应针对工作中面临的最实际、最重大、最有待解决的问题，提出相应目标、原则和措施。二是加强网络安全统筹协调。中央网络安全与信息化领导小组应发挥统筹协调作用，合理分配资源，合理划分职责。三是加大网络安全领域重大问题研究，及时跟踪国内外网络安全最新动态，深刻认识可能影响我国网络安全大局的战略性、前瞻性问题，加强顶层设计。

　　同时，着力提升网络安全积极防御能力。一是建立网络空间战略预警平台。实现对网络空间的全局感知、精确预警、准确溯源、有效反制。二是完善信息安全应急处置体系。提高国家对信息安全事件的处置能力。三是提升网络攻防能力。建设国家网络空间攻防实验环境，尝试开展多种形式的网络空间防御演练，提高防御能力。

　　提升核心技术自主研发能力，增强保障能力建设。一是提升网络安全核心技术和产品的自主研发能力。深入调研当前我国在网络安全核心技术和产品方面的需求，争取在短期内取得突破。二是加强对国外信息技术产品的安全审查工作。尽快出台国家网络安全审查制度，加强对进口信息技术和产品的安全审查，提升安全隐患的发现能力和预防能力，尽最大可能地确保国家网络安全。三是推动核心产品的国产化替代。相关部门尽快完善政府信息技术产品和服务采购措施，制定出台采购管理办法，从政策、监管、技术标准等方面把住市场准入关，明确各级政府或国有企业应使用拥有自主知识产权的国产化网络安全产品。

　　声音

　　可信计算不仅能解决安全问题，而且能保护信息中心自主可控地走下去，还能走到一个比较简便、成本低的、风险小、安全的路线。

　　——中国工程院院士 沈昌祥

　　全球的网络空间的竞赛风险不断加大，斯诺登事件之后，各国纷纷组建自己的网络部队，同时明确了网络空间的战略地位，采取外交军事经济战略的手段。

　　——赛迪智库信息安全研究所所长 刘权

　　“互联网+”加快社会各领域的跨界深度融合。得安迈出了密码与服务器安全的跨界融合第一步，以坚持自主创新，筑就民族品牌为宗旨，抢占科技制高点。

　　——得安信息技术有限公司董事长 邢少敏

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。