![]() |
新聞中心
當(dāng)前位置:網(wǎng)站首頁 > 新聞中心
中科院云計算中心專家談?wù)?wù)云安全問題、防御措施及解決方式
近幾年,國內(nèi)外頻繁爆發(fā)的信息安全泄露事件,讓人們對網(wǎng)絡(luò)安全的關(guān)注日益強烈。尤其是信息泄露已從個人家庭、社會企業(yè)、事業(yè)單位逐漸滲入到國家政府部門及相關(guān)組織的云化系統(tǒng)和業(yè)務(wù),這導(dǎo)致的后果和危害將更加嚴(yán)重。在這種形勢下,借助一種達(dá)到國家網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)(簡稱“等?!保?,并且快捷、高效、低成本的提供一站式、可定制的信息安全服務(wù),無疑成為政務(wù)云的一塊首選安全盾牌。
針對這一問題,中科院云計算中心的幾位年輕專家分別就國家安全政策、防御措施、解決方式等幾個方面闡述了各自的觀點。陳強: “黑手”已觸國家機器從2017年“永恒之藍(lán)”勒索病毒席卷全球的醫(yī)院、學(xué)校和政府機構(gòu),到2018年初的“英特爾CPU漏洞事件”,從洲際酒店用戶信用卡金融信息泄露、德勤郵件受攻擊,到美國約2億選民個人信息泄露、我國12306官方網(wǎng)站出現(xiàn)安全漏洞……一系列信息安全事件揭示出黑客們的目光已經(jīng)不再局限于一般的行業(yè)企業(yè)、社會機構(gòu),而是開始逐漸觸及國家政府機構(gòu)甚至最高級別的領(lǐng)導(dǎo)組織,直接威脅到國家戰(zhàn)略層面的安全問題。
中科院云計算中心陳強博士介紹說,在政治安全上,信息化發(fā)達(dá)國家很容易通過非法或肆意篡改信息等干預(yù)內(nèi)政方式對信息欠發(fā)達(dá)的國家行使信息霸權(quán),通過信息傳遞、傳播和擴散對一個國家的輿論構(gòu)成壓力和威脅。在經(jīng)濟安全上,目前我國銀行系統(tǒng)信息化程度是比較高的,金融業(yè)的特點就是網(wǎng)絡(luò)化、信息化,這個特點極易成為不法分子的攻擊目標(biāo)。國內(nèi)外,與經(jīng)濟和金融相關(guān)的網(wǎng)絡(luò)攻擊事件有很多慘痛的教訓(xùn)。在社會穩(wěn)定上,由于現(xiàn)代信息網(wǎng)絡(luò)是現(xiàn)代社會的一個基礎(chǔ)設(shè)施,任何一個類似銀行、電力等關(guān)鍵基礎(chǔ)設(shè)施或者重要的應(yīng)用系統(tǒng)出問題,都會直接影響到社會的穩(wěn)定。在軍事國防上更是如此,信息化武裝下的作戰(zhàn)部隊,如果所使用的數(shù)字化武器等出現(xiàn)問題,造成的后果將會直接危及國家和人民的安全。
陳強博士認(rèn)為,“隨著信息化的飛速發(fā)展和普及,信息基礎(chǔ)設(shè)施已經(jīng)成為核心業(yè)務(wù)和關(guān)鍵活動的重要載體,絕大部分關(guān)系我國經(jīng)濟和安全命脈的重要行業(yè)和關(guān)鍵領(lǐng)域,已經(jīng)建立覆蓋全國、觸及全球的信息基礎(chǔ)設(shè)施。這些信息基礎(chǔ)設(shè)施往往對一個行業(yè)的正常、穩(wěn)定運行具有戰(zhàn)略性作用,不但涉及大量行業(yè)重要數(shù)據(jù)和信息,更是行業(yè)體系中重要的系統(tǒng)節(jié)點,同時具有一定社會穩(wěn)定的代表意義。這些系統(tǒng)一旦被攻擊或破壞,不但會影響重要行業(yè)的運作,對石油、化工、核電站等行業(yè)還會造成巨大的安全隱患或事件,對社會穩(wěn)定、國家安全產(chǎn)生巨大影響和嚴(yán)重后果?!?
孫傲冰: 被動防范應(yīng)轉(zhuǎn)為主動攻防2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式實施。其中第二十一條規(guī)定,國家實行網(wǎng)絡(luò)安全等級保護(hù)制度,網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
在中科院云計算中心孫傲冰博士看來,“從單純的重視信息安全、提高安全意識,到主動的有效防范攻擊、保障安全,這說明國家再次將信息安全戰(zhàn)略升級,搶在問題事故爆發(fā)前面采取措施進(jìn)行有效的防衛(wèi),這也給政府的各項云業(yè)務(wù)提出了更高的要求”。
報告指出,檢查中發(fā)現(xiàn)各地在貫徹實施“一法一決定”、維護(hù)網(wǎng)絡(luò)安全中,許多關(guān)鍵信息基礎(chǔ)設(shè)施運營單位對網(wǎng)絡(luò)安全的重要性認(rèn)識不到位,認(rèn)為受到網(wǎng)絡(luò)攻擊只是小概率事件,對可能受到網(wǎng)絡(luò)攻擊的危害性缺乏認(rèn)知。在信息化方面“重建設(shè)、輕安全;重使用、輕防護(hù)”,缺乏主動防御意識,不愿在安全防護(hù)方面進(jìn)行必要投入。
孫傲冰博士說,許多行內(nèi)的權(quán)威專家共同認(rèn)為,“解決網(wǎng)絡(luò)安全問題應(yīng)該從計算體系結(jié)構(gòu)和計算模式等方面進(jìn)行科學(xué)技術(shù)創(chuàng)新,采取主動免疫防護(hù)的措施,使正常的邏輯組合不被破壞。大數(shù)據(jù)是一個有密碼保護(hù)的可信計算環(huán)境,要有可信邊界,要有安全可信的保護(hù),更要有管理中心進(jìn)行安全管理,相當(dāng)于監(jiān)護(hù)室一樣,發(fā)現(xiàn)問題及時處理。構(gòu)筑這樣的安全管理體系,才能應(yīng)對各種漏洞,這就是一個重要標(biāo)準(zhǔn)。這樣能達(dá)到攻擊者進(jìn)不去的效果,即便進(jìn)去了也拿不到東西,盡管拿到了也看不懂,也改不了?!庇弥袊目尚偶夹g(shù),用可信計算構(gòu)筑網(wǎng)絡(luò)安全,其中,涉及核心的關(guān)鍵設(shè)施就是用自己的創(chuàng)新技術(shù)解決安全問題。要從根上解決大數(shù)據(jù)安全問題,就要構(gòu)建安全管理支撐下的防御體系。因此,對于政務(wù)云平臺上的應(yīng)用來說,更應(yīng)該具備利用可信計算來主動攻防外來病毒和漏洞侵害的預(yù)警機制和系統(tǒng),并且都應(yīng)該達(dá)到國家的等級保護(hù)標(biāo)準(zhǔn),最大限度的保證政府機構(gòu)云平臺應(yīng)用的安全性和可靠性。涂旭平: 國產(chǎn)安全認(rèn)證產(chǎn)品當(dāng)為首選隨著政府各部門以及部分重要領(lǐng)域?qū)ψ灾骺煽剀浖男枨蟛粩嘣黾?,近年來,圍繞發(fā)展自主可控、安全可信的國產(chǎn)軟硬件如雨后春筍般不斷涌現(xiàn)。據(jù)了解,目前,在中央80多個部委中,幾乎都在使用國產(chǎn)自主研發(fā)的操作系統(tǒng)。
國家法律制度也為國產(chǎn)安全技術(shù)和產(chǎn)品提供政策環(huán)境。2017年11月通過的《網(wǎng)絡(luò)安全法》明確指出:“國務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃加大投入,扶持重點網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項目,支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用,推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),保護(hù)網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán),支持企業(yè)、研究機構(gòu)和高等學(xué)校等參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項目。
此外,政府采購也采取措施支持自主核心技術(shù)產(chǎn)品。廣東省電子政務(wù)建設(shè)就提出要優(yōu)先采用國產(chǎn)軟件產(chǎn)品和服務(wù),并優(yōu)先選用可支持Linux操作系統(tǒng)的跨平臺應(yīng)用軟件產(chǎn)品。利用財政性資金建設(shè)的信息化工程,用于購買軟件產(chǎn)品和服務(wù)的資金原則上不得低于總投資的30%.“近年來,政府也在多個場合明確表示,支持自主品牌軟件的發(fā)展,自主品牌軟件的技術(shù)也已經(jīng)有了很大提升。政府采購自主品牌軟件具有非常重要的示范作用。雖然政府采購量相對普通市場較少,但政府使用自主品牌軟件,代表了一種肯定和導(dǎo)向,能夠帶動更多采購人采購自主品牌軟件?!敝锌圃涸朴嬎阒行耐啃衿讲┦拷榻B說,在當(dāng)前的經(jīng)濟環(huán)境下,政府采購向自主品牌軟件的傾斜意義更大。
在他看來,全國各地的政務(wù)云、金融云、教育云等建設(shè)如火如荼,越來越多的云計算系統(tǒng)承擔(dān)著重要的基礎(chǔ)性服務(wù)。在高速發(fā)展的同時,安全隱患和威脅也如影隨形,如:不安全接口、服務(wù)中斷、越權(quán)、濫用與誤操作、共享技術(shù)漏洞和信息殘留等問題時刻影響著政務(wù)云系統(tǒng)和業(yè)務(wù)的安全。作為云計算的核心,云操作系統(tǒng)堅持采用自主品牌產(chǎn)品對信息安全也具有很大的意義?!俺瞬捎米灾髌放栖浖a(chǎn)品之外,政務(wù)云信息系統(tǒng)應(yīng)具備什么樣的安全防護(hù)措施,如何通過等級保護(hù)測評工作去檢查和驗證安全措施的合規(guī)性和有效性,已經(jīng)成為政務(wù)云建設(shè)者、運營者、監(jiān)管者以及使用者所關(guān)心的重要問題?!?
自2009年以來,公安部持續(xù)開展等級保護(hù)測評體系建設(shè)工作。隨著互聯(lián)網(wǎng)的快速發(fā)展以及CDN行業(yè)的蓬勃發(fā)展,圍繞這些領(lǐng)域的等保認(rèn)證也被列上日程。其中,公安部推行的國家信息安全等級保護(hù)認(rèn)證,是目前國家最高級別的平臺安全認(rèn)證。信息安全保護(hù)等級共分為五級,等級越高,意味著安全保護(hù)能力越強。
等級保護(hù)級別的認(rèn)定為政務(wù)云安全提供了可以參考的重要測評機制,讓一切不安全因素?zé)o所遁形。然而,等保工作具有持續(xù)性的特點,隨著應(yīng)用系統(tǒng)的升級和等保制度的改進(jìn),等保工作會經(jīng)歷螺旋上升的周期性過程,新的應(yīng)用系統(tǒng)上線、在原有等保級別基礎(chǔ)上升級、等保制度的修訂以及等保認(rèn)證的周期性審核都需要對應(yīng)用系統(tǒng)進(jìn)行等保測評,面對政務(wù)云平臺上成千上萬的安全測評應(yīng)用,以及每年需要重復(fù)審核的流程,一個能夠整套批量等保認(rèn)證的產(chǎn)品極大地提高了效率和成本。
|