解讀：棱鏡門引發(fā)的信息安全思考 - 全文

　???? 網(wǎng)絡(luò)安全已經(jīng)不是新問(wèn)題。過(guò)去多年間，英特爾、微軟、IBM等公司曾經(jīng)被反復(fù)質(zhì)疑。微軟操作系統(tǒng)的后門問(wèn)題曾被上升到國(guó)家安全的角度，IBM的“智慧地球”計(jì)劃也曾經(jīng)得出可能會(huì)威脅國(guó)家信息安全的結(jié)論。棱鏡計(jì)劃的曝光看似偶然，實(shí)則有內(nèi)在的必然性，這又像是網(wǎng)絡(luò)安全問(wèn)題的集中性爆發(fā)。

　　被曝光的是美國(guó)國(guó)家安全局（NSA）自2007年起開始實(shí)施的絕密電子監(jiān)聽(tīng)計(jì)劃——棱鏡計(jì)劃（PRISM）代號(hào)為“US-984XN”。棱鏡計(jì)劃能夠?qū)磿r(shí)通信和既存資料進(jìn)行深度監(jiān)聽(tīng)。國(guó)家安全局在PRISM計(jì)劃中可以獲得的數(shù)據(jù)電子郵件、視頻和語(yǔ)音交談、影片、照片、VoIP交談內(nèi)容、檔案?jìng)鬏敗⒌侨胪ㄖ?，以及社交網(wǎng)絡(luò)細(xì)節(jié)。

　　當(dāng)大數(shù)據(jù)的獲取和分析成為棱鏡計(jì)劃的必經(jīng)之路，不可避免地，身處科技前沿的企業(yè)卷入這一計(jì)劃。斯諾登披露的文件稱，棱鏡的項(xiàng)目可以使情報(bào)人員通過(guò)“后門”進(jìn)入9家主要科技公司的服務(wù)器，這些公司包括微軟、雅虎、谷歌、Facebook、PalTalk、美國(guó)在線、Skype、You Tube、蘋果。
?

　　那么中國(guó)的信息安全又如何

　　曾經(jīng)有人這樣形容，中國(guó)的信息安全在以思科為代表的美國(guó)“八大金剛”（思科、IBM、Google、高通、英特爾、蘋果、Oracle、微軟）面前形同虛設(shè)。

　　在網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)方面，以思科為例，有資料顯示，過(guò)去十幾年間，思科幾乎參與了中國(guó)所有大型網(wǎng)絡(luò)項(xiàng)目的建設(shè)，涉及政府、海關(guān)、郵政、金融、鐵路、民航、醫(yī)療、軍警等重要行業(yè)。中國(guó)電信、中國(guó)聯(lián)通等電信運(yùn)營(yíng)商的網(wǎng)絡(luò)基礎(chǔ)建設(shè)思科也參與其中，在承載著中國(guó)互聯(lián)網(wǎng)80%以上流量的中國(guó)電信163和中國(guó)聯(lián)通169兩個(gè)骨干網(wǎng)中，思科占據(jù)了70%以上的份額，并占據(jù)著所有超級(jí)核心節(jié)點(diǎn)。

　　而微軟、Google和蘋果則掌握了中國(guó)的操作系統(tǒng)份額，微軟是office辦公軟件領(lǐng)域絕對(duì)的老大，在國(guó)內(nèi)也是出于統(tǒng)治地位。

　　此外，我國(guó)用戶使用的軟硬件設(shè)備，大部分來(lái)自美國(guó)，信息很容易被監(jiān)聽(tīng)、過(guò)濾。

　　這些都讓中國(guó)的互聯(lián)網(wǎng)顯得脆弱甚至不堪一擊，美國(guó)監(jiān)控中國(guó)易如反掌。

　　反觀中國(guó)企業(yè)在美國(guó)的遭遇

　　典型的，華為和中興始終無(wú)法打開美國(guó)市場(chǎng)主要因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題的隱憂。去年，在對(duì)華為、中興兩家企業(yè)長(zhǎng)達(dá)11個(gè)月的調(diào)查后，美國(guó)眾議院情報(bào)委員會(huì)發(fā)表報(bào)告稱，美國(guó)電信運(yùn)營(yíng)商不應(yīng)和華為、中興兩家公司進(jìn)行合作，因?yàn)檫@兩家公司“可能對(duì)美國(guó)國(guó)家安全構(gòu)成威脅”。

　　在云計(jì)算、大數(shù)據(jù)時(shí)代的背景下安全如何考量？

　　從2009年起，云計(jì)算在我國(guó)開始進(jìn)入實(shí)質(zhì)性發(fā)展階段。以上海、北京、天津?yàn)榇淼牡胤秸?，建設(shè)政府公務(wù)云及面向中小企業(yè)的公有云；以中國(guó)移動(dòng)、中國(guó)電信為代表的傳統(tǒng)電信運(yùn)營(yíng)商，為運(yùn)營(yíng)支撐系統(tǒng)搭建私有云。

　　最近興起的云服務(wù)則是另一股潛流。微軟通過(guò)和國(guó)內(nèi)企業(yè)的合作，實(shí)現(xiàn)Office 365云計(jì)算辦公軟件和Windows Azure云計(jì)算平臺(tái)在中國(guó)的落地。去年12月，亞馬遜AWS云計(jì)算產(chǎn)品中文網(wǎng)站悄然上線，云計(jì)算服務(wù)入駐中國(guó)也指日可待。蘋果和谷歌的應(yīng)用商店在中國(guó)區(qū)的運(yùn)行同樣存在因把握用戶數(shù)據(jù)帶來(lái)的網(wǎng)絡(luò)安全潛在風(fēng)險(xiǎn)。

　　云計(jì)算的發(fā)展和應(yīng)用使IT領(lǐng)域正在發(fā)生深刻變革，但它在提高IT資源使用效率的同時(shí)，給信息安全帶來(lái)多個(gè)層面的沖擊與挑戰(zhàn)。最典型的安全問(wèn)題就是“個(gè)人數(shù)據(jù)會(huì)泄露”。用戶可以使用云平臺(tái)進(jìn)行一些安全性的攻擊，或者用一些計(jì)算來(lái)破解密碼。

　　云計(jì)算中已經(jīng)暴露出的安全問(wèn)題如：2007 ～ 2008 年間，亞馬遜云平臺(tái)出現(xiàn)了大范圍的故障；在2009年，谷歌中出現(xiàn)了客戶個(gè)人的信息的泄露問(wèn)題；2009年，微軟的云平臺(tái)出現(xiàn)了崩潰，致使數(shù)據(jù)丟失；2011年4月22日，亞馬遜的云數(shù)據(jù)中心的服務(wù)器出現(xiàn)了大面積的宕機(jī)，此事件是亞馬遜史上最為嚴(yán)重的云計(jì)算安全事件。在云計(jì)算時(shí)代，安全問(wèn)題依然是業(yè)界及學(xué)術(shù)界所關(guān)注的關(guān)鍵問(wèn)題。

　　云計(jì)算面臨的安全問(wèn)題有哪些？

　　云計(jì)算服務(wù)基于寬帶網(wǎng)絡(luò)特別是互聯(lián)網(wǎng)提供，面臨各類傳統(tǒng)安全威脅，且安全問(wèn)題隨系統(tǒng)規(guī)模化而被放大。另一方面，云計(jì)算與傳統(tǒng)的計(jì)算模式相比具有開放性、分布式計(jì)算與存儲(chǔ)、無(wú)邊界、虛擬性、多租戶、數(shù)據(jù)的所有權(quán)和管理權(quán)分離等特點(diǎn)，同時(shí)，云中包含大量軟件和服務(wù)，以各種標(biāo)準(zhǔn)為基礎(chǔ)，數(shù)據(jù)量龐大，系統(tǒng)非常復(fù)雜，因而在技術(shù)、管理和法律等方面面臨新的安全挑戰(zhàn)。此外，云計(jì)算系統(tǒng)中存放著海量的重要用戶數(shù)據(jù)，對(duì)攻擊者來(lái)說(shuō)具有更大的誘惑力，如果攻擊者通過(guò)某種方式成功攻擊云系統(tǒng)，將會(huì)給云計(jì)算服務(wù)提供商和用戶帶來(lái)重大損失，因此，云計(jì)算的安全性面臨著比以往更為嚴(yán)峻的考驗(yàn)。與傳統(tǒng)IT安全比較，云計(jì)算特有的安全問(wèn)題主要有以下四個(gè)方面：

　　（1 ）云計(jì)算平臺(tái)導(dǎo)致的安全問(wèn)題。云計(jì)算平臺(tái)聚集了大量用戶和數(shù)據(jù)資源，更容易吸引黑客攻擊，而故障一旦發(fā)生，其影響范圍多，后果更加嚴(yán)重。此外，其開放性對(duì)接口的安全也提出了更高的要求。另外，云計(jì)算平臺(tái)上集成了多個(gè)租戶，多租戶之間的信息資源如何安全隔離也成為云計(jì)算安全的突出問(wèn)題。

　　（2）虛擬化環(huán)境下的技術(shù)及管理問(wèn)題。傳統(tǒng)的基于物理安全邊的防護(hù)機(jī)制難以有效保護(hù)基于共享虛擬化環(huán)境下的用戶應(yīng)用及信息安全。另外，云計(jì)算的系統(tǒng)如此之大，而且主要是通過(guò)虛擬機(jī)進(jìn)算，一旦出現(xiàn)故障，如何快速定位問(wèn)題所在也是一個(gè)重大挑戰(zhàn)。

　?。?） 云平臺(tái)可用性問(wèn)題：用戶的數(shù)據(jù)和業(yè)務(wù)應(yīng)用處于云計(jì)算系統(tǒng)中，其業(yè)務(wù)流程將依賴于云計(jì)算服務(wù)提供商所提供的服務(wù)，這對(duì)服務(wù)商的云平臺(tái)服務(wù)連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外，當(dāng)發(fā)生系統(tǒng)故障時(shí)，如何保證用戶數(shù)據(jù)的快速恢復(fù)也成為一個(gè)重要問(wèn)題。

　?。?） 云計(jì)算這種全新的服務(wù)模式將資源的所有權(quán)、管理權(quán)及使權(quán)進(jìn)行了分離，因此用戶失去了對(duì)物理資源的直接控制，會(huì)面臨與服務(wù)商協(xié)作的一些安全問(wèn)題，如用戶是否會(huì)面臨服務(wù)退出障礙，不完整和不安全的數(shù)據(jù)刪除會(huì)對(duì)用戶造成損害，因此如何界定用戶與服務(wù)提供商的不同責(zé)任也是一個(gè)重要問(wèn)題。

　　云計(jì)算安全所面臨的挑戰(zhàn)有很多，對(duì)云的發(fā)展至關(guān)重要，成為云發(fā)展的最大障礙。

　　國(guó)內(nèi)信息安全五大盲區(qū)

　　盲區(qū)一：國(guó)內(nèi)政企盲目選擇國(guó)外電子產(chǎn)品

　　目前，國(guó)內(nèi)政府和企業(yè)對(duì)外國(guó)品牌的電子產(chǎn)品、信息技術(shù)產(chǎn)品過(guò)分依賴。據(jù)媒體報(bào)道，涉及“棱鏡門”的思科產(chǎn)品在國(guó)內(nèi)163、169兩大主干通訊網(wǎng)絡(luò)中占據(jù)了70%以上份額，把持了所有超級(jí)核心節(jié)點(diǎn)。很多政企選擇信任外國(guó)產(chǎn)品都是出于高性能的考量，然而不知不覺(jué)間，這些外國(guó)廠商卻成為了企業(yè)信息安全的重大隱患。

　　“無(wú)論是電子設(shè)備廠商還是信息技術(shù)廠商，都是有國(guó)籍的，但是互聯(lián)網(wǎng)和電子信息產(chǎn)品卻沒(méi)有國(guó)界”，瑞星安全專家表示，“從技術(shù)角度來(lái)講，任何電子信息類產(chǎn)品都有被植入后門、竊取用戶情報(bào)的可能。廠商一旦受到來(lái)自國(guó)家或競(jìng)爭(zhēng)對(duì)手的壓力，就可能會(huì)鋌而走險(xiǎn)?！?/p>

　　盲區(qū)二：企業(yè)信息安全體系建設(shè)基本為零

　　當(dāng)前國(guó)際信息對(duì)抗日趨嚴(yán)重，同行業(yè)之間的競(jìng)爭(zhēng)也愈加激烈，然而目前國(guó)內(nèi)很多企業(yè)對(duì)信息安全建設(shè)的概念僅僅停留在簡(jiǎn)單安裝殺毒軟件的層面，這是遠(yuǎn)遠(yuǎn)不夠的。殺毒軟件只能解決病毒相關(guān)問(wèn)題，卻不能解決由系統(tǒng)管理不嚴(yán)、員工操作不當(dāng)和黑客入侵引發(fā)的安全問(wèn)題。

　　“信息安全體系建設(shè)，不只是用信息安全產(chǎn)品搭建一個(gè)堡壘，更重要的是企業(yè)自身建立一套完善的信息安全制度”，瑞星安全專家指出，“只有有形的產(chǎn)品和無(wú)形的制度相互配合，才能避免核心機(jī)密被類似‘棱鏡’項(xiàng)目所窺視?！?/p>

　　盲區(qū)三：BYOD將成為企業(yè)信息安全的致命傷

　　BYOD是指企業(yè)允許員工將自有的個(gè)人電腦、手機(jī)、平板電腦等終端設(shè)備接入企業(yè)內(nèi)網(wǎng)。目前在國(guó)內(nèi)，很多企業(yè)鼓勵(lì)這種行為，多數(shù)是出于方便辦公、節(jié)約辦公成本的目的，然而這樣的做法卻使得辦公數(shù)據(jù)與私人設(shè)備的物理邊界消失，使得員工和外來(lái)人員可以隨意接入企業(yè)網(wǎng)絡(luò)，拷貝機(jī)密文件。

　　美國(guó)情報(bào)機(jī)構(gòu)擁有非常完備的信息保全制度，但仍無(wú)法攔住斯諾登將機(jī)密文件拷貝至自己的設(shè)備，這與BYOD不無(wú)關(guān)系。由此可見(jiàn)，擁有周密制度的專業(yè)機(jī)構(gòu)尚且無(wú)法規(guī)避信息泄露，國(guó)內(nèi)毫無(wú)防御方案的企業(yè)，更時(shí)刻面臨著信息安全危機(jī)。

　　盲區(qū)四：新科技、新應(yīng)用隱藏巨大風(fēng)險(xiǎn)

　　近年來(lái)，新科技、新應(yīng)用發(fā)展迅速，這也為企業(yè)信息安全帶來(lái)了很多未知風(fēng)險(xiǎn)。瑞星安全專家解釋，“舉個(gè)最貼近生活的例子就是智能手機(jī)，黑客或企業(yè)內(nèi)鬼可利用智能手機(jī)的攝像頭和麥克風(fēng)，全程監(jiān)聽(tīng)企業(yè)內(nèi)部的信息。同時(shí)作為移動(dòng)終端設(shè)備，手機(jī)又能使用自己的網(wǎng)絡(luò)，將監(jiān)聽(tīng)到的信息隨時(shí)上傳至互聯(lián)網(wǎng)。所以，即使不接入企業(yè)內(nèi)網(wǎng)，黑客、企業(yè)內(nèi)鬼及競(jìng)爭(zhēng)對(duì)手（或國(guó)家）的情報(bào)部門都可能利用智能終端設(shè)備來(lái)獲取企業(yè)機(jī)密情報(bào)?！鳖愃齐娪啊?07》、《碟中諜》的竊密橋段，現(xiàn)在已成現(xiàn)實(shí)。

　　盲區(qū)五：云端服務(wù)器風(fēng)險(xiǎn)不容忽視

　　“棱鏡”項(xiàng)目中，提到美國(guó)有九家互聯(lián)網(wǎng)聚頭向情報(bào)機(jī)構(gòu)開放了服務(wù)器，以便監(jiān)視個(gè)人、企業(yè)及他國(guó)的互聯(lián)網(wǎng)行為?！霸萍夹g(shù)應(yīng)用帶來(lái)的巨大安全風(fēng)險(xiǎn)由此可見(jiàn)一斑”，安全專家表示，云技術(shù)以節(jié)省本地資源、運(yùn)行速度高等特點(diǎn)受到了整個(gè)互聯(lián)網(wǎng)行業(yè)的追捧。這項(xiàng)技術(shù)，需要企業(yè)將用戶信息、辦公系統(tǒng)，乃至商業(yè)機(jī)密上傳到云端數(shù)據(jù)庫(kù)，以便在需要時(shí)隨時(shí)調(diào)用。然而一旦云端服務(wù)器遭到黑客入侵，或服務(wù)器和云端系統(tǒng)供應(yīng)商在系統(tǒng)中留有后門，企業(yè)信息安全將成為一紙空談。

　　在互聯(lián)網(wǎng)時(shí)代的今天，“棱鏡”給政府、企業(yè)及個(gè)人上了一堂現(xiàn)實(shí)版的信息諜戰(zhàn)課。棱鏡門再一次提醒國(guó)人，我們?cè)诨ヂ?lián)網(wǎng)，特別是軟件、硬件方面的家底很薄，高端數(shù)據(jù)庫(kù)、芯片、服務(wù)器和操作系統(tǒng)等不能自給，都得靠從歐美進(jìn)口，沒(méi)有核心自主知識(shí)產(chǎn)權(quán)，談信息安全非常無(wú)力，猶如癡人說(shuō)夢(mèng)。

　　在政策支持和市場(chǎng)需求的驅(qū)動(dòng)下，中國(guó)信息安全產(chǎn)業(yè)近幾年年平均增長(zhǎng)20%以上，但中國(guó)信息安全投入占IT總投入的比重仍然大幅低于歐美國(guó)家。面對(duì)威脅，只有采用更適合中國(guó)用戶的信息安全產(chǎn)品，具有自主知識(shí)產(chǎn)權(quán)，才能真正保護(hù)我國(guó)的國(guó)家信息安全體系。