在數據信息等同于企業財富的今天,對于企業、政府和各大機構而言,一些核心數據的價值甚至遠高于銀行中的貨幣資產。計算機和網絡系統的高度發達,使數據信息的存儲變得更加集中,這在降低成本、提高效率的同時,也增加了數據丟失損毀的風險及破壞力。
身處大數據時代,信息安全問題已是迫在眉睫。
安全軟肋
大數據時代,幾乎每個人都無法與數據和信息撇清關系。置身于龐雜的數據流之中,信息安全成了與每個人息息相關的事情。
中科同向信息技術有限公司(以下簡稱中科同向)總經理鄔玉良告訴《中國經濟和信息化》記者:“任何一個技術從概念到普及都要經過一個過程,只有每個人都切身體會到的時候,才能成為流行。不久前,iCloud受到黑客攻擊,就讓人們意識到原來信息安全與自己切身相關,腦子里關于數據安全的弦兒開始繃得越來越緊。”
對于大多數人而言,信息安全似乎只是一個模糊的概念。每當提到信息安全的問題,人們最直觀的印象就是那些廣泛存在于好萊塢大片中的黑客入侵系統和美國聯邦調查局監聽的場景。
近兩年,媒體上關于服務器、路由器、手機等信息安全威脅的報道越來越多。“后門”這個詞語,逐漸走入了人們的視線。在信息技術中,后門指的是程序員開發軟件時,提前在軟件模塊上留下的秘密入口,開發者和黑客都能夠從這個通道輕易進入系統內部,而不被用戶察覺。通常情況下,這個入口并不會在軟件使用說明上標注出來,所以鮮為人知。從棱鏡門事件來看,軟件上預留的監聽后門正是竊取數據和信息的主要來源。
鄔玉良說:“其實,在這個‘軟件定義世界’的時代,軟件既是IT系統的核心,也是大數據的核心,幾乎所有的后門都是開在軟件上。”
單純從技術角度來說,軟件預留的后門未必全都是用來竊取信息的,但往往這種隱藏于角落的暗道,會給用戶帶來一定的不安全感,甚至在被黑客利用的過程中造成數據信息不必要的損失。
據了解,IBM、EMC等各大巨頭生產制造的存儲、服務器、運算設備等硬件產品,幾乎都是全球代工的,在信息安全的監聽方面是很難做手腳的。換句話說,軟件才是信息安全的軟肋所在。
雖然軟件在信息安全中扮演著重要角色,但是安全威脅不只有后門監聽這么簡單。鄔玉良表示,在大數據中,安全性是涉及多方面的,首先研究人員要考慮如何安全地存儲大數據,此外,還需要探索怎樣安全地利用和挖掘大數據。要使大數據的安全性真正落到實處,就必須在上述的各個環節提供安全可靠、可執行的整套解決方案。
事實上,由于利益不同,各國之間的信息戰長期以來一直存在。隨著信息技術的發展,信息戰的范圍日益擴大。時至今日,大數據已然成為各國在全球范圍內進行資源競爭的重要手段。國家之間的信息之爭,也自然而然地蔓延到了大數據領域。
我國的大數據信息安全面臨著嚴峻的挑戰,2014年的《政府工作報告》指出,“要設立新興產業創業創新平臺,在大數據等方面趕超先進,引領未來產業發展。”
提到國外巨頭為何要在軟件上預留后門的問題時,此前對大數據安全技術侃侃而談的鄔玉良突然變得深沉起來,他解釋道:“其實,從棱鏡門事件,再到賽門鐵克和卡巴斯基監聽數據信息,不難看出軟件后門的信息安全威脅之所以能夠長期存在,究其根本還在于國家之間的利益較量。單純從動機的角度考慮,國產的大數據企業一般要比國外的大數據企業具有更高的安全性。因為本國企業幾乎沒有竊取信息數據,尤其是國家機密的動機。”
自主可控
信息安全問題受到關注后,越來越多的大數據企業為了爭奪市場紛紛打出“安全牌”。其中,不少企業聲稱能夠從數據傳輸、數據計算到數據存儲各個過程提供可靠安全校驗的機制,甚至能夠對存儲數據進行符合標準的加密設置。
既然技術上已經采取了嚴防死守的多項措施,為什么信息安全的漏洞還是堵不住呢?
正如中國工程院院士倪光南曾提到信息主權概念時表示,你的信息被別人掌握了,還有什么主權?
在采訪中,鄔玉良對倪光南院士的觀點表示贊同。
對于現代信息安全而言,最危險的行為并非軟件上的監聽漏洞和潛伏的黑客危機,而是將自主控制的權力交給“他人”。這就好比將自家的鑰匙全部交到了外人手里,安全問題又從何談起呢?
其實,把所有的IT系統抽象來看,其本質就是“硬件+軟件”。軟件供應方在主板上加入特殊的芯片,或是在軟件上設計了特殊的路徑處理,檢測人員只按照協議上的功能進行測試,根本就無法察覺軟件預留的監聽后門。也就是說,如果沒有自主可控的信息安全檢測備案,之前所謂的各種安全機制和加密措施,就都是形同虛設。因此,自主可控的重要性不言自明。
近年來,幾乎所有的國產企業都自發地扛起了自主可控的安全大旗,自主可控也已經成為目前國內企業發展的一個大趨勢。
在采訪中,杭州宏杉科技有限公司(以下簡稱宏杉科技)行業市場部技術總監汪振浩告訴記者:“竊取信息,說到底就是通過預留后門或者黑客入侵等方法,最終拿到存儲器保存的全部數據,所以存儲是信息安全非常重要的一個方面。要保證數據的安全,必須兼顧硬件和軟件,包括從芯片級的研發到軟件代碼的編寫等多個方面。保證研發全過程的自主可控。是保障信息安全的一個重要渠道。”
關于什么是自主可控,汪振浩舉了一個事例具體說明:“與政府合作開發的過程中,有一些關于信息安全的控制要求,比如要把源代碼交給相關部門進行備案。對于宏杉科技而言,我們一方面有源代碼可以提供,另一方面也有輔助完成各期項安全檢查工作的意愿,而一些國外的企業卻難以滿足這兩點要求。”
通過交談得知,為了進一步推動信息安全的自主可控,國內一直在提倡“可信計算”。所謂的“可信計算”就是,軟件不再做功能上的黑名單,而是換以白名單來進行控制。換句話說,一個系統做出來,人們只需要規定允許范圍內的業務、流量和通信路徑即可,而其他冗余的功能則不會被觸發。
目前,國內在可信計算方面已經研究出了一些機制,對存儲、芯片、軟件等多個流程都進行了規定,使全部的處理流程都可以清晰地檢測到,而不會讓那些惡意竊取數據信息的程序躲在一個看不見的“黑盒子”里。可以說,可信計算在一定程度上促進了自主可控的發展。
市場對調?
信息安全受到的重視程度與日俱增,不僅讓受到“后門”指控的國外大數據巨頭逐漸喪失了中國的政府采購市場上的陣地,也讓國內相關企業迎來了政策東風。
近兩年,浪潮、曙光、華為、聯想等數據處理領域的國內企業,在業績上一路引吭高歌。如今,再加上政策利好的助推,這些民族企業中的佼佼者未來將有更多機會在國家的信息系統部署中充當重要角色。
總體看來,大家對于國產企業的未來普遍表示樂觀,中國的大數據市場前途一片光明。
然而,在國內數據處理企業發展的道路上仍然存在著一些不容忽視的障礙和問題。例如,賽門鐵克、戴爾、惠普等國外公司在數據處理技術和品牌上具有絕對的先發優勢,一直占據著國內大部分的市場份額。
汪振浩指出:“國外巨頭通過長期的市場積累,資金、品牌、市場等領域的實力不容小覷,國內企業和他們之間的差距是一個繞不過去的問題。但是,國內企業也有自己的核心競爭力。首先自主可控是我們的長項,此外,我們在服務的本地化和個性化擴展上,也有著不錯的表現。近年來,國內企業的技術實力不斷增強,產品技術其實與國外公司的差距已經不大,關鍵還是用戶使用習慣上的問題,可以說國內企業的崛起是必然的事情,我們對未來充滿了信心。政策的利好,也為國內企業的騰飛提供了更多契機。如果一直保持這樣的發展形勢,在未來五至十年內,國內企業與國外企業在國內市場的份額很有可能會發生對調。”
雖然,市場格局的顛覆并非朝夕之間就能夠完成的,但只要國內企業能夠刻苦修煉“內功”,未來是非常令人期待的。
京公網安備 11010502049343號