由于核電站系統遭病毒入侵,監控錄像被篡改,伊朗某個核項目的監控人員雖然看到的是正常畫面,但實際上離心機卻在失控情況下不斷加速而最終報廢。
這是美劇《24小時》的橋段?不!“這是真相!這是正在發生的事!”說這句話的,就是頻頻“搶頭條”的斯諾登。如果用一句話來概括上述信息安全的事件,那就是美國和以色列研制了“震網”病毒,并最終以電影情節那般攻擊了伊朗的核項目。
看似奇幻的情節不僅僅發生在地球的另一端。作為互聯網大國,我國也飽受信息安全危機之擾。數據顯示,2013年中國網民在網上損失近1500億元,而國家層面的損失更是不可估量。
幸運的是,我們并沒有坐以待斃,而是努力拯救。以“云”技術為代表的去IOE浪潮已經掀起,安全高效的信息時代或許并不遙遠。
安裝一個木馬,劫持你的支付寶,或者是植入一個后門,黑了你的網站,這些小兒科似的信息安全事件,是不是令你不勝其煩?的確,國家互聯網應急中心最新發布的周報顯示,截至2014年7月13日的當周,我國境內感染病毒的主機數量達76萬臺,環比上升4.6%;被植入后門的網站總數環比上升17.1%;新增信息安全漏洞數環比上升12.8%。
來者不善!被信息安全騷擾的,不止是你,更有國家安全領域。
國家互聯網應急中心今年6月發布的《2013年中國互聯網網絡安全報告》顯示,2013年,境外“匿名者”、“阿爾及利亞黑客”等多個組織曾對我國政府網站發起攻擊,并先后篡改我國187個政府網站。數據顯示,2013年我國境內被篡改網站數量為24034個,較2012年增長46.7%。其中,境內政府網站被篡改數量為2430個,較2012年增長34.9%。
那么,究竟什么是信息安全?在維護信息安全的道路上,國家的思路和企業的想法有哪些異同?國產化路徑留給我們多大空間?所謂的去IOE就能實現安枕無憂嗎?帶著這些思考,上證報記者實地走訪多個企業和機構,旨在為大家揭開信息安全神秘面紗的背后。
國家安全的威脅有多大
2011年2月,伊朗突然宣布暫時卸載首座核電站——布什爾核電站的核燃料。美國國務卿希拉里對此輕描淡寫地說,伊朗的計劃因為“技術問題”而被拖延。
這個“技術問題”,在2013年的斯諾登事件中被證實!當年,由美國和以色列研發的“震網”病毒襲擊了伊朗的布什爾核電站,導致1000臺離心機報廢
“震網”供后人談論的焦點,是它獨有的隱蔽性強的特點。它平時冬眠,而一旦離心機、變形器的轉速達到600赫茲-1200赫茲之間,這時候它就啟動,并開始謊報軍情。
其實這種“震網”病毒并不是美國和以色列針對伊朗的“專利”,“震網”也曾在中國露面。而斯諾登曝光的最新文件顯示,美國國家安全局入侵了華為總部服務器,入侵計劃代碼為“Shotgiant(攻擊巨人)”。
正是面對頻發的安全事件,我國對信息安全的考量也首次上升到國家最高層面。2013年11月12日,中央國家安全委員會成立;2014年2月27日,中央網絡安全和信息化領導小組成立。
國家互聯網信息辦公室副主任王秀軍認為,目前,網絡安全的一個重要方面是網絡與信息系統的安全。“震網”病毒使伊朗核設施受到大面積破壞,顯示出關鍵基礎設施已經成為網絡武器的真實攻擊目標。而斯諾登事件表明,少數國家利用掌握的互聯網基礎資源和信息技術優勢,大規模實施網絡監控,大量竊取政治、經濟、軍事秘密以及企業、個人敏感數據,有的還遠程控制他國重要網絡與信息系統。試想,在危急時刻,如果一個國家涉及國計民生的關鍵基礎設施被人為攻擊后癱瘓,甚至軍隊的指揮控制系統被人接管,那真是“國將不國”的局面。
如今,政府加強信息安全防護的意識不斷提升,維護信息安全的相關舉措不斷推出。5月16日,中央發布《關于進行信息類協議供貨強制節能產品補充招標的通知》,明確規定中央政府機關采購的所有計算機類產品不允許安裝Windows8 操作系統。5月22日,國家互聯網信息辦公室發布通知,我國將實行網路安全審查制度,審查的重點在于軟件產品和服務的安全性和可控性。
中國軟件行業協會理事長趙小凡表示,國家安全有五個必要條件——政治、軍事、經濟、文化和信息,而信息安全是支撐另外四個安全的必要因素。棱鏡門事件的爆發,更是令86%的大型企業在信息化建設時考慮“安全第一”。
當下,大部分涉及國家安全、和政府部門有聯系的國有企業,都逐漸開始傾向選擇國內品牌的服務器。一位大型企業信息系統負責人告訴記者,如今的政策導向下,企業在招標操作時,國產軟件在技術標可行的情況下,往往會被商務標優先考慮。
不過,一個新的現象也隨之出現。一家國外IT系統供應商更向記者坦言,為了入圍某些招標,國外公司開始在國內尋找“馬甲”。
個人利益的影響有多深
今年1月26日,支付寶找回密碼功能存在系統漏洞被曝光。由于此前支付寶泄密事件導致的信息泄漏,不法分子以此尋找受害人信息,通過找回密碼來獲得用戶支付寶訪問權限,從而將支付寶的錢款轉走。
3月22日,烏云漏洞平臺發布消息稱,攜程網用戶支付信息出現漏洞,漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務約束代碼生成的3位或4位數字)以及銀行卡6位Bin(用于支付的6位數字)等
據中國電子商務研究中心的監測數據顯示,中國65.5%的網站存在安全漏洞,2013年中國網民在網上損失近1500億元。
“信息泄露是所有安全問題的源頭。”攜程技術管理安全中心高級總監陳建對記者表示,信息安全不是獨立存在的,不同的行業不同的業務實際上是面向共同的用戶,因此無論是哪個互聯網企業出了問題,實際上用戶都不安全,因此,大家面臨著共同的信息安全問題。那么企業如何做信息安全?必須內部加強安全投入,外部尋求安全合作。
經過泄密門后,攜程對信息安全的態度更為謹慎。位于攜程總部,一個大型監控室對于公司的整個業務和IT系統的穩定性進行著監控,其中一部分也為信息安全而設置。
在陳建看來,信息安全是典型的木桶原理,無論企業多么成功。只有安全一環出現問題,所有成績都會功虧一簣。騰訊雷霆行動負責人、騰訊互聯網犯罪研究中心秘書長朱勁松也向記者表示,如今互聯網正在連接一切。
“我們在極其便利地獲取資訊、獲取服務溝通交流的時候,也不能忽視連接一切帶來的風險。因為今天這個風險正在快速地膨脹,尤其是當互聯網的技術被作為一種工具,與傳統的犯罪行為結合以后,就滋生出一條又一條黑色產業鏈。比如說網絡詐騙,網絡盜號,甚至通過木馬程序來控制用戶的終端,批量地獲取信息和財產,而在這背后是數以億計的產業規模和極其龐大的產業從業人員。”朱勁松說。
陳建也同意這一觀點,“互聯網應用越多越發展,信息被復制多份,泄露概率增加,以牟利為目的的黑色、灰色產業鏈越來越發達,這在近年來尤為明顯,用戶安全負擔越來越嚴重。”
我們的機會有多少
天璣科技解決方案中心首席技術顧問滕長春坦言,“我們的服務模式不同于IBM的標準化產品模式,必須根據用戶的業務需求來定制和調試出合適的產品。”
滕長春所說也正是國產軟件的優勢所在。用中國軟件行業協會財務及企業管理軟件分會秘書長曹開彬的話來說,這也正是本土軟件行業的優勢,一是更理解本地客戶的需求,可以對這些需求做出有針對性的功能;二是和新技術的結合比較緊密,能很好地滿足企業對移動、電子商務、社交網絡等新技術、新模式的需求。而更重要的是,國產化軟件更加安全可靠。就在中國軟件行業協會財務及企業管理軟件分會最近進行的《大型企業信息系統的國產化路徑》調研中,安全、技術與成本已經成為大型企業當前信息化的最大挑戰,也是他們愿意考慮選擇國產軟件的最重要的原因。
這份針對127家大型企業CIO、信息化負責人以及高管的調研中,41% 的大型企業信息化負責人認為,安全是當前信息化最大挑戰,排在所有挑戰的首位。而86%的大型企業負責人在信息化建設時會考慮到安全問題,尤其是棱鏡門事件后。而信息系統建設的國產化是應對這些問題的有效手段。
研究小組預計,未來三年,在大型企業的信息化建設中,國產軟件和解決方案將會成為企業信息化的應用重點和投資熱點。但調查結果顯示,高達90% 的大型企業信息化負責人希望業界能夠提供信息系統國產化的應用路徑和成熟方法。
這對軟件企業來說是一個特別的機會。東軟集團戰略咨詢部總經理梅叢銀坦言,以往東軟等軟件企業更多是充當IOE的銷售渠道,賣的多折扣多,沒有議價權。而斯諾登事件之后,政府和央企對信息安全的敏感度更高,這是一個機會。
而富士通(中國)信息系統有限公司副總裁黃邦瑜在接受記者采訪時也坦言,國內去IOE進程提速勢必會對國外ICT企業產生影響。從日本的經驗來看,ICT產業中,一旦國內的廠商成熟起來,必將會起到主導的作用。“因為IT的本質是服務,在這方面,本土企業更貼近本土需求,更有優勢。”而通過富士通的經驗來看,黃邦瑜告訴記者,相對硬件產品來說,軟件和服務的利潤空間更大。因此ICT廠商轉變為解決方案提供商是大勢所趨,先行者的利潤空間也更加有保障。
事實上,改變也正在發生。《大型企業信息系統的國產化路徑》調研數據顯示,實際應用中,83%的企業已經應用國產軟件產品或解決方案。
在硬件如服務器領域,國產設備正在快速搶占國際品牌的市場份額,替代加速進行中。瑞銀證券軟件服務業分析師周中提出,根據CCID的數據,2013年DELL、HP和IBM三家占市場銷量的份額從2012年的65%下滑至52%。與之對應的是本土廠商的銷量增長迅速,其中浪潮銷量同比增長85%,銷量超越IBM。
“去IOE”的路途有多長
“去IOE,國家喊了那么長時間,為什么民營企業最積極,政府和大型金融機構反而動作相對緩慢呢?”一位業內人士向記者表示,為了去IOE而去IOE,并非問題癥結所在
一談到信息安全,大家首先想到的就是去IOE。但是業內認為,為了去IOE而去IOE,并非問題癥結所在。這個觀點頗有意思,他們想表達什么呢?
業內人士對記者表示,目前,在政府和大型金融機構,真正去IOE的工作,從態度落實到行動并不容易,向“云”轉變的步伐也并沒有那么堅決。一位不愿具名的國產IT公司高層在接受記者采訪時坦言,在推銷政府和金融機構客戶時大有難度。據他分析,原因可能來自于用戶決策層免責的心態、使用的習慣等多方面。
該人士稱,雖然國家對于國企和事業單位去IOE的呼聲最高,但事實上,結果是民營企業成為最積極的一個群體。為什么呢?原來,民營企業思考問題的思路除了安全,更多是性價比。
以IBM為例,除了高昂的產品價格外,企業往往還需要交付20%左右的服務費。這是很多企業不愿負擔的部分,但政府的IT部門可能為了免責而接受這一條款。“原因很簡單,一旦系統出現問題,直接叫IBM的工程師過來就可以了,完全不會有自己的責任。”上述人士說。
瑞銀證券軟件服務業分析師周中指出,在高端服務器市場,IBM 依然占據了統治地位,例如銀行、電信等。中國的銀行業想要去 IBM 化非常困難,一方面是因為國內廠商的可替代產品目前還比較少;另一方面,銀行IT系統黏性非常大,更換核心系統,實現數據遷移可能是一個非常漫長的過程。
京公網安備 11010502049343號