由電子工業標準化研究院牽頭制定的《數據安全標準》、《工業控制安全標準》、《智慧城市安全標準》等系列信息安全標準在緊鑼密鼓的推進中,《數據安全標準》或是其中最早推出的一個。
互聯網在推動社會進步的同時,也帶來了前所未有的安全風險。近年來,大數據技術逐漸在各行各業中廣泛應用,然而頻繁上演的各類信息泄露事件卻為人們敲響了數據安全的警鐘。毫無疑問,數據安全早已不再是局限于IT行業的專業話題,而是社會各界的關注熱點之一。
在國家信息安全受到嚴重威脅的大背景下,9月10日“數據安全標準工作組第一次研討會”在北京召開,來自國內眾多知名企業和高校的三十多位信息安全領域專業人士從全國各地趕往這里。
工業和信息化部電子工業標準化研究院(以下簡稱標準院)信息安全研究中心副主任范科峰介紹說:“本次關于數據安全標準的研討會是在全國信息安全標準化技術委員會的指導下開展的。之所以把國內相關領域的廠商和專家聚到一起,就是希望能夠兼顧理論和市場的要求,為下一步開展數據安全標準的制定工作打好基礎。”
中國軟件評測中心常務副主任劉法旺也表示,信息網絡化既為全球信息資源共享創造了條件,也讓國家間的信息入侵幾乎失去了設防的“邊境”。隨著移動互聯網的快速發展,如何打造大數據時代安全的信息環境,已經成為各國重點關注和深入探討的問題。”
事實上,大部分的關鍵網絡基礎設施通常都為企業所有,在預防和發現網絡安全威脅、及時采取措施應對網絡安全事件等方面,企業擁有政府所不能及的天然優勢。因此,政企間高度戰略合作的模式對維護網絡安全意義重大,長期以來美國都是采用的這種模式。
賽迪智庫信息安全研究所張莉指出:“在維護網絡安全問題上,美國政府非常重視與私營企業的合作。相比之下,我國這方面起步較晚、積累較少,而且在推動過程中遇到了很多問題和阻力。”
美國在維護網絡安全方面的成績是有目共睹的,因此標準院在前期調研階段也借鑒政企合作的做法,在研討會上邀請了眾多數據安全領域的企業代表前來參加。
國產企業的美好時代
會上,數據安全領域的眾多參會企業代表輪番登場演講,他們一邊介紹自己在數據安全方面所做的工作,一邊講述自己在市場中遇到的各種尷尬,并對數據安全的標準制定工作提出了自己的意見和建議。
作為國內數據安全領域起步較早的企業,北京億賽通科技發展有限責任公司(以下稱億賽通)經過十多年的市場積累,如今已在數據加密服務行業占據了重要地位。
億賽通的首席咨詢顧問王維宏告訴《中國經濟和信息化》:“像億賽通這樣的國產數據加密企業,成長過程是非常艱難的。對于國產數據安全企業而言,目前是不可多得的好機遇,尤其在斯諾登曝光‘棱鏡門’事件之后,全球的信息安全問題被引到了風口浪尖上,越來越多的國內客戶開始清晰地認識到自身的安全需求。在這樣的產業環境下,企業的發展終于變得順暢起來。”
回顧數據安全產業環境十多年間的變化,浪潮、曙光、華為等不少參會企業代表都頗為感概。
誠如王維宏所言,十年前國內的大多數企業對于自身的數據安全并不重視,這個領域的企業要面臨的首要生存考驗就是如何有效地刺激客戶的數據安全需求。缺乏用戶需求,使整個市場環境不容樂觀,這樣的形勢直到2009年后才開始慢慢發生變化。
如今,隨著國家對于信息安全重視程度的提高,“自主可控”逐漸成為信息安全的衡量標桿,基于這一要求宏觀政策的天秤開始向國產數據安全企業傾斜。在信息安全領域,美好時代正悄然來臨,越來越多自主創新的國產企業得到了國家部委的大力支持。
與億賽通相似,北京明朝萬達科技有限公司(以下稱明朝萬達)也是以數據加密服務為主要業務的一家國內企業。
明朝萬達的執行董事兼研發副總裁喻波告訴記者:“中國近年來高速發展的經濟為信息安全和數據安全建設提供了充分的經濟基礎,再加上宏觀政策和國家部委的支持,這些條件對于國產企業未來的發展和我國數據安全產業生態的完善都是非常有利的。”
信息安全≠數據安全
對于大多數人來說,日常生活中信息和數據的概念通常是混淆的。因此,信息安全和數據安全也自然而然地被混在一起。標準院的葉潤國博士在研討會上指出:“數據安全雖然與信息安全聯系非常緊密,但事實上,兩者的概念并不相同。”
數據安全是專指對電子格式信息進行的安全保護。如果在未授權的情況下,對數據進行的篡改、毀壞和泄露,則被認為是對數據安全造成了威脅。
信息的高度共享既帶來了便利,也制造了麻煩,在云計算、大數據技術已經相當普及的今天,這對矛盾越發明顯。與西方發達國家相比,我國在云計算、物聯網、大數據、移動互聯網等新興信息技術方面,信息安全保障還相對落后。
賽迪智庫信息安全研究所馮偉認為:“積極完善安全標準體系是我國應對數據安全的重要手段。”在日益嚴峻的信息安全挑戰面前,數據安全標準的制定工作已是迫在眉睫。
一方面,數據作為電子格式化的信息已經成為政府、企業、機構和個人的重要資產,是黑客和監聽機構最希望獲取的信息,所以從這個角度來看,數據安全可以說是信息安全的最后一道防線。另一方面,雖然在傳統的數據應用環境中,我們已經有了一些應對數據安全問題的成熟機制,但是大數據時代來臨致使傳統數據應用環境發生了翻天覆地的變化,原先的標準和解決方案已經不能滿足需求。
通過與葉潤國的交談,記者了解到,雖然數據安全標準是基于信息安全背景制定好的,但是數據安全標準一旦制定,其適用范圍將突破IT行業的限制,推廣到各個行業中來。
葉潤國說:“目前市場上已經有一些廠商在做數據安全的業務了,但并非所有廠商都能提供滿足數據安全合規性要求的產品。數據安全標準一旦制定并推廣開來,無論是國產企業還是國外企業,都必須按照這個標準來規范產品,并在保障用戶隱私方面增加相應投入,這些工作的開展很可能會對行業內現有的企業產生較大的影響。但是,從長遠發展的角度來看,制定并實施數據安全標準不僅有利于良性產業生態圈的建立,而且對于國家的信息安全戰略的實施也起到極為重要的作用。”
信息安全日益被重視,國產數據安全企業無疑遇到了一個發展良機。但是數據安全企業仍有諸多障礙需要克服,數據安全標準的缺失便是其中之一。
由于缺乏統一的數據安全標準,企業所有的數據分類分級工作通常只能單純憑借長期積累的實踐經驗。對于同行業甚至是跨行業的企業而言,并沒有太多可以大量復制使用的模式和經驗。
其實,對于數據安全領域的企業而言,無論針對個人用戶,還是服務于企業客戶,要在激烈的市場競爭中站穩腳跟就必須掌握平衡的藝術——“安全性”和“用戶體驗”必須兼顧。然而,沒有統一的數據安全標準,企業在取舍之間的“度”只能依靠直覺來猜測,試錯的“機會”在無形中增加許多。
一副黑框眼鏡,配上有點發福的雙下巴,他就是奇虎360科技有限公司(以下簡稱360)副總裁首席隱私官譚曉生。演講時,他向其他參會人員分享了自己在數據安全領域多年摸爬滾打積累下來的“江湖經驗”。
譚曉生認為:“數據加密的確是保護數據安全的一種方法,但是文件加密是有成本的。這個成本不光是金錢上的成本,還包括技術門檻提高所帶來的用戶體驗成本。在互聯網環境中,這種傳統的數據加密模式可能存在很多的問題。”
他拿360密盤作為例子,坦言道:“密盤可以說是我們之前開發的一款很失敗的產品。當我們放量到50萬用戶的時候,我們基本每天都可以接到50多個用戶的投訴。”萬分之一的投訴率引起了360的高度重視。因為根據以往的經驗,平均每一個投訴用戶背后往往對應著100個遇到同樣問題的人。萬分之一的投訴率,實際上意味著每100個用戶里就會有一個人遇到了類似的問題。
譚曉生繼續介紹:“我們把所有投訴用戶的問題歸結起來分析發現,問題出在技術門檻提高后用戶體驗跟不上。幾乎所有的投訴用戶都是因為自己弄丟了密鑰,然后再向我們這里索要的。要知道,這款產品在設計之初為了安全性的考慮已經做了技術處理,所有的用戶‘一人一密’,技術人員是根本就拿不到用戶的密鑰。”
密盤產品的失敗讓360明白了一個道理:在互聯網條件下,一款產品只要把技術門檻提高一點兒,用戶就可能出現許多使用上的障礙,而用戶體驗問題的重要性一點兒也不亞于產品的安全性能問題。
反復試錯是企業成長必須經歷的過程,但譚曉生分享的試錯經驗恰恰拋出了一個全行業正在面臨的重要問題。在互聯網、大數據時代,任何一款推廣的產品都需要具備普及的特性,“安全性”和“用戶體驗”之間的博弈在沒有行業標準的規范下,顯然存在著更多的不確定性。
京公網安備 11010502049343號