“互聯網+”遭遇安全挑戰

“什么互聯網+、工業4.0、大數據……都頂不住傳統行業一鏟子！”

5月27日，因杭州市政道路建設導致網絡光纜被挖斷，支付寶一度出現無法正常使用的情況，耗時兩個小時才逐漸恢復正常。

這一事件的發生，在招來大量網友調侃之余，也引發了更深層次的思考：現如今，當互聯網深刻影響人們正常生活的背景下，我們究竟面臨著哪些挑戰，需要怎樣的信息安全保障？

當“互聯網+”上升為國家戰略之時，當眾多傳統企業發力實施向“互聯網+”轉型之際，這著實是一個需要認真對待的問題。

異地多活發揮關鍵作用

此次支付寶受到光纜被挖斷影響后，阿里巴巴采取的“異地多活”系統架構，無意之間火了一把。

當我們再次將目光聚焦此次事件上時，可以發現一個值得回味的現象：被挖斷的光纜，耗時4個多小時才被修好，而支付寶的服務，僅兩個小時就恢復了正常。

這意味著，支付寶的相關服務，能夠在一定程度上抵御網絡信號在物理傳輸上的中斷。

支付寶在其聲明中指出，支付寶的異地多活系統架構在此次意外中發揮了巨大作用，沒有因光纜被挖斷而影響全部用戶，并且緊急將故障機房的流量切換至了其他機房。

“為了應對故障的發生，很多企業都會進行容災備份(以下簡稱“災備”)。傳統意義上的災備，只是為了保證數據不會丟失，但這種觀點已經過時了。”阿里安全部技術副總裁杜躍進說。

杜躍進告訴法治周末記者，按照傳統災備的定義，只是對相關的數據多了一份存檔，卻并未考慮第一時間恢復相關服務；但是，從發生問題到解決問題的很長時間內，即便數據沒有丟失，也會因為服務無法開展而對用戶造成很大的影響，甚至損失。

法治周末記者了解到，所謂異地多活的系統架構，其特點就是在不同地點的數據中心都可以同時支持業務，而且每個地點發生的交易都是真實業務流量。

“傳統災備中的備份系統，都不處于真實的交易活動狀態，所以很難判斷它的狀態到底怎么樣，在出現問題時，都不一定敢切過去。”一位安全行業人士介紹說。

而在異地多活系統中，不同數據中心之間是能夠自由切換的，如果一個數據中心受到影響而無法正常工作，完全可以切換到其他不受影響的數據中心繼續提供服務。

杜躍進認為，異地多活系統就是為了應對自然、地質災害等物理損害，即便某些數據中心遭遇通信、供電系統被切斷，也能夠保證相關服務的正常開展；而且，這種異地多活系統，在技術上可以做到無縫銜接、甚至讓用戶感受不到異樣。

而此次支付寶在系統切換上耗費了兩個小時，據支付寶方面透露，原因在于支付寶作為一個金融系統，對切換中數據與資金安全性的要求極高，因此切換速度上沒有做到更快；今后支付寶也會不斷提升切換速度。

杜躍進向法治周末記者介紹，淘寶也曾受到過此類通信光纜被挖的影響，不過淘寶用戶就基本沒有感覺到服務的異常，同樣也是異地多活系統的功勞，實現了在淘寶上幾乎無縫切換，“這種異地多活系統，除了阿里之外，目前全球也就Google和Facebook可以實現”。

“光纜被挖斷可能并不能完全杜絕，但對于支付寶而言，會繼續推進技術的升級改造，繼續完善異地多活的系統架構。未來，即使再次出現光纜被挖斷等意外情況，我們進行異地切換時，也盡量做到讓用戶最小感知甚至無感知。”支付寶在其聲明中表示。

注意“監視”與“控制”問題

正如網民所調侃的那樣，作為我國最大的互聯網上市企業，阿里巴巴在遇到類似光纜被挖斷的事件時，也難免受到安全性的影響。

而在支付寶所遇到的問題發生后不久，攜程網、招商證券系統都遭遇了系統故障，大面積服務的癱瘓，讓人們因網絡安全而緊張的情緒，再一次繃緊。

接二連三的信息安全事件發生，不禁讓人疑慮：當“互聯網+”戰略在全國各行各業內如火如荼地開展時，并不擁有頂尖網絡技術的傳統企業，會遇到類似的挑戰么？

中國信息通信研究院泰爾終端實驗室信息安全部副主任落紅衛認為，首先應當明確的是信息安全界定，對于信息安全的理解，更多時候都要放在特定的情境之中。

“狹義地來看，信息安全特指信息內容本身的安全性；而廣義地來看，信息安全也包括網絡安全，例如信息基礎設施的安全。比如此次支付寶因光纜被挖斷而無法正常使用的情況，從廣義上來看是信息安全問題。”落紅衛說。

落紅衛認為，對于工業控制的傳統企業而言，防范信息安全，需要注意兩個層面：“一個是‘監視’，另一個是‘控制’，合起來就是通常所說的‘監控’。”

落紅衛介紹，在監視層面，主要會影響到機密性，例如相關數據信息的泄露，但這并不是最令人擔憂的問題。

“對于傳統企業而言，特別是工業領域，最可怕的威脅來自于控制層面的安全問題。”落紅衛說，“控制層面的安全，會影響到企業經營、生產的完整性、可用性，比如通過控制層面修改某些生產環節至關重要的參數，引發的后果將不堪設想。”

作為安全廠商，啟明星辰首席戰略官潘柱廷提出，當“互聯網+”遇到安全問題時，就不是加法的關系了，而是一個乘法的關系：“如果企業在安全防范上做得不好，就會給我們現有的業務進行一次乘法：安全系數如果是零點幾，就會讓這家企業的業務大量萎縮；而如果安全系數是一個負數，那么企業此前大量積累的業務、數據，甚至可能變成一種災害。”

國家互聯網應急中心運行部副處長李佳也認為，在“互聯網+”的大背景下，數據是企業的核心資產，但也是網絡攻擊的首要目標。傳統企業面臨轉型時，在網站或APP應用上的開發經驗不足，安全意識和水平不夠，網站服務器訪問控制機制較弱，導致黑客能夠利用系統上的漏洞對服務器發起攻擊，從而輕易獲得服務器中所有信息，造成數據泄露。

“例如，2014年我國多家知名電商、快遞公司、招聘網站、考試報名網站等發生數據泄露事件。5月中旬，工業和信息化部處理了一起某知名手機廠商論壇數據泄露事件，原因是該論壇使用的用戶管理模塊存在漏洞，導致包括賬號、密碼和社交賬號等800萬條用戶信息泄露。”李佳告訴法治周末記者。

面對這樣的挑戰，李佳建議，網絡安全防范工作是一個系統、復雜的工程，需要將技術與管理兩方面結合起來進行綜合、全面的規劃和設計。

“在技術方面，應部署身份認證、訪問控制、入侵檢測、防火墻、日志審計、容災備份等安全保護措施，并定期對系統進行漏洞掃描等安全性檢測。在管理方面，一是要加強對內部工作人員網絡安全意識的教育和管理，二是要有針對性的制定各種規章制度。”李佳說。

照搬安全系統并不可行

面對新形勢下的信息安全問題，眾多轉型“互聯網+”的企業，尋求通過外界的幫助，來構建一整套安全系統。大量的市場需求，也帶動了企業級系統安全廠商的發展。

在6月1日啟動的第二屆國家網絡安全宣傳周上，法治周末記者看到，諸如阿里巴巴、騰訊、360、啟明星辰等公司紛紛搭臺，展示了面向企業用戶的安全解決方案。

然而，在中科院信息工程研究所高級工程師仇新梁看來，盡管有著外部安全廠商專門解決企業遇到的信息安全難題，但實際上，問題的根源還是要從企業內部挖起。

“向‘互聯網+’轉型的傳統企業，實際上都是看中了互聯網能夠帶來的成本降低以及效率、服務質量的提升。但是，這些企業很多都沒有從意識中建立信息安全的觀念，就上馬‘互聯網+’戰略，進而導致信息安全問題十分突出。”仇新梁說。

仇新梁提醒，“互聯網+”只是一種轉型，并不會創造很多新的問題，只不過是一些此前從未遇到過此類問題的企業，在面臨這些問題時應當如何應對。

“即便有安全廠商能夠提供安全服務，一家企業也應當做好自身內部安全保障機制和措施的建設。”仇新梁說。

杜躍進強調，目前最大的問題，實際上是傳統企業并不真正重視互聯網中的安全問題：“表面上看大家都很重視信息安全問題、天天都在講信息安全，也有很大的投入，但要是沒搞明白新環境下的安全究竟應當如何保護的話，這些投入再大都是沒有意義的。”

杜躍進認為，“互聯網+”的背景使得傳統生產模式互聯網化、線上線下領域疊加、環節越來越多、相關服務的快速迭代等情況出現，讓很多安全問題本身復雜化了。

“僅僅靠一套系統、單點進行安全保護，對于當下的環境而言，是遠遠不夠的。”杜躍進說，“我們需要一整套生態系統、一整套鏈條來保障‘互聯網+’時代背景下的信息安全，而不僅僅是照搬一套安全系統、架構來使用的問題。”

“安全問題”成不正當競爭新手段

傳統企業在向“互聯網+”轉型時應當提升對信息安全的認識、真正理解新時代所面臨的問題與挑戰，落紅衛也提醒，企業在做好自身安全防范的同時，也要量力而行，考慮在安全領域上的投入、產出性價比。

“首先要明確的是，網絡世界中并沒有絕對的安全。要是一家企業想把信息安全做到極致，投入可能是十分巨大的，這實際上會造成資源的浪費。”落紅衛指出。

落紅衛建議，企業在考慮如何保障“互聯網+”轉型過程中的信息安全，要充分評估保護對象的社會價值和經濟價值，相關投入一定要和自身的價值、重要性相匹配，找到最具性價比的做法，讓安全措施在最大限度內發揮有效作用即可。

另外，仇新梁還提到，傳統企業在實施“互聯網+”戰略過程中，也要提防傳統行業之間的競爭延伸到互聯網上，利用安全問題來做不正當競爭的文章。

“由于安全的重要性，一家企業在遭遇安全事件時，往往會對企業的聲譽產生極大的負面影響，也會讓企業未來的‘互聯網+’之路舉步維艱。”仇新梁說，“現實中，利用網絡攻擊制造安全事件，并通過輿論施壓、抹黑競爭對手的情況不在少數。”

而這些情況一旦發生，對于上市企業而言，很有可能被做空勢力利用，進而造成股價下跌等一系列后果。

“也有一些網站以曝光企業系統中的漏洞為由，尋求企業‘贊助’，這種現象也值得關注。”仇新梁指出。

李佳認為，隨著“互聯網+”戰略的實施，我國迫切需要在以下方面制定政策或法律：“一是出臺國家網絡安全戰略，加強網絡安全頂層設計；二是制定關鍵信息基礎設施產品與服務安全審查制度，加強關鍵基礎設施保護；三是制定個人信息保護、數據保護、網絡安全行為準則等法律法規，治理互聯網惡意競爭、凈化網絡環境。”