近年來,隨著互聯網對于人們生活的滲透,有關信息安全的問題日漸受到關注。尤其是去年“棱鏡門”事件的發生,更是讓不少的網民發現,不僅是自己的個人信息安全在互聯網上面臨著互聯網服務企業有意無意的“外泄”、垃圾短信滋擾或者釣魚詐騙等種種不法行為的威脅;就連關系到國家穩定發展的更高層面的信息安全,也同樣存在著各種各樣的潛在的“后門”。所幸的是,隨著信息安全意識的不斷提高,以及我國政府對于信息化發展的日益重視,政府有關部門對信息安全的重要性也不斷提升,而隨之而來,則是一場雷厲風行的“清理”行動。
賽門鐵克被爆暗藏“后門”
日前據媒體報道,公安部下發通知,要求各級公安機關今后禁止采購賽門鐵克的“數據防泄漏”(Symantec DLP)產品,并盡快用國產軟件予以更換,原因是該產品存在竊密后門和高危安全漏洞。該通知顯示,因賽門鐵克的“數據防泄漏”(Symantec DLP)產品存在竊密后門和高危安全漏洞,各地公安機關正在核查賽門鐵克“數據防泄漏”、防病毒等安全產品的使用情況。同時,通知要求各級公安機關今后禁止采購使用該產品。對于已在使用相關產品的單位,在接到通知后要立即停用此產品,并列出時間表,盡快用國產軟件予以更換。
資料顯示,“數據防泄漏”是指防止敏感數據的泄漏。由于國外信息技術、安全技術的發展較國內先進,最早由國外安全廠商建立和發展了數據防泄漏產品和體系。國內目前還比較缺乏相關的產品,大多數只能提供加解密、權限管理產品,并非傳統意義上的DLP產品,隨著越來越多企業對數據安全的重視,數據安全市場會有一個爆發式的增長,但是如果讓所有的企業都采用加密、權限控制的產品,勢必會增加管理成本,而且加密產品并非萬無一失,一旦密鑰泄露,后果更加嚴重,所以大多數用戶需要的還是類似于國外的DLP產品,基于內容識別,讓正常的數據正常流轉,對敏感數據進行審計和攔截。
針對這一市場傳聞,賽門鐵克也緊急做出回應,稱其產品并不存在所謂的后門,并表示2011年11月賽門鐵克DLP產品通過檢測獲得中國公安部“計算機信息系統安全專用產品銷售許可證”,該產品被允許在中國境內銷售。賽門鐵克同時還稱,其研發部門擁有專門的漏洞檢測團隊,能確保產品通過版本的更新不斷修正漏洞。雖然賽門鐵克已經就問題做出了回應,但是事實上,自去年“棱鏡門”爆發以來,針對美國在IT設備及軟件暗藏“后門”竊取信息的疑問就一直沒有停止。
微軟“先行一步”已被禁
與賽門鐵克傳言因“后門”問題被禁相比,與廣大網民息息相關的微軟,則更早一步因安全問題遭到了我國政府的摒棄。資料顯示,在今年五月,中央國家機關政府采購中心近日發出一份通知,通知要求,國家機關進行信息類協議供貨強制節能產品采購時,所有計算機類產品不允許安裝Windows8操作系統。但該通知并未說明禁止采購Win8系統的原因。
有安全領域人士則表示,國家政府采購摒棄Win8主要可能有國家信息安全、采購成本和Win8系統易用性等方面的考慮,而國家信息安全無疑是最主要的因素。中國工程院院士倪光南此前曾表示,微軟的Vista操作系統當年之所以沒被列入政府采購目錄,是因為微軟在架構上做了變動:所有運行的軟件,必須通過微軟的審核,用戶實際上沒有對電腦的控制權,而是微軟控制了電腦。而據倪光南介紹,Win8與Vista是同一類型,甚至掌控的程度更高。這也就是說,在微軟向中國政府公開win8源代碼前,如果采購了win8,那微軟就將掌控中國的信息安全。
據南方日報記者了解到,就國家在對微軟win8系統摒棄后不久,微軟另一款拳頭產品Office被禁的傳聞也開始不脛而走。中科院倪光南院士在接受采訪時則認為,微軟Office很大、很復雜,經常發現漏洞,要打補丁。眾所周知,這種大型軟件如果不是自主開發的,很難保證沒有“后門”之類的安全隱患。倪光南特別強調,Office是最常用的軟件之一,大量信息都需要通過Office產生和加工,微軟是參與“棱鏡門”等監控計劃的“八大金剛”之一,顯然,使用微軟Office也就存在著大量信息被監控的風險。“微軟office政府采購被禁也不是沒有可能的事情。”
“禁用”只為保護信息安全
在如今的互聯網時代,當信息與網絡進行連接后,無邊際的網絡將會為有邊際要求的信息帶來安全的隱患。在安全領域方面,從國家信息安全層面來看,如果國家政府和企業的重要數據因為國外設備和軟件的“后門”而遭到泄露,那必定會給國家和企業帶來不可估量的后果。
據南方日報記者了解到,面對日益嚴重的信息安全問題,在去年年底,我國金融系統內部就發起去“IOE”行動,呼吁國內銀行放棄由IBM、Oracle和EMC的產品,盡量采購本土同類產品;在今年5月下旬,國家互聯網信息辦公室公布出臺了《網絡信息安全審查制度》,規定凡是涉及國家安全和公共利益的所有的系統使用的信息技術產品和服務,都將進行安全審查。再到如今對微軟和賽門鐵克有問題產品的“禁用”,足以可見國家對信息安全問題的重視程度正不斷提高,而對危害國家信息安全的軟件和現象也是毫不手軟。
有安全專家表示,面對信息安全問題,全世界都在積極行動應對技術的變化,因為信息安全涉及國家安全,而針對在設備和軟件中設置“后門”的行為,很多國家和組織出臺相應法律和規定。例如歐盟規定,在歐洲進行的互聯網及云端服務的系統,數據物理載體必須存儲在歐盟的數據處理中心上,禁止傳輸到美國。(葉丹)
信息安全“求人不如求己”
“‘棱鏡門’等事件給我們一個啟發,也是給中國市場一個啟發,我們的信息系統必須建立在自主可控的技術平臺上才是安全可靠的一個前提,一個必要條件。如果系統是建立在國外的技術軟件和硬件的基礎上,你要談安全可靠的前提都不成立。反過來,我們正是構建了自己的國產軟件、硬件,包括芯片,是不是一定安全可靠呢?這個必要條件達到了,我們在此基礎上還有很多事情要做,才能做到安全可靠。”用友軟件高級副總裁鄭雨林在接受南方日報記者采訪時認為,國家層面的信息安全,只有建立在自主可控的技術平臺上才有可能實現。“這樣的趨勢也讓我們國產的軟、硬件廠商在未來幾年有一個很好的市場機會,也只有我們本土的國產軟、硬件產業真正強大了,我們可以支撐國計民生重要信息系統的相關軟硬件產業能力,我們才能真正去支撐國家重要的信息系統平臺。”鄭雨林認為,一個國家信息安全的根本保障只有一條路,就是IT產業強大。
資料顯示,隨著“棱鏡門”等事件的發生,以及中央網絡安全和信息化領導小組的成立,信息安全已經上升為國家戰略,也進一步推動國產企業安全產品普及。據賽迪顧問發布的《2013年度中國企業殺毒軟件產品市場調研報告》顯示,“360”已經成為企業殺毒軟件產品品牌覆蓋率最大的企業殺毒軟件,占比達42%;緊隨其后是賽門鐵克和瑞星,占比分別為18%和13.5%;這三個品牌就占據了國內73%的企業殺毒軟件市場。而就在日前,計算機病毒防治技術國家工程實驗室——云計算與虛擬化平臺病毒防治技術研發與試驗平臺也在瑞星公司正式掛牌成立。據介紹,新成立的國家工程實驗室下含九大基礎工作平臺,包括計算機病毒監測預警及應急處理平臺、移動互聯網病毒防治技術研發與試驗平臺、下一代互聯網病毒防治技術研發與試驗平臺、云計算與虛擬化平臺病毒防治技術研發與試驗平臺、APT威脅分析及攻防實驗平臺、信息技術產品安全性檢測與驗證平臺、重要信息系統安全監測平臺、網絡安全漏洞發現與驗證平臺、重要行業專網惡意代碼防范驗證平臺。據悉,瑞星公司此次承擔了云計算與虛擬化平臺病毒防治技術研發與試驗平臺的承建工作,將主要研究下一代互聯網、特定目標攻擊、云計算和虛擬化等環境下的計算機病毒檢測、病毒特征提取、病毒捕獲分析和取證、病毒防護和監測等關鍵技術。瑞星執行副總裁張雨牧在接受采訪時則躊躇滿志地表示,目前國家號召使用國產操作系統,對瑞星和國產軟件來說是一個新的機會和挑戰。瑞星將繼續加大研發力度,開發出更多可以滿足用戶需求的信息安全產品,將信息安全做到極致。
京公網安備 11010502049343號