解讀：棱鏡門引發(fā)的信息安全思考 - 全文

　　被曝光的是美國國家安全局（NSA）自2007年起開始實施的絕密電子監(jiān)聽計劃——棱鏡計劃（PRISM）代號為“US-984XN”。棱鏡計劃能夠?qū)磿r通信和既存資料進行深度監(jiān)聽。國家安全局在PRISM計劃中可以獲得的數(shù)據(jù)電子郵件、視頻和語音交談、影片、照片、VoIP交談內(nèi)容、檔案傳輸、登入通知，以及社交網(wǎng)絡細節(jié)。

　　當大數(shù)據(jù)的獲取和分析成為棱鏡計劃的必經(jīng)之路，不可避免地，身處科技前沿的企業(yè)卷入這一計劃。斯諾登披露的文件稱，棱鏡的項目可以使情報人員通過“后門”進入9家主要科技公司的服務器，這些公司包括微軟、雅虎、谷歌、Facebook、PalTalk、美國在線、Skype、You Tube、蘋果。
?

　　那么中國的信息安全又如何

　　曾經(jīng)有人這樣形容，中國的信息安全在以思科為代表的美國“八大金剛”（思科、IBM、Google、高通、英特爾、蘋果、Oracle、微軟）面前形同虛設。

　　在網(wǎng)絡基礎設施建設方面，以思科為例，有資料顯示，過去十幾年間，思科幾乎參與了中國所有大型網(wǎng)絡項目的建設，涉及政府、海關、郵政、金融、鐵路、民航、醫(yī)療、軍警等重要行業(yè)。中國電信、中國聯(lián)通等電信運營商的網(wǎng)絡基礎建設思科也參與其中，在承載著中國互聯(lián)網(wǎng)80%以上流量的中國電信163和中國聯(lián)通169兩個骨干網(wǎng)中，思科占據(jù)了70%以上的份額，并占據(jù)著所有超級核心節(jié)點。

　　而微軟、Google和蘋果則掌握了中國的操作系統(tǒng)份額，微軟是office辦公軟件領域絕對的老大，在國內(nèi)也是出于統(tǒng)治地位。

　　此外，我國用戶使用的軟硬件設備，大部分來自美國，信息很容易被監(jiān)聽、過濾。

　　這些都讓中國的互聯(lián)網(wǎng)顯得脆弱甚至不堪一擊，美國監(jiān)控中國易如反掌。

　　反觀中國企業(yè)在美國的遭遇

　　典型的，華為和中興始終無法打開美國市場主要因為網(wǎng)絡安全問題的隱憂。去年，在對華為、中興兩家企業(yè)長達11個月的調(diào)查后，美國眾議院情報委員會發(fā)表報告稱，美國電信運營商不應和華為、中興兩家公司進行合作，因為這兩家公司“可能對美國國家安全構(gòu)成威脅”。

　　在云計算、大數(shù)據(jù)時代的背景下安全如何考量？

　　從2009年起，云計算在我國開始進入實質(zhì)性發(fā)展階段。以上海、北京、天津為代表的地方政府，建設政府公務云及面向中小企業(yè)的公有云；以中國移動、中國電信為代表的傳統(tǒng)電信運營商，為運營支撐系統(tǒng)搭建私有云。

　　最近興起的云服務則是另一股潛流。微軟通過和國內(nèi)企業(yè)的合作，實現(xiàn)Office 365云計算辦公軟件和Windows Azure云計算平臺在中國的落地。去年12月，亞馬遜AWS云計算產(chǎn)品中文網(wǎng)站悄然上線，云計算服務入駐中國也指日可待。蘋果和谷歌的應用商店在中國區(qū)的運行同樣存在因把握用戶數(shù)據(jù)帶來的網(wǎng)絡安全潛在風險。

　　云計算的發(fā)展和應用使IT領域正在發(fā)生深刻變革，但它在提高IT資源使用效率的同時，給信息安全帶來多個層面的沖擊與挑戰(zhàn)。最典型的安全問題就是“個人數(shù)據(jù)會泄露”。用戶可以使用云平臺進行一些安全性的攻擊，或者用一些計算來破解密碼。

　　云計算中已經(jīng)暴露出的安全問題如：2007 ～ 2008 年間，亞馬遜云平臺出現(xiàn)了大范圍的故障；在2009年，谷歌中出現(xiàn)了客戶個人的信息的泄露問題；2009年，微軟的云平臺出現(xiàn)了崩潰，致使數(shù)據(jù)丟失；2011年4月22日，亞馬遜的云數(shù)據(jù)中心的服務器出現(xiàn)了大面積的宕機，此事件是亞馬遜史上最為嚴重的云計算安全事件。在云計算時代，安全問題依然是業(yè)界及學術(shù)界所關注的關鍵問題。

　　云計算面臨的安全問題有哪些？

　　云計算服務基于寬帶網(wǎng)絡特別是互聯(lián)網(wǎng)提供，面臨各類傳統(tǒng)安全威脅，且安全問題隨系統(tǒng)規(guī)模化而被放大。另一方面，云計算與傳統(tǒng)的計算模式相比具有開放性、分布式計算與存儲、無邊界、虛擬性、多租戶、數(shù)據(jù)的所有權(quán)和管理權(quán)分離等特點，同時，云中包含大量軟件和服務，以各種標準為基礎，數(shù)據(jù)量龐大，系統(tǒng)非常復雜，因而在技術(shù)、管理和法律等方面面臨新的安全挑戰(zhàn)。此外，云計算系統(tǒng)中存放著海量的重要用戶數(shù)據(jù)，對攻擊者來說具有更大的誘惑力，如果攻擊者通過某種方式成功攻擊云系統(tǒng)，將會給云計算服務提供商和用戶帶來重大損失，因此，云計算的安全性面臨著比以往更為嚴峻的考驗。與傳統(tǒng)IT安全比較，云計算特有的安全問題主要有以下四個方面：

　?。? ）云計算平臺導致的安全問題。云計算平臺聚集了大量用戶和數(shù)據(jù)資源，更容易吸引黑客攻擊，而故障一旦發(fā)生，其影響范圍多，后果更加嚴重。此外，其開放性對接口的安全也提出了更高的要求。另外，云計算平臺上集成了多個租戶，多租戶之間的信息資源如何安全隔離也成為云計算安全的突出問題。

　?。?）虛擬化環(huán)境下的技術(shù)及管理問題。傳統(tǒng)的基于物理安全邊的防護機制難以有效保護基于共享虛擬化環(huán)境下的用戶應用及信息安全。另外，云計算的系統(tǒng)如此之大，而且主要是通過虛擬機進算，一旦出現(xiàn)故障，如何快速定位問題所在也是一個重大挑戰(zhàn)。

　?。?） 云平臺可用性問題：用戶的數(shù)據(jù)和業(yè)務應用處于云計算系統(tǒng)中，其業(yè)務流程將依賴于云計算服務提供商所提供的服務，這對服務商的云平臺服務連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外，當發(fā)生系統(tǒng)故障時，如何保證用戶數(shù)據(jù)的快速恢復也成為一個重要問題。

　?。?） 云計算這種全新的服務模式將資源的所有權(quán)、管理權(quán)及使權(quán)進行了分離，因此用戶失去了對物理資源的直接控制，會面臨與服務商協(xié)作的一些安全問題，如用戶是否會面臨服務退出障礙，不完整和不安全的數(shù)據(jù)刪除會對用戶造成損害，因此如何界定用戶與服務提供商的不同責任也是一個重要問題。

　　云計算安全所面臨的挑戰(zhàn)有很多，對云的發(fā)展至關重要，成為云發(fā)展的最大障礙。

　　國內(nèi)信息安全五大盲區(qū)

　　盲區(qū)一：國內(nèi)政企盲目選擇國外電子產(chǎn)品

　　目前，國內(nèi)政府和企業(yè)對外國品牌的電子產(chǎn)品、信息技術(shù)產(chǎn)品過分依賴。據(jù)媒體報道，涉及“棱鏡門”的思科產(chǎn)品在國內(nèi)163、169兩大主干通訊網(wǎng)絡中占據(jù)了70%以上份額，把持了所有超級核心節(jié)點。很多政企選擇信任外國產(chǎn)品都是出于高性能的考量，然而不知不覺間，這些外國廠商卻成為了企業(yè)信息安全的重大隱患。

　　“無論是電子設備廠商還是信息技術(shù)廠商，都是有國籍的，但是互聯(lián)網(wǎng)和電子信息產(chǎn)品卻沒有國界”，瑞星安全專家表示，“從技術(shù)角度來講，任何電子信息類產(chǎn)品都有被植入后門、竊取用戶情報的可能。廠商一旦受到來自國家或競爭對手的壓力，就可能會鋌而走險。”

　　盲區(qū)二：企業(yè)信息安全體系建設基本為零

　　當前國際信息對抗日趨嚴重，同行業(yè)之間的競爭也愈加激烈，然而目前國內(nèi)很多企業(yè)對信息安全建設的概念僅僅停留在簡單安裝殺毒軟件的層面，這是遠遠不夠的。殺毒軟件只能解決病毒相關問題，卻不能解決由系統(tǒng)管理不嚴、員工操作不當和黑客入侵引發(fā)的安全問題。

　　“信息安全體系建設，不只是用信息安全產(chǎn)品搭建一個堡壘，更重要的是企業(yè)自身建立一套完善的信息安全制度”，瑞星安全專家指出，“只有有形的產(chǎn)品和無形的制度相互配合，才能避免核心機密被類似‘棱鏡’項目所窺視?！?/p>

　　盲區(qū)三：BYOD將成為企業(yè)信息安全的致命傷

　　BYOD是指企業(yè)允許員工將自有的個人電腦、手機、平板電腦等終端設備接入企業(yè)內(nèi)網(wǎng)。目前在國內(nèi)，很多企業(yè)鼓勵這種行為，多數(shù)是出于方便辦公、節(jié)約辦公成本的目的，然而這樣的做法卻使得辦公數(shù)據(jù)與私人設備的物理邊界消失，使得員工和外來人員可以隨意接入企業(yè)網(wǎng)絡，拷貝機密文件。

　　美國情報機構(gòu)擁有非常完備的信息保全制度，但仍無法攔住斯諾登將機密文件拷貝至自己的設備，這與BYOD不無關系。由此可見，擁有周密制度的專業(yè)機構(gòu)尚且無法規(guī)避信息泄露，國內(nèi)毫無防御方案的企業(yè)，更時刻面臨著信息安全危機。

　　盲區(qū)四：新科技、新應用隱藏巨大風險

　　近年來，新科技、新應用發(fā)展迅速，這也為企業(yè)信息安全帶來了很多未知風險。瑞星安全專家解釋，“舉個最貼近生活的例子就是智能手機，黑客或企業(yè)內(nèi)鬼可利用智能手機的攝像頭和麥克風，全程監(jiān)聽企業(yè)內(nèi)部的信息。同時作為移動終端設備，手機又能使用自己的網(wǎng)絡，將監(jiān)聽到的信息隨時上傳至互聯(lián)網(wǎng)。所以，即使不接入企業(yè)內(nèi)網(wǎng)，黑客、企業(yè)內(nèi)鬼及競爭對手（或國家）的情報部門都可能利用智能終端設備來獲取企業(yè)機密情報?！鳖愃齐娪啊?07》、《碟中諜》的竊密橋段，現(xiàn)在已成現(xiàn)實。

　　盲區(qū)五：云端服務器風險不容忽視

　　“棱鏡”項目中，提到美國有九家互聯(lián)網(wǎng)聚頭向情報機構(gòu)開放了服務器，以便監(jiān)視個人、企業(yè)及他國的互聯(lián)網(wǎng)行為?！霸萍夹g(shù)應用帶來的巨大安全風險由此可見一斑”，安全專家表示，云技術(shù)以節(jié)省本地資源、運行速度高等特點受到了整個互聯(lián)網(wǎng)行業(yè)的追捧。這項技術(shù)，需要企業(yè)將用戶信息、辦公系統(tǒng)，乃至商業(yè)機密上傳到云端數(shù)據(jù)庫，以便在需要時隨時調(diào)用。然而一旦云端服務器遭到黑客入侵，或服務器和云端系統(tǒng)供應商在系統(tǒng)中留有后門，企業(yè)信息安全將成為一紙空談。

　　在互聯(lián)網(wǎng)時代的今天，“棱鏡”給政府、企業(yè)及個人上了一堂現(xiàn)實版的信息諜戰(zhàn)課。棱鏡門再一次提醒國人，我們在互聯(lián)網(wǎng)，特別是軟件、硬件方面的家底很薄，高端數(shù)據(jù)庫、芯片、服務器和操作系統(tǒng)等不能自給，都得靠從歐美進口，沒有核心自主知識產(chǎn)權(quán)，談信息安全非常無力，猶如癡人說夢。

　　在政策支持和市場需求的驅(qū)動下，中國信息安全產(chǎn)業(yè)近幾年年平均增長20%以上，但中國信息安全投入占IT總投入的比重仍然大幅低于歐美國家。面對威脅，只有采用更適合中國用戶的信息安全產(chǎn)品，具有自主知識產(chǎn)權(quán)，才能真正保護我國的國家信息安全體系。