誰(shuí)在暗中盯著大數(shù)據(jù)安全軟肋?

責(zé)任編輯:editor005

2014-09-13 20:31:00

摘自:百度百家

本文作者是徐亦瀟,《中國(guó)經(jīng)濟(jì)和信息化》授權(quán)刊發(fā),原文標(biāo)題是《大數(shù)據(jù)安全軟肋》。近年來(lái),幾乎所有的國(guó)產(chǎn)企業(yè)都自發(fā)地扛起了自主可控的安全大旗,自主可控也已經(jīng)成為目前國(guó)內(nèi)企業(yè)發(fā)展的一個(gè)大趨勢(shì)。

在數(shù)據(jù)信息等同于企業(yè)財(cái)富的今天,對(duì)于企業(yè)、政府和各大機(jī)構(gòu)而言,一些核心數(shù)據(jù)的價(jià)值甚至遠(yuǎn)高于銀行中的貨幣資產(chǎn)。計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的高度發(fā)達(dá),使數(shù)據(jù)信息的存儲(chǔ)變得更加集中,這在降低成本、提高效率的同時(shí),也增加了數(shù)據(jù)丟失損毀的風(fēng)險(xiǎn)及破壞力。

身處大數(shù)據(jù)時(shí)代,信息安全問(wèn)題已是迫在眉睫。

安全軟肋

大數(shù)據(jù)時(shí)代,幾乎每個(gè)人都無(wú)法與數(shù)據(jù)和信息撇清關(guān)系。置身于龐雜的數(shù)據(jù)流之中,信息安全成了與每個(gè)人息息相關(guān)的事情。

中科同向信息技術(shù)有限公司(以下簡(jiǎn)稱中科同向)總經(jīng)理鄔玉良告訴《中國(guó)經(jīng)濟(jì)和信息化》記者:“任何一個(gè)技術(shù)從概念到普及都要經(jīng)過(guò)一個(gè)過(guò)程,只有每個(gè)人都切身體會(huì)到的時(shí)候,才能成為流行。不久前,iCloud受到黑客攻擊,就讓人們意識(shí)到原來(lái)信息安全與自己切身相關(guān),腦子里關(guān)于數(shù)據(jù)安全的弦兒開(kāi)始繃得越來(lái)越緊。”

對(duì)于大多數(shù)人而言,信息安全似乎只是一個(gè)模糊的概念。每當(dāng)提到信息安全的問(wèn)題,人們最直觀的印象就是那些廣泛存在于好萊塢大片中的黑客入侵系統(tǒng)和美國(guó)聯(lián)邦調(diào)查局監(jiān)聽(tīng)的場(chǎng)景。

近兩年,媒體上關(guān)于服務(wù)器、路由器、手機(jī)等信息安全威脅的報(bào)道越來(lái)越多。“后門(mén)”這個(gè)詞語(yǔ),逐漸走入了人們的視線。在信息技術(shù)中,后門(mén)指的是程序員開(kāi)發(fā)軟件時(shí),提前在軟件模塊上留下的秘密入口,開(kāi)發(fā)者和黑客都能夠從這個(gè)通道輕易進(jìn)入系統(tǒng)內(nèi)部,而不被用戶察覺(jué)。通常情況下,這個(gè)入口并不會(huì)在軟件使用說(shuō)明上標(biāo)注出來(lái),所以鮮為人知。從棱鏡門(mén)事件來(lái)看,軟件上預(yù)留的監(jiān)聽(tīng)后門(mén)正是竊取數(shù)據(jù)和信息的主要來(lái)源。

鄔玉良說(shuō):“其實(shí),在這個(gè)‘軟件定義世界’的時(shí)代,軟件既是IT系統(tǒng)的核心,也是大數(shù)據(jù)的核心,幾乎所有的后門(mén)都是開(kāi)在軟件上。”

單純從技術(shù)角度來(lái)說(shuō),軟件預(yù)留的后門(mén)未必全都是用來(lái)竊取信息的,但往往這種隱藏于角落的暗道,會(huì)給用戶帶來(lái)一定的不安全感,甚至在被黑客利用的過(guò)程中造成數(shù)據(jù)信息不必要的損失。

據(jù)了解,IBM、EMC等各大巨頭生產(chǎn)制造的存儲(chǔ)、服務(wù)器、運(yùn)算設(shè)備等硬件產(chǎn)品,幾乎都是全球代工的,在信息安全的監(jiān)聽(tīng)方面是很難做手腳的。換句話說(shuō),軟件才是信息安全的軟肋所在。

雖然軟件在信息安全中扮演著重要角色,但是安全威脅不只有后門(mén)監(jiān)聽(tīng)這么簡(jiǎn)單。鄔玉良表示,在大數(shù)據(jù)中,安全性是涉及多方面的,首先研究人員要考慮如何安全地存儲(chǔ)大數(shù)據(jù),此外,還需要探索怎樣安全地利用和挖掘大數(shù)據(jù)。要使大數(shù)據(jù)的安全性真正落到實(shí)處,就必須在上述的各個(gè)環(huán)節(jié)提供安全可靠、可執(zhí)行的整套解決方案。

事實(shí)上,由于利益不同,各國(guó)之間的信息戰(zhàn)長(zhǎng)期以來(lái)一直存在。隨著信息技術(shù)的發(fā)展,信息戰(zhàn)的范圍日益擴(kuò)大。時(shí)至今日,大數(shù)據(jù)已然成為各國(guó)在全球范圍內(nèi)進(jìn)行資源競(jìng)爭(zhēng)的重要手段。國(guó)家之間的信息之爭(zhēng),也自然而然地蔓延到了大數(shù)據(jù)領(lǐng)域。

我國(guó)的大數(shù)據(jù)信息安全面臨著嚴(yán)峻的挑戰(zhàn),2014年的《政府工作報(bào)告》指出,“要設(shè)立新興產(chǎn)業(yè)創(chuàng)業(yè)創(chuàng)新平臺(tái),在大數(shù)據(jù)等方面趕超先進(jìn),引領(lǐng)未來(lái)產(chǎn)業(yè)發(fā)展。”

提到國(guó)外巨頭為何要在軟件上預(yù)留后門(mén)的問(wèn)題時(shí),此前對(duì)大數(shù)據(jù)安全技術(shù)侃侃而談的鄔玉良突然變得深沉起來(lái),他解釋道:“其實(shí),從棱鏡門(mén)事件,再到賽門(mén)鐵克和卡巴斯基監(jiān)聽(tīng)數(shù)據(jù)信息,不難看出軟件后門(mén)的信息安全威脅之所以能夠長(zhǎng)期存在,究其根本還在于國(guó)家之間的利益較量。單純從動(dòng)機(jī)的角度考慮,國(guó)產(chǎn)的大數(shù)據(jù)企業(yè)一般要比國(guó)外的大數(shù)據(jù)企業(yè)具有更高的安全性。因?yàn)楸緡?guó)企業(yè)幾乎沒(méi)有竊取信息數(shù)據(jù),尤其是國(guó)家機(jī)密的動(dòng)機(jī)。”

自主可控

信息安全問(wèn)題受到關(guān)注后,越來(lái)越多的大數(shù)據(jù)企業(yè)為了爭(zhēng)奪市場(chǎng)紛紛打出“安全牌”。其中,不少企業(yè)聲稱能夠從數(shù)據(jù)傳輸、數(shù)據(jù)計(jì)算到數(shù)據(jù)存儲(chǔ)各個(gè)過(guò)程提供可靠安全校驗(yàn)的機(jī)制,甚至能夠?qū)Υ鎯?chǔ)數(shù)據(jù)進(jìn)行符合標(biāo)準(zhǔn)的加密設(shè)置。

既然技術(shù)上已經(jīng)采取了嚴(yán)防死守的多項(xiàng)措施,為什么信息安全的漏洞還是堵不住呢?

正如中國(guó)工程院院士倪光南曾提到信息主權(quán)概念時(shí)表示,你的信息被別人掌握了,還有什么主權(quán)?

在采訪中,鄔玉良對(duì)倪光南院士的觀點(diǎn)表示贊同。

對(duì)于現(xiàn)代信息安全而言,最危險(xiǎn)的行為并非軟件上的監(jiān)聽(tīng)漏洞和潛伏的黑客危機(jī),而是將自主控制的權(quán)力交給“他人”。這就好比將自家的鑰匙全部交到了外人手里,安全問(wèn)題又從何談起呢?

其實(shí),把所有的IT系統(tǒng)抽象來(lái)看,其本質(zhì)就是“硬件+軟件”。軟件供應(yīng)方在主板上加入特殊的芯片,或是在軟件上設(shè)計(jì)了特殊的路徑處理,檢測(cè)人員只按照協(xié)議上的功能進(jìn)行測(cè)試,根本就無(wú)法察覺(jué)軟件預(yù)留的監(jiān)聽(tīng)后門(mén)。也就是說(shuō),如果沒(méi)有自主可控的信息安全檢測(cè)備案,之前所謂的各種安全機(jī)制和加密措施,就都是形同虛設(shè)。因此,自主可控的重要性不言自明。

近年來(lái),幾乎所有的國(guó)產(chǎn)企業(yè)都自發(fā)地扛起了自主可控的安全大旗,自主可控也已經(jīng)成為目前國(guó)內(nèi)企業(yè)發(fā)展的一個(gè)大趨勢(shì)。

在采訪中,杭州宏杉科技有限公司(以下簡(jiǎn)稱宏杉科技)行業(yè)市場(chǎng)部技術(shù)總監(jiān)汪振浩告訴記者:“竊取信息,說(shuō)到底就是通過(guò)預(yù)留后門(mén)或者黑客入侵等方法,最終拿到存儲(chǔ)器保存的全部數(shù)據(jù),所以存儲(chǔ)是信息安全非常重要的一個(gè)方面。要保證數(shù)據(jù)的安全,必須兼顧硬件和軟件,包括從芯片級(jí)的研發(fā)到軟件代碼的編寫(xiě)等多個(gè)方面。保證研發(fā)全過(guò)程的自主可控。是保障信息安全的一個(gè)重要渠道。”

關(guān)于什么是自主可控,汪振浩舉了一個(gè)事例具體說(shuō)明:“與政府合作開(kāi)發(fā)的過(guò)程中,有一些關(guān)于信息安全的控制要求,比如要把源代碼交給相關(guān)部門(mén)進(jìn)行備案。對(duì)于宏杉科技而言,我們一方面有源代碼可以提供,另一方面也有輔助完成各期項(xiàng)安全檢查工作的意愿,而一些國(guó)外的企業(yè)卻難以滿足這兩點(diǎn)要求。”

通過(guò)交談得知,為了進(jìn)一步推動(dòng)信息安全的自主可控,國(guó)內(nèi)一直在提倡“可信計(jì)算”。所謂的“可信計(jì)算”就是,軟件不再做功能上的黑名單,而是換以白名單來(lái)進(jìn)行控制。換句話說(shuō),一個(gè)系統(tǒng)做出來(lái),人們只需要規(guī)定允許范圍內(nèi)的業(yè)務(wù)、流量和通信路徑即可,而其他冗余的功能則不會(huì)被觸發(fā)。

目前,國(guó)內(nèi)在可信計(jì)算方面已經(jīng)研究出了一些機(jī)制,對(duì)存儲(chǔ)、芯片、軟件等多個(gè)流程都進(jìn)行了規(guī)定,使全部的處理流程都可以清晰地檢測(cè)到,而不會(huì)讓那些惡意竊取數(shù)據(jù)信息的程序躲在一個(gè)看不見(jiàn)的“黑盒子”里??梢哉f(shuō),可信計(jì)算在一定程度上促進(jìn)了自主可控的發(fā)展。

市場(chǎng)對(duì)調(diào)?

信息安全受到的重視程度與日俱增,不僅讓受到“后門(mén)”指控的國(guó)外大數(shù)據(jù)巨頭逐漸喪失了中國(guó)的政府采購(gòu)市場(chǎng)上的陣地,也讓國(guó)內(nèi)相關(guān)企業(yè)迎來(lái)了政策東風(fēng)。

近兩年,浪潮、曙光、華為、聯(lián)想等數(shù)據(jù)處理領(lǐng)域的國(guó)內(nèi)企業(yè),在業(yè)績(jī)上一路引吭高歌。如今,再加上政策利好的助推,這些民族企業(yè)中的佼佼者未來(lái)將有更多機(jī)會(huì)在國(guó)家的信息系統(tǒng)部署中充當(dāng)重要角色。

總體看來(lái),大家對(duì)于國(guó)產(chǎn)企業(yè)的未來(lái)普遍表示樂(lè)觀,中國(guó)的大數(shù)據(jù)市場(chǎng)前途一片光明。

然而,在國(guó)內(nèi)數(shù)據(jù)處理企業(yè)發(fā)展的道路上仍然存在著一些不容忽視的障礙和問(wèn)題。例如,賽門(mén)鐵克、戴爾、惠普等國(guó)外公司在數(shù)據(jù)處理技術(shù)和品牌上具有絕對(duì)的先發(fā)優(yōu)勢(shì),一直占據(jù)著國(guó)內(nèi)大部分的市場(chǎng)份額。

汪振浩指出:“國(guó)外巨頭通過(guò)長(zhǎng)期的市場(chǎng)積累,資金、品牌、市場(chǎng)等領(lǐng)域的實(shí)力不容小覷,國(guó)內(nèi)企業(yè)和他們之間的差距是一個(gè)繞不過(guò)去的問(wèn)題。但是,國(guó)內(nèi)企業(yè)也有自己的核心競(jìng)爭(zhēng)力。首先自主可控是我們的長(zhǎng)項(xiàng),此外,我們?cè)诜?wù)的本地化和個(gè)性化擴(kuò)展上,也有著不錯(cuò)的表現(xiàn)。近年來(lái),國(guó)內(nèi)企業(yè)的技術(shù)實(shí)力不斷增強(qiáng),產(chǎn)品技術(shù)其實(shí)與國(guó)外公司的差距已經(jīng)不大,關(guān)鍵還是用戶使用習(xí)慣上的問(wèn)題,可以說(shuō)國(guó)內(nèi)企業(yè)的崛起是必然的事情,我們對(duì)未來(lái)充滿了信心。政策的利好,也為國(guó)內(nèi)企業(yè)的騰飛提供了更多契機(jī)。如果一直保持這樣的發(fā)展形勢(shì),在未來(lái)五至十年內(nèi),國(guó)內(nèi)企業(yè)與國(guó)外企業(yè)在國(guó)內(nèi)市場(chǎng)的份額很有可能會(huì)發(fā)生對(duì)調(diào)。”

雖然,市場(chǎng)格局的顛覆并非朝夕之間就能夠完成的,但只要國(guó)內(nèi)企業(yè)能夠刻苦修煉“內(nèi)功”,未來(lái)是非常令人期待的。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)