近期,斯諾登爆出的“棱鏡”計(jì)劃,在信息安全界引起了軒然大波。隨著“第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)”在合肥順利召開(kāi),等級(jí)保護(hù)這個(gè)話(huà)題在“斯諾登”事件的熱潮中,也得到了來(lái)自各行各業(yè)領(lǐng)導(dǎo)專(zhuān)家的重視。本次會(huì)議由公安部第三研究所主辦,天融信公司應(yīng)邀參加,并與到會(huì)領(lǐng)導(dǎo)、專(zhuān)家就等級(jí)保護(hù)建設(shè)的若干問(wèn)題進(jìn)行了深入交流。
由于當(dāng)前我們建設(shè)的云計(jì)算平臺(tái)仍然缺乏安全標(biāo)準(zhǔn)和法律法規(guī),造成了整個(gè)云平臺(tái)安全風(fēng)險(xiǎn)不可控,而且隨著安全邊界消失,等級(jí)保護(hù)“分區(qū)、分級(jí)、分域”的原則無(wú)法有效應(yīng)用。很多企業(yè)認(rèn)為:我的業(yè)務(wù)應(yīng)用已經(jīng)部署在云平臺(tái)上了,只要整個(gè)云平臺(tái)符合等保要求,我就可以高枕無(wú)憂(yōu)了。但是,當(dāng)前的云安全產(chǎn)品和設(shè)備缺乏對(duì)云計(jì)算的針對(duì)性,大多是基于傳統(tǒng)的安全防護(hù)措施,無(wú)法提供完備的安全保障。
等級(jí)保護(hù)需要迎接虛擬化挑戰(zhàn)
虛擬化環(huán)境對(duì)等級(jí)保護(hù)建設(shè)提出了新的需求。我們可以看到,當(dāng)前的物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)網(wǎng),都實(shí)時(shí)交互大量數(shù)據(jù)。在這些數(shù)據(jù)中有企業(yè)機(jī)密數(shù)據(jù)、個(gè)人隱私信息等內(nèi)容,一旦被盜取,將給企業(yè)和用戶(hù)帶來(lái)巨大的信息安全風(fēng)險(xiǎn)。具體來(lái)看,主要有以下四個(gè)方面給等級(jí)保護(hù)建設(shè)帶來(lái)了新的挑戰(zhàn)。
從網(wǎng)絡(luò)連接層面看:隨著互聯(lián)網(wǎng)逐漸成為政治、經(jīng)濟(jì)、工業(yè)發(fā)展中不可或缺的一部分,使得原本相對(duì)比較封閉的政府、金融、能源、制造等信息系統(tǒng)也不得不逐漸與互聯(lián)網(wǎng)之間建立千絲萬(wàn)縷的聯(lián)系。當(dāng)人們?cè)谙硎芑ヂ?lián)網(wǎng)的智能服務(wù)的同時(shí),越來(lái)越分不清什么是工作,什么是娛樂(lè),得到了什么,付出了什么,如何在開(kāi)放與約束之間找到一個(gè)恰當(dāng)?shù)钠胶恻c(diǎn),使得利益最大化,損失最小化,是后互聯(lián)網(wǎng)時(shí)代擺在政企單位和個(gè)人用戶(hù)面前的一個(gè)大難題。
從計(jì)算資源層面看:隨著云計(jì)算的逐步落地,越來(lái)越多的單位正在或即將把業(yè)務(wù)交托給云服務(wù)商,邊界的消失、服務(wù)的分散、數(shù)據(jù)的遷移,使得業(yè)務(wù)應(yīng)用和信息數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)愈發(fā)復(fù)雜化。
從用戶(hù)終端層面看:移動(dòng)互聯(lián)、智能終端大行其道,BYOD的強(qiáng)勢(shì)來(lái)襲令人難以拒絕,當(dāng)員工希望享受工作、生活雙便利的同時(shí),企業(yè)卻因?yàn)榛臃倍嗟淖烂嫦到y(tǒng)和接入方式該如何管理而大傷腦筋。
從信息數(shù)據(jù)層面看:從網(wǎng)絡(luò)時(shí)代的數(shù)據(jù)大集中到云時(shí)代的大數(shù)據(jù)分析,對(duì)人類(lèi)的數(shù)據(jù)駕馭能力不斷提出新的挑戰(zhàn),也為人們獲得更為深刻、全面的洞察能力提供了前所未有的空間與潛力。大數(shù)據(jù)把原本零散片面的數(shù)據(jù)變成統(tǒng)一完整的高價(jià)值信息,試問(wèn)誰(shuí)能經(jīng)得住它的誘惑?數(shù)據(jù)大集中的后果是復(fù)雜多樣的數(shù)據(jù)存儲(chǔ)在一起,很可能會(huì)出現(xiàn)將某些敏感業(yè)務(wù)數(shù)據(jù)放在相對(duì)開(kāi)放的數(shù)據(jù)存儲(chǔ)位置的情況,既不符合合規(guī)管理要求,也增加了信息泄露風(fēng)險(xiǎn)。大數(shù)據(jù)的量級(jí)也影響到安全控制措施能否正確運(yùn)行。如果安全防護(hù)手段的更新升級(jí)速度無(wú)法跟上數(shù)據(jù)量非線(xiàn)性增長(zhǎng)的步伐,就會(huì)暴露大數(shù)據(jù)安全防護(hù)的漏洞。
虛擬化環(huán)境下的等級(jí)保護(hù)建設(shè)
針對(duì)以上種種問(wèn)題,我們?cè)诳紤]等級(jí)保護(hù)建設(shè)時(shí),就必須加入對(duì)終端安全提出更多基本要求:
應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪(fǎng)問(wèn)路徑;應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定。