国家信息安全需靠”自己“


国家信息安全需靠”自己“
  近年来,随着互联网对于人们生活的渗透,有关信息安全的问题日渐受到关注。尤其是去年“棱镜门”事件的发生,更是让不少的网民发现,不仅是自己的个人信息安全在互联网上面临着互联网服务企业有意无意的“外泄”、垃圾短信滋扰或者钓鱼诈骗等种种不法行为的威胁;就连关系到国家稳定发展的更高层面的信息安全,也同样存在着各种各样的潜在的“后门”。

  所幸的是,随着信息安全意识的不断提高,以及我国政府对于信息化发展的日益重视,政府有关部门对信息安全的重要性也不断提升,而随之而来,则是一场雷厉风行的“清理”行动。

  赛门铁克(22.91, 0.02, 0.09%)被爆暗藏“后门”

  日前据媒体报道,公安部下发通知,要求各级公安机关今后禁止采购赛门铁克的“数据防泄漏”(Symantec DLP)产品,并尽快用国产软件予以更换,原因是该产品存在窃密后门和高危安全漏洞。

  该通知显示,因赛门铁克的“数据防泄漏”(Symantec DLP)产品存在窃密后门和高危安全漏洞,各地公安机关正在核查赛门铁克“数据防泄漏”、防病毒等安全产品的使用情况。同时,通知要求各级公安机关今后禁止采购使用该产品。对于已在使用相关产品的单位,在接到通知后要立即停用此产品,并列出时间表,尽快用国产软件予以更换。

  资料显示,“数据防泄漏”是指防止敏感数据的泄漏。由于国外信息技术、安全技术的发展较国内先进,最早由国外安全厂商建立和发展了数据防泄漏产品和体系。

  国内目前还比较缺乏相关的产品,大多数只能提供加解密、权限管理产品,并非传统意义上的DLP产品,随着越来越多企业对数据安全的重视,数据安全市场会有一个爆发式的增长,但是如果让所有的企业都采用加密、权限控制的产品,势必会增加管理成本,而且加密产品并非万无一失,一旦密钥泄露,后果更加严重,所以大多数用户需要的还是类似于国外的DLP产品,基于内容识别,让正常的数据正常流转,对敏感数据进行审计和拦截。

  针对这一市场传闻,赛门铁克也紧急做出回应,称其产品并不存在所谓的后门,并表示2011年11月赛门铁克DLP产品通过检测获得中国公安部“计算机信息系统安全专用产品销售许可证”,该产品被允许在中国境内销售。

  赛门铁克同时还称,其研发部门拥有专门的漏洞检测团队,能确保产品通过版本的更新不断修正漏洞。虽然赛门铁克已经就问题做出了回应,但是事实上,自去年“棱镜门”爆发以来,针对美国在IT设备及软件暗藏“后门”窃取信息的疑问就一直没有停止。

  微软“先行一步”已被禁

  与赛门铁克传言因“后门”问题被禁相比,与广大网民息息相关的微软,则更早一步因安全问题遭到了我国政府的摒弃。

  资料显示,在今年五月,中央国家机关政府采购中心近日发出一份通知,通知要求,国家机关进行信息类协议供货强制节能产品采购时,所有计算机类产品不允许安装Windows8操作系统。但该通知并未说明禁止采购Win8系统的原因。

  有安全领域人士则表示,国家政府采购摒弃Win8主要可能有国家信息安全、采购成本和Win8系统易用性等方面的考虑,而国家信息安全无疑是最主要的因素。中国工程院院士倪光南此前曾表示,微软的Vista操作系统当年之所以没被列入政府采购目录,是因为微软在架构上做了变动:所有运行的软件,必须通过微软的审核,用户实际上没有对电脑的控制权,而是微软控制了电脑。

  而据倪光南介绍,Win8与Vista是同一类型,甚至掌控的程度更高。这也就是说,在微软向中国政府公开win8源代码前,如果采购了win8,那微软就将掌控中国的信息安全

  据南方日报记者了解到,就国家在对微软win8系统摒弃后不久,微软另一款拳头产品Office被禁的传闻也开始不胫而走。中科院倪光南院士在接受采访时则认为,微软Office很大、很复杂,经常发现漏洞,要打补丁。

  众所周知,这种大型软件如果不是自主开发的,很难保证没有“后门”之类的安全隐患。倪光南特别强调,Office是最常用的软件之一,大量信息都需要通过Office产生和加工,微软是参与“棱镜门”等监控计划的“八大金刚”之一,显然,使用微软Office也就存在着大量信息被监控的风险。“微软office政府采购被禁也不是没有可能的事情。”

  “禁用”只为保护信息安全

  在如今的互联网时代,当信息与网络进行连接后,无边际的网络将会为有边际要求的信息带来安全的隐患。在安全领域方面,从国家信息安全层面来看,如果国家政府和企业的重要数据因为国外设备和软件的“后门”而遭到泄露,那必定会给国家和企业带来不可估量的后果。

  据南方日报记者了解到,面对日益严重的信息安全问题,在去年年底,我国金融系统内部就发起去“IOE”行动,呼吁国内银行放弃由IBM、Oracle和EMC的产品,尽量采购本土同类产品;在今年5月下旬,国家互联网信息办公室公布出台了《网络信息安全审查制度》,规定凡是涉及国家安全和公共利益的所有的系统使用的信息技术产品和服务,都将进行安全审查。再到如今对微软(44.08, 1.63, 3.84%)和赛门铁克有问题产品的“禁用”,足以可见国家对信息安全问题的重视程度正不断提高,而对危害国家信息安全的软件和现象也是毫不手软。

  有安全专家表示,面对信息安全问题,全世界都在积极行动应对技术的变化,因为信息安全涉及国家安全,而针对在设备和软件中设置“后门”的行为,很多国家和组织出台相应法律和规定。例如欧盟规定,在欧洲进行的互联网及云端服务的系统,数据物理载体必须存储在欧盟的数据处理中心上,禁止传输到美国。

  信息安全“求人不如求己”

  “‘棱镜门’等事件给我们一个启发,也是给中国市场一个启发,我们的信息系统必须建立在自主可控的技术平台上才是安全可靠的一个前提,一个必要条件。如果系统是建立在国外的技术软件和硬件的基础上,你要谈安全可靠的前提都不成立。反过来,我们正是构建了自己的国产软件、硬件,包括芯片,是不是一定安全可靠呢?这个必要条件达到了,我们在此基础上还有很多事情要做,才能做到安全可靠。”

  用友软件高级副总裁郑雨林在接受南方日报记者采访时认为,国家层面的信息安全,只有建立在自主可控的技术平台上才有可能实现。“这样的趋势也让我们国产的软、硬件厂商在未来几年有一个很好的市场机会,也只有我们本土的国产软、硬件产业真正强大了,我们可以支撑国计民生重要信息系统的相关软硬件产业能力,我们才能真正去支撑国家重要的信息系统平台。”郑雨林认为,一个国家信息安全的根本保障只有一条路,就是IT产业强大。

  资料显示,随着“棱镜门”等事件的发生,以及中央网络安全和信息化领导小组的成立,信息安全已经上升为国家战略,也进一步推动国产企业安全产品普及。据赛迪顾问发布的《2013年度中国企业杀毒软件产品市场调研报告》显示,“360”已经成为企业杀毒软件产品品牌覆盖率最大的企业杀毒软件,占比达42%;紧随其后是赛门铁克和瑞星,占比分别为18%和13.5%;这三个品牌就占据了国内73%的企业杀毒软件市场。

  而就在日前,计算机病毒防治技术国家工程实验室——云计算与虚拟化平台病毒防治技术研发与试验平台也在瑞星公司正式挂牌成立。

  据介绍,新成立的国家工程实验室下含九大基础工作平台,包括计算机病毒监测预警及应急处理平台、移动互联网病毒防治技术研发与试验平台、下一代互联网病毒防治技术研发与试验平台、云计算与虚拟化平台病毒防治技术研发与试验平台、APT威胁分析及攻防实验平台、信息技术产品安全性检测与验证平台、重要信息系统安全监测平台、网络安全漏洞发现与验证平台、重要行业专网恶意代码防范验证平台。

  据悉,瑞星公司此次承担了云计算与虚拟化平台病毒防治技术研发与试验平台的承建工作,将主要研究下一代互联网、特定目标攻击、云计算和虚拟化等环境下的计算机病毒检测、病毒特征提取、病毒捕获分析和取证、病毒防护和监测等关键技术。

  瑞星执行副总裁张雨牧在接受采访时则踌躇满志地表示,目前国家号召使用国产操作系统,对瑞星和国产软件来说是一个新的机会和挑战。瑞星将继续加大研发力度,开发出更多可以满足用户需求的信息安全产品,将信息安全做到极致。