訪談:兩會安保專家談大數據與云安全

2016年全國兩會于上周結束。會上,李克強總理指出要促進大數據、云計算和物聯網的廣泛應用,而這三個應用要想繁榮發展,無疑需要安全做為支撐。為此,安全牛聯線采訪了本次參與網絡安全保衛工作的兩位專家,一位來自政府機關的信息安全保障部門,另一位來自綠盟科技。兩位專家從政府和企業兩個角度探討了大數據、云計算、物聯網,以及個人隱私和安全法規等方面的問題。(注:應被采訪者要求,本文并未公開安保專家的姓名)

一、解決大數據應用的兩個重要問題
 

1_副本
 

政府安保專家:大數據技術的確有非常廣闊的前景,政府不少部門,包括農業部、環保部、國土資源部等,都在做大數據的規劃,但是現在有兩個最重要的事情需要解決。

一個是從政府的角度,即政府部門如何把手中的大數據公開出來,讓企業利用政府的大數據去進行應用,創造一個新的業態,這才是大數據對政府來講最重要的事。社會真正所需要的是政府部門把掌握的大數據無償的公開出來,讓企業在這個大數據上做增值性的服務,就這一點而言,目前強調的還不夠。

另一個就是政府部門如何利用社會上的大數據和自己本身管理行為產生的數據,來促進部門政府的決策更加科學性和技術性。目前在貴州等很多地方建立大數據交易市場,這樣的項目對于大數據的發展思路具有實踐意義,但未來的走向還不好說,畢竟大數據根本還在于應用。

從長遠發展前景上來講,大數據的發展還沒有進入到全面應用階段。現在大數據的生產還不夠,政府部門傳統的數據生產方式只是注重結果數據,對過程數據采集不足。隨著以后大數據的應用和進一步深化,政府部門和各個數據生產部門對過程數據的更加注重,這樣才能積累出足夠多的數據來深化應用。

大數據的本質就是從看似沒有規律,看似沒用的數據當中,找出有規律的數據,但是這些“看似沒用的數據”,我們現在在數據生產方面還有所欠缺。不過在這方面,無論是“十三五”還是兩會都體現出了國家的特別重視。相信到“十三五”末期或者“十三五”以后,大數據應用會更加發達,前景會更加廣闊。

二、云計算與物聯網均為初級階段
 

2_副本
 

政府安保專家:云計算未來的發展是無處不在的,不管是手機、智能設備或可穿戴設備,這些具備計算能力的物聯網設備無處不在,會給云計算產生一個更加廣闊的影響。

目前各地建立的基于數據中心的云平臺,即信息系統的應用部署模式,在“十三五”期間,應該成為信息系統建設的一個主流模式,但這只是云計算的初級階段。云計算真正發展的時代是物聯網的全面普及,計算無處不在,網絡無處不在,那時云計算才會達到一個新的高度。目前的云計算主要還是在各種數據中心建設云平臺、建設云服務的提供等等這些方面,所以云計算的發展分兩個層次,下一個層次還要三到五年甚至更多年才能達到。

至于物聯網的發展,無疑萬物互聯一定是未來。但它同樣需要有一個過程,目前并不具備充分的條件,需要大量的技術條件支撐,所以我覺得物聯網的到來還有一段時間。

企業安保專家:這個月初,在美國舉行的RSA會議當中有一個很熱的技術話題CASB(云應用服務代理)。企業現在越來越多使用云端服務,這可能會引發一系列安全問題。在傳統安全模型中一個很重要的概念就是安全邊界,但隨著企業云服務的使用,這個安全邊界的概念正在變得越來越模糊,這就給企業發展帶來了非常大的挑戰,隨之也對整個安全行業的技術和解決方案提出了很多新的要求。

早在幾年前,綠盟科技充分認識到了這個變化的趨勢,一直致力于大數據和云計算安全方面的工作。一方面利用大數據技術來做安全數據的分析,挖掘新的安全模型,另一方面,也研究大數據自身的安全問題。比如說大數據處理非常集中的情況下,如果發生信息泄露或是系統自身安全性有比較大的漏洞,這帶來的后果是非常嚴重的。

云計算方面,去年我們提出了“智慧安全2.0”的概念,其中的“綠盟云”平臺,通過在云端給企業提供自助式的漏洞掃描、流量清洗以及反垃圾郵件等服務,幫助企業便捷快速的得到安全能力的提升,未來可以讓企業以應用的形式快速部署到生產環境中,讓安全動起來,以適用于快速變化的業務需求。另外,我們在建設私有云和公有云方面也提出了自己的解決方案并開發了相應的產品。

在物聯網方面綠盟科技也有了相關布局,前年發布了工控系統的漏洞掃描產品,并投資了一家專門做工控系統的公司。這些舉措,讓我們得以快速提升安全服務交付能力。

三、可信計算環境的安全模式不會持久

政府安保專家:談到云安全,目前多數安全云服務,我覺得都還是在傳統架構上一個簡單的安全應用,只是過去系統相對分散,而現在整體在云端提供服務了。針對這樣的模式,企業提出了一系列的解決方案,但我認為這樣的模式不會持久。

目前大多數人的安全理念是這樣的,為每個企業構筑一個從終端到邊界再到服務器的一個可信計算環境,在這個可信計算環境中實現安全的計算。但這樣的理念,對于以后的泛在網絡,即網絡無處不在和軟件定義一切的情況下已經不再適應。未來我們的計算可能無法處于這個安全環境,我們必須在一個非安全的環境里實現安全計算,這是一個根本性的改變。過去的訴求是構建一個可信的環境,在環境里實現云計算,以后的信息安全很有可能發展到在非可信的環境中實現可信計算。

比方說涉密系統,并不是構建一個封閉的涉密網絡然后在這個網絡里進行實現安全,而是在一個廣泛的網絡開放空間里去實現涉密信息的保密傳輸和終端的安全,這才是未來的發展方向。按照這個方向來看,現在大部分公司還是在交付傳統的安全解決方案,并沒有做到適應未來這種大范圍的、全面的計算環境,隨著業態的發展,在未來,這種局面一定會發生新的改變。企業安保專家:因為基礎設施的變化往往會帶來新的問題和挑戰,所以安全體系本身也是在不停的演變之中,沒有任何一個安全體系和模型是一直不變的。實際上今天所討論的這三個方面包括云計算、物聯網和大數據,這些方面產生的安全問題,都是由于這幾年計算環境發生巨大的變化對整個安全體系提出了非常大的挑戰。

我們在去年發布了“智慧安全2.0”體系,這個體系的構建思路也體現了這樣的發展趨勢,目前不管是國際還是國內的同行,大家都意識到:

安全體系的設計一定要假設安全問題是一定會發生的,只是知道或者不知道而已,在這個前提下首先強調安全事件的監測和可見性,就是說你要有能力檢測到這個安全事件的發生;其次是夠快速響應,快速去更新你的安全能力,這是我們整個智慧安全2.0體系中的重點。
 


 

綠盟科技智慧安全2.0

在云端,我們現在所提供的一些服務主要在脆弱性、風險性評估方面,也包括一些比較成熟的安全傳輸服務。此外,我們在假設失效的基礎上進行了安全模型的改進,并發布相關解決方案,也正是為了適應從可信計算環境向非可信計算環境變化的發展趨勢。

政府安保專家:打一個簡單的比方,假如我用一臺筆記本或臺式機接到了遠端的云服務。安全并不是說要確保當前使用的終端設備沒有任何漏洞,操作系統也沒有問題,而應該確保應用安全,在這個薄弱環境上建立一個強壯的APP,來實現安全的連接。所以未來最終的情況可能是這樣。

因為到處都是計算機,比如U盤,我這個U盤插到哪哪就是計算機,到哪都能運算。運算環境雖然千變萬化,但我的操作應用必須是安全的。我想,未來的發展方向肯定是逐步向這一方向去發展。但目前的安全工作還是在看有沒有漏洞,有沒有脆弱性,是不是需要給操作系統進行加固,始終在傳統安全的路子上。

企業安保專家:確實是這樣。從整個安全行業來看,目前提供的脆弱性方面的服務,是一些很基礎的保障。但是,大家也都在努力的去探討和研究未來的解決方案。我們希望的是在基礎的環境保障基礎之上,再對應用層面的安全問題做相應的設計,這從已經發布的軟件定義安全白皮書中可以看到相關的架構設計。
 


 

綠盟科技APP Store設計

比如說CASB技術方面出現了兩個方向的方案,一個方案是實時的去監控云端服務的使用情況,比如說一個企業用了Office 365的服務,系統會檢測用戶是否存在異常的登錄,是否存在敏感信息泄露的問題;另外一個方案是監測企業出口與云服務的交互情況。我覺得安全行業現在已經關注這方面的問題,也正在向這個方面去努力,實際上,安全模型往往比應用模型要稍微滯后一些,這也是整個安全行業需要改進的問題。

政府安保專家:我再打一個簡單的比方。我使用某某云的服務,除了明確標密的信息和個人敏感信息,其他文件我全部都會放在某某云上,但是這些內容全是密文,加密存放到云端,使用的時候,下載到本地解密。這個過程中用戶自己確保了數據安全,與某某云的安全與否、是否泄露、是不是有后門等等關系不大。

通過這個例子可以看到,云安全還可以從數據安全及應用安全的角度入手來做。我對公有云的安全并不信任,但照樣也可以放心的把文件放在云上,只是利用云服務的便利性,用戶用加密來保障自己的數據安全。而且,現在所謂的云安全某種程度只是提供了一個穩定性,用傳統安全產品去構建新的基于云環境下的一種安全防護體系,這并沒有跳出傳統的安全架構。這里表達的意思并不是說公共云不好,而是對用戶來講,可以把現有的服務提供商提供的云服務等都當做非可信環境,同時采取必要的安全措施確保自身安全性,因為我永遠不可能信任某一個云。

四、如何做好重要活動期間的安保工作
 

4_副本
 

政府安保專家:重大活動期間的安全保障工作,尤其像兩會這樣重大的活動,重要會議期間,安全保障做的還是比較好的。

一個是因為上級領導部門和組織部門的重視,各部門之間都對網絡安全也比較重視。第二是技術層面的參與,像綠盟科技這樣的安全公司,可以借助他們的技術能力來彌補政府部門技術方面的不足,進行漏洞掃描、實時監控等24小時的緊盯,用“管理+技術”來確保兩會期間的安全。

網絡攻擊時時刻刻都在,每天幾乎任何一個政府部門的網站都會面臨非常多的攻擊。在目前來講,一般常規性的攻擊已經可以抵御了,現在比較擔心的是針對性的高級木馬威脅或稱APT攻擊。

企業安保專家:綠盟科技參加了很多次重大活動的安全保障工作,從奧運會、世界互聯網大會到每年的兩會均有參與。安保活動有兩方面是比較重要的,一方面是應急響應,另外一方面是服務體系。

一般來講,根據安全保障服務體系的要求,會有不同的專家投入到安保工作,包括現場安保指揮中心的高級專家,包括云端監控團隊,他們將會7×24小時為現場專家提供相關信息。同時,在發生安全事件之后,安全運營中心作為第一接口,調度后端的專家資源進行事件響應及分析工作。

另外,重大活動的網絡安全保障工作,安保團隊將參與前期整個安保應急響應的體系和服務內容的規劃,并在活動期間做應急值守,協同相應的政府部門來對重點保護網站的安全情況做監控以及做相應的服務。

通過多年安保活動的經驗積累,綠盟科技已經構建了較為完善的應急響應體系及有效的應對方法,同時在技術、工具方面都取得了一些進展,并能夠提供體系化的模式和資源支撐,進而可以對工作過程進行規范要求及評估。

五、網絡安全立法外大于內 晚比早好
 

5_副本
 

政府安保專家:從國家的法治建設來講,信息立法非常重要。但我認為,目前各種安全管理制度和法律法規,已經基本符合國內安全狀況的需要,對現階段的安全建設并沒有帶來太大的影響。

立法的需求,反而是對外方面更為迫切。比方說我們的網絡應該有邊界,最終要以法律的形式確認國家的網絡邊界。如果有這樣的立法出來,在應對美國的一些談判中就會處于一個好的地位。

另外,我個人覺得法律還應該適當晚一點,這樣很多新情況、新事物,可以通過一段時間的檢驗再做判斷。哪些問題很重要,哪些問題不重要,哪些可能會更有利或不利等。法律不是立的越早越好,一定是通過充分的探索以后,讓該出現的問題出現了,而這個問題也確實需要通過法律途徑解決的時候,再去立法,而不是越早越好。

六、個人信息保護與商業利益的平衡
 

6_副本
 

政府安保專家:在“互聯網+ ”時代,個人信息安全需要從法律層面去解決。這里有兩個層次,一個是個人應用層面。比方說,我的購物信息應該從法律上去規范。用戶個人有上網的權利,但購物信息有權利不讓別人知道。第二個是服務提供的層面,服務商應該自覺的為用戶提供選擇權。比如在淘寶上購物的時候,購物平臺就應該提示用戶,是否保留個人信息,把這個權利交給消費者。

另外在進行大數據應用的時候,必須把敏感項過濾掉,進行大數據采購分析的時候不能針對具體的人。好比房子信息可以公開,但是房主的姓名、身份證之類的個人信息需要抹掉。這種個人信息保護的做法如果在整個社會達成廣泛共識的話,個人信息保護的事情很好解決,并不難,而且這也正是未來大數據發展的一個健康方向。

最后我再強調一下,個人信息保護并不一定要形成一個隱私保護法之類的法律,一些情況可以用管理規定或者標準、通知就能解決。最重要的是既能保證大數據的適當應用,又能保護個人隱私,在兩者之得到一個平衡,這需要整個社會達成一個廣泛的共識。

企業安保專家:我們經常看到某某網站被拖庫,某某服務平臺敏感信息泄露之類的新聞,Verizon的年度信息泄露報告也揭示了這一問題的嚴重性。

我個人的觀點是這樣,從法律的層面來講,確實如前面政府安保專家所言,一方面是要對服務的提供商提出這樣的要求,服務商要對信息泄露承擔責任。另一方面,也需要對黑客團伙形成法律方面的威懾,但這是需要技術支撐的,比如取證的困難。綠盟科技正在建設這方面的技術能力,希望通過互聯網,包括我們日常的安全服務所收集的一些信息來監控黑客團伙的活動,然后為客戶提供威脅情報方面的服務,也包括給國家政府提供相應的技術支撐。

原文鏈接:http://www.aqniu.com/news-views/14527.html

(責任編輯:腰編輯)

分享到:

更多
發表評論
請自覺遵守互聯網相關的政策法規,嚴禁發布色情、暴力、反動的言論。
評價:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奮斗/fd
  • 疑問/yw
  • 暈/y
  • 偷笑/wx
  • 可愛/ka
  • 傲慢/am
  • 驚恐/jk
用戶名: 驗證碼:點擊我更換圖片
資料下載專區
圖文資訊

訪談:兩會安保專家談大數據與云安全

訪談:兩會安保專家談大數據與云安全

2016年全國兩會于上周結束。會上,李克強總理指出要促進大數據、云計算和物聯網的廣泛...[詳細]

北京信息科技大學信息管理學院信息安全系主

北京信息科技大學信息管理學院信息安全系主任 陳昕

主持人:陳老師,您好,貴校是國內較早設置信息安全專業的高校之一,目前專業發展情況...[詳細]

中國礦業大學計算機學院信息安全系主任 林

中國礦業大學計算機學院信息安全系主任 林果園

我們自從設立信息安全專業以來,一直努力探索怎么樣構建專業課程體系和知識體系。經過...[詳細]

桂林電子科技大學數學與計算科學學院副院長

桂林電子科技大學數學與計算科學學院副院長 丁勇

主持人:據了解,數學與計算科學學院前身為計算科學與數學系,成立于1998年。請簡要介...[詳細]

江蘇大學計算機與通信工程學院信息安全系主

江蘇大學計算機與通信工程學院信息安全系主任  趙躍華

信息網絡已逐漸成為經濟繁榮、社會穩定和國家發展的基礎,我們對信息網絡已產生強大的...[詳細]

返回首頁 返回頂部
体彩31选7开奖结果