由于核电站系统遭病毒入侵,监控录像被篡改,伊朗某个核项目的监控人员虽然看到的是正常画面,但实际上离心机却在失控情况下不断加速而最终报废。
这是美剧《24小时》的桥段?不!“这是真相!这是正在发生的事!”说这句话的,就是频频“抢头条”的斯诺登。如果用一句话来概括上述信息安全的事件,那就是美国和以色列研制了“震网”病毒,并最终以电影情节那般攻击了伊朗的核项目。
看似奇幻的情节不仅仅发生在地球的另一端。作为互联网大国,我国也饱受信息安全危机之扰。数据显示,2013年中国网民在网上损失近1500亿元,而国家层面的损失更是不可估量。
幸运的是,我们并没有坐以待毙,而是努力拯救。以“云”技术为代表的去IOE浪潮已经掀起,安全高效的信息时代或许并不遥远。
安装一个木马,劫持你的支付宝,或者是植入一个后门,黑了你的网站,这些小儿科似的信息安全事件,是不是令你不胜其烦?的确,国家互联网应急中心最新发布的周报显示,截至2014年7月13日的当周,我国境内感染病毒的主机数量达76万台,环比上升4.6%;被植入后门的网站总数环比上升17.1%;新增信息安全漏洞数环比上升12.8%。
来者不善!被信息安全骚扰的,不止是你,更有国家安全领域。
国家互联网应急中心今年6月发布的《2013年中国互联网网络安全报告》显示,2013年,境外“匿名者”、“阿尔及利亚黑客”等多个组织曾对我国政府网站发起攻击,并先后篡改我国187个政府网站。数据显示,2013年我国境内被篡改网站数量为24034个,较2012年增长46.7%。其中,境内政府网站被篡改数量为2430个,较2012年增长34.9%。
那么,究竟什么是信息安全?在维护信息安全的道路上,国家的思路和企业的想法有哪些异同?国产化路径留给我们多大空间?所谓的去IOE就能实现安枕无忧吗?带着这些思考,上证报记者实地走访多个企业和机构,旨在为大家揭开信息安全神秘面纱的背后。
国家安全的威胁有多大
2011年2月,伊朗突然宣布暂时卸载首座核电站——布什尔核电站的核燃料。美国国务卿希拉里对此轻描淡写地说,伊朗的计划因为“技术问题”而被拖延。
这个“技术问题”,在2013年的斯诺登事件中被证实!当年,由美国和以色列研发的“震网”病毒袭击了伊朗的布什尔核电站,导致1000台离心机报废
“震网”供后人谈论的焦点,是它独有的隐蔽性强的特点。它平时冬眠,而一旦离心机、变形器的转速达到600赫兹-1200赫兹之间,这时候它就启动,并开始谎报军情。
其实这种“震网”病毒并不是美国和以色列针对伊朗的“专利”,“震网”也曾在中国露面。而斯诺登曝光的最新文件显示,美国国家安全局入侵了华为总部服务器,入侵计划代码为“Shotgiant(攻击巨人)”。
正是面对频发的安全事件,我国对信息安全的考量也首次上升到国家最高层面。2013年11月12日,中央国家安全委员会成立;2014年2月27日,中央网络安全和信息化领导小组成立。
国家互联网信息办公室副主任王秀军认为,目前,网络安全的一个重要方面是网络与信息系统的安全。“震网”病毒使伊朗核设施受到大面积破坏,显示出关键基础设施已经成为网络武器的真实攻击目标。而斯诺登事件表明,少数国家利用掌握的互联网基础资源和信息技术优势,大规模实施网络监控,大量窃取政治、经济、军事秘密以及企业、个人敏感数据,有的还远程控制他国重要网络与信息系统。试想,在危急时刻,如果一个国家涉及国计民生的关键基础设施被人为攻击后瘫痪,甚至军队的指挥控制系统被人接管,那真是“国将不国”的局面。
如今,政府加强信息安全防护的意识不断提升,维护信息安全的相关举措不断推出。5月16日,中央发布《关于进行信息类协议供货强制节能产品补充招标的通知》,明确规定中央政府机关采购的所有计算机类产品不允许安装Windows8 操作系统。5月22日,国家互联网信息办公室发布通知,我国将实行网路安全审查制度,审查的重点在于软件产品和服务的安全性和可控性。
中国软件行业协会理事长赵小凡表示,国家安全有五个必要条件——政治、军事、经济、文化和信息,而信息安全是支撑另外四个安全的必要因素。棱镜门事件的爆发,更是令86%的大型企业在信息化建设时考虑“安全第一”。
当下,大部分涉及国家安全、和政府部门有联系的国有企业,都逐渐开始倾向选择国内品牌的服务器。一位大型企业信息系统负责人告诉记者,如今的政策导向下,企业在招标操作时,国产软件在技术标可行的情况下,往往会被商务标优先考虑。
不过,一个新的现象也随之出现。一家国外IT系统供应商更向记者坦言,为了入围某些招标,国外公司开始在国内寻找“马甲”。
个人利益的影响有多深
今年1月26日,支付宝找回密码功能存在系统漏洞被曝光。由于此前支付宝泄密事件导致的信息泄漏,不法分子以此寻找受害人信息,通过找回密码来获得用户支付宝访问权限,从而将支付宝的钱款转走。
3月22日,乌云漏洞平台发布消息称,携程网用户支付信息出现漏洞,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)等
据中国电子商务研究中心的监测数据显示,中国65.5%的网站存在安全漏洞,2013年中国网民在网上损失近1500亿元。
“信息泄露是所有安全问题的源头。”携程技术管理安全中心高级总监陈建对记者表示,信息安全不是独立存在的,不同的行业不同的业务实际上是面向共同的用户,因此无论是哪个互联网企业出了问题,实际上用户都不安全,因此,大家面临着共同的信息安全问题。那么企业如何做信息安全?必须内部加强安全投入,外部寻求安全合作。
经过泄密门后,携程对信息安全的态度更为谨慎。位于携程总部,一个大型监控室对于公司的整个业务和IT系统的稳定性进行着监控,其中一部分也为信息安全而设置。
在陈建看来,信息安全是典型的木桶原理,无论企业多么成功。只有安全一环出现问题,所有成绩都会功亏一篑。腾讯雷霆行动负责人、腾讯互联网犯罪研究中心秘书长朱劲松也向记者表示,如今互联网正在连接一切。
“我们在极其便利地获取资讯、获取服务沟通交流的时候,也不能忽视连接一切带来的风险。因为今天这个风险正在快速地膨胀,尤其是当互联网的技术被作为一种工具,与传统的犯罪行为结合以后,就滋生出一条又一条黑色产业链。比如说网络诈骗,网络盗号,甚至通过木马程序来控制用户的终端,批量地获取信息和财产,而在这背后是数以亿计的产业规模和极其庞大的产业从业人员。”朱劲松说。
陈建也同意这一观点,“互联网应用越多越发展,信息被复制多份,泄露概率增加,以牟利为目的的黑色、灰色产业链越来越发达,这在近年来尤为明显,用户安全负担越来越严重。”
我们的机会有多少
天玑科技解决方案中心首席技术顾问滕长春坦言,“我们的服务模式不同于IBM的标准化产品模式,必须根据用户的业务需求来定制和调试出合适的产品。”
滕长春所说也正是国产软件的优势所在。用中国软件行业协会财务及企业管理软件分会秘书长曹开彬的话来说,这也正是本土软件行业的优势,一是更理解本地客户的需求,可以对这些需求做出有针对性的功能;二是和新技术的结合比较紧密,能很好地满足企业对移动、电子商务、社交网络等新技术、新模式的需求。而更重要的是,国产化软件更加安全可靠。就在中国软件行业协会财务及企业管理软件分会最近进行的《大型企业信息系统的国产化路径》调研中,安全、技术与成本已经成为大型企业当前信息化的最大挑战,也是他们愿意考虑选择国产软件的最重要的原因。
这份针对127家大型企业CIO、信息化负责人以及高管的调研中,41% 的大型企业信息化负责人认为,安全是当前信息化最大挑战,排在所有挑战的首位。而86%的大型企业负责人在信息化建设时会考虑到安全问题,尤其是棱镜门事件后。而信息系统建设的国产化是应对这些问题的有效手段。
研究小组预计,未来三年,在大型企业的信息化建设中,国产软件和解决方案将会成为企业信息化的应用重点和投资热点。但调查结果显示,高达90% 的大型企业信息化负责人希望业界能够提供信息系统国产化的应用路径和成熟方法。
这对软件企业来说是一个特别的机会。东软集团战略咨询部总经理梅丛银坦言,以往东软等软件企业更多是充当IOE的销售渠道,卖的多折扣多,没有议价权。而斯诺登事件之后,政府和央企对信息安全的敏感度更高,这是一个机会。
而富士通(中国)信息系统有限公司副总裁黄邦瑜在接受记者采访时也坦言,国内去IOE进程提速势必会对国外ICT企业产生影响。从日本的经验来看,ICT产业中,一旦国内的厂商成熟起来,必将会起到主导的作用。“因为IT的本质是服务,在这方面,本土企业更贴近本土需求,更有优势。”而通过富士通的经验来看,黄邦瑜告诉记者,相对硬件产品来说,软件和服务的利润空间更大。因此ICT厂商转变为解决方案提供商是大势所趋,先行者的利润空间也更加有保障。
事实上,改变也正在发生。《大型企业信息系统的国产化路径》调研数据显示,实际应用中,83%的企业已经应用国产软件产品或解决方案。
在硬件如服务器领域,国产设备正在快速抢占国际品牌的市场份额,替代加速进行中。瑞银证券软件服务业分析师周中提出,根据CCID的数据,2013年DELL、HP和IBM三家占市场销量的份额从2012年的65%下滑至52%。与之对应的是本土厂商的销量增长迅速,其中浪潮销量同比增长85%,销量超越IBM。
“去IOE”的路途有多长
“去IOE,国家喊了那么长时间,为什么民营企业最积极,政府和大型金融机构反而动作相对缓慢呢?”一位业内人士向记者表示,为了去IOE而去IOE,并非问题症结所在
一谈到信息安全,大家首先想到的就是去IOE。但是业内认为,为了去IOE而去IOE,并非问题症结所在。这个观点颇有意思,他们想表达什么呢?
业内人士对记者表示,目前,在政府和大型金融机构,真正去IOE的工作,从态度落实到行动并不容易,向“云”转变的步伐也并没有那么坚决。一位不愿具名的国产IT公司高层在接受记者采访时坦言,在推销政府和金融机构客户时大有难度。据他分析,原因可能来自于用户决策层免责的心态、使用的习惯等多方面。
该人士称,虽然国家对于国企和事业单位去IOE的呼声最高,但事实上,结果是民营企业成为最积极的一个群体。为什么呢?原来,民营企业思考问题的思路除了安全,更多是性价比。
以IBM为例,除了高昂的产品价格外,企业往往还需要交付20%左右的服务费。这是很多企业不愿负担的部分,但政府的IT部门可能为了免责而接受这一条款。“原因很简单,一旦系统出现问题,直接叫IBM的工程师过来就可以了,完全不会有自己的责任。”上述人士说。
瑞银证券软件服务业分析师周中指出,在高端服务器市场,IBM 依然占据了统治地位,例如银行、电信等。中国的银行业想要去 IBM 化非常困难,一方面是因为国内厂商的可替代产品目前还比较少;另一方面,银行IT系统黏性非常大,更换核心系统,实现数据迁移可能是一个非常漫长的过程。