美国监控华为的时间已有5年。
美国监控丑闻的披露者斯诺登最新曝光的文件显示,中国通信厂商华为成为美国国家安全局(NSA)监控对象。据披露,2009年起NSA就开始入侵华为总部的服务器,经美国总统批准便可发起网络攻击。
根据《纽约时报》最新曝光的NSA机密文件,华为是美国国家安全局代号“狙击巨人”项目的目标。利用华为技术中的漏洞,NSA可以通过入侵华为的设备来进行监控。此外,在获得总统许可的情况下,NSA还可以发起攻击性的活动。根据华为此前披露的信息,其路由器和交换机产品连接了全球1/3的人口。
根据《纽约时报》的报道,NSA对中国的情报活动并不仅仅局限于华为。根据2013年4月斯诺登曝光的文件,去年,NSA入侵了中国两家大型移动通信网络,从而得以追踪具有战略重要性的中国军方部门。
自去年美国棱镜计划中对中国企业的入侵行动曝光之后,对于信息安全的关注度在国内持续升温。
在今年全国两会上,信息安全再次成了人们关注的焦点。在两会期间,全国人大财经委副主任委员吴晓灵、湖北省政协副主席吕忠梅、浪潮集团董事长孙丕恕、中国移动广东公司总经理钟天华等多位全国人大代表,都曾就信息安全问题提出建议或议案。
在互联网时代,企业信息安全面临着前所未有的挑战。
系统漏洞威胁金融安全
客户资金频遭盗刷,信息系统接连出现故障,业务系统出现停滞……光大银行(601818,股吧)在最近的几年时间里,总是遭遇到消费者与投资者“一波未平一波又起”的双重指责。
2010年8月30日,光大银行发生核心业务系统故障,造成全国网点交易缓慢,柜台业务、网上银行、电话银行、电子支付等业务均受到严重影响。该系统完全中断12分34秒,对外正常服务受到影响时间5小时左右,致使系统未成功记账及重复记账5万多笔。银监会专门就此事向国务院作了汇报。
2011年,光大银行北京、南京和上海等分行分别出现网上银行客户资金被盗事件。针对光大银行信息系统的重大漏洞,银监会专门委托了权威的国家信息安全测评机构对该行网上银行和网站系统进行测试,发现光大银行存在银行内部信息泄露风险、钓鱼网站攻击风险、信息安全防护措施不严密等三方面重大漏洞,并责令其立即整改。
但两年的平静过后,2013年,作为光大银行兄弟单位的光大证券(601788,股吧)“乌龙指事件“突然爆发,将刚刚松了口气的中国光大集团又推上了风口浪尖。
对于这次事件发生的原因,光大证券表示,经初步核查,本次事件产生的原因主要是策略投资部使用的套利策略系统出现了问题。最终,证监会对这一88分钟之内发生的事件认定为内幕交易,除了给出5.23亿元的罚款,以及对杨剑波等4位相关决策人“终身证券市场禁入”的处罚,光大证券的证券自营业务(固收除外)被喊停,责令无限期整改。
在去年,由中国人民银行牵头,成立了互联网金融发展与监管研究小组,小组人员由人民银行、银监会、证监会、保监会、工信部、公安部、法制办共同组成。据《财经》(博客,微博)杂志报道,由央行牵头起草的互联网金融监管指导意见已经完成了两轮意见征询,若接下来的程序顺利,或有望在上半年出台。这意味着,互联网金融正开始被纳入中国金融业的制度体系和监管框架。
信息安全面临双重挑战
中国工商行政管理总局官方网站的资料显示,截至今年2月底,全国实有企业1546.16万户(含分支机构)。在加速发展的信息化时代,企业一旦遭受到敏感信息泄露、重要数据被破坏、业务系统被非法控制等危机,必定是一场灾难,轻则企业经济利益受到重创,重则危及社会和国家的安全。
2013年1月至11月,国家互联网应急中心(CNCERT)抽样监测发现,境外约有2.4万个木马或僵尸网络控制服务器控制了我国境内933 万余台主机。“这些受控主机因被黑客远程操控,一方面会导致用户计算机上存储的信息被窃取,另一方面则可能成为黑客借以向他人发动攻击的跳板,同时大量受到黑客集中控制的受控主机还可能构成僵尸网络,成为黑客发动大规模网络攻击的工具和平台。”中国国家互联网应急中心副处长李佳表示。
360互联网安全中心发布的《2012年中国互联网安全报告》称,由于绝大多数国内企业,特别是中小企业在信息安全方面的投入有限,使用免费的个人版安全软件代替企业版安全软件的现象非常普遍。根据360安全中心2012年的抽样调查统计,国内企业普遍存在用免费的个人版安全软件代替企业版安全软件的情况。在接受调查的企业中,国有大中型企业使用企业版安全软件的比例较高,达到78%;而中小企业的情况则让人担忧。配备企业版安全软件的比例不足 5%,约94%的中小企业仅为员工电脑安装个人版安全软件,还有1%左右的企业根本不使用任何安全软件。
当企业的安全防护不规范时,本身就已经埋下了安全隐患。在云计算与大数据时代,移动设备的普及使得企业在信息安全的应对上面临着新的挑战。
智能手机、平板电脑等移动终端的灵活、便利、高效等特点,吸引了越来越多的人使用BYOD(Bring Your Own Device,指手机或平板等移动智能终端设备)来办公。但如果企业在对BYOD的使用上没有很强的、有效的政策、程序和安全意识培训管理,那么该公司及其企业敏感数据很可能将面临危险的境地,例如移动设备的丢失、被盗,甚至更有可能的危险是被黑客入侵。
工信部近日公布的数据显示,到2014年1月,移动互联网用户总数达到8.38亿户。
中国工程院院士、中国互联网协会理事长邬贺铨认为,移动互联网的安全问题甚至比桌面互联网更严重。“因为移动互联网的操作系统现在是多元的,对于我国来讲,我们的操作系统现在还不能实现自主可控。针对智能手机的病毒就有3000多种,有三分之一是木马,应用软件现在大概有5万多种,移动终端设备多样性比桌面终端多得多,管理起来难度很大。”邬贺铨说。
国家计算机病毒应急处理中心常务副主任陈建民认为,不能对移动安全掉以轻心。2012年已经出现了利用手机操作系统的僵尸程序,利用微信、微博的钓鱼和欺诈迅猛增长,钓鱼欺诈仿冒技术不断推陈出新,反钓鱼技术的自动化、智能化水平提高。移动终端的安全问题仍然是安全领域的重点和难点。
云计算带来信息安全挑战
毋庸置疑,云计算和大数据时代已经到来。
一方面,云计算为海量的、多样化的数据提供存储和运算平台,同时数据挖掘和人工智能从大数据中发现知识、规律和趋势,为决策提供信息参考。但是,云计算和大数据在进一步扩大信息开放程度的同时,也为处于云计算覆盖下的企业信息安全带来了挑战。
在去年6月召开的第五届中国云计算大会上,中国科学院研究所研究员冯登国指出,云计算的发展和应用使得IT领域正在发生深刻变革,但它在提高 IT资源使用效率的同时,对信息安全带来多个层面的冲击与挑战:云计算的服务计算模式、动态虚拟化管理方式以及多层服务模式等引发了新的数据安全问题;云服务合约所具有的动态性及多方参与的特点,对责任认定及现有信息安全标准体系带来了新的冲击;云计算的强大计算与存储能力被非法利用时,将对现有安全管理体系带来巨大冲击。
武汉大学计算机学院教授张焕国认为,云计算系统也是一种信息系统,也存在信息系统普遍存在的共性安全问题。“由于云计算系统是一种新型信息系统,因此云计算还存在一些新的安全问题,也就是说云计算有自己的特殊安全问题,包括设备资源的共用化、数据存储与处理的非自我性等问题。”张焕国说。
长期从事于信息安全的专家李鑫(化名)告诉记者,企业现在对于信息安全越来越重视,他所在的企业对于信息安全的投资已经占据网络投资的三分之一。“应对信息安全的挑战,可以从互联网、服务器端、应用等方面加强,可以采取内网与外网分离使用的方法。”
业内专家认为,与技术上的防护相比,制度的管理更加重要。
云安全联盟亚太区董事总经理Aloysius Cheang认为,云计算是“七分管理、三分技术”,管理对于云计算来说非常重要。
“最关键还在于靠制度管理来填补漏洞。系统设计再好,也要靠‘执行的人’才能实现信息安全。”李鑫表示。
国裕数据技术服务有限公司副总经理桑艳娟在接受法治周末记者采访时表示,加强网络信息安全的管理,关键是要加强执行的规范与力度。“加强安全管理、安全意识培训和攻防演练,通过提高员工在操作上的管理,才是应对网络信息安全的关键。”桑艳娟说。