访谈:两会安保专家谈大数据与云安全
2016年全国两会于上周结束。会上,李克强总理指出要促进大数据、云计算和物联网的广泛应用,而这三个应用要想繁荣发展,无疑需要安全做为支撑。为此,安全牛联线采访了本次参与网络安全保卫工作的两位专家,一位来自政府机关的信息安全保障部门,另一位来自绿盟科技。两位专家从政府和企业两个角度探讨了大数据、云计算、物联网,以及个人隐私和安全法规等方面的问题。(注:应被采访者要求,本文并未公开安保专家的姓名)
一、解决大数据应用的两个重要问题
记者:两会期间,国家领导人对大数据应用进行了规划和指导,您认为未来的大数据将来会有怎样的发展前景,会面临哪些问题?
政府安保专家:大数据技术的确有非常广阔的前景,政府不少部门,包括农业部、环保部、国土资源部等,都在做大数据的规划,但是现在有两个最重要的事情需要解决。
一个是从政府的角度,即政府部门如何把手中的大数据公开出来,让企业利用政府的大数据去进行应用,创造一个新的业态,这才是大数据对政府来讲最重要的事。社会真正所需要的是政府部门把掌握的大数据无偿的公开出来,让企业在这个大数据上做增值性的服务,就这一点而言,目前强调的还不够。
另一个就是政府部门如何利用社会上的大数据和自己本身管理行为产生的数据,来促进部门政府的决策更加科学性和技术性。目前在贵州等很多地方建立大数据交易市场,这样的项目对于大数据的发展思路具有实践意义,但未来的走向还不好说,毕竟大数据根本还在于应用。
从长远发展前景上来讲,大数据的发展还没有进入到全面应用阶段。现在大数据的生产还不够,政府部门传统的数据生产方式只是注重结果数据,对过程数据采集不足。随着以后大数据的应用和进一步深化,政府部门和各个数据生产部门对过程数据的更加注重,这样才能积累出足够多的数据来深化应用。
大数据的本质就是从看似没有规律,看似没用的数据当中,找出有规律的数据,但是这些“看似没用的数据”,我们现在在数据生产方面还有所欠缺。不过在这方面,无论是“十三五”还是两会都体现出了国家的特别重视。相信到“十三五”末期或者“十三五”以后,大数据应用会更加发达,前景会更加广阔。
二、云计算与物联网均为初级阶段
记者:李克强总理在两会上不仅提到了大数据还有云计算和物联网,请两位专家谈一谈这两个领域的看法?
政府安保专家:云计算未来的发展是无处不在的,不管是手机、智能设备或可穿戴设备,这些具备计算能力的物联网设备无处不在,会给云计算产生一个更加广阔的影响。
目前各地建立的基于数据中心的云平台,即信息系统的应用部署模式,在“十三五”期间,应该成为信息系统建设的一个主流模式,但这只是云计算的初级阶段。云计算真正发展的时代是物联网的全面普及,计算无处不在,网络无处不在,那时云计算才会达到一个新的高度。目前的云计算主要还是在各种数据中心建设云平台、建设云服务的提供等等这些方面,所以云计算的发展分两个层次,下一个层次还要三到五年甚至更多年才能达到。
至于物联网的发展,无疑万物互联一定是未来。但它同样需要有一个过程,目前并不具备充分的条件,需要大量的技术条件支撑,所以我觉得物联网的到来还有一段时间。
绿盟安保专家:这个月初,在美国举行的RSA会议当中有一个很热的技术话题CASB(云应用服务代理)。企业现在越来越多使用云端服务,这可能会引发一系列安全问题。,在传统安全模型中一个很重要的概念就是安全边界,但随着企业云服务的使用,这个安全边界的概念正在变得越来越模糊,这就给企业发展带来了非常大的挑战,随之也对整个安全行业的技术和解决方案提出了很多新的要求。
早在几年前,绿盟科技充分认识到了这个变化的趋势,一直致力于大数据和云计算安全方面的工作。一方面利用大数据技术来做安全数据的分析,挖掘新的安全模型,另一方面,也研究大数据自身的安全问题。比如说大数据处理非常集中的情况下,如果发生信息泄露或是系统自身安全性有比较大的漏洞,这带来的后果是非常严重的。
云计算方面,去年我们提出了“智慧安全2.0”的概念,其中的“绿盟云”平台,通过在云端给企业提供自助式的漏洞扫描、流量清洗以及反垃圾邮件等服务,帮助企业便捷快速的得到安全能力的提升,未来可以让企业以应用的形式快速部署到生产环境中,让安全动起来,以适用于快速变化的业务需求。另外,我们在建设私有云和公有云方面也提出了自己的解决方案并开发了相应的产品。
在物联网方面绿盟科技也有了相关布局,前年发布了工控系统的漏洞扫描产品,并投资了一家专门做工控系统的公司。这些举措,让我们得以快速提升安全服务交付能力。
三、可信计算环境的安全模式不会持久
政府安保专家:谈到云安全,目前多数安全云服务,我觉得都还是在传统架构上一个简单的安全应用,只是过去系统相对分散,而现在整体在云端提供服务了。针对这样的模式,企业提出了一系列的解决方案,但我认为这样的模式不会持久。
目前大多数人的安全理念是这样的,为每个企业构筑一个从终端到边界再到服务器的一个可信计算环境,在这个可信计算环境中实现安全的计算。但这样的理念,对于以后的泛在网络,即网络无处不在和软件定义一切的情况下已经不再适应。未来我们的计算可能无法处于这个安全环境,我们必须在一个非安全的环境里实现安全计算,这是一个根本性的改变。过去的诉求是构建一个可信的环境,在环境里实现云计算,以后的信息安全很有可能发展到在非可信的环境中实现可信计算。
比方说涉密系统,并不是构建一个封闭的涉密网络然后在这个网络里进行实现安全,而是在一个广泛的网络开放空间里去实现涉密信息的保密传输和终端的安全,这才是未来的发展方向。按照这个方向来看,现在大部分公司还是在交付传统的安全解决方案,并没有做到适应未来这种大范围的、全面的计算环境,随着业态的发展,在未来,这种局面一定会发生新的改变。
企业安保专家:因为基础设施的变化往往会带来新的问题和挑战,所以安全体系本身也是在不停的演变之中,没有任何一个安全体系和模型是一直不变的。实际上今天所讨论的这三个方面包括云计算、物联网和大数据,这些方面产生的安全问题,都是由于这几年计算环境发生巨大的变化对整个安全体系提出了非常大的挑战。
我们在去年发布了“智慧安全2.0”体系,这个体系的构建思路也体现了这样的发展趋势,目前不管是国际还是国内的同行,大家都意识到,安全体系的设计一定要假设安全问题是一定会发生的,只是知道或者不知道而已,在这个前提下首先强调安全事件的监测和可见性,就是说你要有能力检测到这个安全事件的发生;其次是够快速响应,快速去更新你的安全能力,这是我们整个智慧安全2.0体系中的重点。
绿盟科技智慧安全2.0
在云端,我们现在所提供的一些服务主要在脆弱性、风险性评估方面,也包括一些比较成熟的安全传输服务。此外,我们在假设失效的基础上进行了安全模型的改进,并发布相关解决方案,也正是为了适应从可信计算环境向非可信计算环境变化的发展趋势。
政府安保专家:打一个简单的比方,假如我用一台笔记本或台式机接到了远端的云服务。安全并不是说要确保当前使用的终端设备没有任何漏洞,操作系统也没有问题,而应该确保应用安全,在这个薄弱环境上建立一个强壮的APP,来实现安全的连接。所以未来最终的情况可能是这样。
因为到处都是计算机,比如U盘,我这个U盘插到哪哪就是计算机,到哪都能运算。运算环境虽然千变万化,但我的操作应用必须是安全的。我想,未来的发展方向肯定是逐步向这一方向去发展。但目前的安全工作还是在看有没有漏洞,有没有脆弱性,是不是需要给操作系统进行加固,始终在传统安全的路子上。
企业安保专家:确实是这样。从整个安全行业来看,目前提供的脆弱性方面的服务,是一些很基础的保障。但是,大家也都在努力的去探讨和研究未来的解决方案。我们希望的是在基础的环境保障基础之上,再对应用层面的安全问题做相应的设计,这从已经发布的软件定义安全白皮书中可以看到相关的架构设计。
绿盟科技APP Store设计
比如说CASB技术方面出现了两个方向的方案,一个方案是实时的去监控云端服务的使用情况,比如说一个企业用了Office 365的服务,系统会检测用户是否存在异常的登录,是否存在敏感信息泄露的问题;另外一个方案是监测企业出口与云服务的交互情况。我觉得安全行业现在已经关注这方面的问题,也正在向这个方面去努力,实际上,安全模型往往比应用模型要稍微滞后一些,这也是整个安全行业需要改进的问题。
政府安保专家:我再打一个简单的比方。我使用某某云的服务,除了明确标密的信息和个人敏感信息,其他文件我全部都会放在某某云上,但是这些内容全是密文,加密存放到云端,使用的时候,下载到本地解密。这个过程中用户自己确保了数据安全,与某某云的安全与否、是否泄露、是不是有后门等等关系不大。
通过这个例子可以看到,云安全还可以从数据安全及应用安全的角度入手来做。我对公有云的安全并不信任,但照样也可以放心的把文件放在云上,只是利用云服务的便利性,用户用加密来保障自己的数据安全。而且,现在所谓的云安全某种程度只是提供了一个稳定性,用传统安全产品去构建新的基于云环境下的一种安全防护体系,这并没有跳出传统的安全架构。这里表达的意思并不是说公共云不好,而是对用户来讲,可以把现有的服务提供商提供的云服务等都当做非可信环境,同时采取必要的安全措施确保自身安全性,因为我永远不可能信任某一个云。
四、如何做好重要活动期间的安保工作
记者:请两位专家介绍一下今年两会安保的基本情况,有没有严重的网络攻击行为?
政府安保专家:重大活动期间的安全保障工作,尤其像两会这样重大的活动,重要会议期间,安全保障做的还是比较好的。
一个是因为上级领导部门和组织部门的重视,各部门之间都对网络安全也比较重视。第二是技术层面的参与,像绿盟科技这样的安全公司,可以借助他们的技术能力来弥补政府部门技术方面的不足,进行漏洞扫描、实时监控等24小时的紧盯,用“管理+技术”来确保两会期间的安全。
网络攻击时时刻刻都在,每天几乎任何一个政府部门的网站都会面临非常多的攻击。在目前来讲,一般常规性的攻击已经可以抵御了,现在比较担心的是针对性的高级木马威胁或称APT攻击。
企业安保专家:绿盟科技参加了很多次重大活动的安全保障工作,从奥运会、世界互联网大会到每年的两会均有参与。安保活动有两方面是比较重要的,一方面是应急响应,另外一方面是服务体系。
一般来讲,根据安全保障服务体系的要求,会有不同的专家投入到安保工作,包括现场安保指挥中心的高级专家,包括云端监控团队,他们将会7×24小时为现场专家提供相关信息。同时,在发生安全事件之后,安全运营中心作为第一接口,调度后端的专家资源进行事件响应及分析工作。
另外,重大活动的网络安全保障工作,安保团队将参与前期整个安保应急响应的体系和服务内容的规划,并在活动期间做应急值守,协同相应的政府部门来对重点保护网站的安全情况做监控以及做相应的服务。
通过多年安保活动的经验积累,绿盟科技已经构建了较为完善的应急响应体系及有效的应对方法,同时在技术、工具方面都取得了一些进展,并能够提供体系化的模式和资源支撑,进而可以对工作过程进行规范要求及评估。
五、网络安全立法外大于内 晚比早好
记者:近年来,网络安全立法的呼声越来越高,您怎么看待网络安全立法的迫在眉睫?
政府安保专家:从国家的法治建设来讲,信息立法非常重要。但我认为,目前各种安全管理制度和法律法规,已经基本符合国内安全状况的需要,对现阶段的安全建设并没有带来太大的影响。
立法的需求,反而是对外方面更为迫切。比方说我们的网络应该有边界,最终要以法律的形式确认国家的网络边界。如果有这样的立法出来,在应对美国的一些谈判中就会处于一个好的地位。
另外,我个人觉得法律还应该适当晚一点,这样很多新情况、新事物,可以通过一段时间的检验再做判断。哪些问题很重要,哪些问题不重要,哪些可能会更有利或不利等。法律不是立的越早越好,一定是通过充分的探索以后,让该出现的问题出现了,而这个问题也确实需要通过法律途径解决的时候,再去立法,而不是越早越好。
六、个人信息保护与商业利益的平衡
记者:“互联网+ ”时代,大数据共享的同时,如何保障个人隐私?是否会与商业利益产生冲突?
政府安保专家:在“互联网+ ”时代,个人信息安全需要从法律层面去解决。这里有两个层次,一个是个人应用层面。比方说,我的购物信息应该从法律上去规范。用户个人有上网的权利,但购物信息有权利不让别人知道。第二个是服务提供的层面,服务商应该自觉的为用户提供选择权。比如在淘宝上购物的时候,购物平台就应该提示用户,是否保留个人信息,把这个权利交给消费者。
另外在进行大数据应用的时候,必须把敏感项过滤掉,进行大数据采购分析的时候不能针对具体的人。好比房子信息可以公开,但是房主的姓名、身份证之类的个人信息需要抹掉。这种个人信息保护的做法如果在整个社会达成广泛共识的话,个人信息保护的事情很好解决,并不难,而且这也正是未来大数据发展的一个健康方向。
最后我再强调一下,个人信息保护并不一定要形成一个隐私保护法之类的法律,一些情况可以用管理规定或者标准、通知就能解决。最重要的是既能保证大数据的适当应用,又能保护个人隐私,在两者之得到一个平衡,这需要整个社会达成一个广泛的共识。
企业安保专家:我们经常看到某某网站被拖库,某某服务平台敏感信息泄露之类的新闻,Verizon的年度信息泄露报告也揭示了这一问题的严重性。
我个人的观点是这样,从法律的层面来讲,确实如前面政府安保专家所言,一方面是要对服务的提供商提出这样的要求,服务商要对信息泄露承担责任。另一方面,也需要对黑客团伙形成法律方面的威慑,但这是需要技术支撑的,比如取证的困难。绿盟科技正在建设这方面的技术能力,希望通过互联网,包括我们日常的安全服务所收集的一些信息来监控黑客团伙的活动,然后为客户提供威胁情报方面的服务,也包括给国家政府提供相应的技术支撑。
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: