解读：棱镜门引发的信息安全思考

　     网络安全已经不是新问题。过去多年间，英特尔、微软、IBM等公司曾经被反复质疑。微软操作系统的后门问题曾被上升到国家安全的角度，IBM的“智慧地球”计划也曾经得出可能会威胁国家信息安全的结论。棱镜计划的曝光看似偶然，实则有内在的必然性，这又像是网络安全问题的集中性爆发。

　　被曝光的是美国国家安全局（NSA）自2007年起开始实施的绝密电子监听计划——棱镜计划（PRISM）代号为“US-984XN”。棱镜计划能够对即时通信和既存资料进行深度监听。国家安全局在PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知，以及社交网络细节。

　　当大数据的获取和分析成为棱镜计划的必经之路，不可避免地，身处科技前沿的企业卷入这一计划。斯诺登披露的文件称，棱镜的项目可以使情报人员通过“后门”进入9家主要科技公司的服务器，这些公司包括微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、You Tube、苹果。
 

　　那么中国的信息安全又如何

　　曾经有人这样形容，中国的信息安全在以思科为代表的美国“八大金刚”（思科、IBM、Google、高通、英特尔、苹果、Oracle、微软）面前形同虚设。

　　在网络基础设施建设方面，以思科为例，有资料显示，过去十几年间，思科几乎参与了中国所有大型网络项目的建设，涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等重要行业。中国电信、中国联通等电信运营商的网络基础建设思科也参与其中，在承载着中国互联网80%以上流量的中国电信163和中国联通169两个骨干网中，思科占据了70%以上的份额，并占据着所有超级核心节点。

　　而微软、Google和苹果则掌握了中国的操作系统份额，微软是office办公软件领域绝对的老大，在国内也是出于统治地位。

　　此外，我国用户使用的软硬件设备，大部分来自美国，信息很容易被监听、过滤。

　　这些都让中国的互联网显得脆弱甚至不堪一击，美国监控中国易如反掌。

　　反观中国企业在美国的遭遇

　　典型的，华为和中兴始终无法打开美国市场主要因为网络安全问题的隐忧。去年，在对华为、中兴两家企业长达11个月的调查后，美国众议院情报委员会发表报告称，美国电信运营商不应和华为、中兴两家公司进行合作，因为这两家公司“可能对美国国家安全构成威胁”。

　　在云计算、大数据时代的背景下安全如何考量？

　　从2009年起，云计算在我国开始进入实质性发展阶段。以上海、北京、天津为代表的地方政府，建设政府公务云及面向中小企业的公有云；以中国移动、中国电信为代表的传统电信运营商，为运营支撑系统搭建私有云。

　　最近兴起的云服务则是另一股潜流。微软通过和国内企业的合作，实现Office 365云计算办公软件和Windows Azure云计算平台在中国的落地。去年12月，亚马逊AWS云计算产品中文网站悄然上线，云计算服务入驻中国也指日可待。苹果和谷歌的应用商店在中国区的运行同样存在因把握用户数据带来的网络安全潜在风险。

　　云计算的发展和应用使IT领域正在发生深刻变革，但它在提高IT资源使用效率的同时，给信息安全带来多个层面的冲击与挑战。最典型的安全问题就是“个人数据会泄露”。用户可以使用云平台进行一些安全性的攻击，或者用一些计算来破解密码。

　　云计算中已经暴露出的安全问题如：2007 ～ 2008 年间，亚马逊云平台出现了大范围的故障；在2009年，谷歌中出现了客户个人的信息的泄露问题；2009年，微软的云平台出现了崩溃，致使数据丢失；2011年4月22日，亚马逊的云数据中心的服务器出现了大面积的宕机，此事件是亚马逊史上最为严重的云计算安全事件。在云计算时代，安全问题依然是业界及学术界所关注的关键问题。

　　云计算面临的安全问题有哪些？

　　云计算服务基于宽带网络特别是互联网提供，面临各类传统安全威胁，且安全问题随系统规模化而被放大。另一方面，云计算与传统的计算模式相比具有开放性、分布式计算与存储、无边界、虚拟性、多租户、数据的所有权和管理权分离等特点，同时，云中包含大量软件和服务，以各种标准为基础，数据量庞大，系统非常复杂，因而在技术、管理和法律等方面面临新的安全挑战。此外，云计算系统中存放着海量的重要用户数据，对攻击者来说具有更大的诱惑力，如果攻击者通过某种方式成功攻击云系统，将会给云计算服务提供商和用户带来重大损失，因此，云计算的安全性面临着比以往更为严峻的考验。与传统IT安全比较，云计算特有的安全问题主要有以下四个方面：

　　（1 ）云计算平台导致的安全问题。云计算平台聚集了大量用户和数据资源，更容易吸引黑客攻击，而故障一旦发生，其影响范围多，后果更加严重。此外，其开放性对接口的安全也提出了更高的要求。另外，云计算平台上集成了多个租户，多租户之间的信息资源如何安全隔离也成为云计算安全的突出问题。

　　（2）虚拟化环境下的技术及管理问题。传统的基于物理安全边的防护机制难以有效保护基于共享虚拟化环境下的用户应用及信息安全。另外，云计算的系统如此之大，而且主要是通过虚拟机进算，一旦出现故障，如何快速定位问题所在也是一个重大挑战。

　　（3） 云平台可用性问题：用户的数据和业务应用处于云计算系统中，其业务流程将依赖于云计算服务提供商所提供的服务，这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外，当发生系统故障时，如何保证用户数据的快速恢复也成为一个重要问题。

　　（4） 云计算这种全新的服务模式将资源的所有权、管理权及使权进行了分离，因此用户失去了对物理资源的直接控制，会面临与服务商协作的一些安全问题，如用户是否会面临服务退出障碍，不完整和不安全的数据删除会对用户造成损害，因此如何界定用户与服务提供商的不同责任也是一个重要问题。

　　云计算安全所面临的挑战有很多，对云的发展至关重要，成为云发展的最大障碍。

　　国内信息安全五大盲区

　　盲区一：国内政企盲目选择国外电子产品

　　目前，国内政府和企业对外国品牌的电子产品、信息技术产品过分依赖。据媒体报道，涉及“棱镜门”的思科产品在国内163、169两大主干通讯网络中占据了70%以上份额，把持了所有超级核心节点。很多政企选择信任外国产品都是出于高性能的考量，然而不知不觉间，这些外国厂商却成为了企业信息安全的重大隐患。

　　“无论是电子设备厂商还是信息技术厂商，都是有国籍的，但是互联网和电子信息产品却没有国界”，瑞星安全专家表示，“从技术角度来讲，任何电子信息类产品都有被植入后门、窃取用户情报的可能。厂商一旦受到来自国家或竞争对手的压力，就可能会铤而走险。”

　　盲区二：企业信息安全体系建设基本为零

　　当前国际信息对抗日趋严重，同行业之间的竞争也愈加激烈，然而目前国内很多企业对信息安全建设的概念仅仅停留在简单安装杀毒软件的层面，这是远远不够的。杀毒软件只能解决病毒相关问题，却不能解决由系统管理不严、员工操作不当和黑客入侵引发的安全问题。

　　“信息安全体系建设，不只是用信息安全产品搭建一个堡垒，更重要的是企业自身建立一套完善的信息安全制度”，瑞星安全专家指出，“只有有形的产品和无形的制度相互配合，才能避免核心机密被类似‘棱镜’项目所窥视。”

　　盲区三：BYOD将成为企业信息安全的致命伤

　　BYOD是指企业允许员工将自有的个人电脑、手机、平板电脑等终端设备接入企业内网。目前在国内，很多企业鼓励这种行为，多数是出于方便办公、节约办公成本的目的，然而这样的做法却使得办公数据与私人设备的物理边界消失，使得员工和外来人员可以随意接入企业网络，拷贝机密文件。

　　美国情报机构拥有非常完备的信息保全制度，但仍无法拦住斯诺登将机密文件拷贝至自己的设备，这与BYOD不无关系。由此可见，拥有周密制度的专业机构尚且无法规避信息泄露，国内毫无防御方案的企业，更时刻面临着信息安全危机。

　　盲区四：新科技、新应用隐藏巨大风险

　　近年来，新科技、新应用发展迅速，这也为企业信息安全带来了很多未知风险。瑞星安全专家解释，“举个最贴近生活的例子就是智能手机，黑客或企业内鬼可利用智能手机的摄像头和麦克风，全程监听企业内部的信息。同时作为移动终端设备，手机又能使用自己的网络，将监听到的信息随时上传至互联网。所以，即使不接入企业内网，黑客、企业内鬼及竞争对手（或国家）的情报部门都可能利用智能终端设备来获取企业机密情报。”类似电影《007》、《碟中谍》的窃密桥段，现在已成现实。

　　盲区五：云端服务器风险不容忽视

　　“棱镜”项目中，提到美国有九家互联网聚头向情报机构开放了服务器，以便监视个人、企业及他国的互联网行为。“云技术应用带来的巨大安全风险由此可见一斑”，安全专家表示，云技术以节省本地资源、运行速度高等特点受到了整个互联网行业的追捧。这项技术，需要企业将用户信息、办公系统，乃至商业机密上传到云端数据库，以便在需要时随时调用。然而一旦云端服务器遭到黑客入侵，或服务器和云端系统供应商在系统中留有后门，企业信息安全将成为一纸空谈。

　　在互联网时代的今天，“棱镜”给政府、企业及个人上了一堂现实版的信息谍战课。棱镜门再一次提醒国人，我们在互联网，特别是软件、硬件方面的家底很薄，高端数据库、芯片、服务器和操作系统等不能自给，都得靠从欧美进口，没有核心自主知识产权，谈信息安全非常无力，犹如痴人说梦。

　　在政策支持和市场需求的驱动下，中国信息安全产业近几年年平均增长20%以上，但中国信息安全投入占IT总投入的比重仍然大幅低于欧美国家。面对威胁，只有采用更适合中国用户的信息安全产品，具有自主知识产权，才能真正保护我国的国家信息安全体系。