信息安全 刻不容缓
2011-09-06星竹
◎ 本刊记者 星竹
在2007年上映的一部末世科幻电影《我是传奇》中,有这样的开场:人类医学发明了一种新的病毒,它可以治愈癌症,不料病毒变异后将受感染的人类变成活僵尸。一场大面积的病毒突然爆发,传播速度之快几乎无人能够阻止,没有人知道可怕的病毒之源开始于何处,只知道它是没办法停止的、不可逆转的、无法治愈的。死亡笼罩了人间。相信看到这部影片的人都为里面如行尸走肉般的病毒感染者感到惊恐。如今在网络世界,也正在上演着一场悄无声息的战争,那就是与网络病毒、黑客入侵等的恶意行为对抗的信息安全保卫战。各行各业的先觉者已经开始躬行实践。
信息安全保卫战
信息安全有这样一组数据:2010年,最大的僵尸网络控制了超过100万台的僵尸计算机,2011年,中国新增的钓鱼网站超过150万个,波及4411万人次,损失超过200亿元,遭受网络攻击次数排名前四位的国家是中国、俄罗斯、印度和美国。恶意代码服务器数量排名前4的国家分别是美国、俄罗斯、中国和德国。此前,韩国最大的金融系统,遭受黑客攻击,近半数服务器被破坏,客户资料丢失,系统瘫痪长达3天,造成较大经济损失。
事实表明,攻击者控制的能力和范围越来越大,受利益驱使,造成的目标的破坏性更强。从伊朗核电站遭受病毒袭击事件可以看出,攻击从个人的层面上升到国家的层面。由于网络战役具有投入小、破坏力强、不见硝烟的性质,因而会成为未来战争的另一种模式。2011年7月14日,美国国防部发布网络空间行动战略重要文件,把网络空间和陆、海、空、太空一并作为美国行动领域。
我国是网络攻击的主要受害国。从国家层面来看要强调自主可控,从计算机芯片、核心系统到顶层应用,要最大限度地实现自主研发,做到信息安全系统要素操之在我,而不是受制于人。“任何一个国家都不可能把涉及国家利益的信息安全建立在别国控制的产品和技术上面。”一位信息安全专家如是说。因此,建立自主可控的信息安全关键技术显得非常必要。信息安全产品的自主研发也对信息安全从业人员提出了要求,这是整个信息安全链条关键的一环。
从企业现状来看,随着建筑施工企业的扩张发展和管理转型,企业比以往任何时候都更加依赖信息化。有信息的地方就要有安全。信息安全之间的对抗就如同政治经济领域一样广泛存在。施工企业不管是从产品上、自主研发上,还是在设计、研发、制造的过程中,都要保证产品自身的安全,实现对管理对象可管理、可操控。
把握策略 合理投入
虽然在医药、金融等行业都有相关的法规,目前我国施工行业并没有安全规范软件的法规,整个行业在信息安全系统应用部署上并没有明确的要求。目前唯一能执行的措施是网络监控,通过查看上网行为,记录到访网站等来消除危险。但这些都是从事后审查的角度来实施的。信息产品用户在部署安全设备上大概都比较类似,把很多设备放在具体的某一些位置上,放在没有产生安全威胁的阶段。每一个CSO是否能够知道目前网络状态到底如何?很多系统都缺少了这样的数据和监管。
在信息安全产品和技术的应用中,企业必然要遇到安全的威胁,每一个企业都会面临很大的问题。如果对基本系统漏洞采取合理的安全保护措施,就可能阻止危险的发生。比如,在日常工作中,当电脑桌面受到感染的时候,病毒通过侵占一台主机,再利用这台主机主动探测其他主机是否有漏洞并主动发起系统漏洞攻击。从应用安全的角度来分析,企业需要对网络具有安全上的可视性。平时部署安全系统后,看一看日常网络是否有异常的IT流量。如果感染了病毒,网络流量一定有异常反应。据有关专家称,病毒攻击网络时选择的时间很单一,比如在晚上的8点35分会采取密集行动。因此,在攻击效果展现、网络灾难爆发之前的几个月就可以感觉到攻击行为。通过网络可视化工具来检测并及时把危机扼杀在摇篮里,就可以有效避免上述案例的发生。
信息安全治理的效果与企业的投入和策略是分不开的。安全投入和企业的发展是正比例关系,当今很多企业IT建设的重点在于安全结构。企业的安全防护分为被动型、合规型、主动型和优化型4个阶段。在被动型,企业的安全效率比较低,风险比较大。一般来说企业网络架构大概有基础网络、桌面集成安全、服务器和后台数据库,只要基于这4个元素对网络安全进行配置,就可以基本满足信息安全的需要。企业在选择安全产品部署网络的时候,既要根据自身的特点选准产品和技术,也要将这些技术实实在在地应用起来,从而守卫信息化建设成果,在可持续发展的道路上走得更远。
在《我是传奇》影片中,病毒战役中的幸存者罗伯特·奈维尔上校,凭借大量的体能训练,敏锐的警觉和强大的防护在末世中生存了下来。他凭借科学知识,依然没有放弃对病人的救治,在不断试验着可以挽回同胞生命的化学药物。故事中,他是人类的希望。信息安全的希望,就握在行业中每一家企业每一个信息化人的手中。