“棱鏡門”事件雖然已經(jīng)過去了大半年,但其引發(fā)的網(wǎng)絡(luò)安全危機(jī)仍在持續(xù)發(fā)酵。
近日,美國《紐約時(shí)報(bào)》和德國《明鏡周刊》發(fā)表文章稱,中國華為技術(shù)有限公司(下稱華為公司)在毫不知情的情況下,被美國國家安全局(NSA)實(shí)施了長達(dá)7年的監(jiān)控。同時(shí)被監(jiān)控的還有中國各大銀行和通訊公司。
據(jù)悉,NSA在代號(hào)為“射殺巨人”的行動(dòng)中,攻破了華為公司總部的服務(wù)器,獲取了華為公司大量員工的電子郵件、上千名客戶的信息,還竊取了部分產(chǎn)品的源代碼。產(chǎn)品的源代碼是華為公司的核心機(jī)密,通常受到最高級(jí)別的保護(hù),但仍未逃過NSA的“眼睛”。
“良知不容美國政府侵犯全球民眾隱私。”這是“棱鏡門”事件主角愛德華·斯諾登所言。隨著“棱鏡門”事件的持續(xù)發(fā)酵,NSA面臨著多個(gè)國家的譴責(zé)和巨大的輿論壓力。
重壓之下,NSA的竊聽計(jì)劃究竟會(huì)黯然收場,還是會(huì)重振旗鼓、研發(fā)更先進(jìn)的竊聽技術(shù)?國內(nèi)企業(yè)又應(yīng)如何保護(hù)網(wǎng)絡(luò)安全?有業(yè)內(nèi)專家表示,中國企業(yè)“巨人”若想擺脫NSA的“魔爪”,除了提高主動(dòng)防御風(fēng)險(xiǎn)的意識(shí)外,還需加強(qiáng)信息安全保護(hù)技術(shù)的研發(fā)力度。
信息安全備受關(guān)注
多國開展專利布局
全球信息化已逐漸成為人類社會(huì)發(fā)展的大趨勢,而與之密切相關(guān)的信息網(wǎng)絡(luò)包含商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、科研數(shù)據(jù)等諸多重要信息,很多都屬于國家或企業(yè)機(jī)密,所以難免會(huì)受到來自世界各地的人為攻擊,如竊取信息、篡改數(shù)據(jù)、植入病毒等。正是因此,如何保護(hù)網(wǎng)絡(luò)信息安全成為世界各國共同關(guān)注的焦點(diǎn)。
“網(wǎng)絡(luò)信息安全是指保護(hù)信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù),使網(wǎng)絡(luò)信息免遭人為破壞、更改以及泄露,它是一門涉及網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)等多種技術(shù)的綜合性學(xué)科。”
國家知識(shí)產(chǎn)權(quán)局專利復(fù)審委員會(huì)電學(xué)申訴二處審查員李晨在接受本報(bào)記者采訪時(shí)介紹,目前,保護(hù)網(wǎng)絡(luò)信息安全的主要技術(shù)有密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)。密碼技術(shù)用于隱蔽傳輸信息、認(rèn)證用戶身份等;網(wǎng)絡(luò)訪問控制技術(shù)用于對系統(tǒng)進(jìn)行安全保護(hù),抵抗各種外來攻擊。
記者在采訪中了解到,鑒于網(wǎng)絡(luò)信息安全保護(hù)的重要性,多個(gè)國家都已在該領(lǐng)域進(jìn)行了專利布局。國家知識(shí)產(chǎn)權(quán)局專利局電學(xué)發(fā)明審查部計(jì)算機(jī)四處審查員謝志遠(yuǎn)經(jīng)過全球?qū)@墨I(xiàn)檢索發(fā)現(xiàn),在計(jì)算機(jī)和網(wǎng)絡(luò)安全方面,截至2014年5月19日,全球申請人共提交了近19萬件專利申請,其中,涉及計(jì)算機(jī)安全的專利申請約有8萬件,涉及通信網(wǎng)絡(luò)安全的專利申請約有11萬件。在這些專利申請中,美國申請人共提交了約6萬件專利申請,其中,涉及計(jì)算機(jī)安全的專利申請約有2.7萬件,涉及通信網(wǎng)絡(luò)安全的專利申請約有3.3萬件;中國申請人共提交了約3.6萬件專利申請,其中,涉及計(jì)算機(jī)安全的專利申請約有8000件,涉及通信網(wǎng)絡(luò)安全的專利申請約有2.8萬件。
“縱觀中國和美國在網(wǎng)絡(luò)安全領(lǐng)域的專利布局情況不難發(fā)現(xiàn),中國的專利申請量雖然占據(jù)了全球?qū)@暾埧偭康慕?span lang="EN-US">1/5,但與美國相比還存在較大差距。美國在該領(lǐng)域的專利申請量是中國的近2倍,且在多個(gè)領(lǐng)域的專利申請量均超過中國。”謝志遠(yuǎn)表示。
國內(nèi)申請數(shù)量雖多
研發(fā)力度仍待提升
在計(jì)算機(jī)和網(wǎng)絡(luò)安全方面,多個(gè)國家的申請人在中國市場進(jìn)行了專利布局。謝志遠(yuǎn)進(jìn)行中國專利文獻(xiàn)檢索發(fā)現(xiàn),截至2014年5月19日,申請人在中國提交的專利申請共有6.7萬件,其中,涉及計(jì)算機(jī)安全的專利申請約有2.2萬件,涉及通信網(wǎng)絡(luò)安全的專利申請約有4.5萬件。在所有的專利申請中,國內(nèi)申請人提交的專利申請約有4萬件,其中,涉及計(jì)算機(jī)安全的專利申請約有9000件,涉及通信網(wǎng)絡(luò)安全的專利申請約有3.1萬件;國外申請人提交的專利申請約有2.7萬件,其中涉及計(jì)算機(jī)安全的專利申請約有1.3萬件,涉及通信網(wǎng)絡(luò)安全的專利申請約有1.4萬件。
在謝志遠(yuǎn)看來,雖然國內(nèi)申請人在中國的專利申請量占據(jù)一定優(yōu)勢,但國內(nèi)企業(yè)在該領(lǐng)域的研發(fā)還有進(jìn)一步提升的空間。
上海三零衛(wèi)士信息安全有限公司(下稱三零衛(wèi)士)是一家專業(yè)從事信息系統(tǒng)安全建設(shè)和服務(wù)的企業(yè)。“保護(hù)網(wǎng)絡(luò)信息安全的技術(shù)包括密碼技術(shù)、物理隔離技術(shù)、邏輯隔離技術(shù)、代理技術(shù)、監(jiān)測技術(shù)、檢測技術(shù)、漏洞發(fā)現(xiàn)技術(shù)、漏洞挖掘技術(shù)、安全管理技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)粉碎技術(shù)、風(fēng)險(xiǎn)評(píng)估技術(shù)、測試測評(píng)技術(shù)等,這些技術(shù)在國內(nèi)信息安全領(lǐng)域都已經(jīng)投入應(yīng)用。”三零衛(wèi)士副總經(jīng)理李成斌在接受本報(bào)記者采訪時(shí)介紹,在保護(hù)網(wǎng)絡(luò)信息安全方面,三零衛(wèi)士自主研發(fā)了入侵檢測、數(shù)據(jù)清洗和比對、監(jiān)控管理、遠(yuǎn)程服務(wù)協(xié)作、網(wǎng)站安全監(jiān)控、工業(yè)控制系統(tǒng)信息安全自查、日志管理、數(shù)據(jù)資源智能管理等技術(shù),并研發(fā)出了相關(guān)產(chǎn)品,如三零衛(wèi)士工業(yè)防火墻、三零衛(wèi)士30SOC網(wǎng)站安全監(jiān)控軟件、三零衛(wèi)士IT服務(wù)企業(yè)管理信息化平臺(tái)軟件等。截至目前,三零衛(wèi)士已經(jīng)提交了16件涉及網(wǎng)絡(luò)信息安全的專利申請,內(nèi)容包括計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)警處理系統(tǒng)等,其中,5件專利申請已經(jīng)獲得授權(quán)。
監(jiān)控手段豐富多樣
多管齊下免遭“射殺”
NSA監(jiān)控多國企業(yè)的行徑遭到世界各國的譴責(zé),壓力之下,NSA為不被發(fā)現(xiàn),是否會(huì)研發(fā)更先進(jìn)的竊聽技術(shù)?為免遭監(jiān)控,國內(nèi)企業(yè)又該如何應(yīng)對?
李晨向本報(bào)記者介紹,目前,有多種攻擊技術(shù)嚴(yán)重威脅著網(wǎng)絡(luò)信息安全,如針對工業(yè)控制系統(tǒng)和嵌入式系統(tǒng)的攻擊技術(shù)等。
除了攻擊技術(shù)外,國外機(jī)構(gòu)的監(jiān)控手段也變得豐富多樣。“目前,比較常用的監(jiān)控方式有網(wǎng)絡(luò)竊聽、利用漏洞、啟用后門等。”李成斌告訴本報(bào)記者,防止網(wǎng)絡(luò)竊聽的主要手段是加密,并對信息進(jìn)行分級(jí)分類,采用符合國內(nèi)要求的密碼技術(shù);防止漏洞被利用的主要手段是進(jìn)行多級(jí)多層次防護(hù)和強(qiáng)化異常監(jiān)測,避免直接暴露關(guān)鍵核心系統(tǒng)的漏洞;防止啟用后門則需要企業(yè)強(qiáng)化關(guān)鍵設(shè)備的信息安全隱患分析和檢查,及早發(fā)現(xiàn)后門。
與此同時(shí),國內(nèi)企業(yè)“打鐵還需自身硬”,只有不斷加強(qiáng)相關(guān)技術(shù)的研發(fā),構(gòu)建嚴(yán)密的網(wǎng)絡(luò)信息安全保護(hù)網(wǎng),才能使企業(yè)免遭監(jiān)控。“國內(nèi)企業(yè)的網(wǎng)絡(luò)信息安全保護(hù)意識(shí)薄弱,很多企業(yè)在發(fā)生了嚴(yán)重的信息安全事故或是有上市需要時(shí),才會(huì)加強(qiáng)網(wǎng)絡(luò)信息安全保護(hù)。”李成斌介紹,目前,我國很多企業(yè)的基礎(chǔ)設(shè)施如CPU(中央處理器)、編譯器、開發(fā)工具、調(diào)試工具等,全部依靠進(jìn)口,無法從源頭上保障安全,這會(huì)增加安全風(fēng)險(xiǎn)。另外,不少企業(yè)的工業(yè)控制系統(tǒng)信息安全基本處于“裸奔”狀態(tài),既不能滿足當(dāng)前應(yīng)用的信息安全威脅需要,也不能順應(yīng)未來工控互聯(lián)網(wǎng)的融合趨勢。鑒于此,國內(nèi)相關(guān)工業(yè)企業(yè)應(yīng)逐步建立“固、隔、監(jiān)”工控信息安全防護(hù)體系。
針對國內(nèi)網(wǎng)絡(luò)信息安全領(lǐng)域的這一現(xiàn)狀,李晨建議,國內(nèi)企業(yè)應(yīng)加強(qiáng)技術(shù)向產(chǎn)業(yè)的轉(zhuǎn)化進(jìn)程,將產(chǎn)品盡早投入市場,并積極進(jìn)軍國際市場,與國外的主流產(chǎn)品展開競爭。在打造信息系統(tǒng)的過程中,國內(nèi)企業(yè)不應(yīng)僅把多種安全產(chǎn)品進(jìn)行簡單疊加,而應(yīng)將多種安全產(chǎn)品進(jìn)行一體化集成,打造綜合性安全防御系統(tǒng)。另外,相關(guān)部門還應(yīng)為網(wǎng)絡(luò)信息安全領(lǐng)域的企業(yè)和機(jī)構(gòu)搭建成果轉(zhuǎn)化的橋梁,促進(jìn)該領(lǐng)域的產(chǎn)學(xué)研合作。而企業(yè)也應(yīng)提高安全防范意識(shí),使自身的網(wǎng)絡(luò)信息安全建設(shè)從被動(dòng)防御到主動(dòng)防御轉(zhuǎn)變,主動(dòng)發(fā)現(xiàn)安全隱患。只有多管齊下,國內(nèi)企業(yè)在網(wǎng)絡(luò)信息安全保護(hù)方面才能免遭“射殺”。