安全软肋
大数据时代,几乎每个人都无法与数据和信息撇清关系。置身于庞杂的数据流之中,信息安全成了与每个人息息相关的事情。
中科同向信息技术有限公司(以下简称中科同向)总经理邬玉良告诉记者:“任何一个技术从概念到普及都要经过一个过程,只有每个人都切身体会到的时候,才能成为流行。不久前,iCloud受到黑客攻击,就让人们意识到原来信息安全与自己切身相关,脑子里关于数据安全的弦儿开始绷得越来越紧。”
对于大多数人而言,信息安全似乎只是一个模糊的概念。每当提到信息安全的问题,人们最直观的印象就是那些广泛存在于好莱坞大片中的黑客入侵系统和美国联邦调查局监听的场景。
近两年,媒体上关于服务器、路由器、手机等信息安全威胁的报道越来越多。“后门”这个词语,逐渐走入了人们的视线。在信息技术中,后门指的是程序员开发软件时,提前在软件模块上留下的秘密入口,开发者和黑客都能够从这个通道轻易进入系统内部,而不被用户察觉。通常情况下,这个入口并不会在软件使用说明上标注出来,所以鲜为人知。从棱镜门事件来看,软件上预留的监听后门正是窃取数据和信息的主要来源。
邬玉良说:“其实,在这个‘软件定义世界’的时代,软件既是IT系统的核心,也是大数据的核心,几乎所有的后门都是开在软件上。”
单纯从技术角度来说,软件预留的后门未必全都是用来窃取信息的,但往往这种隐藏于角落的暗道,会给用户带来一定的不安全感,甚至在被黑客利用的过程中造成数据信息不必要的损失。
据了解,IBM、EMC等各大巨头生产制造的存储、服务器、运算设备等硬件产品,几乎都是全球代工的,在信息安全的监听方面是很难做手脚的。换句话说,软件才是信息安全的软肋所在。
虽然软件在信息安全中扮演着重要角色,但是安全威胁不只有后门监听这么简单。邬玉良表示,在大数据中,安全性是涉及多方面的,首先研究人员要考虑如何安全地存储大数据,此外,还需要探索怎样安全地利用和挖掘大数据。要使大数据的安全性真正落到实处,就必须在上述的各个环节提供安全可靠、可执行的整套解决方案。
事实上,由于利益不同,各国之间的信息战长期以来一直存在。随着信息技术的发展,信息战的范围日益扩大。时至今日,大数据已然成为各国在全球范围内进行资源竞争的重要手段。国家之间的信息之争,也自然而然地蔓延到了大数据领域。
我国的大数据信息安全面临着严峻的挑战,2014年的《政府工作报告》指出,“要设立新兴产业创业创新平台,在大数据等方面赶超先进,引领未来产业发展。”
提到国外巨头为何要在软件上预留后门的问题时,此前对大数据安全技术侃侃而谈的邬玉良突然变得深沉起来,他解释道:“其实,从棱镜门事件,再到赛门铁克和卡巴斯基监听数据信息,不难看出软件后门的信息安全威胁之所以能够长期存在,究其根本还在于国家之间的利益较量。单纯从动机的角度考虑,国产的大数据企业一般要比国外的大数据企业具有更高的安全性。因为本国企业几乎没有窃取信息数据,尤其是国家机密的动机。”
自主可控
信息安全问题受到关注后,越来越多的大数据企业为了争夺市场纷纷打出“安全牌”。其中,不少企业声称能够从数据传输、数据计算到数据存储各个过程提供可靠安全校验的机制,甚至能够对存储数据进行符合标准的加密设置。
既然技术上已经采取了严防死守的多项措施,为什么信息安全的漏洞还是堵不住呢?
正如中国工程院院士倪光南曾提到信息主权概念时表示,你的信息被别人掌握了,还有什么主权?
在采访中,邬玉良对倪光南院士的观点表示赞同。
对于现代信息安全而言,最危险的行为并非软件上的监听漏洞和潜伏的黑客危机,而是将自主控制的权力交给“他人”。这就好比将自家的钥匙全部交到了外人手里,安全问题又从何谈起呢?
其实,把所有的IT系统抽象来看,其本质就是“硬件+软件”。软件供应方在主板上加入特殊的芯片,或是在软件上设计了特殊的路径处理,检测人员只按照协议上的功能进行测试,根本就无法察觉软件预留的监听后门。也就是说,如果没有自主可控的信息安全检测备案,之前所谓的各种安全机制和加密措施,就都是形同虚设。因此,自主可控的重要性不言自明。
近年来,几乎所有的国产企业都自发地扛起了自主可控的安全大旗,自主可控也已经成为目前国内企业发展的一个大趋势。
在采访中,杭州宏杉科技有限公司(以下简称宏杉科技)行业市场部技术总监汪振浩告诉记者:“窃取信息,说到底就是通过预留后门或者黑客入侵等方法,最终拿到存储器保存的全部数据,所以存储是信息安全非常重要的一个方面。要保证数据的安全,必须兼顾硬件和软件,包括从芯片级的研发到软件代码的编写等多个方面。保证研发全过程的自主可控。是保障信息安全的一个重要渠道。”
关于什么是自主可控,汪振浩举了一个事例具体说明:“与政府合作开发的过程中,有一些关于信息安全的控制要求,比如要把源代码交给相关部门进行备案。对于宏杉科技而言,我们一方面有源代码可以提供,另一方面也有辅助完成各期项安全检查工作的意愿,而一些国外的企业却难以满足这两点要求。”
通过交谈得知,为了进一步推动信息安全的自主可控,国内一直在提倡“可信计算”。所谓的“可信计算”就是,软件不再做功能上的黑名单,而是换以白名单来进行控制。换句话说,一个系统做出来,人们只需要规定允许范围内的业务、流量和通信路径即可,而其他冗余的功能则不会被触发。
目前,国内在可信计算方面已经研究出了一些机制,对存储、芯片、软件等多个流程都进行了规定,使全部的处理流程都可以清晰地检测到,而不会让那些恶意窃取数据信息的程序躲在一个看不见的“黑盒子”里。可以说,可信计算在一定程度上促进了自主可控的发展。
市场对调?
信息安全受到的重视程度与日俱增,不仅让受到“后门”指控的国外大数据巨头逐渐丧失了中国的政府采购市场上的阵地,也让国内相关企业迎来了政策东风。
近两年,浪潮、曙光、华为、联想等数据处理领域的国内企业,在业绩上一路引吭高歌。如今,再加上政策利好的助推,这些民族企业中的佼佼者未来将有更多机会在国家的信息系统部署中充当重要角色。
总体看来,大家对于国产企业的未来普遍表示乐观,中国的大数据市场前途一片光明。
然而,在国内数据处理企业发展的道路上仍然存在着一些不容忽视的障碍和问题。例如,赛门铁克、戴尔、惠普等国外公司在数据处理技术和品牌上具有绝对的先发优势,一直占据着国内大部分的市场份额。
汪振浩指出:“国外巨头通过长期的市场积累,资金、品牌、市场等领域的实力不容小觑,国内企业和他们之间的差距是一个绕不过去的问题。但是,国内企业也有自己的核心竞争力。首先自主可控是我们的长项,此外,我们在服务的本地化和个性化扩展上,也有着不错的表现。近年来,国内企业的技术实力不断增强,产品技术其实与国外公司的差距已经不大,关键还是用户使用习惯上的问题,可以说国内企业的崛起是必然的事情,我们对未来充满了信心。政策的利好,也为国内企业的腾飞提供了更多契机。如果一直保持这样的发展形势,在未来五至十年内,国内企业与国外企业在国内市场的份额很有可能会发生对调。”
虽然,市场格局的颠覆并非朝夕之间就能够完成的,但只要国内企业能够刻苦修炼“内功”,未来是非常令人期待的。
CIO之家 www.ciozj.com 公众号:imciow