信息时代或将天塌地陷 企业数据安全如何维系

信息时代或将天塌地陷 企业数据安全如何维系 信息时代，在很多人的眼中似乎正处于发展的高峰期，技术的多样发展，网络的全面 覆盖，都使的信息时代的繁荣有了“绝对的温床” 。 但或许也是因为信息技术和网络本身的问题，这个时代或将也就终结于此。 作为信息时代推动时代发展最主要的力量，信息技术和互联网的发展固然是绝对的核 心，但很多人容易忽略，作为信息技术作用的对象，作为互联网传播的对象，数据本身的 安全正遭遇“崩塌”的危机。一旦数据和信息毫无安全可言，那么建立在这之上的信息技 术和互联网的蓬勃发展就如同“沙漠中的海市蜃楼”一般，毫无实际价值可言。 我们该如何拯救处于危机边缘的数据安全？作为时代发展的中坚力量，企业的数据安 全又该如何维系？带着这些问题，就让信息安全领域的专家山丽网安和您一同前去探寻这 答案吧。 危险讯号：信息事件频发，数据危机会全面爆发 过去一年来，信息安全成为了频频见诸于媒体的公众话题， “棱镜门”曝光、携程网用 户支付信息漏洞、支付宝漏洞、小米用户资料泄露、NSA 入侵中国政企，频发的信息 安全事件的背后，信息安全风险严峻性不言而喻。 在这频发的信息事件背后，我们对于信息与数据危机全面爆发的可能也必须警醒，主 动、尽快的采取应对之法才是上上之策。 警醒一：监管体系不能“流于表面” NSA 事件发生后，大家不仅对美国的行为感到震惊，也对国内相关部门和企业的网络 安全防范能力感到担忧。在“亡羊补牢”过程中，我们不要仅仅着眼于加强网络安全保障 措施，而是需要对整个网络安全监管体系的完善加以更多的思考。 实际上，我国以往对网络安全已经采取了相关的监管措施，但还有很大的提升空间。 国家信息技术安全研究中心总工程师李京春就指出，以往我国只是对网络进行表层化管理， 主要包括功能符合检测和低层面的安全审查。目前网络产品和服务逐渐向深层次发展，若 继续沿用以前的监管办法，就很可能会出现网络监管漏洞，进而给国家安全和用户安全造 成损失。 因此，许多专家纷纷指出，要更进一步认识到网络安全监管的重要性和必要性，从源 头上杜绝网络安全风险隐患，确保公共安全和国家网络空间安全。例如国家信息中心专家 委员会主任宁家骏就明确表示，政府应该对任何与信息安全有关的企业进行审查，建立好 全面监管的体系。中国工程院院士倪光南也指出，对网络产品和服务的提供商、运营商和 服务商进行审查，还能促使企业规范行为标准，提高服务质量，进而推进信息产业更加健 康有序的发展。 警醒二：选择设备不能只看性能指标 一名网络安全资深专家曾经表示，安全圈流行一句话：“系统只存在两种状态：已经 被攻破和即将被攻破。 ”这句话虽然有些令人难以接受，但充分说明了网络安全防范的难度。 要知道，网络是一个庞大而复杂的体系，其操作系统的代码甚至达到千万行级，在上 面不仅运行着六千多个标准协议，还有诸多厂商定义的功能。要保证这一体系的安全可靠， 让外界难以攻破，就需要网络系统具备足够安全能力。这种安全能力不仅仅只针对网络安 全设备，而是涉及到 IT 系统的所有硬件和软件。 需要注意的是，IT 设备是否安全，很多时候并不体现在具体的性能指标上，而是与整 个产品的设计思路、研发生产、服务保障等各个环节息息相关。有些产品在对外宣称的参 数、功能貌似很不错，并不能代表其能通过实践的严峻考验。 因此，这就要求企业在选择网络设备时多加以考虑，在关键 IT 系统的选择时，要把 “安全可靠”作为第一原则，选择经过了长期和广泛的实践检验，证明具备足够安全可靠 能力的产品，并充分考虑厂商自身的安全技术整体能力。从厂商角度来说，对这一问题也 应加以足够重视，并制定具体举措，给用户提供更加安全可靠的产品和方案。 警醒三：勿要陷入“唯资本论”误区 斯诺登曝光的机密文件，将许多知名国际 IT 企业推到了舆论“风口浪尖” ，包括微软、 谷歌、苹果等等。与此同时，国内也掀起了一股“国产化” 、 “去 IOE”的话题风潮。许多 人认为，通过国产化替代，可以解决“棱镜”笼罩中国的问题。 在这一点上需要注意的是，不要将网络安全的解决方法仅仅寄托在是否“国产”上。 一方面来说，在当前的全球化时代，资本的流动性是常态，国内知名 IT 企业多有外资背景。 仅仅用资本属性来衡量，并不能说明企业的能力和诚信。另一方面，国产化设备也没有绝 对性，在当前全球供应链模式下，很多零配件的源头也无法真正实现国产化，任何设备都 不能保证绝无漏洞，NSA 入侵某国内知名网络设备商服务器就是例证。 因此，在选择 IT 设备时，要结合厂商的安全能力、安全可控和安全诚信等三个方面来 综合判定。中国工程院院士方滨兴建议，可以针对市面流通的信息技术产品，进行“白名 单”强制认证，只有符合安全标准的产品才能入市。这种审查只是一种技术评估，不影响 普通用户的利益。这种审查认证，也会进一步促进国内外企业的安全诚信。真正可控可信 的企业，对这种审查也会持支持态度。 只有摆脱“国产化”的局限性，在全球化的背景下，推动更多的 IT 能力中心进入中国， 实现安全与技术进步兼顾，在自主可控的基础上，积极发展自己的网络产业，提升自主创 新能力，掌握核心技术，才能更好地保障网络安全和国家安全，实现信息化和现代化。 警醒四：更本源、更主动的加密防护是关键 许多人认为，由于政治、经济、技术等诸多因素的介入，数据和信息安全的防护正变 得越来越艰难而且难以预测，所以他们认为在这个危险而复杂的时代，想要绝对防护数据 的安全是不可能的事。 这个观点确实有其道理，不过道理却是在安全本身就是个相对的概念而言，换言之只 要你比别人多做一点，或许你就会更安全一点。而且这种观点多多少少融入了那些防护专 家主观对于信息安全形势的预测。如果他们更客观一点，或者单纯只从数据防护的角度去 看的话，或许也能找出这样一条“灵活应对”的方法，而这个方法就是数据加密。 数据加密直接作用于数据本身，使得数据在各种情况下都可以得到加密的防护。再者 由于加密防护特殊性，使得数据即使泄露了，加密防护依然存在，只要算法不被破译，数 据和信息仍然可以称作是安全的。由于这两点保证，使得加密软件成为了现代企业防护信 息安全的最主要和最可靠的手段。同时由于未来信息安全防护的多样需求，在加密软件或 者说加密技术中，采用走在时代前沿的多模加密技术或是最好的选择。 多模加密技术采用对称算法和非对称算法相结合的技术，在确保加密质量的同时，其 多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。同 时作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明 加密技术，从而进一步确保了加密防护的便利性和完整性（加密与格式无关） 。 如果说技术和互联网是信息时代发展的原动力的话，那么信息和数据的安