沒有硝煙的戰(zhàn)爭
——數(shù)據(jù)保衛(wèi)戰(zhàn)

文｜本刊記者 寧冉

360Web平臺部技術(shù)總監(jiān)陳斌曾擔(dān)憂數(shù)據(jù)之大而帶來的安全問題。大數(shù)據(jù)時(shí)代面臨著一些問題，首先是這些數(shù)據(jù)放在哪里？對于個(gè)人用戶和企業(yè)用戶都有不同的解決方案，這些數(shù)據(jù)放在這里會(huì)有什么問題和風(fēng)險(xiǎn)？文件損壞、丟失、存取不方便等讓人崩潰的情況，這些問題個(gè)人和企業(yè)都會(huì)遇到。

邁克菲高級產(chǎn)品營銷經(jīng)理David Bull曾經(jīng)做過一個(gè)安全方面的調(diào)查，最后得出結(jié)論：無論安全技術(shù)變得多么先進(jìn)，用戶始終是企業(yè)安全計(jì)劃中最薄弱的一環(huán)。 但是，不能因此就減少對信息安全技術(shù)的重視，如果用戶是整個(gè)安全計(jì)劃中最薄弱的環(huán)節(jié)，那么整個(gè)安全領(lǐng)域則更要注重信息安全技術(shù)的重要性。

SOC，軟硬件結(jié)合

東軟安全運(yùn)營業(yè)務(wù)部高級咨詢師侯小東表示，“部署SOC對于企業(yè)用戶來說，在保障安全設(shè)備正常運(yùn)行、提升技術(shù)人員事件處置效率、改善事件處置流程和知識庫積累等方面都會(huì)有重要的價(jià)值，而當(dāng)前最大的價(jià)值是有效提升了技術(shù)人員事件處置的效率?！?/p>

那么何為SOC？SOC的定義多種多樣，由于其內(nèi)涵豐富、應(yīng)用范圍廣，很難給出準(zhǔn)確定義。一般說來，SOC稱為系統(tǒng)級芯片，也有稱片上系統(tǒng)，意指它是一個(gè)產(chǎn)品，是一個(gè)有專用目標(biāo)的集成電路，其中包含完整系統(tǒng)并有嵌入軟件的全部內(nèi)容。同時(shí)它又是一種技術(shù)，用以實(shí)現(xiàn)從確定系統(tǒng)功能開始，到軟/硬件劃分，并完成設(shè)計(jì)的整個(gè)過程。 SOC具備安全對象管理、脆弱性管理、風(fēng)險(xiǎn)管理、事件管理、網(wǎng)絡(luò)管理、安全預(yù)警與告警管理、安全策略管理、工單管理、知識庫管路、專家輔助決策管理、報(bào)表管理、分級管理等功能。

SOC的出現(xiàn)可以說是在一定程度上幫助維護(hù)人員以自動(dòng)化的手段完成安全管理的相關(guān)工作，尤其SOC是等保三級業(yè)務(wù)系統(tǒng)所要求的符合項(xiàng)，因此等級保護(hù)等相關(guān)的標(biāo)準(zhǔn)指南將更進(jìn)一步提升企業(yè)對SOC的需求量。優(yōu)秀的SOC產(chǎn)品具備這些特性，首先要具有廣泛的數(shù)據(jù)收集功能、智能的事件分析功能，以及豐富的統(tǒng)計(jì)報(bào)表輸出功能等等，同時(shí)還需要把技術(shù)肯定的結(jié)果采用一種形象化的方式、以多維度的方式進(jìn)行展示和輸出，為管理決策提供一定的數(shù)據(jù)支撐。

有人認(rèn)為：云技術(shù)的出現(xiàn)不是IT產(chǎn)業(yè)的特例，SOC同樣也不是信息安全產(chǎn)業(yè)的特例，它們都是整個(gè)IT業(yè)自然發(fā)展和演化的產(chǎn)物。SOC和云計(jì)算技術(shù)的充分融合，將成為未來信息安全產(chǎn)業(yè)發(fā)展的必然結(jié)果。

安全性推動(dòng)云存儲(chǔ)創(chuàng)新

隨著智能設(shè)備的逐漸增多，我們每天產(chǎn)生的數(shù)據(jù)越來越多，從2010年開始進(jìn)入ZB時(shí)代，估計(jì)到2020年會(huì)達(dá)到35ZB?，F(xiàn)在每兩天全球生產(chǎn)的數(shù)據(jù)就相當(dāng)于從人類有史以來到2003年產(chǎn)生的所有數(shù)據(jù)之和，這是非常非?？植赖臄?shù)字。這種大數(shù)據(jù)時(shí)代就標(biāo)志著我們會(huì)進(jìn)入一個(gè)真正的數(shù)據(jù)爆發(fā)的時(shí)代。這個(gè)時(shí)代有兩個(gè)特點(diǎn)，一是文件多，二是文件大。

360Web平臺部技術(shù)總監(jiān)陳斌曾擔(dān)憂數(shù)據(jù)之大而帶來的安全問題。大數(shù)據(jù)時(shí)代面臨一些問題，首先是這些數(shù)據(jù)放在哪里？對于個(gè)人用戶和企業(yè)用戶有不同的解決方案，這些數(shù)據(jù)放在這里會(huì)有什么問題和風(fēng)險(xiǎn)？文件損壞、丟失、存取不方便等讓人崩潰的情況，這些問題個(gè)人和企業(yè)都會(huì)遇到。

解決這些問題，通常需要云存儲(chǔ)，即把文件數(shù)據(jù)放在云端，接入各種各樣的設(shè)備，使用者使用數(shù)據(jù)變得更方便，而且更節(jié)省成本，不僅采購便宜，而且管理便宜。自從兩年前云存儲(chǔ)、云文件出現(xiàn)之后，互聯(lián)網(wǎng)巨鱷都跨入了這個(gè)領(lǐng)域，高手“云”集，變成了一個(gè)多云的時(shí)代。但是，云存儲(chǔ)的背后卻帶來了極大的安全隱患。首先是文件的可用性，防止這些文件在任何情況下丟失、保證文件的完整性。其次是文件的機(jī)密性，防止文件在任何非授權(quán)情況下泄露。最后是文件傳播安全，因?yàn)橐坏﹤鞑ラ_來如果有木馬、病毒，會(huì)導(dǎo)致用戶受到損失。

在經(jīng)歷了即將過去一年的“棱鏡門”事件和其他類似斯諾登事件被披露后，消費(fèi)者和企業(yè)將越來越在意他們上傳到外部潛在不安全服務(wù)器的數(shù)據(jù)和信息了。鑒于此，許多公司將采取措施加強(qiáng)其安全性，更好地保護(hù)敏感信息。

客戶將越來越傾向于選擇使用那些在地理位置上鄰近的，最重要的是將數(shù)據(jù)信息保存在自己所屬國家的云服務(wù)提供商。歐洲用戶對于這一點(diǎn)的關(guān)注度將明顯高于其他地區(qū)。這種“數(shù)據(jù)民族主義”將提高外國政府對于數(shù)據(jù)保護(hù)的感知。與此同時(shí)，這將會(huì)給那些較小的，本地云服務(wù)提供商帶來競爭優(yōu)勢。這些較小的供應(yīng)商能夠投入顯著的時(shí)間和精力，為客戶提供個(gè)性化、本地化服務(wù)，更好地適合個(gè)別客戶的需求。

據(jù)思科（Cisco）預(yù)計(jì)，到2020年，網(wǎng)絡(luò)驅(qū)動(dòng)設(shè)備的數(shù)量將增長到500億，如果缺少相應(yīng)的安全保障，在不遠(yuǎn)的將來，這些設(shè)備可能會(huì)成為網(wǎng)絡(luò)攻擊者的主要目標(biāo)。究竟是什么原因引起網(wǎng)絡(luò)驅(qū)動(dòng)設(shè)備的激增？簡單來說，是由于互聯(lián)網(wǎng)上將有更多的“空間”，而且各種家用或移動(dòng)設(shè)備的生產(chǎn)成本變得越來越低廉。例如，在當(dāng)前地址系統(tǒng)——互聯(lián)網(wǎng)協(xié)議版本4（IPv4）下，可用地址數(shù)量已經(jīng)基本消耗殆盡，雖然IPv6目前處在逐步采用的階段，但I(xiàn)Pv6可以為人們提供數(shù)以十億計(jì)的IP地址。而其他相關(guān)標(biāo)準(zhǔn)也在不斷發(fā)展中，例如在日益擁擠的環(huán)境中，新的藍(lán)牙技術(shù)規(guī)范將使人們更容易搜索到設(shè)備并進(jìn)行交流，而且它也將使具有藍(lán)牙功能的設(shè)備更加容易地聯(lián)接到采用IPv6的互聯(lián)網(wǎng)上。

移動(dòng)安全技術(shù)不容忽視

目前，移動(dòng)信息化市場處于井噴前的關(guān)鍵時(shí)期。根據(jù)IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）最新發(fā)布的報(bào)告《中國企業(yè)級移動(dòng)應(yīng)用市場2013-2017年預(yù)測與分析》顯示，2013年市場規(guī)模為9.3億美元，預(yù)計(jì)2017年將達(dá)到41.5億美元。而在企業(yè)移動(dòng)設(shè)備終端選擇方面，智能手機(jī)占據(jù)了重要的角色。市場研究機(jī)構(gòu)Gartner日前發(fā)布的《2014年電子設(shè)備預(yù)測報(bào)告》顯示，2014年手機(jī)出貨量將達(dá)19億部，Android平臺仍將在2014年扮演重要角色，預(yù)計(jì)Android手機(jī)將占11億部。

BYOD（Bring Your Own Device）指攜帶自己的設(shè)備辦公，這些設(shè)備包括個(gè)人電腦、手機(jī)、平板等（而更多的情況指手機(jī)或平板這樣的移動(dòng)智能終端設(shè)備）。在機(jī)場、酒店、咖啡廳等，登錄公司郵箱、在線辦公系統(tǒng)，不受時(shí)間、地點(diǎn)、設(shè)備、人員、網(wǎng)絡(luò)環(huán)境的限制，BYOD向人們展現(xiàn)了一個(gè)美好的未來辦公場景。企業(yè)廣泛部署的BYOD政策一直專注于手機(jī)安全，但其實(shí)所有移動(dòng)設(shè)備都會(huì)帶來安全挑戰(zhàn)。攻擊者會(huì)不斷尋找各種方法來訪問敏感數(shù)據(jù)，他們把移動(dòng)設(shè)備視為企業(yè)防御的薄弱環(huán)節(jié)。CIO們需要確定支持哪些設(shè)備，并不是所有的設(shè)備都能滿足企業(yè)的安全要求。此外，IT管理者需要身體力行地去檢查每一個(gè)設(shè)備，并確保其內(nèi)部的應(yīng)用沒有被破解或植入惡意代碼。管理者必須有足夠的前瞻性，企業(yè)IT可能必須從根本上改變員工現(xiàn)有的工作習(xí)慣，為所有想要使用他們個(gè)人化設(shè)備的員工編寫清楚簡明的政策。使任何參與BYOD的員工簽署使用權(quán)限。如制定個(gè)人識別號碼(pin)命令，實(shí)施靜態(tài)數(shù)據(jù)的加密技術(shù)。任何在設(shè)備上下載和保存數(shù)據(jù)的應(yīng)用程序應(yīng)當(dāng)保護(hù)這些數(shù)據(jù)。

技術(shù)在不斷發(fā)展，因此BYOD的政策制定與實(shí)踐經(jīng)驗(yàn)也將會(huì)隨之而發(fā)生變化。每當(dāng)管理者認(rèn)為所有的漏洞都做好了防護(hù)時(shí)，最終用戶都會(huì)利用新開發(fā)出來的應(yīng)用無意中“破壞”這種平衡。企業(yè)IT部門必須不斷被動(dòng)地去尋找能夠適應(yīng)這些應(yīng)用的方法。但是及早規(guī)劃好企業(yè)的BYOD發(fā)展目標(biāo)和設(shè)立相關(guān)的方針與政策，企業(yè)至少可以奠定一些BYOD發(fā)展基礎(chǔ)，同時(shí)保持滿足安全需求的IT靈活性，以便跟上技術(shù)變化趨勢。

信息安全建設(shè)的管理

信息是信息安全的第一要素，如果信息本身可控、可知、可追溯，那么信息泄密、竊密便成了無源之水，無本之木。為了對信息本身進(jìn)行管理，應(yīng)建立一個(gè)密級電子文件管理系統(tǒng)，從源頭抓起，一開始就阻止密級電子文件不必要的擴(kuò)散和傳播。建設(shè)行業(yè)的企業(yè)大多建立了各個(gè)企業(yè)信息化系統(tǒng)，這些信息系統(tǒng)正逐漸改造傳統(tǒng)行業(yè)，越來越多的中國企業(yè)開始具有核心的知識產(chǎn)權(quán)與不可外泄的商業(yè)秘密，因而眾多的企業(yè)也開始重視信息安全體系的建設(shè)。

以智慧城市為例，發(fā)展智慧城市，是“十二五”提高城鎮(zhèn)化質(zhì)量、推進(jìn)城市生產(chǎn)、生活和管理方式創(chuàng)新的重要舉措。智慧城市建設(shè)是眾多的城市管理部門、信息與通信技術(shù)服務(wù)提供商、業(yè)務(wù)應(yīng)用開發(fā)與運(yùn)營單位以及全體市民參與的城市信息化創(chuàng)新活動(dòng)，智慧城市建設(shè)又存在諸多的安全威脅與脆弱性，因此國家應(yīng)該加強(qiáng)智慧城市建設(shè)的信息安全管理。根據(jù)現(xiàn)行信息系統(tǒng)等級保護(hù)政策，應(yīng)該先對新建的信息系統(tǒng)進(jìn)行等級保護(hù)定級，然后向相應(yīng)的管理部門進(jìn)行備案，智慧城市信息系統(tǒng)建設(shè)單位需要根據(jù)新建信息系統(tǒng)的等級進(jìn)行信息系統(tǒng)安全保護(hù)整體解決方案設(shè)計(jì)和實(shí)現(xiàn)，并要求在智慧城市信息系統(tǒng)上線之前進(jìn)行等級保護(hù)的測評和風(fēng)險(xiǎn)評估等舉措，保障信息安全。

企業(yè)的安全工作應(yīng)服從組織信息化建設(shè)總體戰(zhàn)略，迭代式實(shí)現(xiàn)系統(tǒng)安全體系的完善。沒有絕對的安全，因此也不可能無限度的投資安全，戰(zhàn)略優(yōu)先，合理保護(hù)，掌握風(fēng)險(xiǎn)平衡至關(guān)重要。在進(jìn)行安全風(fēng)險(xiǎn)分析時(shí)，宏觀微觀更緊密的結(jié)合，將風(fēng)險(xiǎn)的定量分析與定性分析相結(jié)合是未來發(fā)展趨勢。

企業(yè)內(nèi)部的海量數(shù)據(jù)處理，區(qū)分日志與安全事件，進(jìn)行分層處理是大勢所趨。安全事件分析過程中我們會(huì)發(fā)現(xiàn)，很多系統(tǒng)產(chǎn)生的日志，大多數(shù)并非安全事件，如果對這些信息不加區(qū)分的進(jìn)行存儲(chǔ)分析，勢必大大降低我們安全管理建設(shè)的投資回報(bào)率。海量數(shù)據(jù)處理的有效方式，是結(jié)合傳統(tǒng)日志分析與安全事件分析，分層存儲(chǔ)、分層分析，同時(shí)又能方便回溯；自動(dòng)化實(shí)時(shí)分析與事后人工分析相結(jié)合的處理方式。