第一篇:院士:中國網絡太依賴美國 信息安全受制于人
院士:中國網絡太依賴美國 信息安全受制于人
目前,棱鏡事件仍在持續升溫。對于該事件曝出的美國入侵我國網絡系統,攻擊我國內地及香港網絡中樞等數百個目標的問題,中國工程院院士倪光南在接受《中國科學報》記者專訪時指出,在技術上,棱鏡等監控計劃很容易施加到中國網絡系統上,面對網絡攻擊,我國的網絡空間仍缺乏防護能力。
“我國網絡系統大多依托美國公司的技術、裝備和服務,它們對于監控者來說幾乎是透明的。更不用說有的本來就具有‘后門’,在這種情況下,外加的安全防護措施無濟于事,必須從根本上改變這種局面。”倪光南說。
我國網絡和信息系統大量使用外國信息技術產品。例如,思科的設備在我國網絡中,尤其是在網絡核心節點中占據很大的比重,微軟的操作系統在PC領域壟斷了市場,IBM的主機主宰了銀行信息系統,甲骨文的數據庫擁有很大的市場份額??
事實上,我國信息化發展過程一直受到美國的牽制,關鍵行業如電力、銀行等核心信息系統有90%以上使用國外產品。以數據庫為例,多年來,國內數據庫市場超過90%的市場份額被甲骨文等國際巨頭占領。
信息安全的自主創新和貫徹國家意志已經成為事關國家安全的重大戰略問題,如何保障國家信息安全已成為國家經濟發展、科技進步、社會穩定的先決條件。
縱觀整個信息化行業,我國在終端、網絡、軟件、服務器、集成電路芯片等IT基礎設施建設上大都采用了國外技術、國外品牌,而自主技術、自主品牌多少有些遭遇習慣性“冷遇”。
“過去有關部門從未意識到,要對這些信息技術產品進行審查,要制訂替換它們的計劃。這次棱鏡事件才使人們有了危機感。”倪光南說,“亡羊補牢,猶未為晚。希望有關部門以此為契機,真正制訂和實施一個在網絡和信息系統中逐步替換進口信息技術產品的計劃。”
倪光南建議,面對日益增多的安全威脅,我國亟須完善自主可控的國家信息安全體系建設,緊跟國家信息安全等級保護制度,強化基礎網絡和重要信息系統的等級化保護和監督管理,落實等級保護相關措施。同時,鼓勵和扶持民族核心技術及產品創新,運用具有自主知識產權的產品和技術,保障國家基礎網絡和重要信息系統安全,實現真正的自主可控,不再受制于人,把中國的信息安全掌握在自己手中。
“目前我國具有自主知識產權的信息技術產品大多已達到實用水平,盡管其中某些指標,特別是在成熟度方面還有一些差距,但其安全性要大大好于進口產品。而且,成熟度只有通過大量應用才能迅速提高。在多數情況下,不愿用國貨,不是產品本身的問題,而是崇洋媚外、缺乏創新自信的問題。”倪光南說。
從保護國家信息安全的角度出發,信息產品、設備的采購應當盡量采購國產產品、設備,以達到信息安全自主可控的要求。
事實上,這也是國際通行的慣例。由于信息產品的安全性直接涉及國家安全和利益,美國等發達國家很早就制定了完善的信息安全產品策略,比如《保護美國關鍵基礎設施》總統令,歐洲的《確保歐盟高水平的網絡與信息安全的相關措施》等。我國的華為、中興等企業就因此被美國拒之門外。
“我國也可以通過政府采購的合法途徑,加強對優質可靠的國產產品的采購,提高對國家信息安全的保護。”倪光南說,“希望棱鏡事件的教訓能夠促使中國各界大大提高對網絡空間安全的認識,并落實到以國產網絡信息產品替代進口產品、消除安全隱患的具體措施上。政府應當帶頭實施,就像買公車那樣,帶頭使用國產軟硬件。企業和科技界有責任保障我國網絡空間的安全,這也是在信息領域趕上和超過發達國家的機遇。”
第二篇:美國網絡信息安全產業格局分析
美國網絡信息安全產業格局分析
導讀:孫子兵法云“知己知彼,百戰不殆”。在中美網絡安全領域“斗而不破”的遏制與反遏制、打壓與反打壓博弈中,對美方的戰略、能力、產業、技術等進行全面綜合的了解至關重要。但遺憾的是,過去中方的視角長久的放在關鍵基礎技術領域,放在微軟、英特爾、谷歌、蘋果等廠商身上,卻忽略了美國產業體系中一股強大而獨立的力量,其信息安全企業星群,他們也同樣是美國全球戰略能力的基石。
在網絡信息攻與防的雙方向上,美國均擁有著全球最頂級的巨大威懾力和他國看似無法企及的戰略優勢,而來自中國的觀察者易于犯的錯誤是——既伴著內心深深的憂懼,對這種戰略優勢進行著輕率地道義層面批判,卻缺少對其核心支撐點——信息安全產業的深入而系統地分析。
美國信息安全產業并不是一臺生冷而高聳的巨型兵工廠或商業機器,而是一組生動、富有理想與活力的企業符號。長期以來,國內對這些企業符號充滿了疑問和不解,一方面,是其傳統的巨頭Symantec、McAfee等始終屹立不倒;另一方面則是新興企業與新興技術此起彼伏。
巨頭型廠商厚重全面的解決方案與獨立安全廠商的新概念、新產品交相輝映,令觀者應接不暇,更令把美國當作信息化和信息安全建設標尺的各國政府和行業用戶茫然無措。
但如果我們把這些企業的規模、并購關系、技術領域、市場范圍以及與美國政府的關系,完全羅列開來,進行梳理的時候,就會發現他們并非如突兀墜落在平原上的巨型隕鐵,而是有著鮮明的層次和關聯的大戰略基石。
一、美國信息安全產業格局的層次分析 一如美國在其他信息產業領域的優勢一樣,以Apple、Google、IBM、Microsoft、Ora-cle、Cisco、Qualcomm、Intel、Facebook(按市值排序)等為代表的基礎信息巨頭同樣在信息安全產業架構中扮演著寬闊而堅實的地基。其穩居全球供應鏈的頂端位置、進行大量的信息聚合和創造、改變全球用戶的工作和生活方式,其一方面構成美國全球戰略威懾能力,同時又能反過來游說院府影響美國的政治走向。
而透過斯諾登事件,公眾們亦知道了,他們與美國的龐大國家機器微妙互動,強化了后者覆蓋全球的情報能力。由于這些企業規模龐大、市值往往以千億美金衡量,并持續進行并購,不斷擴容體量,我們可以稱其為信息“寡頭”企業。
在這些寡頭層次之上,則是信息安全產業的巨子們Symantec、McAfee、Trend micro(趨勢),他們市值數十億美金乃至數百億美元,盡管這些企業均從反病毒起家,但經過多年發展和持續地兼并重組,其產品跨度已經形成完整的從流量到端的解決方案能力、并向集成、存儲、云等安全關聯的各方面擴展,產品用戶覆蓋全球。對中國類似石油、電信、電力等關鍵行業來說,選擇其產品曾長期被視為“政治正確”的選擇。
而對更多的安全廠商來說,其依然專注于系統安全、網絡安全或其他安全技術的某個窄帶領域,可以稱其為專業安全廠商或獨立安全廠商:
美國專業安全廠商,除了具有單點專注的特點外,大多不僅服務于美國用戶,也堅定地追求著全球市場。他們是全球網絡安全技術發展的風向標,他們享有“美國制造”的國家品牌帶入感,引導著信息安全創新的話語權。
但同時他們與寡頭和巨頭企業不同的是,他們執行更為穩健務實的市場政策,駕輕就熟地尋找當地國家的集成商和掮客企業,通過OEM繞過當地政策和法制的保護,如國內很多場合的“國產”防火墻招標就是Fortinet(飛塔)等美國品牌的“貼牌產品”內戰。
隨著市場發展,這些獨立安全廠商既具有成為新巨頭的潛質,同時也有被巨頭收購,成為其解決方案中一部分的可能。
而由于美國瞄準全球市場的安全廠商和明星過多,亦掩蓋了若干隱形的冠軍和一個特殊的市場,即面向其政府和國家機器用戶的專用市場。而其中又呈現出兩個企業群落,即專用技術企業和承包商。
專用技術領域,是和美國國家機器作業關聯密切的技術服務領域,包括入侵取證、數據恢復、數據分析等,這些廠商有的是獨立廠商,也有的是巨頭廠商或其他大型傳統企業(甚至是非IT企業)的一部分。大數據分析的明星企業Palantir作為美國官方的御用安全企業,是這個產業群體的代表之一。
而承包商則往往是更深入情報作業的直接參與和執行者,類似斯諾登所效力的Booz Allen Hamilton、信號分析處理廠商Argon ST、面向C4I系統的網絡安全服務廠商GnostechInc等。在這個層次上,我們可以看到美國信息安全思想與其國土安全觀和全球戰略能力的融合。
這些廠商不止服務于專用網絡信息系統,也服務于關鍵工業生產、軍事裝備等領域。安全思想通過這種服務,深達到更多的關鍵層次領域,達成虛實結合、網電一體。信息安全概念、意識和方法也同時擴散到社會基礎、國土安全和軍事體系的全景縱深。通過圖1我們可以看出,盡管美國信息安全企業技術領域繁多,投資關系復雜,但這其中幾條邊界非常清晰。
●基礎寡頭和獨立安全廠商的邊界: 盡管傳統寡頭廠商不斷兼并獨立安全廠商以擴大體量,但我們看到的是其既未導致“獨立安全廠商消亡”而構成對自由競爭的傷害;同時也沒有改變寡頭廠商的原有軌跡——他們依然堅定扮演集成服務提供商或者網絡服務提供商的固有角色。
如Google絕不會因為兼并Virustotal(多引擎掃描服務提供者)和Zynamics(安全分析工具軟件制造商)而變成一個在安全市場上有所動作的廠商。無論規模大小,美國廠商通常都具有簡單清晰的模式與價值觀。
●開放市場和專有市場的邊界:
從某種意義上說,以全球市場為目標的美國獨立安全產品廠商專注而窄帶,使其不會向與國家機器的情報體系“過從甚密”的方向游移,從而導致傷害其面向全球用戶的信任力。
而專有市場的存在,亦既有助于形成美國獨有的國家安全作業能力,避免信息外泄,同時,也保證這些廠商不必在全球市場收益和美國官方訴求間徘徊,而可以堅定地如被Fireeye收購之前的Mandiant一樣,在中美大國博弈間,充當非官方的技術喉舌(而即使這種并購發生后,Fireeye也在努力強調“M部門”與Fireeye本體之前的區別)。
從這個意義上說,這個層次不僅是一個商業層次,也構成了大國話語權博弈的立體縱深。
●政府、軍方與承包商的角色與關系:
圍繞軍方和情報機構承包商體系是重要的美國商業文明特色,其在具體的情報作業層面,彌補了國家機器本身的人力不足,遏制了大政府傾向,而同時也形成了一個獨有的信息層次屏障。盡管出現了斯諾登事件,但我們依然要看到,在充分利用信息的聯通和共享,主動國家安全能力提升的思路下,承包商層次其實在很長時間扮演了一個信息和作業中間帶的角色。
同時也可以看到,這些承包商(包括部分專有市場廠商),往往由前軍政界人士發起或者擔任高管,其也建立了一種約定俗成的合法利益輸送層次(旋轉門),形成了一種既同謀共贏、又不傷害美國國家能力的特殊(而且是合法的)政商關系。
這個看似嚴謹又充滿活力的龐大體系,并不是某種計劃經濟的產物,也不是某屆或某幾屆總統班子馬基雅維利式先驗設計的結果。而是在其“企業自由”的立國支撐點下,持續遵循內部自由競爭、對外強力輸出的產物,可以概括為“頂層設計、自由生長、建立規則、強化優勢”。
二、領跑者:巨頭的形成與價值
美國作為計算機和互聯網的本土,在上世紀80年代的個人計算機革命中,亦誕生了一批其早期安全企業,這其中就包括了被稱為信息安全傳統三大的Symantec、McAfee和Trend Micro(盡管Trend Micro自詡為治理結構跨美、日和臺灣地區的國際廠商,而并不完全是美國廠商,但其根本上還是獲益于美國的土壤和產業機會,并也在硅谷信息安全群中扮演重要角色)。
他們的共同特點都是創建于上世紀80年代,在反病毒領域獲得了產業認同和早期價值最大化,而逐步成為擁有了上萬名員工、十億美金量級的銷售額的企業巨人。
他們當初在反病毒領域獲取第一桶金并不偶然,信息安全市場有兩個最重要的最成熟的領域,一個是以反病毒為代表的系統(主機)安全領域,一個是防火墻(安全網關)為代表的網絡安全領域。這兩類產品都是在與主流威脅對抗中不斷改進成型,并逐步具備了共同特點,即經過基本的安裝配置部署后,就自行成效,可以不經人工干預而產生效果。而相比之下,類似IDS、掃描器等對使用者的能力和精力有較大依賴的產品,均未能形成較大市場規模。
病毒的威脅在上世紀80年代下半期即快速到來,因此主機安全技術的商業化,要比網絡安全技術早了十余年。但 “三大巨頭”并非唯一的先行者,上世紀80年代末、90年代初,反病毒企業在全球如雨后春筍般浮現,反病毒核心技術“反病毒引擎”的第一技術平臺此時亦并不在美國,反而是由Kaspersky和Dr.Solomon為代表的歐系廠商占據,與美國廠商呈現爭鋒之勢。
在這種對壘中,美國國內市場龐大的內需、資本市場的澎湃活力所帶來良好融資能力、以及全球市場的布局輻射,讓尚在幼年的“三大”站上了巨人肩膀。他們紛紛較早躍上美國資本市場,并開始了持續的并購之路。
使之從單一反病毒廠商發展為綜合性的全領域解決方案的廠商。在這個美國企業能力不斷強化,歐洲企業一邊頑強創新、一邊退守自保的過程中,Dr.Solomon很快被McAfee收購,而McAfee則完整獲得了其先進引擎能力。而卡巴斯基雖然也穩健發展,成為俄羅斯IT的旗幟性企業,同時也成為俄羅斯國家安全的支點企業,但從商業上看,其并未成長為可以在市值(估值)和國際市場覆蓋能力上與“三大”比肩的巨頭。
傳統“三大”與美國情報體系是否有密切的互動?目前尚未有公開資料可以證明。如從公開資料上看,至少沒有證據顯示他們參與了“棱鏡”計劃,但棱鏡更多是NSA與具有內容和關系價值的互聯網巨頭廠商的合作。
而安全廠商自身的資源更多是安全事件、端設備環境和流量行為的信息,顯然從這個層面上,作為安全廠商的情報價值是不夠的。但傳統“三大”對全球行業用戶的部署到達能力、端和流量的結合手段、與作為安全廠商進行數據采樣提交方面的用戶先天容忍度,又有獨特的情報優勢。如果我們關注《Symantec互聯網安全分析報告》,我們就同樣可以看到能夠采集這些資源所依托的巨大部署規模,以及這些信息所投射的戰略價值。
三、專業安全廠商的創新迭代與創新方法
在美國獨立信息安全企業的星群中,最富有魅力和研究價值的,是其專業安全廠商的創新迭代。在這個過程中新企業、新技術、新公司、新產品品類不斷涌現,而從威脅到產品形態的新概念更迭,也讓全球跟跑者們叫苦不迭。
無疑這種概括新威脅、定義新概念、形成新品類式的成熟打法,驅動了多家美國網絡安全企業從初創到“各領風騷幾年”式的快速迭代成長,但這種成功絕不是源自單純的概念炒作和商業包裝,而是有其值得尊敬的內因與外因。
其內因是:對新威脅的敏銳把握,豐富的產品想象力,迅速的單點核心技術突破,并形成新形態品類的能力;其外因則是:對于創新的鼓勵和寬容,以及鮮明的專有核心技術價值導向。
在美國安全企業創新迭代案例中,其中最閃亮的軌跡,是網絡安全廠商Netscreen、Fortinet、Paloalto Network和Fireeye依次崛起。而其所提出的產品概念,均創造出了細分市場,也依次在基于流量的安全產品中成為獨立品類冠軍。我們將這四家廠商的要素,繪制成表2,由此我們則可以看出,這些企業所形成的產品品類概念,絕非空泛包裝,而是應對當時主流威脅的結果。
Netscreen面對信息高速公路建設引領的帶寬快速增長趨勢,提出了基于ASIC的高速硬件防火墻的思路;Fortinet面對網絡應用發展帶來的郵件蠕蟲、垃圾郵件、廣告軟件等威脅,提出了“統一威脅管理”的概念;Paloalto Networks面對互聯網客戶端和SNS的大發展等帶來的新威脅,設計了“下一代防火墻”;而Fireeye面對政經集團背景的APT攻擊大潮,采用沙箱前置與流量產品結合的方法,亦形成了自己獨特的反APT和0day漏洞的產品形態。
這四個廠商的創新過程,都是典型的硅谷路線。強力的技術核心團隊迅速得到技術資本的關注和推動支持,在發展的過程中資本給予了研發之路高度的耐心和容忍,如Paloalto Network在起步近兩年后,產品才基本成型,Fireeye在成立幾年后,才找到了我們今天看到的正確產品思路。
更令人稱道的是,在他們尚還弱小,并無足夠的支付能力之時,大量人才就因其良好的發展前景和上市預期,從傳統“三大”和其他主流企業紛紛加盟,呈現了一種令國內業界難以想象逆向流動的生態。
資本環境的追捧創造,必然推動了人才富有理想主義和冒險精神,而理想主義和冒險精神又獲得了高回報的激勵,這就構成了一個完整的正能量鏈條。
四、變局:大并購時代
2010年起,美國整個信息安全產業格局的發展開始進入到新的大并購時代。從2010年7月開始,在之后將近兩年的時間里,美國企業發起了超過10個價值10億美元以上的并購案,其中最有影響力的無疑是“Intel對McAfee的并購”,這是信息安全開始走向寡頭化的風向標。
美國的傳統軟件廠商、大集成商、芯片供應商和既有的巨頭安全企業,都紛紛出手把大量獨立安全公司融入體系,這些并購使其技術原有短板得以補充、新技術的儲備不足獲得應對以及解決方案更加完整。
我們通過圖2展示了在大并購時代所推動的跨行業寡頭體系的形成。但在這個過程中,我們并未看到這種巨型“托拉斯”所帶來的壟斷和對創新的扼殺傾向。恰恰相反,這些并購多數并不是基于擴大市場份額、消滅競爭對手的考慮,而更多瞄準單點上有突出技術優勢的以及能夠彌補、或強化收購者自身短板的企業。
被并購的新銳技術團隊,多半因其技術優勢而獲得了良好的溢價,幾人、十幾人的小團隊都可因其核心技術能力,獲得千萬甚至數億美元的估值。從而使收購成為良好的技術創新團隊自我價值實現和風險投資者的推出通道,并引發了“從寡頭中再次創業,再次被寡頭收購”的風潮。
因此,大量并購不但沒有消亡了美國在安全領域中的基礎創新能力,反而使之成為了技術創新的動力源泉。
而在國際博弈中,來自歐洲、日本、印度等國的個性安全企業,則往往在嶄露頭角后,被美國巨頭廠商兼并。從這些企業團隊角度來看,已經達成了某種成功(但交易中的議價能力往往有所不足)。但從國家能力對比來看,則匯入了美國對單極世界主導地位不斷被強化的趨勢。
而反之,如果被收購的是美國廠商,而買主來自其他國家。美國官方和民間機構,則會陷入異常的敏感之中,美國官方所形成的《An Analysis of Chinese Investments in the U.S.Economy》一文中雖然輕描淡寫的說:“對于中國的國際直接投資,美國政府并沒有統一的立場。國家和地方官員尋求增加經濟活動以吸引中國的國際直接投資??同時,其他聯邦官員極其擔心中國的國際直接投資在國家安全和經濟安全方面的潛在影響。”
但如果這種投資涉及網絡安全,則基本不可能達成,2011年初,美國外國投資委員會阻礙華為收購小廠商3Leaf的案例,就是這種緊張感的典型案例。
中國企業在美國的并購動作,顯然會觸痛美國政府最敏感的神經。但如果認為這種緊張感僅僅是針對中國的,其實就誤讀了美國固有的“國家安全情結”,一個鮮明的例子是,即使對于同在西方陣營的小老弟以色列,美國也同樣做出了阻礙Checkpoint收購美國著名開源安全廠商Sourcefire的舉動。
五、產業秩序:互信與互動與產業聯盟
2011年的RSA展會上,新興的主機安全廠商Bit9打出了對巨頭廠商McAfee的攻擊性廣告,但這其實是美國式的技術幽默。McAfee無疑會警惕Bit9,并視其發展做出對應的反應,但不會是那種“東方式”的強勢打壓。
自由競爭是美國企業發展的核心動力,這種動力中既有價值導向,也有規則定義——鼓勵競爭、鼓勵創新、限制壟斷。
這種廠商間既存在合作,又存在互補、互信的一個良好例證是——基于各自的云化服務,美國已經形成了一個反APT作業的“事實聯盟”,在這個體系上,有Palo alto Networks所貢獻的可執行文件鑒定服務、Wildfire、Bit9所貢獻的海量白名單和文件信譽鑒定、已被Google收購的Virustotal提供的多引擎對照掃描+靜態分析+動態執行服務、Fireeye提供的文檔格式溢出和移動應用鑒定服務,而一些新銳移動云端安全服務廠商如Trustlook、Virtual Threat等亦可能成為體系的一員,各廠商間購置對方的分析服務,作為自身分析能力的擴展,同時還有Solera等廠商兼容各家產品進行集中分析,Mandiant等則負責傳播造勢,從而形成了一個應對APT的產業資源體系和事實上的利益同盟。
六、政商關系解讀
對于美國IT企業與政府間的關系,有兩種意見都是偏頗的,一種是全面拔高其IT企業的道德操守和信息自由信仰,而對其與美國國家機器間的互動關系視而不見;而另一種則墮入徹底陰謀論,把一切美國IT產品都簡單視為具有主觀惡意的邏輯炸彈,亦把一切美國IT廠商都視為其情報體系的緊密互動層。而拋開這兩種先天偏見,則有助于我們理清美國安全廠商與政府的微妙關系。
例如有人以德國《明鏡周刊》報道的“NSA的ANT系列信息裝備”作為美國安全企業為美國情報機構安放后門的證據,但經過對相關資料的分析研判,更準確的表達應該是有多家安全產品的弱點可以被NSA利用,這里需要注意的是“弱點”和“后門”有本質的區別,否則就很難理解為什么中國廠商華為也在這份名單之上。筆者認為,這個案例總體上只能說明NSA信息武備的豐富程度和強大的弱點與漏洞挖掘能力。
我們從斯諾登事件引出的信息中,亦可做出下列分析:
1.與美國情報機構建立密切關聯的多數企業是有信息聚合能力的互聯網巨頭,由于其建立在全球用戶以信息上載、聚合以及置換免費服務的模式基礎上,美國可以通過愛國者法案對其數據實現“合法”監控。
2.Cisco與NSA的密切聯系可以被證實,但并不能說這就代表了美國情報機構與其網絡設備和安全廠商的典型關系,NSA可以放心與Cisco合作的原因,是后者已經建立起了全球市場的牢固不可替代性,同時其產品覆蓋能力也有足夠的戰略價值。而其他美國廠商并不具有足夠的政治風險抵御能力。
3.美國已經通過類似標準污染的方式(類似NIST SP800/90標準中對隨機數強度的弱化),實現對更多產品的“上游感染”,而不需要直接和這些廠商發生情報作業的關聯。
筆者愿意做出這樣的判斷,在全球范圍普遍性的傷害美國企業的用戶信任力,并不符合美國國家利益的最大化。換言之,美國在信息領域的戰略威懾能力,首先來自其產品與服務的到達能力和覆蓋程度,而不來自其中是否有可利用的后門。這種態度不是期望為美國專業安全廠商洗白,而是希望大國博弈的因應之策建立在理性的思考和分析之上。
我們不妨看棱鏡門中的一個事實,在美國的互聯網大佬中,Facebook是最后一個加入的,同時也是棱鏡“上榜”企業中最后一個上市的,而尚未上市的Twitter則根據資料顯示尚未加入。如果做一個類比來看,這可以稱為“把羊養大了再擠奶”的原則,而不是“把豬養肥了再殺掉”。
而通過NSA向RSA公司支付1000萬美元,換取其使用有后門的算法的操作,我們亦可以做出這樣的判斷,美國政府積極地為那些承擔國家義務的企業提供補償。
另一個案例或許也能為這種判斷提供注腳,當美國政府要求Fireeye對中國禁售的時候,也同時設定規范,要求與五角大樓等政府機構有網絡連接關系的軍火商、大的IT廠商部署反APT產品,這種導向形成了在其“愛因斯坦”計劃之外的一種單點但有效的反入侵能力層次,推動了以Fireeye為代表新銳廠商的產品部署,而從客觀上,這構成了要求Fireeye放棄中國大陸市場的經濟補償。
七、啟示錄
網絡信息安全早已不是實驗室技術,其在本世紀初就進入了以大產業體系為基礎,以企業創新為動力的時代。可以說沒有產業就沒有技術與產品,而沒有企業這個基本元素,也就談不上產業的存在。
經濟界已經充分認識到中小企業是創新與社會發展的核心動力,而在信息技術領域,我們卻依然期望簡單地通過大規模的國家投入或是某個應用方向賭博式的技術繞前就可以改變當前的被動局面。美國信息安全產業的強大,為我們正確理解信息化和網絡安全之間的關系提供了典范注解。國內有部分聲音認為,依靠信息系統的國產化和信息系統某些安全特性的增強,就可以一勞永逸地拋棄所有的安全風險、威脅和積弊,而不再需要安全產品的保駕護航。
而事實上我們看到,作為擁有最高“國產化”率、最好的核心技術自給能力的美國,自身也同樣面臨著廣泛的安全威脅,也擁有著最為發達的信息安全產業。這說明,強大的自主信息化和強大的自主網絡安全互為保障,相輔相成,不可能互相取代。
美國信息安全產業的層次結構、價值導向、運行規則等,顯然值得我們分析、研究、借鑒。
充足的內需是美國信息安全產業得以發展的基礎,美國用戶在信息時代發展中享受了最先進的技術成果,也同時深刻感受到了安全威脅,從而認識到了信息安全產品和服務是一個獨立的市場門類和層次,這個層次不可能依靠信息體系自身內置的安全能力所取代。這種認識促成了信息安全產品采購在信息化的預算中長期超過20%的高比重,這為美國安全企業形成了充分的收益空間。
活躍的資本力量和成熟的資本市場則為美國安全廠商提供了助跑和催化機制,其對風險、收益、創新的成熟理解,促成了保護創新、引導創新的價值導向。從Fireeye虧損3000萬美元上市,卻能因其技術方向、產品能力和人才儲備等因素獲得極高的市值,我們就能看到美國證券市場的特有魅力。
而CIA背景的In-Q-Tel模式的橫空出世,這代表了美國官方直接入局這一領域,為美國國家安全孵化出未來所需的技術支點。清晰的市場規范、對商業文明和契約精神的成熟理解、合理的政商關系設計等等,則都成為美國信息安全產業有利的保障力量。從而使“鼓勵創新的中小安全企業發展,遏制壟斷對創新的傷害”成為社會共識。
在大國競技中,跟跑者未必要對領跑者亦步亦趨,但需要分析領跑者的領先軌跡。這種軌跡中有無法模仿的先發優勢和地緣特點,以及歷史經緯的偶然眷顧;但同樣會有因果清晰的必然規律。
認識到這些,對于跟跑者的路徑選擇,至關重要。
第三篇:中科院院士:中國核電站擴張太瘋狂存在安全風險
中科院院士:中國核電站擴張太瘋狂存在安全風險
中科院院士:中國核電站擴張太瘋狂 存在安全風險正在建設中的海南昌江核電站,目前還有三個省在上馬核電站項目。(英國《衛報》)
英國《衛報》披露中國核電安全風險后,引起廣泛關注,評論過千(網絡截圖)
美國《紐約時報》隨后轉載英國《衛報》報道,并在其主頁上推薦(網絡截圖)
鳳凰iMarkets訊 最近,核電板塊成了資本市場的“寵兒”。去年底,中廣核赴港上市,中國核電近日順利獲得IPO批文,而另一大核電央企--中國核建也開始沖刺IPO。支撐著核電板塊上漲的背后是中國核電的迅速擴張。
快速擴張的核電項目使中國成為在建機組規模世界第一、總裝機規模位居世界第四的核大國。然而,故事的另一面是核電站迅速擴張是否絕對安全?畢竟任何帶“核”的字眼似乎看起來都不太安全。
此前因報道斯諾登“棱鏡門”事件獲得普利策獎的英國《衛報》最近將目光轉向中國核工業。昨日,《衛報》聚焦中國核能背后的安全問題,采訪了中科院院士、清華大學教授、兩彈一星的參與者何祚庥。此篇報道在西方國家引起強烈反響,原文下面讀者評論過千,并被《紐約時報》推薦。至此,中國的核電站擴張不僅為資本市場添把火,也引起了世界的關注。
以下為英國《衛報》全篇原文:
中國某杰出科學家警告稱,中國的核電站擴張計劃“十分瘋狂”,因為中國在核電站安全控制方面投資不足。
發出此警告的是中科院院士、清華大學教授、兩彈一星的參與者何祚庥。他表示,在2011年3月日本福島核泄露這一災難性事故發生后,中國暫停了建設新核電站的步伐,然而現在在中國內陸地區加快建設核電站的建議尤其危險,因為一旦發生事故,就可能對數百萬人用水依靠的河流以及大片重要農田的地下水供給造成污染。中國望在2020年趕超日本核電站發電量
2011年,為了重新審核其安全標準,中國對新反應堆的建設申請予以停批,但是今年3月卻批準了兩處新反應堆的建設,這部分表明中國試圖在2020年前趕超日本的核電站發電量,從而在十年后躍升為世界上最大核電使用國。
最近,美國總統奧巴馬宣布美國政府續簽了與中國的核合作協議,該協議將允許中國購買更多美國設計的核反應堆,并且還可能獲得“從用過的核燃料中重新處理钚”這一技術。眾所周知,中國政府熱衷于增加核能發電量,以減少空氣污染和溫室氣體排放。核能發電也有助于減少對進口油氣的依賴。
中國核能問題上的兩種聲音:要安全還是要發展
何祚庥表示,中國的核電站擴張的太快,以至于無法保證它具備安全性和專業的監測水平。這兩者對避免核事故發生非常重要。
何祚庥在中國科學院接受《衛報》采訪時表示:“目前在中國就核能問題有兩種不同的聲音,一種以安全為重,另一種則以發展為先。”
他談到的風險包括了“腐敗、較弱的管理能力和決策能力”等。他還指出:“他們想在2020年前使核能發電量達到58千兆瓦,最終達到120千兆瓦至200千兆瓦之間。這是十分瘋狂的。”
何祚庥對中國核計劃提出的質疑特別具有權威性,不僅因為他在學術界的權威地位,更因為他此前在一系列爭議問題上都堅定的支持政府。在20世紀50年代拆除北京市城墻等一系列事件中,他都一直擁護政府的立場。
何祚庥更愿意看到,當通過審批或已在建的核電站都竣工時,中國能停下核電站擴張步伐,然后用上數十年的時間積累安全運行這些核電站的經驗,之后再談擴張事宜。幾乎中國所有在運行的核反應堆都建于2000年之后。中國核能便宜,因為我們降低了安全標準 何祚庥表示:“目前中國還沒有足夠多的經驗來判斷(核電站)是否會發生事故。”他認為,評估核電站是否會發生事故,“核反應堆的數量和這些反應堆已經安全運營的時間長度都至關重要。”
何繼續說:“在日本福島核泄露事件后,中國也對國內核電站做了安全評估。發現了一些問題,但只是一些小問題,最終的結論是中國的核電很安全。但是安全檢查是按照舊的標準進行的,這些舊標準本身需要提高。”
何稱,中國政府官員認為核技術自切爾諾貝利和三里島核事故后就已經得到改進,但是他們或許忽略了在兩起核事故中的人為錯誤和有缺陷的安全機制。
日本福島核電站的操作員已經承認,在地震和海嘯前,公司因擔心法律訴訟和民眾抗議而未采取更強有力的災難預防措施。
對此,何認為:“盡管日本有著更精湛的技術和更好的管理,同時也非常努力地向美國和前蘇聯學習,但是它仍不能避免事故發生。”他還補充道,中國在核監控上配備的人員比日本配備的更少,提供給這些人員的工資也很低,這樣這個崗位就吸引不到好的年輕科學家。
何祚庥還表示,中國曾考慮對核電站實施更嚴格的安全標注,但后來又放棄了該計劃。他認為,這主要是因為中國核能面對非常大的擴張壓力,同時大型能源企業也有足夠的權勢將企業的經濟利益置于國家安全之前。
何祚庥說,“過去四年在更新標準方面曾進行內部討論,但是這么做需要更多的投資,這將對核電的競爭力和盈利性造成影響。”他表示:“中國的核能成本很低,因為我們降低了標準。”
何稱:“現在環境保護部正考慮設一個新的監管職位。當他們邀請我參與討論時,我告訴他們——‘你們的安全監管不是獨立的,因此對核電的監督往往是假的’。” 最大擔憂:核電站總建在人口密集區
何最大的擔憂之一是“通過在內陸興建核電站來實現積極擴張計劃”這個建議。三個省已經被選定作為核電站建設點,并且已經開始初期建設工作,還有更多的省已經相繼提出核電站建設方案。
中國缺乏水資源。內陸核電站需要建設在水資源豐富的地方,以便于在日常運營或發生緊急事故時冷卻。水資源豐富的地方往往也是人口密集的地區,因此一些內陸核電站往往建在人口密集區。何表示:“他們說可能把核電站建在沙漠中,但問題是沙漠里沒有任何水。”
將核電站建在人口密集區(例如城市和農田旁邊)的一大威脅是,任何事故都可能使數百萬人陷入類似于福島核泄露事件后所面臨的核輻射和長期污染危險。
何祚庥表示,“如果他們將核電站建在水資源豐富的地區,核泄露的后果將極為嚴重。如果他們能保證核電站100%安全,我絕不反對,但是沒人能保證這點。”
“老實說,我已經88歲了,不管核電站是否安全,它對我的影響都不大。但是我擔憂我們后代的生活。從這個角度說,我們討論核電項目時,不應該只看到他們的贏利利潤。”(編譯/雙刀)何祚庥其人
接受英國《衛報》采訪的何祚庥或許可以被稱為一位“非典型性科學家”。
他是何祚庥,是中科院院士也是粒子物理、理論物理學家。在他學術生涯的早期,從清華大學畢業后,開始從事粒子理論、原子彈和氫彈理論的研究,是氫彈理論的開拓者之一,也是中國“兩彈一星”的研制參與者之一。如此扎實的學術背景使他在核能領域的言論擲地有聲、備受關注。然而有別于錢學森等科學家的“一心只讀圣賢書”,他在媒體輿論方面很有存在感。他對偽科學、邪教的口誅筆伐,對經濟、社會問題以獨特見解,都使之成為“曝光率”頗高的新聞人物。他與方舟子、司馬南一起反對中醫,就克隆、環保、煤炭安全等社會問題侃侃而談。其極具爭議性的言論,引起社會的廣泛關注。
爭議性的言論或許體現了他“大膽敢說”的性格。這種“敢想敢說”也在英國《衛報》的采訪中體現的淋漓盡致。畢竟,作為一名中科院院士,就敏感核問題接受外媒采訪,本身就可以稱得上是極具勇氣的行為。
正如《衛報》所言,他的一生都在支持政府,唯獨這一次提出了異議。一名核能專家,在耄耄之年,對核電現狀的肺腑之言值得我們深思。(作者:鳳凰財經/易典翻譯:雙刀)風險提示:本文僅作為一般財經信息供讀者參考,不代表鳳凰財經立場。本文或其任何部分不應被視為任何買賣的邀請或誘導。鳳凰財經不能保證文中信息的準確性、完整性和及時性,文中的任何錯誤都不能成為向鳳凰財經提起任何申訴的基礎。[責任編輯:yidian] 2人參與 0評論 免責聲明:本文僅代表作者個人觀點,與鳳凰網無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
第四篇:網絡信息安全
網絡信息安全
信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護,以實現電子信息的保密性、完整性、可用性和可控性。當今信息時代,計算機網絡已經成為一種不可缺少的信息交換工具。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅,必須考慮信息的安全這個至關重要的問題。
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率。信息安全則主要是指數據安全,包括數據加密、備份、程序等。
1.硬件安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害,能夠正常工作。
2.軟件安全。即計算機及其網絡中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
3.運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測,發現不安全因素能及時報警并采取措施改變不安全狀態,保障網絡系統正常運行。
4.數據安全。即網絡中存儲及流通數據的女全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。
1.防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現,而專用防火墻提供更加可靠的網絡安全控制方法。
防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉發所有的信息,然后再逐項剔除有害的內容,被禁止的內容越多,防火墻的作用就越大。網絡是動態發展的,安全策略的制定不應建立在靜態的基礎之上。在制定防火墻安全規則時,應符合“可適應性的安全管理”模型的原則,即:安全=風險分析+執行策略+系統實施+漏洞監測+實時響應。防火墻技術主要有以下三類:
●包過濾技術(Packct Filtering)。它一般用在網絡層,主要根據防火墻系統所收到的每個數據包的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包中的各種標志位來進行判定,根據系統設定的安全策略來決定是否讓數據包通過,其核心就是安全策略,即過濾算法的設計。
●代理(Proxy)服務技術。它用來提供應用層服務的控制,起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受代理提出的服務請求,拒絕外部網絡其它節點的直接請求。運行代理服務的主機被稱為應用機關。代理服務還可以用于實施較強的數據流監控、過濾、記錄等功能。
●狀態監控(Statc Innspection)技術。它是一種新的防火墻技術。在網絡層完成所有必要的防火墻功能——包過濾與網絡服務代理。目前最有效的實現方法是采用 Check Point)提出的虛擬機方式(Inspect Virtual Machine)。
防火墻技術的優點很多,一是通過過濾不安全的服務,極大地提高網絡安全和減少子網中主機的風險;二是可以提供對系統的訪問控制;三是可以阻擊攻擊者獲取攻擊網絡系統的有用信息;四是防火墻還可以記錄與統計通過它的網絡通信,提供關于網絡使用的統計數據,根據統計數據來判斷可能的攻擊和探測;五是防火墻提供制定與執行網絡安全策略的手段,它可以對企業內部網實現集中的安全管理。
防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經不起人為因素的攻擊。由于防火墻對網絡安全實施單點控制,因此可能受到黑客的攻擊;三是防火墻不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網絡不受病毒的攻擊。
2.加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據,稱為解密。
密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小,加密速度快,弱點是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數學函數——單向陷門函數,即從一個方向求值是容易的,但其逆向計算卻很困難,從而在實際上成為不可能。
除了密鑰加密技術外,還有數據加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密;二是節點加密技術。節點加密是指對存儲在節點內的文件和數據庫信息進行的加密保護。
3.數字簽名技術。數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
在書面文件上簽名是確認文件的一種手段,其作用有兩點,一是因為自己的簽名難以否認,從而確認文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面簽名有相同相通之處,也能確認兩點,一是信息是由簽名者發送的,二是信息自簽發后到收到為止未曾做過任何修改。這樣,數字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發送信息;發出(收到)信件后又加以否認。
廣泛應用的數字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中一個是公開的,另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌里,網上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數字簽名是由美國政府頒布實施的,主要用于跟美國做生意的公司。它只是一個簽名系統,而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數字簽名方法,跟單獨簽名的RSA數字簽名不同,它是將數字簽名和要發送的信息捆在一起,所以更適合電子商務。
4.數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(Digita Timestamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名
(二)網絡信忽安全的目標
1.保密性。保密性是指信息不泄露給非授權人、實休和過程,或供其使用的特性。
2.完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
3.可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息
4.可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
5.可審查性。在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
網絡信息安全面臨的問題
1.網絡協議和軟件的安全缺陷
因特網的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙:大多數因特網上的流量是沒有加密的,電子郵件口令、文件傳輸很容易被監聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題,這很容易被一些對TCP/IP十分了解的人所利用,一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略:許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被內部人員濫用,黑客從一些服務中可以獲得有用的信息,而網絡維護人員卻不知道應該禁止這種服務。配置的復雜性:訪問控制的配置一般十分復雜,所以很容易被錯誤配置,從而給黑客以可乘之機。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現在,銀行之間在專用網上傳輸數據所用的協議都是保密的,這樣就可以有效地防止入侵。當然,人們不能把TCP/IP和其實現代碼保密,這樣不利于TCP/IP網絡的發展。2.黑客攻擊手段多樣
進人2006年以來,網絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法,用形同互聯網黃頁的域名系統服務器來發動攻擊,擾亂在線商務。寬帶網絡條件下,常見的拒絕服務攻擊方式主要有兩種,一是網絡黑客蓄意發動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網絡流量急速提高,導致網絡設備崩潰,或者造成網絡鏈路的不堪負重。
調查資料顯示,2006年初發現企業的系統承受的攻擊規模甚于以往,而且來源不是被綁架的“僵尸”電腦,而是出自于域名系統(DNS)服務器。一旦成為DDOS攻擊的目標,目標系統不論是網頁服務器、域名服務器,還是電子郵件服務器,都會被網絡上四面八方的系統傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統正常的信息處理,借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網絡,把大量的查詢要求傳至開放的DNS服務器,這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的,因此DNS服務器會把回應信息傳到那個網址。
美國司法部的一項調查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權用戶或設備的數據。在傳統的用戶身份認證環境下,外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網絡,即使最嚴密的用戶認證保護系統也很難保護網絡安全。另外,由于企業員工可以通過任何一臺未經確認和處理的設備,以有效合法的個人身份憑證進入網絡,使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘,嚴重威脅網絡系統的安全。
有資料顯示,最近拉美國家的網絡詐騙活動增多,作案手段先進。犯罪活動已經從“現實生活轉入虛擬世界”,網上詐騙活動日益增多。3.計算機病毒
第五篇:網絡信息安全自查報告
住建局網絡信息系統安全自查報告
我局對網絡信息安全系統工作一直十分重視,成立了專門的領導組,建立健全了網絡安全保密責任制和有關規章制度,由局信息中心統一管理,各科室負責各自的網絡信息安全工作。嚴格落實有關網絡信息安全保密方面的各項規定,采取了多種措施防范安全保密有關事件的發生,總體上看,我局網絡信息安全保密工作做得比較扎實,效果也比較好,近年來未發現失泄密問題。
一、計算機涉密信息管理情況
今年以來,我局加強組織領導,強化宣傳教育,落實工作責任,加強日常監督檢查,將涉密計算機管理抓在手上。對于計算機磁介質(軟盤、U盤、移動硬盤等)的管理,采取專人保管、涉密文件單獨存放,嚴禁攜帶存在涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理文件,形成了良好的安全保密環境。對涉密計算機(含筆記本電腦)實行了與國際互聯網及其他公共信息網物理隔離,并按照有關規定落實了保密措施,到目前為止,未發生一起計算機失密、泄密事故;其他非涉密計算機(含筆記本電腦)及網絡使用,也嚴格按照局計算機保密信息系統管理辦法落實了有關措施,確保了機關信息安全。
二、計算機和網絡安全情況
一是網絡安全方面。我局配備了防病毒軟件、網絡隔離卡,采用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。
二是信息系統安全方面實行領導審查簽字制度。凡上傳網站的信息,須經有關領導審查簽字后方可上傳;二是開展經常性安全檢查,主要對SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統管理權限開放情況、訪問權限開放情況、網頁篡改情況等進行監管,認真做好系統安全日記。
三是日常管理方面切實抓好外網、網站和應用軟件“五層管理”,確保“涉密計算機不上網,上網計算機不涉密”,嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盜和電源連接等;二是網絡安全,包括網絡結構、安全日志管理、密碼管理、IP管理、互聯網行為管理等;三是應用安全,包括網站、郵件系統、資源庫管理、軟件管理等。
三、硬件設備使用合理,軟件設置規范,設備運行狀況良好。
我局每臺終端機都安裝了防病毒軟件,系統相關設備的應用一直采取規范化管理,硬件設備的使用符合國家相關產品質量安全規定,單位硬件的運行環境符合要求,打印機配件、色帶架等基本使用設備原裝產品;防雷地線正常,對于有問題的防雷插座已進行更換,防雷設備運行基本穩定,沒有出現雷擊事故;UPS運轉正常。網站系統安全有效,暫未出現任何安全隱患。
四、通訊設備運轉正常
我局網絡系統的組成結構及其配置合理,并符合有關的安全規定;網絡使用的各種硬件設備、軟件和網絡接口也是通過安全檢驗、鑒定合格后才投入使用的,自安裝以來運轉基本正常。
五、嚴格管理、規范設備維護
我局對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化信息安全教育、提高員工計算機技能。同時在局開展網絡安全知識宣傳,使全體人員意識到了,計算機安全保護是“三防一保”工作的有機組成部分。而且在新形勢下,計算機犯罪還將成為安全保衛工作的重要內容。在設備維護方面,專門設置了網絡設備故障登記簿、計算機維護及維修表對于設備故障和維護情況屬實登記,并及時處理。對外來維護人員,要求有相關人員陪同,并對其身份和處理情況進行登記,規范設備的維護和管理。
六、網站安全及
我局對網站安全方面有相關要求,一是使用專屬權限密碼鎖登陸后臺;二是上傳文件提前進行病素檢測;三是網站分模塊分權限進行維護,定期進后臺清理垃圾文件;四是網站更新專人負責。
七、安全制度制定落實情況
為確保計算機網絡安全、實行了網絡專管員制度、計算機安全保密制度、網站安全管理制度、網絡信息安全突發事件應急預案等以有效提高管理員的工作效率。同時我局結合自身情況制定計算機系統安全自查工作制度,做到四個確保:一是系統管理員于每周五定期檢查中心計算機系統,確保無隱患問題;二是制作安全檢查工作記錄,確保工作落實;三是實行領導定期詢問制度,由系統管理員匯報計算機使用情況,確保情況隨時掌握;四是定期組織全局人員學習有關網絡知識,提高計算機使用水平,確保預防。
八、安全教育
為保證我局網絡安全有效地運行,減少病毒侵入,我局就網絡安全及系統安全的有關知識進行了培訓。期間,大家對實際工作中遇到的計算機方面的有關問題進行了詳細的咨詢,并得到了滿意的答復。
九、自查存在的問題及整改意見
我們在管理過程中發現了一些管理方面存在的薄弱環節,今后我們還要在以下幾個方面進行改進。
(一)對于線路不整齊、暴露的,立即對線路進行限期整改,并做好防鼠、防火安全工作。
(二)加強設備維護,及時更換和維護好故障設備。
(三)自查中發現個別人員計算機安全意識不強。在以后的工作中,我們將繼續加強計算機安全意識教育和防范技能訓練,讓員工充分認識到計算機案件的嚴重性。人防與技防結合,確實做好單位的網絡安全工作。
住建局信息中心 二○一一年六月六日
點擊咨詢 