本文讲的是 : 高端对话:移动设备数据防泄漏迫在眉睫 , 【IT168 资讯】5月9日,赛门铁克今日发布了互联网安全威胁报告(第十七期),报告指出,2011年恶意攻击的数量猛增了81%,尽管漏洞总数减少了20%。此外,高级且有针对性的攻击正蔓延至各种规模的企业和不同类型的人群中,数据泄露事件还在继续增加,攻击者已将其关注点转至移动领域。
在主题对话环节,国家网络信息安全技术研究所所长杜跃进、中国信息产业商会信息安全产业分会秘书长李斌、赛门铁克技术总监李刚、赛门铁克公司中国区安全产品总监卜宪录就当前网络安全热点话题进行了讨论。
▲左起:赛门铁克技术总监李刚、中国信息产业商会信息安全产业分会秘书长李斌、
国家网络信息安全技术研究所所长杜跃进、赛门铁克公司中国区安全产品总监卜宪录
话题:信息防泄漏、移动设备的信息泄漏防护
李刚:我们这个对话环节大概半个小时,我们特意请了行业里面两位专家跟我们一起分享。我们对话题目是跟现在网络安全热点问题相关的——信息的泄露。大家可以看到,如果在移动设备丢掉的话在美国统计是96%的可能你的信息会被别人访问不管你愿意还是不愿意。除了这个还会登录到企业去看应用。现在很多问题都会关于数据泄露的问题,现在在我们谈安全的时候一个特别大家关注的问题。我想这个话题有关于信息泄露,不管是说无意识的泄露还是刚才我们谈到的有意识的,有网络恶意行为所窃取的行为。
杜跃进:大家都知道这个事情是因为近年一些大网站用户数据泄露,这种威胁并不是大家知道才发生的,在过去很多年,就有很多人在有意识在窃取大型网站的黑客应用。中国老百姓现在知道这个事是因为这件事情被捅到公共互联网上,一个坏事变成一个好事,无论是咱们用户还是大的网站,甚至是包括政府部门都开始对这个事情比以前重视程度高很多。并且采取了很多措施,把情况变的更好一些,包括政府也来对大型网站安全防护提供具体要求,所以整个状况是这样的。
李刚:杜总给大家揭露了一个事实信息泄露的问题并不是现在才发生的,实际上已经持续很长时间了,这是整个网络攻击环节的目的和手段。杜总刚才提到一点我觉得特别好,不管怎么说这个事件引起了政府的注意。下面请问李秘书长,我们知道至少开始国家政府提出了一个个人信息保护指南,它是一个起步,从个人信息来说是一个起步。我想您就这个问题,谈谈您的看法,这个政府介入以后,对整个事情有什么样的帮助?对整个产业链的发展有什么影响?
李斌:我想谈个人信息保护指南,之前还有一个背景,09年我们国家在刑法信息案里面已经提出针对个人信息暴取牟利,再产生移动影响的时候这样的后果是要追究责任的。这个个陈信息保护指南是一个推荐性的标准,更多看到是对法律的补充,强调是行业自律。政府介入,或者以标准形式介入之后的话,对我们产业链的影响的话,大概是把企业分成两类,一类是我们提供服务营运商而言的话,它在提供IT服务的时候,应该被更多的重视,对于个人信息的保护。刚才杜总介绍我们国家去年年底的黑客攻击,还有一个是索尼上亿的用户数据,以及上千万的帐户信息泄露,给索尼公司带来损失是上十亿美元,现在很多官司在打呢。
第二个是对公司产品的服务,这个指南是开引了一个新的需求市场。各个企业会把更多资源和注意力放在对个人用户的保护上面,这个对于我们个人用户的合法权益的保护来说是一个福音。
李刚:感谢李秘书长,您刚才讲了两点特别重要。我先说第二点,尽管对企业来说有一个市场。里面更重要一点是很多安全保护措施的采纳和使用往往是被动的,出了事情才想到去补救。政府介入有很大好处就是说,给我们很多企业一个警醒。或者国家对企业一个要求,要求企业把事情做到前面,不是说真正出了事了,造成损失了打官司了才会想到解决问题。这一点很重要。下面我想就这个话题,问一下卜宪录,如果是赛门铁克来说的话,我想说两个问题,我想问一下从国外来看的话,全球视角来看的话,信息泄露的问题是怎么样的?第二个问题,在中国可以说在2年前中国就开始大力推动信息泄露防护这样一种理念,显然已经有一些经验,尤其是积累过的经验,我想这方面怎么来跟大家分享?
卜宪录:互联网安全威胁报告里面,2010年定位成信息泄露的一年,刚才两位两总也提到国内外有很多事件被爆发出来,现在这种情况愈演愈烈,这个原因是什么呢?经济利益的驱动。第二个我们看到是说移动,智能终端包括互联网应用普及和应用。第三个像云计算,虚拟化,给数据泄露带来新的威胁和新的不确定性,这个让我们很担心。包括刚才也提到了,社交媒体的日益普及,也给信息泄露带来新的风险,综合以上的原因,我们看全球的趋势就愈演愈烈。刚才也提到国内大概三四年以前,开始推广和普及防信息泄露的一些解决方案,就像我刚才在报告里面提到了,我们还是认为信息防泄露是一个系统工程。最重要我们觉得是国家政府行业主管机关能够出台一些法案法规作为我们的一个最强有力的支撑。对于严重的信息泄露而言,单纯的产品和技术很难完全解决的。
我们也很高兴刑法修正案,信息保护指南已经陆续出台,国家对这个方面很重视。另外从企业来看,还是从品牌保护来看,都有必要加强对信息泄露的防护。你的敏感信息散布在哪里?这些敏感信息怎么样使用?应该采取什么样手段?对它进行保护?这个对每个企业都是一个挑战。在过去三四年在国内,电信、金融高新指导行业我们做了一些方案,第三个个人用户也需要加强意识,提高风险意识,不管是移动,还是办公网络。我们建议在重要的应用上,比如说网民在网上进行交易的时候,或者是购物的时候,你要考虑更安全的网站,要采取一些强身份认证的。有一些网站要存放密码,这让我们很担心。
第四个方面从厂商跟我们整个信息安全产业里,各个环节来讲,我们可能也要与时俱进,面对新的形势下,我们要提出新的方案作为信息支撑。
李刚:刚才我们三位专家谈到信息泄露的时候都谈到一点就是新的挑战,就是加大一些新的挑战。我们企业你是否知道你的敏感度在什么地方?这个问题现在问起来更难了,因为什么呢?这是一个新的趋势,移动计算进入企业的时候,我相信企业的IT管理人员,信息安全负责人员更有问题就是我们敏感信息在哪儿?这是一个更大的问题,这个信息怎么传送?通过中国移动无线网传送呢?还是通过联通网传送呢?这个现象我们在2012年RSA信息安全大会上,我们CEO在主持演讲的时候讲了一个概念是数据连通带,现在企业有大量员工进入到企业内部,伴随互联网应用成长的这一代员工,这一代员工是完全伴随互联网长大的,还是说游戏,还是涉及到工作。他们要求企业提供他们能够适应他们的工作生活方式,这样一种企业信息服务。也就是说,这时候企业不得不向他们敞开大门。就是所谓我们这个非业务应用的移动设备,包括私人的平板电脑,私人的智能终端手机代入企业的核心工作,这样说的话,听起来有点吓人。我想问一下杜总您怎么看企业安全的挑战?
杜跃进:我也是在RSA大会上看到他们在讨论这个问题,国内现在也有很多人在讨论这件事情,已经引起一些人共识。我觉得讨论这个是很好的尽管以前我们没有意识到,但是这个是现实,别说是下一代数字衍生代的这些,包括像我们这一代现在很多时候已经离不开现在的这种工作方式了,我们会有很多种方式,很多种圈子。这种圈子都是在在线这样状况下,很多人包括一些同事,都是直接利用手机开邮箱等等,已经分不清楚界限在哪里?以前一种观念就是说我画一个圈,我把重要的东西保护在里面就可以了,现在这个圈在哪里?确实不是以前的概念了。
对于我们来说,确实要正式这个问题,确实要想面对这样情况下,这种安全数据泄露防护应该怎么做?但是对于具体做法上面我觉得还需要进行积极探索,我自己接触的时间比较短,没有特别清晰的概念。比较好的就是国内的安全界已经开始重视这个问题,都在研究这个事情,我相信也会有创新的想法和实践出来。
李刚:看来这个问题,确实属于比较前沿的问题,杜总都在研究了。杜总刚才说很重要一个观念就是说,移动计算打破了边界。就这个话题我们干脆打破边界,问一下李总,我们打破边界移动安全对整个产业链来说,我们不仅站在用户的角度,也不仅站在厂商的角度,也不仅站在政府的角度,从哪个地方着手更容易突破?
李斌:这个问题更大,因为移动产业链非常长,它的安全问题的话,我们有句老话是,我小时在铁道边长大的,上中下游段段都要安全。还有大禹治水的时候,也是上游的洪水不把它分线的话,下游一定会遭殃。我想造微移动安全产业链里面,应该是要把它自己的系统安全保障好,否则的话数据存在这儿,或者是数据的生存,存储或者是传输都是一个问题。另外一块就是移动设备的传输上,就是要提供比较少安全漏洞的产品或者是应用。对于用户而言的话,他也要有个安全意识,不能把自己的敏感信息随意存放,对于安全服务商和产品商的话,在专用的方面,以及技术和一些服务,来保证上中下游各环节安全的无缝隙衔接,这样的话众人拾柴火焰高,才能把安全问题做好。
李刚:已经回答很全面,就是每个环节都已经照顾到了。这个问题我想问一下卜宪录,我们从国外的案例来看,从北美地区,因为北美地区走的稍微快一点,已经把企业的核心应用加载到了员工自带设备的环境下。这方面您有什么经验给大家分享?或者是有最佳案例?
卜宪录:实际上我们赛门铁克在2012年年初的时候也发布了一个移动应用调查,这个调查显示,有71%的企业在考虑实施移动应用,有三分之一的企业已经开始部署移动应用。我们注意的现象是什么呢?移动应用是一个趋势的现象。我们看到任何一个威胁在传统计算机领域里面,有三个基本条件,第一要有这样一个平台,要有它生存的土壤,第二要有动机,第三要有享用工具进行配合。移动威胁它的平台和土壤是什么?我们看到像安卓这样很开放性的系统在出现,再增加了灵活性的威胁给我们带来新的威胁和挑战。动机是什么呢?直接的经济利益驱动在今天比以前更加明显。第三就是软件工具包,不断推出来以后,使犯罪的成本不断降低,我们看到移动威胁是非常明显的趋势。从北美一些案例,和赛门铁克解决方案角度来看。我们建议用户从以下几个层面考虑,做一个全面的通盘考虑,不是说出现什么事考虑什么事。
第一做好移动设备本身管理的基础安全工作,一个管理良好的设备才有可能是一个安全的设备,移动设备管理是一个基础,在基础之上我们才能做安全的管理。就是防病毒,防火墙。三控我们说,网络一些主流控制,外设的控制,应用程序的控制。人跟信息互动的话,还要加上一个很重要的是别人的基本信息。第二个层面就是我们保护的不是移动设备本身,重要的是里面信息的内容,内容识别的一些技术来帮你去看?移动终端告诉你哪些信息是敏感?要加以特别注意。移动终端好的应用本身的安全性,包括它的管理,怎么进行安全的分装?甚至是员工离职以后,哪些应用是属于个人?信息是属于个人的?属于公司的数据公司要把它擦除掉,属于个人的公司不能动。我们把这个范畴扩展一下扩展到云,跟云结合的时候,移动终端跟云应用的时候,这里面安全问题怎么处理?这里面要从四个层面企业要有一个通盘的考虑。
李刚:听起来,移动安全确实是一个安全领域新的话题。移动计算引用企业核心应用以后,这里面谈到就是根本打破边界,不管是打破顾虑的边界。以前没有人担心有贼,现在可以说我们随时把手机落在出租车上。以前至少是通过人工的网络在访问企业。第三个信息的边界,个人信息和企业的信息是联结在一起。接下来我们讨论一个重要话题就是云,云把很多边界都擦除掉了,在开会的时候,曾经跟同事聊天说,云的到来,已经贴近我们身边了,躲都躲不开了。在美国有很重要做协同工作的云终端这样一个信息。有同事去协同工作,大家发现很多同事,尤其是CIT的同事,很轻易就把企业内部敏感信息全部扔到上面了,不加思索,他平常在学校就这样用的,在企业也这样去用。所以说云时代的到来,带来另外一层的考虑。请杜总给大家谈谈云安全,就是云时代到来对企业安全的挑战。
杜跃进:在中国很多企业担心自己的信息放在公共云上面,是不是被别人非法访问,或者是对自己企业的信息给偷走,各种各样的顾虑。这个是比较普遍的现象,我个人也一直认为,发展云这个是非常的障碍。其实在业界里面,包括刚才也提到政府这边也看到这个问题,也在想各种各样的办法,来减少企业对这方面顾虑,包括一些技术上的,包括一些标准上的,也在往前推进。对于有一些中小企业来说可能让他们意识到因为这个期间本身比较高级的对话,对人员的进入水平要求很高,对比较小一些企业来说,很难说有足够多的专业人才来保护自己的安全。
我记得在2003年的时候互联网泡沫型发展的时候,所谓世纪精英在中国还有一个很大的发布会,当时我问你们有多少安全人员?他说像我这样一个安全人员就我一个,养不起那么多人,更别说是小公司了。只靠自己是无法保证安全的,某种程度上,把自己的IT放在更好安全保障的下面实际上是可以提升自己的安全的,这个意识需要一段时间让各个企业认识到这一点。但一个前提是我们要加强对云服务提供商的监管,让它确实不会做出违反用户利益这样一个事情。就好像说的第一个话题,用户把它的信息放在你网站上,你要对他的信息负责任。
对于政府来说要做另外一个事,对云计算大范围应用提供一个更好的生态环境,包括整个社会构建一个互相信任的一个系统,对于各种违反信誉体系,或者说信誉架构的一些东西,要有一系列的监督和复杂的机制,才使得用户用得到放心,如果这三个方面都做到的话,是比较好的。也会对个人和企业的利益有保障,继而对每个用户的安全有一个提升。
李刚:杜总的观点我认为是很重要一个观点,而且是平常我们在讨论安全的时候不太会听到的观点。这个也应征了刚才我们在跟大家介绍安全报告的时候,提到一个观点,它的对象并不是大型的知名的企业,我看到有很多是很小的企业。这个给大家一个启示,真正互联网的威胁,不仅仅是大的企业,而且还针对中小企业。我完全同意杜总的观点,一个中小企业在安全方面的投入,经验的积累水平肯定是不如一个计算服务经营商这么大,理论上讲云计算带给企业可能并不是一个不安全的环境,而是一个更安全的环境。我很同意杜总的观点。第二个观点我觉得很重要一点就是信任,大家是不是真正的信任?这里面起到一个很大的作用,因为政府可以通过比如说法规,包括一些检查、审查来去给整个广大的消费者也好,或者是企业用户也好一个承诺和标准,我们的服务实际上是符合安全标准的。这方面我想请李总给大家谈一下中国政府有没有什么进展?能够促进云计算的发展。
李斌:这个本身在信息技术委员会和信息安全委员会里面都分别对云计算和云安全做了研究,其中云计算的相关标准正在研究,云安全是一个预演项目,是在前期的研究。标准有采标,国际上有成熟的标准,又可以适合中国国情,我们完全把它转换成利益我们国家标准。第二个修改标准,如果这些标准不符合中国的实际情况的话,把这个国际标准进行适当修改进行采用。第三个是制定标准,国际上没有成熟标准的话,几个专家就制定标准。
前面说的云计算的标准的话,至于说哪种形式的话?明年可能会知晓。
第二个对云服务这样一个特殊比较重要一个服务,涉及到千家万户的数据安全。国家有一定服务资质这样一个手段,只是单对云安全目前还没有。我们从产业角度来说的话,也希望国家有相应这种标准,或者第三方核定质量和能力,为用户提供放心服务这样一个资格认定。
李刚:我们谢谢李总,我们在云安全推动上面有一个至关重要的作用,通过制定标准来建立信任。除此以外我们想做的就是说,事实上每一个人,包括我们在座的业内专家,包括厂商,包括用户包括媒体朋友们,我们都可以做自己的事情,来推动中国建立云计算的信息。这一点问一下卜宪录,我们在云安全方面有什么样的观察?或者是有什么经验,给大家做一个分享。
卜宪录:赛门铁克在2011年还做一个调查,我们认为在云安全,尤其是公共云和混合云里面安全和法律遵从是客户最担心的两个问题,所以说在云里面,安全是非常重要一个话题,所以在谈这个话题的时候,刚才几位讲到了非常相关的,一个是说谈云本身的安全保护。因为云把所有的边界传统安全边界都打散了,所以我们要用云的方法去解决安全。赛门铁克在今年2月份发布了一个解决方案,对企业来讲都是一个很有效的一个保护。另外一块也提到中小企业,对于中小企业来讲安全云的应用,对中小企业来讲是更好的选择,赛门铁克已经提供了16种不同类型的云的应用,可以帮助中小企业来提升总体安全水平。
李刚:这个观点也很新颖,我们讲的云中云,用云的方式来保护云,今天因为时间关系。关于数据防泄露,讨论了移动计算进入企业以后带来的挑战,还有关于云进入企业以后带来的挑战。这三个话题其实可以做半天的讨论,我们只是把这个话题引开。下面还有很多机会给媒体朋友做进一步讨论。谢谢各位。
原文发布时间为:2015年7月6日
本文作者: kaduo
本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT168
原文标题 :高端对话:移动设备数据防泄漏迫在眉睫
