2011年4月,全球消费电子巨头索尼公司遭遇近年来最严重的危机:黑客在一个月内连续三次攻击了为索尼PS3游戏机和PSP掌上游戏机提供网络支持的PSN平台,导致其全球1亿多注册用户的个人信息被盗取,这些用户分布在美国、欧洲、亚洲各地,被盗信息包括用户的姓名、出生日期、地址、电子邮件、登录密码等,甚至包括信用卡号码和有效期。消息公布后,索尼旗下PSN网络和Qriocity游戏、音乐和视频服务被迫关闭,股价大幅下跌。
索尼事件再次说明,构建一个和谐、有序的安全信息网络,对于个人、企业、社会乃至国家是多么的重要。
“十二五”首重信息安全
2011年是我国“十二五”规划的开局之年,在“十二五”规划纲要的第三篇第十三章第二节,首次将“加强网络与信息安全保障”作为重要的一个章节突出,这充分显示了国家对信息安全的重视。信息网络的安全现状和未来对于国家经济、政治、国防和社会发展的重要意义已经引起了国家的高度重视,而网络问题社会化和社会问题网络化的趋势,则决定一个国家的安定和发展很大程度上取决于网络社会的秩序化和信息安全的基础保障体系是否完善。
“十二五”规划关于信息安全工作的具体要求为:“健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全。推进信息安全保密基础设施建设,构建信息安全保密防护体系。加强互联网管理,确保国家网络与信息安全。”
“十二五”期间,国家对于信息网络监测和管控能力的建设将会更加有力。当前我国的信息网络安全技术手段大多集中在网络安全攻防等被动防御的方式,对于信息网络监测采用的也是一些局部监测和选择监测的机制和办法,很难对全网进行大面积、甚至全网络的信息流动情况感知和全程记录;而网络管控能力则体现在网络综合管理手段的有效应用,而不仅仅是局域网内的上网行为管控或网络流量控制等管理手段。信息网络安全的确是需要从监、管、控三个方面进行全面推动,需要依靠完善的信息安全基础设施体系和相应的产品进行配合。
打造有序平安网络
“‘十二五’规划关于信息安全工作的具体要求,和中兴网安公司CTM(一体化协同安全网关)产品的设计目标功能非常接近。信息系统安全等级保护的相关系统和主要由CTM组成的‘平安网络’基础服务体系一起联动,就能覆盖信息生产处理和信息传输交换的全过程,共同解决维护网络治安和管理网络秩序,实现纲要提出的‘加强互联网管理,确保国家网络与信息安全’的目标。” 北京中兴网安科技有限公司CEO朱永民认为。
公安部颁布的《信息安全等级保护管理办法》,是根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规制定,都是针对信息系统。根据《条例》的定义,信息系统是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”由此看来,其管理的对象是系统。对应于人类现实社会,应该是由人和人生活工作的环境、设备构成的系统,如人和单位、人和社区、人驾驶车辆。然而,社区的保护、单位的保护,不能彻底保证社区内居民家和其它单位等周边的“系统”的安全和相互之间的安全。安全的理想状况是实现所有人、所有小区、所有单位都受控、都被保护。但是显然,这是一个人们努力接近和很难实现的目标。另外,等级保护管理办法没有规范和约束信息系统之间的交换和传输的管理体系。比如,大家都要到香山去看红叶,每家每户都开车去,“系统”没有错,但是“社会”却出了问题,香山的路被车辆堵死了,社会也就瘫痪了。
中兴网安所指的“平安网络”,是一个能够系统、综合、全面地解决互联网安全秩序问题的大型管理体系。“它应该是全程、全网、协同防御的,不仅具备网络感知、全信息记录和海量存储功能,还能够实现对互联网流量的指挥、调度、拦阻和限制,并且能在网络安全事件发生后进行信息分析和源头追溯,以分布式部署和全程协同防御机制来实现网络社会中的治安管理、交通流量控制、联防安全监控和应急指挥管理等安全保障体系。这就像是网络空间上的平安城市一样,实现网络安全状态可感知,可记录,可指挥,可追溯。”朱永民告诉记者。
信息系统安全等级保护办法的推行,从很大程度上解决了信息网络社会身份认证授权、边界防护、访问控制、安全审计等重要问题,对于信息网络社会秩序的建立有里程碑式的意义。当然,等保的具体实施需要有相应的体系和产品。CTM针对网络秩序管理的应用专门设计,定位是平安网络体系基础设施组成部分,因此信息系统安全等级保护相关产品和“平安网络”基础服务体系一起,覆盖了信息生产处理和信息传输交换的全过程,共同实现了维护网络治安和管理网络秩序,最终有可能实现一个安定和谐的信息系统大环境 。