雲時代的商業網路雲安全

美國監控華為的時間已有5年。

美國監控醜聞的披露者斯諾登最新曝光的檔顯示，中國通信廠商華為成為美國國家安全局(NSA)監控物件。 據披露，2009年起NSA就開始入侵華為總部的伺服器，經美國總統批准便可發起網路攻擊。

根據《紐約時報》最新曝光的NSA機密檔，華為是美國國家安全局代號「狙擊巨人」專案的目標。 利用華為技術中的漏洞，NSA可以通過入侵華為的設備來進行監控。 此外，在獲得總統許可的情況下，NSA還可以發起攻擊性的活動。 根據華為此前披露的資訊，其路由器和交換器產品連接了全球1/3的人口。

根據《紐約時報》的報導，NSA對中國的情報活動並不僅僅局限于華為。 根據2013年4月斯諾登曝光的檔，去年，NSA入侵了中國兩家大型移動通信網路，從而得以追蹤具有戰略重要性的中國軍方部門。

自去年美國棱鏡計畫中對中國企業的入侵行動曝光之後，對於資訊安全的關注度在國內持續升溫。

在今年全國兩會上，資訊安全再次成了人們關注的焦點。 在兩會期間，全國人大財經委副主任委員吳曉靈、湖北省政協副主席呂忠梅、浪潮集團董事長孫丕恕、中國移動廣東公司總經理鐘天華等多位全國人大代表，都曾就資訊安全問題提出建議或議案。

在互聯網時代，公司資訊安全面臨著前所未有的挑戰。

系統漏洞威脅金融安全

客戶資金頻遭盜刷，資訊系統接連出現故障，業務系統出現停滯...... 光大銀行(601818,股吧)在最近的幾年時間裡，總是遭遇到消費者與投資者「一波未平一波又起」的雙重指責。

2010年8月30日，光大銀行發生核心業務系統故障，造成全國網點交易緩慢，櫃檯業務、網上銀行、電話銀行、電子支付等業務均受到嚴重影響。 該系統完全中斷12分34秒，對外正常服務受到影響時間5小時左右，致使系統未成功記帳及重複記帳5萬多筆。 銀監會專門就此事向國務院作了彙報。

2011年，光大銀行北京、南京和上海等分行分別出現網上銀行客戶資金被盜事件。 針對光大銀行資訊系統的重大漏洞，銀監會專門委託了權威的國家資訊安全測評機構對該行網上銀行和網站系統進行測試，發現光大銀行存在銀行內部資訊洩露風險、釣魚網站攻擊風險、資訊安全防護措施不嚴密等三方面重大漏洞，並責令其立即整改。

但兩年的平靜過後，2013年，作為光大銀行兄弟單位的光大證券(601788,股吧)「烏龍指事件「突然爆發，將剛剛松了口氣的中國光大集團又推上了風口浪尖。

對於這次事件發生的原因，光大證券表示，經初步核查，本次事件產生的原因主要是策略投資部使用的套利策略系統出現了問題。 最終，證監會對這一88分鐘之內發生的事件認定為內幕交易，除了給出5.23億元的罰款，以及對楊劍波等4位相關決策人「終身證券市場禁入」的處罰，光大證券的證券自營業務(固收除外)被喊停，責令無限期整改。

在去年，由中國人民銀行牽頭，成立了互聯網金融發展與監管研究小組，小組人員由人民銀行、銀監會、證監會、保監會、工信部、公安部、法制辦共同組成。 據《財經》(博客,微博)雜誌報導，由央行牽頭起草的互聯網金融監管指導意見已經完成了兩輪意見徵詢，若接下來的程式順利，或有望在上半年出臺。 這意味著，互聯網金融正開始被納入中國金融業的制度體系和監管框架。

資訊安全面臨雙重挑戰

中國工商行政管理總局官方網站的資料顯示，截至今年2月底，全國實有企業1546.16萬戶(含分支機搆)。 在加速發展的資訊化時代，企業一旦遭受到敏感資訊洩露、重要資料被破壞、業務系統被非法控制等危機，必定是一場災難，輕則企業經濟利益受到重創，重則危及社會和國家的安全。

2013年1月至11月，國家互聯網應急中心(CNCERT)抽樣監測發現，境外約有2.4萬個木馬或僵屍網路控制伺服器控制了我國境內933 萬余台主機。 「這些受控主機因被駭客遠端操控，一方面會導致使用者電腦上存儲的資訊被竊取，另一方面則可能成為駭客藉以向他人發動攻擊的跳板，同時大量受到駭客集中控制的受控主機還可能構成僵屍網路，成為駭客發動大規模網路攻擊的工具和平臺。 」中國國家互聯網應急中心副處長李佳表示。

360互聯網安全中心發佈的《2012年中國互聯網安全報告》稱，由於絕大多數國內企業，特別是中小企業在資訊安全方面的投入有限，使用免費的個人版安全軟體代替企業版安全軟體的現象非常普遍。 根據360安全中心2012年的抽樣調查統計，國內企業普遍存在用免費的個人版安全軟體代替企業版安全軟體的情況。 在接受調查的企業中，國有大中型企業使用企業版安全軟體的比例較高，達到78%;而中小企業的情況則讓人擔憂。 配備企業版安全軟體的比例不足 5%，約94%的中小企業僅為員工電腦安裝個人版安全軟體，還有1%左右的企業根本不使用任何安全軟體。

當企業的安全防護不規範時，本身就已經埋下了安全隱患。 在雲計算與大資料時代，行動裝置的普及使得企業在資訊安全的應對上面臨著新的挑戰。

智慧手機、平板電腦等移動終端的靈活、便利、高效等特點，吸引了越來越多的人使用BYOD(Bring Your Own Device，指手機或平板等移動智慧終端機設備)來辦公。 但如果企業在對BYOD的使用上沒有很強的、有效的政策、程式和安全意識培訓管理，那麼該公司及其企業敏感性資料很可能將面臨危險的境地，例如行動裝置的丟失、被盜，甚至更有可能的危險是被駭客入侵。

工信部近日公佈的資料顯示，到2014年1月，移動互聯網使用者總數達到8.38億戶。

中國工程院院士、中國互聯網協會理事長鄔賀銓認為，移動互聯網的安全問題甚至比桌面互聯網更嚴重。 「因為移動互聯網的作業系統現在是多元的，對於我國來講，我們的作業系統現在還不能實現自主可控。 針對智慧手機的病毒就有3000多種，有三分之一是木馬，應用軟體現在大概有5萬多種，移動終端設備多樣性比桌面終端多得多，管理起來難度很大。 」鄔賀銓說。

國家電腦病毒應急處理中心常務副主任陳建民認為，不能對移動安全掉以輕心。 2012年已經出現了利用手機作業系統的僵屍程式，利用微信、微博的釣魚和欺詐迅猛增長，釣魚欺詐仿冒技術不斷推陳出新，反釣魚技術的自動化、智慧化水準提高。 移動終端的安全問題仍然是安全領域的重點和難點。

雲計算帶來資訊安全挑戰

毋庸置疑，雲計算和大資料時代已經到來。

一方面，雲計算為海量的、多樣化的資料提供存儲和運算平臺，同時資料採礦和人工智慧從大資料中發現知識、規律和趨勢，為決策提供資訊參考。 但是，雲計算和大資料在進一步擴大資訊開放程度的同時，也為處於雲計算覆蓋下的公司資訊安全帶來了挑戰。

在去年6月召開的第五屆中國雲計算大會上，中國科學院研究所研究員馮登國指出，雲計算的發展和應用使得IT領域正在發生深刻變革，但它在提高 IT資源使用效率的同時，對資訊安全帶來多個層面的衝擊與挑戰：雲計算的服務計算模式、 動態虛擬化管理方式以及多層服務模式等引發了新的資料安全問題;雲服務合約所具有的動態性及多方參與的特點，對責任認定及現有資訊安全標準體系帶來了新的衝擊;雲計算的強大計算與存儲能力被非法利用時， 將對現有安全管理體系帶來巨大衝擊。

武漢大學電腦學院教授張煥國認為，雲計算系統也是一種資訊系統，也存在資訊系統普遍存在的共性安全問題。 「由於雲計算系統是一種新型資訊系統，因此雲計算還存在一些新的安全問題，也就是說雲計算有自己的特殊安全問題，包括設備資源的共用化、資料存儲與處理的非自我性等問題。 」張煥國說。

長期從事于資訊安全的專家李鑫(化名)告訴記者，企業現在對於資訊安全越來越重視，他所在的企業對於資訊安全的投資已經佔據網路投資的三分之一。 「應對資訊安全的挑戰，可以從互聯網、伺服器端、應用等方面加強，可以採取內網與外網分離使用的方法。 」

業內專家認為，與技術上的防護相比，制度的管理更加重要。

雲安全聯盟亞太區董事總經理Aloysius Cheang認為，雲計算是「七分管理、三分技術」，管理對於雲計算來說非常重要。

「最關鍵還在於靠制度管理來填補漏洞。 系統設計再好，也要靠‘執行的人’才能實現資訊安全。 」李鑫表示。

國裕資料技術服務有限公司副總經理桑豔娟在接受法治週末記者採訪時表示，加強網路資訊安全的管理，關鍵是要加強執行的規範與力度。 「加強安全管理、安全意識培訓和攻防演練，通過提高員工在操作上的管理，才是應對網路資訊安全的關鍵。 」桑豔娟說。