高階對話：移動裝置資料防洩漏迫在眉睫

本文講的是 :  高階對話：移動裝置資料防洩漏迫在眉睫  , 【IT168 資訊】5月9日，賽門鐵克今日釋出了網際網路安全威脅報告(第十七期)，報告指出，2011年惡意攻擊的數量猛增了81%，儘管漏洞總數減少了20%。此外，高階且有針對性的攻擊正蔓延至各種規模的企業和不同型別的人群中，資料洩露事件還在繼續增加，攻擊者已將其關注點轉至移動領域。

▲點選檢視專題報告

　　在主題對話環節，國家網路資訊安全技術研究所所長杜躍進、中國資訊產業商會資訊保安產業分會祕書長李斌、賽門鐵克技術總監李剛、賽門鐵克公司中國區安全產品總監卜憲錄就當前網路安全熱點話題進行了討論。

▲左起：賽門鐵克技術總監李剛、中國資訊產業商會資訊保安產業分會祕書長李斌、
國家網路資訊安全技術研究所所長杜躍進、賽門鐵克公司中國區安全產品總監卜憲錄

　　話題：資訊防洩漏、移動裝置的資訊洩漏防護

　　李剛：我們這個對話環節大概半個小時，我們特意請了行業裡面兩位專家跟我們一起分享。我們對話題目是跟現在網路安全熱點問題相關的——資訊的洩露。大家可以看到，如果在移動裝置丟掉的話在美國統計是96%的可能你的資訊會被別人訪問不管你願意還是不願意。除了這個還會登入到企業去看應用。現在很多問題都會關於資料洩露的問題，現在在我們談安全的時候一個特別大家關注的問題。我想這個話題有關於資訊洩露，不管是說無意識的洩露還是剛才我們談到的有意識的，有網路惡意行為所竊取的行為。

　　杜躍進：大家都知道這個事情是因為近年一些大網站使用者資料洩露，這種威脅並不是大家知道才發生的，在過去很多年，就有很多人在有意識在竊取大型網站的黑客應用。中國老百姓現在知道這個事是因為這件事情被捅到公共網際網路上，一個壞事變成一個好事，無論是我們們使用者還是大的網站，甚至是包括政府部門都開始對這個事情比以前重視程度高很多。並且採取了很多措施，把情況變的更好一些，包括政府也來對大型網站安全防護提供具體要求，所以整個狀況是這樣的。

　　李剛：杜總給大家揭露了一個事實資訊洩露的問題並不是現在才發生的，實際上已經持續很長時間了，這是整個網路攻擊環節的目的和手段。杜總剛才提到一點我覺得特別好，不管怎麼說這個事件引起了政府的注意。下面請問李祕書長，我們知道至少開始國家政府提出了一個個人資訊保護指南，它是一個起步，從個人資訊來說是一個起步。我想您就這個問題，談談您的看法，這個政府介入以後，對整個事情有什麼樣的幫助?對整個產業鏈的發展有什麼影響?

　　李斌：我想談個人資訊保護指南，之前還有一個背景，09年我們國家在刑法資訊案裡面已經提出針對個人資訊暴取牟利，再產生移動影響的時候這樣的後果是要追究責任的。這個個陳資訊保護指南是一個推薦性的標準，更多看到是對法律的補充，強調是行業自律。政府介入，或者以標準形式介入之後的話，對我們產業鏈的影響的話，大概是把企業分成兩類，一類是我們提供服務營運商而言的話，它在提供IT服務的時候，應該被更多的重視，對於個人資訊的保護。剛才杜總介紹我們國家去年年底的黑客攻擊，還有一個是索尼上億的使用者資料，以及上千萬的帳戶資訊洩露，給索尼公司帶來損失是上十億美元，現在很多官司在打呢。

　　第二個是對公司產品的服務，這個指南是開引了一個新的需求市場。各個企業會把更多資源和注意力放在對個人使用者的保護上面，這個對於我們個人使用者的合法權益的保護來說是一個福音。

　　李剛：感謝李祕書長，您剛才講了兩點特別重要。我先說第二點，儘管對企業來說有一個市場。裡面更重要一點是很多安全保護措施的採納和使用往往是被動的，出了事情才想到去補救。政府介入有很大好處就是說，給我們很多企業一個警醒。或者國家對企業一個要求，要求企業把事情做到前面，不是說真正出了事了，造成損失了打官司了才會想到解決問題。這一點很重要。下面我想就這個話題，問一下卜憲錄，如果是賽門鐵克來說的話，我想說兩個問題，我想問一下從國外來看的話，全球視角來看的話，資訊洩露的問題是怎麼樣的?第二個問題，在中國可以說在2年前中國就開始大力推動資訊洩露防護這樣一種理念，顯然已經有一些經驗，尤其是積累過的經驗，我想這方面怎麼來跟大家分享?

　　卜憲錄：網際網路安全威脅報告裡面，2010年定位成資訊洩露的一年，剛才兩位兩總也提到國內外有很多事件被爆發出來，現在這種情況愈演愈烈，這個原因是什麼呢?經濟利益的驅動。第二個我們看到是說移動，智慧終端包括網際網路應用普及和應用。第三個像雲端計算，虛擬化，給資料洩露帶來新的威脅和新的不確定性，這個讓我們很擔心。包括剛才也提到了，社交媒體的日益普及，也給資訊洩露帶來新的風險，綜合以上的原因，我們看全球的趨勢就愈演愈烈。剛才也提到國內大概三四年以前，開始推廣和普及防資訊洩露的一些解決方案，就像我剛才在報告裡面提到了，我們還是認為資訊防洩露是一個系統工程。最重要我們覺得是國家政府行業主管機關能夠出臺一些法案法規作為我們的一個最強有力的支撐。對於嚴重的資訊洩露而言，單純的產品和技術很難完全解決的。

　　我們也很高興刑法修正案，資訊保護指南已經陸續出臺，國家對這個方面很重視。另外從企業來看，還是從品牌保護來看，都有必要加強對資訊洩露的防護。你的敏感資訊散佈在哪裡?這些敏感資訊怎麼樣使用?應該採取什麼樣手段?對它進行保護?這個對每個企業都是一個挑戰。在過去三四年在國內，電信、金融高新指導行業我們做了一些方案，第三個個人使用者也需要加強意識，提高風險意識，不管是移動，還是辦公網路。我們建議在重要的應用上，比如說網民在網上進行交易的時候，或者是購物的時候，你要考慮更安全的網站，要採取一些強身份認證的。有一些網站要存放密碼，這讓我們很擔心。

　　第四個方面從廠商跟我們整個資訊保安產業裡，各個環節來講，我們可能也要與時俱進，面對新的形勢下，我們要提出新的方案作為資訊支撐。

　　李剛：剛才我們三位專家談到資訊洩露的時候都談到一點就是新的挑戰，就是加大一些新的挑戰。我們企業你是否知道你的敏感度在什麼地方?這個問題現在問起來更難了，因為什麼呢?這是一個新的趨勢，移動計算進入企業的時候，我相信企業的IT管理人員，資訊保安負責人員更有問題就是我們敏感資訊在哪兒?這是一個更大的問題，這個資訊怎麼傳送?通過中國移動無線網傳送呢?還是通過聯通網傳送呢?這個現象我們在2012年RSA資訊保安大會上，我們CEO在主持演講的時候講了一個概念是資料連通帶，現在企業有大量員工進入到企業內部，伴隨網際網路應用成長的這一代員工，這一代員工是完全伴隨網際網路長大的，還是說遊戲，還是涉及到工作。他們要求企業提供他們能夠適應他們的工作生活方式，這樣一種企業資訊服務。也就是說，這時候企業不得不向他們敞開大門。就是所謂我們這個非業務應用的移動裝置，包括私人的平板電腦，私人的智慧終端手機代入企業的核心工作，這樣說的話，聽起來有點嚇人。我想問一下杜總您怎麼看企業安全的挑戰?

　　杜躍進：我也是在RSA大會上看到他們在討論這個問題，國內現在也有很多人在討論這件事情，已經引起一些人共識。我覺得討論這個是很好的儘管以前我們沒有意識到，但是這個是現實，別說是下一代數字衍生代的這些，包括像我們這一代現在很多時候已經離不開現在的這種工作方式了，我們會有很多種方式，很多種圈子。這種圈子都是在線上這樣狀況下，很多人包括一些同事，都是直接利用手機開郵箱等等，已經分不清楚界限在哪裡?以前一種觀念就是說我畫一個圈，我把重要的東西保護在裡面就可以了，現在這個圈在哪裡?確實不是以前的概念了。

　　對於我們來說，確實要正式這個問題，確實要想面對這樣情況下，這種安全資料洩露防護應該怎麼做?但是對於具體做法上面我覺得還需要進行積極探索，我自己接觸的時間比較短，沒有特別清晰的概念。比較好的就是國內的安全界已經開始重視這個問題，都在研究這個事情，我相信也會有創新的想法和實踐出來。

　　李剛：看來這個問題，確實屬於比較前沿的問題，杜總都在研究了。杜總剛才說很重要一個觀念就是說，移動計算打破了邊界。就這個話題我們乾脆打破邊界，問一下李總，我們打破邊界移動安全對整個產業鏈來說，我們不僅站在使用者的角度，也不僅站在廠商的角度，也不僅站在政府的角度，從哪個地方著手更容易突破?

　　李斌：這個問題更大，因為移動產業鏈非常長，它的安全問題的話，我們有句老話是，我小時在鐵道邊長大的，上中下游段段都要安全。還有大禹治水的時候，也是上游的洪水不把它分線的話，下游一定會遭殃。我想造微移動安全產業鏈裡面，應該是要把它自己的系統安全保障好，否則的話資料存在這兒，或者是資料的生存，儲存或者是傳輸都是一個問題。另外一塊就是移動裝置的傳輸上，就是要提供比較少安全漏洞的產品或者是應用。對於使用者而言的話，他也要有個安全意識，不能把自己的敏感資訊隨意存放，對於安全服務商和產品商的話，在專用的方面，以及技術和一些服務，來保證上中下游各環節安全的無縫隙銜接，這樣的話眾人拾柴火焰高，才能把安全問題做好。

　　李剛：已經回答很全面，就是每個環節都已經照顧到了。這個問題我想問一下卜憲錄，我們從國外的案例來看，從北美地區，因為北美地區走的稍微快一點，已經把企業的核心應用載入到了員工自帶裝置的環境下。這方面您有什麼經驗給大家分享?或者是有最佳案例?

　　卜憲錄：實際上我們賽門鐵克在2012年年初的時候也釋出了一個移動應用調查，這個調查顯示，有71%的企業在考慮實施移動應用，有三分之一的企業已經開始部署移動應用。我們注意的現象是什麼呢?移動應用是一個趨勢的現象。我們看到任何一個威脅在傳統計算機領域裡面，有三個基本條件，第一要有這樣一個平臺，要有它生存的土壤，第二要有動機，第三要有享用工具進行配合。移動威脅它的平臺和土壤是什麼?我們看到像安卓這樣很開放性的系統在出現，再增加了靈活性的威脅給我們帶來新的威脅和挑戰。動機是什麼呢?直接的經濟利益驅動在今天比以前更加明顯。第三就是軟體工具包，不斷推出來以後，使犯罪的成本不斷降低，我們看到移動威脅是非常明顯的趨勢。從北美一些案例，和賽門鐵克解決方案角度來看。我們建議使用者從以下幾個層面考慮，做一個全面的通盤考慮，不是說出現什麼事考慮什麼事。

　　第一做好移動裝置本身管理的基礎安全工作，一個管理良好的裝置才有可能是一個安全的裝置，移動裝置管理是一個基礎，在基礎之上我們才能做安全的管理。就是防病毒，防火牆。三控我們說，網路一些主流控制，外設的控制，應用程式的控制。人跟資訊互動的話，還要加上一個很重要的是別人的基本資訊。第二個層面就是我們保護的不是移動裝置本身，重要的是裡面資訊的內容，內容識別的一些技術來幫你去看?移動終端告訴你哪些資訊是敏感?要加以特別注意。移動終端好的應用本身的安全性，包括它的管理，怎麼進行安全的分裝?甚至是員工離職以後，哪些應用是屬於個人?資訊是屬於個人的?屬於公司的資料公司要把它擦除掉，屬於個人的公司不能動。我們把這個範疇擴充套件一下擴充套件到雲，跟雲結合的時候，移動終端跟雲應用的時候，這裡面安全問題怎麼處理?這裡面要從四個層面企業要有一個通盤的考慮。

　　李剛：聽起來，移動安全確實是一個安全領域新的話題。移動計算引用企業核心應用以後，這裡面談到就是根本打破邊界，不管是打破顧慮的邊界。以前沒有人擔心有賊，現在可以說我們隨時把手機落在計程車上。以前至少是通過人工的網路在訪問企業。第三個資訊的邊界，個人資訊和企業的資訊是聯結在一起。接下來我們討論一個重要話題就是雲，雲把很多邊界都擦除掉了，在開會的時候，曾經跟同事聊天說，雲的到來，已經貼近我們身邊了，躲都躲不開了。在美國有很重要做協同工作的雲終端這樣一個資訊。有同事去協同工作，大家發現很多同事，尤其是CIT的同事，很輕易就把企業內部敏感資訊全部扔到上面了，不加思索，他平常在學校就這樣用的，在企業也這樣去用。所以說雲時代的到來，帶來另外一層的考慮。請杜總給大家談談雲安全，就是雲時代到來對企業安全的挑戰。

　　杜躍進：在中國很多企業擔心自己的資訊放在公共雲上面，是不是被別人非法訪問，或者是對自己企業的資訊給偷走，各種各樣的顧慮。這個是比較普遍的現象，我個人也一直認為，發展雲這個是非常的障礙。其實在業界裡面，包括剛才也提到政府這邊也看到這個問題，也在想各種各樣的辦法，來減少企業對這方面顧慮，包括一些技術上的，包括一些標準上的，也在往前推進。對於有一些中小企業來說可能讓他們意識到因為這個期間本身比較高階的對話，對人員的進入水平要求很高，對比較小一些企業來說，很難說有足夠多的專業人才來保護自己的安全。

　　我記得在2003年的時候網際網路泡沫型發展的時候，所謂世紀精英在中國還有一個很大的釋出會，當時我問你們有多少安全人員?他說像我這樣一個安全人員就我一個，養不起那麼多人，更別說是小公司了。只靠自己是無法保證安全的，某種程度上，把自己的IT放在更好安全保障的下面實際上是可以提升自己的安全的，這個意識需要一段時間讓各個企業認識到這一點。但一個前提是我們要加強對雲服務提供商的監管，讓它確實不會做出違反使用者利益這樣一個事情。就好像說的第一個話題，使用者把它的資訊放在你網站上，你要對他的資訊負責任。

　　對於政府來說要做另外一個事，對雲端計算大範圍應用提供一個更好的生態環境，包括整個社會構建一個互相信任的一個系統，對於各種違反信譽體系，或者說信譽架構的一些東西，要有一系列的監督和複雜的機制，才使得使用者用得到放心，如果這三個方面都做到的話，是比較好的。也會對個人和企業的利益有保障，繼而對每個使用者的安全有一個提升。

　　李剛：杜總的觀點我認為是很重要一個觀點，而且是平常我們在討論安全的時候不太會聽到的觀點。這個也應徵了剛才我們在跟大家介紹安全報告的時候，提到一個觀點，它的物件並不是大型的知名的企業，我看到有很多是很小的企業。這個給大家一個啟示，真正網際網路的威脅，不僅僅是大的企業，而且還針對中小企業。我完全同意杜總的觀點，一箇中小企業在安全方面的投入，經驗的積累水平肯定是不如一個計算服務經營商這麼大，理論上講雲端計算帶給企業可能並不是一個不安全的環境，而是一個更安全的環境。我很同意杜總的觀點。第二個觀點我覺得很重要一點就是信任，大家是不是真正的信任?這裡面起到一個很大的作用，因為政府可以通過比如說法規，包括一些檢查、審查來去給整個廣大的消費者也好，或者是企業使用者也好一個承諾和標準，我們的服務實際上是符合安全標準的。這方面我想請李總給大家談一下中國政府有沒有什麼進展?能夠促進雲端計算的發展。

　　李斌：這個本身在資訊科技委員會和資訊保安委員會裡面都分別對雲端計算和雲安全做了研究，其中雲端計算的相關標準正在研究，雲安全是一個預演專案，是在前期的研究。標準有采標，國際上有成熟的標準，又可以適合中國國情，我們完全把它轉換成利益我們國家標準。第二個修改標準，如果這些標準不符合中國的實際情況的話，把這個國際標準進行適當修改進行採用。第三個是制定標準，國際上沒有成熟標準的話，幾個專家就制定標準。

　　前面說的雲端計算的標準的話，至於說哪種形式的話?明年可能會知曉。

　　第二個對雲服務這樣一個特殊比較重要一個服務，涉及到千家萬戶的資料安全。國家有一定服務資質這樣一個手段，只是單對雲安全目前還沒有。我們從產業角度來說的話，也希望國家有相應這種標準，或者第三方核定質量和能力，為使用者提供放心服務這樣一個資格認定。

　　李剛：我們謝謝李總，我們在雲安全推動上面有一個至關重要的作用，通過制定標準來建立信任。除此以外我們想做的就是說，事實上每一個人，包括我們在座的業內專家，包括廠商，包括使用者包括媒體朋友們，我們都可以做自己的事情，來推動中國建立雲端計算的資訊。這一點問一下卜憲錄，我們在雲安全方面有什麼樣的觀察?或者是有什麼經驗，給大家做一個分享。

　　卜憲錄：賽門鐵克在2011年還做一個調查，我們認為在雲安全，尤其是公共雲和混合雲裡面安全和法律遵從是客戶最擔心的兩個問題，所以說在雲裡面，安全是非常重要一個話題，所以在談這個話題的時候，剛才幾位講到了非常相關的，一個是說談雲本身的安全保護。因為雲把所有的邊界傳統安全邊界都打散了，所以我們要用雲的方法去解決安全。賽門鐵克在今年2月份釋出了一個解決方案，對企業來講都是一個很有效的一個保護。另外一塊也提到中小企業，對於中小企業來講安全雲的應用，對中小企業來講是更好的選擇，賽門鐵克已經提供了16種不同型別的雲的應用，可以幫助中小企業來提升總體安全水平。

　　李剛：這個觀點也很新穎，我們講的雲中雲，用雲的方式來保護雲，今天因為時間關係。關於資料防洩露，討論了移動計算進入企業以後帶來的挑戰，還有關於雲進入企業以後帶來的挑戰。這三個話題其實可以做半天的討論，我們只是把這個話題引開。下面還有很多機會給媒體朋友做進一步討論。謝謝各位。

原文釋出時間為：2015年7月6日

本文作者： kaduo

本文來自雲棲社群合作伙伴IT168，瞭解相關資訊可以關注IT168

原文標題 :高階對話：移動裝置資料防洩漏迫在眉睫