论文部分内容阅读
随着互联网的发展、通信网绍P化,网络面临的安全威胁不断加大,网络管控的难度也随之加大。
近几年,信息化的步伐在经济发展中越走越快。随着我国3G网络的搭建、三网融合的启动以及物联网等新技术应用的不断涌现,通信网络和信息安全问题也日益凸显。病毒,木马,黑客等安全隐患肆虐,正在严重威胁着我们的网络生活和工作,信息安全管理也因此迎来了新的挑战。
网络安全威胁升级
随着社会的发展,人们对于手机和互联网的依赖越来越大,工业和信息化部通信保障局网络安全处处长闰宏强特别指出:“通信发展渗透越来越强,社会和经济越来越离不开通信网络,因此当前通信网络安全的战略地位越来越重要,已经成为国家的关键基础设施。”
与此同时,随着互联网的发展、通信网络IP化,网络面临的安全威胁不断加大,网络管控的难度也随之加大。闰宏强表示,由于越来越开放互联,所以这种网络承载对于用户的掌控权不再是封闭的。因此他强调,网络管控难度加大,不仅仅是个人的安全问题,也会涉及企业利益和国家利益等。各方的网络间谍会对国家网络安全造成很大威胁。
网络安全问题基本可以分为隐性安全问题和显性安全问题。隐性安全事件主要体现为安全漏洞,它已经成为泄密、黑客安全事件的原动力,由此产生的地下产业链也在逐渐形成。2009年,中国地下黑产业链已经达到几十亿元人民币的规模。在美国,目前黑客给美国带来至少100亿美元的损失。中国电信北京研究院冯晓东表示,以拒绝服务攻击为代表的显性安全比例非常低,不超过10%,而隐性安全问题已经超过了85%,
加强网络安全防护
在通信网络层面,应对传统安全威胁有一套成熟的体制,规程和标准,但安全防御体系才刚刚起步面临着多元化的安全威胁。闫宏强指出,我国信息技术产品在完全可控的情况下,如 CPU,操作系统,数据库、服务器等很多都依赖国外厂商,所以一县遭遇软件炸弹,瞬间将会瘫痪。
所以他表示,目前应对网络安全问题主要从两个层面出发:一是网络安全防护,通过落实防护的标准、加强防护策略和监管以提高网络的安全水平;二是网络安全应急,主要针对信息风暴等突发事件。
在网络防护方面,工业和信息化部近期也出台了《通信网络安全防护管理办法》(第11号文件)(以下简称《办法》,《办法》中指出通信网络安全防护工作坚持积极防御,综合防范、分级保护的原则,通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全,经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级,三级,四级,五级。三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。据了解,目前国家已经出台了36项不同专业的防护标准,2010年还将增加6个专业的防护标准。
云计算的安全威胁
目前,云计算服务大致分为三个层级:laaS,PaaS和SaaS,不同层级的安全问题各不相同,1aaS面临的主要问题是云计算数据中心的可靠性,物理安全,网络安全,传输安全,系统安全等;就PaaS而言,数据安全、数据与计算可用性,灾备与恢复,针对应用程序的攻击是主要问题;而对于SaaS,用户更关注数据与应用的安全问题。
绿盟科技首席战略官赵粮认为,对云计算所面临的安全威胁进行防御可以从七个方面加以考虑:第一,云计算上的不同形式的拒绝服务或恶意使用,这需要在系统层面,应用层面和网络层面等建立起完善的抗拒服务的能力;第二,云计算是外包的形式,是多方交织在一起的计算形式,所以需要企业之间经过合同团队,律师团队的共同工作,编写出更仔细、更容易度量和更容易考核的文本;第三,云是基于Web的计算形式,如何保证Web的主流应用、主流系统、主流平台的漏洞得到及时地公告,修复及与用户保持好流程的畅通,将是云服务所面临的又一新的挑战;第四,云计算时代如何保证数据安全;第五,如何优化电子证据和审计系统,以保证数据是完全不同的审计主体存放,这将对安全审计,云的合同及采购等构成新的挑战:第六,继续加强云计算应用生命周期的安全投入:第七,加强供应商的安全管理,云时代,安全管理不仅仅局限于人机之间,人人之间,而更多的是机对机的应用,因此如何保证供应商的云开发过程的安全将显得尤为重要。国内外安全运营发展趋势
网络IP化,终端智能化、业务运营全业务化及安全事件趋利化,是当前我国网络安全所面临的几个方面的问题。随着网络IP化,互联网的安全风险正在向传统通信网络渗透,病毒、黑客等的入侵已经出现在通信基础网络中。终端智能化不仅让手机上网逐渐成为一种时尚,也使得手机病毒应运而生。面对全业务运营时代的到来,网间防御力度将会减弱。同时,由于病毒入侵等恶意事件的发生几乎都与利益相关,也就形成了安全事件趋利化的表现。
国内运营商通过近几年的安全建设,已经从分散的,静态的安全防护产品过渡到局部或者全面的安全事件管理上。北京天融信网络安全技术有限公司高级安全咨询顾问沈余锋认为,运营商的下一步关注重点将是如何部署如何以客户为中心的端到端安全防护,或者从静态的网络设备防护上提升到以业务目标为核心的动态防护上。在运营商完成自身安全建设之后,还要考虑如何更好地为客户提供安全增值服务。在运营服务方面,一些lDC服务商已经做了一些工作,数据显示,2008年全国IDC安全收入只占2%,而2009年已经提升到了5%。
国外运营商是通过各种合作的形式加强自身的网络安全防护。比如,英国电信通过收购安全厂商或者与安全厂商进行合作来提供其安全服务,德国电信等欧洲的一些电信公司及印度的电信公司也都在通过与安全厂商的强强联合来提供多元化的安全服务,如流量监控分析,安全运营维护等。沈余锋表示,接下来应该是安全产品的大规模发展阶段,运营商可以结合自身的业务特点及资源优势发挥更大的作用。
近几年,信息化的步伐在经济发展中越走越快。随着我国3G网络的搭建、三网融合的启动以及物联网等新技术应用的不断涌现,通信网络和信息安全问题也日益凸显。病毒,木马,黑客等安全隐患肆虐,正在严重威胁着我们的网络生活和工作,信息安全管理也因此迎来了新的挑战。
网络安全威胁升级
随着社会的发展,人们对于手机和互联网的依赖越来越大,工业和信息化部通信保障局网络安全处处长闰宏强特别指出:“通信发展渗透越来越强,社会和经济越来越离不开通信网络,因此当前通信网络安全的战略地位越来越重要,已经成为国家的关键基础设施。”
与此同时,随着互联网的发展、通信网络IP化,网络面临的安全威胁不断加大,网络管控的难度也随之加大。闰宏强表示,由于越来越开放互联,所以这种网络承载对于用户的掌控权不再是封闭的。因此他强调,网络管控难度加大,不仅仅是个人的安全问题,也会涉及企业利益和国家利益等。各方的网络间谍会对国家网络安全造成很大威胁。
网络安全问题基本可以分为隐性安全问题和显性安全问题。隐性安全事件主要体现为安全漏洞,它已经成为泄密、黑客安全事件的原动力,由此产生的地下产业链也在逐渐形成。2009年,中国地下黑产业链已经达到几十亿元人民币的规模。在美国,目前黑客给美国带来至少100亿美元的损失。中国电信北京研究院冯晓东表示,以拒绝服务攻击为代表的显性安全比例非常低,不超过10%,而隐性安全问题已经超过了85%,
加强网络安全防护
在通信网络层面,应对传统安全威胁有一套成熟的体制,规程和标准,但安全防御体系才刚刚起步面临着多元化的安全威胁。闫宏强指出,我国信息技术产品在完全可控的情况下,如 CPU,操作系统,数据库、服务器等很多都依赖国外厂商,所以一县遭遇软件炸弹,瞬间将会瘫痪。
所以他表示,目前应对网络安全问题主要从两个层面出发:一是网络安全防护,通过落实防护的标准、加强防护策略和监管以提高网络的安全水平;二是网络安全应急,主要针对信息风暴等突发事件。
在网络防护方面,工业和信息化部近期也出台了《通信网络安全防护管理办法》(第11号文件)(以下简称《办法》,《办法》中指出通信网络安全防护工作坚持积极防御,综合防范、分级保护的原则,通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全,经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级,三级,四级,五级。三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。据了解,目前国家已经出台了36项不同专业的防护标准,2010年还将增加6个专业的防护标准。
云计算的安全威胁
目前,云计算服务大致分为三个层级:laaS,PaaS和SaaS,不同层级的安全问题各不相同,1aaS面临的主要问题是云计算数据中心的可靠性,物理安全,网络安全,传输安全,系统安全等;就PaaS而言,数据安全、数据与计算可用性,灾备与恢复,针对应用程序的攻击是主要问题;而对于SaaS,用户更关注数据与应用的安全问题。
绿盟科技首席战略官赵粮认为,对云计算所面临的安全威胁进行防御可以从七个方面加以考虑:第一,云计算上的不同形式的拒绝服务或恶意使用,这需要在系统层面,应用层面和网络层面等建立起完善的抗拒服务的能力;第二,云计算是外包的形式,是多方交织在一起的计算形式,所以需要企业之间经过合同团队,律师团队的共同工作,编写出更仔细、更容易度量和更容易考核的文本;第三,云是基于Web的计算形式,如何保证Web的主流应用、主流系统、主流平台的漏洞得到及时地公告,修复及与用户保持好流程的畅通,将是云服务所面临的又一新的挑战;第四,云计算时代如何保证数据安全;第五,如何优化电子证据和审计系统,以保证数据是完全不同的审计主体存放,这将对安全审计,云的合同及采购等构成新的挑战:第六,继续加强云计算应用生命周期的安全投入:第七,加强供应商的安全管理,云时代,安全管理不仅仅局限于人机之间,人人之间,而更多的是机对机的应用,因此如何保证供应商的云开发过程的安全将显得尤为重要。国内外安全运营发展趋势
网络IP化,终端智能化、业务运营全业务化及安全事件趋利化,是当前我国网络安全所面临的几个方面的问题。随着网络IP化,互联网的安全风险正在向传统通信网络渗透,病毒、黑客等的入侵已经出现在通信基础网络中。终端智能化不仅让手机上网逐渐成为一种时尚,也使得手机病毒应运而生。面对全业务运营时代的到来,网间防御力度将会减弱。同时,由于病毒入侵等恶意事件的发生几乎都与利益相关,也就形成了安全事件趋利化的表现。
国内运营商通过近几年的安全建设,已经从分散的,静态的安全防护产品过渡到局部或者全面的安全事件管理上。北京天融信网络安全技术有限公司高级安全咨询顾问沈余锋认为,运营商的下一步关注重点将是如何部署如何以客户为中心的端到端安全防护,或者从静态的网络设备防护上提升到以业务目标为核心的动态防护上。在运营商完成自身安全建设之后,还要考虑如何更好地为客户提供安全增值服务。在运营服务方面,一些lDC服务商已经做了一些工作,数据显示,2008年全国IDC安全收入只占2%,而2009年已经提升到了5%。
国外运营商是通过各种合作的形式加强自身的网络安全防护。比如,英国电信通过收购安全厂商或者与安全厂商进行合作来提供其安全服务,德国电信等欧洲的一些电信公司及印度的电信公司也都在通过与安全厂商的强强联合来提供多元化的安全服务,如流量监控分析,安全运营维护等。沈余锋表示,接下来应该是安全产品的大规模发展阶段,运营商可以结合自身的业务特点及资源优势发挥更大的作用。