位置: 中国计算机用户协会 >> 协会 >> 培训研讨 >> 信息安全培训项目 >> 正文 提醒:"中国计算机用户协会应用研究委员会"为非法机构,与中国计算机用户协会无任何  []
  信息安全防范迫在眉睫  
信息安全防范迫在眉睫
——记2014年度上海市CIO沙龙活动“网络信息安全技术论坛”
[ 作者:ccua     来源:中国计算机用户协会     点击数:3264     更新时间:2014-12-29     文章录入:ccua


上海市计算机用户协会理事长王寿根主持会议

  针对信息网络安全方面的信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等现实状况,为进一步提高企业的信息安全防范措施和信息安全防范技术,由上海市优秀CIO评选办公室、上海市计算机用户协会主办的“网络信息安全技术论坛——2014年度上海市CIO沙龙活动”11月7日在上海市教委3楼会议室举办。

  上海市国资委科技处处长李小山表示,原来在基层工作关心的只有“鼻尖下”一块,国资委下属占有上海四分之一的企业总量,央企和大型国企的信息化和信息安全问题责任重大。借此机会和业界共同探讨,主要还是向专家学习。李小山同时欢迎业界朋友和国资委及国资委所属单位的信息中心多交流,共探讨。
  上海市经信委信息中心教授级高工张舒敏受该中心主任朱维嘉委托,首先介绍了今年上半年上海信息基础设施建设方面状况,全市光纤到户覆盖总量约为820万户,光纤接入使用用户超过390万户;完成550万户有线电视NGB(广播电视网)改造,成为国内首个下一代广播电视网建设示范城市。WLAN覆盖场所总量已达2.2万处,完成全部456处场所i-Shanghai建设并运行;3G网络实现全市域覆盖,第四代移动通信网络(4G)建设年内将基本实现中心城区和郊县城镇化地区的网络覆盖。
  上海已初步建立了实有人口库、法人库、空间地理基础信息库以及政府数据资源目录库(3+1模式)。并拥有世界最大的医联数据共享系统,超过3200万手机用户,覆盖千万级城市的社区管理网格化平台,亚洲第二的证券交易市场等。张舒敏表示,完好的基础设施建设和海量的数据资源,随着云计算、大数据、移动互联网等新技术的不断推广应用国民经济和社会各领域信息化程度的不断提升,网络日趋开放、共享,随之而来的网络安全问题也渗透到各个领域,在国家安全层面,网络空间成为继陆、海、空、天之后的第五维作战空间。
  张舒敏列举了在2013年中有关失密、故障等引起的各类事件给信息安全敲响的警钟。6月斯诺顿事件曝光,美国“棱镜”灼伤了全球公众隐私;7月,长三角铁路售票系统大面积瘫痪,经查系上海铁路局售票服务器故障;8月,我国顶级域名“.cn”域名和“.com.cn”域名网站出现访问缓慢甚至中断,据工信部数据显示,攻击时峰值流量是平时的1000倍;9月沪上首例“伪基站”发百万条短信致大量用户手机脱网案告破;诸多机关、企业使用和依赖国外的电子产品、信息技术,都有被植入后门、窃取情报的可能;12月,黑客以《2014中国经济形势解析高层报告》为标题向政府工作人员发送邮件,利用金山WPS软件漏洞进行木马攻击,随时窃取电脑和网络中的机密数据;有保险工作人员利用职务便利,先后出售20余万条客户信息被诈骗团伙利用,被骗金额达300余万元;搜狗浏览器泄漏众多网站账号密码信息;如家等2000万个人开房信息被第三方存储并因传输过程中加密处理漏洞导致泄露……张舒敏从国家战略、城市运行、企业管理、个人信息四个层面来介绍“信息资源应用和信息安全”给与会者以震撼。
  上海众人科技副总裁、首席技术官潘洪波在“移动安全支付”报告中介绍,2013年中国互联网支付市场总体交易规模突破59666亿元,同比增长56.9%;移动支付2013年总体交易规模超过13010亿元,同比增长高达8倍;预计未来3至5年内,网络支付交易规模将达到10万亿以上。截止2014年6月中国网民规模已达6.32亿,而手机网民的规模更是达到了5.27亿,较2013年底增加2699万人,上网设备中,手机使用率达83.4%,首次超越传统PC整体80.9%的使用率。而与此同时,恶意移动app数量也在暴增,2014年第一季度移动恶意app的数量已经超过200万,预计年底将突破300万,与2012年35万的恶意app数量相比增长超过了8倍。2个8倍的高增长,使得解决移动支付的安全问题迫在眉睫。
  面临移动应用的10大安全风险:二次打包和反编译;不安全的数据存储;传输层保护不足;意外的数据泄露;授权认证较弱;破解密码算法;客户端注入;通过不可信输入的安全决策;session会话处理不当;缺乏二进制文件保护。潘洪波认为,“无孔不入的病毒木马,山寨应用难识别,钓鱼短信不慎上钩,二维码支付暗藏风险。”用户下载后恶意程序将自动运行,获取用户的账号、密码等关键信息,并且自动识别和屏蔽用户的支付短信提醒,神不知鬼不觉地侵犯客户利益。”潘洪波还列举了工信部2014年三季度抽查不良应用软件名单,其中15款涉及吸费和未经许可收集用户信息和外发短信,其余52款均为强行捆绑推广其他无关应用软件以及十大易受病毒感染的应用排名。
  对于选择何种安全措施保障移动支付安全这一问题,91%的用户选择第三方手机安全软件,表明了安全软件是门槛较低、最受欢迎的防护措施。手机安全软件功能也从单纯的安全防护延伸到全面的手机管理,但是很多用户过分关注安全软件的管理,混淆手机安全和支付安全的定义,潘洪波提醒说。
  互联网支付安全的解决方案已形成了一个完善的生态体系,除相关安全厂商外,生态链上的银行、商户、用户、第三方支付厂商以及公安机关等环节的参与者已经成为了共同防范和解决的产业联盟。戴洪波还指出,互联网支付安全体系以用户电脑为中心,通过银行和支付厂商自身的风险监控系统、嵌入浏览器的数字证书、安全控件、以及外接移动数字证书设备、动态口令卡、密码器、关联手机的验证码等一些成熟的防护方式来保护互联网支付的安全。
  针对智能手机先天缺陷,指纹识别、掌纹识别、声波识别、键盘识别、笔迹识别;人脸识别等技术在移动支付中得到更多的应用。众人科技的理念和解决方案将是解决支付前的安全保障:平台和应用安全;支付过程中的安全保障:支付数据安全;支付完成后的安全保障:以非技术手段解决交易后用户的损失问题。与其被动性防御外,潘洪波提出当下移动支付安全有效的解决方案有“令牌硬件”,其综合考虑了安全性、易用性和成本方面因素。这就需要建立全产业链统一安全认证管理平台,解决移动支付的安全问题。打通芯片厂商、手机厂商、APP应用市场、银行、监管机构、安全服务机构、运营商,纵横构建一个强大的移动支付安全生态系统。
  华途软件有限公司上海分公司总经理叶泉在“企业信息数据防泄漏安全管理”演讲中,用“进不来”、“拿不走”、“跑不了”、“看不懂”四种状况来概括信息安全问题比较形象生动。但是设置防火墙、禁止移动存储和防水墙、监控系统就此安全了吗?叶泉反问道。重外部防护,轻内部监护和依赖国外技术和产品已经暴露出我国在信息安全方面的短板。
  有资料显示,我国21家银行使用国外存储品牌占到银行使用存储总数的94%,其中日立存储占到1/3。在2012年5月,银监会召开特别会议披露了日立及其代理商,通过利用预留后门、以及设备巡检和磁盘更换的各种机会,想方设法违规获取银行敏感数据信息的相关信息。加之黑客的侵入,计算机病毒的袭扰,员工跳槽带走的资料,商业间谍的收买,“棱镜门”事件的引发,用“进来方便、拿走容易、跑掉轻松”的现象来形容我们信息安全现状并不为过。
  在信息安全危机四伏的当下,给文件加密已经在政府部门、企业信息资源的安全防范上已经显得迫在眉睫。唯此,入侵者也好,内贼也罢,你拿到的和看见的就是“天书”,这就是叶泉所说的“看不懂”的安全状态。在日常工作中,对于信息资产管理就是要防御、控制、审计多管齐下。事先防御可以是基于对电子文档的透明加密防护、基于虚拟化技术的半透明加密使用;事中控制可以是实现电子文档的自主授权管理、实现电子文档的密级管理,或是精细化权限控制、内外数据交互管理;事后审计可以是全方位日志审计(解密、外发等)、或是完善的报表统计系统。叶泉同时强调,加密也分有强制、临时、透明几种情况,但还是基于不改变原有工作习惯的基础上,否则信息流程和审批过程就不流畅,但是在密级授权和外发过程中,还需要在线认证、短信认证、硬件认证的“事中控制”,更需要实现不同业务部门审计人员只能审计指定部门的日志记录,以防止审计范围过大而导致公司内部二次泄密的可能。在华途数据防泄漏类、数据资产集中管控、安全网关类、安全增强类4大领域的成功案例里,中石油、中石化、上海船舶设计院,浙江吉利控股,中国北车,中国南车,格力集团,西门子等著名企业赫然在列。
  由原民防工程改建而成,有70余米岩石覆盖,用混凝土结构再次加固,耐地震烈度为7度的冲击波,具备常规武器直接命中抗力3级,核武器抗力3级,抗电磁脉冲武器攻击,抗爆,抗化学武器的能力。上海俊悦科技集团金盾云计算有限公司首席架构师叶丹介绍起他们经营的“上海佘山容灾云数据中心”如数家珍,那里备有500个支持工业标准的47U机柜,每机柜5kW配电和可容纳2U机架式服务器16台,并配有冷却水散热,防火与烟雾警报。动力环境监控系统针对数据中心机房的电力系统、UPS设备、精密空调设备、泵循环系统、门禁,湿度,温度,烟感,温感,漏水等系统设备和系统状态进行全面监控和故障告警。
  除了物理条件的得天独厚,新一代云数据中心的亮点在于“虚拟化、智能、绿色、低成本。”叶丹如是说,该中心能够消除异构化系统之间障碍,快速动态部署资源和服务;云计算平台对资源的独立,兼容各类应用平台,计算,存储,网络资源的智能化统一管理,面向业务的资源的定制化部署;先进、高效、智能的系统散热方案和智能化的环境控制和能效管理系统与绿色科技结合,降低能耗;管理维度,节省维护成本,支持异构资源兼容,实现业务的平滑升级。
  这里不用保安,有预备役部队24小时轮守,外部安全有保障;内部安全保障是虚拟化的存储平台的关键在于能够统一不同操作系统和异构存储资源,部署虚拟化平台VCloud,大容量数据扩容和分区管理,部署UDM实现数据统一管理,数据自动备份和恢复。上海俊悦科技集团有限公司董事长唐荣喜进一步补充,新一代云存储服务就是资源化、共享化、服务化的共享灾备,不留任何死角。
  活动互动环节时,江南造船(集团)有限责任公司副总工程师郑冬标,上海医联信息中心负责人宫克奇,上海大众汽车、上海中医大学、中粮集团上海信息中心负责人对当前网络环境、信息安全、技术手段等纷纷各抒己见。活动由上海市计算机用户协会王寿根主持,本市约30多家企事业单位信息中心负责人参会。


网络安全技术沙龙活动中与会CIO们展开热烈讨论

网络安全技术沙龙活动会场

上海市计算机用户协会资深媒体人:张一鸣

(上海计算机用户协会  供稿)

 

 

 

 

 

  • 上一篇文章: 上海市信息资源应用情况和信息安全事件分析

  • 下一篇文章: 没有了
  •   告诉好友   打印此文  收藏此页  关闭窗口  返回顶部
     
     设为首页 | 加入收藏 | 关于本站 | 版权申明 | 联系站长 | 友情链接 | 用户社区 | 
    版权所有:中国计算机用户协会保留所有权利
    Copyright© 2006-2015 www.ccua.org.cn .All Rights Reserved
    电话:010-68207291 传真:010-68207291