面对信息安全大挑战,建透明机制比各建篱笆更务实可行

发表于 讨论求助 2018-06-19 04:54:20

在这个万物互联网时代,数据信息资产的重要性越来越高。信息安全关系到每个人的隐私,更关系到国家的安全、经济的发展。在美国大选期间,黑客甚至成为了左右大选结果的一个重要变量。虽然各国对信息安全都有自己的利益考量,但事实证明,想依靠筑篱笆来彻底解决信息安全是一条难以走通的路。如何汇聚众智提升信息安全防御能力?

近日,“云惠中国—合力共建可信云计算”主题研讨会在北京召开,分享了微软技术透明中心、新视界、微软技术中心的建设成果,让我们看到了用透明机制来共筑信息安全长城的希望。


纯国产也不能保证绝对安全,重要的是体制上的透明

美国大选的例子说明,即使美国的信息技术在全球范围都处于领先地位,也依然无法抵御黑客入侵。斯诺登事件也说明,堡垒往往是从内部被攻破的。有相关调研数据指出,在已经发生的信息泄露事件中,超过90%都是人为操作失误所造成的,所以不管是对外还是对内,建立一套透明、可控的信息安全防御体系,远比封闭起来建堡垒的方式有效。

随着万物互联时代的来临,信息安全依靠单一国家的能力已经难以对抗,更需要各国家、地区的政府和相关组织紧密合作,比如打击跨国诈骗和跨境黑客,就必须依靠联合执法。中国的互联网和信息化发展,一直走在全球的前列,所面临的信息安全问题也同样突出。从国家、企业和个人三个层面来看信息安全,无疑是国家层面最为重要,国家的核心信息不得被窃取或者篡改,美国大选的黑客事件就是前车之鉴。

从宏观角度来看,封闭的政策,对信息产业的发展和安全防护不是好事,因为技术发展一日千里,采取排他而非合作进步的态度,只会让隐患逐步积累而暂时不为人知,万一爆发,带来的后果可能是灾难性的。

无论从哪个层面看,追求信息安全,重要的是建立可信、可管、可控的机制,在自主掌握核心技术保障和设备制造能力的同时,建立统一透明的标准或机制,让企业展开技术合作/竞争,这样才能最大程度促进信息技术的进步,保障信息安全。

 

可信计算、透明计算应该如何补强?

追求信息安全,显然不能一蹴而就。纠枉过正、过于封闭,则不利于技术的进步。如何在探索并掌握核心技术的同时,向世界先进技术公司取长补短,才能逐步寻找到最优的方式。

在这个阶段,走在信息技术前沿的科技公司都应采取积极的姿态。微软就是一个典型的例子,其核心产品Windows,因为安全机制不够透明曾让政府采购有所顾虑,但微软很快就在了解政府信息安全的合理诉求下,开始探索“透明计算”等信息安全之道。

比如说,早在2002年,微软就启动了“可信任计算”计划,2003年推出了“政府安全计划”,并在2013年对该计划进行加强——允许签约方访问产品和服务的源代码,以及分享漏洞和威胁的信息。这就意味着,产品使用者可以从产品的服务的源头进行透明化监控,并能和微软一起,对潜在的漏洞和威胁进行防范。

除了透明化措施外,微软每年投入10亿美元,用于网络平台的安全技术和实践,包括Windows、Azure和Office 365等主要平台。在重要产品比如Windows 10 上,微软也在不断地进行技术更新,加入的Windows Hello安全验证机制、采用反恶意软件扫描接口(AMSI)工具的Windows Defender等,都可以有效保护个人和企业的信息安全。此外,在云安全上,微软在2015年收购了以色列云访问安全代理公司Adallom,基于该公司技术的云应用安全,可以让SaaS应用和本地网络中享有同等级别的可见性和可控性。

一方面,针对自身的产品和服务进行信息安全的全面技术加强;另一方面,用开放合作的态度,来满足政府、企业或者用户的需求。这无疑是有效的信息安全补强手段。

 

信息安全是全人类的挑战 需要全球同舟共济

我们即将迎来物物互联、全面智能化的时代,每个人、每个企业都在时刻依赖云端的服务,产生海量的数据信息。这些信息并非孤立的存在,而是你中有我,我中有你,互相依赖。单一的个体,对信息安全来说力量显得不足。

但在新的时代下,信息安全已刻不容缓。企业的利益、政府的安全诉求、民众的利益保护之间,需要找到平衡点,而且这个平衡点要有利于行业发展、技术进步。

微软在产品和服务上建设信息安全生态的努力,是目前可以看到的优秀范本之一。微软所采取的开放态度,以生态化的视角来全面构建信息安全体系。大至公共安全,企业数据安全,小到每一台PC的信息保护,微软均进行了积极的探索和尝试,并正在逐步收获成果。

无论哪个国家的政府,我认为对网络安全审查的需求都是十分合理的,是保护国家安全的必要手段。只有建立可信、可管、可控的机制,才能让数据流动相对透明和安全。微软取得的成果,代表着这种趋势正在成为主流,当人类面临着信息安全这个空前挑战时,各种智慧被一个高效、透明的机制导引,能够合力解决问题,才可能有获胜的机会。

 


发表