以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。深圳昂楷科技有限公司创始人刘永波先生分享一下数据安全时代的挑战:安全、中国。
▲深圳昂楷科技有限公司创始人刘永波演讲
刘永波谈到,我一直思考信息安全行业发展趋势是什么?什么时候才能迎来咱们信息安全人自己的最高峰的时候,真正属于信息安全的时代?我今天主要分享的想法关于信息安全时代的趋势。我认为数据安全的时代已经来临,这个时代是随着云计算、互联网、物联网的应用随之而来。数据大家都知道信息安全的原点,数据是信息安全的原动力,也是为什么这么多人孜孜事业,数字已经是我们的资产,生命的延伸。
虚拟世界已经变得现实,越来越影响人们的生活,在云计算时代的来临,现在的数据成量子级的级别增长,这里面有很多需要保护的数据,这个量级数据的增长,会让我们的信息安全真正变得让所有人无视信息安全的人员开始重视起来。我们最大困惑是什么?我们的客户,我们安全从业人员谈的津津乐道,真正的决策人会认为信息安全看起来好像云里雾里,好像怎么做都不安全,我用最少的成本去做了,这是最大的困惑。
进入到云世界以后,我们的网络结构发生了深刻的变革,不再像以前,传统的企业的内网,它的里面可以做很多自己的事情。当一个企业甚至政府,甚至一个组织,他的部门全部数据放在云端的时候,这个时候安全问题已经不再是关起门来讨论的问题了,这个时候安全问题不再是附加词了。所以云的应用会成为我们信息安全产业的催化剂。
刘永波分享了另外几个事情:网络安全设备禁运的问题,不仅仅在信息安全发生的问题,在其他领域也发生,但是在网络信息安全领域越来越明显,我们遇到一些国外先进设备,我们一些客户非常需要,但是我们现在发现无法从美国购买,甚至绕道澳大利亚买,半年前可以,但是现在又不可以了。安全问题是有国际化的。
技术论坛席位也出现了壁垒,比如CIS—Security,它是深刻影响欧美运营商电子运营商的联盟,我知道国内有一家知名公司曾经在这里面有席位的,现在已经被迫退出来了。
一个著名企业负责人在中南海做得汇报,这场汇报恰恰发生在电信领域,那个时候中国的电信领域是七国八制,不知道大家有多少从事过电视领域,那个时候西门子交换机、贝尔等等非常多。我1998年从事电信领域,那个时候刚刚从事国产交换机,感觉到自己在国外的大品牌面前我们抬不起头。但是这个知名企业的老总在中南海做了汇报,这场汇报跟昨天丁丽萍教授谈到问题非常相关的,就是“隐蔽信道”的问题,遥远的彼岸拨一串电话号码,很多语音信息可以传达到远洋彼岸。这个问题很早的时候国家领导也知道,当然国外领导也不傻也知道,所以国界化问题更加的明显。我认为国界化是双刃剑,我们用的好对我们有利,得不好就会伤害我们,我们要做的是扬长避短。
数据安全时代,我这里可以跟大家畅想一下将来的网络信息安全解决方法会是什么样子?网络的演变在成功交换机,语音这一块,在后来的数据交换网络都发生这样的事情,层级越来越扁平,核心交换越来越智能,越来越复杂,终端变得越来越傻瓜,越来越简单。这个趋势在云计算带来的时代,我相信也会同样发生演变。我们大胆设想一下,将来我们的防火墙都没有了,我们防病毒软件都不需要了。因为我们云计算单就是回归到一个鼠标一个键盘,甚至可以压缩随便抽取的屏幕,再加上通信的网卡。大量的计算和数据,它发生的地方在云这一段,我们现在考虑的很多安全问题不需要我们考虑了。网络架构的改变自然让这些事情已经消亡,就像交换机在数据交换里面发生的,我们曾经有很多互通、远端模块的问题非常难易解决。
在安全的领域也会这么发生,我认为最终会还原到最核心的问题就是数据安全如何保护,这个里面有很多的挑战需要去解决,前面很多嘉宾已经分享过这方面的话题,比如说加密的算法,加密的效率,加密既可以发生在结构化数字里面,也可以发生在非结构化数字里面,特别非结构化数字里面如何防泄密。大家讨论的防泄密的手段是审计,非结构化里面如何用非加密的手段防止泄密。我们单纯看加密是容易解决的,如果和真实的应用结合在一起非常复杂。比如说文档加密,我们除了考虑加密算法的问题,还有一个重要的问题这个文档在广大人们之间互相交互的,和企业ID系统如何结合?以及在加密过程中和各种应用系统如何结合,现在最难解决的问题是加密算法的问题,还有防止文件破损的问题。很多企业上了加密系统之后觉得非常头疼,觉得非常影响效率,特别搞研发的企业用了一些同行加密系统之后,出现了源代码和设计文档的破损,还有一些军工企业,它的损害影响非常大的,损失不可估量的。
我向大家呼吁,大家多投入一些研究的精力到这方面去研究,而不是狭隘的纯安全领域,和应用性的结合有很多用武之地。
前面谈到国际化,我们说这是一个问题,我们利用的好也是好的一方面,我这里提出一个解决办法产品的国际化。怎么讲呢?呼吁我们在国家应用的时候,是本地的企业,本地的自主知识产权来为本土的公司,本土的组织提供数据安全保护。因为这也是接近最核心层的数据了,相信有远见或者有危机意识的负责人都会这么去考虑,一定会用自己能够可控的,可信赖的产品解决自己数据防泄密的问题。这会阻碍技术发展,阻碍技术在全球互相交流,会影响商业会更进一步的发展,我们这里提出技术要国际化、标准化、模块化,我希望最后我们的组织,我们的企业研发的产品能够更加的开放,把自己的技术做成模块化,可以拆卸、分装,可以输送到全球,让当地的企业组合我们的技术应用,形成当地产品,可以有效的避免由于国际化的问题导致技术的不能留住。
现在事实上前面很多嘉宾谈到中国信息安全很多技术和国际上还是有些差距的,我深有同感,在数据库审计防范领域,国际的同行都做的相当的优秀,我们国际的企业与他们比还有一代的差距。如果我们有一个开放的胸襟,可以把技术标准化、模块化,可以促进商业的发展和技术的进步。对于这样的国际企业对他自身的商业也是非常有利的,它的就要不会再局限于由于它是国外的产品,而不能够进入中国的内网。当然要解决隐秘信道的问题。
很重要的推动力是联盟,像OWASP,也非常感谢OWASP为大家提供这样的平台。我们呼吁更多这样的安全组织,这样技术交流的组织,能够提供这样的舞台,让大家来分享公共提高技术的进步,最终解决我们信息安全的问题。前面我谈了这么多困惑,其实我不知道在座大家从事安全有什么感觉?我一直觉得这个行业的人痛并快乐着,技术的演变太快了,我们非常痛苦,当然也可以以此为乐。我们始终看不到清晰的脉络,前面有一位兄弟分析说希望自己不要迷茫,但是事实上,我看到的行业更多人是在迷茫,甚至很多企业高级管理人员非常迷茫,不知道这个行业怎么发展。所以这里我呼吁大家有更多的把自己的科研方向投入到主流的技术中去,投入到商业应用中去,能够开放出来做标准化,做联盟。
