没有硝烟的战争
——数据保卫战

文｜本刊记者 宁冉

360Web平台部技术总监陈斌曾担忧数据之大而带来的安全问题。大数据时代面临着一些问题，首先是这些数据放在哪里？对于个人用户和企业用户都有不同的解决方案，这些数据放在这里会有什么问题和风险？文件损坏、丢失、存取不方便等让人崩溃的情况，这些问题个人和企业都会遇到。

迈克菲高级产品营销经理David Bull曾经做过一个安全方面的调查，最后得出结论：无论安全技术变得多么先进，用户始终是企业安全计划中最薄弱的一环。 但是，不能因此就减少对信息安全技术的重视，如果用户是整个安全计划中最薄弱的环节，那么整个安全领域则更要注重信息安全技术的重要性。

SOC，软硬件结合

东软安全运营业务部高级咨询师侯小东表示，“部署SOC对于企业用户来说，在保障安全设备正常运行、提升技术人员事件处置效率、改善事件处置流程和知识库积累等方面都会有重要的价值，而当前最大的价值是有效提升了技术人员事件处置的效率。”

那么何为SOC？SOC的定义多种多样，由于其内涵丰富、应用范围广，很难给出准确定义。一般说来，SOC称为系统级芯片，也有称片上系统，意指它是一个产品，是一个有专用目标的集成电路，其中包含完整系统并有嵌入软件的全部内容。同时它又是一种技术，用以实现从确定系统功能开始，到软/硬件划分，并完成设计的整个过程。 SOC具备安全对象管理、脆弱性管理、风险管理、事件管理、网络管理、安全预警与告警管理、安全策略管理、工单管理、知识库管路、专家辅助决策管理、报表管理、分级管理等功能。

SOC的出现可以说是在一定程度上帮助维护人员以自动化的手段完成安全管理的相关工作，尤其SOC是等保三级业务系统所要求的符合项，因此等级保护等相关的标准指南将更进一步提升企业对SOC的需求量。优秀的SOC产品具备这些特性，首先要具有广泛的数据收集功能、智能的事件分析功能，以及丰富的统计报表输出功能等等，同时还需要把技术肯定的结果采用一种形象化的方式、以多维度的方式进行展示和输出，为管理决策提供一定的数据支撑。

有人认为：云技术的出现不是IT产业的特例，SOC同样也不是信息安全产业的特例，它们都是整个IT业自然发展和演化的产物。SOC和云计算技术的充分融合，将成为未来信息安全产业发展的必然结果。

安全性推动云存储创新

随着智能设备的逐渐增多，我们每天产生的数据越来越多，从2010年开始进入ZB时代，估计到2020年会达到35ZB。现在每两天全球生产的数据就相当于从人类有史以来到2003年产生的所有数据之和，这是非常非常恐怖的数字。这种大数据时代就标志着我们会进入一个真正的数据爆发的时代。这个时代有两个特点，一是文件多，二是文件大。

360Web平台部技术总监陈斌曾担忧数据之大而带来的安全问题。大数据时代面临一些问题，首先是这些数据放在哪里？对于个人用户和企业用户有不同的解决方案，这些数据放在这里会有什么问题和风险？文件损坏、丢失、存取不方便等让人崩溃的情况，这些问题个人和企业都会遇到。

解决这些问题，通常需要云存储，即把文件数据放在云端，接入各种各样的设备，使用者使用数据变得更方便，而且更节省成本，不仅采购便宜，而且管理便宜。自从两年前云存储、云文件出现之后，互联网巨鳄都跨入了这个领域，高手“云”集，变成了一个多云的时代。但是，云存储的背后却带来了极大的安全隐患。首先是文件的可用性，防止这些文件在任何情况下丢失、保证文件的完整性。其次是文件的机密性，防止文件在任何非授权情况下泄露。最后是文件传播安全，因为一旦传播开来如果有木马、病毒，会导致用户受到损失。

在经历了即将过去一年的“棱镜门”事件和其他类似斯诺登事件被披露后，消费者和企业将越来越在意他们上传到外部潜在不安全服务器的数据和信息了。鉴于此，许多公司将采取措施加强其安全性，更好地保护敏感信息。

客户将越来越倾向于选择使用那些在地理位置上邻近的，最重要的是将数据信息保存在自己所属国家的云服务提供商。欧洲用户对于这一点的关注度将明显高于其他地区。这种“数据民族主义”将提高外国政府对于数据保护的感知。与此同时，这将会给那些较小的，本地云服务提供商带来竞争优势。这些较小的供应商能够投入显著的时间和精力，为客户提供个性化、本地化服务，更好地适合个别客户的需求。

据思科（Cisco）预计，到2020年，网络驱动设备的数量将增长到500亿，如果缺少相应的安全保障，在不远的将来，这些设备可能会成为网络攻击者的主要目标。究竟是什么原因引起网络驱动设备的激增？简单来说，是由于互联网上将有更多的“空间”，而且各种家用或移动设备的生产成本变得越来越低廉。例如，在当前地址系统——互联网协议版本4（IPv4）下，可用地址数量已经基本消耗殆尽，虽然IPv6目前处在逐步采用的阶段，但IPv6可以为人们提供数以十亿计的IP地址。而其他相关标准也在不断发展中，例如在日益拥挤的环境中，新的蓝牙技术规范将使人们更容易搜索到设备并进行交流，而且它也将使具有蓝牙功能的设备更加容易地联接到采用IPv6的互联网上。

移动安全技术不容忽视

目前，移动信息化市场处于井喷前的关键时期。根据IDC（互联网数据中心）最新发布的报告《中国企业级移动应用市场2013-2017年预测与分析》显示，2013年市场规模为9.3亿美元，预计2017年将达到41.5亿美元。而在企业移动设备终端选择方面，智能手机占据了重要的角色。市场研究机构Gartner日前发布的《2014年电子设备预测报告》显示，2014年手机出货量将达19亿部，Android平台仍将在2014年扮演重要角色，预计Android手机将占11亿部。

BYOD（Bring Your Own Device）指携带自己的设备办公，这些设备包括个人电脑、手机、平板等（而更多的情况指手机或平板这样的移动智能终端设备）。在机场、酒店、咖啡厅等，登录公司邮箱、在线办公系统，不受时间、地点、设备、人员、网络环境的限制，BYOD向人们展现了一个美好的未来办公场景。企业广泛部署的BYOD政策一直专注于手机安全，但其实所有移动设备都会带来安全挑战。攻击者会不断寻找各种方法来访问敏感数据，他们把移动设备视为企业防御的薄弱环节。CIO们需要确定支持哪些设备，并不是所有的设备都能满足企业的安全要求。此外，IT管理者需要身体力行地去检查每一个设备，并确保其内部的应用没有被破解或植入恶意代码。管理者必须有足够的前瞻性，企业IT可能必须从根本上改变员工现有的工作习惯，为所有想要使用他们个人化设备的员工编写清楚简明的政策。使任何参与BYOD的员工签署使用权限。如制定个人识别号码(pin)命令，实施静态数据的加密技术。任何在设备上下载和保存数据的应用程序应当保护这些数据。

技术在不断发展，因此BYOD的政策制定与实践经验也将会随之而发生变化。每当管理者认为所有的漏洞都做好了防护时，最终用户都会利用新开发出来的应用无意中“破坏”这种平衡。企业IT部门必须不断被动地去寻找能够适应这些应用的方法。但是及早规划好企业的BYOD发展目标和设立相关的方针与政策，企业至少可以奠定一些BYOD发展基础，同时保持满足安全需求的IT灵活性，以便跟上技术变化趋势。

信息安全建设的管理

信息是信息安全的第一要素，如果信息本身可控、可知、可追溯，那么信息泄密、窃密便成了无源之水，无本之木。为了对信息本身进行管理，应建立一个密级电子文件管理系统，从源头抓起，一开始就阻止密级电子文件不必要的扩散和传播。建设行业的企业大多建立了各个企业信息化系统，这些信息系统正逐渐改造传统行业，越来越多的中国企业开始具有核心的知识产权与不可外泄的商业秘密，因而众多的企业也开始重视信息安全体系的建设。

以智慧城市为例，发展智慧城市，是“十二五”提高城镇化质量、推进城市生产、生活和管理方式创新的重要举措。智慧城市建设是众多的城市管理部门、信息与通信技术服务提供商、业务应用开发与运营单位以及全体市民参与的城市信息化创新活动，智慧城市建设又存在诸多的安全威胁与脆弱性，因此国家应该加强智慧城市建设的信息安全管理。根据现行信息系统等级保护政策，应该先对新建的信息系统进行等级保护定级，然后向相应的管理部门进行备案，智慧城市信息系统建设单位需要根据新建信息系统的等级进行信息系统安全保护整体解决方案设计和实现，并要求在智慧城市信息系统上线之前进行等级保护的测评和风险评估等举措，保障信息安全。

企业的安全工作应服从组织信息化建设总体战略，迭代式实现系统安全体系的完善。没有绝对的安全，因此也不可能无限度的投资安全，战略优先，合理保护，掌握风险平衡至关重要。在进行安全风险分析时，宏观微观更紧密的结合，将风险的定量分析与定性分析相结合是未来发展趋势。

企业内部的海量数据处理，区分日志与安全事件，进行分层处理是大势所趋。安全事件分析过程中我们会发现，很多系统产生的日志，大多数并非安全事件，如果对这些信息不加区分的进行存储分析，势必大大降低我们安全管理建设的投资回报率。海量数据处理的有效方式，是结合传统日志分析与安全事件分析，分层存储、分层分析，同时又能方便回溯；自动化实时分析与事后人工分析相结合的处理方式。