本刊記者

所謂WEB應(yīng)用，通俗地講，就是企

事業(yè)機(jī)構(gòu)在互聯(lián)網(wǎng)上開放的應(yīng)用入口，也是通常意義上人們常說的“網(wǎng)站”，其前端接受用戶在WEB瀏覽器上發(fā)送請求，后端則和企業(yè)后臺的數(shù)據(jù)庫及其他內(nèi)部動態(tài)內(nèi)容通信。由于WEB應(yīng)用的天然開放性，以及各種WEB軟硬件漏洞的不可避免性，使得黑客們將注意力從以往對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對WEB應(yīng)用的攻擊上。

根據(jù)最新調(diào)查，信息安全攻擊有75%都是發(fā)生在WEB應(yīng)用而非網(wǎng)絡(luò)層面上。同時，數(shù)據(jù)也顯示，三分之二的WEB站點(diǎn)都相當(dāng)脆弱。但目前，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，沒有從真正意義上保證WEB應(yīng)用本身的安全。2011年底，國內(nèi)互聯(lián)網(wǎng)業(yè)界爆發(fā)的眾多知名網(wǎng)站“泄密門”系列事件，其實(shí)只是掀開WEB應(yīng)用威脅的冰山一角。今天，WEB應(yīng)用防護(hù)和數(shù)據(jù)安全已經(jīng)成為企事業(yè)機(jī)構(gòu)信息安全綜合體系中的核心與重點(diǎn)。

日前，在工信部信息安全協(xié)調(diào)司、浙江省經(jīng)信委、杭州市經(jīng)信委等單位和機(jī)構(gòu)的指導(dǎo)和支持下，2012（首屆）中國WEB應(yīng)用防護(hù)與數(shù)據(jù)安全高峰論壇在杭州舉行。來自安全界德高望重的專家學(xué)者、從中央到地方的各級相關(guān)信息化管理部門的領(lǐng)導(dǎo)、國內(nèi)各重要行業(yè)機(jī)構(gòu)和單位信息化主管領(lǐng)導(dǎo)以及眾多中國信息安全企業(yè)界老總們，以“技術(shù)創(chuàng)新和行業(yè)應(yīng)用”為主題，通過專家演講、嘉賓互動和WEB攻防實(shí)戰(zhàn)演習(xí)等形式，對WEB應(yīng)用防護(hù)的技術(shù)體系建設(shè)和產(chǎn)品服務(wù)創(chuàng)新，尤其是針對國家重要基礎(chǔ)行業(yè)應(yīng)用的創(chuàng)新；構(gòu)建行業(yè)WEB應(yīng)用防護(hù)安全體系；國際WEB應(yīng)用防護(hù)最新技術(shù)與理念；內(nèi)網(wǎng)數(shù)據(jù)安全的管理架構(gòu)與技術(shù)體系；重要行業(yè)WEB應(yīng)用高安全防護(hù)實(shí)踐等話題進(jìn)行深入探討。

本次大會覆蓋了幾乎所有當(dāng)前信息安全方面的迫切問題，充分交流信息安全產(chǎn)業(yè)發(fā)展趨勢，瞭望信息安全行業(yè)應(yīng)用的態(tài)勢，引導(dǎo)用戶的采購選型，達(dá)到構(gòu)筑業(yè)界最大交流平臺、促進(jìn)產(chǎn)業(yè)發(fā)展、溝通行業(yè)應(yīng)用、推動我國信息安全建設(shè)穩(wěn)步前進(jìn)之目的。

建立網(wǎng)絡(luò)秩序是網(wǎng)絡(luò)信息安全工作的努力方向

當(dāng)前，以互聯(lián)網(wǎng)為基礎(chǔ)的信息空間、信息網(wǎng)絡(luò)已經(jīng)成為政府和民眾交流以及商務(wù)交流、貿(mào)易交流的一個重要平臺，成為我們工作學(xué)習(xí)的重要空間，甚至已經(jīng)成為我們世界經(jīng)濟(jì)重要的一種基礎(chǔ)設(shè)施。因此，互聯(lián)網(wǎng)世界迫切需要建立起應(yīng)有的秩序。

正如浙江省經(jīng)信委胡蓓姿處長在論壇上所言：眾所周知的個人信息安全問題、公共系統(tǒng)的信息安全問題，包括其他工作當(dāng)中遇到的信息安全問題，都與在網(wǎng)絡(luò)空間中建立秩序緊密相關(guān)。我們既要維護(hù)網(wǎng)絡(luò)空間的活力、網(wǎng)絡(luò)空間的創(chuàng)造力，同時又要維護(hù)網(wǎng)絡(luò)空間的公平公正；要讓所有人在網(wǎng)絡(luò)上能夠表達(dá)自己的思想和言論的同時，又要在空間當(dāng)中擔(dān)負(fù)起相應(yīng)的責(zé)任，讓每個人能夠依法行事。這是網(wǎng)絡(luò)維持秩序的基礎(chǔ)，也是政府信息安全主管部門一直致力于網(wǎng)絡(luò)安全努力的方向。

近年來，我國信息安全的理論研究逐步成熟，信息安全政策框架逐步形成，信息安全部門的責(zé)任逐步明確，各項(xiàng)信息安全基礎(chǔ)工作、基礎(chǔ)設(shè)施建設(shè)都取得了一定發(fā)展。在浙江，信息安全工作圍繞著構(gòu)建可信、可靠的目標(biāo)，建立了俗稱“136”的工程，從管理、控制、技術(shù)三個方面全面加強(qiáng)安全信息建設(shè)。“1”即起協(xié)調(diào)作用的網(wǎng)絡(luò)與信息安全協(xié)管平臺。因?yàn)榫W(wǎng)絡(luò)安全管理涉及到各個管理部門，所以浙江省經(jīng)信委作為信息安全的主管協(xié)調(diào)機(jī)構(gòu)，要發(fā)揮各個職能部門的作用，形成合力，加強(qiáng)對網(wǎng)絡(luò)的管理；“3”是三個重點(diǎn)領(lǐng)域，即電子政務(wù)、電子商務(wù)和十個重點(diǎn)行業(yè)；“6”即六大體系建設(shè)工程，根據(jù)安全信息保障的要求，在6個方面加強(qiáng)信息安全的工程建設(shè)。

WEB安全面臨云計(jì)算時代的新挑戰(zhàn)

WEB作為互聯(lián)網(wǎng)核心，是將來云計(jì)算和移動互聯(lián)網(wǎng)最佳的載體，因此，WEB安全在云計(jì)算時代更要引起我們的高度關(guān)注。

國家信息中心專家委員會委員寧家駿認(rèn)為：云計(jì)算和新一代移動通信時代的到來，向信息安全提出了新的挑戰(zhàn)。首先，信息安全與我們密切相關(guān)。當(dāng)前互聯(lián)網(wǎng)正在不斷地向移動化發(fā)展，用戶對互聯(lián)網(wǎng)無所不在的接入，以及從社會向用戶的轉(zhuǎn)入，使得國家政府、企業(yè)和個人，面臨著更為嚴(yán)峻的網(wǎng)絡(luò)危機(jī)。WEB的安全、虛擬化的安全是云計(jì)算必須要解決的核心問題，它既有原來傳統(tǒng)安全問題的延伸，也帶來了新的問題。比如說位置信息的泄露、身份信息的泄露以及一些其他領(lǐng)域。所以沒有安全的云計(jì)算將是一個“暈計(jì)算”。其次，信息安全面臨著新的形勢。當(dāng)前我國自身建設(shè)發(fā)展由于對安全重視不夠，頂層設(shè)計(jì)和統(tǒng)一規(guī)劃不夠，使得目前的信息安全自身存在著問題；另一方面，由于改革的深入和發(fā)展，人們的公平意識、民主意識、權(quán)利意識、法制意識在不斷增強(qiáng)，使得網(wǎng)絡(luò)管理面臨著巨大的內(nèi)部挑戰(zhàn)。此外，我國很多基于互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)還存在著規(guī)模龐大、協(xié)議開放、應(yīng)用邏輯復(fù)雜等問題，這也為提升重要信息安全系統(tǒng)保障提出了更加嚴(yán)峻的挑戰(zhàn)。

因此說，新技術(shù)的應(yīng)用延伸出了更加復(fù)雜的安全問題，使得國家政府、企業(yè)和個人，面臨著更為嚴(yán)峻的網(wǎng)絡(luò)危機(jī)。來自國外的安全威脅以及互聯(lián)網(wǎng)競爭優(yōu)勢不對稱態(tài)勢日益增加，更讓我國網(wǎng)絡(luò)和信息安全問題日益嚴(yán)峻和緊迫。我國云計(jì)算面臨的安全問題，既包括云計(jì)算集中化建立的設(shè)施安全，也包括數(shù)據(jù)的安全和平臺的安全，更包括應(yīng)用的安全。安全已經(jīng)成為當(dāng)前推進(jìn)云計(jì)算必須解決的主要問題之一。

前不久，在國家發(fā)改委正式頒布的《“十二五”國家政務(wù)信息化建設(shè)工程建設(shè)規(guī)劃》中，明確規(guī)定將加強(qiáng)信息安全保密作為該規(guī)劃的重點(diǎn)工作之一，強(qiáng)調(diào)要滿足信息化發(fā)展實(shí)際需要，堅(jiān)持自主可控，著力提升國家網(wǎng)絡(luò)與信息安全保障。在規(guī)劃中明確列出了兩項(xiàng)任務(wù)，第一是加強(qiáng)互聯(lián)網(wǎng)出入口管理，第二是加強(qiáng)涉密信息系統(tǒng)安全管理。在今后的工作中，必須要通過建立完善的認(rèn)證機(jī)制，進(jìn)一步加強(qiáng)云中數(shù)據(jù)安全，特別是增強(qiáng)對安全的重視度；要加快制訂相關(guān)的管理辦法和標(biāo)準(zhǔn)，來提升云計(jì)算和云服務(wù)的管理，明確各方的責(zé)任；要加強(qiáng)對云服務(wù)專項(xiàng)工作的監(jiān)管，同時要開展對云服務(wù)技術(shù)安全的檢查，來加強(qiáng)對云計(jì)算中心安全保障工作的風(fēng)險(xiǎn)評估和安全檢查；同時更要發(fā)展自己創(chuàng)新的云安全的服務(wù)和產(chǎn)品，推動具有自主知識產(chǎn)權(quán)的云安全產(chǎn)品和服務(wù)的產(chǎn)業(yè)化發(fā)展。

國家規(guī)范和標(biāo)準(zhǔn)為安全保駕護(hù)航

如果說，五年前，WEB安全、數(shù)據(jù)安全未得到大多數(shù)人們的重視，其相關(guān)理念需要去推動、教育、說服。那么，今天各個行業(yè)與安全相關(guān)規(guī)范如網(wǎng)銀擔(dān)保等的相繼出臺，使這一現(xiàn)象大有改觀。應(yīng)邀出席此次高峰論壇的中國人民銀行金融信息中心部門主任王梅和國家信息中心高級工程師、副處長王笑強(qiáng)為我們解讀了相關(guān)的國家規(guī)范和標(biāo)準(zhǔn)。

隨著電子商務(wù)快速的發(fā)展，我國近幾年網(wǎng)銀發(fā)展非?？?，目前交易量已經(jīng)超過商業(yè)銀行50%以上?？偟膩碚f，網(wǎng)銀的發(fā)展還是比較安全的，但由于目前網(wǎng)銀交易認(rèn)證機(jī)制存在著缺陷和黑客組織惡意滲透破壞等原因，針對網(wǎng)銀的趨利性犯罪態(tài)勢也越來越明顯。據(jù)中國人民銀行金融信息中心部門主任王梅介紹：針對WEB安全和數(shù)據(jù)安全，2009年人民銀行開始致力于制訂網(wǎng)銀規(guī)范，并于近期正式發(fā)布了《網(wǎng)上銀行系統(tǒng)信息安全通過規(guī)范》。該規(guī)范以安全技術(shù)規(guī)范、安全管理規(guī)范和業(yè)務(wù)運(yùn)作安全規(guī)范為基本內(nèi)容，具有強(qiáng)針對性、可操作性、前瞻性和全面性的特點(diǎn)?！兑?guī)范》作為一項(xiàng)法律法規(guī)的依據(jù)，為監(jiān)管部門檢查提供了標(biāo)準(zhǔn)化的依據(jù)，能有效促進(jìn)網(wǎng)銀整體安全水平，在網(wǎng)銀安全使用中具有里程碑的意義。

數(shù)據(jù)恢復(fù)服務(wù)主要是采用一種計(jì)算機(jī)軟硬件技術(shù)，把無法正常讀取或者數(shù)據(jù)丟失文件的還原服務(wù)。隨著近年來電子數(shù)據(jù)已經(jīng)成為個人生活和工作當(dāng)中的核心，數(shù)據(jù)恢復(fù)服務(wù)也逐步成長為信息安全產(chǎn)業(yè)中一個比較重要的部分，甚至可以說它已經(jīng)成為了我國政府、企業(yè)保護(hù)個人數(shù)據(jù)最后一道重要防線。但由于目前我國數(shù)據(jù)恢復(fù)服務(wù)市場缺乏規(guī)范、沒有標(biāo)準(zhǔn)，相對來說比較混亂：數(shù)據(jù)恢復(fù)服務(wù)與數(shù)據(jù)恢復(fù)技術(shù)不完全等同，擁有了技術(shù)并不代表能夠提供服務(wù)；而且無論是提供恢復(fù)數(shù)據(jù)的人還是選擇數(shù)據(jù)恢復(fù)服務(wù)的人，往往都缺乏數(shù)據(jù)保護(hù)意識。面對這樣的市場，國家信息中心正在研究制訂相關(guān)的國家標(biāo)準(zhǔn)——《存儲介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)規(guī)范》，它是規(guī)范技術(shù)實(shí)施的規(guī)范，主要是規(guī)范基本的數(shù)據(jù)要求，包括管理、實(shí)施條件和過程及安全方面的一些要求。這個《標(biāo)準(zhǔn)》主要是信息安全專項(xiàng)服務(wù)的標(biāo)準(zhǔn)，通過規(guī)范服務(wù)機(jī)構(gòu)、規(guī)范服務(wù)行為來滿足客戶的需求，有助于客戶選擇公司或者接受服務(wù)。然而，國家信息中心高級工程師、副處長王笑強(qiáng)認(rèn)為，作為數(shù)據(jù)恢復(fù)服務(wù)，僅僅制訂這樣的標(biāo)準(zhǔn)還是不夠的，還應(yīng)該增加部門的監(jiān)管、監(jiān)督，并對實(shí)施的人員進(jìn)行監(jiān)管，通過立法等多種形式的監(jiān)管，來管理數(shù)據(jù)恢復(fù)服務(wù)的市場。

總之，如何做好信息安全，應(yīng)該分很多層面，比如政策層面、產(chǎn)品或者服務(wù)。那么，做好信息安全的重點(diǎn)和突破點(diǎn)又在哪里？從“9·11”恐怖襲擊事件發(fā)生后導(dǎo)致的許多保險(xiǎn)公司和金融機(jī)構(gòu)因?yàn)閿?shù)據(jù)完全丟失而造成破產(chǎn)的殘酷現(xiàn)實(shí)面前，人們深刻體會到了數(shù)據(jù)安全的重要性；從94%的數(shù)據(jù)漏洞與WEB有關(guān)的數(shù)據(jù)里，人們看見了應(yīng)用處于最前沿的WEB卻處在保護(hù)的最薄弱狀況狀態(tài)。因此，我們有理由確定：做好信息安全的兩大突破點(diǎn)，一個是WEB安全，一個是數(shù)據(jù)安全。