本刊記者

所謂WEB應(yīng)用，通俗地講，就是企

事業(yè)機(jī)構(gòu)在互聯(lián)網(wǎng)上開放的應(yīng)用入口，也是通常意義上人們常說的“網(wǎng)站”，其前端接受用戶在WEB瀏覽器上發(fā)送請(qǐng)求，后端則和企業(yè)后臺(tái)的數(shù)據(jù)庫及其他內(nèi)部動(dòng)態(tài)內(nèi)容通信。由于WEB應(yīng)用的天然開放性，以及各種WEB軟硬件漏洞的不可避免性，使得黑客們將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)WEB應(yīng)用的攻擊上。

根據(jù)最新調(diào)查，信息安全攻擊有75%都是發(fā)生在WEB應(yīng)用而非網(wǎng)絡(luò)層面上。同時(shí)，數(shù)據(jù)也顯示，三分之二的WEB站點(diǎn)都相當(dāng)脆弱。但目前，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，沒有從真正意義上保證WEB應(yīng)用本身的安全。2011年底，國(guó)內(nèi)互聯(lián)網(wǎng)業(yè)界爆發(fā)的眾多知名網(wǎng)站“泄密門”系列事件，其實(shí)只是掀開WEB應(yīng)用威脅的冰山一角。今天，WEB應(yīng)用防護(hù)和數(shù)據(jù)安全已經(jīng)成為企事業(yè)機(jī)構(gòu)信息安全綜合體系中的核心與重點(diǎn)。

日前，在工信部信息安全協(xié)調(diào)司、浙江省經(jīng)信委、杭州市經(jīng)信委等單位和機(jī)構(gòu)的指導(dǎo)和支持下，2012（首屆）中國(guó)WEB應(yīng)用防護(hù)與數(shù)據(jù)安全高峰論壇在杭州舉行。來自安全界德高望重的專家學(xué)者、從中央到地方的各級(jí)相關(guān)信息化管理部門的領(lǐng)導(dǎo)、國(guó)內(nèi)各重要行業(yè)機(jī)構(gòu)和單位信息化主管領(lǐng)導(dǎo)以及眾多中國(guó)信息安全企業(yè)界老總們，以“技術(shù)創(chuàng)新和行業(yè)應(yīng)用”為主題，通過專家演講、嘉賓互動(dòng)和WEB攻防實(shí)戰(zhàn)演習(xí)等形式，對(duì)WEB應(yīng)用防護(hù)的技術(shù)體系建設(shè)和產(chǎn)品服務(wù)創(chuàng)新，尤其是針對(duì)國(guó)家重要基礎(chǔ)行業(yè)應(yīng)用的創(chuàng)新；構(gòu)建行業(yè)WEB應(yīng)用防護(hù)安全體系；國(guó)際WEB應(yīng)用防護(hù)最新技術(shù)與理念；內(nèi)網(wǎng)數(shù)據(jù)安全的管理架構(gòu)與技術(shù)體系；重要行業(yè)WEB應(yīng)用高安全防護(hù)實(shí)踐等話題進(jìn)行深入探討。

本次大會(huì)覆蓋了幾乎所有當(dāng)前信息安全方面的迫切問題，充分交流信息安全產(chǎn)業(yè)發(fā)展趨勢(shì)，瞭望信息安全行業(yè)應(yīng)用的態(tài)勢(shì)，引導(dǎo)用戶的采購選型，達(dá)到構(gòu)筑業(yè)界最大交流平臺(tái)、促進(jìn)產(chǎn)業(yè)發(fā)展、溝通行業(yè)應(yīng)用、推動(dòng)我國(guó)信息安全建設(shè)穩(wěn)步前進(jìn)之目的。

建立網(wǎng)絡(luò)秩序是網(wǎng)絡(luò)信息安全工作的努力方向

當(dāng)前，以互聯(lián)網(wǎng)為基礎(chǔ)的信息空間、信息網(wǎng)絡(luò)已經(jīng)成為政府和民眾交流以及商務(wù)交流、貿(mào)易交流的一個(gè)重要平臺(tái)，成為我們工作學(xué)習(xí)的重要空間，甚至已經(jīng)成為我們世界經(jīng)濟(jì)重要的一種基礎(chǔ)設(shè)施。因此，互聯(lián)網(wǎng)世界迫切需要建立起應(yīng)有的秩序。

正如浙江省經(jīng)信委胡蓓姿處長(zhǎng)在論壇上所言：眾所周知的個(gè)人信息安全問題、公共系統(tǒng)的信息安全問題，包括其他工作當(dāng)中遇到的信息安全問題，都與在網(wǎng)絡(luò)空間中建立秩序緊密相關(guān)。我們既要維護(hù)網(wǎng)絡(luò)空間的活力、網(wǎng)絡(luò)空間的創(chuàng)造力，同時(shí)又要維護(hù)網(wǎng)絡(luò)空間的公平公正；要讓所有人在網(wǎng)絡(luò)上能夠表達(dá)自己的思想和言論的同時(shí)，又要在空間當(dāng)中擔(dān)負(fù)起相應(yīng)的責(zé)任，讓每個(gè)人能夠依法行事。這是網(wǎng)絡(luò)維持秩序的基礎(chǔ)，也是政府信息安全主管部門一直致力于網(wǎng)絡(luò)安全努力的方向。

近年來，我國(guó)信息安全的理論研究逐步成熟，信息安全政策框架逐步形成，信息安全部門的責(zé)任逐步明確，各項(xiàng)信息安全基礎(chǔ)工作、基礎(chǔ)設(shè)施建設(shè)都取得了一定發(fā)展。在浙江，信息安全工作圍繞著構(gòu)建可信、可靠的目標(biāo)，建立了俗稱“136”的工程，從管理、控制、技術(shù)三個(gè)方面全面加強(qiáng)安全信息建設(shè)?！?”即起協(xié)調(diào)作用的網(wǎng)絡(luò)與信息安全協(xié)管平臺(tái)。因?yàn)榫W(wǎng)絡(luò)安全管理涉及到各個(gè)管理部門，所以浙江省經(jīng)信委作為信息安全的主管協(xié)調(diào)機(jī)構(gòu)，要發(fā)揮各個(gè)職能部門的作用，形成合力，加強(qiáng)對(duì)網(wǎng)絡(luò)的管理；“3”是三個(gè)重點(diǎn)領(lǐng)域，即電子政務(wù)、電子商務(wù)和十個(gè)重點(diǎn)行業(yè)；“6”即六大體系建設(shè)工程，根據(jù)安全信息保障的要求，在6個(gè)方面加強(qiáng)信息安全的工程建設(shè)。

WEB安全面臨云計(jì)算時(shí)代的新挑戰(zhàn)

WEB作為互聯(lián)網(wǎng)核心，是將來云計(jì)算和移動(dòng)互聯(lián)網(wǎng)最佳的載體，因此，WEB安全在云計(jì)算時(shí)代更要引起我們的高度關(guān)注。

國(guó)家信息中心專家委員會(huì)委員寧家駿認(rèn)為：云計(jì)算和新一代移動(dòng)通信時(shí)代的到來，向信息安全提出了新的挑戰(zhàn)。首先，信息安全與我們密切相關(guān)。當(dāng)前互聯(lián)網(wǎng)正在不斷地向移動(dòng)化發(fā)展，用戶對(duì)互聯(lián)網(wǎng)無所不在的接入，以及從社會(huì)向用戶的轉(zhuǎn)入，使得國(guó)家政府、企業(yè)和個(gè)人，面臨著更為嚴(yán)峻的網(wǎng)絡(luò)危機(jī)。WEB的安全、虛擬化的安全是云計(jì)算必須要解決的核心問題，它既有原來傳統(tǒng)安全問題的延伸，也帶來了新的問題。比如說位置信息的泄露、身份信息的泄露以及一些其他領(lǐng)域。所以沒有安全的云計(jì)算將是一個(gè)“暈計(jì)算”。其次，信息安全面臨著新的形勢(shì)。當(dāng)前我國(guó)自身建設(shè)發(fā)展由于對(duì)安全重視不夠，頂層設(shè)計(jì)和統(tǒng)一規(guī)劃不夠，使得目前的信息安全自身存在著問題；另一方面，由于改革的深入和發(fā)展，人們的公平意識(shí)、民主意識(shí)、權(quán)利意識(shí)、法制意識(shí)在不斷增強(qiáng)，使得網(wǎng)絡(luò)管理面臨著巨大的內(nèi)部挑戰(zhàn)。此外，我國(guó)很多基于互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)還存在著規(guī)模龐大、協(xié)議開放、應(yīng)用邏輯復(fù)雜等問題，這也為提升重要信息安全系統(tǒng)保障提出了更加嚴(yán)峻的挑戰(zhàn)。

因此說，新技術(shù)的應(yīng)用延伸出了更加復(fù)雜的安全問題，使得國(guó)家政府、企業(yè)和個(gè)人，面臨著更為嚴(yán)峻的網(wǎng)絡(luò)危機(jī)。來自國(guó)外的安全威脅以及互聯(lián)網(wǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)不對(duì)稱態(tài)勢(shì)日益增加，更讓我國(guó)網(wǎng)絡(luò)和信息安全問題日益嚴(yán)峻和緊迫。我國(guó)云計(jì)算面臨的安全問題，既包括云計(jì)算集中化建立的設(shè)施安全，也包括數(shù)據(jù)的安全和平臺(tái)的安全，更包括應(yīng)用的安全。安全已經(jīng)成為當(dāng)前推進(jìn)云計(jì)算必須解決的主要問題之一。

前不久，在國(guó)家發(fā)改委正式頒布的《“十二五”國(guó)家政務(wù)信息化建設(shè)工程建設(shè)規(guī)劃》中，明確規(guī)定將加強(qiáng)信息安全保密作為該規(guī)劃的重點(diǎn)工作之一，強(qiáng)調(diào)要滿足信息化發(fā)展實(shí)際需要，堅(jiān)持自主可控，著力提升國(guó)家網(wǎng)絡(luò)與信息安全保障。在規(guī)劃中明確列出了兩項(xiàng)任務(wù)，第一是加強(qiáng)互聯(lián)網(wǎng)出入口管理，第二是加強(qiáng)涉密信息系統(tǒng)安全管理。在今后的工作中，必須要通過建立完善的認(rèn)證機(jī)制，進(jìn)一步加強(qiáng)云中數(shù)據(jù)安全，特別是增強(qiáng)對(duì)安全的重視度；要加快制訂相關(guān)的管理辦法和標(biāo)準(zhǔn)，來提升云計(jì)算和云服務(wù)的管理，明確各方的責(zé)任；要加強(qiáng)對(duì)云服務(wù)專項(xiàng)工作的監(jiān)管，同時(shí)要開展對(duì)云服務(wù)技術(shù)安全的檢查，來加強(qiáng)對(duì)云計(jì)算中心安全保障工作的風(fēng)險(xiǎn)評(píng)估和安全檢查；同時(shí)更要發(fā)展自己創(chuàng)新的云安全的服務(wù)和產(chǎn)品，推動(dòng)具有自主知識(shí)產(chǎn)權(quán)的云安全產(chǎn)品和服務(wù)的產(chǎn)業(yè)化發(fā)展。

國(guó)家規(guī)范和標(biāo)準(zhǔn)為安全保駕護(hù)航

如果說，五年前，WEB安全、數(shù)據(jù)安全未得到大多數(shù)人們的重視，其相關(guān)理念需要去推動(dòng)、教育、說服。那么，今天各個(gè)行業(yè)與安全相關(guān)規(guī)范如網(wǎng)銀擔(dān)保等的相繼出臺(tái)，使這一現(xiàn)象大有改觀。應(yīng)邀出席此次高峰論壇的中國(guó)人民銀行金融信息中心部門主任王梅和國(guó)家信息中心高級(jí)工程師、副處長(zhǎng)王笑強(qiáng)為我們解讀了相關(guān)的國(guó)家規(guī)范和標(biāo)準(zhǔn)。

隨著電子商務(wù)快速的發(fā)展，我國(guó)近幾年網(wǎng)銀發(fā)展非?？?，目前交易量已經(jīng)超過商業(yè)銀行50%以上?？偟膩碚f，網(wǎng)銀的發(fā)展還是比較安全的，但由于目前網(wǎng)銀交易認(rèn)證機(jī)制存在著缺陷和黑客組織惡意滲透破壞等原因，針對(duì)網(wǎng)銀的趨利性犯罪態(tài)勢(shì)也越來越明顯。據(jù)中國(guó)人民銀行金融信息中心部門主任王梅介紹：針對(duì)WEB安全和數(shù)據(jù)安全，2009年人民銀行開始致力于制訂網(wǎng)銀規(guī)范，并于近期正式發(fā)布了《網(wǎng)上銀行系統(tǒng)信息安全通過規(guī)范》。該規(guī)范以安全技術(shù)規(guī)范、安全管理規(guī)范和業(yè)務(wù)運(yùn)作安全規(guī)范為基本內(nèi)容，具有強(qiáng)針對(duì)性、可操作性、前瞻性和全面性的特點(diǎn)。《規(guī)范》作為一項(xiàng)法律法規(guī)的依據(jù)，為監(jiān)管部門檢查提供了標(biāo)準(zhǔn)化的依據(jù)，能有效促進(jìn)網(wǎng)銀整體安全水平，在網(wǎng)銀安全使用中具有里程碑的意義。

數(shù)據(jù)恢復(fù)服務(wù)主要是采用一種計(jì)算機(jī)軟硬件技術(shù)，把無法正常讀取或者數(shù)據(jù)丟失文件的還原服務(wù)。隨著近年來電子數(shù)據(jù)已經(jīng)成為個(gè)人生活和工作當(dāng)中的核心，數(shù)據(jù)恢復(fù)服務(wù)也逐步成長(zhǎng)為信息安全產(chǎn)業(yè)中一個(gè)比較重要的部分，甚至可以說它已經(jīng)成為了我國(guó)政府、企業(yè)保護(hù)個(gè)人數(shù)據(jù)最后一道重要防線。但由于目前我國(guó)數(shù)據(jù)恢復(fù)服務(wù)市場(chǎng)缺乏規(guī)范、沒有標(biāo)準(zhǔn)，相對(duì)來說比較混亂：數(shù)據(jù)恢復(fù)服務(wù)與數(shù)據(jù)恢復(fù)技術(shù)不完全等同，擁有了技術(shù)并不代表能夠提供服務(wù)；而且無論是提供恢復(fù)數(shù)據(jù)的人還是選擇數(shù)據(jù)恢復(fù)服務(wù)的人，往往都缺乏數(shù)據(jù)保護(hù)意識(shí)。面對(duì)這樣的市場(chǎng)，國(guó)家信息中心正在研究制訂相關(guān)的國(guó)家標(biāo)準(zhǔn)——《存儲(chǔ)介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)規(guī)范》，它是規(guī)范技術(shù)實(shí)施的規(guī)范，主要是規(guī)范基本的數(shù)據(jù)要求，包括管理、實(shí)施條件和過程及安全方面的一些要求。這個(gè)《標(biāo)準(zhǔn)》主要是信息安全專項(xiàng)服務(wù)的標(biāo)準(zhǔn)，通過規(guī)范服務(wù)機(jī)構(gòu)、規(guī)范服務(wù)行為來滿足客戶的需求，有助于客戶選擇公司或者接受服務(wù)。然而，國(guó)家信息中心高級(jí)工程師、副處長(zhǎng)王笑強(qiáng)認(rèn)為，作為數(shù)據(jù)恢復(fù)服務(wù)，僅僅制訂這樣的標(biāo)準(zhǔn)還是不夠的，還應(yīng)該增加部門的監(jiān)管、監(jiān)督，并對(duì)實(shí)施的人員進(jìn)行監(jiān)管，通過立法等多種形式的監(jiān)管，來管理數(shù)據(jù)恢復(fù)服務(wù)的市場(chǎng)。

總之，如何做好信息安全，應(yīng)該分很多層面，比如政策層面、產(chǎn)品或者服務(wù)。那么，做好信息安全的重點(diǎn)和突破點(diǎn)又在哪里？從“9·11”恐怖襲擊事件發(fā)生后導(dǎo)致的許多保險(xiǎn)公司和金融機(jī)構(gòu)因?yàn)閿?shù)據(jù)完全丟失而造成破產(chǎn)的殘酷現(xiàn)實(shí)面前，人們深刻體會(huì)到了數(shù)據(jù)安全的重要性；從94%的數(shù)據(jù)漏洞與WEB有關(guān)的數(shù)據(jù)里，人們看見了應(yīng)用處于最前沿的WEB卻處在保護(hù)的最薄弱狀況狀態(tài)。因此，我們有理由確定：做好信息安全的兩大突破點(diǎn)，一個(gè)是WEB安全，一個(gè)是數(shù)據(jù)安全。