由工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院(以下簡稱標(biāo)準(zhǔn)院)牽頭制定的《數(shù)據(jù)安全標(biāo)準(zhǔn)》、《工業(yè)控制安全標(biāo)準(zhǔn)》���、《智慧城市安全標(biāo)準(zhǔn)》等系列信息安全標(biāo)準(zhǔn)在緊鑼密鼓的推進(jìn)中�,《數(shù)據(jù)安全標(biāo)準(zhǔn)》或是其中最早推出的一個���。
互聯(lián)網(wǎng)在推動社會進(jìn)步的同時��,也帶來了前所未有的安全風(fēng)險����。近年來,大數(shù)據(jù)技術(shù)逐漸在各行各業(yè)中廣泛應(yīng)用�,然而頻繁上演的各類信息泄露事件卻為人們敲響了數(shù)據(jù)安全的警鐘。毫無疑問�����,數(shù)據(jù)安全早已不再是局限于IT行業(yè)的專業(yè)話題�,而是社會各界的關(guān)注熱點之一。
在國家信息安全受到嚴(yán)重威脅的大背景下�����,9月10日“數(shù)據(jù)安全標(biāo)準(zhǔn)工作組第一次研討會”在北京召開�,來自國內(nèi)眾多知名企業(yè)和高校的三十多位信息安全領(lǐng)域?qū)I(yè)人士從全國各地趕往這里。
標(biāo)準(zhǔn)院信息安全研究中心副主任范科峰介紹說:“本次關(guān)于數(shù)據(jù)安全標(biāo)準(zhǔn)的研討會是在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會的指導(dǎo)下開展的���。之所以把國內(nèi)相關(guān)領(lǐng)域的廠商和專家聚到一起��,就是希望能夠兼顧理論和市場的要求�����,為下一步開展數(shù)據(jù)安全標(biāo)準(zhǔn)的制定工作打好基礎(chǔ)�。”
中國軟件評測中心常務(wù)副主任劉法旺也表示����,信息網(wǎng)絡(luò)化既為全球信息資源共享創(chuàng)造了條件,也讓國家間的信息入侵幾乎失去了設(shè)防的“邊境”����。隨著移動互聯(lián)網(wǎng)的快速發(fā)展,如何打造大數(shù)據(jù)時代安全的信息環(huán)境��,已經(jīng)成為各國重點關(guān)注和深入探討的問題��。”
事實上����,大部分的關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施通常都為企業(yè)所有,在預(yù)防和發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅�、及時采取措施應(yīng)對網(wǎng)絡(luò)安全事件等方面,企業(yè)擁有政府所不能及的天然優(yōu)勢�����。因此��,政企間高度戰(zhàn)略合作的模式對維護(hù)網(wǎng)絡(luò)安全意義重大���,長期以來美國都是采用的這種模式�����。
賽迪智庫信息安全研究所張莉指出:“在維護(hù)網(wǎng)絡(luò)安全問題上�����,美國政府非常重視與私營企業(yè)的合作����。相比之下,我國這方面起步較晚�、積累較少,而且在推動過程中遇到了很多問題和阻力�����。”
美國在維護(hù)網(wǎng)絡(luò)安全方面的成績是有目共睹的��,因此標(biāo)準(zhǔn)院在前期調(diào)研階段也借鑒政企合作的做法��,在研討會上邀請了眾多數(shù)據(jù)安全領(lǐng)域的企業(yè)代表前來參加���。
國產(chǎn)企業(yè)的美好時代
會上�,數(shù)據(jù)安全領(lǐng)域的眾多參會企業(yè)代表輪番登場演講���,他們一邊介紹自己在數(shù)據(jù)安全方面所做的工作��,一邊講述自己在市場中遇到的各種尷尬��,并對數(shù)據(jù)安全的標(biāo)準(zhǔn)制定工作提出了自己的意見和建議�。
作為國內(nèi)數(shù)據(jù)安全領(lǐng)域起步較早的企業(yè)�,北京億賽通科技發(fā)展有限責(zé)任公司(以下稱億賽通)經(jīng)過十多年的市場積累,如今已在數(shù)據(jù)加密服務(wù)行業(yè)占據(jù)了重要地位�����。
億賽通的首席咨詢顧問王維宏告訴《中國經(jīng)濟(jì)和信息化》:“像億賽通這樣的國產(chǎn)數(shù)據(jù)加密企業(yè)�,成長過程是非常艱難的。對于國產(chǎn)數(shù)據(jù)安全企業(yè)而言��,目前是不可多得的好機(jī)遇��,尤其在斯諾登曝光‘棱鏡門’事件之后���,全球的信息安全問題被引到了風(fēng)口浪尖上����,越來越多的國內(nèi)客戶開始清晰地認(rèn)識到自身的安全需求�����。在這樣的產(chǎn)業(yè)環(huán)境下,企業(yè)的發(fā)展終于變得順暢起來����。”
回顧數(shù)據(jù)安全產(chǎn)業(yè)環(huán)境十多年間的變化,浪潮����、曙光、華為等不少參會企業(yè)代表都頗為感概�����。
誠如王維宏所言��,十年前國內(nèi)的大多數(shù)企業(yè)對于自身的數(shù)據(jù)安全并不重視��,這個領(lǐng)域的企業(yè)要面臨的首要生存考驗就是如何有效地刺激客戶的數(shù)據(jù)安全需求�����。缺乏用戶需求���,使整個市場環(huán)境不容樂觀��,這樣的形勢直到2009年后才開始慢慢發(fā)生變化�����。
如今��,隨著國家對于信息安全重視程度的提高����,“自主可控”逐漸成為信息安全的衡量標(biāo)桿��,基于這一要求宏觀政策的天秤開始向國產(chǎn)數(shù)據(jù)安全企業(yè)傾斜��。在信息安全領(lǐng)域��,美好時代正悄然來臨��,越來越多自主創(chuàng)新的國產(chǎn)企業(yè)得到了國家部委的大力支持�。
與億賽通相似,北京明朝萬達(dá)科技有限公司(以下稱明朝萬達(dá))也是以數(shù)據(jù)加密服務(wù)為主要業(yè)務(wù)的一家國內(nèi)企業(yè)�����。
明朝萬達(dá)的執(zhí)行董事兼研發(fā)副總裁喻波告訴記者:“中國近年來高速發(fā)展的經(jīng)濟(jì)為信息安全和數(shù)據(jù)安全建設(shè)提供了充分的經(jīng)濟(jì)基礎(chǔ)�,再加上宏觀政策和國家部委的支持��,這些條件對于國產(chǎn)企業(yè)未來的發(fā)展和我國數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)的完善都是非常有利的�。”
信息安全≠數(shù)據(jù)安全
對于大多數(shù)人來說�,日常生活中信息和數(shù)據(jù)的概念通常是混淆的。因此����,信息安全和數(shù)據(jù)安全也自然而然地被混在一起。標(biāo)準(zhǔn)院的葉潤國博士在研討會上指出:“數(shù)據(jù)安全雖然與信息安全聯(lián)系非常緊密�,但事實上,兩者的概念并不相同�。”
數(shù)據(jù)安全是專指對電子格式信息進(jìn)行的安全保護(hù)。如果在未授權(quán)的情況下���,對數(shù)據(jù)進(jìn)行的篡改����、毀壞和泄露���,則被認(rèn)為是對數(shù)據(jù)安全造成了威脅���。
信息的高度共享既帶來了便利,也制造了麻煩�,在云計算��、大數(shù)據(jù)技術(shù)已經(jīng)相當(dāng)普及的今天����,這對矛盾越發(fā)明顯��。與西方發(fā)達(dá)國家相比��,我國在云計算��、物聯(lián)網(wǎng)����、大數(shù)據(jù)����、移動互聯(lián)網(wǎng)等新興信息技術(shù)方面,信息安全保障還相對落后���。
賽迪智庫信息安全研究所馮偉認(rèn)為:“積極完善安全標(biāo)準(zhǔn)體系是我國應(yīng)對數(shù)據(jù)安全的重要手段��。”在日益嚴(yán)峻的信息安全挑戰(zhàn)面前����,數(shù)據(jù)安全標(biāo)準(zhǔn)的制定工作已是迫在眉睫。
一方面���,數(shù)據(jù)作為電子格式化的信息已經(jīng)成為政府��、企業(yè)�、機(jī)構(gòu)和個人的重要資產(chǎn)��,是黑客和監(jiān)聽機(jī)構(gòu)最希望獲取的信息��,所以從這個角度來看���,數(shù)據(jù)安全可以說是信息安全的最后一道防線��。另一方面��,雖然在傳統(tǒng)的數(shù)據(jù)應(yīng)用環(huán)境中����,我們已經(jīng)有了一些應(yīng)對數(shù)據(jù)安全問題的成熟機(jī)制��,但是大數(shù)據(jù)時代來臨致使傳統(tǒng)數(shù)據(jù)應(yīng)用環(huán)境發(fā)生了翻天覆地的變化�����,原先的標(biāo)準(zhǔn)和解決方案已經(jīng)不能滿足需求。
通過與葉潤國的交談�����,記者了解到��,雖然數(shù)據(jù)安全標(biāo)準(zhǔn)是基于信息安全背景制定好的�����,但是數(shù)據(jù)安全標(biāo)準(zhǔn)一旦制定��,其適用范圍將突破IT行業(yè)的限制�,推廣到各個行業(yè)中來。
葉潤國說:“目前市場上已經(jīng)有一些廠商在做數(shù)據(jù)安全的業(yè)務(wù)了���,但并非所有廠商都能提供滿足數(shù)據(jù)安全合規(guī)性要求的產(chǎn)品。數(shù)據(jù)安全標(biāo)準(zhǔn)一旦制定并推廣開來���,無論是國產(chǎn)企業(yè)還是國外企業(yè)�����,都必須按照這個標(biāo)準(zhǔn)來規(guī)范產(chǎn)品����,并在保障用戶隱私方面增加相應(yīng)投入,這些工作的開展很可能會對行業(yè)內(nèi)現(xiàn)有的企業(yè)產(chǎn)生較大的影響�����。但是����,從長遠(yuǎn)發(fā)展的角度來看,制定并實施數(shù)據(jù)安全標(biāo)準(zhǔn)不僅有利于良性產(chǎn)業(yè)生態(tài)圈的建立�����,而且對于國家的信息安全戰(zhàn)略的實施也起到極為重要的作用�����。”
信息安全日益被重視�,國產(chǎn)數(shù)據(jù)安全企業(yè)無疑遇到了一個發(fā)展良機(jī)。但是數(shù)據(jù)安全企業(yè)仍有諸多障礙需要克服�����,數(shù)據(jù)安全標(biāo)準(zhǔn)的缺失便是其中之一。
由于缺乏統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)�����,企業(yè)所有的數(shù)據(jù)分類分級工作通常只能單純憑借長期積累的實踐經(jīng)驗�����。對于同行業(yè)甚至是跨行業(yè)的企業(yè)而言����,并沒有太多可以大量復(fù)制使用的模式和經(jīng)驗。
其實�,對于數(shù)據(jù)安全領(lǐng)域的企業(yè)而言,無論針對個人用戶����,還是服務(wù)于企業(yè)客戶,要在激烈的市場競爭中站穩(wěn)腳跟就必須掌握平衡的藝術(shù)——“安全性”和“用戶體驗”必須兼顧�。然而,沒有統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)���,企業(yè)在取舍之間的“度”只能依靠直覺來猜測,試錯的“機(jī)會”在無形中增加許多����。
一副黑框眼鏡�,配上有點發(fā)福的雙下巴��,他就是奇虎360科技有限公司(以下簡稱360)副總裁首席隱私官譚曉生����。演講時,他向其他參會人員分享了自己在數(shù)據(jù)安全領(lǐng)域多年摸爬滾打積累下來的“江湖經(jīng)驗”�����。
譚曉生認(rèn)為:“數(shù)據(jù)加密的確是保護(hù)數(shù)據(jù)安全的一種方法�����,但是文件加密是有成本的����。這個成本不光是金錢上的成本,還包括技術(shù)門檻提高所帶來的用戶體驗成本����。在互聯(lián)網(wǎng)環(huán)境中,這種傳統(tǒng)的數(shù)據(jù)加密模式可能存在很多的問題�。”
他拿360密盤作為例子�,坦言道:“密盤可以說是我們之前開發(fā)的一款很失敗的產(chǎn)品�。當(dāng)我們放量到50萬用戶的時候,我們基本每天都可以接到50多個用戶的投訴����。”萬分之一的投訴率引起了360的高度重視。因為根據(jù)以往的經(jīng)驗�����,平均每一個投訴用戶背后往往對應(yīng)著100個遇到同樣問題的人��。萬分之一的投訴率���,實際上意味著每100個用戶里就會有一個人遇到了類似的問題���。
譚曉生繼續(xù)介紹:“我們把所有投訴用戶的問題歸結(jié)起來分析發(fā)現(xiàn),問題出在技術(shù)門檻提高后用戶體驗跟不上����。幾乎所有的投訴用戶都是因為自己弄丟了密鑰,然后再向我們這里索要的�����。要知道�,這款產(chǎn)品在設(shè)計之初為了安全性的考慮已經(jīng)做了技術(shù)處理,所有的用戶‘一人一密’���,技術(shù)人員是根本就拿不到用戶的密鑰���。”
密盤產(chǎn)品的失敗讓360明白了一個道理:在互聯(lián)網(wǎng)條件下,一款產(chǎn)品只要把技術(shù)門檻提高一點兒����,用戶就可能出現(xiàn)許多使用上的障礙,而用戶體驗問題的重要性一點兒也不亞于產(chǎn)品的安全性能問題����。
反復(fù)試錯是企業(yè)成長必須經(jīng)歷的過程,但譚曉生分享的試錯經(jīng)驗恰恰拋出了一個全行業(yè)正在面臨的重要問題���。在互聯(lián)網(wǎng)�����、大數(shù)據(jù)時代���,任何一款推廣的產(chǎn)品都需要具備普及的特性�����,“安全性”和“用戶體驗”之間的博弈在沒有行業(yè)標(biāo)準(zhǔn)的規(guī)范下��,顯然存在著更多的不確定性��。
