軟硬兼施 企業信息安全有待實現本土化
責編:admin |2014-07-30 15:26:36當前,網絡信息系統已經成為企業生產、辦公和企業發展的重要手段。各大鋼鐵企業也都建立了自己的局域網系統,建設了各項信息化系統,如ERP(企業資源計劃)、OA(辦公自動化)系統等,并通過各種方式與互聯網相連。但是,隨之而來的計算機信息安全問題也日益重要,不僅影響公司網絡的使用,而且還會竊取企業的重要信息。
今年初,中央網絡安全和信息化領導小組第一次會議在北京召開,習近平總書記出任組長,李克強總理出任副組長。會議審議通過了《中央網絡安全和信息化領導小組工作規則》《中央網絡安全和信息化領導小組辦公室工作細則》《中央網絡安全和信息化領導小組2014年重點工作》等。會議指出,建設網絡強國,不僅要有自己的過硬技術,還要有高素質的網絡安全和信息化人才隊伍。我國要制定全面的信息技術、網絡技術研究發展戰略,完善互聯網信息內容管理、關鍵信息基礎設施保護等法律法規,依法治理網絡空間,維護公民合法權益。
網絡安全和信息化須統一謀劃
所謂信息安全,就是防止非法的攻擊和病毒的傳播,保證計算機系統和通信系統的正常運作,保證信息不被非法訪問和篡改。隨著國家大力推進工業化與信息化的深度融合,鋼鐵工業和企業的控制系統和信息化系統越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與辦公網絡、互聯網等公共網絡連接,病毒、木馬等威脅也正在向這些系統擴散。面對這樣的挑戰,為了保護信息安全,國家必須首先進行網絡防護。
人們最初認識信息安全一詞是在IT界。當IT技術方案逐漸應用到其他企業管理、工藝控制等系統中,用于提高企業業務系統之間的連接和遠程訪問能力時,控制系統網絡也逐漸向更開放的工業以太網結構發展。網絡個性化和開放性的增強,一方面給企業管理和工藝控制系統帶來更好、更快的發展;另一方面因其安全性問題難以保證而給包括鋼鐵在內的眾多行業和企業帶來的負面困擾也隨之而來,危及信息安全。事實上,鋼鐵行業信息化的網絡安全問題帶來的后果較傳統的IT信息安全更為嚴重。
作為勞動密集型、資金密集型的重工業,如果鋼鐵企業的網絡出現了安全問題,輕則會導致系統性能下降、關鍵數據丟失,重則導致系統失控、環境災難、人員傷亡,造成嚴重經濟損失,甚至危害公眾生活。與此同時,隨著技術、經濟和貿易全球化的到來,中國鋼鐵企業開始在世界舞臺上占據了重要地位。因此,鋼鐵企業的信息安全不僅僅關系到企業自身的發展,更加關系到國家的戰略發展,甚至是國家安全。
因此,網絡安全和信息化是一體之兩翼、驅動之雙輪。從這個角度來看,鋼鐵行業的網絡安全和信息化就關系到生產運行穩定、關鍵工藝技術數據安全等,必須在信息化建設時統一謀劃、統一部署、統一推進、統一實施。
信息化建設需軟硬兼施
第一次成立中央網絡安全和信息化領導小組,并由最高領導人擔任組長,此舉意味著信息安全已上升到國家戰略高度。
可以說,目前網絡安全和信息化不僅事關國家安全和國家發展,也事關各行業企業、廣大人民群眾的工作和生活的重大戰略問題。值得提出的是,面對不斷增加的國內外信息的安全威脅,國家安全遭遇越來越大的挑戰,單依靠傳統的軟件,或者單靠硬件設備已經不能滿足如今的信息安全需要。為此,“軟硬兼施”就成了未來國內信息安全市場的主流,應對安全挑戰的主軸。
就鋼鐵行業來說,如果把鋼鐵企業的信息系統比作一個小區的話,作為核心設備的服務器就是小區中的房子,首先房子本身就要求安全可靠;但僅有服務器的安全還不夠,還需要其他安全措施來保障整個小區安全信息系統的可靠。還要有防火墻,它如同小區的出入保安系統;網絡型IDS(入侵檢測系統),它就如小區里的閉路監視系統;而安裝在服務器上的主機型EGS補丁組則如門禁系統,網閘就像是兩個小區之間的通道;而應用軟件就如房子里的各種工具、設施,如此完善規范的小區才算安全溫馨。因此,信息化建設,必須做到“軟硬兼施”,要做的就是從服務器到管理系統,從硬件到軟件,為鋼鐵企業部署一種全方位的、深度的、自主可控的安全防護體系,才能應對不斷增加的外部信息安全威脅,維護企業乃至國家的信息安全。
鋼鐵企業的管理和運行有著獨有的特點。結合實踐,我們看到,大多數鋼鐵企業控制系統信息安全風險主要包括策略和規范、平臺、網絡3個方面。具體風險包括不恰當的工業控制系統信息安全政策、人員信息安全培訓不足、不恰當的信息安全體系和設計、缺乏有效的物理訪問控制、薄弱的網絡安全架構、網絡設備密碼長期未更改、關鍵網絡設備沒有冗余措施、控制網絡內部沒有安全監控設備、無線客戶端與接入點間認證措施不足等。當然,不同的鋼鐵企業會有不同的特點和安全需求,因此他們在信息安全系統的建設上會有不同的考慮。
總體來看,當前信息安全需要綜合防護體系。這是因為,隨著鋼鐵企業自身戰略和信息化水平的發展,其對信息安全的需求也將從單一信息安全產品發展到綜合防御體系,從某一點的安全建設過渡到整個安全體系的建設。從當前鋼鐵企業的信息安全來看,主要包括物理安全、主機安全、應用安全、網絡安全以及數據安全,而信息安全部署的重點開始由“網絡安全”向“應用安全”轉變,這一切都促成信息化建設更需“軟硬兼施”。
信息產業鏈須本土化
IT產業國產化、本土化將是保障我國信息安全的根本途徑,也是保障鋼鐵企業信息安全的源頭。我國的基礎網絡、重要信息系統的軟硬件設備產品大部分都是舶來品,可能會被預設“后門”機關,存在巨大的信息安全隱患。如今年6月底,因美國賽門鐵克的“數據防泄漏”(SymantecDLP)產品存在竊密后門和高危安全漏洞,公安部就發文要求核查賽門鐵克“數據防泄漏”、防病毒等安全產品的使用情況。
因此,從國家安全的角度考慮,只有建立起完全自主、安全可控的國產IT系統,把信息安全掌握在自己手中,才能確保國家網絡安全和信息安全。
自去年美國“棱鏡門”爆發之后,信息系統與設備的安全性受到了廣泛關注。去年成立的工信部指導的國產主機系統產業聯盟,表明國家信息安全戰略推進正在加速,信息技術領域逐漸國產化將成為明確趨勢,而“去IOE”(IBM是服務器提供商,Oracle是數據庫軟件提供商,EMC則是存儲設備提供商)似乎也正愈演愈烈。而近期國家安全委員會的成立、中央網絡安全和信息化領導小組的召開,意味著信息自主可控、信息國產化的戰略已提到了一個前所未有的歷史高度。
可以說,“棱鏡門”的集中爆發,說明了當今許多國家政府和企業對以美國為首的國外IT產品過分依賴,而任何電子信息產品都可植入后門,成為竊取國家和重要企業情報的工具,不知不覺中成為許多政府、企業的信息安全隱患。因此“棱鏡門”說明了國內信息安全的自主自控和創新已經成為事關國家安全的重大戰略問題,只有自主可控的國產產品才安全可信,才能有效筑起“信息長城”。
預計,今后中國IT產業將迎來前所未有的發展機遇,也將把鋼鐵企業的生產、經營和管理帶入一個全新的信息化時代。網絡信息安全從根本上來說是一個國家的主權,也是一個企業安全的核心所在。因此,IT產業將日益國產化,已和政治、軍事等戰略一樣,是國家重大戰略,它的意義已遠遠超出經濟范疇。并且,IT產業國產化,不是指在IT系統架構中的某一個環節,某一個部件,某一個局部范圍搞進口替代,而是整個IT系統基礎架構,包括網絡系統、計算機系統、操作系統到基礎軟件系統都要重建。這已經不是小修小補,而幾乎等于推倒重建,影響非常深遠。