关注“智慧中国”战略及实施方案

bandwidth-signal
10余年来,城市基础建设持续发力,5G新基建更是来势凶猛,无线局域网基本上覆盖了城市重要公共区域热点,但是其存在天然的安全性,容易被不法分子嗅探监听。而在城市里,光纤基本到楼入户、即使农村宽带往往都达到了100M,发达城市的部分家庭用户更是可达到500M,甚至数G。

的确,我国的宽带建设已经步入互联网较为发达的国家和地区,不得不说,在大的环境下,将宽带网络作为国家战略性公共基础设施是一项正确的决策。光纤和5G是高速公路,智慧城市和智慧中国则是跑在高速公路上的最大应用。中国在国家信息基础设施上已经积累了足够的经验,不过,我们仍然要注意网络和信息安全问题。

不可否认的是近年来,我国的网络信息安全保障水平逐年得到了逐步的加强,但是恶性的安全事故仍然不时会有发生,特别是针对DNS系统的破坏和分布式拒绝服务攻击,这些都需要专业的系统防范能力和应急响应能力,推进信息安全和应急通信保障体系建设是必须的。

在强化基础网络、核心系统及关键资源的安全掌握能力之时,我们还得注意终端的安全防范,特别是近年来恶性的DDOS攻击让人们再不得忽视终端计算安全。昆明亭长朗然科技有限公司互联网安全观察员James Dong说:让我们想想看,当大众终端接入到达1G时,要发起拒绝服务攻击,弄瘫痪一台10G的WEB服务器是多么的轻而易举,而想有效防范,却是异常艰难且花费巨大。

终端安全的问题核心实际上很简单,看看那么多机器空密码并且禁用补丁自动安装便知晓问题有多么严重,为什么这些用户不设置密码、不打补丁呢?为什么他们了解基本的安全常识呢?说到底,中国多数终端计算机用户缺乏基本的信息安全意识,也没有人向他们提供必要的计算机安全基础知识的培训。特别在偏远的乡村,人们甚至连防病毒软件都不去安装,他们觉得网上的东西都是外面的世界,只是来看一看……安全意识的缺乏不仅不会让宽带造福于他们,反而会让计算机病毒、恶意广告等等来毒害乡民。

城市重要公共区域无线局域网热点覆盖,无线局域网WLAN的安全问题主要在隐私保护以及移动终端方面,黑客们会注意到这些地方并且积极挖掘WIFI接入终端的价值。如果在安全控管方面不足,不仅会让多数移动计算终端受到入侵,更会带来系列后续信息安全问题,比如用户隐私被窃取和转卖、机密数据被曝光、智能手机或平板设备被植入恶意软件等等。

说到底,除了专业的队伍用于增强宽带网络安全保障能力之外,我们要特别注意加强用户安全宣传教育,构建全方位的社会化治理体系,着力打造安全、健康、诚信的网络环境,需从全体国民的信息安全意识抓起。昆明亭长朗然科技有限公司是国内领先的互联网安全意识教育中心,为保障“智慧中国”战略及实施方案提供足够的人员安全保障。

保障信息安全要依常识行事

近来两三起高学历博士夫妻不知人类如何延续后代的新闻引起了社会大众的深思:常识,其实远不是人们想当然中的那么普及。在信息安全领域也是如此,很多组织机构在出现重大安全事故之后才会重视信息安全,而缺乏足够的安全基础知识,让这些组织机构的安全负责人和高层领导被忽悠,更让匆匆制定的安全解决方案成了头痛医头、脚痛医脚、治标不治本的止痛药。

也别指望找个三五家安全厂商,让他们跳上舞台表演安全解决方案秀,就能从中学习和掌握核心的安全管理知识体系。安全厂商面临着生存和发展的压力,安全问题的解决方案本身不赚钱,赚钱的还都是些方案中使用的商业产品或服务,就凭这点儿,企图想从安全厂家那里得到正确的和适当的安全解决方案无疑是黄梁一梦。

那我们的安全问题如何才能得到解决呢?世间任何事都有前因后果,出现安全事故当然原因不是所谓的风水不好、运气不佳,而是整个安全管理体系的不足。让我们跳开具体的安全事故,或许造成严重后果的最直接的诱因只是随机的一个小事件、粗心大意或恶作剧,然而不能将这最直接的诱因看在成孤立的部分或必要的条件。

水滴石穿非一日之功,冰冻三尺非一日之寒!严重安全事故的发生必定和多方面的整体的环境因素有关,通常我们能看到的造成严重安全事故的最“直接”的诱因只是撞上临界点的“倒霉鬼”,更是巨大冰山露出海面的一小部分。比对于安全解决方案,我们能够说削平这冰山的小山头就完事了吗?

安全意外事故的发生不能完全避免,所以,当有严重安全事故发生时,不要有病入膏肓的世界末日之悲叹,但是也不能掉以轻心,更不能在受到上司的高压之下变得六神无主,失去自我。

尽管信息安全咨询顾问服务现在逐渐升温,但是在信息安全的迷惘时期千万不要急于找外援,因为迷惘或心情不佳的时候很容易被蒙骗或犯下巨大的错误,当我们越是急切地想解决问题的时候,越是容易出错,不是吗?

正确的方法如何呢?通常在安全管理负责人会将安全事故控制在一定范围内,这是通过一定的应急事件响应流程实现的,即使这流程并没有黑纸白字写下来。将安全事故所能造成的影响控制到最低之后,便需要好好反省,不要急于找出“根本原因”,因为拔出萝卜带出泥,“根本原因”往往都是安全管理的不到位,但是在技术层而又需要有台阶可下。

在技术层面要找出合适的“根本原因”的指导宗旨是更多安全资源的获得,但这里所讲的“安全资源”绝不能仅限于技术类的安全控管措施,比如安全产品和技术等等,更多应该放在安全流程措施和安全人力资源。

管理层谈资源管理,技术专家往往会不屑一顾,认为是在搞华而不实的政治斗争,要落实下去还得靠技术控管手段,实际上这是一种浪漫主义的想法,因为技术控管手段的实施最终依赖的是人,受影响的也是人,而多数人并非像安全技术专家那样能够理解和接受这些技术控管手段,忽视“人员”的安全技术系统实施是不会取得成功效果的。

问题何在?安全技术方面的专家往往像高学历博士夫妻一样,研究安全问题比较深入,也可以说很精专,但是不够全面和系统,而信息安全却是一件系统工程,需要安全技术专家来攻坚,但更需要管理方面的人才来整合及领导安全的系统化运作。

所以,不要理睬那些“输入一条指令就可永久解决”,“装台防火墙就能防止类似事件再次发生”或“应该安装数据防泄露系统”等等之类的肤浅说辞,也不要被大概念如安全运营中心SOC之类的玩艺儿冲晕了头。

保障信息安全,要依常识行事,而且必须依常识行事,这里的常识是指国际通行的信息安全管理体系标准。

事实上,即使在安全行业里,仍然没有多少人懂得标准,尽管他们都会说出这些标准的名字,就如同多数不打篮球的人们谈到NBA,都会提及林书豪的名字一样。

注意,在安全认知上没有修炼到一定的程度,是看不懂信息安全管理体系标准的,也没有什么兴趣,这点不难理解,可以找精通这些的专业人士进入信息安全管理层。问题是千万不要摆出“中国特色”或“我家特点”的一幅自大姿态,来批判信息安全管理体系标准,因为这些批判显然是自身无知、而又不愿意承认才造成的一种消极抵抗。这种消极抵抗很可怕,他们拒绝信息安全常识,而且到处传递负能量,想让真正有需要的人得不到常识的洗礼。

常识需要得到普及,考虑到安全管理层往往并没有多少富余时间,昆明亭长朗然科技有限公司特别引进了全球通用的安全常识——信息安全管理体系实施指南,并进行了必要的本地化工作,最终酿制成一部三小时左右的在线教学视频——《九章信安》。

然而,常识并不应该独享,我们建议安全管理负责人员同安全技术专员们沟通,拉动安全团队中的所有从业人员一起接受普世的安全常识和理念,唯有如此,安全团队内部方能顺利地就安全问题和解决方案达成一致,方能用正确和适当的方式来保障信息安全。