【IT168 导购】2015年,信息安全依旧受两会热议。信息安全的话题,自从在两会报告中出现,便一路走高,热度居高不下,很多代表也纷纷就安全话题在两会中进行了提案。目前,国内的信息安全国产化已经初步取得了进展。虽然我们能看到国家和重点行业的政策与行动,正逐渐对信息安全及国产化推进工作越来越重视,但是很多行业的信息安全防护尚未成熟,截止目前为止,在移动设备的制造行业中,并没有一条相应的准则来规定移动设备的安全标准应该是怎样的。为此在“智能移动终端安全标准”研讨会上,与会专家、联盟代表、企业代表就智能移动终端操作系统安全、移动网络安全、安全标准的制定等方面进行了技术分享与探讨。
需通过海、网、云系统解决信息安全问题
随着移动互联网技术的飞速发展,移动终端、移动信息系统越来越广泛地应用于政府公务、企业办公和业务处理中,移动信息系统的安全问题也日益凸显。如何应对移动智能终端应用带来的新安全挑战,北京启明星辰信息技术有限公司首席战略官潘柱廷提出了三点建议:
首先是从用户视角,建议在关键基础设施部门、政府机构和敏感部门要实施首席信息安全官制度,从安全产业来说,这是从国家层面提升整个国家的安全;
其次从产业视角供应链来看更加透明,以便于往上追溯,使供应链风险的控制和供应链安全更加可控,与此同时告诉你的用户和你的下线,同时促成产业间良性的合作;
第三个是从新技术趋势来讲,就云计算、大数据、移动互联网这些都会带来很多新的问题。例如在云的环境里,由云供应商把云所有的事情,包括云的安全的防护都调整了,那这件事情是不是一个好事情,那从安全的视角来说,应该把安全的问题和正常的业务服务提供有一定的取舍,比如希望要求云的供应商提供第三方安全审查接口,为第三方对你的云的安全性和做到你所承诺相关的安全工作进行审核,这就使得用户和服务商之间两方关系变成一个审计方三方面的关系,但是如果要有这样的审计方参与的话,必须有云供应商的支持,所以实际上是希望能够形成某种制度强制他提供这种支持,那就是从第三方你要给政府部门提供监管这样的接口,为安全的服务商这样的第三方安全服务去做这样的一个接口。
关于这个问题,中国科学院信息工程研究所副主任、博导朱大力说:“在技术趋势发展的情况下,解决信息安全问题,我们不能像单纯终端的角度去切入,而是要做一个安全的平台,与这个安全领域相关的,我们都可以搞密码,其实不是这个概念。做这个整体方案的时候,我们提出来一个就是海、网、云协同的方案,海就是很多智能终端汇集到一起,我们叫做大海一样,网就是网络,我们手机通过移动的网络来实现这个数据连接的功能,所谓的云,平安服务就是云,你手机很多安全的服务都是后台云平台做支撑,那要解决这个手机安全的问题,需要我们在海、网、云三个层面上都要做工作,系统的来解决。”
以市场为出发点 发挥资源配置制定标准
那么智能移动终端安全标准又是什么呢,又是谁来制定标准?企业自己建立的是标准,行业制定的也是标准,国家建立起来的也是标准,但是恰恰现在大家都是往国家上靠,尤其是智能终端信息安全领域,针对这种情况,中关村网络安全与信息化产业联盟智能终端标准专家王克认为,标准不一定就是国家的,尤其智能终端信息安全这个事,所以我个人观点这个安全标准首先应该从企业做起,企业智能终端安全做起,联盟安全标准做起,然后上升到行业上升到国家。这个就是以市场来发挥市场配置资源的决定性的作用。这是由于一开始国家来制定的话,技术发展中的一个国家,从国家层面摸不清楚企业底线,第二个国家制定标准时间非常长,所以我认为要从企业市场做起,先是企业标准,然后是联盟标准,然后是行业标准,最后是国家标准。
对于专注于移动智能终端的E人E本北京研发中心总监任靖说:“从我们长期服务的党政军企客户来说,他们最关心最核心的需求是安全,每个人,甚至是产业链中每一个环节,对于安全的理解是不一样的,那么作为移动终端的厂商理解的智能终端安全又是什么,我们认为安全并不是一个功能点,在移动终端厂商来讲他是一个从网络安全到监管安全到我的本机的数据的保护的安全,操作系统的安全以及运行环境的安全完整的体系,因为我们的产品会设置很多安全保护的手段,包括一些生物识别的接入数据的加密,以及网络防火墙等一系列的功能,但是我们认为这些安全的技术手段,他所要保护的其实是敏感信息的数据,也就是说我们理解安全感知实际上是对终端数据的保护,E人E本恰好能做到更安全的防护。
记者手记:
纵观我国移动信息系统产品及移动互联网信息安全发展现状,移动信息系统安全还处于初级阶段,缺乏统一完备的规范体系,行业标准出台迫在眉睫。要积极主动向国际先进企业的合作模式学习,让市场发挥资源配置的主导性作用,升级产业链,增强产业创新活力,积极推动移动智能安全标准的建立。通过此次研讨会开启了我国企业自发联合制定网络安全标准的新模式、新途径、新方法,标志着由政府主导向企业自制的转变,为网络安全产业的发展提供了新的思路。
