时间:2022-02-04 11:50:51
序论:在您撰写信息安全行业调查报告时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
安全技术需自主研发
网络信息安全行业不是普通行业,是关系到国家安全的特殊行业,中国国产企业在从事信息安全行业时,需要有强烈的爱国主义情怀和刻苦研发技术的实干精神。
表示,中国的信息安全更应重视核心技术的自主研发能力。在电子银行与移动支付兴起的今天,金融业务中电子银行和证券等领域面临着网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。众人科技研发的‘iKEY多因素动态密码身份认证系统’正是针对信息安全问题所研发的认证系统。
记者了解到,“iKEY多因素动态密码身份认证系统”是基于时间同步技术的多因素认证系统,该系统已获得了国家密码管理局颁发的国内首张动态口令产品证书,相关的专用安全芯片也获得了国内产品型号证书。
去介质下的认证技术
最新数据显示,截止2015年底,全国网民数规模已达到6.88亿人,手机网民数达到6.2亿人,占网民总数的90.1%,其中网购用户规模达到4.13亿,比例高达六成;截至2015年12月,网上支付用户规模达4.16亿人,手机网上支付用户规模达3.58亿人,增长率为64.5%。网民手机网上支付的比例由2014年底的39.0%提升至57.7%。
庞大的网民逐渐使用起网上支付这种便捷移动的方式,但背后却有着巨大的网络安全隐患。就中国而言,每年造成805亿资金损失,人均124元。其中约4500万网民近一年遭受经济损失在1000元以上,全球范围内的网络犯罪掘金已高达3万亿美金。
推测,随着支付、存款、转账、理财、信贷等金融服务的线上化,未来金融服务不再依赖于实体的银行卡,银行物理网点也将转型并逐渐消失,未来银行的介质是可以多元化的,比如虹膜、指纹等,甚至银行卡实体会“消失”或者虚拟化。
基于这些实际情况,上海众人网络安全技术有限公司的研发团队最新发明了移动互联网创新密码技术——SOTP,即“多因素动态可重构的确定真实性认证技术”,实现了密钥和算法的融合,在无需增加硬件的前提下,采用软件方式解决移动设备中存储密钥的关键性问题。表示:“该项技术从加密协议到密码算法的所有部件都由众人科技自主研发,在业界具有领先优势。”
提高全民安全意识
据《中国网民权益保护调查报告(2015)》显示,79.2%的中国网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号和工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址等等。
未来,随着民众对信息安全的重视,信息安全技术逐渐升温,很多信息网络企业开始积极投身到这个领域,说:“网络信息安全企业不同于普通行业,信息安全人士需要有持久的耐心,由于安全密码行业的认证许可门槛高,研发的新技术从获得政府监管部门的认证许可,到产品真正被市场认可并应用,需要经过漫长的时间。”
另一方面,认为提高广大民众和企业的信息安全意识是发展自主信息安全产品的根本与前提。但大多数人对信息安全还停留在模糊认识的阶段,为此,众人科技团队曾四处奔走为信息安全摇旗呐喊,致力于提高广大民主的信息安全意识,增进公众对信息安全的关注和投入,为信息安全行业的发展创造一个良好的环境。
中小企业数量和信息化的程度越高,尾巴就越长;针对中小企业的攻击越多,尾巴的厚度也就越大。
简单来讲,安全中的长尾现象是由信息安全攻守双方的交错制衡而产生的,具体表现有两个:安全风险长尾和安全市场长尾。
安全风险长尾
2011年工信部的《“十二五”中小企业的成长规划》中表明,到2010年末我国的中小企业数量是1100万家,如果再加上个体工商户,总共会达到4500万家,这些中小企业在国家的国民生产总值,包括就业岗位累计起来已经超过了大型企业。另据CNNIC的调查报告,中小企业使用计算机的比例在90%以上,使用互联网的比例在85%以上。而这些中小企业目前的信息安全防范手段非常薄弱。国内曾经有一家公司做过调查,问中小企业安装企业级杀毒软件的比例有多少?调查结果是只有20%的中小企业用了企业级的杀毒软件。而企业杀毒软件仅仅是企业安全防御最基本的一种,由此可见国内中小企业的安全防范水平非常低下,导致了广泛存在的安全风险。
简单讲,中小企业面临的风险有三种:第一、显性风险,指安全问题会导致这个企业发生的直接损失,包括经济损失、名誉受损等。第二、隐性风险,指由于产业链条上不同企业具有的安全问题给链条之上其它企业带来的安全风险。第三、社会风险,是指由于中小企业自身的计算机等设备被黑客控制后可能对社会造成的潜在风险。如果我们按照风险大小作为纵轴,将企业按照规模大小排列在横轴上,因为在中国的中小企业数量非常巨大,所以横轴就会非常长,并且形成了一个风险的长尾。中小企业数量和信息化的程度越高,尾巴就越长;针对中小企业的攻击越多,尾巴的厚度也就越大,而这些就是目前的趋势。我们有理由相信,位于长尾部分的中小企业的安全风险随着目前这种趋势会越来越大,甚至累加起来的总和会超过大型企业的累积风险。如果针对这部分安全风险长尾我们没有进行适当的控制,它对我们整个国家的社会环境和经济环境就可能会造成直接影响。
2011年CNCERT中国网络安全状况报告,表示经抽样调查发现在中国网络中有890万台计算机是僵尸计算机,就是已经被人恶意控制了。2012年,CDN厂商Akamai全球互联网状况分析报告,表示全球网络攻击来源地区第一名是中国。来源于中国的攻击未必是中国人在背后操控,但是这样会给人一种印象,认为中国的互联网环境是不安全的。
安全市场长尾
既然中小企业数量这么大、风险这么高,那么为什么他们没有实现有效的信息安全防护呢?其主要原因非常简单,第一是没有钱,第二是没有人。即使企业规模很小,按照传统的建设方式,企业也往往要一次性投入几万、几十万才可能建立相对完备的信息安全体系。此外,信息安全维护需要紧跟安全威胁的趋势,但是中小企业很难有合适的安全技术人才对这些安全产品进行维护。中小企业自身没有条件,那么安全厂商为什么不把这个目标瞄准这几千万家中小企业这个非常巨大的市场呢?作为一个安全厂商或安全集成商,给企业提供安全的产品和服务是有成本曲线的,包括推广成本、销售成本、运营成本。这些成本不随着中小企业服务对象规模的缩小而降低为零,这个成本是相对固定的,而且在一定程度下会超过目标企业的预算。成本曲线和企业的预算曲线有一个交叉点,这个交叉点右侧这部分对于安全从业者来讲就无利可图了。
下面,我们分析为什么我们可以利用云安全服务这种新兴的安全建设方式来解决这个问题,将众多中小企业原来由于成本问题而制约的需求释放出来,形成一个新的安全长尾市场。首先从用户投资角度分析,他们只需要按需租用云安全服务,而且可以根据公司规模进行弹性地租用。从用户维护来讲,是不需要企业客户来费心的,基本所有维护都是由云安全服务商进行,这样,困扰中小企业的钱和人的问题就解决了。从云安全服务商来讲,采用SaaS这种模式的安全服务非常类似于互联网产品,它的渠道建设、销售、服务等都可以采用在线的方式,因此成本曲线会下降,从而降低到了中小企业客户可以承担的程度,这样就形成了一个巨大的新的安全市场。
目前越来越多的安全厂商和服务商开始在云安全服务市场发力。McAfee在全球联合很多运营商和服务合作伙伴企业提供多种类型的云安全服务,在这个领域具有超过十年的经验,在中国也联合国内的合作伙伴落地了部分云安全服务。之前数月内,中国电信安全服务中心了网站保护“安全云服务”,进入了这个广阔的市场。安全行业先驱、原Netscreen创始人邓峰先生投资了云安全服务企业安全宝,为这个市场添加了浓墨重彩的一笔。
砍伤学生者被批捕
12月14日,河南光山县文殊乡一名男子持刀在该乡陈棚村完全小学门口砍伤学生。现已查明,受伤的学生22人,民众1人。制造这一血案的凶手叫闵拥军,目前已经被检察机关以危险方法危害公共安全罪批准逮捕,受伤孩子也已受到妥善救治,均没有生命危险。据调查,该案是当地一年多内的第三起校园安全案。
法律硕士政法大学
12月12日,中国政法大学78位法律硕士生集体向法院提讼,称2010级学生的新生奖学金是9000元,2011级学生却只有2000元,校方相关行为违法,并要求补发之前的奖学金。法院以学校非行政机关为由未立案。校方称,奖学金降低是由于教育部拨款取消,尊重学生权。
邮政局严查用户信息泄露
近期,快递单号被大面积泄露,甚至衍生出多个专门交易快递单号信息的网站。针对这一情况,国家邮政局日前对全国各地方邮政管理局下发《关于严密防范寄递企业及从业人员非法泄露用户使用邮政服务或快递服务信息的通知》,要求全行业迅速开展寄递企业信息安全检查工作。
宣扬“末日说”者被拘留
5名妇女因在武汉街头大量散发传单,宣扬12月21日将是世界末日,日前被湖北武汉警方以涉嫌扰乱公共秩序给予行政拘留10天。12月初,市民举报有人手持非法传单,在小区和街道散布“世界末日”传单,称“从12月21日开始,地球将连续3天不见太阳。以后太阳将从西边升起,人类将面临72天灾难”。
时尚的原罪
绍兴滨海工业区印染年生产总量50亿米,占全国十分之一。来自有毒生产车间的印染产品,被制成新鲜时装快销到世界各地。这片曾盛产蚕丝和美女的水土,正被印染厂改变面貌。水质和空气污染导致附近癌症肆虐,村民投诉石沉大海,他们没有健全的医疗保险,得病只能等死。
数据控
1年半
73岁的瑞典航海家斯文·于尔温德拥有50年的航海经验,自今年3月起他动手打造一条长3米、宽1.8米的迷你“浴缸船”,准备花1年半时间环游世界。他将由爱尔兰出发,途经南非和澳大利亚,航行4.8万公里。他的小船重约1.5吨,用玻璃纤维等材料制造,载有400公斤麦片和沙丁鱼罐头。
84%
你觉得自己被大材小用吗?一项由加拿大某公司所做的全球调查显示,高达84%的中国人认为自己被大材小用,高居全球榜首,排名第二、第三位的是土耳其以及希腊,分别有78%和69%。觉得自己大材小用的比例比较小的三个国家分别是——卢森堡23%、丹麦25%和比利时28%。
信息人才教育培养途径
1.学历教育
加强学科专业建设是加强信息安全人才培养的一个重要途径。自2001年教育部批准信息安全专业以来,我国已有100多所高校设置了信息安全类相关本科专业。2015年,国务院学位委员会、教育部联合发文《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平,为网络空间安全学科的发展带来机遇。事实上,网络空间安全学科在我国经过10多年的发展,理论和技术已经较为成熟,主要体现在以下几个方面:一是网络空间安全学科具有明确的研究对象,并形成相对独立的理论体系和研究方法。研究对象是网络空间及其安全问题。二是网络空间安全已经形成了若干相互关联的二级学科研究方向,密码学及应用、系统安全、网络安全是本学科多年来公认的三个比较成熟的研究领域,另外,还包括网络空间安全基础理论和应用系统安全。三是网络空间安全的研究已得到国内外学术界的普遍认同,并已经积累了多年的研究或信息安全相关专业人才培养的经验和基础。高校的信息安全和网络空间安全专业学历教育毕业生是网络信息安全人才培养的重要渠道之一。
2.安全竞赛
信息网络安全具有很强的实践性,高校培养的信息安全人才和企业的实际需求还存在一定的差距,为了解企业对于信息安全人才的需求,高校师生参加网络安全技能竞赛,通过竞赛查不足、补短板,激发学生的学习热情,增强学习的针对性。高校可与网络安全相关度高、需求迫切的企业建立长期对口合作关系,根据企业实际需求培养学生实践能力。
3.单位内训
高校毕业生毕业进入企事业单位后,需要快速融入企业,掌握本岗位所需各种技能,很多单位针对信息安全从业人员组织单位内训。目前,很多单位采用在线授课和面授方式组织单位内部的信息安全培训。通过短期面授的方式组织信息安全培训,快速提升企业员工的岗位技能。企业内部的在线教育平台提供信息网络安全实践环境,这些在线教育的平台除了可以提供面向信息安全相关专业的相关课程实验之外,还紧跟国内外最新的安全技术发展与典型的安全热点事件,通过适当的简化与还原,为单位内训提供一系列与时俱进的创新型实践环境。
4.持续教育
信息安全持续教育是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。国内与信息安全行业相关的培训机构也逐年增多,通过培训机构的持续教育提高信息安全专业毕业生的总体水平。国内现有的信息安全认证培训已经建立了多层次、综合性与专业性相结合的体系,从数量到质量都得到长足发展,为国家信息安全的人才培养打下良好基础。通过开展面向信息安全认证从业人员的专业持续教育培训工作,提高了信息安全认证相关人员的执业水平,加快了我国信息安全专业技术人才队伍的培养,保障了信息安全认证人员队伍的质量和数量。
信息安全人才教育培养所需条件
信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。
1.体系化教材
体系化优秀教材是网络空间安全专业人才的关键,但是,这却是一项十分艰巨的任务。原因有二:其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库等多门学科,因此,其知识体系庞杂、难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对环境和师资要求也很高。教材是教学的基础。优秀体系化教材建设需要制定科学合理的网络安全教材编写方案,邀请高水平学者加入教材编委会,明确分工、层层把关,做好教材的编纂、评审和发行工作。此外,还可以开发视频教学资源,推动传统书本教材向多媒体互动式教材转化提升,可加强入门性、普及性培训教材和相关科普读物的编写。
2.专业化师资
信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。
3.系统化实践
网络空间安全是一门综合性学科,不仅具有很强的理论性,同时也具有很强的实践性,许多安全技术与手段需要在最新的仿真实践环境中去认识和体会。提高学生维护网络安全的实际能力,需要结合课程设计逼真的网络攻防环境,搭建基于网络对抗的仿真模拟演练平台,进行系统化实践才能为社会提供具有丰富的理论知识和良好的实践技能的应用型人才。
今年IT界轰轰烈烈的QQ大战360,一度搅动了整个即时通讯和杀毒软件市场。
随之而来的是面向个人用户的传统杀毒软件厂商纷纷竖起了免费大旗,卡巴斯基、金山毒霸、可牛杀毒、瑞星杀毒、Avira AntiVir、AVG杀毒相继推出全免费或免半年、免一年的优惠。
此前,在桌面安全领域,付费用户的比例接近40%。360的出现,使得免费杀毒大行其道,并成了用户的习惯。
360正是靠着永久免费的策略,很快就笼络了上亿用户,到今年1月其市场份额已攀升至33.76%,成为我国装机量最大的杀毒软件。
据中国互联网络信息中心的调查报告显示:58.6%的网民愿意使用免费杀毒软件,而在收费杀毒软件用户中,35.6%的用户明确表示到期后不会再续费。
“免费杀毒正成为个人用户市场的主流。”近几个月来,多份分析报告如是分析。
“对于我们个人来说,免费是一种涤荡旧有思维的商业体验;对于互联网领域的企业来说,免费更多的是一种生存法则,一种可以改变旧有发展模式而实现脱胎换骨的动力机器。”美国《连线》杂志总编辑克里斯・安德森在其2009年畅销书《免费:商业的未来》中已经明确了互联网的免费趋势。
提供免费,若找不到清晰的商业模式,将难破盈利困局;坚持收费,意味着市场占有率的不断萎缩――靠出卖许可证赚钱的传统杀毒软件企业陷入空前危机。
虽然大势如此,但作为全球信息安全大佬的赛门铁克公司仍然坚持收费原则。赛门铁克公司的总裁兼CEO恩瑞克・塞伦认为,免费杀毒软件功能有限,一分价钱一分货,有效应对有针对性的攻击才是现阶段信息安全领域最重要的事。
一分价钱一分货
《中国经济和信息化》:前一阵的3Q大战已告一段落,杀毒软件的免费之风越刮越盛,你怎么看待免费杀毒?
恩瑞克・塞伦:一分价钱一分货。免费杀毒软件功能有限,免费是对不懂安全的业外人士的一种不公平做法,杀毒软件不是为了防范已有病毒,而是要针对不同的用户进行防范。
信息安全保护是个严重的问题,需要保护的不仅是电脑,而是关键信息,所以信息安全保护的质量必须要有保证。有效应对有针对性的攻击才是现阶段信息安全领域最重要的事。
上世纪90年代只有几百种电脑攻击,而目前每年就有300万种不同形式的攻击,业界总是有人在散播一种观念,认为免费的安全软件就够用,而实际的情况远非如此。这种免费做法的最终受害者还是用户。
《中国经济和信息化》:当今信息安全以及相关产业正经历着重大变化,今后提升信息安全的关键是什么?
恩瑞克・塞伦:五大要素正在成为今后提升信息安全的关键。
一是身份安全。在未来,人们可以从任何地方简单、安全地访问信息,以实现工作和生活的无缝转换。
二是设备安全。为网络设置防火墙已不够了,取而代之的则是信息和设备两者都必须得到保护。未来,基于信誉的安全是保护重要端点的正确方式。目前包括赛门铁克在内,全球很多行业内公司都在朝这个方向努力。
三是信息保护。在未来,加密技术、数据丢失防护(DLP)和身份保证将实现以信息为中心的安全防护方法,即将所有安全控制工作整合在一起,以确保信息访问是经过授权的。
四是情境与相关性。即在合适的时间为合适的人提供合适的信息。当今所有大型企业都深受非结构化数据的困扰,未来企业必须要建立一个能够理解情境(谁在请求访问信息)以及相关性(哪些信息能够满足该用户的需求)的IT架构。
五是云的实现。这个架构将可以根据企业需要提供更高的计算能力、更多的应用和存储。这一点即使是目前规模最大、投资最多的传统网络也无法做到。
数据的隐私保护
《中国经济和信息化》:未来IT业界中将有哪些趋势会在全世界产生深远的影响?
恩瑞克・塞伦:首先是消费化。将来,消费者将越来越多地成为新技术早期采纳者,他们会把他们个人的一些工具用到他们的业务当中。
其次是消费者的IT化,这是什么意思呢?也就是说很多消费者把技术带回了他们的家中,使他们的家庭变得更加数字化,更加技术化,因为他们有那么多设备,所以他们需要有系统管理员的能力帮助他们。
第三个是移动,今年有10亿台移动设备能够移动联网,预计到2014年全世界将会有100亿台设备能够移动联网。所以,移动是每个人都不能够错过的一个大趋势。
第四是社交化企业。今天,企业仍然在很大程度上是靠电邮进行合作的,但是我们会看到以全新的方式交互,很好地进行社交化的企业将来能够站在制高点上,他们的战略起点更高,但同时也会有更大的挑战。
第五是虚拟化和数据爆炸性的增长。预计到2014年非结构化数据和结构化数据的增长率将达到400%,而且增速会比今天的速度还要快。
第六是云计算成为最为重要的趋势,在人们讨论云计算会给他们的业务模式带来什么样的影响、加速云计算部署的同时,也必须要考虑到云计算带来的挑战。
第七就是威胁情况的变化,今天的威胁更加有针对性,针对个人、针对企业、针对关键基础设施进行攻击。因此需要新技术、新方法来防范这些威胁。
《中国经济和信息化》:从安全角度来说,这些IT新趋势对安全行业会带来哪些影响?
恩瑞克・塞伦:在以上的几个趋势中,最核心的是IT向云计算方向发展,而云环境则需要新的安全方法,我认为,安全是首要的关注点。
《中国经济和信息化》:云安全是一个很大的概念,一般消费者包括企业用户对其了解还是十分有限,那么你认为对云安全来说目前最大的障碍或者最应该思考的问题是什么?
恩瑞克・塞伦:在云安全方面最容易受到质疑的地方就是数据放在数据中心是否安全,与之相关的一点就是数据的隐私性保护。所以云安全最主要思考的两大问题:一个是数据的隐私性,还有一个就是数据安全的保护。
《中国经济和信息化》:目前赛门铁克在云安全领域并没有完全垄断,包括卡巴斯基、趋势科技以及国内的金山等安全厂商也都推出了类似的计划,而且都宣称自己提供的安全方案最具优势。你对此有何评价?
恩瑞克・塞伦:在云安全方面大家一般都在做三件事情。
首先是通过云来交付服务。通过云来递交以下的服务:电子邮件的过滤、网络流量的过滤以及归档,它们都基于云或者通过云来进行交付的服务。
其次是帮助云服务供应商搭建他们的云安全基础设施。
再次就是参加CSIA,也就是云安全行业联盟,主要是做一些标准化的工作,通过这种标准化我们就可以更好的和第三方的云服务厂商进行产品技术集成。
云安全是隐患
《中国经济和信息化》:云计算是当前的热门话题,你怎样看待云计算的发展?目前云计算的最大阻碍是什么?
恩瑞克・塞伦:在云计算的应用方面,其实世界各地都一样,都有五个障碍会影响到云。第一个是安全;第二个是可用性;第三个是延迟性,它的反应速度是不是足够的快;第四个是标准问题,是不是能够不断地合规,因为各个政府都有一些监管条例;第五是转换成本,如果你现在对一个服务商不满意,想转到别的地方,这个成本是多少。如果这五点都能很好的得到解决,那么云计算的明天无疑是美好的。
《中国经济和信息化》:安全问题又是云计算的最大隐患,同时现在安全市场每年大概是以两位数的速度在增长,你认为云计算每年能给安全市场带来什么样的增量?
恩瑞克・塞伦:在云计算方面,近五年的复合增长率是20%。这是全球累计的数据,没有不同的市场的具体数据。上个季度赛门铁克的财报结果非常好,在DLP业务和托管、安全服务方面都是双位数的增长。在我看来,对于云计算人们最担心的一点当然就是安全问题,所以安全软件的业务增长会持续下去。
《中国经济和信息化》:从你去年就职以来,赛门铁克就一直受困于存储业务增长缓慢和来自企业安全领域内部与McAfee的竞争压力之中。今年8月英特尔以76.8亿美元收购了赛门铁克的老对手McAfee,是否预示着全球安全软件市场将发生变化?
恩瑞克・塞伦:我们不便评价其他公司的做法,但是我认为一家身价400亿的公司收购一家身价20亿的公司,在专注性上肯定做不过我们。
《中国经济和信息化》:很多软件企业都在向移动领域进军,比如之前SAP并购Sybase,主要目的也是向移动终端方面进军。你对此怎么看?
恩瑞克・塞伦:确实,移动安全是一个非常大的机会,但必须要注意一点,不能认为在PC平台上的安全做好了就可以直接搬到移动平台上。移动设备用户有很多其他的需求,比如数据同步的需求、远程数据消灭的需求等等,除此之外还要不断挖掘那些在移动场景之下的客户新需求。
《中国经济和信息化》:独立的软件厂商今后应该如何发展?
恩瑞克・塞伦:当然希望以自己独有的方式展示自己的能力。赛门铁克现在已经创建了一系列的软硬件结合的产品,来服务于存储、备份和安全市场的需求,未来将给市场带来一种软硬件的集成解决方案。
链接
云计算的七宗罪
云安全联盟列出了云计算的七宗罪,主要是基于对29家企业、技术供应商和咨询公司的调查结果而得出的结论。
数据丢失/泄漏
云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。
共享技术漏洞
在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。
内奸
云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
帐户、服务和通信劫持
很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,入侵者就可以轻松获取用户帐号并登陆客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。
不安全的应用程序接口
在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。
没有正确运用云计算
在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速部署新的攻击技术在云计算中自由穿行。
未知的风险
那场发生在我们桌面上的争斗,不见流血,却让很多人感觉到痛。2011年伊始,动荡不安的安全领域再燃战火。近日,国内知名软件企业金山网络宣布旗下的金山毒霸将永久免费,这使得原本激烈的国内杀毒软件市场显得更加扑朔迷离。
360免费模式的成功挤占了金山、瑞星等收费杀软企业的生存空间,不少企业不得不向免费模式靠拢。
免费杀毒软件意味着360、金山需要依靠其它方式获得盈利。此前两家公司表示主要通过增值模式来维持公司运营,但360、金山到底利用庞大的用户基数实现了哪些增值服务?这些增值模式具体盈利如何、是否存在其他更不足为外人道的盈利模式?全都迷雾重重。
同时,杀毒企业的重地,企业级市场日前也爆出免费传闻。日前,熊猫安全公司携手中国最大的软件分销平台“买软件网”共同发起了“熊猫缘・共筑和谐网络”公益活动,宣布将为国内10000家中小企业免费赠送《熊猫云安全终端保护PCOP》。虽然此次活动并非终身免费,但这也让不少人产生疑问:企业级市场会不会被“免费”绑架,是不是也要燃起“免费”硝烟?
国内杀毒软件市场分为企业级市场及个人用户市场。360和金山的免费策略针对的主要是个人用户市场,其中360的“永久免费”策略使其个人用户市场占有率超过70%。
2010年4月,由中国互联网络信息中心的《2009年中国网民网络信息安全软件使用行为调查报告》显示:愿意使用免费杀毒软件的网民比例高达58.6%;而在收费杀毒软件用户中,35.6%的用户明确表示到期后将不再续费。对此,业内人士普遍认为,中国互联网服务未来将在很多领域都是提供免费的服务,就类似目前大多数网络游戏是免费一样,未来杀毒软件免费一定是大趋势。
对于金山免费杀毒的策略,业界也充满了各种争议。1月18日,金山毒霸因“表现最差”将被奥地利AV-C取消2011年的评测资格。此前,金山公司一直以“唯一进入AV-C主体测试的国产杀毒软件公司”为荣并进行宣传。
奥地利AV-C是全球最权威的杀毒评测机构,其报告在全球都享有极高的认可度。在其官网公布的最新一份2010年度总结报告中称, “尽管金山加入了云技术,却没能得到任何一个奖项。我们很遗憾地看到金山毒霸比去年退步了,它在所有杀毒软件中的表现是最差的,所以我们将不会把金山毒霸包含在我们的2011年测试中。”
一位业界人士对说,这也就意味着金山已经丧失了2011年参加AV-C这一国际权威评测的资格。
金山曾表示,不会采取360的以流量模式为基础,依靠非安全增值服务的营利模式,而是继续专注于安全。会推出安全增值服务,为一些有自己特殊需求的高端人士服务。显然,按照金山的说法,这一盈利模式的基础是建立在杀毒安全强有力的技术性。然而遭遇AV-C这一连串打击的金山,其安全性能技术指标的下降显然已是事实,其安全杀毒的品质难免会打上折扣,这对金山的未来是否会蒙上阴影,还是问号。
有了腾讯的助阵,绝地反击的金山再度燃起国内安全领域狼烟。
2010年12月1日,金山网络高调宣布旗下产品“金山卫士”全面开源。按照金山网络的计划,首期将公开“隐私保护”模块和“漏洞修复”模块的源代码,并承诺“其他所有模块将于两个月内全部对外开放”。
对一款杀毒软件来说,将源代码公之于众几乎就是它的底线。这意味着任何第三方厂商或个人都能自由下载、使用金山卫士的源代码,并可以利用开源代码进行二次开发的商业性使用。金山网络CEO傅盛表示,开源计划将不仅局限于金山卫士,金山网络核心的云安全也将通过API的接口形式对外开放。
傅盛肯定不会单枪匹马出现在这场战役中,有消息称目前金山网络正在与腾讯洽谈合作,这两家正是此前“3Q”大战中处在同一阵营的强力盟友。据悉,双方正在协商在QQ电脑管家中使用金山源代码。
自360推行免费杀毒软件颠覆了行业模式后,金山的开源能否再次撼动杀毒阵营?即便是拉拢互联网巨头腾讯一起合作。
开源赌博
傅盛表示,这一计划“主要是出于对安全行业乱象的不满,希望通过开源促使安全行业回归理性发展”。实际上,金山早已为“开源”偷偷造势。傅盛此前多次在公开场合宣扬金山网络要推“自由软件”的概念,要“让安全成为一场互联网人民战争”。
这一计划也充满着风险。业内人士担心,会有商家或个人使用相关源代码开发出有安全隐患的软件。对此,金山负责人在接受《IT时代周刊》采访时表示,会对普通开发者和核心开发者采取不同措施,主要区别在部分核心引擎代码的查阅权限上。“核心开发者将会面对严格的资质审核,所以不用担心反病毒技术被黑客利用。”
但金山能否真的如他所言“金山卫士开源将使安全行业彻底地告别以争夺用户桌面为目的的竞争”?
众所周知,开源计划更为人关注的风险还来自于营收。继金山毒霸宣布永久免费之后,金山卫士的开源也将成为近乎纯“烧钱”的项目。据悉,金山安全去年向金山软件贡献了2.5亿元的营收。免费和开源策略先后启动,金山网络如何盈利也成为业内关注的话题。
目前,免费杀毒软件的盈利模式无外乎两种:流量模式和增值模式。流量模式,指利用安全软件的话语权和公信力推广诸如浏览器、网址导航等其他产品,再利用这些产品做流量换取收入。360即通过这种模式成为安全领域的霸主。
但金山表示,将继续专注于安全,不会采取流量模式。因此,会推出安全增值服务。在互联网安全形势日益严峻的今天,“一些高端人士对安全需求会有自己的特殊性”。
据傅盛透露,在新公司成立时金山软件注入了一笔资金,这笔资金将足够支持金山网络运营3年。“这听起来像是一场赌博,但我们有信心能成功。”
有意思的是,就在金山宣布开源的前一天,360推出四引擎杀毒版本,并指同行的免费策略是“假免费”。
联手腾讯
3Q大战期间,金山毒霸与QQ电脑管家联袂推出了一款免费黄金套装软件。此款软件最特别之处,在于这是一种两家公司各自的软件组合而成的安全套装。
《IT时代周刊》记者注意到,早前傅盛接受采访时,曾表示“3Q之战对腾讯伤害更大”。此前业界有讨论称,此款套装软件组合的推出,意味着继与可牛合并后,金山决定正式联合腾讯对抗360。对于这一观点,金山方面在接受《IT时代周刊》记者采访时表示,作为一款永久免费的安全组合软件,目的只在于保护网民电脑安全,“与其它安全厂商无关”。
“傅盛是周鸿t的软肋,因为他太了解360了”,坊间一直有这样的传言。金山宣布开源计划,显然它的目标对手直指奇虎360。
360掀起的“免费杀毒软件时代”迫使其它厂家不得不打出“免费牌”守卫不断被360蚕食的市场份额。但即便如此,截至2009年底,360安全卫士的市场份额已经超过了72.8%,用户也超过2.1亿。不能否认的是,360免费模式带来的安全领域变革。中国互联网络信息中心(CNNIC)的《2009年中国网民网络信息安全状况调查报告》显示,愿意使用免费杀毒软件的网民占到58.6%,选择愿意使用限期免费正版杀毒软件的网民占到43.9%,更有35.6%的收费用户明确表示到期后不再续费。
一位安全软件领域资深人士表示,“360一路走来,恶意软件查杀、漏洞补丁修复和软件管家前三步精彩绝伦,非常符合用户体验和互联网原则。但在免费杀毒上,360破坏了整个产业的价值链基础。”360成为其它企业“众矢之的”也就不难理解了。
金山还把合作伙伴选择为在“3Q”大战中结下战役友谊的腾讯公司。据悉,双方正协商在QQ电脑管家中使用金山源代码的事宜。
本刊记者了解到,在金山的开源计划中,任何第三方均可无条件分享、使用、编译金山开源计划提供的专业安全产品,以此构建开放、透明、分享的互联网安全新秩序。“所以,不仅仅是腾讯,任何一家厂商都可以使用我们提供的开源代码。”傅盛认为。
提及与腾讯未来可能发展的领域,傅盛表示,因为金山会专注于安全领域,因此,“两家企业的合作也只能是在安全领域”。
无休止的战争
天下攘攘,皆为利往。
继2010年11月中旬宣布金山毒霸免费后,金山网络又宣布启动“开源计划”。虽然作为同行,瑞星和360表示不会跟随,金山的开源之举,却引起了一些专家的赞同。
在中国工程院院士倪光南看来,在当前云计算、物联网、三网融合等新一代信息技术发展的潮流中,开源软件有发展成为主导软件的趋势。北京大学软件与微电子学院副教授文伟平也表示,安全软件开源在国际上有先例。
有人将金山的开源计划形容为杀软市场的“绝杀”,并称这是对360免费政策的“釜底抽薪”。国内安全市场竞争的激烈程度可见一斑。
无论如何,金山的开源之举已经引起了业内广泛关注,并为国产杀软的发展方向提供了一种可借鉴的思路。
