近日�,由中國信息技術(shù)服務(wù)產(chǎn)業(yè)聯(lián)盟主辦,工業(yè)和信息化部軟件與集成電路促進(jìn)中心承辦的第六屆中國信息技術(shù)服務(wù)產(chǎn)業(yè)年會(huì)召開�����,探討新常態(tài)和互聯(lián)網(wǎng)+下信息技術(shù)服務(wù)產(chǎn)業(yè)的發(fā)展思路���。
中國工程院院士沈昌祥認(rèn)為��,等級(jí)保護(hù)完全適合于大數(shù)據(jù)的處理���,不同重要程度采取不同的管理安全措施來達(dá)到保障,全過程增加信息安全保障能力的���。
中國工程院院士沈昌祥
以下為演講實(shí)錄:
大家已經(jīng)知道了沒有網(wǎng)絡(luò)安全就沒有國家安全��。大數(shù)據(jù)已經(jīng)成為信息行業(yè)的熱題,大家都以大數(shù)據(jù)來處理各種問題��。大數(shù)據(jù)的安全問題是當(dāng)務(wù)之急�����,它是什么�����?我們所說大數(shù)據(jù)是什么東西��?我們一定要搞清楚大數(shù)據(jù)不光是數(shù)據(jù)大�,我們應(yīng)該抓住大數(shù)據(jù)的實(shí)質(zhì)是什么?所以我們說大數(shù)據(jù)不光是數(shù)據(jù)量大就叫大數(shù)據(jù)?���,F(xiàn)在社會(huì)上流行的每家每戶都是大數(shù)據(jù)源,數(shù)據(jù)源大了就叫大數(shù)據(jù)����?
我說不是,我說大數(shù)據(jù)不光是數(shù)據(jù)大�,是一個(gè)數(shù)量特征不是一個(gè)單元,是多元異構(gòu)的數(shù)據(jù)量大�����。請(qǐng)注意是來自多方面多單位,多行業(yè)的數(shù)據(jù)集合�,數(shù)據(jù)大就叫大數(shù)據(jù)。
第二數(shù)據(jù)種類非常之多�,而且就這一塊因此構(gòu)成了非結(jié)構(gòu)化的這樣的結(jié)構(gòu)。結(jié)構(gòu)破壞了�,因?yàn)閬碜远喾疆悩?gòu)的。
第三因此這些數(shù)據(jù)幾乎各家各戶不需要這些數(shù)據(jù)��,數(shù)據(jù)作為各單位已經(jīng)沒有價(jià)值了是垃圾����,因此它本身的價(jià)值的密度很低,但是垃圾里面有金礦可以梳理出很有用的東西來���。
第四我們要處理快�,實(shí)時(shí)處理����,不要讓垃圾堆山,把有用的知識(shí)�����,有的規(guī)律歸納出來就夠了�。
簡(jiǎn)單比喻一下我們綜合處理各家各戶不需要的數(shù)據(jù),沒有價(jià)值的數(shù)據(jù)���,收集起來重新處理再深度挖掘��,發(fā)現(xiàn)一些規(guī)律性東西��,事實(shí)性的東西��,戰(zhàn)略性的傳播��,我們要把大數(shù)據(jù)含義搞清楚�,把真正大數(shù)據(jù)影響說清楚��。通俗解釋就是數(shù)據(jù)垃圾的綜合處理�。因此,大家想想從垃圾數(shù)據(jù)收集中間處理���、挖掘����,然后它的成果出來了��,有價(jià)值東西出來以后,如何處理��?如何保護(hù)����?如何分配?發(fā)揮它的效應(yīng)��,全過程都要注重它的安全��,網(wǎng)絡(luò)安全����、系統(tǒng)處理安全、供應(yīng)鏈安全再加上數(shù)據(jù)安全才發(fā)揮體現(xiàn)�����。怎么辦��?我們從兩個(gè)方面考慮�。一個(gè)要納入社會(huì)管理體系,也就是等級(jí)保護(hù)�����,等級(jí)保護(hù)完全適合于我們大數(shù)據(jù)的處理。等級(jí)保護(hù)我們可以這么看����,不同重要程度采取不同的管理安全措施來達(dá)到保障�。因此說我們?nèi)^程增加信息安全保障能力的。
我們分為五級(jí):
第一級(jí)大家自己處理可以了���,最低的��,叫做自主的����。
第二級(jí)一定范圍的����,不是自己個(gè)人說了算,一個(gè)單位說了算���,所以我們叫單位的自主級(jí)�����,也就是說一個(gè)單位好多人用����,好多人處理,你要做一個(gè)記錄�����,我們叫做審計(jì)�����。
第三級(jí)涉及到社會(huì)秩序公共利益����,那就不是單位說了算了,要系統(tǒng)說了算���,也就是人要定權(quán)限�,強(qiáng)制訪問控制��,也就是一個(gè)單位有保密系統(tǒng)定級(jí)��,由它規(guī)定它的訪問規(guī)則��。第三級(jí)為安全標(biāo)識(shí)保護(hù)級(jí)�。
第四級(jí)我們叫做結(jié)構(gòu)化保護(hù)級(jí)��。太重要了涉及到重大特別嚴(yán)重的社會(huì)秩序公共利益的損害��,或者嚴(yán)重影響國家之間的安全���。比如說像電網(wǎng),它破壞以后社會(huì)停電了等等��。因此我們要標(biāo)識(shí)強(qiáng)制訪問控制��,什么人訪問什么事���?保密性有了還不行,要嚴(yán)格管理�����,沒有可以旁入的�,我們保密標(biāo)識(shí)還不行,要加固�,結(jié)構(gòu)化嚴(yán)密管理。
第五級(jí)影響國家嚴(yán)重安全要更嚴(yán)格更實(shí)時(shí)提供保障��。第五級(jí)為訪問驗(yàn)證保護(hù)級(jí)��。
我們一級(jí)一級(jí)增強(qiáng)來進(jìn)行保障全過程全系統(tǒng)。我們首先要定級(jí)然后要建設(shè)然后測(cè)評(píng)然后運(yùn)維管理一系列的規(guī)定�。
我們等級(jí)保護(hù)是要有制度性的,更重要構(gòu)建等于保護(hù)大數(shù)據(jù)終身防護(hù)的體系結(jié)構(gòu)�����,從技術(shù)上解決問題�。所以說我們應(yīng)加快構(gòu)建多層次、高質(zhì)量的多重防御大數(shù)據(jù)防護(hù)體系���。
第一是加大數(shù)據(jù)資源���、環(huán)境、系統(tǒng)保護(hù)�����。建設(shè)多重多元的防護(hù)�、多級(jí)互聯(lián)的體系結(jié)構(gòu),確保大數(shù)據(jù)處理環(huán)境的可信�。垃圾處理如果處理工廠出了問題這是禍害。
第二要加強(qiáng)處理流程控制����,你處理過程內(nèi)部人員出了問題�����,一切都完蛋了�����,要提高計(jì)算結(jié)點(diǎn)自我免疫能力�����。
第三要加強(qiáng)全局層面安全機(jī)制�����。等級(jí)保護(hù)由不同的訪問規(guī)則確定的,制定數(shù)據(jù)控制的策略�����,梳理數(shù)據(jù)處理的流程�����,建立安全的數(shù)據(jù)處理模式。
第四加強(qiáng)技術(shù)平臺(tái)支持下的安全管理�。我們要基于安全策略進(jìn)行管理,應(yīng)該與業(yè)務(wù)處理流程嚴(yán)密結(jié)合��,監(jiān)控與我們平時(shí)相關(guān)管理制度相結(jié)合���。
總體來說我們要做到可信�、可控�、可管。這樣做以后大數(shù)據(jù)處理過程攻擊人進(jìn)不去�����,進(jìn)去以后有用的大數(shù)據(jù)也拿不到����,尤其是處理結(jié)果拿不到,我們是加密的�。你拿到以后也看不懂無用,你進(jìn)去以后系統(tǒng)和信息改不了�,系統(tǒng)工作癱不成,攻擊行為賴不掉�。
怎么構(gòu)建積極防御?我們說要可信免疫��、主動(dòng)防御。大數(shù)據(jù)我前面講了過程相當(dāng)復(fù)雜�����,每一個(gè)環(huán)節(jié)都有安全問題�����,靠銀錢封堵查殺老三樣�,防火墻、IBS����、殺病毒不解決問題,防不勝防���。
我們要可信計(jì)算來解決問題���?�?尚庞?jì)算指得是一般計(jì)算一般防護(hù)����,使計(jì)算結(jié)果總是與預(yù)期一樣,全程可側(cè)可控不被干擾。說的更白一點(diǎn)它是防護(hù)運(yùn)算并行的我們叫免疫計(jì)算模式�。
是一種運(yùn)算和防護(hù)并存的主動(dòng)免疫的新計(jì)算模式,具有身份識(shí)別���、狀態(tài)度量��、保密存儲(chǔ)等功能�。及時(shí)識(shí)別自己和非己成分��。有害物質(zhì)消滅破壞它�����。
早期60年代以前到70年代以前是大型計(jì)算機(jī)����,都用過的,相互之間要打架���,相互之間要干擾��,采取很多可靠性措施�����,后來覺得太復(fù)雜了����,做小一點(diǎn),于是出現(xiàn)了小型機(jī)�,小型機(jī)不光解決可信計(jì)算問題,而且它可以實(shí)務(wù)處理���。70年代用諾娃小型機(jī)進(jìn)行電話轉(zhuǎn)報(bào)��,因此可用性出現(xiàn)了�。再小一點(diǎn)出現(xiàn)了PC機(jī)����,個(gè)人計(jì)算機(jī),我給你提供資源和別人沒有關(guān)系����,因此簡(jiǎn)化計(jì)算機(jī),這是對(duì)精細(xì)化有作用����。
沒有實(shí)踐就聯(lián)網(wǎng)了��,一聯(lián)網(wǎng)以后你的也是我的,我的也是你的�,下面又打架了,因此計(jì)算機(jī)結(jié)構(gòu)的簡(jiǎn)化措施就形成了根本問題�����。PC機(jī)就相當(dāng)于一個(gè)生下來的孩子沒有免疫系統(tǒng)一樣���,因此這個(gè)孩子只能生活在無菌的狀態(tài)下���,要?dú)⒉《荆@孩子免疫太差了�����,把門關(guān)起來���,嚴(yán)禁進(jìn)去�����?����?梢娺@是不解決問題的�,因此我們?cè)诂F(xiàn)有簡(jiǎn)單計(jì)算機(jī)幾何螺旋式上升,又回到大型多元結(jié)構(gòu)上進(jìn)行防護(hù)了。我這個(gè)圖是PC機(jī)結(jié)構(gòu)很簡(jiǎn)單,右邊我們要加免疫系統(tǒng)�����。
這樣做了以后就可以在體系結(jié)構(gòu)上、操作行為上����、資源配置上,數(shù)據(jù)存儲(chǔ)上���,策略管理上不會(huì)被篡改是可信的���。構(gòu)建成為這么一個(gè)科學(xué)的體系結(jié)構(gòu),積極主動(dòng)三重防護(hù)框架�。我們結(jié)構(gòu)是非常科學(xué)非常先進(jìn)的�。
我們重新體現(xiàn)以訪問控制為核心,實(shí)行主體按策略規(guī)則訪問不同等級(jí)數(shù)據(jù)�,確保全程的和控。推行最小權(quán)限管理原則,尤其是高等級(jí)的系統(tǒng)實(shí)行三權(quán)分離管理體制�����,確保數(shù)據(jù)資源可管��。
