西湖“论剑”话安全:煮酒论剑是不是成语

　　所谓WEB应用，通俗地讲，就是企　　事业机构在互联网上开放的应用入口，也是通常意义上人们常说的“网站”，其前端接受用户在WEB浏览器上发送请求，后端则和企业后台的数据库及其他内部动态内容通信。由于WEB应用的天然开放性，以及各种WEB软硬件漏洞的不可避免性，使得黑客们将注意力从以往对网络服务器的攻击逐步转移到了对WEB应用的攻击上。
　　根据最新调查，信息安全攻击有75%都是发生在WEB应用而非网络层面上。同时，数据也显示，三分之二的WEB站点都相当脆弱。但目前，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证WEB应用本身的安全。2011年底，国内互联网业界爆发的众多知名网站“泄密门”系列事件，其实只是掀开WEB应用威胁的冰山一角。今天，WEB应用防护和数据安全已经成为企事业机构信息安全综合体系中的核心与重点。
　　日前，在工信部信息安全协调司、浙江省经信委、杭州市经信委等单位和机构的指导和支持下，2012（首届）中国WEB应用防护与数据安全高峰论坛在杭州举行。来自安全界德高望重的专家学者、从中央到地方的各级相关信息化管理部门的领导、国内各重要行业机构和单位信息化主管领导以及众多中国信息安全企业界老总们，以“技术创新和行业应用”为主题，通过专家演讲、嘉宾互动和WEB攻防实战演习等形式，对WEB应用防护的技术体系建设和产品服务创新，尤其是针对国家重要基础行业应用的创新；构建行业WEB应用防护安全体系；国际WEB应用防护最新技术与理念；内网数据安全的管理架构与技术体系；重要行业WEB应用高安全防护实践等话题进行深入探讨。
　　本次大会覆盖了几乎所有当前信息安全方面的迫切问题，充分交流信息安全产业发展趋势，瞭望信息安全行业应用的态势，引导用户的采购选型，达到构筑业界最大交流平台、促进产业发展、沟通行业应用、推动我国信息安全建设稳步前进之目的。
　　建立网络秩序是网络信息安全工作的努力方向
　　当前，以互联网为基础的信息空间、信息网络已经成为政府和民众交流以及商务交流、贸易交流的一个重要平台，成为我们工作学习的重要空间，甚至已经成为我们世界经济重要的一种基础设施。因此，互联网世界迫切需要建立起应有的秩序。
　　正如浙江省经信委胡蓓姿处长在论坛上所言：众所周知的个人信息安全问题、公共系统的信息安全问题，包括其他工作当中遇到的信息安全问题，都与在网络空间中建立秩序紧密相关。我们既要维护网络空间的活力、网络空间的创造力，同时又要维护网络空间的公平公正；要让所有人在网络上能够表达自己的思想和言论的同时，又要在空间当中担负起相应的责任，让每个人能够依法行事。这是网络维持秩序的基础，也是政府信息安全主管部门一直致力于网络安全努力的方向。
　　近年来，我国信息安全的理论研究逐步成熟，信息安全政策框架逐步形成，信息安全部门的责任逐步明确，各项信息安全基础工作、基础设施建设都取得了一定发展。在浙江，信息安全工作围绕着构建可信、可靠的目标，建立了俗称“136”的工程，从管理、控制、技术三个方面全面加强安全信息建设。“1”即起协调作用的网络与信息安全协管平台。因为网络安全管理涉及到各个管理部门，所以浙江省经信委作为信息安全的主管协调机构，要发挥各个职能部门的作用，形成合力，加强对网络的管理；“3”是三个重点领域，即电子政务、电子商务和十个重点行业；“6”即六大体系建设工程，根据安全信息保障的要求，在6个方面加强信息安全的工程建设。
　　WEB安全面临云计算时代的新挑战
　　WEB作为互联网核心，是将来云计算和移动互联网最佳的载体，因此，WEB安全在云计算时代更要引起我们的高度关注。
　　国家信息中心专家委员会委员宁家骏认为：云计算和新一代移动通信时代的到来，向信息安全提出了新的挑战。首先，信息安全与我们密切相关。当前互联网正在不断地向移动化发展，用户对互联网无所不在的接入，以及从社会向用户的转入，使得国家政府、企业和个人，面临着更为严峻的网络危机。WEB的安全、虚拟化的安全是云计算必须要解决的核心问题，它既有原来传统安全问题的延伸，也带来了新的问题。比如说位置信息的泄露、身份信息的泄露以及一些其他领域。所以没有安全的云计算将是一个“晕计算”。其次，信息安全面临着新的形势。当前我国自身建设发展由于对安全重视不够，顶层设计和统一规划不够，使得目前的信息安全自身存在着问题；另一方面，由于改革的深入和发展，人们的公平意识、民主意识、权利意识、法制意识在不断增强，使得网络管理面临着巨大的内部挑战。此外，我国很多基于互联网的应用系统还存在着规模庞大、协议开放、应用逻辑复杂等问题，这也为提升重要信息安全系统保障提出了更加严峻的挑战。
　　因此说，新技术的应用延伸出了更加复杂的安全问题，使得国家政府、企业和个人，面临着更为严峻的网络危机。来自国外的安全威胁以及互联网竞争优势不对称态势日益增加，更让我国网络和信息安全问题日益严峻和紧迫。我国云计算面临的安全问题，既包括云计算集中化建立的设施安全，也包括数据的安全和平台的安全，更包括应用的安全。安全已经成为当前推进云计算必须解决的主要问题之一。
　　前不久，在国家发改委正式颁布的《“十二五”国家政务信息化建设工程建设规划》中，明确规定将加强信息安全保密作为该规划的重点工作之一，强调要满足信息化发展实际需要，坚持自主可控，着力提升国家网络与信息安全保障。在规划中明确列出了两项任务，第一是加强互联网出入口管理，第二是加强涉密信息系统安全管理。在今后的工作中，必须要通过建立完善的认证机制，进一步加强云中数据安全，特别是增强对安全的重视度；要加快制订相关的管理办法和标准，来提升云计算和云服务的管理，明确各方的责任；要加强对云服务专项工作的监管，同时要开展对云服务技术安全的检查，来加强对云计算中心安全保障工作的风险评估和安全检查；同时更要发展自己创新的云安全的服务和产品，推动具有自主知识产权的云安全产品和服务的产业化发展。