網絡安全
銳觀點
隨著移動互聯網、物聯網、云計算、大數據等網絡信息技術的普及應用以及在此基礎上即時通信、社交網絡、電子商務、互聯網金融等網絡商業(yè)應用的持續(xù)創(chuàng)新,網絡空間技術生態(tài)更加智能復雜,商業(yè)價值不斷凸顯,一系列安全事件影響重大并呈現全球傳導的趨勢
大數據時代個人信息安全面臨嚴峻挑戰(zhàn),任何單一固化的保護模式均難以為繼,只有從法律體系、自律機制、管理標準、組織機構、技術應用等多個層面構建起個人信息安全保障體系,才能從根本上遏制系統(tǒng)性風險
7月1日,全國人大常委會第十五次會議舉行了閉幕會,高票通過了新國家安全法。在新國家安全法中,網絡建設與信息安全備受矚目。
早在一年前,2014年7月,中共中央總書記、國家主席、中央軍委主席習近平在巴西演講中就特別提出了“信息主權”的概念。他強調,雖然互聯網具有高度全球化的特征,但每一個國家在信息領域的主權權益都不應受到侵犯,互聯網技術再發(fā)展也不能侵犯他國的信息主權。
在專門從事信息安全戰(zhàn)略及技術研究的中國信息安全測評中心總工王軍看來,2014年中國的網絡信息安全態(tài)勢不容樂觀,其主要表現為技術漏洞大量存在,信息安全不可控因素進一步凸顯。
地市級網站成黑客重要“靶場”
據中國國家信息安全漏洞庫資料顯示,2014年1月至10月我國共新增安全漏洞7510個,日平均新增漏洞數量約25個。“這個數字是整體呈現上升趨勢的。”上海社會科學院信息研究所研究員王世偉評價說。
據中國信息安全測評中心監(jiān)測發(fā)現,2014年1月至10月,全國網站被攻擊次數達38000多次,截至10月相關數據總體呈上升趨勢。全國共發(fā)現惡意網站約2.8億個,從惡意類型數據整體分析來看,惡意網站的最大成因是黑客入侵,占總數的近5成。
“從趨勢特征來看,2014年的信息安全漏洞具有出新快、危害大、針對政府網站等重要特征。如‘面具’病毒等新型病毒不僅以單純破壞為主,而且由于其后門功能強大,逐步具有間諜性質,危害度呈幾何級放大;又如,微軟瀏覽器存在‘零日漏洞’,這種攻擊往往具有很大的突發(fā)性與破壞性,致使多個版本的IE瀏覽器受到影響,波及超過50%的電腦用戶。”王軍說,此外,2014年國家與省部級重要網站漏洞減少,但地市級政府網站隱患偏大,這些網站成為黑客組織的重要“靶場”。2014年約有200多個政府網站存在嚴重安全隱患,多個政府網站遭黑客組織攻擊篡改;由于被植入非法鏈接等,我國300多個政府網站發(fā)生安全事件。
除此之外,新技術新應用發(fā)展也在加劇中國網絡空間系統(tǒng)性風險。
“近年來,隨著移動互聯網、物聯網、云計算、大數據等網絡信息技術的普及應用以及在此基礎上即時通信、社交網絡、電子商務、互聯網金融等網絡商業(yè)應用的持續(xù)創(chuàng)新,網絡空間技術生態(tài)更加智能復雜,商業(yè)價值不斷凸顯,一系列安全事件影響重大并呈現全球傳導的趨勢。”王世偉盤點說,“核彈”級漏洞不斷顯現,呈現新、快、危害大等重要特征。
公民個人信息安全籠罩陰霾
同時,自2013年始,一場公民個人信息泄露的陰云也開始逐漸展現出聚攏擴散之勢:
2013年10月,為如家、漢庭等酒店提供網絡服務的浙江慧達驛站網絡有限公司因為系統(tǒng)漏洞,近2000萬條酒店客戶入住信息被泄露并通過網絡傳播下載,引起社會廣泛關注并引發(fā)針對酒店的司法訴訟;
2014年5月,小米論壇官方數據庫泄露,涉及800萬使用小米產品的用戶,泄露數據包括大量用戶資料,可被用來訪問小米云服務并獲取更多的私密信息,甚至可通過同步獲得通訊錄、短信、照片、定位、鎖定手機及刪除信息等;
2014年8月,首起在華外國人非法獲取我國公民個人信息案開庭,兩名被告人從2005年至2013年6月接受境內外客戶委托對我國公司或個人進行調查,非法收益達2096萬余元;
同月,多家快遞網站因存在漏洞遭黑客入侵,有1400萬條個人信息在網絡上被層層轉賣;
……
“國內外個人信息泄露事件頻發(fā),非法采集、竊取、販賣和利用網絡個人信息的黑色產業(yè)鏈不斷成熟壯大,呈現產業(yè)化、集團化、跨境化、智能化的趨勢。我國個人信息保護已經成為社會各界廣泛關注的重大社會現實問題。”王世偉分析說,巨大的經濟利益是我國個人信息安全面臨風險的直接原因。在網絡經濟大潮下,用戶的個人信息是電子商務、網絡游戲、網絡支付、網絡營銷等各類網絡活動的基本要素,成為商家競相開發(fā)的“金礦”和非法分子牟利的工具。
“隨著互聯網金融的高速發(fā)展,用戶信息成為惡意攻擊目標。”同時,王軍注意到,技術推廣和普及應用,使得大數據與人們日常工作和生活息息相關,風險的發(fā)生機會和連帶效應將變得超過以往任何時期。
在正在主持網絡安全方向國家項目的王世偉看來,大數據時代個人信息安全面臨嚴峻挑戰(zhàn),任何單一固化的保護模式均難以為繼,只有從法律體系、自律機制、管理標準、組織機構、技術應用等多個層面構建起立體協(xié)同、動態(tài)發(fā)展的個人信息安全保障體系,才能從根本上遏制我國個人信息安全的系統(tǒng)性風險。
云計算爆發(fā)式發(fā)展挑戰(zhàn)監(jiān)管
根據數據顯示,2014年,中國網民手機商務應用發(fā)展大爆發(fā),手機網購、手機支付、手機銀行等手機商務應用用戶年增長分別為63.5%、73.2%和69.2%,遠超其他手機應用增長幅度。
在王軍看來,這些高速增長的數字,也給人們的生產、生活帶來了嚴峻的安全威脅,而現有的安全機制如權限許可和審查機制等還存在諸多弊端。
“首先,這種機制存在局部性特征制約,各廠商制定的審查機制與執(zhí)行標準各不相同,用戶無法適應,也給攻擊者留下了可乘之機。其次,生產廠商制定的安全機制主要是通過限制用戶對智能終端設備的使用權限來保護自己的利益,沒有考慮用戶的權益與安全需求。”王軍介紹說,另外,移動互聯網具有的網絡融合、應用多樣、終端智能、平臺開放等諸多新特點必定對監(jiān)管提出新挑戰(zhàn)。在這樣的背景下,上至國家安全下至個人隱私保護都變得復雜而艱巨。
“從移動技術發(fā)展的各環(huán)節(jié)來看都面臨新風險。”王軍說,在巨量的新需求和新應用面前,移動智能終端的安全問題會不斷突出,在應用層面,移動互聯網面臨的安全威脅則主要來自于惡意軟件和間諜軟件等。
王軍介紹說,惡意軟件攻入設備,主要目的是竊取數據,損壞設備,或打擾用戶等。攻擊者欺騙用戶使之安裝惡意程序或利用設備漏洞獲取未經授權的遠程訪問權限。基于移動智能終端的惡意軟件已經成為移動互聯網中最嚴重的安全問題之一。
而另一項互聯網技術——云計算的發(fā)展,也帶來一些新的安全風險與隱患。
“在政策與法規(guī)層面,云計算的‘爆發(fā)式’發(fā)展給政府及企業(yè)帶來監(jiān)管上的困難。目前,我國相關的法律法規(guī)尚不健全,缺乏針對云計算環(huán)境下的適用法規(guī),包括對‘云服務’提供商和用戶之間的責任和義務沒有有效界定。其次,我國尚未制定相關的評估標準和政策,以對‘云服務’提供商進行以安全為主要內容的評估監(jiān)督。”王軍介紹說,在技術與應用層面,我國云計算應用領域和應用范圍的不斷擴大以及國外云計算廠商的深度參與,也給國家安全帶來潛在安全隱患。
“我國需加強自主可控云計算安全技術的研發(fā),杜絕云計算安全技術和應用尤其是電子政務云建設依賴國外主流公司的情況,這是解決我國云計算安全問題以及云中數據安全問題的關鍵點之一。”王軍說。□本報記者趙麗