2014年4月15日,全國(guó)網(wǎng)絡(luò)安全信息大會(huì)在京召開。網(wǎng)絡(luò)安全再次成為大家關(guān)注的焦點(diǎn)和熱議的話題。
實(shí)際上在4月7日,網(wǎng)絡(luò)安全正面臨著一場(chǎng)大難。就在這天,一個(gè)代號(hào)叫“心臟出血”的重大互聯(lián)網(wǎng)安全漏洞被國(guó)外黑客曝光。這次發(fā)生漏洞的是國(guó)際著名安全協(xié)議OpenSSL,目前世界上大概有三分之二的網(wǎng)絡(luò)服務(wù)器正在使用,包括購(gòu)物、網(wǎng)銀、社交、郵箱等。
據(jù)統(tǒng)計(jì),在4月7日至8日兩天時(shí)間,共計(jì)約2億網(wǎng)民訪問(wèn)了存在漏洞的網(wǎng)站。也就是說(shuō),他們登錄服務(wù)器時(shí)顯示的用戶名、密碼和信用卡等信息,很有可能會(huì)被人盜取。
截至4月10日,在中國(guó)3萬(wàn)多個(gè)存在漏洞的網(wǎng)站中,依然有近30%沒(méi)有采取任何措施。
緊隨其后的是,微軟“XP事件”退役,中國(guó)2億多臺(tái)個(gè)人電腦即將開始“裸奔”。要害部門、關(guān)鍵基礎(chǔ)行業(yè)以及億萬(wàn)用戶的產(chǎn)品選擇和信息安全不堪一擊的脆弱,通過(guò)這次事件展現(xiàn)得淋漓盡致。至今,這個(gè)傷痛仍在持續(xù)。
如果說(shuō)上述事件屬于個(gè)案的話,那么各種各樣的泄密事件和網(wǎng)站癱瘓事件已呈現(xiàn)高發(fā)之勢(shì)。
3月22日晚,在線旅游網(wǎng)站攜程被爆安全支付日志可遍歷下載,因此導(dǎo)致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin)。此次事件共涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶。
近年來(lái),伴隨互聯(lián)網(wǎng)和社交網(wǎng)絡(luò)的發(fā)展,關(guān)于密碼泄露、木馬病毒、缺陷軟件、黑客攻擊和支付安全等事件,已不勝枚舉。
綜觀各類網(wǎng)絡(luò)安全事件和隱患,從侵害對(duì)象來(lái)看,可以分成三類,即一是個(gè)人用戶,主要盜取個(gè)人信息資料或隱私信息,或者用戶銀行支付或交易密碼信息;二是企業(yè)或機(jī)構(gòu)組織。目的是阻礙或干擾其正常業(yè)務(wù)開展,或者盜取其商業(yè)機(jī)密或核心數(shù)據(jù)。第三類是國(guó)家信息安全。這一點(diǎn)從去年6月斯諾登和“棱鏡門”事件便可窺探一二。
從侵害者來(lái)看,一類是黑客,一類是非法的商業(yè)組織或公司(比如一些釣魚網(wǎng)站),甚至是某些國(guó)家。另一類也可能是軟件或技術(shù)本身存在漏洞。
另外,從地域來(lái)看,中國(guó)所面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來(lái)越嚴(yán)重。
通過(guò)這些網(wǎng)絡(luò)安全事件,我們可以看到,當(dāng)前我國(guó)網(wǎng)絡(luò)信息安全正面臨著以下幾大問(wèn)題:
一是IT核心技術(shù)受制于人。目前我國(guó)政府和企業(yè)對(duì)國(guó)外的IT產(chǎn)品過(guò)分依賴,外企占據(jù)了IT市場(chǎng)巨大份額,這無(wú)疑增大了政府和企業(yè)信息安全的隱患,從而使得加速我國(guó)安全產(chǎn)品的本土化更具緊迫性。
二是我國(guó)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施基本不設(shè)防,而且有大一部分采購(gòu)的是國(guó)外巨頭公司的網(wǎng)絡(luò)設(shè)施。比如思科等?!袄忡R門”事件的發(fā)生,相信給我國(guó)政府相關(guān)部門敲響警鐘。
三是網(wǎng)絡(luò)意識(shí)不高,重視不夠。包括政府職能部門也包括普通網(wǎng)絡(luò)用戶、企業(yè)用戶。
四是網(wǎng)絡(luò)安全技術(shù)行業(yè)和市場(chǎng)的發(fā)展滯后,遠(yuǎn)跟不上中國(guó)互聯(lián)網(wǎng)發(fā)展的速度。
目前,網(wǎng)絡(luò)信息安全形勢(shì)越來(lái)越嚴(yán)峻。隨著4G網(wǎng)絡(luò)的大面積商用、移動(dòng)互聯(lián)網(wǎng)帶寬提速和WiFi 熱點(diǎn)的普及,物聯(lián)網(wǎng)、社交網(wǎng)絡(luò)、移動(dòng)支付和二維碼掃描等領(lǐng)域?qū)⒚媾R網(wǎng)絡(luò)安全的新挑戰(zhàn)。
不久前,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的《2013年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》顯示,2013年移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量大幅增長(zhǎng),國(guó)家互聯(lián)網(wǎng)應(yīng)急中心通過(guò)自主監(jiān)測(cè)和交換捕獲的移動(dòng)互聯(lián)網(wǎng)惡意程序樣本達(dá)70.3萬(wàn)個(gè),較2012年增長(zhǎng)3.3倍,針對(duì)安卓平臺(tái)惡意程序占99.5%。
其中,在監(jiān)測(cè)的惡意程序中,按照行為屬性統(tǒng)計(jì),惡意扣費(fèi)類數(shù)量居第一位,高達(dá)71.5%,較2012年的39.8%大幅增長(zhǎng);其次是資費(fèi)消耗類(占15.1%)、系統(tǒng)破壞類(占3.2%)和隱私竊取類(占3.2%)。
而且,2014年由于互聯(lián)網(wǎng)金融和移動(dòng)支付的爆發(fā),互聯(lián)網(wǎng)公司通過(guò)所運(yùn)營(yíng)的在線交易信息系統(tǒng),掌握大量用戶資金、真實(shí)身份、經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣等信息,系統(tǒng)若出現(xiàn)安全問(wèn)題,風(fēng)險(xiǎn)也隨之傳導(dǎo)至關(guān)聯(lián)的行業(yè),產(chǎn)生連鎖反應(yīng)。
另一方面,隨著辦公及家用設(shè)備逐步智能化,接入網(wǎng)絡(luò),未來(lái)安全威脅將向物聯(lián)網(wǎng)延伸。與此同時(shí),社交網(wǎng)絡(luò)因其包含的信息與用戶生活密切相關(guān),真實(shí)性強(qiáng),可能成為黑客實(shí)施定向攻擊、釣魚欺詐的“溫床”。此外,云平臺(tái)的應(yīng)用普及也加大了信息泄露風(fēng)險(xiǎn)和事件處置難度。
面對(duì)這一系列全新的、巨大的不安全感或隱患,我們?nèi)绾螐膰?guó)家的戰(zhàn)略和技術(shù)的層面去防范?
一是在思想層面,我們必須高度重視,提高防患和信息安全意識(shí),加大對(duì)網(wǎng)絡(luò)安全設(shè)備和機(jī)制建設(shè)的投入。
二是在技術(shù)層面,我們必須加強(qiáng)安全技術(shù)自主知識(shí)產(chǎn)權(quán)研發(fā),推動(dòng)國(guó)內(nèi)IT技術(shù)產(chǎn)業(yè)和網(wǎng)絡(luò)安全行業(yè)的發(fā)展,跟上互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)市場(chǎng)的發(fā)展速度。
三是在法制層面,我們必須加強(qiáng)立法,并健全相關(guān)網(wǎng)絡(luò)安全法律法規(guī),嚴(yán)厲打擊不法分子和黑色產(chǎn)業(yè)鏈。
四是構(gòu)建網(wǎng)絡(luò)安全防范體系。網(wǎng)絡(luò)安全本身是一個(gè)動(dòng)態(tài)調(diào)整的過(guò)程,沒(méi)有一招制敵的方案,也不是哪一方可以獨(dú)立解決的,最重要的是構(gòu)建一個(gè)網(wǎng)絡(luò)安全防范體系,包括體制機(jī)制設(shè)計(jì)、政策法律設(shè)計(jì)、技術(shù)能力、人員水平等。
最后也是非常重要的一點(diǎn)是,大數(shù)據(jù)時(shí)代,維護(hù)網(wǎng)絡(luò)安全,人人有責(zé)。只有個(gè)人、企業(yè)和國(guó)家相關(guān)部門共同努力,才能夠保障我們的信息安全,我們才能安享互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)以及大數(shù)據(jù)時(shí)代帶給我們的美好的、安全的、便捷的生活。
作者簡(jiǎn)介:
胡傳平,博士,研究員,博士生導(dǎo)師,公安部第三研究所所長(zhǎng)、黨委副書記(正廳級(jí)),一級(jí)警監(jiān)。
2000年起享受部級(jí)津貼;2003年經(jīng)公安部評(píng)審?fù)扑],成為當(dāng)年度工程院院士有效候選人;2004年獲得第一屆上海市優(yōu)秀科研院所長(zhǎng)獎(jiǎng)提名獎(jiǎng);2006年獲得第二屆上海市優(yōu)秀科研院所長(zhǎng)獎(jiǎng);2005年被中國(guó)科技協(xié)會(huì)授予第三屆“全國(guó)優(yōu)秀科技工作者”榮譽(yù)稱號(hào);同年經(jīng)公安部推薦成為中組部專家?guī)鞂<遥?007年由他領(lǐng)銜的項(xiàng)目組獲得“全國(guó)公安科技先進(jìn)集體”稱號(hào)。
胡傳平為中組部專家?guī)鞂<?,?guó)家安全生產(chǎn)專家委員會(huì)專家,國(guó)家“863”計(jì)劃項(xiàng)目評(píng)審專家,國(guó)家科學(xué)技術(shù)獎(jiǎng)評(píng)審專家,國(guó)家自然科學(xué)基金評(píng)審委員會(huì)專家,兼任公安部科學(xué)技術(shù)獎(jiǎng)評(píng)審專家,上海市安全生產(chǎn)專家委員會(huì)專家,上海市科委專家?guī)鞂<?,公安部?yīng)用基礎(chǔ)標(biāo)準(zhǔn)化委員會(huì)副主任委員,中國(guó)消防協(xié)會(huì)常務(wù)理事,上海市消防協(xié)會(huì)副理事長(zhǎng)。