網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻 智能終端或成病毒重災(zāi)區(qū)

     “2010年我國(guó)網(wǎng)絡(luò)安全態(tài)勢(shì)總體平穩(wěn)，全國(guó)范圍內(nèi)或省級(jí)行政區(qū)域內(nèi)沒(méi)有發(fā)生通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重大安全事件，基礎(chǔ)電信運(yùn)營(yíng)企業(yè)、國(guó)內(nèi)域名注冊(cè)管理和服務(wù)機(jī)構(gòu)業(yè)務(wù)未發(fā)生重大網(wǎng)絡(luò)安全問(wèn)題?！惫ば挪侩娦叛芯吭簩＜荫R志剛博士在業(yè)內(nèi)會(huì)議上表示。

　　2010年，我國(guó)網(wǎng)絡(luò)安全威脅主要體現(xiàn)為來(lái)自公共互聯(lián)網(wǎng)環(huán)境的安全威脅。 “2010年病毒數(shù)量下降，網(wǎng)民經(jīng)濟(jì)損失顯著上升；釣魚網(wǎng)站數(shù)量激增，掛馬網(wǎng)站威脅降低；僵尸網(wǎng)絡(luò)問(wèn)題依然嚴(yán)重；政府網(wǎng)站被篡改的數(shù)量急劇上升?！?

　　網(wǎng)絡(luò)配套安全措施亟待完善

　　目前，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)威脅持續(xù)不斷，各國(guó)政府持續(xù)實(shí)施網(wǎng)絡(luò)信息安全綜合行動(dòng)。在配套措施方面，各個(gè)國(guó)家大力實(shí)施網(wǎng)絡(luò)安全立法，美國(guó)、英國(guó)持續(xù)進(jìn)行信息安全網(wǎng)絡(luò)評(píng)估，將互聯(lián)網(wǎng)威脅定性為這些國(guó)家面臨的最大的安全風(fēng)險(xiǎn)。同時(shí)網(wǎng)絡(luò)輿論引發(fā)的危機(jī)，例如埃及和阿爾及利亞的示威游行，社交/微博等新應(yīng)用推波助瀾。

　　去年，多個(gè)國(guó)家參加了互聯(lián)網(wǎng)實(shí)戰(zhàn)演習(xí)。2010年9月美國(guó)舉行了“網(wǎng)絡(luò)風(fēng)暴3”的演習(xí)，歐盟開展了2010網(wǎng)絡(luò)演習(xí)，韓國(guó)也開展了網(wǎng)絡(luò)碉堡的演習(xí)；此外，圍繞著維基解密進(jìn)行網(wǎng)絡(luò)安全攻與守在不斷升溫，已經(jīng)演化成為事實(shí)上的網(wǎng)絡(luò)戰(zhàn)，維基解密也在“披盔戴甲”，抵御各種合法的攻擊，維持網(wǎng)站正常運(yùn)作。

　　我國(guó)對(duì)通信網(wǎng)絡(luò)與信息安全工作也在有序展開，保障能力逐步提升。在《關(guān)于加強(qiáng)和改進(jìn)互聯(lián)網(wǎng)管理工作的通知》中，提出進(jìn)一步加強(qiáng)和改進(jìn)互聯(lián)網(wǎng)管理的新思路、新舉措，對(duì)互聯(lián)網(wǎng)管理體制和工作格局作出調(diào)整。同時(shí)，我國(guó)還出臺(tái)了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》和《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法》，并啟動(dòng)了《通信網(wǎng)絡(luò)與信息安全“十二五”規(guī)劃》編制工作。

　　在我國(guó)通信網(wǎng)絡(luò)專項(xiàng)治理工作中，對(duì)手機(jī)淫穢色情信息開展了專項(xiàng)整治行動(dòng)；各基礎(chǔ)電信企業(yè)分別成立了信息安全專門機(jī)構(gòu)；加裝WAP網(wǎng)關(guān)違法有害信息發(fā)現(xiàn)和過(guò)濾系統(tǒng)；建設(shè)手機(jī)網(wǎng)站內(nèi)容撥測(cè)系統(tǒng)；出臺(tái)《移動(dòng)上網(wǎng)日志留存規(guī)范（試行）》；加強(qiáng)手機(jī)搜索業(yè)務(wù)管理；加大了違法有害信息受理力度。同時(shí)，隨著我國(guó)三網(wǎng)融合試點(diǎn)工作全面展開，國(guó)務(wù)院成立了三網(wǎng)融合安全評(píng)估小組，對(duì)三網(wǎng)融合試點(diǎn)進(jìn)行全方位的安全評(píng)估工作。

　　值得注意的是，在我國(guó)互聯(lián)網(wǎng)企業(yè)競(jìng)爭(zhēng)中，用戶權(quán)益常常被漠視。目前在互聯(lián)網(wǎng)軟件大部分缺乏穩(wěn)定的盈利渠道，為了實(shí)現(xiàn)盈利，軟件里面經(jīng)常被插入大量的插件、垃圾軟件，軟件廠家進(jìn)行更新時(shí)強(qiáng)制安裝，謀取利益，這些現(xiàn)象屢禁不止，大規(guī)模應(yīng)用軟件存在著一些安全隱患，大規(guī)模應(yīng)用軟件一旦出現(xiàn)安全問(wèn)題，將引發(fā)嚴(yán)重的后果，但是目前仍然沒(méi)有得到足夠的重視。大規(guī)模應(yīng)用軟件的用戶安全知識(shí)普遍不足。

　　我國(guó)網(wǎng)絡(luò)信息安全法律法規(guī)還需要健全完善，基礎(chǔ)企業(yè)防范應(yīng)對(duì)非傳統(tǒng)網(wǎng)絡(luò)安全能力顯著加強(qiáng)，但增值電信企業(yè)和域名服務(wù)機(jī)構(gòu)安全防護(hù)仍相對(duì)薄弱。同時(shí)，我國(guó)亟需強(qiáng)化對(duì)用戶數(shù)據(jù)及用戶其他合法權(quán)益的安全保障力度，需要從多方進(jìn)行保障，對(duì)用戶個(gè)人信息的保障必須提升到行業(yè)監(jiān)管的議事日程上來(lái)。

　　馬志剛表示，我國(guó)應(yīng)盡快致力提升系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備、重要應(yīng)用軟件的國(guó)產(chǎn)化程度，同時(shí)監(jiān)管部門進(jìn)一步針對(duì)性的對(duì)應(yīng)用提供商在安全技術(shù)手段建設(shè)、安全管理手段建設(shè)和安全事件上報(bào)機(jī)制等方面提出要求，并建立應(yīng)急預(yù)案和建設(shè)專業(yè)的應(yīng)急組織，在互聯(lián)網(wǎng)領(lǐng)域出現(xiàn)緊急事件時(shí)，能夠提升應(yīng)急和協(xié)調(diào)能力?？煽紤]實(shí)現(xiàn)不同即時(shí)通信軟件之間的互聯(lián)互通，實(shí)現(xiàn)互為備份。

　　新技術(shù)、新業(yè)務(wù)的新安全隱患

　　隨著移動(dòng)互聯(lián)網(wǎng)和智能手機(jī)的普及，移動(dòng)互聯(lián)網(wǎng)信息安全存在隱患，軟件應(yīng)用商店審核不嚴(yán)導(dǎo)致大量惡意代碼散播，大量推出我國(guó)法律法規(guī)禁止的內(nèi)容，造成嚴(yán)重安全后果。同時(shí)，黑莓獨(dú)特的加密技術(shù)引發(fā)各國(guó)擔(dān)憂，中東等多國(guó)紛紛要求監(jiān)控黑莓通信服務(wù)。

　　馬志剛博士表示，“智能終端有可能成為新的病毒重災(zāi)區(qū)，智能終端風(fēng)險(xiǎn)不斷加大。”

　　據(jù)《華爾街日?qǐng)?bào)》報(bào)道，部分Android應(yīng)用在不斷搜集用戶位置信息，56%的智能手機(jī)應(yīng)用向第三方泄漏隱私。智能手機(jī)問(wèn)題大增，手機(jī)病毒黑色產(chǎn)業(yè)鏈已經(jīng)形成，并且在不斷的發(fā)展。

　　這就要求“必須從多個(gè)環(huán)節(jié)進(jìn)行監(jiān)管，中間環(huán)節(jié)加強(qiáng)管理，對(duì)操作系統(tǒng)進(jìn)行漏洞通報(bào)，與廠商溝通了解操作系統(tǒng)的動(dòng)態(tài)，網(wǎng)絡(luò)服務(wù)商對(duì)非法的要及時(shí)下架”， 馬志剛表示。

　　此外，云計(jì)算、物聯(lián)網(wǎng)成為安全關(guān)注的焦點(diǎn)問(wèn)題。在云計(jì)算上目前存在幾大問(wèn)題，云計(jì)算服務(wù)商可能以用戶未知的方式越權(quán)訪問(wèn)用戶數(shù)據(jù)；SSL加密僅僅解決數(shù)據(jù)傳輸安全，未能解決數(shù)據(jù)存儲(chǔ)和處理安全，即使采取隔離技術(shù)，如何為用戶訪問(wèn)數(shù)據(jù)提供安全認(rèn)證又成為重要的安全問(wèn)題等。

　　物聯(lián)網(wǎng)方面也存在著一些問(wèn)題。傳感智能節(jié)點(diǎn)將成為網(wǎng)絡(luò)入侵的最佳目標(biāo)，感知層多元異構(gòu)數(shù)據(jù)需要信息安全保護(hù)技術(shù)進(jìn)行自我重構(gòu)。此外還面臨嵌入RFID芯片的物品被非授權(quán)感知，感知信息在無(wú)線網(wǎng)絡(luò)傳輸中被非授權(quán)攔截等情況。

　　2011年安全趨勢(shì)

　　新業(yè)務(wù)應(yīng)用安全將成為關(guān)注重點(diǎn)，應(yīng)用網(wǎng)絡(luò)和IT基礎(chǔ)設(shè)施的運(yùn)行安全和安全防護(hù)重要性凸顯，IPv6，三網(wǎng)融合、云計(jì)算、物聯(lián)網(wǎng)等信息安全問(wèn)題研究將更加深入，馬志剛表示，應(yīng)加強(qiáng)對(duì)新技術(shù)新業(yè)務(wù)帶來(lái)的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的跟蹤研究，建立新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)信息安全評(píng)估機(jī)制、電信業(yè)務(wù)對(duì)外開放網(wǎng)絡(luò)信息安全評(píng)估機(jī)制。同時(shí)針對(duì)一些隱患，國(guó)內(nèi)現(xiàn)有的應(yīng)用網(wǎng)絡(luò)和互聯(lián)網(wǎng)IT基礎(chǔ)設(shè)施還存在諸多監(jiān)管盲區(qū)，行業(yè)呼吁新的監(jiān)管模式和更有效的監(jiān)管手段。

　　由于IPv6網(wǎng)絡(luò)部署進(jìn)入實(shí)質(zhì)性推進(jìn)階段，運(yùn)營(yíng)安全問(wèn)題進(jìn)一步凸顯。在DNS體系不同層級(jí)之間建立安全可靠的信任關(guān)系勢(shì)在必行，目前，我國(guó)域名注冊(cè)信息實(shí)名率僅23%，中國(guó)已經(jīng)成為世界上第二大擁有仿冒域名及網(wǎng)站的國(guó)家。我國(guó)需要及時(shí)完成相關(guān)安全設(shè)備系統(tǒng)的升級(jí)改造，建立相關(guān)的配套安全驗(yàn)證和管理機(jī)制并不斷升級(jí)優(yōu)化。2010年發(fā)生的“百度被黑”事件凸顯域名安全已成為基礎(chǔ)網(wǎng)絡(luò)中的安全短板，需要從實(shí)名制準(zhǔn)入、定期審查，檢查懲戒等環(huán)節(jié)加強(qiáng)全過(guò)程的監(jiān)管能力。

　　同時(shí)，云計(jì)算、物聯(lián)網(wǎng)的發(fā)展面臨安全方面的嚴(yán)峻挑戰(zhàn)。云計(jì)算面臨存儲(chǔ)數(shù)據(jù)安全、黑客攻擊損失以及保護(hù)隱私的法律風(fēng)險(xiǎn)，用戶數(shù)據(jù)和應(yīng)用托管在云計(jì)算上面臨泄漏和非授權(quán)使用的風(fēng)險(xiǎn)。承載大規(guī)模業(yè)務(wù)和用戶的云計(jì)算平臺(tái)本身易成為黑客攻擊的目，而一個(gè)大規(guī)模云計(jì)算平臺(tái)的癱瘓對(duì)于用戶的損失是不可估量的。云服務(wù)大規(guī)模的資源能力如果被黑客或者病毒利用，可能造成比僵尸網(wǎng)絡(luò)更大的網(wǎng)絡(luò)危害。物聯(lián)網(wǎng)面臨安全傳輸，惡意入侵和隱私泄密等重大安全風(fēng)險(xiǎn)?？傊?，云計(jì)算與物聯(lián)網(wǎng)的發(fā)展無(wú)法阻擋，確保產(chǎn)業(yè)的健康與安全，完善法律法規(guī)、制定相關(guān)標(biāo)準(zhǔn)、探索新的監(jiān)督模式和監(jiān)管技術(shù)手段是當(dāng)務(wù)之急。

　　最后，網(wǎng)絡(luò)空間越來(lái)越成為主權(quán)紛爭(zhēng)的重要戰(zhàn)場(chǎng)。傳統(tǒng)與非傳統(tǒng)安全問(wèn)題相互交織，與國(guó)家利益相關(guān)的網(wǎng)絡(luò)安全威脅更趨多樣復(fù)雜。