从“棱镜门”到网络诈骗,从上海、深圳、北京等地铁事故到最近曝出的某连锁酒店住户信息泄露事件,信息安全、网络安全不断被大众提及。随着事件的升级,信息安全也从普通百姓的关注上升到国家战略层的关切,成为举国上下、万亿消费者特别希望能够解决好的问题。
基础安全形势严峻
当前,西方国家不断加紧对网络空间部署,不仅从民事层面对本国或他国关键基础设施网络进行保护、干预和监控,而且从军事层面设立专门的部队强化对网络空间的控制。现在各领域的信息系统越来越开放,开放的环境和可知的标准给西方国家利用网络和软件获取自己所需的信息提供了便利条件。
前不久,“棱镜门”事件将个别西方国家持续性地、高隐蔽性地利用信息网络监控其他国家的行为曝光在公众面前,而这种监控所使用到的技术,是很多被监控国家在运行信息系统时无法察觉和感知的,其中反映出的深层次高隐蔽性的安全威胁、APT等高级别复杂性威胁,包括中国在内的许多国家都难以有效发现,也缺乏有效的反击手段。信息技术落后于人就受制于人,而信息系统采用别国的产品和服务,更加大了安全风险。
赛迪智库信息安全研究所闫晓丽表示,考虑到我国信息技术产品高度依赖国外的现状,建议抓紧开展国外产品信息安全审查,并加快构建自主可控的信息技术产业体系,支持核心技术和关键产品研发,坚持以应用促发展,支持政府部门和重要领域率先采用具有自主知识产权的信息安全产品和系统,确保根本安全。
另外,工控系统的安全也不容忽视。当前,航空航天、先进制造、石油石化、交通运输等重要领域越来越多地采用通用协议、通用硬件和通用软件,又以各种方式与互联网等公共网络连接。
和利时系统工程有限公司技术总监朱毅明告诉记者,近20年来,工控系统大量引入民用的COTS产品,并广泛使用以太网和TCP/IP协议。对于大部分工控系统而言,简单的DoS攻击就可以使系统网络完全瘫痪,造成工业过程失控或装置停机。这种由相对封闭的专用计算机和网络体系发展而来的工控系统,安全最薄弱的环节在工业网络数据传输上,更容易受到攻击。
对此,朱毅明建议加强工业网络数据传输的加密和身份识别。
网络安全从产业链着手
信息消费是眼下最热的词之一,国家大力提倡信息消费,来自移动互联网的消费是大头。移动互联网的安全关系到老百姓能否安心、放心地对信息进行消费,是当前推动信息消费政策面临的重要问题之一。
移动互联网的产业链条长,涉及的环节多,安全漏洞也多,形势不容乐观。据统计,截止到2013年上半年,手机恶意软件达到了51084款。恶意扣费类病毒,达到了恶意行为的27%,剩下排名前三的恶意行为还有远程控制和隐私窃取。
移动智能终端是移动互联网消费品最重要的体现,其芯片、操作系统、应用商店和各类应用等环节都存在安全隐患。
前不久,谷歌开发者证实安卓系统加密架构存在漏洞,会影响到比特币钱包,而且漏洞影响所有版本的安卓系统。安卓系统的漏洞,给第三方应用随意调用用户的通话记录、信息提供了可能。
应用商店缺乏监管,对上架的应用能否保证用户信息的安全性没有强制性措施。智能手机销售渠道中,层层刷机的行为也缺乏监管,使得恶意软件有机可乘。
由于智能终端里面有大量的用户个人信息,尤其是用户关心的安全问题,比如消费和隐私捆绑,广大用户都非常重视。工业和信息化部电信研究院安全所移动应用和智能终端安全部主任潘娟建议,应有规范化的方法对应用进行安全评测和代码签名,同时对应用商场加强管理。产业链需要形成规范化的体系,推进行业自律。
声音
近年来我国网络欺诈、钓鱼网站等违法行为频繁出现。例如,2013年1~8月中国反钓鱼网站联盟处理了近4.5万个钓鱼网站,其中支付交易类、金融证券类钓鱼网站所占比例超过90%的份额;又如,伴随着我国P2P网贷行业的快速发展,信用卡套现、洗钱交易等行为也频繁出现,而且越来越隐蔽,难以发现。由于难以确定行为主体的真实身份,网络信任问题越来越突出,极大地影响了网民对网络应用的信心。建议下一步加快推动公安部、银行等部门开放现有身份信息资源,以电子认证服务业为基础,建立网络身份统一管理体系,同时从电子商务、互联网金融等对身份要求较高的领域入手,推进网络信任服务的应用。
——赛迪智库信息安全研究所副所长闫晓丽
数据显示,目前我国手机应用商店超过100家,手机应用开发超过100万,应用持续下载量仅次于美国,位居世界第二。从网秦上半年发布的《2013年上半年网秦全球手机安全报告》来看,Android平台依然是手机恶意软件感染的重点平台,Android平台感染比例为95%,相比2012年上半年增长17%。在2013年上半年恶意扣费类病毒仍以27%的比例位居首位,但是黑客为了获得更大的利益,远程控制类和隐私窃取类病毒也呈现上升趋势,分别以22%和19%的比例位列第二、三名。手机游戏类、工具类APP仍然是制毒者青睐的重点区域,这主要源于手机游戏对于用户来说更新换代速度快。
——网秦首席安全官严挺
信息安全经过这么多年的发展,目前是真正到了打硬仗的时代。在现在这个时代,信息化已经成为国家的命脉,政府、金融、医疗、通信、电力等行业基本上完全依赖各种信息网络系统,一旦这些系统遭受攻击、遭到破坏,后果不堪设想。信息安全应当上升为国家战略,体现国家的意志,通过国家的战略驱动来促进整个产业的发展。顶层设计,重新思考和构建国家的信息安全战略至关重要。
对于重要的行业部门,要加强供应链安全管理,采用国产、自主、可控信息安全产品,这个在目前很多行业部门已经引起足够的重视。从厂商而言,要加强基础技术的研究,加强对最新攻防技术的研究,在网络战的大形势下,针对各种新兴业务的安全需求,提供满足要求的自主知识产权的安全产品和服务。
——天融信副总裁李宗洋 
