4月29日是首都网络安全人。网络安全再次成为大家关注的焦点和热议的话题。
实际上在4月7日,网络安全正面临着一场大难。就在这天,一个代号叫“心脏出血”的重大互联网安全漏洞被国外黑客曝光。这次发生漏洞的是国际著名安全协议OpenSSL,目前世界上大概有三分之二的网络服务器正在使用,包括购物、网银、社交、邮箱等。
据统计,在4月7日至8日两天时间,共计约2亿网民访问了存在漏洞的网站。也就是说,他们登录服务器时显示的用户名、密码和信用卡等信息,很有可能会被人盗取。
截至4月10日,在中国3万多个存在漏洞的网站中,依然有近30%没有采取任何措施。紧随其后的是,微软“XP事件”退役,中国2亿多台个人电脑即将开始“裸奔”。要害部门、关键基础行业以及亿万用户的产品选择和信息安全不堪一击的脆弱,通过这次事件展现得淋漓尽致。至今,这个伤痛仍在持续。
如果说上述事件属于个案的话,那么各种各样的泄密事件和网站瘫痪事件已呈现高发之势。
3月22日晚,在线旅游网站携程被爆安全支付日志可遍历下载,因此导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。此次事件共涉及93名存在潜在风险的携程用户。
近年来,伴随互联网和社交网络的发展,关于密码泄露、木马病毒、缺陷软件、黑客攻击和支付安全等事件,已不胜枚举。
综观各类网络安全事件和隐患,从侵害对象来看,可以分成三类,即一是个人用户,主要盗取个人信息资料或隐私信息,或者用户银行支付或交易密码信息;二是企业或机构组织。目的是阻碍或干扰其正常业务开展,或者盗取其商业机密或核心数据。第三类是国家信息安全。这一点从去年6月斯诺登和“棱镜门”事件便可窥探一二。
从侵害者来看,一类是黑客,一类是非法的商业组织或公司(比如一些钓鱼网站),甚至是某些国家。另一类也可能是软件或技术本身存在漏洞。
另外,从地域来看,中国所面临的境外网络攻击和安全威胁越来越严重。
通过这些网络安全事件,我们可以看到,当前我国网络信息安全正面临着以下几大问题:
一是IT核心技术受制于人。目前我国政府和企业对国外的IT产品过分依赖,外企占据了IT市场巨大份额,这无疑增大了政府和企业信息安全的隐患,从而使得加速我国安全产品的本土化更具紧迫性。
二是我国网络关键基础设施基本不设防,而且有大一部分采购的是国外巨头公司的网络设施。比如思科等。“棱镜门”事件的发生,相信给我国政府相关部门敲响警钟。
三是网络意识不高,重视不够。包括政府职能部门也包括普通网络用户、企业用户。
四是网络安全技术行业和市场的发展滞后,远跟不上中国互联网发展的速度。
目前,网络信息安全形势越来越严峻。随着4G网络的大面积商用、移动互联网带宽提速和WiFi 热点的普及,物联网、社交网络、移动支付和二维码扫描等领域将面临网络安全的新挑战。
不久前,国家互联网应急中心(CNCERT)发布的《2013年我国互联网网络安全态势综述》显示,2013年移动互联网恶意程序数量大幅增长,国家互联网应急中心通过自主监测和交换捕获的移动互联网恶意程序样本达70.3万个,较2012年增长3.3倍,针对安卓平台恶意程序占99.5%。
其中,在监测的恶意程序中,按照行为属性统计,恶意扣费类数量居第一位,高达71.5%,较2012年的39.8%大幅增长;其次是资费消耗类(占15.1%)、系统破坏类(占3.2%)和隐私窃取类(占3.2%)。
而且,2014年由于互联网金融和移动支付的爆发,互联网公司通过所运营的在线交易信息系统,掌握大量用户资金、真实身份、经济状况、消费习惯等信息,系统若出现安全问题,风险也随之传导至关联的行业,产生连锁反应。
另一方面,随着办公及家用设备逐步智能化,接入网络,未来安全威胁将向物联网延伸。与此同时,社交网络因其包含的信息与用户生活密切相关,真实性强,可能成为黑客实施定向攻击、钓鱼欺诈的“温床”。此外,云平台的应用普及也加大了信息泄露风险和事件处置难度。
面对这一系列全新的、巨大的不安全感或隐患,我们如何从国家的战略和技术的层面去防范?
一是在思想层面,我们必须高度重视,提高防患和信息安全意识,加大对网络安全设备和机制建设的投入。
二是在技术层面,我们必须加强安全技术自主知识产权研发,推动国内IT技术产业和网络安全行业的发展,跟上互联网和移动互联网市场的发展速度。
三是在法制层面,我们必须加强立法,并健全相关网络安全法律法规,严厉打击不法分子和黑色产业链。
四是构建网络安全防范体系。网络安全本身是一个动态调整的过程,没有一招制敌的方案,也不是哪一方可以独立解决的,最重要的是构建一个网络安全防范体系,包括体制机制设计、政策法律设计、技术能力、人员水平等。
最后也是非常重要的一点是,大数据时代,维护网络安全,人人有责。只有个人、企业和国家相关部门共同努力,才能够保障我们的信息安全,我们才能安享互联网和移动互联网以及大数据时代带给我们的美好的、安全的、便捷的生活。
作者:胡传平,博士,研究员,博士生导师,公安部第三研究所所长、党委副书记(正厅级),一级警监。