中国网络安全态势不容乐观 "核弹"级漏洞不断显现
网络安全
锐观点
随着移动互联网、物联网、云计算、大数据等网络信息技术的普及应用以及在此基础上即时通信、社交网络、电子商务、互联网金融等网络商业应用的持续创新,网络空间技术生态更加智能复杂,商业价值不断凸显,一系列安全事件影响重大并呈现全球传导的趋势
大数据时代个人信息安全面临严峻挑战,任何单一固化的保护模式均难以为继,只有从法律体系、自律机制、管理标准、组织机构、技术应用等多个层面构建起个人信息安全保障体系,才能从根本上遏制系统性风险
7月1日,全国人大常委会第十五次会议举行了闭幕会,高票通过了新国家安全法。在新国家安全法中,网络建设与信息安全备受瞩目。
早在一年前,2014年7月,中共中央总书记、国家主席、中央军委主席习近平在巴西演讲中就特别提出了“信息主权”的概念。他强调,虽然互联网具有高度全球化的特征,但每一个国家在信息领域的主权权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息主权。
在专门从事信息安全战略及技术研究的中国信息安全测评中心总工王军看来,2014年中国的网络信息安全态势不容乐观,其主要表现为技术漏洞大量存在,信息安全不可控因素进一步凸显。
地市级网站成黑客重要“靶场”
据中国国家信息安全漏洞库资料显示,2014年1月至10月我国共新增安全漏洞7510个,日平均新增漏洞数量约25个。“这个数字是整体呈现上升趋势的。”上海社会科学院信息研究所研究员王世伟评价说。
据中国信息安全测评中心监测发现,2014年1月至10月,全国网站被攻击次数达38000多次,截至10月相关数据总体呈上升趋势。全国共发现恶意网站约2.8亿个,从恶意类型数据整体分析来看,恶意网站的最大成因是黑客入侵,占总数的近5成。
“从趋势特征来看,2014年的信息安全漏洞具有出新快、危害大、针对政府网站等重要特征。如‘面具’病毒等新型病毒不仅以单纯破坏为主,而且由于其后门功能强大,逐步具有间谍性质,危害度呈几何级放大;又如,微软浏览器存在‘零日漏洞’,这种攻击往往具有很大的突发性与破坏性,致使多个版本的IE浏览器受到影响,波及超过50%的电脑用户。”王军说,此外,2014年国家与省部级重要网站漏洞减少,但地市级政府网站隐患偏大,这些网站成为黑客组织的重要“靶场”。2014年约有200多个政府网站存在严重安全隐患,多个政府网站遭黑客组织攻击篡改;由于被植入非法链接等,我国300多个政府网站发生安全事件。
除此之外,新技术新应用发展也在加剧中国网络空间系统性风险。
“近年来,随着移动互联网、物联网、云计算、大数据等网络信息技术的普及应用以及在此基础上即时通信、社交网络、电子商务、互联网金融等网络商业应用的持续创新,网络空间技术生态更加智能复杂,商业价值不断凸显,一系列安全事件影响重大并呈现全球传导的趋势。”王世伟盘点说,“核弹”级漏洞不断显现,呈现新、快、危害大等重要特征。
公民个人信息安全笼罩阴霾
同时,自2013年始,一场公民个人信息泄露的阴云也开始逐渐展现出聚拢扩散之势:
2013年10月,为如家、汉庭等酒店提供网络服务的浙江慧达驿站网络有限公司因为系统漏洞,近2000万条酒店客户入住信息被泄露并通过网络传播下载,引起社会广泛关注并引发针对酒店的司法诉讼;
2014年5月,小米论坛官方数据库泄露,涉及800万使用小米产品的用户,泄露数据包括大量用户资料,可被用来访问小米云服务并获取更多的私密信息,甚至可通过同步获得通讯录、短信、照片、定位、锁定手机及删除信息等;
2014年8月,首起在华外国人非法获取我国公民个人信息案开庭,两名被告人从2005年至2013年6月接受境内外客户委托对我国公司或个人进行调查,非法收益达2096万余元;
同月,多家快递网站因存在漏洞遭黑客入侵,有1400万条个人信息在网络上被层层转卖;
……
“国内外个人信息泄露事件频发,非法采集、窃取、贩卖和利用网络个人信息的黑色产业链不断成熟壮大,呈现产业化、集团化、跨境化、智能化的趋势。我国个人信息保护已经成为社会各界广泛关注的重大社会现实问题。”王世伟分析说,巨大的经济利益是我国个人信息安全面临风险的直接原因。在网络经济大潮下,用户的个人信息是电子商务、网络游戏、网络支付、网络营销等各类网络活动的基本要素,成为商家竞相开发的“金矿”和非法分子牟利的工具。
“随着互联网金融的高速发展,用户信息成为恶意攻击目标。”同时,王军注意到,技术推广和普及应用,使得大数据与人们日常工作和生活息息相关,风险的发生机会和连带效应将变得超过以往任何时期。
在正在主持网络安全方向国家项目的王世伟看来,大数据时代个人信息安全面临严峻挑战,任何单一固化的保护模式均难以为继,只有从法律体系、自律机制、管理标准、组织机构、技术应用等多个层面构建起立体协同、动态发展的个人信息安全保障体系,才能从根本上遏制我国个人信息安全的系统性风险。
云计算爆发式发展挑战监管
根据数据显示,2014年,中国网民手机商务应用发展大爆发,手机网购、手机支付、手机银行等手机商务应用用户年增长分别为63.5%、73.2%和69.2%,远超其他手机应用增长幅度。
在王军看来,这些高速增长的数字,也给人们的生产、生活带来了严峻的安全威胁,而现有的安全机制如权限许可和审查机制等还存在诸多弊端。
“首先,这种机制存在局部性特征制约,各厂商制定的审查机制与执行标准各不相同,用户无法适应,也给攻击者留下了可乘之机。其次,生产厂商制定的安全机制主要是通过限制用户对智能终端设备的使用权限来保护自己的利益,没有考虑用户的权益与安全需求。”王军介绍说,另外,移动互联网具有的网络融合、应用多样、终端智能、平台开放等诸多新特点必定对监管提出新挑战。在这样的背景下,上至国家安全下至个人隐私保护都变得复杂而艰巨。
“从移动技术发展的各环节来看都面临新风险。”王军说,在巨量的新需求和新应用面前,移动智能终端的安全问题会不断突出,在应用层面,移动互联网面临的安全威胁则主要来自于恶意软件和间谍软件等。
王军介绍说,恶意软件攻入设备,主要目的是窃取数据,损坏设备,或打扰用户等。攻击者欺骗用户使之安装恶意程序或利用设备漏洞获取未经授权的远程访问权限。基于移动智能终端的恶意软件已经成为移动互联网中最严重的安全问题之一。
而另一项互联网技术——云计算的发展,也带来一些新的安全风险与隐患。
“在政策与法规层面,云计算的‘爆发式’发展给政府及企业带来监管上的困难。目前,我国相关的法律法规尚不健全,缺乏针对云计算环境下的适用法规,包括对‘云服务’提供商和用户之间的责任和义务没有有效界定。其次,我国尚未制定相关的评估标准和政策,以对‘云服务’提供商进行以安全为主要内容的评估监督。”王军介绍说,在技术与应用层面,我国云计算应用领域和应用范围的不断扩大以及国外云计算厂商的深度参与,也给国家安全带来潜在安全隐患。
“我国需加强自主可控云计算安全技术的研发,杜绝云计算安全技术和应用尤其是电子政务云建设依赖国外主流公司的情况,这是解决我国云计算安全问题以及云中数据安全问题的关键点之一。”王军说。