2012年5月12日 星期六

2012年中國網路資訊安全發展趨勢研究分析


2012年中國網路資訊安全發展趨勢研究分析

一、網路空間安全將得到國家層面關注,期待出臺資訊安全國家戰略2011年5月16日,美國白宮發佈由總統奧巴馬簽署的《網路空間國際戰略》中包括:在網路安全領域增進合作,增強美國及全球互聯網的安全性、可靠性及靈活性;在執法領域加強網路立法和執行力度,提高全球打擊網路犯罪的能力;在軍事領域與盟友通力合作,提高盟友應對網路威脅的能力,並確保美國軍用網路的安全;在互聯網管理領域加強各國間的溝通交流,保障全球網路系統包括網域名稱系統的穩定和安全;在國際發展領域援助合作夥伴構建“數字基礎設施”,説明他們提高抵禦網路威脅的能力;在網路自由方面加強保護隱私,促進網路表達自由、集會自由及結社自由等。
可以看到,美國已經從戰略層面關注網路空間主權及其安全,並採取行動。實際上,美國從1998年開始,已經分4個階段全面佈局,出臺了一系列政策和規劃,保護網路空間安全:第一階段自1998年開始,出臺了《關鍵基礎設施保護政策(P0063)》以及《關於保護資訊系統的國家計畫》,重點保護關鍵資訊基礎設施;第二階段自2002年開始,出臺了《國土安全國家戰略規劃》以及《網路空間安全國家戰略》,正式給網路空間賦予了國家戰略意義,將資訊基礎設施保護上升到網路空間安全保護;第三階段自2008年開始,出臺了《國家網路安全綜合綱領》,網路空間戰略由深度防禦過渡到了綜合行動,網路威懾、網路行動配合軍事威脅、軍事行動,構成美國信軍事戰略的核心內容;第四階段自2011年開始,出臺了《網路空間國家戰略》以及《網路空間行動戰略》,由國內資訊保障過渡到國際治理,標誌著美國政府網路空間戰略中心開始由國內轉向國外,網路戰爭被正式賦予法律依據。
至此,美國政府已經將網路空間與陸、海、空、天並列,成為美國主權疆域。
種種事實已經充分說明,為了實現網路空間戰略由計畫上升為具備實戰能力,西方大國及其盟友將以其研發的網路武器為基礎,主導國際網路空間的軍事事務,並對他國形成非常規的網路軍事威懾,必要時甚至動用常規武器,對他國的網路目標甚至關鍵資訊基礎設施實施打擊和摧毀。為了應對網路戰爭的現實威脅,各國紛紛組建網路戰部隊、研發網路戰爭武器,為未來可能爆發的網路戰爭加緊進行實戰準備工作。
雖然我國已經充分意識到網路空間的重要地位,但是至今仍然缺少一部網路空間資訊安全國家戰略,用於明確我國應對網路空間安全的態度、核心利益、可能的應對手段等,以規劃網路空間相關行動。因此期待2012年我國能出臺網路空間資訊安全國家戰略。

二、個人資料保護將得到空前關注,隱私安全狀況有望改善個人隱私洩露事件每年都有,但是2011年似乎尤其多。2011年3月,知名資訊安全企業Hbgary公司CEO的數千封Gmail郵件洩露,涉及美國政府部門和包括美洲銀行、高盛、強生等多家500強公司;4月,全球最大電子郵件行銷公司Epsilon遭到攻擊,導致至少39家大型企業用戶郵寄地址外泄;同月,索尼公司遭駭客攻擊,引發史上最嚴重的消費者資料洩露事故;7月,韓國三大門戶網站之一Nate和社交網站“賽我網”遭駭客攻擊,3500萬使用者資訊被洩露;11月,國內著名的電子商務網站當當網被曝存在嚴重系統漏洞,個人可以輕易抓取到4000萬使用者的姓名、聯繫方式、位址等詳細資料。
2011年12月,網路上爆出更加嚴重的使用者密碼外泄事件。12月21日,一份名為“CSDN-中文IT社區-600萬.rar”的文件在互聯網上瘋傳。此檔包含643萬使用者資料,包括ID、純文字密碼以及郵寄地址,經確認絕大多數資料是CSDN早期使用者資訊。此後網路上又爆出天涯3100萬帳號、人人網476萬帳號、網易土木論壇的4.3GB資料、太平洋電腦網200萬資料、多玩的830萬數據等。其後又有網友爆出,交通銀行和民生銀行也“中箭”,大量儲戶卡號和密碼洩露。上述敏感資訊有真有假,可能源於駭客攻擊、內鬼出售、撞庫等手段,也有部分資料庫完全是偽造的,難以一一查實,但是毫無疑問,數千萬、甚至上億使用者的敏感資訊被出售、非法利用。密碼洩露事件愈演愈烈。
當前互聯網以及現實生活中大多使用用戶名和密碼來認證。每個人都需要管理少則十幾個、多則幾十個用戶名和密碼組合。對於絕大多數用戶而言,記住不同的用戶名,並且為每個用戶名設置足夠複雜的密碼幾乎是一件不可能完成的任務。因此多數用戶在不同的場合使用相同的用戶名及密碼。用戶在某一個防護水準較低的小網站中的用戶名/密碼被盜取或出售後,可能導致全線崩潰,防護很強的大網站中的使用者資訊、虛擬財產也可能因為類似的用戶名和密碼而丟失。
實際上,個人隱私資訊被洩露的事件每年都有:樓盤業主資訊、使用者通話詳單、企業負責人聯繫資訊等被明碼標價的情況也常見到,但是一直以來都沒有得到足夠的重視。據分析,此次洩露的使用者密碼資料庫是幾年前的資料庫,已經被層層利用,幾乎榨幹了最後的剩餘價值。因此這樣的資料庫被曝到網上,從某種意義上來說應該是一件好事:首先能夠提醒使用者加強對密碼設置的重視程度;其次能提醒保存著使用者資訊的企業提高警惕,加強防範;第三能夠促進有關部門對保存了大量使用者資訊的網站加強監管。
此外,結合當前手機實名制的推進,微博實名制的實施和進展以及未來可能推出的網路身份證,我們不禁要問:我們的個人資訊會存放在哪裡?收錄我們個人資訊的企業需要履行什麼樣的義務?誰有權查閱我們的個人資訊?查閱個人資訊需要有誰的授權?可以預期,2012年將是全社會關注個人資訊保護的1年。
就個人而言,2012年1月必須要做的事是把所有的密碼都修改一遍,不但要有足夠的強度,而且要避開網上所披露的常用密碼;將帳戶分類,拒絕使用“萬能鑰匙”。
就保存個人資訊的企業而言,首先需要提示使用者設置足夠強度的密碼;其次需要採用足夠的技術手段保護使用者資訊,防止駭客攻擊和竊取;第三需要加強內部管控,防範來自內部的風險。
就國家層面而言,立法是首要的問題,但是短期內出臺關於個人隱私保護的法律顯然是不現實的。我們只能寄希望於政府監管部門,在2012年督促企業加強網路與資訊安全方面的風險管理,明確保存使用者個人資訊時進行例如加密存儲、授權使用等安全方面的基線要求,並通過年檢等行政監管手段確保企業實施。
此外,還應鼓勵研發和部署更安全、更便利、與個體捆綁更緊密,並且更有利於個人資訊保護的認證手段,替代現有簡單用戶名和密碼的認證方式。
通過個人、企業以及監管部門對使用者個人資訊保護的關注,我們相信,2012年隱私資訊的安全狀況有望得到較大的改善。

三、雲計算得到一定應用,雲計算安全問題可能逐漸暴露如果評選2011年IT界最熱詞彙,“雲”無疑會是最熱門的候選者。
我們已經看到包括雲電腦、雲手機、雲電視、雲存儲、雲搜索、雲伺服器、雲會議、雲列印、雲殺毒、雲輸入法等在內的雲概念產品,也看到涵蓋硬體廠商、軟體廠商、互聯網公司、電信運營商等紛紛發佈了雲戰略,還看到被相關部委定為先行發展“雲計算創新發展試點示範工作”的北京、上海、深圳、杭州和無錫分別推出“祥雲”、“雲海”、“鯤雲”、“西湖雲”以及“雲谷”,還有廣州的“天雲”、重慶的“雲特區”、寧波的“星雲”、西安的“航太雲”、蘇州的“彩雲”等雲計算相關的規劃。一時間,無數的企業和地方政府都在為雲計算而努力,試圖從雲計算中分一杯羹。
出於對互聯網網路與資訊安全問題的擔心,在規劃各種各樣雲的同時,我們也在擔心雲計算的安全問題。美國的亞馬遜、微軟、蘋果、穀歌已經基於雲計算推出了很多革命性的產品和服務。多數時間聽到的都是對雲計算的讚美聲,偶爾才能看到少量雲存儲服務宕機或者丟失使用者資訊的消息。在網路上大量免費或者低價雲服務的情況下,很少有人在意這些消息。國內的情況則是“雷聲大、雨點小”:很多規劃中的雲計算中心還只是一片莊稼地;運行中公有雲很少,提供的平臺和服務單一;對基礎設施關注多而對業務應用關注少。因此國內用戶接觸到雲計算的機會更少,關於雲計算安全的事件比國外更少。
雖然現階段雲計算安全事件較少,但是通過分析,我們可以看到雲計算可能面臨的安全風險如下。
資源被濫用:雲計算資源可能被用於DDoS攻擊、密碼破解等惡意行為。
難以溯源:當前雲計算跨國提供,且缺乏必要的日誌審計要求,網路犯罪行為調查以及溯源時可能出現問題。
安全管理的風險:雲計算環境下用戶難以對所使用的環境進行必要的評估和審計。
資料有限訪問權風險:雖然使用者擁有資料,但是一般而言雲計算提供者擁有更高的許可權。
計算和存儲共用帶來的風險:共用計算能力以及存儲能力的情況下,可能出現因為少數用戶安全能力影響其他用戶安全的現象。
資料跨境流動的風險:雲計算環境下,海量資料可能跨境流動,存儲在境外海量涉及民生的資料可能影響國家安全。
此外使用雲計算還可能面臨高可靠性風險、企業長期發展依賴性風險以及非技術領先國家面臨的風險等。
雖然就當前而言,上述風險還都僅僅是一些理論上的可能,但是隨著雲計算在我國的廣泛應用,部分所擔心的安全風險或者是當前沒有預估到的安全風險都可能會暴露出來。可以預期,2012年是雲計算逐步應用的一年,也是雲計算安全問題出現的一年。

四、移動互聯網安全問題凸顯,將得到進一步關注智慧手機問世以來,對移動互聯網安全的擔憂就沒有停止過。一部分人認為移動互聯網僅僅是能力有限的電腦(智慧手機)通過資源有限的移動通信網訪問互聯網,可能出現的安全問題基本類似傳統互聯網。另外一部分人則認為移動互聯網與傳統互聯網差異較大,用戶眾多且具備移動性,擔心影響以話音為主業的移動通信網正常運行,也擔心溯源方面的問題。
當前移動互聯網安全問題主要集中在如下方面:約90%的用戶曾收到垃圾、騷擾、詐騙短信以及電話;約80%的用戶曾被手機運行變慢、死機、頻繁重啟困擾;約48%的用戶被惡意扣費;約26%的用戶因手機丟失,相應文檔、照片、通信錄等資訊無法找回;約24%使用者手機內資訊無故丟失;約15%的使用者帳戶資訊被竊取;約13%的使用者因手機被盜,資訊被用於不法用途;約11%的用戶通信錄、短信、錄音、檔等資訊被竊取;約7%的用戶手機被他人監聽、跟蹤或監控;約0.5%的用戶遭遇其他手機安全問題。
最初手機僅僅是一個便利的通話工具,隨著手機能力的提升,手機上可能存儲著使用者的社會關係(通信錄、QQ好友、MSN好友等)、帳號密碼資訊(手機銀行、掌上證券等)、業務定制、通話記錄、網站訪問記錄、位置資訊、個人圖片、檔等各種涉及隱私的資料、資訊。在極端情況下,手機甚至可以成為竊聽器、追蹤器。按照當前手機的普及率,移動互聯網安全已經涉及到幾億人的切身利益。
一直以來我們對移動互聯網安全問題的擔心正逐漸變成現實。在2012年,一種可能是隨著移動互聯網的進一步廣泛應用,出現更多惡意行為,移動互聯網安全狀況有所惡化;另一種可能是隨著全社會對移動互聯網重視程度的提高,移動互聯網安全狀況得到緩解。無論如何,可以預期,2012年移動互聯網安全將受到前所未有的關注。

轉載自《遊俠安全網