网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


2012年我国网络信息安全发展趋势研究分析

2012-05-06 16:22 推荐: 浏览: 11 字号:

摘要: (1)网络空间安全将得到国家层面关注,期待出台信息安全国家战略2011年5月16日,美国白宫发布由总统奥巴马签署的《网络空间国际战略》中包括:在网络安全领域增进合作,增强美国及全球互联网的安全性、可靠性及灵活性;在执法领域加强网络立法和执行力度,提高全球打击网...

(1)网络空间安全将得到国家层面关注,期待出台信息安全国家战略2011年5月16日,美国白宫发布由总统奥巴马签署的《网络空间国际战略》中包括:在网络安全领域增进合作,增强美国及全球互联网的安全性、可靠性及灵活性;在执法领域加强网络立法和执行力度,提高全球打击网络犯罪的能力;在军事领域与盟友通力合作,提高盟友应对网络威胁的能力,并确保美国军用网络的安全;在互联网管理领域加强各国间的沟通交流,保障全球网络系统包括域名系统的稳定和安全;在国际发展领域援助合作伙伴构建“数字基础设施”,帮助他们提高抵御网络威胁的能力;在网络自由方面加强保护隐私,促进网络表达自由、集会自由及结社自由等。

可以看到,美国已经从战略层面关注网络空间主权及其安全,并采取行动。实际上,美国从1998年开始,已经分4个阶段全面布局,出台了一系列政策和规划,保护网络空间安全:第一阶段自1998年开始,出台了《关键基础设施保护政策(P0063)》以及《关于保护信息系统的国家计划》,重点保护关键信息基础设施;第二阶段自2002年开始,出台了《国土安全国家战略规划》以及《网络空间安全国家战略》,正式给网络空间赋予了国家战略意义,将信息基础设施保护上升到网络空间安全保护;第三阶段自2008年开始,出台了《国家网络安全综合纲领》,网络空间战略由深度防御过渡到了综合行动,网络威慑、网络行动配合军事威胁、军事行动,构成美国信军事战略的核心内容;第四阶段自2011年开始,出台了《网络空间国家战略》以及《网络空间行动战略》,由国内信息保障过渡到国际治理,标志着美国政府网络空间战略中心开始由国内转向国外,网络战争被正式赋予法律依据。

至此,美国政府已经将网络空间与陆、海、空、天并列,成为美国主权疆域。

种种事实已经充分说明,为了实现网络空间战略由计划上升为具备实战能力,西方大国及其盟友将以其研发的网络武器为基础,主导国际网络空间的军事事务,并对他国形成非常规的网络军事威慑,必要时甚至动用常规武器,对他国的网络目标甚至关键信息基础设施实施打击和摧毁。为了应对网络战争的现实威胁,各国纷纷组建网络战部队、研发网络战争武器,为未来可能爆发的网络战争加紧进行实战准备工作。

虽然我国已经充分意识到网络空间的重要地位,但是至今仍然缺少一部网络空间信息安全国家战略,用于明确我国应对网络空间安全的态度、核心利益、可能的应对手段等,以规划网络空间相关行动。因此期待2012年我国能出台网络空间信息安全国家战略。

(2)个人数据保护将得到空前关注,隐私安全状况有望改善个人隐私泄露事件每年都有,但是2011年似乎尤其多。2011年3月,知名信息安全企业Hbgary公司CEO的数千封Gmail邮件泄露,涉及美国政府部门和包括美洲银行、高盛、强生等多家500强公司;4月,全球最大电子邮件营销公司Epsilon遭到攻击,导致至少39家大型企业用户邮件地址外泄;同月,索尼公司遭黑客攻击,引发史上最严重的消费者资料泄露事故;7月,韩国三大门户网站之一Nate和社交网站“赛我网”遭黑客攻击,3500万用户信息被泄露;11月,国内著名的电子商务网站当当网被曝存在严重系统漏洞,个人可以轻易抓取到4000万用户的姓名、联系方式、地址等详细资料。

2011年12月,网络上爆出更加严重的用户密码外泄事件。12月21日,一份名为“CSDN-中文IT社区-600万.rar”的文件在互联网上疯传。此文件包含643万用户数据,包括ID、明文密码以及邮件地址,经确认绝大多数数据是CSDN早期用户信息。此后网络上又爆出天涯3100万账号、人人网476万账号、网易土木论坛的4.3GB数据、太平洋电脑网200万数据、多玩的830万数据等。其后又有网友爆出,交通银行和民生银行也“中箭”,大量储户卡号和密码泄露。上述敏感信息有真有假,可能源于黑客攻击、内鬼出售、撞库等手段,也有部分数据库完全是伪造的,难以一一查实,但是毫无疑问,数千万、甚至上亿用户的敏感信息被出售、非法利用。密码泄露事件愈演愈烈。

当前互联网以及现实生活中大多使用用户名和密码来认证。每个人都需要管理少则十几个、多则几十个用户名和密码组合。对于绝大多数用户而言,记住不同的用户名,并且为每个用户名设置足够复杂的密码几乎是一件不可能完成的任务。因此多数用户在不同的场合使用相同的用户名及密码。用户在某一个防护水平较低的小网站中的用户名/密码被盗取或出售后,可能导致全线崩溃,防护很强的大网站中的用户信息、虚拟财产也可能因为类似的用户名和密码而丢失。

实际上,个人隐私信息被泄露的事件每年都有:楼盘业主信息、用户通话详单、企业负责人联系信息等被明码标价的情况也常见到,但是一直以来都没有得到足够的重视。据分析,此次泄露的用户密码数据库是几年前的数据库,已经被层层利用,几乎榨干了最后的剩余价值。因此这样的数据库被曝到网上,从某种意义上来说应该是一件好事:首先能够提醒用户加强对密码设置的重视程度;其次能提醒保存着用户信息的企业提高警惕,加强防范;第三能够促进有关部门对保存了大量用户信息的网站加强监管。

此外,结合当前手机实名制的推进,微博实名制的实施和进展以及未来可能推出的网络身份证,我们不禁要问:我们的个人信息会存放在哪里?收录我们个人信息的企业需要履行什么样的义务?谁有权查阅我们的个人信息?查阅个人信息需要有谁的授权?可以预期,2012年将是全社会关注个人信息保护的1年。

就个人而言,2012年1月必须要做的事是把所有的密码都修改一遍,不但要有足够的强度,而且要避开网上所披露的常用密码;将账户分类,拒绝使用“万能钥匙”。

就保存个人信息的企业而言,首先需要提示用户设置足够强度的密码;其次需要采用足够的技术手段保护用户信息,防止黑客攻击和窃取;第三需要加强内部管控,防范来自内部的风险。

就国家层面而言,立法是首要的问题,但是短期内出台关于个人隐私保护的法律显然是不现实的。我们只能寄希望于政府监管部门,在2012年督促企业加强网络与信息安全方面的风险管理,明确保存用户个人信息时进行例如加密存储、授权使用等安全方面的基线要求,并通过年检等行政监管手段确保企业实施。

此外,还应鼓励研发和部署更安全、更便利、与个体捆绑更紧密,并且更有利于个人信息保护的认证手段,替代现有简单用户名和密码的认证方式。

通过个人、企业以及监管部门对用户个人信息保护的关注,我们相信,2012年隐私信息的安全状况有望得到较大的改善。

(3)云计算得到一定应用,云计算安全问题可能逐渐暴露如果评选2011年IT界最热词汇,“云”无疑会是最热门的候选者。

我们已经看到包括云电脑、云手机、云电视、云存储、云搜索、云服务器、云会议、云打印、云杀毒、云输入法等在内的云概念产品,也看到涵盖硬件厂商、软件厂商、互联网公司、电信运营商等纷纷发布了云战略,还看到被相关部委定为先行发展“云计算创新发展试点示范工作”的北京、上海、深圳、杭州和无锡分别推出“祥云”、“云海”、“鲲云”、“西湖云”以及“云谷”,还有广州的“天云”、重庆的“云特区”、宁波的“星云”、西安的“航天云”、苏州的“彩云”等云计算相关的规划。一时间,无数的企业和地方政府都在为云计算而努力,试图从云计算中分一杯羹。

出于对互联网网络与信息安全问题的担心,在规划各种各样云的同时,我们也在担心云计算的安全问题。美国的亚马逊、微软、苹果、谷歌已经基于云计算推出了很多革命性的产品和服务。多数时间听到的都是对云计算的赞美声,偶尔才能看到少量云存储服务宕机或者丢失用户信息的消息。在网络上大量免费或者低价云服务的情况下,很少有人在意这些消息。国内的情况则是“雷声大、雨点小”:很多规划中的云计算中心还只是一片庄稼地;运行中公有云很少,提供的平台和服务单一;对基础设施关注多而对业务应用关注少。因此国内用户接触到云计算的机会更少,关于云计算安全的事件比国外更少。

虽然现阶段云计算安全事件较少,但是通过分析,我们可以看到云计算可能面临的安全风险如下。

资源被滥用:云计算资源可能被用于DDoS攻击、密码破解等恶意行为。

难以溯源:当前云计算跨国提供,且缺乏必要的日志审计要求,网络犯罪行为调查以及溯源时可能出现问题。

安全管理的风险:云计算环境下用户难以对所使用的环境进行必要的评估和审计。

数据有限访问权风险:虽然用户拥有数据,但是一般而言云计算提供者拥有更高的权限。

计算和存储共享带来的风险:共享计算能力以及存储能力的情况下,可能出现因为少数用户安全能力影响其他用户安全的现象。

数据跨境流动的风险:云计算环境下,海量数据可能跨境流动,存储在境外海量涉及民生的数据可能影响国家安全。

此外使用云计算还可能面临高可靠性风险、企业长期发展依赖性风险以及非技术领先国家面临的风险等。

虽然就当前而言,上述风险还都仅仅是一些理论上的可能,但是随着云计算在我国的广泛应用,部分所担心的安全风险或者是当前没有预估到的安全风险都可能会暴露出来。可以预期,2012年是云计算逐步应用的一年,也是云计算安全问题出现的一年。

(4)移动互联网安全问题凸显,将得到进一步关注智能手机问世以来,对移动互联网安全的担忧就没有停止过。一部分人认为移动互联网仅仅是能力有限的计算机(智能手机)通过资源有限的移动通信网访问互联网,可能出现的安全问题基本类似传统互联网。另外一部分人则认为移动互联网与传统互联网差异较大,用户众多且具备移动性,担心影响以话音为主业的移动通信网正常运行,也担心溯源方面的问题。

当前移动互联网安全问题主要集中在如下方面:约90%的用户曾收到垃圾、骚扰、诈骗短信以及电话;约80%的用户曾被手机运行变慢、死机、频繁重启困扰;约48%的用户被恶意扣费;约26%的用户因手机丢失,相应文档、照片、通信录等信息无法找回;约24%用户手机内信息无故丢失;约15%的用户账户信息被窃取;约13%的用户因手机被盗,信息被用于不法用途;约11%的用户通信录、短信、录音、文件等信息被窃取;约7%的用户手机被他人监听、跟踪或监控;约0.5%的用户遭遇其他手机安全问题。

最初手机仅仅是一个便利的通话工具,随着手机能力的提升,手机上可能存储着用户的社会关系(通信录、QQ好友、MSN好友等)、账号密码信息(手机银行、掌上证券等)、业务定制、通话记录、网站访问记录、位置信息、个人图片、文件等各种涉及隐私的资料、信息。在极端情况下,手机甚至可以成为窃听器、追踪器。按照当前手机的普及率,移动互联网安全已经涉及到几亿人的切身利益。

一直以来我们对移动互联网安全问题的担心正逐渐变成现实。在2012年,一种可能是随着移动互联网的进一步广泛应用,出现更多恶意行为,移动互联网安全状况有所恶化;另一种可能是随着全社会对移动互联网重视程度的提高,移动互联网安全状况得到缓解。无论如何,可以预期,2012年移动互联网安全将受到前所未有的关注。

联系站长租广告位!

中国首席信息安全官