移動互聯網時代網絡安全趨勢分析
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了移動互聯網時代網絡安全趨勢分析范文,希望能給你帶來靈感和參考,敬請閱讀。
一、大數據時代的互聯網安全邊界
根據互聯網數據中心(IDC)數據顯示,目前互聯網上的數據每年增長50%,每兩年翻一番,全球互聯網90%以上的數據是最近幾年才產生的。可以說,人類已經走入了大數據時代。最早洞見大數據時代的數據科學家維克托•邁克•舍恩伯格在《大數據時代》一書中曾指出:大數據帶給人類生活的益處是多方面的,不僅是人們獲得新認知、創造新價值的源泉,還是改變市場、組織結構以及政府與公民關系的方法。但他同時也指出大數據相比傳統互聯網,會給網絡安全帶來更多威脅,給用戶隱私帶來更大挑戰。1.無處不在的“老大哥”,不斷挑戰傳統隱私保護法大數據技術給數據使用的隱私問題帶來了新挑戰。對于企業來說,大數據時代,企業決策從“業務驅動”轉變為“數據驅動”,企業需要遵守更嚴格的安全標準和保密規定,對數據存儲與使用的安全性和隱私性要求由此提高。對于個人而言,大數據時代,個人數據是一種信息資產,但這種資產卻在用戶不知情的情況下被收集、分析,以正當或不正當的方式用以牟利,個人生活似乎時刻被置于“老大哥”的監視之下,隱私安全受到了巨大挑戰。2.信息脫敏和分級:看似無解的數據使用與隱私保護的邊界數據共享是大數據的現實價值,但隱私保護又關系到公民個體和國家整體的安全。如何平衡大數據使用和隱私保護是亟待解決的問題。傳統的隱私規范采用“告知與許可”原則,即讓人們自主決定是否、如何以及經由誰來處理他們的信息,這就意味著將個人隱私保護的責任推給了用戶個體,由他們自主決定。但在大數據時代,由于信息存在被二次使用的情況,“告知與許可”原則就顯得缺乏現實的可行性,學者因此提出應改變傳統的隱私保護體系,將隱私保護的責任由公民個體轉移到數據使用者身上,即由數據使用者為其行為承擔責任,而非停留于收集數據之初的是否取得個人同意。圍繞這一原則,相關學者目前又提出了數據脫敏技術和數據分類分級等一系列具體的隱私保護手段。信息脫敏技術是指將數據脫敏為不含用戶隱私的測試用數據。但是由于結構化數據在大數據時代關聯性非常緊密,使得單個數據集的脫敏不能解決兩個各自不敏感數據集放在一起就變為敏感數據集這類的問題,因此需要針對具體行業和具體問題開發、采用不同的脫敏技術。數據分類分級從隱私安全與保護成本的角度出發,對數據進行分類和等級劃分,進而根據不同需要對關鍵數據進行重點防護。但是傳統的數據分級對于大數據時代來說過于粗放,許多研究機構正在探索進一步細化可行的分級標準。
二、互聯網安全立法規劃被提上日程
互聯網信息安全不僅與每個公民的日常生活息息相關,更事關互聯網行業的健康發展和整個國家的安全。然而,目前我國在互聯網安全立法方面存在缺乏系統完善的法律體系、立法過程各自為政、缺乏民主參與、互聯網安全立法滯后于互聯網產業發展需要等問題。面對大數據、云計算、在線支付等新技術新業務帶來的信息資產歸屬、隱私保護、數據使用權限等新興網絡安全問題,亟待制定一部對我國互聯網安全問題做出全面規定的專門法律,并以此為基礎,調整和完善我國現行的網絡安全法律體系。
1.系統完善的互聯網安全法律體系是保障
我國互聯網方面的立法與發達國家相比,起步較晚,缺乏相關立法經驗,造成我國與互聯網安全方面的法律體系不健全。我國互聯網立法始于20世紀80年代,90年代后網絡安全逐漸成為其中的重要內容。目前有關互聯網安全保護的法律法規主要包括四個層次:一是廣義上的專門立法,指全國人大常委會、國務院及其有關業務主管部門針對網絡安全和網絡管理頒布的法律、法規、部門規章等,其中屬于國家法律的有《電子簽名法》,帶有國家法律性質的全國人大常委會決定有《全國人民代表大會常務委員會關于維護互聯網安全的決定》和《全國人民代表大會常務委員會關于加強網絡信息保護的決定》,行政法規包括《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等;二是《侵權責任法》《專利法》《刑法》等其他法律中涉及到互聯網安全的相關內容,如《刑法》在1997年的修訂版中增加了侵入計算機系統犯罪的定罪處罰規定,2009年修正案中增加了“出售、非法提供公民個人信息罪”等;三是最高人民法院、最高人民檢察院的司法解釋,如:《關于辦理利用互聯網、移動通信終端、聲訊臺制作、復制、出版、販賣、傳播淫穢電子信息刑事案件具體應用法律若干問題的解釋》《關于辦理利用信息網絡實施誹謗等刑事案件適用法律若干問題的解釋》;四是地方性法規、規章或規范性文件規定。
2.立法過程應引入多元參與機制,考慮網絡用戶群體的切身利益
由于我國在網絡安全立法中缺乏一部系統全面的全國性法律,相關法律法規散見于其他法律、行政法規和地方性規制中。而部門規章幾乎都是各行政部門根據自己職責范圍內的管理內容,出臺的部門規章,目的在于方便管理。現行法律法規在對互聯網安全的理解上都是從不同部門自身職責出發,從各自專業領域認識,而缺乏統一和全局的界定。要想建立健全互聯網安全的相關法律體系,就必須首先厘清現行網絡安全法律淵源的層級關系,消除效力位階沖突,細化網絡安全法律制度及程序規則。此外,在互聯網安全的立法過程中,可以通過召開聽證會等形式廣泛聽取公眾的意見,增強對網絡安全立法的科學性與普適性。
3.互聯網安全立法逐步強化前置立法
近年來我國互聯網產業發展迅速,微信支付、二維碼掃描支付等成為金融服務的新領域,物聯網和智能硬件伸向千家萬戶的客廳和臥室,云計算技術使得大量用戶數據從個人電腦轉移到云端……但與互聯網產業發展中出現的新業務和新技術形成鮮明對比的是,目前有的互聯網安全立法內容已顯陳舊和滯后:首先,我國現行的網絡安全法律法規的制定時間停留于十幾年甚至二十年前,如《中華人民共和國計算機信息系統安全保護條例》制定于1994年,《計算機信息網絡國際聯網安全保護管理辦法》制定于年,《關于維護互聯網安全的決定》制定于2000年,《互聯網出版管理暫行規定》制定于2002年,《中華人民共和國電子簽名法》制定于2004年;其次,一些法律法規的內容針對特定時期的特定問題,尤其對于互聯網金融繁榮下的經濟安全、用戶生產內容時代的網絡版權問題以及大數據、云計算和物聯網平臺中的信息數據所有權等新興安全問題幾乎沒有涉及,因此這些法律法規難以在當下的移動互聯網時代有效發揮安全管理的作用,也無法適應維護新時期互聯網安全的需要。
三、移動互聯網安全是未來網絡安全的主戰場
移動互聯網是移動通信技術與互聯網技術結合的產物,在繼承二者優勢的同時也加劇了安全風險。移動互聯網的安全威脅主要來自三個方面:用戶終端、網絡和應用。
1.手機成為人體的一部分:移動終端私密性挑戰用戶隱私
隨著通信技術的發展,內存和芯片處理能力越來越強,移動終端日趨智能化、開放化。這些終端設備,兼具通訊、上網、辦公、娛樂等多種功能,逐漸發展成為用戶日常通訊中心、辦公中心、交易中心、娛樂中心。在給人們生活帶來便利的同時,移動終端也出現了新的安全威脅,如不法分子會利用手機操作系統的弱點進行病毒和惡意代碼的植入。由于移動終端不斷拓展的業務功能承載著巨大的商業價值,因此移動終端相較于傳統終端,更容易吸引攻擊者。同時,移動終端的屬性更加貼近個人生活,相比傳統互聯網,移動互聯網私密性更強,服務過程中會發生大量的用戶信息(如支付信息、通信信息、計費信息、位置信息等),這些給用戶的隱私保護帶來巨大挑戰,也增加了網絡信息犯罪的危害性。
2.惡意應用程序會日益加重移動互聯網的多元業務是吸引
網絡用戶的主要方式。移動應用市場的繁榮吸引了巨大的用戶群,同時暗藏著更多更大的安全威脅。針對應用的安全攻擊,方式更加多樣,危害規模也更廣,主要包括:針對業務載體的后門木馬,對業務和數據進行非法訪問;針對業務信息的垃圾、不良信息大規模傳播,個人隱私泄露,版權盜用;針對業務模式的惡意訂購等。國家網絡與信息安全技術研究所抽樣檢測了80余萬個安卓平臺移動應用樣本,累計發現7582個移動惡意應用,總下載量近1億次。此外,在巨大經濟利益的誘導下,針對智能應用程序的安全漏洞挖掘將增多,移動互聯網0-day漏洞數量還將繼續增長,這些漏洞一旦被黑客利用,現有殺毒軟件也無法察覺,這進一步加劇了移動應用的使用風險。移動應用商店的安全審核機制存在很大漏洞,大量應用商店缺乏對應用產品的安全監測,安全準入門檻低,導致惡意應用潛藏其中。此外,安卓移動應用盈利模式也是導致惡意應用滋生的重要原因。目前大部分安卓應用是免費應用,其盈利模式主要包括:嵌入廣告或灰色產業,免費應用的盈利模式是惡意應用產生的經濟誘因之一。嵌入廣告是指開發者在開發應用時調用廣告平臺提供的接口創建嵌入式的廣告,用戶在使用這類應用時如果點擊了嵌入廣告,廣告平臺即會支付開發者相應的費用。嵌入廣告的安全問題主要是惡意推廣,為了賺取更多利潤,惡意推廣在用戶不知情的情況下直接在后臺訪問廣告鏈接或自動下載其他應用,在廣告平臺騙取利益的同時也造成了用戶流量的損耗。灰色產業是指開發者故意開發出具有惡意扣費、竊取隱私等行為的惡意應用,通過惡意扣費分成、隱私信息販賣等方式牟取暴利。
3.移動互聯網用戶安全意識會進一步提升
目前,我國擁有手機網民5.27億,但這些用戶在性別、年齡、學歷等方面的結構復雜,導致我國用戶在移動互聯網的安全意識和安全行為呈現參差不齊的現象:首先,大量用戶使用習慣存在著潛在的安全隱患,如在不同的電子商務網站或SNS平臺使用相同的賬戶名和密碼設置,在網絡上隨意泄露自己的個人信息,讓不法分子有機可乘;其次,并非所有用戶都能意識到安全問題的發生,很多用戶對已發生的網絡安全問題漠不關心、毫不知情,有些用戶在遭遇安全事件以后,選擇不讓外人知道,而非向他人預警;此外,對于個體用戶而言,不可能有足夠的專業知識和精力去關注可能給自己系統帶來威脅的安全漏洞,普通用戶的專業知識不足,與黑客高超的隱蔽技術形成對比,加劇了網絡安全的風險。因此需要權威信息的引導和第三方專業機構的協助。而我國目前在互聯網安全的用戶引導方面還相對欠缺,大量用戶缺乏權威機構的安全使用指導。
四、智能硬件興起后的物聯網安全形勢更加復雜
萬物互聯是未來的發展趨勢。網絡連接不僅發生在信息化設備領域,同時也在向工業控制系統、醫療器械、辦公及家用設備領域延伸,隨著可穿戴設備、智能汽車、智能家居、智能電網等智能設備和移動終端的快速普及,物聯網時代正在向我們走來。但是,作為一種新興技術,物聯網技術尚處于發展過程中,其潛在的漏洞缺陷可能成為黑客網絡攻擊的下一個入口;同時萬物互聯時代,節點和數據的規模遠遠超出了傳統互聯網安全防御的邊界。物聯網安全和用戶隱私問題給物聯網的建設和普及帶來了挑戰。2013年,美國“黑帽安全技術大會”上出現了“冰箱僵尸網絡”等十多項針對智能家電、汽車控制系統等職能終端設備的惡意攻擊技術展示,物聯網的脆弱性將伴隨其應用和發展而更加凸顯。
1.感知層:分散式終端泄露用戶隱私,智能硬件成重災區
物聯網使網絡終端延伸到生活的各個領域,物聯網中包含著大量的隱私數據,從個人身份信息,到位置信息,再到消費信息等等。分散式的智能終端是物聯網感知層的重要組成部分,其安全威脅包括操作系統缺陷、惡意軟件和“僵尸網絡”等等,對用戶個人隱私、在線支付中的財產安全等構成直接威脅。在操作系統缺陷方面,由于安卓系統目前已成為智能設備的主流操作平臺,針對安卓系統的攻擊威脅會從移動互聯網蔓延至物聯網領域。安卓系統具有開放性、大眾化的特點,幾乎所有的安卓手機都存在重大驗證漏洞,黑客可以通過未加密的無線網絡竊取用戶數字證書。2014年,企業安全公司Proof⁃point報告指出,從2013年12月23日到2014年1月6日,全球有超過10萬臺的互聯網智能終端在兩周時間內發送了75萬封“釣魚”郵件。這個“僵尸網絡”中包括了大量媒體播放器、智能電視機以及1臺冰箱。攻擊者利用了默認管理密碼和其他錯誤的配置,以及舊版本Linux上的高危軟件漏洞,創建了一個由PC和智能家電構成的“僵尸網絡”。移動“僵尸網絡”的出現對用戶的個人隱私、財產、銀行卡密碼等重要信息構成直接威脅。由于物聯網終端是分散的,使得傳統的防火墻等集中式的防護模式可能不再有用,加劇了物聯網終端設備的使用風險。
2.傳輸層:異構網絡帶來的安全問題比移動網絡更突出
物聯網中存在著海量的節點和海量的數據,當傳輸網絡面臨著以集群方式存在的數據傳輸需求時,容易出現核心網絡擁塞。黑客很容易利用傳輸層數據量龐大帶來的挑戰,制造拒絕服務(DoS)攻擊。此外,由于物聯網傳輸層是由不同架構的網絡集結而成,除存在各自網絡所固有的安全需求外,在相互連接的時候面臨異構網絡網間安全、安全協議的無縫銜接等一系列新的安全問題,容易遭到DoS攻擊、中間人攻擊、異步攻擊、合謀攻擊,導致節點喪失運行能力。因此,構建高柔性免受攻擊的異構網絡安全防護的關鍵技術和方法,是物聯網傳輸層必須關注的重要問題。
3.應用層:用戶更私密的個人信息使用與保護的形勢更加嚴峻
當感應層接收的信息通過傳輸網絡到達應用層時,海量用戶信息如何應用,是物聯網面臨的又一挑戰。物聯網應用層集合了大量個體用戶的隱私數據,包括健康狀況、通訊數據、位置數據、消費習慣等。同時還儲存了海量的電網、交通等等國家、行業敏感信息數據。以健康數據為例,隨著智能硬件和可穿戴設備的發展和普及,除了用戶對產品的使用行為、健康信息等用戶個人數據也會被智能設備采集,并上傳至云端。健康數據不僅是用戶重要的個人隱私,也是用戶的信息資源,但是當海量數據集中后,如果對數據的使用權限不加管理,如果沒有相關法律對公民個人的信息資產加以界定,極有可能出現圍繞個人的健康數據產生一個利益鏈條,而用戶卻對商家利用自己隱私數據牟利的情況毫不知情。據報道,國外已經發生某些公司或網絡黑客將用戶健康數據販賣至醫藥企業、保險公司的案例。因此,在大數據和云計算時代,如何使用這些信息,不僅需要制定通用的隱私保護和信息安全政策,還需要針對特定行業考慮具體的數據使用權限問題。有學者提出在物聯網應用層應該加強數據庫訪問控制,對不同的訪問用戶可根據其安全級別或身份不同限制其權限和操作,對不同的應用場景可采取認證機制和加密機制。
作者:喻國明 單位:長江學者 中國人民大學新聞學院教授 中國人民大學新聞與社會發展研究中心主任 中國傳媒經濟與管理學會會長
