我國互聯(lián)網(wǎng)仍然存在較多網(wǎng)絡(luò)攻擊和安全威脅，2015年我國信息安全領(lǐng)域的現(xiàn)狀不容樂觀：

 

 

　　在大數(shù)據(jù)時代，網(wǎng)站數(shù)據(jù)和個人信息利益價值凸顯，海量數(shù)據(jù)既是企業(yè)和用戶的核心資產(chǎn)，也成為網(wǎng)絡(luò)攻擊瞄準(zhǔn)的目標(biāo)，以竊取數(shù)據(jù)為主要目的的攻擊事件將越來越多，云平臺自身的網(wǎng)絡(luò)安全防護(hù)特別是對海量數(shù)據(jù)安全的防護(hù)將面臨挑戰(zhàn)。

 

　　在移動互聯(lián)網(wǎng)應(yīng)用方面，多款打車軟件存在信息泄露風(fēng)險?；ヂ?lián)網(wǎng)漏洞曝光平臺——烏云網(wǎng)2015年5月向《消費者報道》提供的數(shù)據(jù)顯示，自2014年1月份到2015年5月上旬，共發(fā)布59個關(guān)于打車軟件的安全漏洞，涉及廠商多達(dá)9家，其中快的、滴滴、Uber等行業(yè)領(lǐng)先企業(yè)赫然在列。在網(wǎng)絡(luò)第三方支付平臺方面，財付通、Apple Pay等被曝存在“災(zāi)難級”漏洞，該漏洞可致遠(yuǎn)程任意代碼執(zhí)行，對用戶電腦安全造成極大危害。

 

 

　　隨著信息產(chǎn)業(yè)各個領(lǐng)域的自主可控深入推進(jìn)，國產(chǎn)軟硬件產(chǎn)品應(yīng)用增多，其安全問題將受到更多重視。移動互聯(lián)網(wǎng)與傳統(tǒng)產(chǎn)業(yè)結(jié)合催生智能硬件新業(yè)態(tài)，智能手環(huán)、智能手表等可穿戴設(shè)備、互聯(lián)網(wǎng)電視等產(chǎn)品成為市場熱點，隨著終端設(shè)備的功能和性能大幅提升，面臨的安全威脅增大。

 

　　智能手機(jī)成為感染病毒與木馬的重災(zāi)區(qū)。研究人員表示六成安卓設(shè)備存安全風(fēng)險、安卓平臺媒體誕生近5000款惡意程序；操作系統(tǒng)方面，谷歌再次披露win8.1未修復(fù)漏洞。該漏洞存在潛在的可能讓黑客攻擊谷歌Chrome、Adobe Reader等其他產(chǎn)品的沙盒；可穿戴設(shè)備方面，蘋果Apple Watch智能手表在上市不久就先后曝出了不少問題，紋身將影響手表的傳感器，安全性能缺失，付款無需支付密碼。而最新消息顯示，Apple Watch可以被輕松重置，被黑客利用猶如探囊取物，存在一定安全隱患。

 

　　云計算爆發(fā)式發(fā)展,挑戰(zhàn)現(xiàn)有監(jiān)管制度。根據(jù)數(shù)據(jù)顯示，2014年，中國網(wǎng)民手機(jī)商務(wù)應(yīng)用發(fā)展大爆發(fā)，手機(jī)網(wǎng)購、手機(jī)支付、手機(jī)銀行等手機(jī)商務(wù)應(yīng)用用戶年增長分別為63.5%、73.2%和69.2%，遠(yuǎn)超其他手機(jī)應(yīng)用增長幅度。高速增長的數(shù)字，也給人們的生產(chǎn)、生活帶來了嚴(yán)峻的安全威脅，而現(xiàn)有的安全機(jī)制如權(quán)限許可和審查機(jī)制等還存在諸多弊端。

 

　　2015年7月13日windows平臺爆出Evernote安全漏洞，這些漏洞可能會導(dǎo)致執(zhí)行代碼。10月19日下午，烏云宣布發(fā)現(xiàn)新漏洞，此漏洞將導(dǎo)致網(wǎng)易163/126郵箱過億數(shù)據(jù)泄漏，涉及郵箱賬號、密碼、用戶密保等。我國需加強(qiáng)自主可控云計算安全技術(shù)的研發(fā)，杜絕云計算安全技術(shù)和應(yīng)用尤其是電子政務(wù)云建設(shè)依賴國外主流公司的情況，這是解決我國云計算安全問題以及云中數(shù)據(jù)安全問題的關(guān)鍵點之一。

 

　　此外，涉及重要行業(yè)和政府部門的高危漏洞事件增多，網(wǎng)絡(luò)邊防保障仍需加強(qiáng)。“烏云網(wǎng)”日前發(fā)布報告稱，上海住房公積金網(wǎng)存在漏洞，大量單位和居民信息存在被泄露的風(fēng)險。上海移動所有用戶實名制信息被曝可任意查詢，只需你的手機(jī)號，就能直接竊取你的實名、住址等信息。包括此前12306網(wǎng)站用戶信息在互聯(lián)網(wǎng)上瘋傳一事都可以窺探出，重要企事業(yè)單位信息系統(tǒng)安全問題日益嚴(yán)峻。

 

　　有組織攻擊頻發(fā)，我國面臨大量境外攻擊威脅。2015年4月19日《新西蘭先驅(qū)報》爆料斯諾登發(fā)布的絕密文件，稱新西蘭通信安全局與美國國家安全局合作監(jiān)控中國領(lǐng)館，此事引發(fā)中國高度關(guān)注。且多年來美國國家安全局（NSA）一直在對中國電信巨頭華為采取秘密行動，行動內(nèi)容包括入侵華為總部的服務(wù)器，監(jiān)視華為高層的通信等等。據(jù)稱這次行動代號為“狙擊巨人”（Shotgaint），早在2007年就已經(jīng)開始。

 

 

 

　　2015年2月，國家網(wǎng)信辦發(fā)布《互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定》，重拳整治互聯(lián)網(wǎng)用戶賬號亂象，主要對公眾使用微博、微信等上網(wǎng)的賬號名稱（包括頭像和簡介）進(jìn)行規(guī)范，明確提出網(wǎng)上昵稱不準(zhǔn)違反法律、危害國家安全、破壞民族團(tuán)結(jié)、侮辱誹謗他人等“九不準(zhǔn)”

 

　　6月，《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》在京簽署，公約提出漏洞信息披露的“客觀、適時、適度”三原則；

 

　　6月，國務(wù)院辦公廳發(fā)布《關(guān)于運用大數(shù)據(jù)加強(qiáng)對市場主體服務(wù)和監(jiān)管的若干意見》。加大網(wǎng)絡(luò)和信息安全技術(shù)研發(fā)和資金投入，建立健全信息安全保障體系。采取必要的管理和技術(shù)手段，切實保護(hù)國信息安全以及公民、法人和其他組織信息安全；

 

　　7月，新的國家安全法實施。新法要求建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護(hù)能力，實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控；

 

　　6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網(wǎng)絡(luò)安全法（草案）》?，F(xiàn)將《中華人民共和國網(wǎng)絡(luò)安全法（草案）》在中國人大網(wǎng)公布，向社會公開征求意見；

 

　　8月，人大正式通過中華人民共和國刑法修正案（九）。明確了網(wǎng)絡(luò)服務(wù)提供者履行信息網(wǎng)絡(luò)安全管理的義務(wù)，加大了對信息網(wǎng)絡(luò)犯罪的刑罰力度，進(jìn)一步加強(qiáng)了對公民個人信息的保護(hù)，對增加編造和傳播虛假信息犯罪設(shè)立了明確條文；

 

　　9月，國務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，在網(wǎng)絡(luò)和大數(shù)據(jù)安全方面要求，在涉及國家安全穩(wěn)定的領(lǐng)域采用安全可靠的產(chǎn)品和服務(wù)，到2020年，實現(xiàn)關(guān)鍵部門的關(guān)鍵設(shè)備安全可靠；

 

　　11月，工商總局印發(fā)《關(guān)于加強(qiáng)網(wǎng)絡(luò)市場監(jiān)管的意見》，全面加強(qiáng)網(wǎng)絡(luò)市場監(jiān)管。推進(jìn)“依法管網(wǎng)”、“以網(wǎng)管網(wǎng)”、“信用管網(wǎng)”和“協(xié)同管網(wǎng)”4。

 

 

　　今年以來，政府部門開展的集中打擊整治網(wǎng)絡(luò)違法犯罪專項行動：例如成都“鐵帚凈網(wǎng)”行動，處理違法信息56萬條；浙江特大跨國網(wǎng)絡(luò)賭博案，浙江特大跨國網(wǎng)絡(luò)賭博案；中移動配合公安機(jī)關(guān)破獲仿冒10086特大詐騙團(tuán)伙等等。目前我國已經(jīng)初步形成了以國家信息化工作領(lǐng)導(dǎo)小組為核心的監(jiān)管機(jī)構(gòu)，并在實踐中發(fā)揮了重要作用。

 

　　然而從我國互聯(lián)網(wǎng)絡(luò)監(jiān)管實際情況來看，各行政機(jī)關(guān)、職能部門的管理職責(zé)既有交叉重復(fù)，也有管理真空。同時，由于我國互聯(lián)網(wǎng)起步較晚，監(jiān)管體系不夠完善和全面，因此在網(wǎng)絡(luò)安全的防范上存在著滯后現(xiàn)象，甚至有“心有余而力不足”之感。

 

 

　　“一體兩翼的雙輪驅(qū)動觀”是習(xí)近平在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上提出的新論斷和新要求，強(qiáng)調(diào)“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實施?！边@一新論斷闡述了信息化對網(wǎng)絡(luò)安全的重要影響以及網(wǎng)絡(luò)安全對于信息化的驅(qū)動作用之間的辯證關(guān)系。

 

　　同時，信息化對網(wǎng)絡(luò)安全具有重要影響，兩者之間具有緊密的關(guān)聯(lián)性、互動性和協(xié)同性。我們應(yīng)當(dāng)在社會信息化深入發(fā)展順勢而為之時，同時對信息安全做到因勢而謀，對網(wǎng)絡(luò)安全做到未雨綢繆，將信息安全和網(wǎng)絡(luò)安全放到更加重要的全局性高度來認(rèn)識，將其作為經(jīng)濟(jì)健康發(fā)展的前提，將其作為城市安全發(fā)展的基礎(chǔ)，將其作為人民安全的不可或缺的保障。

 

　　截止2015年6月底，我國已有6.32億網(wǎng)民，占世界網(wǎng)民數(shù)量的五分之一，是名副其實的互聯(lián)網(wǎng)大國，但互聯(lián)網(wǎng)大國并非就是互聯(lián)網(wǎng)強(qiáng)國。“沒有網(wǎng)絡(luò)安全就沒有國家的安全，沒有信息化就沒有現(xiàn)代化”。黨的十八大以來，黨和國家采取了一系列措施加強(qiáng)互聯(lián)網(wǎng)的發(fā)展與管理。

 

　　第二屆世界互聯(lián)網(wǎng)大會于2015年16日至18日在浙江烏鎮(zhèn)舉行，主題為“互聯(lián)互通·共享共治——構(gòu)建網(wǎng)絡(luò)空間命運共同體”。大會展示了中外互聯(lián)網(wǎng)前沿技術(shù)和最新成果，展示了中國互聯(lián)網(wǎng)20年發(fā)展歷程，發(fā)布了20多項倡議、報告、宣言等成果。會議發(fā)布的《烏鎮(zhèn)倡議》提出，“維護(hù)網(wǎng)絡(luò)和平安全。尊重網(wǎng)絡(luò)空間國家主權(quán)，保護(hù)網(wǎng)絡(luò)空間及關(guān)鍵信息基礎(chǔ)設(shè)施免受威脅、干擾、攻擊和破壞，保護(hù)個人隱私和知識產(chǎn)權(quán)，共同打擊網(wǎng)絡(luò)犯罪和恐怖活動”，表明了中國政府對網(wǎng)絡(luò)安全認(rèn)識的新高度。

 

 

　　2015年5月8日，習(xí)近平主席訪問俄羅斯期間，中俄外長在兩國元首見證下簽署了《中華人民共和國政府和俄羅斯聯(lián)邦政府關(guān)于在保障國際信息安全領(lǐng)域合作協(xié)定》。

 

　　9月，習(xí)近平主席訪美，與網(wǎng)絡(luò)議題相關(guān)的領(lǐng)域達(dá)成六點共識。包括網(wǎng)絡(luò)安全審查、商業(yè)領(lǐng)域加強(qiáng)信息通訊技術(shù)網(wǎng)絡(luò)安全的一般措施、惡意網(wǎng)絡(luò)活動提供信息及協(xié)助、反對網(wǎng)絡(luò)竊取知識產(chǎn)權(quán)、制定和推動國際社會網(wǎng)絡(luò)空間國家行為準(zhǔn)則，以及建立兩國打擊網(wǎng)絡(luò)犯罪及相關(guān)事項高級別聯(lián)合對話機(jī)制。

 

　　雖然與美國達(dá)成了一定程度上的共識，但背后的網(wǎng)絡(luò)空間的較量仍在繼續(xù)，并且形勢非常嚴(yán)峻，中國要建設(shè)網(wǎng)絡(luò)強(qiáng)國，必須要制定國家信息網(wǎng)絡(luò)安全戰(zhàn)略，注重自主可控技術(shù)的研發(fā)，才能在國際上打破美國對整個網(wǎng)絡(luò)的話語霸權(quán)。

 

 

　　1、對云和虛擬化基礎(chǔ)設(shè)施發(fā)起攻擊。今年被披露出的“毒液”漏洞向我們證明了攻擊者和惡意軟件是能夠從Hypervisor中逃逸，并且在虛擬化環(huán)境中訪問宿主機(jī)操作系統(tǒng)。對虛擬化技術(shù)以及私有云和混合云的信任，將會給網(wǎng)絡(luò)攻擊和犯罪帶來更便利的條件。同時，由于大量的應(yīng)用能夠訪問云系統(tǒng)，移動設(shè)備運行有問題的應(yīng)用，也為攻擊者開啟了另一個攻擊維度，能夠讓企業(yè)網(wǎng)絡(luò)、公有云和私有云都遭受安全威脅。

 

　　2、漏洞獎勵、眾測服務(wù)持續(xù)升溫。第三方漏洞平臺的作用不可小覷。相比于廠商自己的SRC，其優(yōu)勢在于更加公開、中立和范圍廣。始源于漏洞獎勵基礎(chǔ)之上的眾測服務(wù)業(yè)開始逐漸被行業(yè)認(rèn)可。預(yù)測明年，在一些在線服務(wù)應(yīng)用比較廣泛的重點行業(yè)如金融、支付領(lǐng)域會有更大的動作。而另外一些尚未實施過眾測服務(wù)的行業(yè)則可能進(jìn)行試探性的嘗試。

 

　　3、全球網(wǎng)絡(luò)攻擊的戰(zhàn)場上將出現(xiàn)更多新的參與者。目前，全球范圍的網(wǎng)絡(luò)戰(zhàn)爭層出不窮，這些網(wǎng)絡(luò)戰(zhàn)爭中所采用的技術(shù)和策略基本上是成功的。這無疑將會引導(dǎo)更多的新成員加入到全球網(wǎng)絡(luò)戰(zhàn)爭中，網(wǎng)絡(luò)攻擊的廣度將會進(jìn)一步擴(kuò)大。此外，與傳統(tǒng)的間諜戰(zhàn)成本相比，進(jìn)行網(wǎng)絡(luò)攻擊的門檻是最低的，未來或許將會出現(xiàn)更多松散的網(wǎng)絡(luò)恐怖分子或網(wǎng)絡(luò)戰(zhàn)發(fā)起者，開展更為國際化的網(wǎng)絡(luò)攻擊。

 

　　（作者：馬明明）