前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的互聯(lián)網(wǎng)安全管理主題范文,僅供參考,歡迎閱讀并收藏。
【 關(guān)鍵詞 】 “互聯(lián)網(wǎng)+”時代;網(wǎng)絡(luò)安全;管理策略;安全體系
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
當(dāng)今社會已經(jīng)進(jìn)入到了“互聯(lián)網(wǎng)+”時代,網(wǎng)絡(luò)安全與我們的生活息息相關(guān),密不可分。網(wǎng)絡(luò)信息安全對于國家、社會、企業(yè)、生活的各個領(lǐng)域以及個人都有十分重要的作用和意義。目前,在網(wǎng)絡(luò)應(yīng)用的深入和技術(shù)頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新。防火墻、VNP、IDS、防病毒、身份認(rèn)證、數(shù)據(jù)加密、安全審計等安全防護(hù)和管理系統(tǒng)在互聯(lián)網(wǎng)絡(luò)中得到了廣泛應(yīng)用。隨著大規(guī)模網(wǎng)絡(luò)的部署和應(yīng)用領(lǐng)域的迅速拓展,網(wǎng)絡(luò)安全的重要性越來越受到人們的關(guān)注,但同時網(wǎng)絡(luò)安全的脆弱性也引起了人們的重視,網(wǎng)絡(luò)安全問題隨時隨地都有可能發(fā)生。近年來,國外一些組織曾多次對中國企業(yè)、政府等網(wǎng)站進(jìn)行過大規(guī)模的網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)安全已滲入到社會生活的各個方面,提高網(wǎng)絡(luò)安全防護(hù)能力,研究網(wǎng)絡(luò)安全管理策略是一項十分緊迫而有意義的課題。
2 “互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全
互聯(lián)網(wǎng)本身在軟硬件方面存在著“先天”的漏洞,“互聯(lián)網(wǎng)+”時代的到來讓這只大網(wǎng)的規(guī)模急劇擴(kuò)大,盡管在網(wǎng)絡(luò)安全防護(hù)方面采取了很多有效性措施,然而網(wǎng)絡(luò)信息所具有的高無形價值、低復(fù)制成本、低傳播成本和強(qiáng)時效性的特點造成了各種各樣的安全隱患,安全成為了互聯(lián)網(wǎng)絡(luò)的重要屬性。
2.1 內(nèi)涵
“互聯(lián)網(wǎng)+”是指依托互聯(lián)網(wǎng)基礎(chǔ)平臺,利用移動互聯(lián)網(wǎng)、 云計算、大數(shù)據(jù)技術(shù)等新一代信息技術(shù)與各行業(yè)的跨界融合,發(fā)揮互聯(lián)網(wǎng)在生產(chǎn)要素配置中的優(yōu)化和集成作用,實現(xiàn)產(chǎn)業(yè)轉(zhuǎn)型、業(yè)務(wù)拓展和產(chǎn)品創(chuàng)新的新模式。互聯(lián)網(wǎng)對其他行業(yè)的深入影響和滲透,正改變著人們的生成、生活方式,互聯(lián)網(wǎng)+傳統(tǒng)集市造就了淘寶,互聯(lián)網(wǎng)+傳統(tǒng)百貨公司造就了京東,互聯(lián)網(wǎng)+傳統(tǒng)銀行造就了支付寶,互聯(lián)網(wǎng)+傳統(tǒng)交通造就了快的、滴滴。隨著“互聯(lián)網(wǎng)+”時代的到來,迫切需要“網(wǎng)絡(luò)安全+”的保護(hù),否則,互聯(lián)網(wǎng)發(fā)展的越快遭遇重大損失的風(fēng)險越大,失去了安全,“互聯(lián)網(wǎng)+”就會成為沙中之塔。在國家戰(zhàn)略的推動下,互聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模的成長空間還很巨大,網(wǎng)絡(luò)安全,刻不容緩。
2.2 主要內(nèi)容
“互聯(lián)網(wǎng)+”不僅僅是互聯(lián)網(wǎng)移動了、泛在了、與傳統(tǒng)行業(yè)對接了,更加入了無所不在的計算、數(shù)據(jù)、知識,給網(wǎng)絡(luò)安全帶來了巨大的挑戰(zhàn)和風(fēng)險。網(wǎng)絡(luò)安全泛指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)上的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不被中斷。從內(nèi)容上看,“互聯(lián)網(wǎng)+時代”的網(wǎng)絡(luò)安全大致包括四個方面:(1)網(wǎng)絡(luò)實體安全主要是以網(wǎng)絡(luò)機(jī)房的物理條件、物理環(huán)境及設(shè)施、計算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等為主;(2)軟件安全主要是保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入,系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改、不受病毒的侵害等;(3)數(shù)據(jù)安全主要是保護(hù)數(shù)據(jù)不被非法存取,確保其完整性、一致性、機(jī)密性等;(4)管理安全主要是網(wǎng)絡(luò)運(yùn)行過程中對突發(fā)事件的安全處理等,包括采取安全分析技術(shù)、建立安全管理制度、開展安全審計、進(jìn)行風(fēng)險分析等。
2.3 基本要求
網(wǎng)絡(luò)安全包括五個基本要求:機(jī)密性、完整性、可用性、可控性與可審查性。(1)機(jī)密性是指保證網(wǎng)絡(luò)信息不被非授權(quán)用戶得到,即使得到也無法知曉信息內(nèi)容,通過訪問控制、加密變換等方式阻止非授權(quán)用戶獲知信息內(nèi)容;(2)完整性是指網(wǎng)絡(luò)在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,以及網(wǎng)絡(luò)安全處理方法的正確性;(3)可用性是指網(wǎng)絡(luò)中的各類資源在授權(quán)人需要的時候,可以立即獲得;(4)可控性是指能夠?qū)W(wǎng)絡(luò)系統(tǒng)實施安全監(jiān)控,做到能夠控制授權(quán)范圍內(nèi)的信息流向、傳播及行為方式,控制網(wǎng)絡(luò)資源的使用方式;(5)可審查性是指對出現(xiàn)的安全問題能夠提供調(diào)查的依據(jù)和手段,使系統(tǒng)內(nèi)發(fā)生的與安全有關(guān)的行為均有說明性記錄可查。
3 “互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全分析
3.1 特征分析
近年來,無論是在軍事還是在民用信息領(lǐng)域中都出現(xiàn)了一個趨勢:以網(wǎng)絡(luò)為中心,各行各業(yè)與互聯(lián)網(wǎng)緊密相關(guān),即進(jìn)入了“互聯(lián)網(wǎng)+”時代。各類組織、機(jī)構(gòu)的行為對網(wǎng)絡(luò)的依賴程度越來越大,以網(wǎng)絡(luò)為中心的趨勢導(dǎo)致了兩個顯著的特征:一是互聯(lián)網(wǎng)絡(luò)的重要性;二是互聯(lián)網(wǎng)絡(luò)的脆弱性。
網(wǎng)絡(luò)的重要性體現(xiàn)在現(xiàn)代人類社會中的諸多要素對互聯(lián)網(wǎng)絡(luò)的依賴。就像人們離不開水、電、電話一樣,人們也越來越離不開網(wǎng)絡(luò),而且越是發(fā)達(dá)的地區(qū),對網(wǎng)絡(luò)的依賴程度就越大。尤其是隨著重要基礎(chǔ)設(shè)施的高度信息化,直接影響國家利益及安全的許多關(guān)鍵基礎(chǔ)設(shè)施已實現(xiàn)網(wǎng)絡(luò)化,與此同時,這些社會的“命脈”和“核心”控制系統(tǒng)也面臨著更大的威脅,一旦上述基礎(chǔ)設(shè)施的網(wǎng)絡(luò)系統(tǒng)遭受攻擊而失靈,可能造成一個地區(qū),甚至是一個國家社會功能的部分或者是完全癱瘓。
網(wǎng)絡(luò)的脆弱性體現(xiàn)在這些重要的網(wǎng)絡(luò)中,每時每刻都會面臨惡意攻擊、病毒傳播、錯誤操作、隨機(jī)失效等安全威脅,而且這些威脅所導(dǎo)致的損失,也隨著人們對網(wǎng)絡(luò)依賴程度的日益增高而變得越來越難以控制?;ヂ?lián)網(wǎng)最初基本上是一個不設(shè)防的網(wǎng)絡(luò)空間,其采用的TCP/IP、SNMP等協(xié)議的安全性很脆弱。它強(qiáng)調(diào)開放性和共享性,本身并不為用戶提供高度的安全保護(hù)?;ヂ?lián)網(wǎng)絡(luò)系統(tǒng)的脆弱性,使其容易受到致命的攻擊。事實上,目前我國與互聯(lián)網(wǎng)相連的大部分網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或入侵,其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點。
3.2 現(xiàn)狀分析
《2013年中國網(wǎng)民信息安全狀況研究報告》指出:整體上,我國網(wǎng)絡(luò)安全環(huán)境不容客觀,手機(jī)短信安全、應(yīng)用軟件安全、計算機(jī)終端安全和各類服務(wù)器安全狀況不盡人意。
從數(shù)量規(guī)模上看,中國已是網(wǎng)絡(luò)大國,但從防護(hù)和管理能力上看,還不是網(wǎng)絡(luò)強(qiáng)國,網(wǎng)絡(luò)安全形勢十分嚴(yán)峻復(fù)雜。2015年2月,中國互聯(lián)網(wǎng)信息中心《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示,隨著“互聯(lián)網(wǎng)+”時代的到來,2014年中國網(wǎng)民規(guī)模6.49億,手機(jī)網(wǎng)民數(shù)量5.57億,網(wǎng)站總數(shù)3350000,國際出口帶寬達(dá)4118G,中國大陸31個省、直轄市、自治區(qū)中網(wǎng)民數(shù)量超過千萬規(guī)模的達(dá)25個。
從應(yīng)用范圍上,“互聯(lián)網(wǎng)+”時代的到來使得龐大的網(wǎng)絡(luò)群體帶領(lǐng)中國進(jìn)入了“低頭閱讀”時代,“微博客賬號12 億,微信日均發(fā)送160 億條,QQ 日均發(fā)送60 億條,新浪微博、騰訊微博日均發(fā)帖2.3 億條,手機(jī)客戶端日均啟動20 億次”的數(shù)據(jù)體現(xiàn)了中國網(wǎng)民的特征。
從網(wǎng)絡(luò)安全發(fā)展趨勢上看,網(wǎng)絡(luò)規(guī)模急劇擴(kuò)大,增加了網(wǎng)絡(luò)安全漏洞的可能性;多個行業(yè)領(lǐng)域加入互聯(lián)網(wǎng),增加了網(wǎng)絡(luò)安全控制的難度和風(fēng)險;移動智能互聯(lián)設(shè)備作為互聯(lián)網(wǎng)的末端延伸,增加了網(wǎng)絡(luò)攻擊的新目標(biāo);互聯(lián)網(wǎng)經(jīng)濟(jì)規(guī)模的躍升,增加了網(wǎng)絡(luò)管理的復(fù)雜性。
3.3 威脅分析
互聯(lián)網(wǎng)絡(luò)安全威脅主要來自于幾個方面:一是計算機(jī)網(wǎng)絡(luò)系統(tǒng)遭受病毒感染和破壞。計算機(jī)網(wǎng)絡(luò)病毒呈現(xiàn)出異?;钴S的態(tài)勢,我國約73%的計算機(jī)用戶曾感染病毒,且病毒的破壞性較大;二是電腦黑客活動猖獗。網(wǎng)絡(luò)系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性,我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入;三是網(wǎng)絡(luò)基礎(chǔ)設(shè)施自身的缺陷。各類硬件設(shè)施本身存在漏洞和安全隱患,各類網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。國內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年30%的速度遞增,來自于外部的黑客攻擊、病毒入侵和基于多IP的惡意攻擊持續(xù)不斷。
從網(wǎng)絡(luò)安全威脅對象上看,主要是應(yīng)用軟件、新型智能終端、移動互聯(lián)設(shè)備、路由器和各類網(wǎng)站。2015年瑞星公司的《瑞星2014年中國信息安全報告》顯示,新增病毒的總體數(shù)量依然呈上漲趨勢,掛馬網(wǎng)站及釣魚網(wǎng)站屢禁不止。新增手機(jī)病毒上漲迅速,路由器安全、NFC支付安全、智能可穿戴設(shè)備等是當(dāng)前網(wǎng)絡(luò)安全最為薄弱的環(huán)節(jié)。
從網(wǎng)絡(luò)安全狀態(tài)上看,僅2014年,總體網(wǎng)民中有46.3%的網(wǎng)民遭遇過網(wǎng)絡(luò)安全問題,在安全事件中,電腦或手機(jī)中病毒或木馬、賬號或密碼被盜情況最為嚴(yán)重,分別達(dá)到26.7%和25.9%,在網(wǎng)上遭遇到消費(fèi)欺詐比例為12.6%。2015年2月境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為2210000,境內(nèi)被篡改網(wǎng)站數(shù)量近10000個,3月電信網(wǎng)內(nèi)遭受DDOS攻擊流量近18000TB。2015年5月底短短幾天,就有支付寶、網(wǎng)易、Uber等互聯(lián)網(wǎng)龍頭接連出現(xiàn)故障,這是海外黑客針對中國APT攻擊的冰山一角。
從網(wǎng)絡(luò)安全防護(hù)技術(shù)上看,一方面,安全問題層出不窮,技術(shù)日趨復(fù)雜。另一方面,安全問題的迅速發(fā)展和網(wǎng)絡(luò)規(guī)模的迅速擴(kuò)大,給安全解決方案帶來極大的挑戰(zhàn),方案本身的研發(fā)周期和用戶部署周期的影響,導(dǎo)致安全解決方案在處理實際問題時普遍存在強(qiáng)滯后性、弱通用性和弱有效性的特點。更為重要的是現(xiàn)有安全解決方案通常只能針對特定的安全問題,用戶需要不斷增加部署新的安全解決方案以應(yīng)對網(wǎng)絡(luò)安全的發(fā)展。
4 “互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全管理體系
安全是“互聯(lián)網(wǎng)+”時展的核心問題,網(wǎng)絡(luò)安全管理至關(guān)重要,在“互聯(lián)網(wǎng)+”模式提出之后,如何守衛(wèi)網(wǎng)絡(luò)安全將成其發(fā)展的關(guān)鍵?!盎ヂ?lián)網(wǎng)+”時代更需要建立一個完整的網(wǎng)絡(luò)安全防護(hù)體系,提高各網(wǎng)絡(luò)設(shè)備、系統(tǒng)之間的協(xié)同性和關(guān)聯(lián)性,使網(wǎng)絡(luò)安全防護(hù)體系由靜態(tài)到動態(tài),由被動到主動,提高網(wǎng)絡(luò)安全處置的自適應(yīng)性和實時反應(yīng)能力,增強(qiáng)入侵檢測的阻斷能力,從而達(dá)到全面系統(tǒng)安全管控的效果。
4.1 基于監(jiān)測預(yù)警建立網(wǎng)絡(luò)安全態(tài)勢感知體系
在現(xiàn)有基礎(chǔ)上,通過互聯(lián)網(wǎng)安全態(tài)勢評價指標(biāo),分級分層部料數(shù)據(jù)采集和感知分析系統(tǒng),構(gòu)建互聯(lián)網(wǎng)安全態(tài)勢感知體系。評價指標(biāo)包括網(wǎng)絡(luò)運(yùn)行基礎(chǔ)型指標(biāo),網(wǎng)絡(luò)脆弱性指標(biāo)、網(wǎng)絡(luò)威脅指標(biāo)三類。其中運(yùn)行基礎(chǔ)指標(biāo)包括基礎(chǔ)網(wǎng)絡(luò)性能、基礎(chǔ)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)設(shè)備負(fù)載等;網(wǎng)絡(luò)脆弱性指標(biāo)包括關(guān)鍵網(wǎng)絡(luò)設(shè)備性能指數(shù)、重要系統(tǒng)的狀態(tài)參數(shù)、終端服務(wù)器運(yùn)行狀態(tài)等;網(wǎng)絡(luò)威脅指標(biāo)包括攻擊事件、攻擊類型、病毒傳播速度、染毒終端數(shù)量等。為了有效地獲取各類統(tǒng)計分析數(shù)據(jù),需要在重要的節(jié)點和核心區(qū)域部署數(shù)據(jù)采集和感知分析系統(tǒng),對網(wǎng)絡(luò)中的應(yīng)用終端、大型核心服務(wù)器等關(guān)鍵數(shù)據(jù)進(jìn)行采集,如網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)、病毒感染數(shù)據(jù)、骨干網(wǎng)絡(luò)流量數(shù)據(jù)、服務(wù)器病毒攻擊數(shù)據(jù)等,通過對采集數(shù)據(jù)的分析,形成分類、分級的網(wǎng)絡(luò)安全態(tài)勢,通過對數(shù)據(jù)的實時關(guān)聯(lián)分析動態(tài)獲取網(wǎng)絡(luò)安全態(tài)勢,構(gòu)建一體聯(lián)動的態(tài)勢感知體系。
4.2 基于主動防御建立網(wǎng)絡(luò)安全入侵檢測體系
在現(xiàn)有入侵防御能力基礎(chǔ)上,重點建設(shè)主動防御、網(wǎng)絡(luò)蜜罐、流量清洗等系統(tǒng),構(gòu)建網(wǎng)絡(luò)安全入侵檢測體系。一是建設(shè)主動防御系統(tǒng)。利用啟發(fā)式檢測和入侵行為分析技術(shù)構(gòu)建主動防御系統(tǒng),部署于各類各級網(wǎng)絡(luò)管理終端和核心服務(wù)器上,通過對未知網(wǎng)絡(luò)威脅、病毒木馬進(jìn)行檢測和查殺,主動檢測系統(tǒng)漏洞和安全配置,形成上下聯(lián)動、多級一體的安全防護(hù)能力。二是建設(shè)網(wǎng)絡(luò)蜜罐系統(tǒng)。利用虛擬化和仿真等技術(shù)拓展和豐富網(wǎng)絡(luò)蜜罐系統(tǒng),實現(xiàn)攻擊誘捕和蜜罐數(shù)據(jù)管理,在重要節(jié)點、網(wǎng)站和業(yè)務(wù)專網(wǎng)以上節(jié)點部署攻擊誘捕系統(tǒng),有針對性地設(shè)置虛假目標(biāo),誘騙實施方對其攻擊,并記錄詳細(xì)的攻擊行為、方法和訪問目標(biāo)等數(shù)據(jù),通過對誘捕攻擊數(shù)據(jù)分析,形成聯(lián)動防御體系。三是建設(shè)流量清洗系統(tǒng),包括流量監(jiān)測和過濾分系統(tǒng)。在核心交換區(qū)域和網(wǎng)絡(luò)管理中心部署流量檢測分系統(tǒng),及時發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊流量和惡意流量。在核心骨干節(jié)點部署流量過濾分系統(tǒng),在網(wǎng)絡(luò)攻擊發(fā)生時,按照設(shè)置的過濾規(guī)則,自動過濾惡意攻擊流量,確保正常的數(shù)據(jù)流量,從數(shù)據(jù)鏈路層阻止惡意攻擊對網(wǎng)絡(luò)的破壞。
4.3 基于實時響應(yīng)建立網(wǎng)絡(luò)安全應(yīng)急管控體系
在現(xiàn)有應(yīng)急響應(yīng)機(jī)制基礎(chǔ)上,通過進(jìn)一步加強(qiáng)廣域網(wǎng)絡(luò)、系統(tǒng)設(shè)備和各類用戶終端的控制,構(gòu)建應(yīng)急管控體系。一是加強(qiáng)多級、多類核心網(wǎng)絡(luò)的控制。依托網(wǎng)絡(luò)管理系統(tǒng)、流量監(jiān)測系統(tǒng)以及流量清洗系統(tǒng)對骨干網(wǎng)絡(luò)進(jìn)行實時監(jiān)控,實時掌控不同方向、不同區(qū)域、不同領(lǐng)域的網(wǎng)絡(luò)流量分布情況、網(wǎng)絡(luò)帶寬占用情況,便于有效應(yīng)對各類突況。二是加強(qiáng)網(wǎng)絡(luò)安全事件的控制。特別是對影響網(wǎng)絡(luò)運(yùn)行的病毒傳播擴(kuò)散、惡意攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓以及對各類網(wǎng)絡(luò)的非法攻擊等行為,要能在第一時間進(jìn)行預(yù)警和處置。三是建立健全應(yīng)急管控機(jī)制。對于不同類型的網(wǎng)絡(luò)安全威脅,明確相關(guān)的職能部門及必要的防范措施,避免出現(xiàn)網(wǎng)絡(luò)安全問題時“無人問津”的情況,確保網(wǎng)絡(luò)安全處理的時效性。
5 結(jié)束語
時代賦予了互聯(lián)網(wǎng)新的職能,互聯(lián)網(wǎng)在給我們的生活帶來便利的同時也威脅著人們的安全,必須著重研究和建立新的網(wǎng)絡(luò)安全管理體制并制定相應(yīng)的應(yīng)對策略。網(wǎng)絡(luò)安全策略不能停留在被動的封堵漏洞狀態(tài),也遠(yuǎn)遠(yuǎn)不是防毒軟件和防火墻等安全產(chǎn)品的簡單堆砌就能夠解決的,網(wǎng)絡(luò)安全需要形成一套主動防范、積極應(yīng)對的可信、可控網(wǎng)絡(luò)體系,從根本上提高網(wǎng)絡(luò)與信息安全的監(jiān)管、恢復(fù)和抗擊、防護(hù)、響應(yīng)等能力,對于個人、企業(yè)、社會甚至國家利益和安全都具有十分重要的現(xiàn)實意義。
參考文獻(xiàn)
[1] 吳賀君.我國互聯(lián)網(wǎng)安全現(xiàn)狀及發(fā)展趨勢[J].長春師范學(xué)院學(xué)報,2011(12).
[2] 陳君.互聯(lián)網(wǎng)信息安全的“中國設(shè)計”[J].今日中國(中文版),2014(06).
[3] 周潛之.加強(qiáng)網(wǎng)絡(luò)安全管理刻不容緩[N].光明日報,2014(01).
[4] 羅佳妮.完善互聯(lián)網(wǎng)信息安全保障機(jī)制的思考[J].新聞傳播,2013(09).
[5] 胡凌.網(wǎng)絡(luò)安全、隱私與互聯(lián)網(wǎng)的未來[J].中外法學(xué),2012(02).
[6] 中國互聯(lián)網(wǎng)信息中心.2013年中國網(wǎng)民信息安全狀況研究報告[R].2013(09).
[7] 娜,劉鵬飛.2015中國互聯(lián)網(wǎng)展望[J].新媒在線,2015(03).
[8] 熊勵,王國正.移動互聯(lián)網(wǎng)安全,一道繞不過去的坎[J].社會觀察,2014(05).
[9] 喻國明.移動互聯(lián)網(wǎng)時代的網(wǎng)絡(luò)安全:趨勢與對策[J].國明視點,2015(02).
[10] 蔡志偉.融合網(wǎng)絡(luò)行為監(jiān)測與控制技術(shù)研究[D].理工大學(xué)碩士論文,2011(06).
[11] 周鵬.大數(shù)據(jù)時代網(wǎng)絡(luò)安全的防護(hù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(04).
摘要:文章認(rèn)為互聯(lián)網(wǎng)數(shù)據(jù)中心面臨的主要安全威脅包括侵入攻擊、拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊、蠕蟲病毒等。在數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)和管理中,文章建議從網(wǎng)絡(luò)架構(gòu)、安全設(shè)備、安全管理多方面保障互聯(lián)網(wǎng)數(shù)據(jù)中心安全。具體手段上建議采取網(wǎng)絡(luò)多層多區(qū)域設(shè)計原則,建立安全邊界,實施不同等級的安全措施和防護(hù)辦法,以形成多層次的網(wǎng)絡(luò)架構(gòu);部署多方面的網(wǎng)絡(luò)安全設(shè)備,形成全方位一體化安全防護(hù)體系;制訂健全的安全管理和運(yùn)維制度,建設(shè)系統(tǒng)的安全管理體系。
關(guān)鍵詞:互聯(lián)網(wǎng)數(shù)據(jù)中心;網(wǎng)絡(luò)架構(gòu);安全威脅;安全技術(shù);安全管理
Abstract:Security threats for data centers include intrusion, denial of service, distributed denial of service, and worms. In this paper, we suggest that research into data center security should focus on network architecture, security equipment, and security management. We suggest ways of securing a data center, including building an architecture based on multilayers and multizones, establishing secure borders, and using different levels of security and different protective measures. We also suggest deploying a wide range of network security devices and formulating security management and operation and maintenance rules.
Key words:Internet data center; network architecture; security threats; security management.
互聯(lián)網(wǎng)數(shù)據(jù)中心是企業(yè)數(shù)據(jù)、應(yīng)用大集中以及企業(yè)IT應(yīng)用對互聯(lián)網(wǎng)服務(wù)提供模式的依賴的集中體現(xiàn),是以機(jī)房和網(wǎng)絡(luò)資源為依托,以專業(yè)化技術(shù)支撐隊伍為基礎(chǔ),為各類用戶提供各種資源出租以及相關(guān)增值服務(wù),并定期向用戶收取相應(yīng)服務(wù)費(fèi)用的一種電信級服務(wù)?;ヂ?lián)網(wǎng)數(shù)據(jù)中心提供的主要業(yè)務(wù)包括主機(jī)托管、資源出租、系統(tǒng)維護(hù)、管理服務(wù),以及其他支撐、運(yùn)行服務(wù)等,需要具有完善的設(shè)備、專業(yè)化的管理和完善的應(yīng)用級服務(wù)能力。
近十年來,隨著互聯(lián)網(wǎng)的高速發(fā)展和企業(yè)用戶對數(shù)據(jù)中心依賴的增長,互聯(lián)網(wǎng)數(shù)據(jù)中心的需求向著更大容量、更高能力、超大規(guī)模、多種業(yè)務(wù)模式和運(yùn)營模式同時存在的方向升級。就近年來多次大型互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)中斷事故的社會影響來看,構(gòu)建具有更高可靠性和服務(wù)能力的互聯(lián)網(wǎng)數(shù)據(jù)中心,成為其發(fā)展的一個重要訴求。
網(wǎng)絡(luò)作為連接數(shù)據(jù)中心IT組件、實現(xiàn)外部訪問的唯一實體,構(gòu)建堅實的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、構(gòu)建網(wǎng)絡(luò)與安全相融合的互聯(lián)網(wǎng)數(shù)據(jù)中心平臺將為互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供非常重要的保障。
本文介紹互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)主要特征和多層設(shè)計原則,分析互聯(lián)網(wǎng)數(shù)據(jù)中心面臨的主要安全威脅,對其安全規(guī)劃和部署實施提出方案建議[1-8]。
1 互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)
多層設(shè)計原則
從本質(zhì)上說,互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)多層設(shè)計原則是劃分區(qū)域、劃分層次、各自負(fù)責(zé)安全防御任務(wù),即將復(fù)雜的數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)和主機(jī)元素按一定的原則分為多個層次多個部分,形成良好的邏輯層次和分區(qū)。
數(shù)據(jù)中心用戶的業(yè)務(wù)可分為多個子系統(tǒng),彼此之間會有數(shù)據(jù)共享、業(yè)務(wù)互訪、數(shù)據(jù)訪問控制與隔離的需求,根據(jù)業(yè)務(wù)相關(guān)性和流程需要,需要采用模塊化設(shè)計,實現(xiàn)低耦合、高內(nèi)聚,保證系統(tǒng)和數(shù)據(jù)的安全性、可靠性、靈活擴(kuò)展性、易于管理,把用戶的整個IT系統(tǒng)按照關(guān)聯(lián)性、管理等方面的需求劃分為多個業(yè)務(wù)板塊系統(tǒng),而每個系統(tǒng)有自己單獨(dú)的核心交換,服務(wù)器,安全邊界設(shè)備等,逐級訪問控制,并采用不同等級的安全措施和防護(hù)手段。
互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)可同時從3個方面劃分層次和區(qū)域:
(1)根據(jù)內(nèi)外部分流原則分層。
(2)根據(jù)業(yè)務(wù)模塊隔離原則分區(qū)。
(3)根據(jù)應(yīng)用分層次訪問原則來分級。
1.1 分層
根據(jù)內(nèi)外部分流原則,數(shù)據(jù)中心網(wǎng)絡(luò)可分為4層:互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務(wù)接入層和運(yùn)維管理層。
最常見的數(shù)據(jù)中心網(wǎng)絡(luò)分層如圖1所示。
互聯(lián)網(wǎng)接入層配置核心路由器實現(xiàn)與互聯(lián)網(wǎng)的互聯(lián),對互聯(lián)網(wǎng)數(shù)據(jù)中心內(nèi)網(wǎng)和外網(wǎng)的路由信息進(jìn)行轉(zhuǎn)換和維護(hù),并連接匯聚層的各匯聚交換機(jī),形成數(shù)據(jù)中心的網(wǎng)絡(luò)核心。
匯聚層配置匯聚交換機(jī)實現(xiàn)向下匯聚業(yè)務(wù)接入層各業(yè)務(wù)區(qū)的接入交換機(jī),向上與核心路由器互聯(lián)。部分流量管理設(shè)備、安全設(shè)備部署在該層。大客戶或重點業(yè)務(wù)可直接接入?yún)R聚層交換機(jī)。
業(yè)務(wù)接入層通過接入交換機(jī)接入各業(yè)務(wù)區(qū)內(nèi)部的各種服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備等。
運(yùn)維管理層一般獨(dú)立成網(wǎng),與業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行隔離,通過運(yùn)維管理層的接入及匯聚交換機(jī)連接管理子系統(tǒng)各種設(shè)備。
1.2 分區(qū)
安全評估管理規(guī)定
第一條為規(guī)范開展互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評估工作,維護(hù)國家安全和公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》,制定本規(guī)定。
第二條國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評估,適用本規(guī)定。
本規(guī)定所稱互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用(以下簡稱“新技術(shù)新應(yīng)用”),是指用于提供互聯(lián)網(wǎng)新聞信息服務(wù)的創(chuàng)新性應(yīng)用(包括功能及應(yīng)用形式)及相關(guān)支撐技術(shù)。
本規(guī)定所稱互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評估(以下簡稱“新技術(shù)新應(yīng)用安全評估”),是指根據(jù)新技術(shù)新應(yīng)用的新聞輿論屬性、社會動員能力及由此產(chǎn)生的信息內(nèi)容安全風(fēng)險確定評估等級,審查評價其信息安全管理制度和技術(shù)保障措施的活動。
第三條互聯(lián)網(wǎng)新聞信息服務(wù)提供者調(diào)整增設(shè)新技術(shù)新應(yīng)用,應(yīng)當(dāng)建立健全信息安全管理制度和安全可控的技術(shù)保障措施,不得、傳播法律法規(guī)禁止的信息內(nèi)容。
第四條國家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)全國新技術(shù)新應(yīng)用安全評估工作。省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室依據(jù)職責(zé)負(fù)責(zé)本行政區(qū)域內(nèi)新技術(shù)新應(yīng)用安全評估工作。
國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室可以委托第三方機(jī)構(gòu)承擔(dān)新技術(shù)新應(yīng)用安全評估的具體實施工作。
第五條鼓勵支持新技術(shù)新應(yīng)用安全評估相關(guān)行業(yè)組織和專業(yè)機(jī)構(gòu)加強(qiáng)自律,建立健全安全評估服務(wù)質(zhì)量評議和信用、能力公示制度,促進(jìn)行業(yè)規(guī)范發(fā)展。
第六條互聯(lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)當(dāng)建立健全新技術(shù)新應(yīng)用安全評估管理制度和保障制度,按照本規(guī)定要求自行組織開展安全評估,為國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評估提供必要的配合,并及時完成整改。
第七條有下列情形之一的,互聯(lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)當(dāng)自行組織開展新技術(shù)新應(yīng)用安全評估,編制書面安全評估報告,并對評估結(jié)果負(fù)責(zé):
(一)應(yīng)用新技術(shù)、調(diào)整增設(shè)具有新聞輿論屬性或社會動員能力的應(yīng)用功能的;
(二)新技術(shù)、新應(yīng)用功能在用戶規(guī)模、功能屬性、技術(shù)實現(xiàn)方式、基礎(chǔ)資源配置等方面的改變導(dǎo)致新聞輿論屬性或社會動員能力發(fā)生重大變化的。
國家互聯(lián)網(wǎng)信息辦公室適時新技術(shù)新應(yīng)用安全評估目錄,供互聯(lián)網(wǎng)新聞信息服務(wù)提供者自行組織開展安全評估參考。
第八條互聯(lián)網(wǎng)新聞信息服務(wù)提供者按照本規(guī)定第七條自行組織開展新技術(shù)新應(yīng)用安全評估,發(fā)現(xiàn)存在安全風(fēng)險的,應(yīng)當(dāng)及時整改,直至消除相關(guān)安全風(fēng)險。
按照本規(guī)定第七條規(guī)定自行組織開展安全評估的,應(yīng)當(dāng)在應(yīng)用新技術(shù)、調(diào)整增設(shè)應(yīng)用功能前完成評估。
第九條互聯(lián)網(wǎng)新聞信息服務(wù)提供者按照本規(guī)定第八條自行組織開展新技術(shù)新應(yīng)用安全評估后,應(yīng)當(dāng)自安全評估完成之日起10個工作日內(nèi)報請國家或者省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評估。
第十條報請國家或者省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展新技術(shù)新應(yīng)用安全評估,報請主體為中央新聞單位或者中央新聞宣傳部門主管的單位的,由國家互聯(lián)網(wǎng)信息辦公室組織開展安全評估;報請主體為地方新聞單位或者地方新聞宣傳部門主管的單位的,由省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評估;報請主體為其他單位的,經(jīng)所在地省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評估后,將評估材料及意見報國家互聯(lián)網(wǎng)信息辦公室審核后形成安全評估報告。
第十一條互聯(lián)網(wǎng)新聞信息服務(wù)提供者報請國家或者省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展新技術(shù)新應(yīng)用安全評估,應(yīng)當(dāng)提供下列材料,并對提供材料的真實性負(fù)責(zé):
(一)服務(wù)方案(包括服務(wù)項目、服務(wù)方式、業(yè)務(wù)形式、服務(wù)范圍等);
(二)產(chǎn)品(服務(wù))的主要功能和主要業(yè)務(wù)流程,系統(tǒng)組成(主要軟硬件系統(tǒng)的種類、品牌、版本、部署位置等概要介紹);
(三)產(chǎn)品(服務(wù))配套的信息安全管理制度和技術(shù)保障措施;
(四)自行組織開展并完成的安全評估報告;
(五)其他開展安全評估所需的必要材料。
第十二條國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室應(yīng)當(dāng)自材料齊備之日起45個工作日內(nèi)組織完成新技術(shù)新應(yīng)用安全評估。
國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室可以采取書面確認(rèn)、實地核查、網(wǎng)絡(luò)監(jiān)測等方式對報請材料進(jìn)行進(jìn)一步核實,服務(wù)提供者應(yīng)予配合。
國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織完成安全評估后,應(yīng)自行或委托第三方機(jī)構(gòu)編制形成安全評估報告。
第十三條新技術(shù)新應(yīng)用安全評估報告載明的意見認(rèn)為新技術(shù)新應(yīng)用存在信息安全風(fēng)險隱患,未能配套必要的安全保障措施手段的,互聯(lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)當(dāng)及時進(jìn)行整改,直至符合法律法規(guī)規(guī)章等相關(guān)規(guī)定和國家強(qiáng)制性標(biāo)準(zhǔn)相關(guān)要求。在整改完成前,擬調(diào)整增設(shè)的新技術(shù)新應(yīng)用不得用于提供互聯(lián)網(wǎng)新聞信息服務(wù)。
服務(wù)提供者拒絕整改,或整改后未達(dá)法律法規(guī)規(guī)章等相關(guān)規(guī)定和國家強(qiáng)制性標(biāo)準(zhǔn)相關(guān)要求,而導(dǎo)致不再符合許可條件的,由國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室依據(jù)《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》第二十三條的規(guī)定,責(zé)令服務(wù)提供者限期改正;逾期仍不符合許可條件的,暫停新聞信息更新;《互聯(lián)網(wǎng)新聞信息服務(wù)許可證》有效期屆滿仍不符合許可條件的,不予換發(fā)許可證。
第十四條組織開展新技術(shù)新應(yīng)用安全評估的相關(guān)單位和人員應(yīng)當(dāng)對在履行職責(zé)中知悉的國家秘密、商業(yè)秘密和個人信息嚴(yán)格保密,不得泄露、出售或者非法向他人提供。
第十五條國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室應(yīng)當(dāng)建立主動監(jiān)測管理制度,對新技術(shù)新應(yīng)用加強(qiáng)監(jiān)測巡查,強(qiáng)化信息安全風(fēng)險管理,督導(dǎo)企業(yè)主體責(zé)任落實。
第十六條互聯(lián)網(wǎng)新聞信息服務(wù)提供者未按照本規(guī)定進(jìn)行安全評估,違反《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》的,由國家和地方互聯(lián)網(wǎng)信息辦公室依法予以處罰。
科學(xué)技術(shù)的進(jìn)步推動了移動互聯(lián)網(wǎng)技術(shù)的發(fā)展,移動互聯(lián)網(wǎng)被廣泛應(yīng)用于生產(chǎn)和生活中的同時,也面臨著一些發(fā)展問題,在信息傳輸和應(yīng)用方面存在較大的安全問隱患,必須針對移動互聯(lián)網(wǎng)應(yīng)用中的問題制定有效的對策,加強(qiáng)信息的安全管理。本文結(jié)合移動互聯(lián)網(wǎng)應(yīng)用過程中暴露的安全問題,提出了移動互聯(lián)網(wǎng)信息安全管理策略。
【關(guān)鍵詞】
移動互聯(lián)網(wǎng);信息安全;策略探討
中國移動互聯(lián)網(wǎng)發(fā)展于2005年,目前以WAP為主要的信息傳輸方式。在國內(nèi)移動互聯(lián)網(wǎng)產(chǎn)品不斷完善的過程中,用戶的上網(wǎng)速度和上網(wǎng)體驗發(fā)生了重大的改變,多種通信產(chǎn)品成為移動互聯(lián)網(wǎng)應(yīng)用的主流。移動互聯(lián)網(wǎng)用戶將信息交換作為重要業(yè)務(wù),因此信息交換的安全性成為人們的關(guān)注的熱點。針對目前移動互聯(lián)網(wǎng)產(chǎn)品應(yīng)用中的安全問題,必須制定有效的防護(hù)措施,保證信息安全。近幾年我國電力行業(yè)保持著較快的發(fā)展速度,作為國民經(jīng)濟(jì)的基礎(chǔ)產(chǎn)業(yè),電力產(chǎn)業(yè)也取得了很大的成績,發(fā)電機(jī)容量和發(fā)電量居世界第二位。隨著我國國民經(jīng)濟(jì)的快速發(fā)展和人民生活水平的不斷提高,對電力的依賴程度也越來越高。電力需求與國民經(jīng)濟(jì)密切相關(guān),電力彈性系數(shù)反映了用電增長速度與國民經(jīng)濟(jì)增長速度的相對關(guān)系。
1移動互聯(lián)網(wǎng)與電力建設(shè)背景分析
隨著電網(wǎng)基礎(chǔ)和分布式發(fā)電技術(shù)的改革,現(xiàn)代化輸電和配電將體現(xiàn)出智能化特點,最大限度地節(jié)約能源,新能源技術(shù)也將重新定義人類新生活,其中移動互聯(lián)網(wǎng)作為重要的紐帶將電網(wǎng)技術(shù)和多種智能終端設(shè)備聯(lián)系起來,為了人們的生活提供了便利。中國是全球最具活力的新興市場,隨著移動互聯(lián)網(wǎng)的發(fā)展,智能設(shè)備成為人們生活的伴侶,近年來電力開發(fā)行業(yè)將移動互聯(lián)網(wǎng)應(yīng)用到電力建設(shè)中,很大程度上促進(jìn)了電網(wǎng)建設(shè)的加速,電工產(chǎn)業(yè)不斷優(yōu)化升級。另外,在移動互聯(lián)網(wǎng)興起的過程中,電力開發(fā)生產(chǎn)技術(shù)不斷發(fā)展,電力企業(yè)的營銷模式也將發(fā)生巨大的轉(zhuǎn)變。目前4G網(wǎng)絡(luò)引領(lǐng)移動互聯(lián)網(wǎng)發(fā)展,移動APP為電力生產(chǎn)帶來了便利,以電力建設(shè)中的焊接工作為例,微信、QQ、拍照、微攝影、WPSOffice辦公平臺、備忘錄等智能APP功能在焊接工作中的作用日益重要,有利于辦公平臺的優(yōu)化,移動互聯(lián)網(wǎng)成為計劃、任務(wù)、進(jìn)度管理、會議通知、質(zhì)量管理等的重要工具。為了拍出高清圖片,焊接人員更新智能拍照軟件,記錄焊接的影像資料,通過微信、QQ群在線交流,在施工過程中,充分應(yīng)用WPSOffice辦公平臺軟件,在施工現(xiàn)場查閱焊接規(guī)程、技能考核等文件,將智能終端作為迷你辦公室,很大程度上提高了管理水平。移動互聯(lián)網(wǎng)的發(fā)展帶動信息消費(fèi)的增長,信息消費(fèi)的發(fā)展空間更加廣闊,以電子商務(wù)和移動互聯(lián)網(wǎng)信息的消費(fèi)迅速增長,電力開發(fā)企業(yè)借助這一發(fā)展優(yōu)勢,將其作為發(fā)展就會促進(jìn)產(chǎn)業(yè)進(jìn)步。
2移動互聯(lián)網(wǎng)主要信息安全問題
2.1移動APP在電力應(yīng)用中的問題
隨著智能電網(wǎng)建設(shè)進(jìn)度的加快,很多智能型移動APP被應(yīng)用于電力建設(shè)中,其中有管理方面的軟件,也有用戶端的繳費(fèi)軟件,層出不窮的第三方軟件為人們的生活提供了便利,同時也暴露出一定的安全問題。例如移動APP惡意讀取用戶位置信息、泄露企業(yè)管理計劃、云端數(shù)據(jù)丟失等,移動APP的安全問題也成為人們關(guān)注的熱點,電力規(guī)劃和建設(shè)過程中必須保障數(shù)據(jù)安全,維護(hù)用戶利益。
2.2運(yùn)營模式引起的安全問題
移動互聯(lián)網(wǎng)產(chǎn)品應(yīng)用過程中,將多種信息交換業(yè)務(wù)作為核心,成為互聯(lián)網(wǎng)中重要的運(yùn)營模式,傳統(tǒng)運(yùn)營商將網(wǎng)絡(luò)作為核心,運(yùn)營商和移動互聯(lián)網(wǎng)有著本質(zhì)的區(qū)別[1]。當(dāng)今社會有很多豐富的個性化服務(wù)進(jìn)入移動互聯(lián)網(wǎng)中,例如手機(jī)廣告、視頻、APP等。同時移動互聯(lián)網(wǎng)可以為用戶提供多種增值服務(wù),體現(xiàn)出鮮明的產(chǎn)品特色,多種業(yè)務(wù)內(nèi)容也成為移動互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展的重點,因此不同個性化服務(wù)的供應(yīng)商成為移動互聯(lián)網(wǎng)快速發(fā)展的直接動力,但是在發(fā)展過程中也暴露出一些問題,例如供應(yīng)商為了獲取更高的經(jīng)濟(jì)效益,將一些騷擾廣告和不健康內(nèi)容添加到WAP網(wǎng)站上,用戶誤點擊后將會收取一定的費(fèi)用,在違背社會道德的同時,逐漸演變?yōu)閲?yán)重的產(chǎn)業(yè)問題和社會問題。
2.3由IP引起的安全問題
與傳統(tǒng)的多級和多層通信網(wǎng)絡(luò)不同,移動互聯(lián)網(wǎng)應(yīng)用扁平化網(wǎng)絡(luò)技術(shù),將IP化作為網(wǎng)絡(luò)核心,但是IP網(wǎng)絡(luò)本身具有較大的安全漏洞,自身也存在著較大的安全威脅。在網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展和普及的過程中,安全問題也受到廣泛關(guān)注,多種網(wǎng)絡(luò)攻擊逐漸成為公眾網(wǎng)絡(luò)的主要危害,作為承載網(wǎng)絡(luò)的核心部分也必將受到較大的影響。在核心網(wǎng)架構(gòu)上,移動互聯(lián)網(wǎng)的管理信息、用戶信息和控制信息將會同步傳輸,終端用戶可以隨時訪問核心網(wǎng),將會把核心網(wǎng)暴露在用戶端。在這種網(wǎng)絡(luò)環(huán)境下,運(yùn)營商的核心網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)中不斷出現(xiàn)嚴(yán)重的安全問題,例如2009年5月19日晚9點左右,華南地區(qū)出現(xiàn)大面積網(wǎng)絡(luò)故障,不僅網(wǎng)絡(luò)連接出現(xiàn)問題,而且用戶的信息安全也受到嚴(yán)重的威脅,專家分析后確認(rèn)該問題由DNS的零日溢出引起的,對DNS進(jìn)行大量的查詢請求導(dǎo)致DNS服務(wù)器出現(xiàn)DDOS攻擊,運(yùn)營商的DNS出現(xiàn)問題?;ヂ?lián)網(wǎng)應(yīng)用過程中DNS服務(wù)器出現(xiàn)較多DDOS攻擊,形式也逐漸多樣化,例如利用緩沖區(qū)溢出、應(yīng)用較大流量堵塞帶寬、偽造的DNS服務(wù)器發(fā)送大量的查詢請求等。網(wǎng)絡(luò)技術(shù)應(yīng)用的同時,移動互聯(lián)網(wǎng)向全I(xiàn)P化發(fā)展,原來只在互聯(lián)網(wǎng)上出現(xiàn)的安全問題現(xiàn)已逐漸轉(zhuǎn)移到移動互聯(lián)網(wǎng)上。
2.4智能終端引起的安全問題
目前移動互聯(lián)網(wǎng)在網(wǎng)絡(luò)接入方面表現(xiàn)出鮮明的多樣化特征,不僅僅應(yīng)用一種網(wǎng)絡(luò)接入方式,用戶可以按照需求采取多種接入方法,隨時都可以進(jìn)行移動互聯(lián)網(wǎng)訪問。針對手機(jī)用戶而言,上網(wǎng)的粘性和上網(wǎng)時長不斷增加,因此手機(jī)網(wǎng)絡(luò)也表現(xiàn)出常態(tài)化特征,用戶在使用手機(jī)的過程中實現(xiàn)了碎片化溝通,信息類應(yīng)用逐漸向娛樂和商務(wù)方向發(fā)展。與傳統(tǒng)網(wǎng)絡(luò)用戶不同的是,移動互聯(lián)網(wǎng)應(yīng)用多種形式的終端設(shè)備,傳統(tǒng)用戶終端一般包括通信網(wǎng)的所中附屬設(shè)備,而移動互聯(lián)網(wǎng)全部應(yīng)用智能終端。在移動互聯(lián)網(wǎng)能不斷完善和成熟的過程中,移動智能終端也逐漸表現(xiàn)出多樣化的特點,智能終端也因此成為安全問題頻發(fā)的部分,安全風(fēng)險不斷加大,移動智能終端在推動移動數(shù)據(jù)業(yè)務(wù)進(jìn)步的同時,很多用戶都將面臨著信息安全問題。另外,移動智能終端表現(xiàn)出多樣化和開放化特點的同時,信息交換的安全風(fēng)險加大,在移動互聯(lián)網(wǎng)發(fā)展的過程中,移動企業(yè)一直處于市場發(fā)展的主導(dǎo)地位,企業(yè)的發(fā)展重點依舊是移動智能終端的研究和探索,因此一定給你智能終端的安全性很容易被企業(yè)忽視,與移動智能終端相關(guān)的安全問題也會逐漸暴露[2]。例如,收集APP會惡意設(shè)置吸費(fèi)部分或者不健康內(nèi)容的連接,手機(jī)上網(wǎng)規(guī)模不斷增大的同時,手機(jī)使用過程中的安全問題也將逐漸明顯。移動互聯(lián)網(wǎng)的開發(fā)軟件層出不窮,收集第三方軟件的研究人員也不斷增多,在商業(yè)發(fā)展需求不斷提高的同時,應(yīng)用軟件逐漸增多,但是目前在第三方軟件的控制管理方面還存在缺陷,無法保障信息安全。例如有些手機(jī)軟件惡意讀取用戶位置信息和短信內(nèi)容,給用戶信息安全帶來了較大的威脅[3]。
3移動互聯(lián)網(wǎng)信息安全策略
3.1完善信息安全法規(guī)建設(shè)
結(jié)合國內(nèi)目前的情況來看,在互聯(lián)網(wǎng)信息安全管理方面,立方層次較低,不同的層次見還存在一定的協(xié)調(diào)問題,目前已有的移動互聯(lián)網(wǎng)法律還有待完善,將現(xiàn)有的法律應(yīng)用于移動互聯(lián)網(wǎng)建設(shè)中將會缺乏一定的科學(xué)性和權(quán)威性。目前,移動互聯(lián)網(wǎng)接入過程中面臨著較大的問題,移動互聯(lián)網(wǎng)行業(yè)還沒有施行手機(jī)實名制的法律,因此在移動互聯(lián)網(wǎng)應(yīng)用的過程中缺乏針對性的法律,無法對網(wǎng)民的行為構(gòu)成有力的約束,也不能保護(hù)人們的信息安全。法律是移動互聯(lián)網(wǎng)進(jìn)行有效管控的保障。在完善法律法規(guī)的過程中,需要結(jié)合實際已發(fā)系誒套用戶和移動互聯(lián)網(wǎng)運(yùn)營企業(yè)之間的關(guān)系,避免兩者出現(xiàn)較大的業(yè)務(wù)矛盾。為了建立科學(xué)有效的移動互聯(lián)網(wǎng)法律體系,必須結(jié)合國內(nèi)的發(fā)展現(xiàn)狀,勇于借鑒國外的方法,將信息安全和移動互聯(lián)網(wǎng)安全獨(dú)立開,針對獨(dú)立額部分建立針對性的法律法規(guī)。結(jié)合國內(nèi)移動互聯(lián)網(wǎng)發(fā)展的實際情況,移動互聯(lián)網(wǎng)安全管理過程中的立法工作需要從以下三個方面著手:①完善手機(jī)實名制制度,加大隱私保護(hù)力度;②建立信息安全法,不斷完善與當(dāng)今移動互聯(lián)網(wǎng)信息安全相關(guān)的法規(guī);③不斷加強(qiáng)對互聯(lián)網(wǎng)管理和移動互聯(lián)網(wǎng)管理的監(jiān)督。
3.2加快移動互聯(lián)網(wǎng)信息安全機(jī)構(gòu)建設(shè)
嚴(yán)格的立法是政府對移動互聯(lián)進(jìn)行監(jiān)督管理的重要依據(jù),結(jié)合國家移動互聯(lián)網(wǎng)的發(fā)展形勢,必須經(jīng)信息安全管理和移動互聯(lián)網(wǎng)安全管理分開。針對國內(nèi)網(wǎng)絡(luò)監(jiān)督管理機(jī)構(gòu)建設(shè),需要通信網(wǎng)絡(luò)的優(yōu)勢對移動互聯(lián)網(wǎng)發(fā)展目標(biāo)進(jìn)行統(tǒng)一規(guī)劃,為信息安全的管理和監(jiān)督提供有利的依據(jù)[4]。針對國家級信息安全管理機(jī)構(gòu)而言,必須在互聯(lián)網(wǎng)信息安全管理的過程中切實負(fù)起責(zé)任,徹底改變信息安全制度制定過程中的問題。國家在建立統(tǒng)一的安全管理機(jī)構(gòu)時,以法制建設(shè)為依托,設(shè)置專家咨詢委員會,專家咨詢委員會作為參謀機(jī)構(gòu)的同時,對安全信息管理提供合理的建議。
3.3完善移動終端管理方案
移動終端管理過程中,重點需要加大對安全技術(shù)的研究力度,將注意力集中到移動互聯(lián)網(wǎng)手機(jī)安全技術(shù)方面。同時協(xié)調(diào)不同管理機(jī)構(gòu)之間的關(guān)系,構(gòu)建科學(xué)嚴(yán)謹(jǐn)?shù)墓芾礞湕l,完善安全管理部門的監(jiān)督政策,公安部門加大查處力度,完善與司法環(huán)節(jié)相關(guān)的法規(guī)。用戶應(yīng)用手機(jī)的過程中,必須具有較高的安全意識,政府加強(qiáng)對用戶的安全教育,同時對第三方軟件商家進(jìn)行有力的監(jiān)督。企業(yè)單位不斷加強(qiáng)內(nèi)部保密機(jī)制,對文件進(jìn)行嚴(yán)格管理。
4結(jié)束語
移動互聯(lián)網(wǎng)不斷發(fā)展的過程中,用戶將重點放在智能產(chǎn)品的功能上,信息安全一直存在較大的安全隱患,為了保證移動互聯(lián)網(wǎng)健康穩(wěn)定發(fā)展,必須針對具體問題制定有效的對策。本文從移動互聯(lián)網(wǎng)中暴露的安全問題出發(fā),提出了信息安全保障的策略,可以為移動互聯(lián)網(wǎng)信息安全建設(shè)提供就借鑒。
作者:徐晨 倪舜 單位:嘉興市恒光電力建設(shè)有限責(zé)任公司華創(chuàng)分公司 國網(wǎng)浙江省電力公司嘉興供電公司
參考文獻(xiàn)
[1]羅軍舟,吳文甲,楊明,等.移動互聯(lián)網(wǎng):終端、網(wǎng)絡(luò)與服務(wù)[J].計算機(jī)學(xué)報,2011,34(11):202.
[2]陳遙,夏亮亮,譚輝,等.移動互聯(lián)網(wǎng)環(huán)境下終端與服務(wù)器安全交互的研究[J].南京信息工程大學(xué)學(xué)報,2015,7(5):142.
【關(guān)鍵詞】云計算模式 移動互聯(lián)網(wǎng) 網(wǎng)絡(luò)安全
移動互聯(lián)網(wǎng)與傳統(tǒng)的網(wǎng)絡(luò)相比,更加具有便捷性、即時性和身份識別等優(yōu)勢,但是同時也存在著很多的缺點,比如處理速度慢、可操作性有限。在云計算模式的大力推廣下,移動互聯(lián)網(wǎng)日漸和云計算模式相結(jié)合,加快了網(wǎng)絡(luò)信息的傳送。但是在此情境下,互聯(lián)網(wǎng)安全問題變得層出不窮。
1 云計算應(yīng)用模式下移動互聯(lián)網(wǎng)主要安全問題
將云計算模式應(yīng)用到移動互聯(lián)網(wǎng)信息傳輸過程中,在很大程度上加快了信息的存儲和傳送,但是云計算模式下互聯(lián)網(wǎng)的安全問題變得更加嚴(yán)峻,使得移動互聯(lián)網(wǎng)頻繁出現(xiàn)安全問題,嚴(yán)重影響著企業(yè)和用戶的運(yùn)作,這需要我們對此加以重視。
1.1 數(shù)據(jù)管理方式引發(fā)的安全問題
云計算應(yīng)用模式下,客戶每時每刻通過互聯(lián)網(wǎng)對數(shù)據(jù)進(jìn)行訪問和識別管理,當(dāng)用戶將自身數(shù)據(jù)委托應(yīng)用行使功能訪問權(quán)限時,云計算模式應(yīng)用商就取得了優(yōu)先訪問權(quán)限。在很多情況下,云計算應(yīng)用模式不能夠用充足的證據(jù)和手段讓客戶信賴。甚至有些時候,用戶懷疑數(shù)據(jù)被盜賣給競爭對手,用戶習(xí)慣、隱私遭泄露,企業(yè)沒有及時刪除不必要的數(shù)據(jù)。
另一方面,由于移動終端與用戶的聯(lián)系程度較為密切,這使得在信息泄露過程中信息泄露速度更快。云計算模式下,用戶受到監(jiān)聽、監(jiān)視的比率變得更大。移動互聯(lián)網(wǎng)用戶缺乏安全意識,冰毒傳播更加快速和多樣,使得攻擊性加大,風(fēng)險性提高。云計算應(yīng)用模式下,“移動”“自動”業(yè)務(wù)也成為互聯(lián)網(wǎng)競相追逐的對象,要想真正實現(xiàn)互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展,信息數(shù)據(jù)不被濫用,并且獲得商業(yè)利益,這是互聯(lián)網(wǎng)安全所面臨的挑戰(zhàn)。
此外,隨著互聯(lián)網(wǎng)信息傳播手段的多樣化,互聯(lián)網(wǎng)傳播更加變得即時性和便捷性。目前就現(xiàn)在的信息傳播條件來看,互聯(lián)網(wǎng)主要利用一些新興的信息傳播設(shè)備,比如微博和博客、QQ、微信等來實現(xiàn)信息傳送,在很多情況下還可能采用群組消息發(fā)送,即時傳播。引入云計算后,互聯(lián)網(wǎng)安全更加變得復(fù)雜化,在解決起來也難度較大。云計算應(yīng)用模式下移動互聯(lián)網(wǎng)數(shù)據(jù)傳播變得更加多樣化,監(jiān)控難度也相繼加大。
1.2 虛擬化運(yùn)行引發(fā)的安全問題
在云計算應(yīng)用模式下,互聯(lián)網(wǎng)資源通過租借、虛擬的方式提供給用戶,虛擬資源根據(jù)實際與實質(zhì)資源相綁定。在云計算中,各大用戶是相互綁定的,其中一方的軟件存在漏洞,就會被另一方所闖入訪問,云平臺軟件存在安全漏洞。之前,網(wǎng)絡(luò)上曾經(jīng)對一個軟件Mac版本中的攻擊現(xiàn)象做了大量的報道。黑客網(wǎng)絡(luò)通過利用網(wǎng)站漏洞,在Mac主機(jī)上執(zhí)行惡意代碼使得主機(jī)數(shù)據(jù)遭受到嚴(yán)重的損害,之后,客戶端也被無故攻克。此后,虛擬網(wǎng)絡(luò)、虛擬機(jī)也產(chǎn)生特別多的問題。在此情況下,云計算平臺只有真正將用戶數(shù)據(jù)和其他企業(yè)數(shù)據(jù)分開,才能夠贏得用戶對虛擬化數(shù)據(jù)的信任,促進(jìn)移動互聯(lián)網(wǎng)虛擬信息安全。
虛擬化存儲是移動互聯(lián)網(wǎng)的一大進(jìn)步,能夠?qū)崿F(xiàn)存儲空間的無限增大。虛擬化存儲是通過將存儲系統(tǒng)、子系統(tǒng)從應(yīng)用程序、網(wǎng)站中抽離出來,實現(xiàn)獨(dú)立的數(shù)據(jù)系統(tǒng)管理,網(wǎng)絡(luò)存儲。存儲虛擬化技術(shù)將空間存儲設(shè)備進(jìn)行統(tǒng)一管理, 屏蔽存儲設(shè)備硬件的特殊性,只保留其統(tǒng)一的運(yùn)作特性,從而能夠更加集中、方便管理。采用虛擬化存儲,在很多情況下,一些應(yīng)用為了達(dá)到更大程度的拓展性、經(jīng)濟(jì)性和可用性,在管理運(yùn)行中一般采用多租模式,這就使得數(shù)據(jù)可能與其他用戶混合使用,在之間的使用中,漏洞發(fā)生更加頻繁。在云計算環(huán)境中,數(shù)據(jù)殘留對泄露信息加快了速度,因此,我們要盡可能實現(xiàn)虛擬空間被釋放內(nèi)存、消除痕跡后分配給其他用戶使用。
1.3 服務(wù)模式引發(fā)的安全問題
云計算服務(wù)模式引發(fā)的安全問題更加值得企業(yè)重視。云計算目前正在朝著IT行業(yè)發(fā)展,服務(wù)商技術(shù)更加具有專業(yè)化。云計算服務(wù)商在給別人提供服務(wù)的同時,也需要自身購買服務(wù)源,實現(xiàn)為其他企業(yè)提供服務(wù)。這就使得云服務(wù)在無形中間接聯(lián)系了多個服務(wù)提供商,在運(yùn)行過程中變得更加復(fù)雜和多變,風(fēng)險系數(shù)大大增加。在各大企業(yè)中,由于其發(fā)展需求不同,用戶要求也各不相同,在此情況下,云計算服務(wù)勢必需要提供各種不同類型的安全服務(wù),以便適應(yīng)不同企業(yè)的發(fā)展層次。
2 風(fēng)險評估面臨的挑戰(zhàn)
2.1 云計算安全標(biāo)準(zhǔn)應(yīng)該面向更高層次
云計算安全標(biāo)準(zhǔn)不僅應(yīng)保證企業(yè)信息安全,更應(yīng)該支持用戶實現(xiàn)安全管理需求。在很多時候,云計算安全應(yīng)當(dāng)在更高層次上了解用戶的使用情況,信息需求,能夠廣泛收集數(shù)據(jù),展開合法調(diào)查等。目前,云計算涉及到商業(yè)模式雖然已經(jīng)比比皆是,但是仍舊存在很多的安全隱患,運(yùn)作起來不是特別的熟練和成熟,責(zé)任鑒定界限不明確,可能在管理上存在沖突。安全目標(biāo)的設(shè)定在更高層次上我們應(yīng)該將其設(shè)置為可驗證、實現(xiàn)、測量的目標(biāo)。另外在信息的收集上應(yīng)該多角度和多手段,范圍要盡量廣泛。
2.2 云計算安全標(biāo)準(zhǔn)應(yīng)更加靈活方便
在傳統(tǒng)方式中,云計算是通過分析系統(tǒng)結(jié)構(gòu)的弱點和威脅來對其進(jìn)行評估,進(jìn)而確定安全風(fēng)險的等級;而云計算為其提供了一個好的評估方式。它通過租用其他服務(wù)商的基礎(chǔ)設(shè)施和軟件服務(wù),進(jìn)行選用。在此形勢下,我們要重視云計算多邊參與的特點,提高云服務(wù)的安全計算能力和水平。
2.3 云計算安全標(biāo)準(zhǔn)應(yīng)規(guī)定相應(yīng)方法和程序
云計算安全標(biāo)準(zhǔn)離不開相應(yīng)的方法和程序,云計算在一定的程序和方法下才能更好的提供安全標(biāo)準(zhǔn),進(jìn)行更好的測量。用戶通過服務(wù)商提供正確執(zhí)行的證據(jù),來驗證服務(wù),實現(xiàn)云計算安全標(biāo)準(zhǔn)測量。因此,在互聯(lián)網(wǎng)安全問題上需要正確方法的指引。
目前,移動互聯(lián)網(wǎng)安全問題存在著嚴(yán)峻的挑戰(zhàn),云計算應(yīng)用模式下,安全問題更加變得尤為突出。要想真正處理好移動互聯(lián)網(wǎng)安全問題,需要相關(guān)部門進(jìn)一步的努力。我們要著眼于世界發(fā)展的潮流,密切關(guān)注移動互聯(lián)網(wǎng)安全處理問題,爭取實現(xiàn)云計算應(yīng)用更好更快發(fā)展。
參考文獻(xiàn)
[1]張云勇,陳清金,潘松柏.云計算安全關(guān)鍵技術(shù)[J].電信科學(xué),2010(8)
[2]中國通信標(biāo)準(zhǔn)化協(xié)會,移動環(huán)境下云安全技術(shù)研究[Z].2012
[3]房秉毅,張云勇,吳俊,徐雷.云計算引用模式下移動互聯(lián)網(wǎng)安全問題淺析[J].研究與開發(fā),2013(3).
【關(guān)鍵詞】信息安全威脅 智能終端安全 接入網(wǎng)安全 終端業(yè)務(wù)安全 移動支付 移動廣告安全 BYOD
[Abstract] Developmental status of mobile Internet and its security threat were summarized. Security development trend of mobile Internet was analyzed and corresponding proposals to guarantee information security of mobile Internet were presented.
[Key words]information security threat smart terminal security access network security terminal service security mobile payment mobile advertisement security Bring Your Own Device
1 引言
近年來,隨著移動智能終端迅速普及和移動應(yīng)用的多樣性變化,極大地促進(jìn)了我國移動互聯(lián)網(wǎng)的發(fā)展。截至2014年12月,中國移動互聯(lián)網(wǎng)用戶數(shù)量已達(dá)5.57億,中國網(wǎng)民中使用移動智能終端作為主要上網(wǎng)設(shè)備的人數(shù)占比已超過85%,通過移動終端接入互聯(lián)網(wǎng)的比例繼續(xù)增高。移動互聯(lián)網(wǎng)是移動通信和互聯(lián)網(wǎng)融合的產(chǎn)物,隨著移動通信、智能終端操作系統(tǒng)、終端芯片等技術(shù)的進(jìn)步,移動互聯(lián)網(wǎng)在滿足用戶基本通信和信息獲取需求的同時,正在向移動支付、金融、社交、交通、醫(yī)療等領(lǐng)域擴(kuò)展,促進(jìn)了移動應(yīng)用的多樣化發(fā)展。2014年,Google Play應(yīng)用商店和iOS應(yīng)用商店中應(yīng)用總量分別達(dá)到143萬款和121萬款。移動互聯(lián)網(wǎng)不斷拓展出創(chuàng)新應(yīng)用與服務(wù),改變了傳統(tǒng)的互聯(lián)網(wǎng)格局和發(fā)展模式,也改變了傳統(tǒng)行業(yè)的業(yè)務(wù)模式,改變了人們的生活和工作方式,給市場帶來持續(xù)的增長。
隨著移動互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)與信息安全問題日益凸顯,移動智能終端安全事件層出不窮,移動惡意應(yīng)用肆意泛濫,個人隱私竊取、資費(fèi)消耗等安全問題時有發(fā)生,嚴(yán)重影響移動互聯(lián)網(wǎng)的健康發(fā)展。因而需要進(jìn)一步規(guī)范移動互聯(lián)網(wǎng)的發(fā)展,加強(qiáng)對移動互聯(lián)網(wǎng)的治理。
2 移動互聯(lián)網(wǎng)的安全問題
伴隨著移動互聯(lián)網(wǎng)用戶的快速增長、智能終端和移動應(yīng)用更加豐富和多樣化,移動互聯(lián)網(wǎng)安全問題將更加突出,安全形勢更為嚴(yán)峻。移動互聯(lián)網(wǎng)作為移動智能終端、互聯(lián)網(wǎng)和移動通信融合的產(chǎn)物,不可避免地繼承了傳統(tǒng)互聯(lián)網(wǎng)和移動通信網(wǎng)的脆弱性;移動互聯(lián)網(wǎng)由于智能終端和移動應(yīng)用的多樣性,移動用戶訪問網(wǎng)絡(luò)的模式和使用習(xí)慣與傳統(tǒng)網(wǎng)絡(luò)時代有很大差別,移動互聯(lián)網(wǎng)所面臨的安全問題不是傳統(tǒng)互聯(lián)網(wǎng)和移動通信網(wǎng)安全問題的簡單疊加。移動互聯(lián)網(wǎng)面臨的安全問題可以從智能終端、接入網(wǎng)和應(yīng)用及業(yè)務(wù)等方面進(jìn)行分析。
2.1 智能終端安全問題
隨著移動通信、智能終端操作系統(tǒng)、集成電路等領(lǐng)域技術(shù)的快速進(jìn)步,智能終端的通信、計算、存儲等能力迅速得到提升,對于人們來說智能終端已不再局限于通信和娛樂,已經(jīng)廣泛應(yīng)用于人們工作和生活的各個領(lǐng)域,如辦公、金融、支付、社交等,逐漸成為網(wǎng)絡(luò)邊界。同時,智能終端存儲了大量的個人隱私和敏感信息,很容易成為攻擊對象,出現(xiàn)比傳統(tǒng)計算機(jī)更嚴(yán)峻的安全問題,損害用戶權(quán)益,甚至威脅國家安全。智能終端面臨的安全問題主要有以下3類。
(1)終端漏洞威脅。智能終端的操作系統(tǒng)、應(yīng)用軟件、固件等都有可能存在漏洞,惡意攻擊者可以利用這些漏洞對終端進(jìn)行攻擊。終端操作系統(tǒng),特別是市場占有率超過70%的安卓系統(tǒng),呈現(xiàn)出顯著的碎片化現(xiàn)象。終端操作系統(tǒng)的與更新往往是由各個終端廠商獨(dú)立完成的,每個終端廠商都會根據(jù)自己的軟硬件設(shè)計,對原生的安卓操作系統(tǒng)進(jìn)行或多或少的定制化開發(fā)。因此,即便是安卓系統(tǒng)的原始開發(fā)者Google公司,也無法掌控所有終端系統(tǒng)的漏洞修復(fù)與版本更新,這就使得終端操作系統(tǒng)的安全性面臨更加復(fù)雜的挑戰(zhàn)。終端漏洞會降低智能終端的安全性,導(dǎo)致嚴(yán)重的安全問題,如經(jīng)濟(jì)損失、隱私泄露等。
(2)惡意應(yīng)用威脅。木馬病毒等惡意軟件是計算機(jī)時代的主要安全威脅,隨著移動互聯(lián)網(wǎng)的發(fā)展和智能終端的普及,惡意應(yīng)用威脅也開始向移動互聯(lián)網(wǎng)領(lǐng)域發(fā)展。惡意應(yīng)用帶來的安全問題主要包括惡意扣費(fèi)、隱私竊取、遠(yuǎn)程控制、惡意傳播、資源消耗、系統(tǒng)破壞、誘騙詐取和流氓行為等。2014年Android平臺新增的惡意程序中,資費(fèi)消耗類占比高達(dá)74.3%,給用戶造成了嚴(yán)重的經(jīng)濟(jì)損失;其次為隱私竊取,隱私竊取雖然不直接構(gòu)成經(jīng)濟(jì)損失,但它會給用戶的手機(jī)埋下安全隱患,一旦危機(jī)爆發(fā),危害程度更高。
(3)惡意騷擾威脅,如詐騙、垃圾短信和郵件等。詐騙和垃圾短信已成為移動互聯(lián)網(wǎng)中的一大問題,相比于傳統(tǒng)互聯(lián)網(wǎng)的詐騙和垃圾信息,移動號碼的唯一性將導(dǎo)致詐騙和垃圾信息的傳播更準(zhǔn)確、更便捷,也更具欺騙性。
2.2 接入網(wǎng)安全問題
隨著移動互聯(lián)網(wǎng)的發(fā)展,其網(wǎng)絡(luò)邊界也越來越模糊,傳統(tǒng)互聯(lián)網(wǎng)的安全域劃分、等級保護(hù)等安全機(jī)制在移動互聯(lián)網(wǎng)中不再完全適用,移動互聯(lián)網(wǎng)的網(wǎng)絡(luò)側(cè)面臨新的安全威脅。移動互聯(lián)網(wǎng)增加了無線接入和大量移動智能終端設(shè)備,網(wǎng)絡(luò)攻擊者可以通過破解空中接入?yún)f(xié)議非法訪問網(wǎng)絡(luò),對空中接口傳遞的信息進(jìn)行監(jiān)聽和竊取。另外,移動互聯(lián)網(wǎng)中IP化的電信設(shè)備、信令和協(xié)議存在各種可能被利用的軟硬件漏洞,攻擊者可以利用這些漏洞對移動互聯(lián)網(wǎng)進(jìn)行攻擊。并且,由于IP協(xié)議的開放性和移動智能終端的移動性,使得偽造和隱藏網(wǎng)絡(luò)地址相對容易,這給實時定位和溯源網(wǎng)絡(luò)攻擊變得相對困難。作為移動互聯(lián)網(wǎng)主要管道的LTE網(wǎng)絡(luò),其本身也存在著尚未解決的安全問題,如用戶隱私泄露、特殊場景下安全機(jī)制考慮不足等。
2.3 業(yè)務(wù)安全問題
移動互聯(lián)網(wǎng)承載的業(yè)務(wù)多種多樣,不再只是傳統(tǒng)的語音、短信服務(wù);同時又引入了更多的業(yè)務(wù)平臺,網(wǎng)絡(luò)結(jié)構(gòu)更加復(fù)雜,端到端的業(yè)務(wù)安全防護(hù)難度加大,業(yè)務(wù)系統(tǒng)被非法訪問、隱私數(shù)據(jù)和敏感信息遭泄露、垃圾和不良信息傳播等安全風(fēng)險更高。另外,移動辦公、金融支付等業(yè)務(wù)對安全有著更高的要求,目前雖然發(fā)展迅速但還沒有統(tǒng)一的業(yè)務(wù)安全標(biāo)準(zhǔn)和體系。移動互聯(lián)網(wǎng)業(yè)務(wù)常見的威脅主要有非法數(shù)據(jù)訪問、非法業(yè)務(wù)訪問、業(yè)務(wù)盜用濫用、隱私敏感信息泄露、SQL注入、拒絕服務(wù)攻擊、垃圾和不良信息傳播等。
另一方面,移動互聯(lián)網(wǎng)出現(xiàn)了越來越多的與云計算結(jié)合的業(yè)務(wù),隨著云服務(wù)的推廣,大量的用戶個人信息、企業(yè)業(yè)務(wù)數(shù)據(jù)將在云計算平臺上集中存儲和管理,云計算服務(wù)存在公共租賃、虛擬化等特性,將給移動互聯(lián)網(wǎng)帶來新的安全問題,如用戶和企業(yè)數(shù)據(jù)泄露等。同時,云服務(wù)平臺上用戶和企業(yè)數(shù)據(jù)的使用缺乏監(jiān)管,這些數(shù)據(jù)有可能在用戶和企業(yè)不知情的情況下被非法使用。
3 移動互聯(lián)網(wǎng)安全發(fā)展趨勢
移動互聯(lián)網(wǎng)安全是一個復(fù)雜的系統(tǒng)性問題,涉及終端設(shè)備、移動網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用等各個方面,當(dāng)前移動互聯(lián)網(wǎng)安全出現(xiàn)一些新的趨勢,惡意應(yīng)用、移動支付、移動廣告、BYOD安全風(fēng)險持續(xù)增長。
3.1 惡意應(yīng)用持續(xù)增長并向底層滲透
據(jù)CNCERT的數(shù)據(jù)顯示,2014年我國智能終端惡意應(yīng)用持續(xù)增長,惡意樣本已從2011年的6 000余例發(fā)展到95萬例,其中安卓系統(tǒng)上的惡意應(yīng)用占據(jù)主流。其中惡意吸費(fèi)應(yīng)用增長尤其迅猛,其采用惡意應(yīng)用傳播與人工詐騙相結(jié)合的方式,形成了完整的黑色利益鏈條,給智能終端用戶帶來了嚴(yán)重的經(jīng)濟(jì)損失。據(jù)智能終端安全廠商統(tǒng)計,2014年被感染惡意程序的Android用戶累計達(dá)3.19億人次,較2012年和2013年分別增長了5.17倍和2.17倍。根據(jù)移動互聯(lián)網(wǎng)惡意代碼描述規(guī)范,智能終端惡意應(yīng)用主要分為8類,包括惡意扣費(fèi)、隱私竊取、遠(yuǎn)程控制、惡意傳播、資源消耗、系統(tǒng)破壞、誘騙詐取和流氓行為。
此外,惡意應(yīng)用正加速向Linux內(nèi)核驅(qū)動層滲透,并不斷增加破解難度。一是惡意代碼在自我保護(hù)和加密技術(shù)上有了新的突破;各類加固技術(shù)的推出,在保護(hù)部分應(yīng)用開發(fā)者利益的同時也被用作躲避病毒查殺的方案。二是代碼混淆技術(shù)進(jìn)一步發(fā)展,代碼亂序、字符串處理使得無法對惡意應(yīng)用進(jìn)行逆向分析。三是惡意代碼加固方式越來越深入系統(tǒng)底層,出現(xiàn)了Java和so注入、動態(tài)庫加殼、動態(tài)加載dex和內(nèi)存加載dex等方式。隨著互聯(lián)網(wǎng)的發(fā)展,黑客視線正逐漸由傳統(tǒng)互聯(lián)網(wǎng)轉(zhuǎn)移至移動互聯(lián)網(wǎng),惡意應(yīng)用也逐步向Linux內(nèi)核驅(qū)動層滲透,惡意應(yīng)用攻擊和感染的方式不斷增加,使移動互聯(lián)網(wǎng)面臨更嚴(yán)峻的安全挑戰(zhàn)。
3.2 移動支付風(fēng)險持續(xù)增長
中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心(CNNIC)的數(shù)據(jù)顯示,截至2014年12月底,中國網(wǎng)民規(guī)模達(dá)6.49億,其中手機(jī)網(wǎng)民規(guī)模達(dá)5.57億,同比增長11.4%,占總網(wǎng)民數(shù)的85.8%。手機(jī)支付用戶規(guī)模達(dá)到2.17億,同比增長了73.2%,占手機(jī)網(wǎng)民總量的39%??梢?,手機(jī)支付用戶的增長速度遠(yuǎn)遠(yuǎn)高于網(wǎng)民總規(guī)模的增長速度和手機(jī)網(wǎng)民規(guī)模的增長速度。移動支付的時代已經(jīng)到來,移動支付是互聯(lián)網(wǎng)競爭的下一個主戰(zhàn)場。據(jù)數(shù)據(jù)統(tǒng)計結(jié)果顯示,截至2014年12月,有支付風(fēng)險的用戶占比超過20%。繼銀行卡支付,PC端網(wǎng)上支付之后,中國消費(fèi)者已經(jīng)快速進(jìn)入了移動支付時代。不過,由于智能終端系統(tǒng)的某些安全問題,移動支付安全一直受到智能終端安全漏洞和各類惡意應(yīng)用的威脅。此外,無論智能終端還是傳統(tǒng)PC端網(wǎng)上支付的重要驗證途徑和消費(fèi)通知途徑也是各類詐騙短信攻擊的目標(biāo)。因此,盡管目前所有的移動支付產(chǎn)品都非常重視支付的安全性,但移動支付的安全性問題仍然存在很多隱患。移動支付的風(fēng)險主要來自支付類惡意應(yīng)用、不明Wi-Fi網(wǎng)絡(luò)環(huán)境、支付應(yīng)用本身漏洞、驗證短信不安全等方面。
3.3 移動廣告安全風(fēng)險初現(xiàn)
隨著智能終端的迅速普及,以移動互聯(lián)網(wǎng)為載體的移動廣告迎來了迅猛發(fā)展,根據(jù)艾媒咨詢《2014―2015年中國移動廣告平臺行業(yè)觀察報告》的數(shù)據(jù)顯示,2014年中國移動廣告平臺市場整體規(guī)模為275.6億元,同比增長137.38%,2015年將達(dá)到564.9億元。面對移動廣告市場的迅速發(fā)展,移動廣告數(shù)量也呈現(xiàn)出暴增趨勢。根據(jù)AVL移動安全團(tuán)隊統(tǒng)計,2014年廣告件數(shù)量達(dá)到500多萬個,較2011年增長了250倍左右。移動廣告市場的快速增長導(dǎo)致國內(nèi)涌現(xiàn)出上百家移動廣告平臺,通過在移動應(yīng)用中集成廣告插件,收取廣告主的展示費(fèi)來盈利。這些廣告平臺大小不一,良莠不齊,提供的廣告插件沒有統(tǒng)一的行業(yè)標(biāo)準(zhǔn),并且缺乏行業(yè)監(jiān)管,給移動互聯(lián)網(wǎng)安全帶來了一定的風(fēng)險和隱患。移動廣告存在的安全風(fēng)險主要有廣告插件存在惡意代碼或漏洞,自動下載惡意應(yīng)用軟件、收集用戶隱私敏感信息、傳播垃圾和不良信息等。
3.4 BYOD帶來安全隱患
BYOD(Bring Your Own Device)指攜帶自己的設(shè)備辦公,這些設(shè)備包括個人電腦、手機(jī)、平板電腦等(而更多的情況指手機(jī)或平板電腦這樣的移動智能終端設(shè)備)。BYOD允許員工使用自己的設(shè)備進(jìn)行辦公,該模式可以為企業(yè)節(jié)約辦公成本、提高辦公效率。同時,BYOD 的應(yīng)用也給大多數(shù)企業(yè)帶來新的挑戰(zhàn),個人應(yīng)用和企業(yè)應(yīng)用并存使得企業(yè)數(shù)據(jù)存在非授權(quán)訪問和泄露的風(fēng)險。用戶在企業(yè)外部網(wǎng)絡(luò)使用移動終端可能會被惡意程序感染,并且在接入企業(yè)內(nèi)部網(wǎng)絡(luò)時迅速傳播同時進(jìn)行數(shù)據(jù)竊取或者網(wǎng)絡(luò)破壞,嚴(yán)重時甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。此外,用戶在安裝非企業(yè)內(nèi)部應(yīng)用時也可能因內(nèi)嵌惡意程序給企業(yè)網(wǎng)絡(luò)帶來潛伏式的攻擊,如惡意程序刻意搜集企業(yè)內(nèi)部信息,當(dāng)用戶利用BYOD設(shè)備進(jìn)入外部網(wǎng)絡(luò)時,將可能造成企業(yè)內(nèi)部數(shù)據(jù)泄漏。
4 移動互聯(lián)網(wǎng)安全對策
針對移動互聯(lián)網(wǎng)面臨的新的安全挑戰(zhàn),有必要采取積極有效地應(yīng)對措施。
一是完善移動互聯(lián)網(wǎng)相關(guān)的法律法規(guī)和標(biāo)準(zhǔn),加強(qiáng)移動互聯(lián)網(wǎng)的安全管理和日常監(jiān)督監(jiān)測,落實安全責(zé)任。目前,我國還沒有專門針對移動互聯(lián)網(wǎng)信息安全的法律法規(guī)明確界定移動互聯(lián)網(wǎng)各方的職責(zé)范圍、責(zé)任主體。同時移動互聯(lián)網(wǎng)業(yè)務(wù)涉及領(lǐng)域眾多,存在多個部門對移動互聯(lián)網(wǎng)進(jìn)行監(jiān)管及職責(zé)交叉等問題。因此,需要制定針對移動互聯(lián)網(wǎng)的法律法規(guī),在法律層面界定移動互聯(lián)網(wǎng)使用者、接入服務(wù)商、業(yè)務(wù)提供商、監(jiān)管者的權(quán)利和義務(wù),加強(qiáng)應(yīng)用商店、終端廠商的安全管理和日常監(jiān)督監(jiān)測,落實安全責(zé)任。另外,由于多部門分頭管理移動互聯(lián)網(wǎng),在移動互聯(lián)網(wǎng)惡意行為判定、隱私竊取、業(yè)務(wù)安全等方面存在標(biāo)準(zhǔn)不統(tǒng)一或是缺乏相應(yīng)的安全標(biāo)準(zhǔn)的問題。為此,需要針對移動互聯(lián)網(wǎng)面對的新的安全問題,特別是移動支付、移動廣告、BYOD等新的業(yè)務(wù),分析安全需求,制定相應(yīng)的國家和行業(yè)標(biāo)準(zhǔn)規(guī)范,為移動互聯(lián)網(wǎng)的安全檢測、監(jiān)督提供統(tǒng)一科學(xué)的規(guī)范依據(jù)。
二是推廣權(quán)威第三方移動應(yīng)用簽名認(rèn)證,確保應(yīng)用開發(fā)者、渠道和檢測機(jī)構(gòu)可溯源。建立移動應(yīng)用數(shù)字簽名與認(rèn)證機(jī)制是實現(xiàn)應(yīng)用軟件可追溯體系和移動互聯(lián)網(wǎng)可信應(yīng)用環(huán)境的重要技術(shù)手段。移動應(yīng)用軟件開發(fā)者使用第三方認(rèn)證證書進(jìn)行開發(fā)者簽名,確保應(yīng)用來源的可追溯;移動應(yīng)用軟件檢測機(jī)構(gòu)對應(yīng)用軟件進(jìn)行安全檢測,檢測合格后進(jìn)行檢測機(jī)構(gòu)簽名,確保檢測結(jié)果的可信性;移動應(yīng)用商店對上架應(yīng)用軟件進(jìn)行渠道簽名,確保應(yīng)用下載渠道可追溯;移動智能終端通過操作系統(tǒng)內(nèi)置應(yīng)用簽名驗簽軟件對即將要安裝的應(yīng)用軟件簽名情況進(jìn)行驗證,并將識別到的開發(fā)者信息、安全檢測情況、流通渠道等信息真實地呈現(xiàn)給用戶,為用戶下載、安裝安全可信應(yīng)用軟件提供指引。
三是加強(qiáng)對移動互聯(lián)網(wǎng)安全新技術(shù)和產(chǎn)品服務(wù)的研究和投入。針對移動互聯(lián)網(wǎng)新的安全挑戰(zhàn),有必要采取積極有效地應(yīng)對措施,研究新的安全威脅的解決方案,如支持研發(fā)針對采用加固技術(shù)的惡意代碼的檢測方法、移動支付和移動廣告安全解決方案、BYOD安全管理系統(tǒng)解決方案等,并將解決方案轉(zhuǎn)化為相應(yīng)的標(biāo)準(zhǔn),提高整個行業(yè)信息安全水平。支持建立移動互聯(lián)網(wǎng)安全漏洞庫,通過建立移動互聯(lián)網(wǎng)漏洞收集、分析、通報和面向應(yīng)用的工作機(jī)制,開始為政府部門、產(chǎn)業(yè)界及社會提供移動互聯(lián)網(wǎng)信息安全漏洞分析和風(fēng)險評估服務(wù),以提高移動互聯(lián)網(wǎng)安全防護(hù)能力。
5 結(jié)束語
隨著移動互聯(lián)網(wǎng)的快速發(fā)展,移動惡意應(yīng)用也變得復(fù)雜多變,其檢測也變得越來越困難;同時,移動支付和移動廣告的安全風(fēng)險持續(xù)增長,BYOD發(fā)展也給移動互聯(lián)網(wǎng)帶來新的安全問題。針對新的安全挑戰(zhàn),有必要采取積極有效地應(yīng)對措施。為保障移動互聯(lián)網(wǎng)安全,需要制訂完善的與移動互聯(lián)網(wǎng)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn),建立移動應(yīng)用數(shù)字簽名與認(rèn)證機(jī)制,加強(qiáng)對移動互聯(lián)網(wǎng)安全新技術(shù)和產(chǎn)品服務(wù)的研究和投入等。同時,加強(qiáng)移動互聯(lián)網(wǎng)產(chǎn)業(yè)各方的協(xié)作,建立科學(xué)合理的移動互聯(lián)網(wǎng)安全防護(hù)機(jī)制,確保移動互聯(lián)網(wǎng)安全有序的發(fā)展。
參考文獻(xiàn):
[1] 中國互聯(lián)網(wǎng)信息中心. 第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告[Z]. 2015.
[2] 中國互聯(lián)網(wǎng)信息中心. 第34次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告[Z]. 2014.
[3] 國家互聯(lián)網(wǎng)應(yīng)急中心. 2014年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[Z]. 2015.
[4] 國家互聯(lián)網(wǎng)應(yīng)急中心. 2013年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[Z]. 2014.
[5] 國家互聯(lián)網(wǎng)應(yīng)急中心. 2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[Z]. 2013.
[6] 國家互聯(lián)網(wǎng)應(yīng)急中心. 2011年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[Z]. 2012.
[7] 艾媒咨詢. 2014―2015年中國移動廣告行業(yè)研究報告[Z]. 2015.
[8] 潘娟,袁廣翔. 移動智能終端安全威脅及應(yīng)對措施[J]. 移動通信, 2015,39(5): 21-25.
1 移動互聯(lián)網(wǎng)的安全現(xiàn)狀
自由開放的移動網(wǎng)絡(luò)帶來巨大信息量的同時,也給運(yùn)營商帶來了業(yè)務(wù)運(yùn)營成本的增加,給信息的監(jiān)管帶來了沉重的壓力。同時使用戶面臨著經(jīng)濟(jì)損失、隱私泄露的威脅和通信方面的障礙。移動互聯(lián)網(wǎng)由于智能終端的多樣性,用戶的上網(wǎng)模式和使用習(xí)慣與固網(wǎng)時代很不相同,使得移動網(wǎng)絡(luò)的安全跟傳統(tǒng)固網(wǎng)安全存在很大的差別,移動互聯(lián)網(wǎng)的安全威脅要遠(yuǎn)甚于傳統(tǒng)的互聯(lián)網(wǎng)。
⑴移動互聯(lián)網(wǎng)業(yè)務(wù)豐富多樣,部分業(yè)務(wù)還可以由第三方的終端用戶直接運(yùn)營,特別是移動互聯(lián)網(wǎng)引入了眾多手機(jī)銀行、移動辦公、移動定位和視頻監(jiān)控等業(yè)務(wù),雖然豐富了手機(jī)應(yīng)用,同時也帶來更多安全隱患。應(yīng)用威脅包括非法訪問系統(tǒng)、非法訪問數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內(nèi)容版權(quán)盜用和不合理的使用等問題。
⑵移動互聯(lián)網(wǎng)是扁平網(wǎng)絡(luò),其核心是IP化,由于IP網(wǎng)絡(luò)本身存在安全漏洞,IP自身帶來的安全威脅也滲透到了移動專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net互聯(lián)網(wǎng)。在網(wǎng)絡(luò)層面,存在進(jìn)行非法接入網(wǎng)絡(luò),對數(shù)據(jù)進(jìn)行機(jī)密性破壞、完整性破壞;進(jìn)行拒絕服務(wù)攻擊,利用各種手段產(chǎn)生數(shù)據(jù)包造成網(wǎng)絡(luò)負(fù)荷過重等等,還可以利用嗅探工具、系統(tǒng)漏洞、程序漏洞等各種方式進(jìn)行攻擊。
⑶隨著通信技術(shù)的進(jìn)步,終端也越來越智能化,內(nèi)存和芯片處理能力也逐漸增強(qiáng),終端上也出現(xiàn)了操作系統(tǒng)并逐步開放。隨著智能終端的出現(xiàn),也給我們帶來了潛在的威脅:非法篡改信息,非法訪問,或者通過操作系統(tǒng)修改終端中存在的信息,產(chǎn)生病毒和惡意代碼進(jìn)行破壞。
綜上所述,移動互聯(lián)網(wǎng)面臨來自三部分安全威脅:業(yè)務(wù)應(yīng)用的安全威脅、網(wǎng)絡(luò)的安全威脅和移動終端的安全威脅。
2 移動互聯(lián)網(wǎng)安全應(yīng)對策略
2010年1月工業(yè)和信息化部了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》第11號政府令,對網(wǎng)絡(luò)安全管理工作的規(guī)范化和制度化提出了明確的要求??蛻粜枨蠛驼邔?dǎo)向成為了移動互聯(lián)網(wǎng)安全問題的新挑戰(zhàn),運(yùn)營商需要緊緊圍繞“業(yè)務(wù)”中心,全方位多層次地部署安全策略,并有針對性地進(jìn)行安全加固,才能打造出綠色、安全、和諧的移動互聯(lián)網(wǎng)世界。
2.1 業(yè)務(wù)安全
移動互聯(lián)網(wǎng)業(yè)務(wù)可以分為3類:第一類是傳統(tǒng)互聯(lián)網(wǎng)業(yè)務(wù)在移動互聯(lián)網(wǎng)上的復(fù)制;第二類是移動通信業(yè)務(wù)在移動互聯(lián)網(wǎng)上的移植,第三類是移動通信網(wǎng)與互聯(lián)網(wǎng)相互結(jié)合,適配移動互聯(lián)網(wǎng)終端的創(chuàng)新業(yè)務(wù)。主要采用如下措施保證業(yè)務(wù)應(yīng)用安全:
⑴提升認(rèn)證授權(quán)能力。業(yè)務(wù)系統(tǒng)應(yīng)可實現(xiàn)對業(yè)務(wù)資源的統(tǒng)一管理和權(quán)限分配,能夠?qū)崿F(xiàn)用戶賬號的分級管理和分級授權(quán)。針對業(yè)務(wù)安全要求較高的應(yīng)用,應(yīng)提供業(yè)務(wù)層的安全認(rèn)證方式,如雙因素身份認(rèn)證,通過動態(tài)口令和靜態(tài)口令結(jié)合等方式提升網(wǎng)絡(luò)資源的安全等級,防止機(jī)密數(shù)據(jù)、核心資源被非法訪問。
⑵健全安全審計能力。業(yè)務(wù)系統(tǒng)應(yīng)部署安全審計模塊,對相關(guān)業(yè)務(wù)管理、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫操作等處理行為進(jìn)行分析和記錄,實施安全設(shè)計策略,并提供事后行為回放和多種審計統(tǒng)計報表。
⑶加強(qiáng)漏洞掃描能力。在業(yè)務(wù)系統(tǒng)中部署漏洞掃描和防病毒系統(tǒng),定期對主機(jī)、服務(wù)器、操作系統(tǒng)、應(yīng)用控件進(jìn)行漏洞掃描和安全評估,確保攔截來自各方的攻擊,保證業(yè)務(wù)系統(tǒng)可靠運(yùn)行。
⑷增強(qiáng)對于新業(yè)務(wù)的檢查和控制,尤其是針對于“移動商店”這種運(yùn)營模式,應(yīng)盡可能讓新業(yè)務(wù)與安全規(guī)劃同步,通過SDK和業(yè)務(wù)上線要求等將安全因素植入。
2.2 網(wǎng)絡(luò)安全
移動互聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)包括兩部分:接入網(wǎng)和互聯(lián)網(wǎng)。前者即移動通信網(wǎng),由終端設(shè)備、基站、移動通信網(wǎng)絡(luò)和網(wǎng)關(guān)組成;后者主要涉及路由器、交換機(jī)和接入服務(wù)器等設(shè)備以及相關(guān)鏈路。網(wǎng)絡(luò)安全也應(yīng)從以上兩方面考慮。
⑴接入網(wǎng)的網(wǎng)絡(luò)安全。移動互聯(lián)網(wǎng)的接入方式可分為移動通信網(wǎng)絡(luò)接入和Wi-Fi接入兩種。針對移動通信接入網(wǎng)安全,3G以及未來LTE技術(shù)的安全保護(hù)機(jī)制有比較全面的考慮,3G網(wǎng)絡(luò)的無線空口接入采用雙向認(rèn)證鑒權(quán),無線空口采用加強(qiáng)型加密機(jī)制,增加抵抗惡意攻擊的安全特性等機(jī)制,大大增強(qiáng)了移動互聯(lián)網(wǎng)的接入安全能力。針對Wi-Fi接入安全,Wi-Fi的標(biāo)準(zhǔn)化組織IEEE使用安全機(jī)制更完善的802.11i標(biāo)準(zhǔn),用AES算法替專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net代了原來的RC4,提高了加密魯棒性,彌補(bǔ)了原有用戶認(rèn)證協(xié)議的安全缺陷。針對需重點防護(hù)的用戶,可以采用VPDN、SSLVPN的方式構(gòu)建安全網(wǎng)絡(luò),實現(xiàn)內(nèi)網(wǎng)的安全接入。
⑵承載網(wǎng)網(wǎng)絡(luò)及邊界網(wǎng)絡(luò)安全。1)實施分域安全管理,根據(jù)風(fēng)險級別和業(yè)務(wù)差異劃分安全域,在不同的安全邊界,通過實施和部署不同的安全策略和安防系統(tǒng)來完成相應(yīng)的安全加固。移動互聯(lián)網(wǎng)的安全區(qū)域可分為Gi域、Gp域、Gn域、Om域等。2)在關(guān)鍵安全域內(nèi)部署人侵檢測和防御系統(tǒng),監(jiān)視和記錄用戶出入網(wǎng)絡(luò)的相關(guān)操作,判別非法進(jìn)入網(wǎng)絡(luò)和破壞系統(tǒng)運(yùn)行的惡意行為,提供主動化的信息安全保障。在發(fā)現(xiàn)違規(guī)模式和未授權(quán)訪問等惡意操作時,系統(tǒng)會及時作出響應(yīng),包括斷開網(wǎng)絡(luò)連接、記錄用戶標(biāo)識和報警等。3)通過協(xié)議識別,做好流量監(jiān)測。依據(jù)控制策略控制流量,進(jìn)行深度檢測識別配合連接模式識別,把客戶流量信息捆綁在安全防護(hù)系統(tǒng)上,進(jìn)行數(shù)據(jù)篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量,可以防止異常大流量沖擊導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。4)加強(qiáng)網(wǎng)絡(luò)和設(shè)備管理,在各網(wǎng)絡(luò)節(jié)點安裝防火墻和殺毒系統(tǒng)實現(xiàn)更嚴(yán)格的訪問控制,以防止非法侵人,針對關(guān)鍵設(shè)備和關(guān)鍵路由采用設(shè)置4A鑒權(quán)、ACL保護(hù)等加固措施。
2.3 終端安全
移動互聯(lián)網(wǎng)的終端安全包括傳統(tǒng)的終端防護(hù)手段、移動終端的保密管理、終端的準(zhǔn)入控制等。
⑴加強(qiáng)移動智能終端進(jìn)網(wǎng)管理。移動通信終端生產(chǎn)企業(yè)在申請入網(wǎng)許可時,要對預(yù)裝應(yīng)用軟件及提供者 進(jìn)行說明,而且生產(chǎn)企業(yè)不得在移動終端中預(yù)置含有惡意代碼和未經(jīng)用戶同意擅自收集和修改用戶個人信息的軟件,也不得預(yù)置未經(jīng)用戶同意擅自調(diào)動終端通信功能、造成流量耗費(fèi)、費(fèi)用損失和信息泄露的軟件。
⑵不斷提高移動互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測處置能力,建設(shè)完善相關(guān)技術(shù)平臺。移動通信運(yùn)營企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測處置能力。
⑶安裝安全客戶端軟件,屏蔽垃圾短信和騷擾電話,監(jiān)控異常流量。根據(jù)軟件提供的備份、刪除功能,將重要數(shù)據(jù)備份到遠(yuǎn)程專用服務(wù)器,當(dāng)用戶的手機(jī)丟失時可通過發(fā)送短信或其他手段遠(yuǎn)程鎖定手機(jī)或者遠(yuǎn)程刪除通信錄、手機(jī)內(nèi)存卡文件等資料,從而最大限度避免手機(jī)用戶的隱私泄露。
⑷借鑒目前定期PC操作系統(tǒng)漏洞的做法,由指定研究機(jī)構(gòu)跟蹤國內(nèi)外的智能終端操作系統(tǒng)漏洞信息,定期官方的智能終端漏洞信息,建設(shè)官方智能終端漏洞庫。向用戶宣傳智能終端安全相關(guān)知識,鼓勵安裝移動智能終端安全軟件,在終端廠商的指導(dǎo)下及時升級操作系統(tǒng)、進(jìn)行安全配置。
3 從產(chǎn)業(yè)鏈角度保障移動互聯(lián)網(wǎng)安全
對于移動互聯(lián)網(wǎng)的安全保障,需要從整體產(chǎn)業(yè)鏈的角度來看待,需要立法機(jī)關(guān)、政府相關(guān)監(jiān)管部門、通信運(yùn)營商、設(shè)備商、軟件提供商、系統(tǒng)集成商等價值鏈各方共同努力來實現(xiàn)。
⑴立法機(jī)關(guān)要緊跟移動互聯(lián)網(wǎng)的發(fā)展趨勢,加快立法調(diào)研工作,在基于實踐和借鑒他國優(yōu)秀經(jīng)驗的基礎(chǔ)上,盡快出臺國家層面的移動互聯(lián)網(wǎng)信息安全法律。在法律層面明確界定移動互聯(lián)網(wǎng)使用者、接入服務(wù)商、業(yè)務(wù)提供者、監(jiān)管者的權(quán)利和義務(wù),明確規(guī)范信息數(shù)據(jù)的采集、保存和利用行為。同時,要加大執(zhí)法力度,嚴(yán)專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net厲打擊移動互聯(lián)網(wǎng)信息安全違法犯罪行為,保護(hù)這一新興產(chǎn)業(yè)持續(xù)健康發(fā)展。
⑵進(jìn)一步加大移動互聯(lián)網(wǎng)信息安全監(jiān)管力度和處置力度。在國家層面建立一個強(qiáng)有力的移動互聯(lián)網(wǎng)監(jiān)管專門機(jī)構(gòu),統(tǒng)籌規(guī)劃,綜合治理,形成“事前綜合防范、事中有效監(jiān)測、事后及時溯源”的綜合監(jiān)管和應(yīng)急處置工作體系;要在國家層面建立移動互聯(lián)網(wǎng)安全認(rèn)證和準(zhǔn)入制度,形成常態(tài)化的信息安全評估機(jī)制,進(jìn)行統(tǒng)一規(guī)范的信息安全評估、審核和認(rèn)證;要建立網(wǎng)絡(luò)運(yùn)營商、終端生產(chǎn)商、應(yīng)用服務(wù)商的信息安全保證金制度,以經(jīng)濟(jì)手段促進(jìn)其改善和彌補(bǔ)網(wǎng)絡(luò)運(yùn)營模式、終端安全模式、業(yè)務(wù)應(yīng)用模式等存在的安全性漏洞。
⑶運(yùn)營商、網(wǎng)絡(luò)安全供應(yīng)商、手機(jī)制造商等廠商,要從移動互聯(lián)網(wǎng)整體建設(shè)的各個層面出發(fā),分析存在的各種安全風(fēng)險,聯(lián)合建立一個科學(xué)的、全局的、可擴(kuò)展的網(wǎng)絡(luò)安全體系和框架。綜合利用各種安全防護(hù)措施,保護(hù)各類軟硬件系統(tǒng)安全、數(shù)據(jù)安全和內(nèi)容安全,并對安全產(chǎn)品進(jìn)行統(tǒng)一的管理,包括配置各相關(guān)安全產(chǎn)品的安全策略、維護(hù)相關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)等。建立安全應(yīng)急系統(tǒng),做到防患于未然。移動互聯(lián)網(wǎng)的相關(guān)設(shè)備廠商要加強(qiáng)設(shè)備安全性能研究,利用集成防火墻或其他技術(shù)保障設(shè)備安全。
⑷內(nèi)容提供商要與運(yùn)營商合作,為用戶提供加密級業(yè)務(wù),并把好內(nèi)容安全之源,采用多種技術(shù)對不合法內(nèi)容和垃圾信息進(jìn)行過濾。軟件提供商要根據(jù)用戶的需求變化,提供整合的安全技術(shù)產(chǎn)品,要提高軟件技術(shù)研發(fā)水平,由單一功能的產(chǎn)品防護(hù)向集中統(tǒng)一管理的產(chǎn)品類型過渡,不斷提高安全防御技術(shù)。
⑸普通用戶要提高安全防范意識和技能,加裝手機(jī)防護(hù)軟件并定期更新,對敏感數(shù)據(jù)采取防護(hù)隔離措施和相關(guān)備份策略,不訪問問題站點、不下載不健康內(nèi)容。
4 結(jié)束語
解決移動互聯(lián)網(wǎng)安全問題是一個復(fù)雜的系統(tǒng)工程,在不斷提高軟、硬件技術(shù)水平的同時,應(yīng)當(dāng)加快互聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)、法規(guī)建設(shè)步伐,加大對互聯(lián)網(wǎng)運(yùn)營監(jiān)管力度,全社會共同參與進(jìn)行綜合防范,移動互聯(lián)網(wǎng)的安全才會有所保障。
[參考文獻(xiàn)]
一波三折
1996-1997年IPv6誕生以后,很多國家都發(fā)起了下一代互聯(lián)網(wǎng)研究計劃,想在新的網(wǎng)絡(luò)空間里掌握更多的主動權(quán)。
但那時,我國互聯(lián)網(wǎng)技術(shù)發(fā)展落后,所以沒有機(jī)會申請大量IP地址,加上國際上沒有大規(guī)模用IPv6組網(wǎng)的經(jīng)驗。面對IPv6海量地址空間帶來挑戰(zhàn)和困難,我國錯失了掌握IPv6發(fā)展主動權(quán)的機(jī)會。
鑒于從IPv4到IPv6發(fā)展是個改朝換代的機(jī)會,據(jù)吳建平介紹,當(dāng)時眾多院士寫信呼吁政府發(fā)起下一代互聯(lián)網(wǎng)研究計劃,經(jīng)過兩年的調(diào)研和論證,國務(wù)院批復(fù)了八個部委向國家申請的啟動中國下一代互聯(lián)網(wǎng)示范工程的計劃,經(jīng)過五年完成了第一階段的工作。包括運(yùn)營商、設(shè)備制造商以及應(yīng)用軟件的開發(fā)商等全國幾百個單位參加了這個工程,20億元國家撥款和30億元自籌,總投資差不多50億元。經(jīng)過五年的時間,在2008年建成了當(dāng)時全球最大的IPv6示范網(wǎng),開發(fā)攻克了一批互聯(lián)網(wǎng)IPv6關(guān)鍵技術(shù)。
那時還制定了發(fā)展路線圖,分為三個階段。第一階段是準(zhǔn)備階段,是在2010年之前。第二階段是過渡階段,是2011-2015年。第三階段是完成階段,是在2016年以后。
“第一階段我們完成得比較漂亮,在國際上處于領(lǐng)先地位,但是第二個階段那五年進(jìn)展不盡如人意,目前我們還處于思考和追趕的階段?!眳墙ㄆ奖硎?。
隨著IPv4地址在全球的分配殆盡,從2013年開始,全球的IPv6網(wǎng)絡(luò)呈現(xiàn)一個比較大的發(fā)展趨勢。從2012―2015年,全世界IPv6流量增長了十倍,人們預(yù)計2018年IPv6流量將會超出IPv4。
最近IETF在新的RFC標(biāo)準(zhǔn)中要求停止新設(shè)備和新擴(kuò)展協(xié)議兼容IPv4,希望未來新協(xié)議全部在IPv6基礎(chǔ)上進(jìn)行優(yōu)化,這就使得IPv6的發(fā)展進(jìn)入了一個快車道。
但在全球互聯(lián)網(wǎng)IPv6用戶數(shù)量的統(tǒng)計結(jié)果上,中國IPv6發(fā)展還是不盡如人意。數(shù)據(jù)顯示,比利時是第一名,美國是第三名,他們的用戶比例都達(dá)到了30%到50%,日本也有15%的用戶,基礎(chǔ)設(shè)施比較落后的印度也有11%的用戶。而中國排名卻不靠前,只有7%的互聯(lián)網(wǎng)用戶。
三方面直擊痛點
吳建平表示,國家的政策一直是持續(xù)鼓勵I(lǐng)Pv6發(fā)展,但在落實過程中卻出現(xiàn)了很多的問題。
今年,國家也兩個文件關(guān)于部署IPv6,一是2016年3月的“十三五”規(guī)劃,要求超前部署下一代互聯(lián)網(wǎng)全面向互聯(lián)網(wǎng)協(xié)議IPv6過渡。另一個是2016年7月份,國家信息化發(fā)展戰(zhàn)略綱要中指出,要加快下一代互聯(lián)網(wǎng)大規(guī)模商用。
吳建平形象地比喻,我們國家的IPv6發(fā)展是起個大早、趕個晚集,并從三個方面直擊痛點。
首先,我國互聯(lián)網(wǎng)發(fā)展起步比較晚,導(dǎo)致我國互聯(lián)網(wǎng)技術(shù)落后。而技術(shù)落后,申請地址就會受限、短缺,地址短缺就會造成用私有地址出口轉(zhuǎn)換成公有地址。眾所周知,地址轉(zhuǎn)換會降低網(wǎng)絡(luò)效率,使互聯(lián)網(wǎng)帶寬低、延遲大、速度慢。一方面是基礎(chǔ)投資不夠,一方面是地址轉(zhuǎn)換產(chǎn)生了很重要的阻力。國內(nèi)用戶養(yǎng)成了即使有公有地址也不一定使用的習(xí)慣。
其次,互聯(lián)網(wǎng)發(fā)展缺乏國際競爭。谷歌、Facebook這些世界頂級的互聯(lián)網(wǎng)提供商,大量的遷移到IPv6上。但我們國家的信息提供商s沒辦法深層次訪問網(wǎng)站。運(yùn)營商和信息提供商互相之間存在抱怨,運(yùn)營商抱怨信息提供商沒有信息服務(wù),用戶沒有訪問資源,信息服務(wù)商抱怨你運(yùn)營用戶過少,發(fā)展的資源沒人用。
最后,國家互聯(lián)網(wǎng)安全監(jiān)管措施成本和代價很高。將整個網(wǎng)絡(luò)從IPv4遷移到IPv6需要重建,而且IPv6本身有端到端的加密功能,這使得我國的安全管理和監(jiān)控有很多困難。
兩點建議解決安全問題
互聯(lián)網(wǎng)安全問題是困擾世界的一大難題。前段時間,美國就出現(xiàn)一次大規(guī)模斷網(wǎng)事件。Twitter、Paypal、Spotify等多個常用的美國網(wǎng)站被迫中斷服務(wù),一半以上美國網(wǎng)站遭到黑客黑手。
近些年,美國對安全問題也非常關(guān)注,了一系列計劃和行動綱要,并寄希望與全球合作來攻關(guān)互聯(lián)網(wǎng)安全問題。
而究竟為什么會出現(xiàn)這么多互聯(lián)網(wǎng)安全問題?
吳建平提出三點。首先是源地址不做認(rèn)證。源地址不認(rèn)證,路由會產(chǎn)生很多問題,DDoS攻擊也是由于源地址。其次,大規(guī)模的域名劫持和假冒。當(dāng)你訪問一個域名時,突然跳轉(zhuǎn)到你不希望去的網(wǎng)站,這些都是由于域名劫持產(chǎn)生的。最后,主干網(wǎng)上信息路由被劫持,這對運(yùn)營商有相當(dāng)大的危害,網(wǎng)絡(luò)很難搞通。
針對互聯(lián)網(wǎng)安全問題,吳建平表示,網(wǎng)絡(luò)空間安全已經(jīng)成為國家重要的戰(zhàn)略需求,掌握互聯(lián)網(wǎng)核心技術(shù)是解決網(wǎng)絡(luò)空間安全問題的“命門”,同時給出了兩點建議。
首先,要解決高水平的人才問題,要靠兩條腿走路。一方面培養(yǎng)一些黑客來解決互聯(lián)網(wǎng)安全問題,另一方面加大高層次的人才培養(yǎng),去設(shè)計安全的互聯(lián)網(wǎng)。
其次,解決網(wǎng)絡(luò)空間安全核心技術(shù)問題,要以IPv6為基礎(chǔ),增加路由源地址驗證和二維網(wǎng)絡(luò)控制,使網(wǎng)絡(luò)更加安全、可信。同時不僅將技術(shù)用于專網(wǎng),也要應(yīng)用在公有互聯(lián)網(wǎng)上。
“基于IPv6源地址驗證的安全可信下一代互聯(lián)網(wǎng)體系結(jié)構(gòu),是拓展網(wǎng)絡(luò)空間和解決網(wǎng)絡(luò)空間安全問題的重要發(fā)展機(jī)遇。”吳建平表示。
IPv6特征
IPv6地址長度為128位,地址空間增大了2的96次方倍。
靈活的IP報文頭部格式, 提高了網(wǎng)絡(luò)的整體吞吐量。使用一系列固定格式的擴(kuò)展頭部取代了IPv4中可變長度的選項字段。IPv6中選項部分的出現(xiàn)方式也有所變化,使路由器可以簡單路過選項而不做任何處理,加快了報文處理速度。
IPv6簡化了報文頭部格式,字段只有8個,加快報文轉(zhuǎn)發(fā),提高了吞吐量。
提高安全性。身份認(rèn)證和隱私權(quán)是IPv6的關(guān)鍵特性。
[關(guān)鍵詞]企業(yè)信息 網(wǎng)絡(luò)安全體系
一、企業(yè)信息網(wǎng)絡(luò)安全現(xiàn)狀概述
進(jìn)入21世紀(jì)后,隨著國內(nèi)信息化程度的快速提高,信息網(wǎng)絡(luò)信息安全越來越多受到關(guān)注,信息網(wǎng)絡(luò)安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)。但是,令人擔(dān)憂的是,雖然眾多的產(chǎn)品和廠商都以信息網(wǎng)絡(luò)安全的概念在提供服務(wù),但其中包含的實際技術(shù)和內(nèi)容卻千差萬別。這樣的情況,一方面對市場和用戶形成了誤導(dǎo),不利于解決用戶的實際信息網(wǎng)絡(luò)安全問題,造成投資浪費(fèi);另一方面也不利于創(chuàng)造良性的競爭環(huán)境,阻遏了信息網(wǎng)絡(luò)安全市場的發(fā)展。
鑒于此,有必要對信息網(wǎng)絡(luò)安全進(jìn)行成體系的理論探討,形成統(tǒng)一的共識和標(biāo)準(zhǔn),這樣才能讓信息網(wǎng)絡(luò)安全產(chǎn)品和廠商真正滿足用戶的需求,解決用戶的實際問題,推動國家信息化的發(fā)展。
二、信息網(wǎng)絡(luò)安全問題的本質(zhì)探討
1.信息網(wǎng)絡(luò)安全問題的形成原因
信息網(wǎng)絡(luò)安全問題的提出跟國家信息化的進(jìn)程息息相關(guān),信息化程度的提高,使得內(nèi)部信息網(wǎng)絡(luò)具備了以下三個特點:
(1)隨著ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及,單位的日程運(yùn)轉(zhuǎn)對內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來越高,信息網(wǎng)絡(luò)已經(jīng)成了各個單位的生命線,對信息網(wǎng)絡(luò)穩(wěn)定性、可靠性和可控性提出高度的要求。
(2)內(nèi)部信息網(wǎng)絡(luò)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成,形成了統(tǒng)一有機(jī)的整體,任何一個部分的安全漏洞或者問題,都可能引發(fā)整個網(wǎng)絡(luò)的癱瘓,對信息網(wǎng)絡(luò)各個具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求。
(3)由于生產(chǎn)和辦公系統(tǒng)的電子化,使得內(nèi)部網(wǎng)絡(luò)成為單位信息和知識產(chǎn)權(quán)的主要載體,傳統(tǒng)的對信息的控制管理手段不再使用,新的信息管理控制手段成為關(guān)注的焦點。
上述三個問題,都是依賴于信息網(wǎng)絡(luò),與信息網(wǎng)絡(luò)的安全緊密相連的,信息網(wǎng)絡(luò)安全受到廣泛的高度重視也就不以為奇。
2.信息網(wǎng)絡(luò)安全問題的威脅模型
相對于信息網(wǎng)絡(luò)安全概念,傳統(tǒng)意義上的網(wǎng)絡(luò)安全更加為人所熟知和理解,事實上,從本質(zhì)來說,傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范互聯(lián)網(wǎng)對信息網(wǎng)絡(luò)的攻擊,即可以說是互聯(lián)網(wǎng)安全,包括傳統(tǒng)的防火墻、入侵檢察系統(tǒng)和VPN都是基于這種思路設(shè)計和考慮的?;ヂ?lián)網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來自于外部網(wǎng)絡(luò),其途徑主要通過內(nèi)互聯(lián)網(wǎng)邊界出口。所以,在互聯(lián)網(wǎng)安全的威脅模型假設(shè)下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個網(wǎng)絡(luò)的安全。
而信息網(wǎng)絡(luò)安全的威脅模型與互聯(lián)網(wǎng)安全模型相比,更加全面和細(xì)致,它即假設(shè)信息網(wǎng)絡(luò)中的任何一個終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來自互聯(lián)網(wǎng),也可能來自信息網(wǎng)絡(luò)的任何一個節(jié)點上。所以,在信息網(wǎng)絡(luò)安全的威脅模型下,需要對內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點和參與者的細(xì)致管理,實現(xiàn)一個可管理、可控制和可信任的信息網(wǎng)絡(luò)。由此可見,相比于互聯(lián)網(wǎng)安全,企業(yè)的信息網(wǎng)絡(luò)安全具有以下特點:
(1)要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系;
(2)要求建立更加細(xì)粒度的安全控制措施,對計算機(jī)終端、服務(wù)器、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對性的管理;
(3)要求對信息進(jìn)行生命周期的完善管理。
三、現(xiàn)有信息網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)分析
自從信息網(wǎng)絡(luò)安全概念提出到現(xiàn)在,有眾多的廠商紛紛自己的信息網(wǎng)絡(luò)安全解決方案,由于缺乏標(biāo)準(zhǔn),這些產(chǎn)品和技術(shù)各不相同,但是總結(jié)起來,應(yīng)該包括監(jiān)控審計類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對這些產(chǎn)品和技術(shù)類型的特性做了簡單的分析和說明。
1.監(jiān)控審計類
監(jiān)控審計類產(chǎn)品是最早出現(xiàn)的信息網(wǎng)絡(luò)安全產(chǎn)品, 50%以上的信息網(wǎng)絡(luò)安全廠商推出的信息網(wǎng)絡(luò)安全產(chǎn)品都是監(jiān)控審計類的。監(jiān)控審計類產(chǎn)品主要對計算機(jī)終端訪問網(wǎng)絡(luò)、應(yīng)用使用、系統(tǒng)配置、文件操作,以及外設(shè)使用等提供集中監(jiān)控和審計功能,并可以生成各種類型的報表。
監(jiān)控審計產(chǎn)品一般基于協(xié)議分析、注冊表監(jiān)控和文件監(jiān)控等技術(shù),具有實現(xiàn)簡單和開發(fā)周期短的特點,能夠在信息網(wǎng)絡(luò)發(fā)生安全事件后,提供有效的證據(jù),實現(xiàn)事后審計的目標(biāo)。監(jiān)控審計類產(chǎn)品的缺點是不能做到事情防范,不能從根本上實現(xiàn)提高信息網(wǎng)絡(luò)的可控性和可管理性。
2.桌面管理類
桌面管理類產(chǎn)品主要針對計算機(jī)終端實現(xiàn)一定的集中管理控制策略,包括外設(shè)管理、應(yīng)用程序管理、網(wǎng)絡(luò)管理、資產(chǎn)管理以及補(bǔ)丁管理等功能,這類型產(chǎn)品通常跟監(jiān)控審計產(chǎn)品有類似的地方,也提供了相當(dāng)豐富的審計功能,
桌面監(jiān)控審計類產(chǎn)品除了使用監(jiān)控審計類產(chǎn)品的技術(shù)外,還可能需要對針對Windows系統(tǒng)使用鉤子技術(shù),對資源進(jìn)行控制,總體來說,技術(shù)難度也不是很大。桌面監(jiān)控審計類產(chǎn)品實現(xiàn)了對計算機(jī)終端資源的有效管理和授權(quán),其缺點不能實現(xiàn)對信息網(wǎng)絡(luò)信息數(shù)據(jù)提供有效的控制。
3.文檔加密類
文檔加密類產(chǎn)品也是信息網(wǎng)絡(luò)安全產(chǎn)品中研發(fā)廠商相對較多的信息網(wǎng)絡(luò)安全產(chǎn)品類型,其主要解決特定格式主流文檔的權(quán)限管理和防泄密問題,可以部分解決專利資料、財務(wù)資料、設(shè)計資料和圖紙資料的泄密問題。
文檔加密技術(shù)一般基于文件驅(qū)動和應(yīng)用程序的API鉤子技術(shù)結(jié)合完成,具有部署靈活的特點。但是,因為文檔加密技術(shù)基于文件驅(qū)動鉤子、臨時文件和API鉤子技術(shù),也具有軟件兼容性差、應(yīng)用系統(tǒng)適應(yīng)性差、安全性不高以及維護(hù)升級工作量大的缺點。
4.文件加密類
文件加密類產(chǎn)品類型繁多,有針對單個文件加密,也有針對文件目錄的加密,但是總體來說,基本上是提供了一種用戶主動的文件保護(hù)措施。
文件加密類產(chǎn)品主要基于文件驅(qū)動技術(shù),不針對特定類型文檔,避免了文檔加密類產(chǎn)品兼容性差等特點,但是由于其安全性主要依賴于使用者的喜好和習(xí)慣,難以實現(xiàn)對數(shù)據(jù)信息的強(qiáng)制保護(hù)和控制。
5.磁盤加密類
磁盤加密類產(chǎn)品在磁盤驅(qū)動層對部分或者全部扇區(qū)進(jìn)行加密,對所有文件進(jìn)行強(qiáng)制的保護(hù),結(jié)合用戶或者客戶端認(rèn)證技術(shù),實現(xiàn)對磁盤數(shù)據(jù)的全面保護(hù)。
磁盤加密技術(shù)由于基于底層的磁盤驅(qū)動和內(nèi)核驅(qū)動技術(shù),具有技術(shù)難度高、研發(fā)周期長的特點。此外,由于磁盤加密技術(shù)對于上層系統(tǒng)、數(shù)據(jù)和應(yīng)用都是透明的,要實現(xiàn)比較好的效果,必須結(jié)合其他信息網(wǎng)絡(luò)安全管理控制措施。
四、構(gòu)建完整的信息網(wǎng)絡(luò)安全體系
從前面的介紹可以看出,上述的信息網(wǎng)絡(luò)安全產(chǎn)品,都僅僅解決了信息網(wǎng)絡(luò)安全部分的問題,并且由于其技術(shù)的限制,存在各自的缺點。事實上,要真正構(gòu)建一個可管理、可信任和可控制的信息網(wǎng)絡(luò)安全體系,應(yīng)該統(tǒng)一規(guī)劃,綜合上述各種技術(shù)的優(yōu)勢,構(gòu)建整體一致的信息網(wǎng)絡(luò)安全管理平臺。
根據(jù)上述分析和信息網(wǎng)絡(luò)安全的特點,一個整體一致的信息網(wǎng)絡(luò)安全體系,應(yīng)該包括身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計四個方面,并且,這四個方面應(yīng)該是緊密結(jié)合、相互聯(lián)動的統(tǒng)一平臺,才能達(dá)到構(gòu)建可信、可控和可管理的安全信息網(wǎng)絡(luò)的效果。
身份認(rèn)證是信息網(wǎng)絡(luò)安全管理的基礎(chǔ),不確認(rèn)實體的身份,進(jìn)一步制定各種安全管理策略也就無從談起。信息網(wǎng)絡(luò)的身份認(rèn)證,必須全面考慮所有參與實體的身份確認(rèn),包括服務(wù)器、客戶端、用戶和主要設(shè)備等。其中,客戶端和用戶的身份認(rèn)證尤其要重點關(guān)注,因為他們具有數(shù)量大、環(huán)境不安全和變化頻繁的特點。
授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的,其主要對內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán),確定“誰”能夠在那些“計算機(jī)終端或者服務(wù)器”使用什么樣的“資源和權(quán)限”。授權(quán)管理的信息資源應(yīng)該盡可能全面,應(yīng)該包括終端使用權(quán)、外設(shè)資源、網(wǎng)絡(luò)資源、文件資源、服務(wù)器資源和存儲設(shè)備資源等。
數(shù)據(jù)保密是信息網(wǎng)絡(luò)信息安全的核心,其實質(zhì)是要對信息網(wǎng)絡(luò)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理,構(gòu)建信息和數(shù)據(jù)安全可控的使用、存儲和交換環(huán)境,從而實現(xiàn)對信息網(wǎng)絡(luò)核心數(shù)據(jù)的保密和數(shù)字知識產(chǎn)權(quán)的保護(hù)。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣,所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無關(guān)性。
監(jiān)控審計是信息網(wǎng)絡(luò)安全不可缺少的輔助部分,可以實現(xiàn)對信息網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)控,提供信息網(wǎng)絡(luò)安全狀態(tài)的評估報告,并在發(fā)生信息網(wǎng)絡(luò)安全事件后實現(xiàn)有效的取證。
需要再次強(qiáng)調(diào)的是,上述四個方面,必須是整體一致的,如果只簡單實現(xiàn)其中一部分,或者只是不同產(chǎn)品的簡單堆砌,都難以建立和實現(xiàn)有效信息網(wǎng)絡(luò)安全管理體系。
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:CSCD期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:省級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:部級期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級別:省級期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)