公務員期刊網 論文中心 正文

移動互聯(lián)網時代網絡安全趨勢分析

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了移動互聯(lián)網時代網絡安全趨勢分析范文,希望能給你帶來靈感和參考,敬請閱讀。

移動互聯(lián)網時代網絡安全趨勢分析

一、大數(shù)據(jù)時代的互聯(lián)網安全邊界

根據(jù)互聯(lián)網數(shù)據(jù)中心(IDC)數(shù)據(jù)顯示,目前互聯(lián)網上的數(shù)據(jù)每年增長50%,每兩年翻一番,全球互聯(lián)網90%以上的數(shù)據(jù)是最近幾年才產生的??梢哉f,人類已經走入了大數(shù)據(jù)時代。最早洞見大數(shù)據(jù)時代的數(shù)據(jù)科學家維克托•邁克•舍恩伯格在《大數(shù)據(jù)時代》一書中曾指出:大數(shù)據(jù)帶給人類生活的益處是多方面的,不僅是人們獲得新認知、創(chuàng)造新價值的源泉,還是改變市場、組織結構以及政府與公民關系的方法。但他同時也指出大數(shù)據(jù)相比傳統(tǒng)互聯(lián)網,會給網絡安全帶來更多威脅,給用戶隱私帶來更大挑戰(zhàn)。1.無處不在的“老大哥”,不斷挑戰(zhàn)傳統(tǒng)隱私保護法大數(shù)據(jù)技術給數(shù)據(jù)使用的隱私問題帶來了新挑戰(zhàn)。對于企業(yè)來說,大數(shù)據(jù)時代,企業(yè)決策從“業(yè)務驅動”轉變?yōu)椤皵?shù)據(jù)驅動”,企業(yè)需要遵守更嚴格的安全標準和保密規(guī)定,對數(shù)據(jù)存儲與使用的安全性和隱私性要求由此提高。對于個人而言,大數(shù)據(jù)時代,個人數(shù)據(jù)是一種信息資產,但這種資產卻在用戶不知情的情況下被收集、分析,以正當或不正當?shù)姆绞接靡阅怖?,個人生活似乎時刻被置于“老大哥”的監(jiān)視之下,隱私安全受到了巨大挑戰(zhàn)。2.信息脫敏和分級:看似無解的數(shù)據(jù)使用與隱私保護的邊界數(shù)據(jù)共享是大數(shù)據(jù)的現(xiàn)實價值,但隱私保護又關系到公民個體和國家整體的安全。如何平衡大數(shù)據(jù)使用和隱私保護是亟待解決的問題。傳統(tǒng)的隱私規(guī)范采用“告知與許可”原則,即讓人們自主決定是否、如何以及經由誰來處理他們的信息,這就意味著將個人隱私保護的責任推給了用戶個體,由他們自主決定。但在大數(shù)據(jù)時代,由于信息存在被二次使用的情況,“告知與許可”原則就顯得缺乏現(xiàn)實的可行性,學者因此提出應改變傳統(tǒng)的隱私保護體系,將隱私保護的責任由公民個體轉移到數(shù)據(jù)使用者身上,即由數(shù)據(jù)使用者為其行為承擔責任,而非停留于收集數(shù)據(jù)之初的是否取得個人同意。圍繞這一原則,相關學者目前又提出了數(shù)據(jù)脫敏技術和數(shù)據(jù)分類分級等一系列具體的隱私保護手段。信息脫敏技術是指將數(shù)據(jù)脫敏為不含用戶隱私的測試用數(shù)據(jù)。但是由于結構化數(shù)據(jù)在大數(shù)據(jù)時代關聯(lián)性非常緊密,使得單個數(shù)據(jù)集的脫敏不能解決兩個各自不敏感數(shù)據(jù)集放在一起就變?yōu)槊舾袛?shù)據(jù)集這類的問題,因此需要針對具體行業(yè)和具體問題開發(fā)、采用不同的脫敏技術。數(shù)據(jù)分類分級從隱私安全與保護成本的角度出發(fā),對數(shù)據(jù)進行分類和等級劃分,進而根據(jù)不同需要對關鍵數(shù)據(jù)進行重點防護。但是傳統(tǒng)的數(shù)據(jù)分級對于大數(shù)據(jù)時代來說過于粗放,許多研究機構正在探索進一步細化可行的分級標準。

二、互聯(lián)網安全立法規(guī)劃被提上日程

互聯(lián)網信息安全不僅與每個公民的日常生活息息相關,更事關互聯(lián)網行業(yè)的健康發(fā)展和整個國家的安全。然而,目前我國在互聯(lián)網安全立法方面存在缺乏系統(tǒng)完善的法律體系、立法過程各自為政、缺乏民主參與、互聯(lián)網安全立法滯后于互聯(lián)網產業(yè)發(fā)展需要等問題。面對大數(shù)據(jù)、云計算、在線支付等新技術新業(yè)務帶來的信息資產歸屬、隱私保護、數(shù)據(jù)使用權限等新興網絡安全問題,亟待制定一部對我國互聯(lián)網安全問題做出全面規(guī)定的專門法律,并以此為基礎,調整和完善我國現(xiàn)行的網絡安全法律體系。

1.系統(tǒng)完善的互聯(lián)網安全法律體系是保障

我國互聯(lián)網方面的立法與發(fā)達國家相比,起步較晚,缺乏相關立法經驗,造成我國與互聯(lián)網安全方面的法律體系不健全。我國互聯(lián)網立法始于20世紀80年代,90年代后網絡安全逐漸成為其中的重要內容。目前有關互聯(lián)網安全保護的法律法規(guī)主要包括四個層次:一是廣義上的專門立法,指全國人大常委會、國務院及其有關業(yè)務主管部門針對網絡安全和網絡管理頒布的法律、法規(guī)、部門規(guī)章等,其中屬于國家法律的有《電子簽名法》,帶有國家法律性質的全國人大常委會決定有《全國人民代表大會常務委員會關于維護互聯(lián)網安全的決定》和《全國人民代表大會常務委員會關于加強網絡信息保護的決定》,行政法規(guī)包括《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網絡國際聯(lián)網安全保護管理辦法》等;二是《侵權責任法》《專利法》《刑法》等其他法律中涉及到互聯(lián)網安全的相關內容,如《刑法》在1997年的修訂版中增加了侵入計算機系統(tǒng)犯罪的定罪處罰規(guī)定,2009年修正案中增加了“出售、非法提供公民個人信息罪”等;三是最高人民法院、最高人民檢察院的司法解釋,如:《關于辦理利用互聯(lián)網、移動通信終端、聲訊臺制作、復制、出版、販賣、傳播淫穢電子信息刑事案件具體應用法律若干問題的解釋》《關于辦理利用信息網絡實施誹謗等刑事案件適用法律若干問題的解釋》;四是地方性法規(guī)、規(guī)章或規(guī)范性文件規(guī)定。

2.立法過程應引入多元參與機制,考慮網絡用戶群體的切身利益

由于我國在網絡安全立法中缺乏一部系統(tǒng)全面的全國性法律,相關法律法規(guī)散見于其他法律、行政法規(guī)和地方性規(guī)制中。而部門規(guī)章幾乎都是各行政部門根據(jù)自己職責范圍內的管理內容,出臺的部門規(guī)章,目的在于方便管理?,F(xiàn)行法律法規(guī)在對互聯(lián)網安全的理解上都是從不同部門自身職責出發(fā),從各自專業(yè)領域認識,而缺乏統(tǒng)一和全局的界定。要想建立健全互聯(lián)網安全的相關法律體系,就必須首先厘清現(xiàn)行網絡安全法律淵源的層級關系,消除效力位階沖突,細化網絡安全法律制度及程序規(guī)則。此外,在互聯(lián)網安全的立法過程中,可以通過召開聽證會等形式廣泛聽取公眾的意見,增強對網絡安全立法的科學性與普適性。

3.互聯(lián)網安全立法逐步強化前置立法

近年來我國互聯(lián)網產業(yè)發(fā)展迅速,微信支付、二維碼掃描支付等成為金融服務的新領域,物聯(lián)網和智能硬件伸向千家萬戶的客廳和臥室,云計算技術使得大量用戶數(shù)據(jù)從個人電腦轉移到云端……但與互聯(lián)網產業(yè)發(fā)展中出現(xiàn)的新業(yè)務和新技術形成鮮明對比的是,目前有的互聯(lián)網安全立法內容已顯陳舊和滯后:首先,我國現(xiàn)行的網絡安全法律法規(guī)的制定時間停留于十幾年甚至二十年前,如《中華人民共和國計算機信息系統(tǒng)安全保護條例》制定于1994年,《計算機信息網絡國際聯(lián)網安全保護管理辦法》制定于年,《關于維護互聯(lián)網安全的決定》制定于2000年,《互聯(lián)網出版管理暫行規(guī)定》制定于2002年,《中華人民共和國電子簽名法》制定于2004年;其次,一些法律法規(guī)的內容針對特定時期的特定問題,尤其對于互聯(lián)網金融繁榮下的經濟安全、用戶生產內容時代的網絡版權問題以及大數(shù)據(jù)、云計算和物聯(lián)網平臺中的信息數(shù)據(jù)所有權等新興安全問題幾乎沒有涉及,因此這些法律法規(guī)難以在當下的移動互聯(lián)網時代有效發(fā)揮安全管理的作用,也無法適應維護新時期互聯(lián)網安全的需要。

三、移動互聯(lián)網安全是未來網絡安全的主戰(zhàn)場

移動互聯(lián)網是移動通信技術與互聯(lián)網技術結合的產物,在繼承二者優(yōu)勢的同時也加劇了安全風險。移動互聯(lián)網的安全威脅主要來自三個方面:用戶終端、網絡和應用。

1.手機成為人體的一部分:移動終端私密性挑戰(zhàn)用戶隱私

隨著通信技術的發(fā)展,內存和芯片處理能力越來越強,移動終端日趨智能化、開放化。這些終端設備,兼具通訊、上網、辦公、娛樂等多種功能,逐漸發(fā)展成為用戶日常通訊中心、辦公中心、交易中心、娛樂中心。在給人們生活帶來便利的同時,移動終端也出現(xiàn)了新的安全威脅,如不法分子會利用手機操作系統(tǒng)的弱點進行病毒和惡意代碼的植入。由于移動終端不斷拓展的業(yè)務功能承載著巨大的商業(yè)價值,因此移動終端相較于傳統(tǒng)終端,更容易吸引攻擊者。同時,移動終端的屬性更加貼近個人生活,相比傳統(tǒng)互聯(lián)網,移動互聯(lián)網私密性更強,服務過程中會發(fā)生大量的用戶信息(如支付信息、通信信息、計費信息、位置信息等),這些給用戶的隱私保護帶來巨大挑戰(zhàn),也增加了網絡信息犯罪的危害性。

2.惡意應用程序會日益加重移動互聯(lián)網的多元業(yè)務是吸引

網絡用戶的主要方式。移動應用市場的繁榮吸引了巨大的用戶群,同時暗藏著更多更大的安全威脅。針對應用的安全攻擊,方式更加多樣,危害規(guī)模也更廣,主要包括:針對業(yè)務載體的后門木馬,對業(yè)務和數(shù)據(jù)進行非法訪問;針對業(yè)務信息的垃圾、不良信息大規(guī)模傳播,個人隱私泄露,版權盜用;針對業(yè)務模式的惡意訂購等。國家網絡與信息安全技術研究所抽樣檢測了80余萬個安卓平臺移動應用樣本,累計發(fā)現(xiàn)7582個移動惡意應用,總下載量近1億次。此外,在巨大經濟利益的誘導下,針對智能應用程序的安全漏洞挖掘將增多,移動互聯(lián)網0-day漏洞數(shù)量還將繼續(xù)增長,這些漏洞一旦被黑客利用,現(xiàn)有殺毒軟件也無法察覺,這進一步加劇了移動應用的使用風險。移動應用商店的安全審核機制存在很大漏洞,大量應用商店缺乏對應用產品的安全監(jiān)測,安全準入門檻低,導致惡意應用潛藏其中。此外,安卓移動應用盈利模式也是導致惡意應用滋生的重要原因。目前大部分安卓應用是免費應用,其盈利模式主要包括:嵌入廣告或灰色產業(yè),免費應用的盈利模式是惡意應用產生的經濟誘因之一。嵌入廣告是指開發(fā)者在開發(fā)應用時調用廣告平臺提供的接口創(chuàng)建嵌入式的廣告,用戶在使用這類應用時如果點擊了嵌入廣告,廣告平臺即會支付開發(fā)者相應的費用。嵌入廣告的安全問題主要是惡意推廣,為了賺取更多利潤,惡意推廣在用戶不知情的情況下直接在后臺訪問廣告鏈接或自動下載其他應用,在廣告平臺騙取利益的同時也造成了用戶流量的損耗?;疑a業(yè)是指開發(fā)者故意開發(fā)出具有惡意扣費、竊取隱私等行為的惡意應用,通過惡意扣費分成、隱私信息販賣等方式牟取暴利。

3.移動互聯(lián)網用戶安全意識會進一步提升

目前,我國擁有手機網民5.27億,但這些用戶在性別、年齡、學歷等方面的結構復雜,導致我國用戶在移動互聯(lián)網的安全意識和安全行為呈現(xiàn)參差不齊的現(xiàn)象:首先,大量用戶使用習慣存在著潛在的安全隱患,如在不同的電子商務網站或SNS平臺使用相同的賬戶名和密碼設置,在網絡上隨意泄露自己的個人信息,讓不法分子有機可乘;其次,并非所有用戶都能意識到安全問題的發(fā)生,很多用戶對已發(fā)生的網絡安全問題漠不關心、毫不知情,有些用戶在遭遇安全事件以后,選擇不讓外人知道,而非向他人預警;此外,對于個體用戶而言,不可能有足夠的專業(yè)知識和精力去關注可能給自己系統(tǒng)帶來威脅的安全漏洞,普通用戶的專業(yè)知識不足,與黑客高超的隱蔽技術形成對比,加劇了網絡安全的風險。因此需要權威信息的引導和第三方專業(yè)機構的協(xié)助。而我國目前在互聯(lián)網安全的用戶引導方面還相對欠缺,大量用戶缺乏權威機構的安全使用指導。

四、智能硬件興起后的物聯(lián)網安全形勢更加復雜

萬物互聯(lián)是未來的發(fā)展趨勢。網絡連接不僅發(fā)生在信息化設備領域,同時也在向工業(yè)控制系統(tǒng)、醫(yī)療器械、辦公及家用設備領域延伸,隨著可穿戴設備、智能汽車、智能家居、智能電網等智能設備和移動終端的快速普及,物聯(lián)網時代正在向我們走來。但是,作為一種新興技術,物聯(lián)網技術尚處于發(fā)展過程中,其潛在的漏洞缺陷可能成為黑客網絡攻擊的下一個入口;同時萬物互聯(lián)時代,節(jié)點和數(shù)據(jù)的規(guī)模遠遠超出了傳統(tǒng)互聯(lián)網安全防御的邊界。物聯(lián)網安全和用戶隱私問題給物聯(lián)網的建設和普及帶來了挑戰(zhàn)。2013年,美國“黑帽安全技術大會”上出現(xiàn)了“冰箱僵尸網絡”等十多項針對智能家電、汽車控制系統(tǒng)等職能終端設備的惡意攻擊技術展示,物聯(lián)網的脆弱性將伴隨其應用和發(fā)展而更加凸顯。

1.感知層:分散式終端泄露用戶隱私,智能硬件成重災區(qū)

物聯(lián)網使網絡終端延伸到生活的各個領域,物聯(lián)網中包含著大量的隱私數(shù)據(jù),從個人身份信息,到位置信息,再到消費信息等等。分散式的智能終端是物聯(lián)網感知層的重要組成部分,其安全威脅包括操作系統(tǒng)缺陷、惡意軟件和“僵尸網絡”等等,對用戶個人隱私、在線支付中的財產安全等構成直接威脅。在操作系統(tǒng)缺陷方面,由于安卓系統(tǒng)目前已成為智能設備的主流操作平臺,針對安卓系統(tǒng)的攻擊威脅會從移動互聯(lián)網蔓延至物聯(lián)網領域。安卓系統(tǒng)具有開放性、大眾化的特點,幾乎所有的安卓手機都存在重大驗證漏洞,黑客可以通過未加密的無線網絡竊取用戶數(shù)字證書。2014年,企業(yè)安全公司Proof⁃point報告指出,從2013年12月23日到2014年1月6日,全球有超過10萬臺的互聯(lián)網智能終端在兩周時間內發(fā)送了75萬封“釣魚”郵件。這個“僵尸網絡”中包括了大量媒體播放器、智能電視機以及1臺冰箱。攻擊者利用了默認管理密碼和其他錯誤的配置,以及舊版本Linux上的高危軟件漏洞,創(chuàng)建了一個由PC和智能家電構成的“僵尸網絡”。移動“僵尸網絡”的出現(xiàn)對用戶的個人隱私、財產、銀行卡密碼等重要信息構成直接威脅。由于物聯(lián)網終端是分散的,使得傳統(tǒng)的防火墻等集中式的防護模式可能不再有用,加劇了物聯(lián)網終端設備的使用風險。

2.傳輸層:異構網絡帶來的安全問題比移動網絡更突出

物聯(lián)網中存在著海量的節(jié)點和海量的數(shù)據(jù),當傳輸網絡面臨著以集群方式存在的數(shù)據(jù)傳輸需求時,容易出現(xiàn)核心網絡擁塞。黑客很容易利用傳輸層數(shù)據(jù)量龐大帶來的挑戰(zhàn),制造拒絕服務(DoS)攻擊。此外,由于物聯(lián)網傳輸層是由不同架構的網絡集結而成,除存在各自網絡所固有的安全需求外,在相互連接的時候面臨異構網絡網間安全、安全協(xié)議的無縫銜接等一系列新的安全問題,容易遭到DoS攻擊、中間人攻擊、異步攻擊、合謀攻擊,導致節(jié)點喪失運行能力。因此,構建高柔性免受攻擊的異構網絡安全防護的關鍵技術和方法,是物聯(lián)網傳輸層必須關注的重要問題。

3.應用層:用戶更私密的個人信息使用與保護的形勢更加嚴峻

當感應層接收的信息通過傳輸網絡到達應用層時,海量用戶信息如何應用,是物聯(lián)網面臨的又一挑戰(zhàn)。物聯(lián)網應用層集合了大量個體用戶的隱私數(shù)據(jù),包括健康狀況、通訊數(shù)據(jù)、位置數(shù)據(jù)、消費習慣等。同時還儲存了海量的電網、交通等等國家、行業(yè)敏感信息數(shù)據(jù)。以健康數(shù)據(jù)為例,隨著智能硬件和可穿戴設備的發(fā)展和普及,除了用戶對產品的使用行為、健康信息等用戶個人數(shù)據(jù)也會被智能設備采集,并上傳至云端。健康數(shù)據(jù)不僅是用戶重要的個人隱私,也是用戶的信息資源,但是當海量數(shù)據(jù)集中后,如果對數(shù)據(jù)的使用權限不加管理,如果沒有相關法律對公民個人的信息資產加以界定,極有可能出現(xiàn)圍繞個人的健康數(shù)據(jù)產生一個利益鏈條,而用戶卻對商家利用自己隱私數(shù)據(jù)牟利的情況毫不知情。據(jù)報道,國外已經發(fā)生某些公司或網絡黑客將用戶健康數(shù)據(jù)販賣至醫(yī)藥企業(yè)、保險公司的案例。因此,在大數(shù)據(jù)和云計算時代,如何使用這些信息,不僅需要制定通用的隱私保護和信息安全政策,還需要針對特定行業(yè)考慮具體的數(shù)據(jù)使用權限問題。有學者提出在物聯(lián)網應用層應該加強數(shù)據(jù)庫訪問控制,對不同的訪問用戶可根據(jù)其安全級別或身份不同限制其權限和操作,對不同的應用場景可采取認證機制和加密機制。

作者:喻國明 單位:長江學者 中國人民大學新聞學院教授 中國人民大學新聞與社會發(fā)展研究中心主任 中國傳媒經濟與管理學會會長