2012年網(wǎng)絡(luò)與信息安全熱點展望

中國產(chǎn)業(yè)研究報告網(wǎng)訊：

    內(nèi)容提要：雖然我國已經(jīng)充分意識到網(wǎng)絡(luò)空間的重要地位，但是至今仍然缺少一部網(wǎng)絡(luò)空間信息安全國家戰(zhàn)略，用于明確我國應(yīng)對網(wǎng)絡(luò)空間安全的態(tài)度、核心利益、可能的應(yīng)對手段等，以規(guī)劃網(wǎng)絡(luò)空間相關(guān)行動。因此期待2012年我國能出臺網(wǎng)絡(luò)空間信息安全國家戰(zhàn)略。

    2012-2016年中國網(wǎng)絡(luò)文學(xué)市場運營態(tài)勢與投資前景預(yù)測研究報告  

    (1) 網(wǎng)絡(luò)空間安全將得到國家層面關(guān)注，期待出臺信息安全國家戰(zhàn)略2011年5月16日，美國白宮發(fā)布由總統(tǒng)奧巴馬簽署的《網(wǎng)絡(luò)空間國際戰(zhàn)略》中包括：在網(wǎng)絡(luò)安全領(lǐng)域增進合作，增強美國及全球互聯(lián)網(wǎng)的安全性、可靠性及靈活性；在執(zhí)法領(lǐng)域加強網(wǎng)絡(luò)立法和執(zhí)行力度，提高全球打擊網(wǎng)絡(luò)犯罪的能力；在軍事領(lǐng)域與盟友通力合作，提高盟友應(yīng)對網(wǎng)絡(luò)威脅的能力，并確保美國軍用網(wǎng)絡(luò)的安全；在互聯(lián)網(wǎng)管理領(lǐng)域加強各國間的溝通交流，保障全球網(wǎng)絡(luò)系統(tǒng)包括域名系統(tǒng)的穩(wěn)定和安全；在國際發(fā)展領(lǐng)域援助合作伙伴構(gòu)建“數(shù)字基礎(chǔ)設(shè)施”，幫助他們提高抵御網(wǎng)絡(luò)威脅的能力；在網(wǎng)絡(luò)自由方面加強保護隱私，促進網(wǎng)絡(luò)表達自由、集會自由及結(jié)社自由等。

    可以看到，美國已經(jīng)從戰(zhàn)略層面關(guān)注網(wǎng)絡(luò)空間主權(quán)及其安全，并采取行動。實際上，美國從1998年開始，已經(jīng)分4個階段全面布局，出臺了一系列政策和規(guī)劃，保護網(wǎng)絡(luò)空間安全：第一階段自1 9 9 8 年開始， 出臺了《關(guān)鍵基礎(chǔ)設(shè)施保護政策（P0063）》以及《關(guān)于保護信息系統(tǒng)的國家計劃》，重點保護關(guān)鍵信息基礎(chǔ)設(shè)施；第二階段自2 0 0 2 年開始， 出臺了《國土安全國家戰(zhàn)略規(guī)劃》以及《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》，正式給網(wǎng)絡(luò)空間賦予了國家戰(zhàn)略意義，將信息基礎(chǔ)設(shè)施保護上升到網(wǎng)絡(luò)空間安全保護；第三階段自2 0 0 8 年開始， 出臺了《國家網(wǎng)絡(luò)安全綜合綱領(lǐng)》，網(wǎng)絡(luò)空間戰(zhàn)略由深度防御過渡到了綜合行動，網(wǎng)絡(luò)威懾、網(wǎng)絡(luò)行動配合軍事威脅、軍事行動，構(gòu)成美國信軍事戰(zhàn)略的核心內(nèi)容；第四階段自2 0 1 1 年開始， 出臺了《網(wǎng)絡(luò)空間國家戰(zhàn)略》以及《網(wǎng)絡(luò)空間行動戰(zhàn)略》，由國內(nèi)信息保障過渡到國際治理，標(biāo)志著美國政府網(wǎng)絡(luò)空間戰(zhàn)略中心開始由國內(nèi)轉(zhuǎn)向國外，網(wǎng)絡(luò)戰(zhàn)爭被正式賦予法律依據(jù)。

    至此，美國政府已經(jīng)將網(wǎng)絡(luò)空間與陸、海、空、天并列，成為美國主權(quán)疆域。

    種種事實已經(jīng)充分說明，為了實現(xiàn)網(wǎng)絡(luò)空間戰(zhàn)略由計劃上升為具備實戰(zhàn)能力，西方大國及其盟友將以其研發(fā)的網(wǎng)絡(luò)武器為基礎(chǔ)，主導(dǎo)國際網(wǎng)絡(luò)空間的軍事事務(wù)，并對他國形成非常規(guī)的網(wǎng)絡(luò)軍事威懾，必要時甚至動用常規(guī)武器，對他國的網(wǎng)絡(luò)目標(biāo)甚至關(guān)鍵信息基礎(chǔ)設(shè)施實施打擊和摧毀。為了應(yīng)對網(wǎng)絡(luò)戰(zhàn)爭的現(xiàn)實威脅，各國紛紛組建網(wǎng)絡(luò)戰(zhàn)部隊、研發(fā)網(wǎng)絡(luò)戰(zhàn)爭武器，為未來可能爆發(fā)的網(wǎng)絡(luò)戰(zhàn)爭加緊進行實戰(zhàn)準(zhǔn)備工作。

    雖然我國已經(jīng)充分意識到網(wǎng)絡(luò)空間的重要地位，但是至今仍然缺少一部網(wǎng)絡(luò)空間信息安全國家戰(zhàn)略，用于明確我國應(yīng)對網(wǎng)絡(luò)空間安全的態(tài)度、核心利益、可能的應(yīng)對手段等，以規(guī)劃網(wǎng)絡(luò)空間相關(guān)行動。因此期待2012年我國能出臺網(wǎng)絡(luò)空間信息安全國家戰(zhàn)略。

    (2)個人數(shù)據(jù)保護將得到空前關(guān)注，隱私安全狀況有望改善個人隱私泄露事件每年都有，但是2011年似乎尤其多。2011年3月，知名信息安全企業(yè)H b g a ry公司CEO的數(shù)千封Gmail郵件泄露，涉及美國政府部門和包括美洲銀行、高盛、強生等多家500強公司；4月，全球最大電子郵件營銷公司E p s i l on遭到攻擊，導(dǎo)致至少39家大型企業(yè)用戶郵件地址外泄；同月，索尼公司遭黑客攻擊，引發(fā)史上最嚴重的消費者資料泄露事故；7月，韓國三大門戶網(wǎng)站之一N a t e和社交網(wǎng)站“賽我網(wǎng)”遭黑客攻擊，3 500萬用戶信息被泄露；11月，國內(nèi)著名的電子商務(wù)網(wǎng)站當(dāng)當(dāng)網(wǎng)被曝存在嚴重系統(tǒng)漏洞，個人可以輕易抓取到4 000萬用戶的姓名、聯(lián)系方式、地址等詳細資料。

    2011年12月，網(wǎng)絡(luò)上爆出更加嚴重的用戶密碼外泄事件。12月21日，一份名為“C S D N-中文I T社區(qū)-600萬.r ar”的文件在互聯(lián)網(wǎng)上瘋傳。此文件包含643萬用戶數(shù)據(jù)，包括ID、明文密碼以及郵件地址，經(jīng)確認絕大多數(shù)數(shù)據(jù)是CSDN早期用戶信息。此后網(wǎng)絡(luò)上又爆出天涯3 100萬賬號、人人網(wǎng)476萬賬號、網(wǎng)易土木論壇的4.3 GB數(shù)據(jù)、太平洋電腦網(wǎng)200萬數(shù)據(jù)、多玩的830萬數(shù)據(jù)等。其后又有網(wǎng)友爆出，交通銀行和民生銀行也“中箭”，大量儲戶卡號和密碼泄露。上述敏感信息有真有假，可能源于黑客攻擊、內(nèi)鬼出售、撞庫等手段，也有部分數(shù)據(jù)庫完全是偽造的，難以一一查實，但是毫無疑問，數(shù)千萬、甚至上億用戶的敏感信息被出售、非法利用。密碼泄露事件愈演愈烈 。

    當(dāng)前互聯(lián)網(wǎng)以及現(xiàn)實生活中大多使用用戶名和密碼來認證。每個人都需要管理少則十幾個、多則幾十個用戶名和密碼組合。對于絕大多數(shù)用戶而言，記住不同的用戶名，并且為每個用戶名設(shè)置足夠復(fù)雜的密碼幾乎是一件不可能完成的任務(wù)。因此多數(shù)用戶在不同的場合使用相同的用戶名及密碼。用戶在某一個防護水平較低的小網(wǎng)站中的用戶名／密碼被盜取或出售后，可能導(dǎo)致全線崩潰，防護很強的大網(wǎng)站中的用戶信息、虛擬財產(chǎn)也可能因為類似的用戶名和密碼而丟失。

    實際上， 個人隱私信息被泄露的事件每年都有：樓盤業(yè)主信息、用戶通話詳單、企業(yè)負責(zé)人聯(lián)系信息等被明碼標(biāo)價的情況也常見到，但是一直以來都沒有得到足夠的重視。據(jù)分析，此次泄露的用戶密碼數(shù)據(jù)庫是幾年前的數(shù)據(jù)庫，已經(jīng)被層層利用，幾乎榨干了最后的剩余價值。因此這樣的數(shù)據(jù)庫被曝到網(wǎng)上，從某種意義上來說應(yīng)該是一件好事：首先能夠提醒用戶加強對密碼設(shè)置的重視程度；其次能提醒保存著用戶信息的企業(yè)提高警惕，加強防范；第三能夠促進有關(guān)部門對保存了大量用戶信息的網(wǎng)站加強監(jiān)管。

    此外， 結(jié)合當(dāng)前手機實名制的推進，微博實名制的實施和進展以及未來可能推出的網(wǎng)絡(luò)身份證，我們不禁要問：我們的個人信息會存放在哪里？收錄我們個人信息的企業(yè)需要履行什么樣的義務(wù)？誰有權(quán)查閱我們的個人信息？查閱個人信息需要有誰的授權(quán)？可以預(yù)期，2012年將是全社會關(guān)注個人信息保護的1年。

    就個人而言，2012年1月必須要做的事是把所有的密碼都修改一遍，不但要有足夠的強度，而且要避開網(wǎng)上所披露的常用密碼；將賬戶分類，拒絕使用“萬能鑰匙”。

    就保存?zhèn)�人信息的企業(yè)而言，首先需要提示用戶設(shè)置足夠強度的密碼；其次需要采用足夠的技術(shù)手段保護用戶信息，防止黑客攻擊和竊��；第三需要加強內(nèi)部管控，防范來自內(nèi)部的風(fēng)險。

    就國家層面而言，立法是首要的問題，但是短期內(nèi)出臺關(guān)于個人隱私保護的法律顯然是不現(xiàn)實的。我們只能寄希望于政府監(jiān)管部門，在2012年督促企業(yè)加強網(wǎng)絡(luò)與信息安全方面的風(fēng)險管理，明確保存用戶個人信息時進行例如加密存儲、授權(quán)使用等安全方面的基線要求，并通過年檢等行政監(jiān)管手段確保企業(yè)實施。

    此外， 還應(yīng)鼓勵研發(fā)和部署更安全、更便利、與個體捆綁更緊密，并且更有利于個人信息保護的認證手段，替代現(xiàn)有簡單用戶名和密碼的認證方式。

    通過個人、企業(yè)以及監(jiān)管部門對用戶個人信息保護的關(guān)注，我們相信，2012年隱私信息的安全狀況有望得到較大的改善。

    (3) 云計算得到一定應(yīng)用，云計算安全問題可能逐漸暴露如果評選2011年IT界最熱詞匯，“云”無疑會是最熱門的候選者。

    我們已經(jīng)看到包括云電腦、云手機、云電視、云存儲、云搜索、云服務(wù)器、云會議、云打印、云殺毒、云輸入法等在內(nèi)的云概念產(chǎn)品，也看到涵蓋硬件廠商、軟件廠商、互聯(lián)網(wǎng)公司、電信運營商等紛紛發(fā)布了云戰(zhàn)略，還看到被相關(guān)部委定為先行發(fā)展“云計算創(chuàng)新發(fā)展試點示范工作”的北京、上海、深圳、杭州和無錫分別推出“祥云”、“云海”、“鯤云”、“西湖云”以及“云谷”，還有廣州的“天云”、重慶的“云特區(qū)”、寧波的“星云”、西安的“航天云”、蘇州的“彩云”等云計算相關(guān)的規(guī)劃。一時間，無數(shù)的企業(yè)和地方政府都在為云計算而努力，試圖從云計算中分一杯羹。

    出于對互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全問題的擔(dān)心，在規(guī)劃各種各樣云的同時，我們也在擔(dān)心云計算的安全問題。美國的亞馬遜、微軟、蘋果、谷歌已經(jīng)基于云計算推出了很多革命性的產(chǎn)品和服務(wù)。多數(shù)時間聽到的都是對云計算的贊美聲，偶爾才能看到少量云存儲服務(wù)宕機或者丟失用戶信息的消息。在網(wǎng)絡(luò)上大量免費或者低價云服務(wù)的情況下，很少有人在意這些消息。國內(nèi)的情況則是“雷聲大、雨點小”：很多規(guī)劃中的云計算中心還只是一片莊稼地；運行中公有云很少，提供的平臺和服務(wù)單一；對基礎(chǔ)設(shè)施關(guān)注多而對業(yè)務(wù)應(yīng)用關(guān)注少。因此國內(nèi)用戶接觸到云計算的機會更少，關(guān)于云計算安全的事件比國外更少。

    雖然現(xiàn)階段云計算安全事件較少，但是通過分析，我們可以看到云計算可能面臨的安全風(fēng)險如下。

　  資源被濫用：云計算資源可能被用于D D o S攻擊、密碼破解等惡意行為。

　  難以溯源：當(dāng)前云計算跨國提供，且缺乏必要的日志審計要求，網(wǎng)絡(luò)犯罪行為調(diào)查以及溯源時可能出現(xiàn)問題。

　  安全管理的風(fēng)險：云計算環(huán)境下用戶難以對所使用的環(huán)境進行必要的評估和審計。

　  數(shù)據(jù)有限訪問權(quán)風(fēng)險：雖然用戶擁有數(shù)據(jù)，但是一般而言云計算提供者擁有更高的權(quán)限。

　  計算和存儲共享帶來的風(fēng)險：共享計算能力以及存儲能力的情況下，可能出現(xiàn)因為少數(shù)用戶安全能力影響其他用戶安全的現(xiàn)象。

　  數(shù)據(jù)跨境流動的風(fēng)險：云計算環(huán)境下，海量數(shù)據(jù)可能跨境流動，存儲在境外海量涉及民生的數(shù)據(jù)可能影響國家安全。

    此外使用云計算還可能面臨高可靠性風(fēng)險、企業(yè)長期發(fā)展依賴性風(fēng)險以及非技術(shù)領(lǐng)先國家面臨的風(fēng)險等。

    雖然就當(dāng)前而言，上述風(fēng)險還都僅僅是一些理論上的可能，但是隨著云計算在我國的廣泛應(yīng)用，部分所擔(dān)心的 安全風(fēng)險或者是當(dāng)前沒有預(yù)估到的安全風(fēng)險都可能會暴露出來�？梢灶A(yù)期，2012年是云計算逐步應(yīng)用的一年，也是云計算安全問題出現(xiàn)的一年。

    (4) 移動互聯(lián)網(wǎng)安全問題凸顯，將得到進一步關(guān)注智能手機問世以來， 對移動互聯(lián)網(wǎng)安全的擔(dān)憂就沒有停止過。一部分人認為移動互聯(lián)網(wǎng)僅僅是能力有限的計算機（智能手機）通過資源有限的移動通信網(wǎng)訪問互聯(lián)網(wǎng)，可能出現(xiàn)的安全問題基本類似傳統(tǒng)互聯(lián)網(wǎng)。另外一部分人則認為移動互聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)差異較大，用戶眾多且具備移動性，擔(dān)心影響以話音為主業(yè)的移動通信網(wǎng)正常運行，也擔(dān)心溯源方面的問題。

    此外根據(jù)2011年數(shù)據(jù)統(tǒng)計，當(dāng)前移動互聯(lián)網(wǎng)安全問題主要集中在如下方面：約90％的用戶曾收到垃圾、騷擾、詐騙短信以及電話；約80％的用戶曾被手機運行變慢、死機、頻繁重啟困擾；約48％的用戶被惡意扣費；約26％的用戶因手機丟失，相應(yīng)文檔、照片、通信錄等信息無法找回；約2 4 ％ 用戶手機內(nèi)信息無故丟失；約1 5 ％ 的用戶賬戶信息被竊��；約13％的用戶因手機被盜，信息被用于不法用途；約11％的用戶通信錄、短信、錄音、文件等信息被竊�。患s7％的用戶手機被他人監(jiān)聽、跟蹤或監(jiān)控；約0.5％的用戶遭遇其他手機安全問題。 

    最初手機僅僅是一個便利的通話工具，隨著手機能力的提升，手機上可能存儲著用戶的社會關(guān)系（通信錄、QQ好友、MSN好友等）、賬號密碼信息（手機銀行、掌上證券等）、業(yè)務(wù)定制、通話記錄、網(wǎng)站訪問記錄、位置信息、個人圖片、文件等各種涉及隱私的資料、信息。在極端情況下，手機甚至可以成為竊聽器、追蹤器。按照當(dāng)前手機的普及率，移動互聯(lián)網(wǎng)安全已經(jīng)涉及到幾億人的切身利益。

    一直以來我們對移動互聯(lián)網(wǎng)安全問題的擔(dān)心正逐漸變成現(xiàn)實。在2012年，一種可能是隨著移動互聯(lián)網(wǎng)的進一步廣泛應(yīng)用，出現(xiàn)更多惡意行為，移動互聯(lián)網(wǎng)安全狀況有所惡化；另一種可能是隨著全社會對移動互聯(lián)網(wǎng)重視程度的提高，移動互聯(lián)網(wǎng)安全狀況得到緩解。無論如何，可以預(yù)期，2012年移動互聯(lián)網(wǎng)安全將受到前所未有的關(guān)注。