李 雄 郝曉偉 劉傳相

1 國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心 北京 100029

2 國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心重慶分中心 重慶 401121

引言

近年來，互聯(lián)網(wǎng)的應用領域快速擴展，改變和重新定義了許多傳統(tǒng)領域與行業(yè)[1]。例如，以淘寶為代表的電子商務重新定義了零售業(yè)，以余額寶為代表的互聯(lián)網(wǎng)金融改變了金融業(yè)，小米改變了產(chǎn)品從設計到銷售的模式。這些變革的背后，移動互聯(lián)網(wǎng)[2-3]、大數(shù)據(jù)[4-5]等應用和技術扮演了重要角色。例如，目前手機支付寶的支付量高達支付寶總量的一半；電商產(chǎn)品推薦與供需鏈的核心是大數(shù)據(jù)技術。

同時，隨著可穿戴設備的興起、工業(yè)與互聯(lián)網(wǎng)的結(jié)合，智慧城市從設想成為現(xiàn)實、物聯(lián)網(wǎng)的廣闊前景漸漸顯露[3,6]。以物聯(lián)網(wǎng)為基礎的工業(yè)4.0[7]開始從德國向歐洲和中國蔓延?？梢灶A見，在工業(yè)4.0中，將用戶需求、生產(chǎn)計劃、柔性制造、物流配送與用戶反饋結(jié)合的物聯(lián)網(wǎng)將成為下一個龐大的領域，并引導新的工業(yè)革命。

在互聯(lián)網(wǎng)應用繁榮的背后，其基礎的網(wǎng)絡連接方式也在悄然發(fā)生變化。這些變化可能對互聯(lián)網(wǎng)產(chǎn)生根本性的影響。目前，最具潛力的是“無網(wǎng)連接”[8]和谷歌熱氣球無線網(wǎng)絡[9]。這些新的網(wǎng)絡連接方式可能改變信息傳遞的方式。

在新網(wǎng)絡連接、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等網(wǎng)絡條件下，數(shù)據(jù)的產(chǎn)生、傳輸、存儲和利用方式發(fā)生了巨大變化。在這些技術進一步數(shù)字化這個世界的同時，數(shù)據(jù)的安全開始面臨新問題。本文將從新型網(wǎng)絡連接、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等角度對可能出現(xiàn)的數(shù)據(jù)安全新問題進行探討。

1 移動互聯(lián)網(wǎng)的數(shù)據(jù)安全問題

移動互聯(lián)網(wǎng)是移動通信和互聯(lián)網(wǎng)的二次革命。移動互聯(lián)網(wǎng)的安全隱患通過海量的終端和應用等因素被放大，導致數(shù)據(jù)泄露等嚴重后果。特別是在4G網(wǎng)絡條件下，高速帶寬催生很多新的應用，使得移動互聯(lián)網(wǎng)成為數(shù)據(jù)泄露的重災區(qū)。

1.1 移動互聯(lián)網(wǎng)數(shù)據(jù)產(chǎn)生安全問題的主要原因

移動互聯(lián)網(wǎng)數(shù)據(jù)安全威脅主要有三方面的原因。一是傳統(tǒng)互聯(lián)網(wǎng)基于開放式架構，存在諸多的安全問題；移動互聯(lián)網(wǎng)不僅帶入了傳統(tǒng)互聯(lián)網(wǎng)的安全問題，更由于接入方式與應用的多樣化而加重。二是移動互聯(lián)中終端與用戶及其身份綁定較強，衍生了基于位置和身份的各種服務，如移動支付、移動電子商務都是易受攻擊的領域。三是移動終端包含大量個人信息和其它重要信息，容易引起攻擊者的注意。且移動終端受制于計算能力，防范手段較弱。

1.2 移動互聯(lián)網(wǎng)數(shù)據(jù)泄露的類型

1) 個人隱私數(shù)據(jù)泄露。移動互聯(lián)網(wǎng)的廣泛運用使得越來越多的個人隱私與網(wǎng)絡聯(lián)接，例如賬號密碼、通訊錄和照片等，隱私數(shù)據(jù)泄露的風險大大增加。2014年9月，蘋果公司iCloud云存儲平臺接連兩次發(fā)生艷照泄露事件，引起用戶對移動終端數(shù)據(jù)安全的恐慌。

據(jù)Android手機隱私安全報告[10]顯示，92.8%的安卓手機用戶在手機中存放隱私信息，智能手機已成為隱私最多的設備。多數(shù)安卓應用需要獲取隱私權限才能正常使用。通過對1 200個應用檢測發(fā)現(xiàn)[10]，92%的安卓應用獲取了隱私權限，具體分布如圖1所示。

圖1 手機應用獲取隱私權限數(shù)量的分布

隱私權限按應用類型的分布如表1所示。設備信息、用戶位置和Wi-Fi位居隱私權限前三[10]。越來越多的個人隱私從手機外泄，隱私安全日益成為嚴重的問題。

表1 各類安卓應用所獲取的權限類型

2) 企業(yè)單位數(shù)據(jù)泄露。網(wǎng)絡安全公司W(wǎng)ebroot的調(diào)查結(jié)果顯示[11]：超過40%的員工會使用移動設備辦公，其中有大約75%的員工使用的是自己的設備，95%的企業(yè)擔心安全風險，此外還有近40%的IT部門對這些設備沒有信心。智能移動終端可通過各類網(wǎng)絡接入內(nèi)部網(wǎng)絡訪問和獲取數(shù)據(jù)資源，網(wǎng)絡數(shù)據(jù)傳輸通道安全保護較弱，存在數(shù)據(jù)竊聽等隱患。此外，當設備丟失時，設備中的涉密信息也很容易被獲取。如何防止內(nèi)部數(shù)據(jù)泄露已成為智能移動終端應用的巨大挑戰(zhàn)。3) 國家安全相關數(shù)據(jù)泄露。目前，移動智能終端的安全防護能力較弱，并且主流操作系統(tǒng)由谷歌、蘋果等國外企業(yè)掌控，數(shù)據(jù)安全面臨風險。例如，蘋果公司的iOS系統(tǒng)具有數(shù)據(jù)同步上傳及位置定位功能，可將用戶終端的通訊錄、郵件、即時通信內(nèi)容等通過移動網(wǎng)絡實時上傳到國外服務器。企業(yè)可通過分析這些數(shù)據(jù)獲知我國的社情民意、用戶身份、用戶社交關系等，對國家安全構成威脅。另外，智能移動終端具有攝像、錄音和拍照等數(shù)據(jù)采集能力，通過4G等高速移動網(wǎng)絡可實現(xiàn)即時傳輸，泄密一旦發(fā)生就難以挽回[2]。

1.3 基于微博數(shù)據(jù)的統(tǒng)計分析

為了支持上述分析，本文通過自主研發(fā)的數(shù)據(jù)采集和分析系統(tǒng)對新浪、騰訊、搜狐和Twitter數(shù)據(jù)進行了統(tǒng)計分析。數(shù)據(jù)為2015年1月7日至14日，境內(nèi)三大微博的全量數(shù)據(jù)和Twitter的中文用戶數(shù)據(jù)。具體通過檢索關鍵詞“移動互聯(lián)網(wǎng)數(shù)據(jù)安全”相關信息，并從通道、地域、參與者、子話題等角度對相關信息進行分析。圖2和圖3為話題按通道和參與者的分布情況。分析發(fā)現(xiàn)：1)移動互聯(lián)網(wǎng)的數(shù)據(jù)安全問題是用戶關注熱點；2)各地用戶均關注該問題，但經(jīng)濟發(fā)達地區(qū)關注度更高；3)從話題參與者角度，電信客服、新浪科技等技術機構積極參與移動互聯(lián)網(wǎng)安全問題的討論，平安北京、首都網(wǎng)警等安全相關部門也非常關注移動互聯(lián)網(wǎng)安全；4)話題包括安全事件、發(fā)展趨勢、防護措施等多個方面。這些結(jié)果表明，移動互聯(lián)網(wǎng)安全問題已引起各地、機構和用戶的廣泛關注，且關注具有相當?shù)纳疃取?/p>

圖2 參與“移動互聯(lián)網(wǎng)數(shù)據(jù)安全”話題的微博分布

圖3 參與“移動互聯(lián)網(wǎng)數(shù)據(jù)安全”話題的主要微博用戶

2 大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全問題

大數(shù)據(jù)平臺承載了來自于個人計算機、移動智能終端、可穿戴設備、智能家居設備及智能汽車等數(shù)據(jù)資源。正成為黑客組織和各類敵對勢力網(wǎng)絡攻擊的重要目標。隨著電子商務、社交網(wǎng)絡、物聯(lián)網(wǎng)、云計算以及移動互聯(lián)網(wǎng)的廣泛應用，我國數(shù)據(jù)資源正在呈現(xiàn)爆發(fā)性增長[4]。但由于對數(shù)據(jù)的保護不足，數(shù)據(jù)泄露在互聯(lián)網(wǎng)上的現(xiàn)象十分普遍。2011年，國內(nèi)最大程序員網(wǎng)站CSDN的600萬個人信息和密碼被公開；2013年，中國人壽80萬客戶的保單被泄露；2014年，黑客從快遞公司網(wǎng)站竊取1 400余萬條用戶數(shù)據(jù)并在網(wǎng)上售賣；小米、360和攜程等相繼發(fā)生用戶數(shù)據(jù)泄露事件。這些事件表明，大數(shù)據(jù)時代的數(shù)據(jù)安全面臨前所未有的挑戰(zhàn)[12]。此外，企業(yè)數(shù)據(jù)通常與大數(shù)據(jù)分析系統(tǒng)對接，以充分發(fā)掘其商業(yè)價值。一些企業(yè)的內(nèi)部工作人員將大量個人信息非法竊取并打包出售給信息中介機構和個人，企業(yè)信息挖掘成為大數(shù)據(jù)時代不法分子獲取高額利益的利器[5,13]。

大數(shù)據(jù)技術在改變企業(yè)和政府工作模式的同時，也在侵蝕個人數(shù)據(jù)的安全邊界。以前，只有持有公權力的政府機構才能掌握大量個人數(shù)據(jù)，現(xiàn)在，許多企業(yè)也能擁有海量數(shù)據(jù)，甚至在某些方面超過政府機構。例如，微信的用戶數(shù)已超過4億，只要用戶使用各類互聯(lián)網(wǎng)應用，就不得不將個人數(shù)據(jù)轉(zhuǎn)移給服務商。在這種條件下，傳統(tǒng)的線下數(shù)據(jù)保護方式難以奏效。用戶在微博等社交平臺發(fā)布信息、關注好友、發(fā)表評論時，或在電商平臺進行購物時，都存在泄露個人信息的可能。大量數(shù)據(jù)的匯集加大了用戶隱私泄露的風險，甚至上升到人身安全的層面。同時，一些敏感數(shù)據(jù)的所有權和使用權并沒有明確界定，目前很多基于大數(shù)據(jù)的分析都未考慮涉及的個人隱私問題[12]。

本節(jié)利用自主開發(fā)的數(shù)據(jù)采集和分析系統(tǒng)對新浪、騰訊、網(wǎng)易和Twitter數(shù)據(jù)進行統(tǒng)計分析。通過檢索關鍵詞“大數(shù)據(jù)安全”相關信息，并從通道、地域、參與者(如圖4)、話題角度對信息進行分析。分析發(fā)現(xiàn)：1)大數(shù)據(jù)安全問題各地用戶均關注，沿海和中部地區(qū)關注度更高；2)IT科技學等技術機構、法制日報等法律機構、Lenovo樂基金等投資機構均關注大數(shù)據(jù)安全問題；3)子話題包括大數(shù)據(jù)安全技術、應用與安全、發(fā)展前景等多個方面。結(jié)果表明，大數(shù)據(jù)安全已在多個領域產(chǎn)生影響，并引起了社會多方面的關注。

圖4 參與“大數(shù)據(jù)安全”話題的主要微博用戶

3 新型網(wǎng)絡連接的數(shù)據(jù)安全風險

互聯(lián)網(wǎng)正在往“連接一切”的方向發(fā)展，這已經(jīng)成為谷歌、騰訊等互聯(lián)網(wǎng)巨頭的目標。“連接一切”意味著連接全世界所有地區(qū)、人和設備。這里主要討論谷歌熱氣球無線連接、無網(wǎng)絡連接和物聯(lián)網(wǎng)這三類新連接的數(shù)據(jù)安全問題。

3.1 谷歌熱氣球無線網(wǎng)絡

地面互聯(lián)網(wǎng)連接成本低但依賴光纖等基礎設施，難以到達人口稀少和地理條件復雜的地區(qū)。衛(wèi)星通訊覆蓋面大但成本極高。針對這些問題，谷歌2013年啟動了“Project Loon”項目[9]，通過熱氣球為地面提供Wi-Fi無線連接，目前已進入測試階段。當前，單顆熱氣球的最長續(xù)航時間已達134天，覆蓋面積相當于10個移動基站，可提供10M每秒的無線網(wǎng)絡，能適應復雜天氣與溫度，并按軌道準確飛行。

然而，熱氣球由谷歌公司所控制，在提供無線網(wǎng)絡的同時還是強大的數(shù)據(jù)采集設備。谷歌作為高空網(wǎng)絡運營商，理論上可獲得用戶傳輸?shù)乃袛?shù)據(jù)，包括接入網(wǎng)絡的個人隱私、傳感器數(shù)據(jù)。這將給數(shù)據(jù)安全甚至國家安全帶來新的隱患。雖然谷歌氣球的Wi-Fi還沒有進入中國，但其潛在的影響不難通過Wi-Fi安全來說明。Wi-Fi已成為隱私數(shù)據(jù)泄露的重要途徑，新浪微博關于“Wi-Fi隱私泄露”的討論熱度可證實這一點。2013年共有相關信息29.28萬條。2014年，在微博被分流的情況下，相關信息總數(shù)達到42.1萬條，同比增加43%。如圖5所示，Wi-Fi隱私泄露已由技術問題轉(zhuǎn)化為公共安全問題，引起了許多公安機關的關注。

圖5 參與“Wi-Fi信息泄露”話題的主要微博用戶

3.2 無網(wǎng)連接與通訊

目前，幾乎所有的網(wǎng)絡應用都需要接入互聯(lián)網(wǎng)。在網(wǎng)絡中斷的情況下或者沒有互聯(lián)網(wǎng)覆蓋的地區(qū)，所有的網(wǎng)絡應用都將失效?！盁o網(wǎng)絡連接”的組網(wǎng)方式針對這些情形而出現(xiàn)。即時通訊Firechat開創(chuàng)了這種新的網(wǎng)絡連接模式[8]，智能終端通過Wi-Fi或藍牙將相鄰的設備連接成網(wǎng)絡，實現(xiàn)終端之間的橋接與通訊。這種方式在因災難而導致通訊中斷時特別有效。目前Firechat在智利、以色列、瑞士、澳大利亞、比利時等國家位居移動社交應用的前列。

不同于傳統(tǒng)的互聯(lián)網(wǎng)，這類網(wǎng)絡沒有固定的路由與中繼設備，網(wǎng)絡結(jié)構動態(tài)生成。這種情形給數(shù)據(jù)安全帶來了全新的問題。首先，數(shù)據(jù)的通訊方式完全由組網(wǎng)的應用來定義，數(shù)據(jù)安全缺少通訊機制上的保證。其次，在出現(xiàn)數(shù)據(jù)安全問題后，由于通訊記錄的缺失，難以進行追蹤與溯源。再次，這類網(wǎng)絡與互聯(lián)網(wǎng)完全獨立，現(xiàn)有的網(wǎng)絡安全技術與設施都面臨失效。Firechat等應用在國內(nèi)的普及速度也非?？臁π吕宋⒉┻M行統(tǒng)計發(fā)現(xiàn)，2014年前半年關于Firechat的信息數(shù)僅6.2萬條，而2014年下半年快速增加至9.1萬條，增長了47%。

3.3 物聯(lián)網(wǎng)

物聯(lián)網(wǎng)中的智能設備都可隨時獲取數(shù)據(jù)并通過網(wǎng)絡傳輸，物聯(lián)網(wǎng)自身的特性是造成數(shù)據(jù)安全風險的重要原因。1)物聯(lián)網(wǎng)建立在互聯(lián)網(wǎng)的基礎上，互聯(lián)網(wǎng)具有的安全問題物聯(lián)網(wǎng)同樣具有。2)物聯(lián)網(wǎng)將網(wǎng)絡拓展到現(xiàn)實的物品當中，導致網(wǎng)絡的構成非常復雜，進而導致難以確定網(wǎng)絡環(huán)節(jié)是否被攻擊者控制。3)物聯(lián)網(wǎng)通常采用無線組網(wǎng)來保證終端的移動性，但由于無線信道的開放性，攻擊者只要在無線路由器或中繼器的范圍內(nèi)就可能進入網(wǎng)絡。并且無線網(wǎng)絡終端的加密和防護能力較弱，而通過智能手機和手持設備發(fā)起攻擊的技術在不斷完善[3]，導致數(shù)據(jù)泄露面臨更嚴峻的威脅。4)物聯(lián)網(wǎng)終端通常是小型傳感器或智能終端，其存儲和處理能力較低，無法使用對存儲、計算和功耗要求較高的安全措施[14]。

物聯(lián)網(wǎng)中的設備均具有一定的感知、計算和執(zhí)行能力，連接的設備類型比互聯(lián)網(wǎng)更多，獲取和傳輸?shù)男畔⒁哺?。例如，可穿戴設備獲取的個人信息、工業(yè)網(wǎng)絡的企業(yè)信息、智慧城市網(wǎng)絡的社會信息等重要的數(shù)據(jù)都連接在網(wǎng)絡中。國家重要的基礎行業(yè)和領域如電力、醫(yī)療等也依賴于物聯(lián)網(wǎng)。這些重要信息可能因感知設備被入侵而竊取[6]，將影響個人及企業(yè)的數(shù)據(jù)安全，甚至上升到國家層面，成為影響國家發(fā)展和社會穩(wěn)定的重要因素[15]。

4 總結(jié)

2014年，中國接入互聯(lián)網(wǎng)已滿20周年，互聯(lián)網(wǎng)的蓬勃發(fā)展帶來了一個新技術和新應用層出不窮、數(shù)據(jù)安全問題日益凸顯的新時代。2015年，基于可穿戴設備的物聯(lián)網(wǎng)、醫(yī)療大數(shù)據(jù)等新技術與模式將進一步發(fā)展。技術的發(fā)展應以安全為前提，數(shù)據(jù)安全需要產(chǎn)業(yè)鏈上的設計者、生產(chǎn)者及用戶的共同努力。另一方面，新技術在帶來新挑戰(zhàn)的同時，也將帶來新的解決方法與思路。

參考文獻

[1]2014年互聯(lián)網(wǎng)跨界趨勢報告[EB/OL].[2015-01-28].http://tech.qq.com/a/20140630/001999.htm#p=1

[2]姜逸文.移動互聯(lián)網(wǎng)下的信息安全問題及應對策略[J].中國新通信,2014,(10):123-124

[3]姚蕾.移動互聯(lián)網(wǎng)應用的安全風險探究淺析[J].電子世界,2014,(17):10-11

[4]袁露,肖志勇,王映龍.論大數(shù)據(jù)的現(xiàn)狀及其發(fā)展研究[J].教育教學論壇,2014,(44):86-87

[5]張占波.淺談大數(shù)據(jù)時代信息技術的機遇與挑戰(zhàn)[J].電子世界,2014,(18):7-7

[6]徐英武.物聯(lián)網(wǎng)安全問題研究[J].科技情報開發(fā)與經(jīng)濟,2014,24(12):140-144

[7]Industry 4.0[EB/OL].[2015-01-28].http://en.wikipedia.org/wiki/Industry_4.0

[8]Firechat[EB/OL].[2015-01-28].https://firechat.firebaseapp.com/

[9]Project Loon[EB/OL].[2015-01-28].http://en.wikipedia.org/wiki/ Project_Loon

[10]2014年上半年Android手機隱私安全報告[EB/OL].[2015-01-28].DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心與360手機安全中心.http://www.fzgh.org.cn/kejiqianyan/48950.html

[11]BYOD Security Report[EB/OL].[2015-01-28].New Webroot,2014

[12]譚秀麗,張茂新.大數(shù)據(jù)時代保證網(wǎng)絡信息安全的法律體系研究[J].商情,2014,(30):292-292

[13]2014年第二季度財報[EB/OL].[2015-01-28].http://tech.qq.com/zt2014/tx2014q1/

[14]丁婷婷.物聯(lián)網(wǎng)時代的信息安全防護[J].中國電子商務,2014,(17):30-30

[15]金洪穎.數(shù)據(jù)隱藏技術在物聯(lián)網(wǎng)安全中的應用探索[J].電腦知識與技術,2014,(22):5185-5186