國家信息技術安全研究中心 楊 雪 高紅靜

2015年網(wǎng)絡安全熱點展望

國家信息技術安全研究中心 楊 雪 高紅靜

2014年信息安全領域經(jīng)歷了風風雨雨，可以預見到2015年在網(wǎng)絡安全領域依然不會風平浪靜。網(wǎng)絡空間面臨的安全形勢將日趨嚴峻和復雜，在此,我們對2015年可能即將出現(xiàn)的網(wǎng)絡安全熱點問題做出如下展望。

1、國家有望出臺網(wǎng)絡空間安全戰(zhàn)略

網(wǎng)絡空間正日趨成為關系國際以及國家安全的重要領域。如何加強網(wǎng)絡空間的科學治理和安全保障，不僅決定我國能否實現(xiàn)從網(wǎng)絡大國向網(wǎng)絡強國的跨越，也是我國國家治理體系和治理能力現(xiàn)代化的重要方面。中國自2009年已經(jīng)是世界第一網(wǎng)民大國，作為世界網(wǎng)絡大國和最大的發(fā)展中國家，制定出臺國家網(wǎng)絡安全戰(zhàn)略，已經(jīng)成為迫在眉睫的任務。當前，中央已經(jīng)將網(wǎng)絡安全上升到國家戰(zhàn)略高度予以系統(tǒng)謀劃，以習近平為組長的中央網(wǎng)絡安全和信息化領導小組的成立奠定了領導基礎，另外網(wǎng)絡空間安全智囊團不斷出謀劃策，國家有望明年出臺網(wǎng)絡空間安全戰(zhàn)略。

2、網(wǎng)絡安全審查逐步落地

5月22日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布消息稱，我國將實行網(wǎng)絡安全審查制度，從制度上為互聯(lián)網(wǎng)安全保駕護航。網(wǎng)絡安全審查將是一個制度的體現(xiàn)，而不是一個單個的文件，包括法律的要求、政策規(guī)定、國家標準和工作機構，以法規(guī)的形式來規(guī)范網(wǎng)絡審查活動，避免出現(xiàn)管理的隨意性。此次網(wǎng)絡安全審查制度從出臺到全面實施將循序漸進，從重點行業(yè)開始逐步擴展到各個領域。

3、網(wǎng)絡信任體系建設不斷加強

全球網(wǎng)絡空間中，不同行為體之間占有的資源與擁有的能力處于不對稱狀態(tài)，網(wǎng)絡空間信任體系的重要性日趨凸顯。我國網(wǎng)絡信任體系建設方案已提出多年，經(jīng)過近十年的發(fā)展，電子銀行領域已經(jīng)普遍采用電子認證服務等身份認證手段，形成比較完整的互聯(lián)網(wǎng)身份認證體系，這一信任體系可以延伸到更為廣泛的互聯(lián)網(wǎng)金融市場中。此外，建立包括征信體系、統(tǒng)一權屬登記體系、不良交易信息共享體系在內的互聯(lián)網(wǎng)網(wǎng)絡信任體系也是行之有效的控制手段。網(wǎng)絡信任體系建設有助于凈化網(wǎng)絡環(huán)境，形成綠色網(wǎng)絡。2015年網(wǎng)絡信任體系建設會成為一個重點關注領域。

4、APT攻擊將席卷全球

隨著網(wǎng)絡空間對抗的日益加劇，APT攻擊以其精準高效的特點，正成為黑客組織乃至國家間網(wǎng)絡對抗的主要方式。盡管2014年很多政府機構和全球化企業(yè)在安全控管上都投入了巨大的人力和物力，但是APT攻擊仍然滲透進這些組織，鎖定高度機密的政府數(shù)據(jù)、金融信息、數(shù)字資產(chǎn)、工業(yè)設計等資料。今年，網(wǎng)絡犯罪集團成功利用APT攻擊，在美國和加拿大制造多起大型數(shù)據(jù)外泄事件。威脅防御專家預測，2015年，隨著黑客攻擊技能的泛化，攻擊工具的商品化， APT攻擊將會波及更多國家，甚至同普通的網(wǎng)絡攻擊一樣在全球泛濫。

5、移動支付安全和移動終端漏洞給移動互聯(lián)網(wǎng)發(fā)展帶來新挑戰(zhàn)

隨著4G網(wǎng)絡的大面積應用，智能手機和移動應用在日常生活中日益普及，人們越來越習慣于移動支付方式。受經(jīng)濟利益驅使，黑客將更多地把移動互聯(lián)網(wǎng)作為主陣地。ApplePay的引入可能會成為許多用戶使用移動支付的開始，其他公司也將推出自己的支付平臺，這些平臺沒有經(jīng)過真實的安全威脅考驗，NFC功能的大量使用也會給移動支付帶來新的風險。此外，針對智能終端設備硬件、操作系統(tǒng)、應用程序等的安全漏洞挖掘將增多，預計2015年Android威脅累積數(shù)量將達到目前的二倍，突破至800萬。另外，移動設備、平臺及APP程序的漏洞數(shù)量將會增加，這將帶來更嚴重的網(wǎng)絡風險。

6、網(wǎng)絡犯罪更加猖獗，催生出功能更強、效果更好的黑客工具及攻擊手法

2014年的網(wǎng)絡犯罪攻擊愈演愈烈，包括美國Target 超市7000萬筆客戶資料泄露、ebay遭到神秘黑客的攻擊、索尼影視娛樂數(shù)據(jù)泄露并遭受恐怖威脅等。社交網(wǎng)絡成為黑客攻擊和網(wǎng)絡犯罪的新途徑。黑客通過社交網(wǎng)絡廣泛收集、挖掘用戶信息，形成社工庫，并基于用戶網(wǎng)絡習慣實施高效的定向攻擊，散播惡意程序、釣魚欺詐信息等。網(wǎng)絡攻擊事件的背后，是那些神秘而強大的黑客工具。例如：發(fā)展迅速的POS病毒家族，犯罪集團所采用的惡意軟件可以輕松入侵那些安裝了POS軟件的商家計算機，從而截獲每筆付款信息。2015年網(wǎng)絡犯罪活動將顯示出更高級別的協(xié)作水平與更令人擔憂的技術層級。

7、身份認證技術的發(fā)展

在信息安全里，身份認證技術在整個安全系統(tǒng)中是重點，也是信息安全系統(tǒng)首要“看門人”。傳統(tǒng)的密碼系統(tǒng)頻遭網(wǎng)絡犯罪的攻擊，以生物特征為基礎的生物認證技術和以口令為特點的非生物認證技術均存在一定的局限，目前采用一次性密碼、虹膜和指紋掃描等多因素身份驗證技術可以成為安全維護的替代方法。

8、物聯(lián)網(wǎng)危機

目前，物聯(lián)網(wǎng)的大規(guī)模攻擊不易發(fā)生，但是攻擊者會針對家庭路由器、智能電視和互聯(lián)汽車應用等互聯(lián)設備進行一次性攻擊，以獲取敏感和隱私信息。物聯(lián)網(wǎng)應用的發(fā)展意味著通過網(wǎng)絡連接設備、數(shù)碼配件以及機器等進行的萬物互聯(lián)會導致新一輪的安全隱患。

9、云平臺的普及加大信息泄露風險

隨著云平臺的應用普及和大數(shù)據(jù)技術的發(fā)展，涵蓋互聯(lián)網(wǎng)行業(yè)、金融服務業(yè)、醫(yī)療保健業(yè)的大量行業(yè)數(shù)據(jù)快速增長，越來越多的用戶數(shù)據(jù)從個人電腦轉向云平臺。此外，私有云不斷得到普及，越來越多的企業(yè)構建私有云。2015年，在不同行業(yè)，云構建都將成為企業(yè)的競爭優(yōu)勢。但一方面，集成大量數(shù)據(jù)的云端容易成為攻擊者的目標，一旦發(fā)生信息泄露，將對整個行業(yè)造成影響。另一方面，由于云平臺使用方便、成本低廉，黑客將大量利用云平臺進行惡意程序傳播和網(wǎng)絡攻擊的跳板，嚴重危害互聯(lián)網(wǎng)安全。

10、大數(shù)據(jù)安全問題引關注

大數(shù)據(jù)在優(yōu)化商業(yè)服務、拉動信息消費、改善社會治理、促進經(jīng)濟轉型等方面發(fā)揮著越來越積極的作用。目前已經(jīng)有數(shù)十億已連接的設備以及新的技術在生產(chǎn)大量的數(shù)據(jù)。在2015年，連接的設備數(shù)量將繼續(xù)增長。在大數(shù)據(jù)相關技術的發(fā)展下，數(shù)據(jù)安全問題也會越發(fā)重要。未來企業(yè)都將成為互聯(lián)網(wǎng)企業(yè)，企業(yè)信息安全和用戶個人隱私信息都面臨更大挑戰(zhàn)。大數(shù)據(jù)還可能存在污染，即大數(shù)據(jù)被人為操作和注入修改虛假信息。這些問題都值得重點關注。

11、改變傳統(tǒng)網(wǎng)絡安全游戲規(guī)則，加速研發(fā)網(wǎng)絡空間安全主動防御新技術

美國在改變傳統(tǒng)網(wǎng)絡安全游戲規(guī)則方面先發(fā)制人，具體做法包括開發(fā)人機協(xié)作新模式，采用更好的數(shù)字化工具；打造可信網(wǎng)絡空間，設計與建設具有多層次安全的系統(tǒng)和網(wǎng)絡；培養(yǎng)具備網(wǎng)絡技能的人才，改變教育培訓形式；建立新思維，創(chuàng)設新技術，構建完備的主動防御體系。我國將加快步伐，借鑒國外經(jīng)驗，并加快研發(fā)網(wǎng)絡空間安全主動防御新技術。

2015年的網(wǎng)絡空間安全會遇到新的挑戰(zhàn)，云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)和移動互聯(lián)網(wǎng)等新技術的廣泛普及應用在給互聯(lián)網(wǎng)產(chǎn)業(yè)帶來巨大利益的同時，也暴露出眾多棘手問題。面對更加猖獗的網(wǎng)絡犯罪和日益凸顯的移動終端漏洞等問題，信息安全勢必會進入發(fā)力階段。