臺禹微制圖
編者按
2014年結(jié)束的鐘聲即將敲響,信息安全領(lǐng)域卻又傳來警報。這一次,是號稱“全球最忙”的12306網(wǎng)站。12月25日,第三方漏洞報告平臺烏云爆出12306網(wǎng)站現(xiàn)用戶數(shù)據(jù)泄露漏洞。大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)遭瘋傳,包括用戶賬號、明文密碼、身份證、郵箱等。該事件引發(fā)了用戶的廣泛關(guān)注,漏洞也緊急提交至國家互聯(lián)網(wǎng)應(yīng)急中心處理。
人們對于信息安全的密切關(guān)注始于2013年由美國人斯諾登曝光“棱鏡計劃”。這一事件引發(fā)了人們對互聯(lián)網(wǎng)高度發(fā)達時代信息泄露的恐慌。與此同時,隨著互聯(lián)網(wǎng)技術(shù)的進一步發(fā)展,信息安全領(lǐng)域爆發(fā)了許多值得關(guān)注的事件,許多與信息安全密切相關(guān)的新領(lǐng)域也迎來了新挑戰(zhàn)。
下面來看看2014年這一年中有哪些熱門的信息安全事件及熱詞值得了解,專家們又是如何解讀的。
關(guān)鍵詞后XP時代
◎代表事件 微軟停止XP支持
2014年4月8日起,微軟正式停止了對Windows XP操作系統(tǒng)的技術(shù)支持,這意味著此后XP操作系統(tǒng)出現(xiàn)任何漏洞,微軟不會再提供任何系統(tǒng)更新修補漏洞。一旦系統(tǒng)出現(xiàn)漏洞且沒能及時修補,可能會引發(fā)安全隱患,如電腦感染木馬程序、電腦病毒或遭遇黑客的入侵。
作為微軟歷史上最為成功的操作系統(tǒng),XP操作系統(tǒng)至今在全球仍有近30%的市場份額,而在中國,使用XP系統(tǒng)的用戶比例更是高達70%,用戶總量超過2億。
◎?qū)<矣^點
中國工程院院士沈昌祥:
掌控操作系統(tǒng)主動權(quán)是關(guān)鍵
2006年,微軟推出了VISTA操作系統(tǒng),這個系統(tǒng)會使用戶電腦被微軟高度掌控。我向國家建議不要采購VISTA,到現(xiàn)在為止,國家也沒有采購。如果繼續(xù)使用XP系統(tǒng),顯然會有很多安全問題;如果不使用,就需要采購WIN8系統(tǒng),每一臺電腦要花1000元左右,2億臺是多少錢?更重要的不是錢,而是微軟加強了后續(xù)系統(tǒng)的信息安全根本控制權(quán)。我們?nèi)绻少廤IN8,將會喪失安全控制權(quán)。
微軟停止XP支持,這對我們而言不僅是挑戰(zhàn),更是機遇,對現(xiàn)有的操作系統(tǒng),我們可以加固、替代,更可以借此機會,打造自主的操作系統(tǒng)品牌。我們通過協(xié)同攻關(guān),到2020年完全可以形成自主的智能操作系統(tǒng),包括PC終端、手機、嵌入式的操作系統(tǒng),規(guī)模地打造出成熟的一兩款主流國產(chǎn)操作系統(tǒng),實現(xiàn)替代。
關(guān)鍵詞物聯(lián)網(wǎng)及智能汽車安全
◎代表事件 特斯拉程序漏洞
7月,國內(nèi)互聯(lián)網(wǎng)安全廠商360宣布,發(fā)現(xiàn)特斯拉汽車應(yīng)用程序流程存在設(shè)計缺陷,可能被攻擊者利用。攻擊者利用該漏洞,可遠程控制車輛,實現(xiàn)開鎖、鳴笛、閃燈等操作,并且能夠在車輛行駛中開啟天窗。而在此前,已經(jīng)有國外媒體報道過有黑客利用特斯拉的6位數(shù)密碼實現(xiàn)對汽車的遠程操控。
在汽車智能化的發(fā)展趨勢下,已經(jīng)有不少汽車廠商著手將信息技術(shù)整合入汽車的駕駛系統(tǒng)中,當(dāng)以獲取利益作為支撐點,入侵智能汽車系統(tǒng)可能成為黑客的下一個目標(biāo)。多數(shù)業(yè)內(nèi)人士都認(rèn)為,車聯(lián)網(wǎng)產(chǎn)業(yè)要想健康發(fā)展,就必須解決智能汽車的安全問題。
◎?qū)<矣^點
360網(wǎng)絡(luò)安防技術(shù)顧問劉健皓:
智能汽車安全應(yīng)未雨綢繆
汽車安全風(fēng)險分三類,第一類是接觸式,對車進行改造或者破壞;第二類是非接觸式,通過無線射頻和車聯(lián)網(wǎng)的應(yīng)用反向控制車輛,造成車輛喪失控制;第三類是后裝市場產(chǎn)品的漏洞,比如,一輛車本身很安全,沒有對外發(fā)射射頻信號或交互也很安全,但是接了OBD盒子,這個盒子自身存在的問題造成安全風(fēng)險。
到2017年,將有60%的新車會連接到互聯(lián)網(wǎng),在今年的DefCon黑客大會上發(fā)布了兩個遠程攻擊汽車的方法,未來一兩年內(nèi),智能汽車安全勢必會被推到風(fēng)口浪尖上。
智能交通行業(yè)發(fā)展迅猛,大家應(yīng)該居安思危,對汽車的基本控制功能、固有信息、狀態(tài)信息、用戶信息、軟件和內(nèi)容以及設(shè)置信息進行保護,廠商也要對智能汽車全生命周期進行安全管理。
黑客團隊Keen Team成員呂一平:
物聯(lián)網(wǎng)信息安全要做到三步
物聯(lián)網(wǎng)跟移動終端非常類似,會產(chǎn)生很多同類型的安全問題。比如,在云存儲、移動APP、智能硬件設(shè)備等方面。應(yīng)對物聯(lián)網(wǎng)信息安全的挑戰(zhàn),第一是改變安全觀念。安全行業(yè)要成為科技發(fā)展的推動力而不是阻力,只有解決安全問題才能應(yīng)用更多新技術(shù);第二是加強硬件設(shè)備安全性,廠商要將安全視為物聯(lián)網(wǎng)硬件設(shè)備產(chǎn)品質(zhì)量的重要部分;第三是安全問題的動態(tài)改進。因為安全問題是動態(tài)發(fā)現(xiàn)、動態(tài)改進的過程,這需要安全研究企業(yè)和廠商有效溝通和合作。
關(guān)鍵詞國家網(wǎng)絡(luò)安全
◎代表事件 全球根域名服務(wù)器DNS出現(xiàn)故障
1月21日,國內(nèi)通用頂級域的根服務(wù)器忽然出現(xiàn)異常,導(dǎo)致眾多知名網(wǎng)站出現(xiàn)DNS解析故障,用戶無法正常訪問。雖然國內(nèi)訪問根服務(wù)器很快恢復(fù),但由于DNS緩存問題,部分地區(qū)用戶“斷網(wǎng)”現(xiàn)象仍將持續(xù)數(shù)個小時,至少有2/3的國內(nèi)網(wǎng)站受到影響。今年全國“兩會”期間,網(wǎng)絡(luò)安全又首次列入政府工作報告,上升到國家戰(zhàn)略層次。
◎?qū)<矣^點
工業(yè)和信息化部部長苗圩:
保障國家網(wǎng)絡(luò)安全要做到五點
網(wǎng)絡(luò)與信息安全問題日益突出,復(fù)雜性、危害性進一步顯現(xiàn),已成為事關(guān)國家政治安全、經(jīng)濟安全、社會安全、文化安全和國防安全的重大問題。就信息化發(fā)展和網(wǎng)絡(luò)安全工作提出五點要求:一是要著力加強網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè);二是要加快新一代信息通信技術(shù)開發(fā)和推廣應(yīng)用;三是要大力推進信息化和工業(yè)化深度融合;四是要進一步加強和改進互聯(lián)網(wǎng)行業(yè)管理;五是要把增強網(wǎng)絡(luò)信息安全保障能力擺在更加突出位置。
工業(yè)和信息化部電子信息司副司長安筱鵬:
要重視信息產(chǎn)業(yè)在國家安全中的作用
“棱鏡門”事件后,各國高度重視信息產(chǎn)業(yè)在國家安全中的重要作用,綜合運用經(jīng)濟、政治、外交等各方面的手段和資源,強化產(chǎn)業(yè)自主研發(fā)和產(chǎn)業(yè)化能力。一方面,美國出于國家安全因素對我國通信設(shè)備產(chǎn)業(yè)的制裁,在未來一段時間還將成為各國壓制我國電子信息領(lǐng)域發(fā)展的主要手段,這意味著我國已具備國際競爭力的電子信息產(chǎn)業(yè)將面臨著信息安全因素的壁壘。另一方面,信息安全形勢日益嚴(yán)峻也要求我國盡快擺脫長期以來在上游關(guān)鍵材料和重要設(shè)備領(lǐng)域受制于美日歐的現(xiàn)象,快速提升較為薄弱的電子基礎(chǔ)產(chǎn)業(yè)的核心競爭力,建立和完善自主可控的信息產(chǎn)業(yè)體系。
關(guān)鍵詞互聯(lián)網(wǎng)金融安全
◎代表事件 支付寶信息泄露,攜程支付陷安全門
2014年是互聯(lián)網(wǎng)金融崛起的一年,BAT等互聯(lián)網(wǎng)大佬們一系列針對金融行業(yè)的滲透和布局,使得國內(nèi)金融市場發(fā)生了深刻的變化。
但是,互聯(lián)網(wǎng)金融的信息安全問題不斷曝光。1月,支付寶前技術(shù)員工涉嫌將多達20G的用戶數(shù)據(jù)非法販賣他人事件,引起廣泛關(guān)注。2月17日,烏云漏洞報告平臺又發(fā)布兩條消息稱淘寶爆出重大安全漏洞,黑客通過搜索引擎,無需密碼即可登錄淘寶用戶賬號,直接獲取用戶的賬戶余額、交易記錄、收貨地址、姓名、手機號碼等敏感隱私信息。3月,攜程爆發(fā)“安全門”事件,攜程網(wǎng)安全支付日志存在漏洞,導(dǎo)致大量用戶銀行卡信息泄露,引發(fā)一場“換卡潮”。
無獨有偶,1月10日,美國零售巨頭塔吉特表示,在該集團發(fā)生的數(shù)據(jù)庫失竊事件中,有7000萬顧客的付款卡和個人信息被盜取。
◎?qū)<矣^點
美亞柏科總經(jīng)理滕達:
互聯(lián)網(wǎng)金融發(fā)展安全是前提
互聯(lián)網(wǎng)金融要想長期發(fā)展,安全性是前提。從技術(shù)角度講,不出現(xiàn)安全漏洞是不可能的,關(guān)鍵在于企業(yè)是否能夠及時發(fā)現(xiàn)漏洞并堵上。因此,建議相關(guān)企業(yè)可以采用多重驗證手段加強安全防范。
未來移動互聯(lián)網(wǎng)金融的安全性也將成為熱點。手機的計算能力不如電腦,不能達到電腦的安全級別,再加上移動互聯(lián)網(wǎng)上的通訊錄等信息都是實名的,更容易成為惡意軟件的攻擊目標(biāo)。從這個角度看,移動互聯(lián)網(wǎng)的安全形勢更為嚴(yán)峻。