隨著移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等網(wǎng)絡(luò)信息技術(shù)的普及應(yīng)用以及在此基礎(chǔ)上即時(shí)通信、社交網(wǎng)絡(luò)、電子商務(wù)、互聯(lián)網(wǎng)金融等網(wǎng)絡(luò)商業(yè)應(yīng)用的持續(xù)創(chuàng)新,網(wǎng)絡(luò)空間技術(shù)生態(tài)更加智能復(fù)雜,商業(yè)價(jià)值不斷凸顯,一系列安全事件影響重大并呈現(xiàn)全球傳導(dǎo)的趨勢(shì)
大數(shù)據(jù)時(shí)代個(gè)人信息安全面臨嚴(yán)峻挑戰(zhàn),任何單一固化的保護(hù)模式均難以為繼,只有從法律體系、自律機(jī)制、管理標(biāo)準(zhǔn)、組織機(jī)構(gòu)、技術(shù)應(yīng)用等多個(gè)層面構(gòu)建起個(gè)人信息安全保障體系,才能從根本上遏制系統(tǒng)性風(fēng)險(xiǎn)
7月1日,全國人大常委會(huì)第十五次會(huì)議舉行了閉幕會(huì),高票通過了新國家安全法。在新國家安全法中,網(wǎng)絡(luò)建設(shè)與信息安全備受矚目。
早在一年前,2014年7月,中共中央總書記、國家主席、中央軍委主席習(xí)近平在巴西演講中就特別提出了“信息主權(quán)”的概念。他強(qiáng)調(diào),雖然互聯(lián)網(wǎng)具有高度全球化的特征,但每一個(gè)國家在信息領(lǐng)域的主權(quán)權(quán)益都不應(yīng)受到侵犯,互聯(lián)網(wǎng)技術(shù)再發(fā)展也不能侵犯他國的信息主權(quán)。
在專門從事信息安全戰(zhàn)略及技術(shù)研究的中國信息安全測(cè)評(píng)中心總工王軍看來,2014年中國的網(wǎng)絡(luò)信息安全態(tài)勢(shì)不容樂觀,其主要表現(xiàn)為技術(shù)漏洞大量存在,信息安全不可控因素進(jìn)一步凸顯。
地市級(jí)網(wǎng)站成黑客重要“靶場(chǎng)”
據(jù)中國國家信息安全漏洞庫資料顯示,2014年1月至10月我國共新增安全漏洞7510個(gè),日平均新增漏洞數(shù)量約25個(gè)。“這個(gè)數(shù)字是整體呈現(xiàn)上升趨勢(shì)的。”上海社會(huì)科學(xué)院信息研究所研究員王世偉評(píng)價(jià)說。
據(jù)中國信息安全測(cè)評(píng)中心監(jiān)測(cè)發(fā)現(xiàn),2014年1月至10月,全國網(wǎng)站被攻擊次數(shù)達(dá)38000多次,截至10月相關(guān)數(shù)據(jù)總體呈上升趨勢(shì)。全國共發(fā)現(xiàn)惡意網(wǎng)站約2.8億個(gè),從惡意類型數(shù)據(jù)整體分析來看,惡意網(wǎng)站的最大成因是黑客入侵,占總數(shù)的近5成。
“從趨勢(shì)特征來看,2014年的信息安全漏洞具有出新快、危害大、針對(duì)政府網(wǎng)站等重要特征。如‘面具’病毒等新型病毒不僅以單純破壞為主,而且由于其后門功能強(qiáng)大,逐步具有間諜性質(zhì),危害度呈幾何級(jí)放大;又如,微軟瀏覽器存在‘零日漏洞’,這種攻擊往往具有很大的突發(fā)性與破壞性,致使多個(gè)版本的IE瀏覽器受到影響,波及超過50%的電腦用戶。”王軍說,此外,2014年國家與省部級(jí)重要網(wǎng)站漏洞減少,但地市級(jí)政府網(wǎng)站隱患偏大,這些網(wǎng)站成為黑客組織的重要“靶場(chǎng)”。2014年約有200多個(gè)政府網(wǎng)站存在嚴(yán)重安全隱患,多個(gè)政府網(wǎng)站遭黑客組織攻擊篡改;由于被植入非法鏈接等,我國300多個(gè)政府網(wǎng)站發(fā)生安全事件。
除此之外,新技術(shù)新應(yīng)用發(fā)展也在加劇中國網(wǎng)絡(luò)空間系統(tǒng)性風(fēng)險(xiǎn)。
“近年來,隨著移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等網(wǎng)絡(luò)信息技術(shù)的普及應(yīng)用以及在此基礎(chǔ)上即時(shí)通信、社交網(wǎng)絡(luò)、電子商務(wù)、互聯(lián)網(wǎng)金融等網(wǎng)絡(luò)商業(yè)應(yīng)用的持續(xù)創(chuàng)新,網(wǎng)絡(luò)空間技術(shù)生態(tài)更加智能復(fù)雜,商業(yè)價(jià)值不斷凸顯,一系列安全事件影響重大并呈現(xiàn)全球傳導(dǎo)的趨勢(shì)。”王世偉盤點(diǎn)說,“核彈”級(jí)漏洞不斷顯現(xiàn),呈現(xiàn)新、快、危害大等重要特征。
公民個(gè)人信息安全籠罩陰霾
同時(shí),自2013年始,一場(chǎng)公民個(gè)人信息泄露的陰云也開始逐漸展現(xiàn)出聚攏擴(kuò)散之勢(shì):
2013年10月,為如家、漢庭等酒店提供網(wǎng)絡(luò)服務(wù)的浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司因?yàn)橄到y(tǒng)漏洞,近2000萬條酒店客戶入住信息被泄露并通過網(wǎng)絡(luò)傳播下載,引起社會(huì)廣泛關(guān)注并引發(fā)針對(duì)酒店的司法訴訟;
2014年5月,小米論壇官方數(shù)據(jù)庫泄露,涉及800萬使用小米產(chǎn)品的用戶,泄露數(shù)據(jù)包括大量用戶資料,可被用來訪問小米云服務(wù)并獲取更多的私密信息,甚至可通過同步獲得通訊錄、短信、照片、定位、鎖定手機(jī)及刪除信息等;
2014年8月,首起在華外國人非法獲取我國公民個(gè)人信息案開庭,兩名被告人從2005年至2013年6月接受境內(nèi)外客戶委托對(duì)我國公司或個(gè)人進(jìn)行調(diào)查,非法收益達(dá)2096萬余元;
同月,多家快遞網(wǎng)站因存在漏洞遭黑客入侵,有1400萬條個(gè)人信息在網(wǎng)絡(luò)上被層層轉(zhuǎn)賣;
……
“國內(nèi)外個(gè)人信息泄露事件頻發(fā),非法采集、竊取、販賣和利用網(wǎng)絡(luò)個(gè)人信息的黑色產(chǎn)業(yè)鏈不斷成熟壯大,呈現(xiàn)產(chǎn)業(yè)化、集團(tuán)化、跨境化、智能化的趨勢(shì)。我國個(gè)人信息保護(hù)已經(jīng)成為社會(huì)各界廣泛關(guān)注的重大社會(huì)現(xiàn)實(shí)問題。”王世偉分析說,巨大的經(jīng)濟(jì)利益是我國個(gè)人信息安全面臨風(fēng)險(xiǎn)的直接原因。在網(wǎng)絡(luò)經(jīng)濟(jì)大潮下,用戶的個(gè)人信息是電子商務(wù)、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)營銷等各類網(wǎng)絡(luò)活動(dòng)的基本要素,成為商家競(jìng)相開發(fā)的“金礦”和非法分子牟利的工具。
“隨著互聯(lián)網(wǎng)金融的高速發(fā)展,用戶信息成為惡意攻擊目標(biāo)。”同時(shí),王軍注意到,技術(shù)推廣和普及應(yīng)用,使得大數(shù)據(jù)與人們?nèi)粘9ぷ骱蜕钕⑾⑾嚓P(guān),風(fēng)險(xiǎn)的發(fā)生機(jī)會(huì)和連帶效應(yīng)將變得超過以往任何時(shí)期。
在正在主持網(wǎng)絡(luò)安全方向國家項(xiàng)目的王世偉看來,大數(shù)據(jù)時(shí)代個(gè)人信息安全面臨嚴(yán)峻挑戰(zhàn),任何單一固化的保護(hù)模式均難以為繼,只有從法律體系、自律機(jī)制、管理標(biāo)準(zhǔn)、組織機(jī)構(gòu)、技術(shù)應(yīng)用等多個(gè)層面構(gòu)建起立體協(xié)同、動(dòng)態(tài)發(fā)展的個(gè)人信息安全保障體系,才能從根本上遏制我國個(gè)人信息安全的系統(tǒng)性風(fēng)險(xiǎn)。
云計(jì)算爆發(fā)式發(fā)展挑戰(zhàn)監(jiān)管
根據(jù)數(shù)據(jù)顯示,2014年,中國網(wǎng)民手機(jī)商務(wù)應(yīng)用發(fā)展大爆發(fā),手機(jī)網(wǎng)購、手機(jī)支付、手機(jī)銀行等手機(jī)商務(wù)應(yīng)用用戶年增長(zhǎng)分別為63.5%、73.2%和69.2%,遠(yuǎn)超其他手機(jī)應(yīng)用增長(zhǎng)幅度。
在王軍看來,這些高速增長(zhǎng)的數(shù)字,也給人們的生產(chǎn)、生活帶來了嚴(yán)峻的安全威脅,而現(xiàn)有的安全機(jī)制如權(quán)限許可和審查機(jī)制等還存在諸多弊端。
“首先,這種機(jī)制存在局部性特征制約,各廠商制定的審查機(jī)制與執(zhí)行標(biāo)準(zhǔn)各不相同,用戶無法適應(yīng),也給攻擊者留下了可乘之機(jī)。其次,生產(chǎn)廠商制定的安全機(jī)制主要是通過限制用戶對(duì)智能終端設(shè)備的使用權(quán)限來保護(hù)自己的利益,沒有考慮用戶的權(quán)益與安全需求。”王軍介紹說,另外,移動(dòng)互聯(lián)網(wǎng)具有的網(wǎng)絡(luò)融合、應(yīng)用多樣、終端智能、平臺(tái)開放等諸多新特點(diǎn)必定對(duì)監(jiān)管提出新挑戰(zhàn)。在這樣的背景下,上至國家安全下至個(gè)人隱私保護(hù)都變得復(fù)雜而艱巨。
“從移動(dòng)技術(shù)發(fā)展的各環(huán)節(jié)來看都面臨新風(fēng)險(xiǎn)。”王軍說,在巨量的新需求和新應(yīng)用面前,移動(dòng)智能終端的安全問題會(huì)不斷突出,在應(yīng)用層面,移動(dòng)互聯(lián)網(wǎng)面臨的安全威脅則主要來自于惡意軟件和間諜軟件等。
王軍介紹說,惡意軟件攻入設(shè)備,主要目的是竊取數(shù)據(jù),損壞設(shè)備,或打擾用戶等。攻擊者欺騙用戶使之安裝惡意程序或利用設(shè)備漏洞獲取未經(jīng)授權(quán)的遠(yuǎn)程訪問權(quán)限?;谝苿?dòng)智能終端的惡意軟件已經(jīng)成為移動(dòng)互聯(lián)網(wǎng)中最嚴(yán)重的安全問題之一。
而另一項(xiàng)互聯(lián)網(wǎng)技術(shù)——云計(jì)算的發(fā)展,也帶來一些新的安全風(fēng)險(xiǎn)與隱患。
“在政策與法規(guī)層面,云計(jì)算的‘爆發(fā)式’發(fā)展給政府及企業(yè)帶來監(jiān)管上的困難。目前,我國相關(guān)的法律法規(guī)尚不健全,缺乏針對(duì)云計(jì)算環(huán)境下的適用法規(guī),包括對(duì)‘云服務(wù)’提供商和用戶之間的責(zé)任和義務(wù)沒有有效界定。其次,我國尚未制定相關(guān)的評(píng)估標(biāo)準(zhǔn)和政策,以對(duì)‘云服務(wù)’提供商進(jìn)行以安全為主要內(nèi)容的評(píng)估監(jiān)督。”王軍介紹說,在技術(shù)與應(yīng)用層面,我國云計(jì)算應(yīng)用領(lǐng)域和應(yīng)用范圍的不斷擴(kuò)大以及國外云計(jì)算廠商的深度參與,也給國家安全帶來潛在安全隱患。
“我國需加強(qiáng)自主可控云計(jì)算安全技術(shù)的研發(fā),杜絕云計(jì)算安全技術(shù)和應(yīng)用尤其是電子政務(wù)云建設(shè)依賴國外主流公司的情況,這是解決我國云計(jì)算安全問題以及云中數(shù)據(jù)安全問題的關(guān)鍵點(diǎn)之一。”王軍說。