“2010年我国网络安全态势总体平稳,全国范围内或省级行政区域内没有发生通信网络基础设施的重大安全事件,基础电信运营企业、国内域名注册管理和服务机构业务未发生重大网络安全问题。”工信部电信研究院专家马志刚博士在业内会议上表示。
“2010年我国网络安全态势总体平稳,全国范围内或省级行政区域内没有发生通信网络基础设施的重大安全事件,基础电信运营企业、国内域名注册管理和服务机构业务未发生重大网络安全问题。”工信部电信研究院专家马志刚博士在业内会议上表示。
2010年,我国网络安全威胁主要体现为来自公共互联网环境的安全威胁。 “2010年病毒数量下降,网民经济损失显著上升;钓鱼网站数量激增,挂马网站威胁降低;僵尸网络问题依然严重;政府网站被篡改的数量急剧上升。”
网络配套安全措施亟待完善
目前,网络战争威胁持续不断,各国政府持续实施网络信息安全综合行动。在配套措施方面,各个国家大力实施网络安全立法,美国、英国持续进行信息安全网络评估,将互联网威胁定性为这些国家面临的最大的安全风险。同时网络舆论引发的危机,例如埃及和阿尔及利亚的示威游行,社交/微博等新应用推波助澜。
去年,多个国家参加了互联网实战演习。2010年9月美国举行了“网络风暴3”的演习,欧盟开展了2010网络演习,韩国也开展了网络碉堡的演习;此外,围绕着维基解密进行网络安全攻与守在不断升温,已经演化成为事实上的网络战,维基解密也在“披盔戴甲”,抵御各种合法的攻击,维持网站正常运作。
我国对通信网络与信息安全工作也在有序展开,保障能力逐步提升。在《关于加强和改进互联网管理工作的通知》中,提出进一步加强和改进互联网管理的新思路、新举措,对互联网管理体制和工作格局作出调整。同时,我国还出台了《通信网络安全防护管理办法》和《基础电信企业信息安全责任管理办法》,并启动了《通信网络与信息安全“十二五”规划》编制工作。
在我国通信网络专项治理工作中,对手机淫秽色情信息开展了专项整治行动;各基础电信企业分别成立了信息安全专门机构;加装WAP网关违法有害信息发现和过滤系统;建设手机网站内容拨测系统;出台《移动上网日志留存规范(试行)》;加强手机搜索业务管理;加大了违法有害信息受理力度。同时,随着我国三网融合试点工作全面展开,国务院成立了三网融合安全评估小组,对三网融合试点进行全方位的安全评估工作。
值得注意的是,在我国互联网企业竞争中,用户权益常常被漠视。目前在互联网软件大部分缺乏稳定的盈利渠道,为了实现盈利,软件里面经常被插入大量的插件、垃圾软件,软件厂家进行更新时强制安装,谋取利益,这些现象屡禁不止,大规模应用软件存在着一些安全隐患,大规模应用软件一旦出现安全问题,将引发严重的后果,但是目前仍然没有得到足够的重视。大规模应用软件的用户安全知识普遍不足。
我国网络信息安全法律法规还需要健全完善,基础企业防范应对非传统网络安全能力显著加强,但增值电信企业和域名服务机构安全防护仍相对薄弱。同时,我国亟需强化对用户数据及用户其他合法权益的安全保障力度,需要从多方进行保障,对用户个人信息的保障必须提升到行业监管的议事日程上来。
马志刚表示,我国应尽快致力提升系统软件、网络设备、重要应用软件的国产化程度,同时监管部门进一步针对性的对应用提供商在安全技术手段建设、安全管理手段建设和安全事件上报机制等方面提出要求,并建立应急预案和建设专业的应急组织,在互联网领域出现紧急事件时,能够提升应急和协调能力。可考虑实现不同即时通信软件之间的互联互通,实现互为备份。
新技术、新业务的新安全隐患
随着移动互联网和智能手机的普及,移动互联网信息安全存在隐患,软件应用商店审核不严导致大量恶意代码散播,大量推出我国法律法规禁止的内容,造成严重安全后果。同时,黑莓独特的加密技术引发各国担忧,中东等多国纷纷要求监控黑莓通信服务。
马志刚博士表示,“智能终端有可能成为新的病毒重灾区,智能终端风险不断加大。”
据《华尔街日报》报道,部分Android应用在不断搜集用户位置信息,56%的智能手机应用向第三方泄漏隐私。智能手机问题大增,手机病毒黑色产业链已经形成,并且在不断的发展。
这就要求“必须从多个环节进行监管,中间环节加强管理,对操作系统进行漏洞通报,与厂商沟通了解操作系统的动态,网络服务商对非法的要及时下架”, 马志刚表示。
此外,云计算、物联网成为安全关注的焦点问题。在云计算上目前存在几大问题,云计算服务商可能以用户未知的方式越权访问用户数据;SSL加密仅仅解决数据传输安全,未能解决数据存储和处理安全,即使采取隔离技术,如何为用户访问数据提供安全认证又成为重要的安全问题等。
物联网方面也存在着一些问题。传感智能节点将成为网络入侵的最佳目标,感知层多元异构数据需要信息安全保护技术进行自我重构。此外还面临嵌入RFID芯片的物品被非授权感知,感知信息在无线网络传输中被非授权拦截等情况。
2011年安全趋势
新业务应用安全将成为关注重点,应用网络和IT基础设施的运行安全和安全防护重要性凸显,IPv6,三网融合、云计算、物联网等信息安全问题研究将更加深入,马志刚表示,应加强对新技术新业务带来的网络信息安全风险的跟踪研究,建立新技术新业务网络信息安全评估机制、电信业务对外开放网络信息安全评估机制。同时针对一些隐患,国内现有的应用网络和互联网IT基础设施还存在诸多监管盲区,行业呼吁新的监管模式和更有效的监管手段。
由于IPv6网络部署进入实质性推进阶段,运营安全问题进一步凸显。在DNS体系不同层级之间建立安全可靠的信任关系势在必行,目前,我国域名注册信息实名率仅23%,中国已经成为世界上第二大拥有仿冒域名及网站的国家。我国需要及时完成相关安全设备系统的升级改造,建立相关的配套安全验证和管理机制并不断升级优化。2010年发生的“百度被黑”事件凸显域名安全已成为基础网络中的安全短板,需要从实名制准入、定期审查,检查惩戒等环节加强全过程的监管能力。
同时,云计算、物联网的发展面临安全方面的严峻挑战。云计算面临存储数据安全、黑客攻击损失以及保护隐私的法律风险,用户数据和应用托管在云计算上面临泄漏和非授权使用的风险。承载大规模业务和用户的云计算平台本身易成为黑客攻击的目,而一个大规模云计算平台的瘫痪对于用户的损失是不可估量的。云服务大规模的资源能力如果被黑客或者病毒利用,可能造成比僵尸网络更大的网络危害。物联网面临安全传输,恶意入侵和隐私泄密等重大安全风险。总之,云计算与物联网的发展无法阻挡,确保产业的健康与安全,完善法律法规、制定相关标准、探索新的监督模式和监管技术手段是当务之急。
最后,网络空间越来越成为主权纷争的重要战场。传统与非传统安全问题相互交织,与国家利益相关的网络安全威胁更趋多样复杂。