信息化新阶段的网络安全

01.12.2014  19:42

邬贺铨 中国工程院院士

  简介:信息化新阶段导致网络安全内涵不断扩展,网络安全不断面临新的挑战,应当提高创新能力,健全网络法制,保障网络安全。

   信息化新阶段导致网络安全内涵不断扩展

  当今世界,信息科技革命日新月异,互联网已经融入经济社会发展的方方面面。2014年是我国接入国际互联网20周年。据统计,到2014年中,我国互联网普及率已达46.9%、同比增6.9%,手机网民5.27亿、同比增13.5%。中国互联网发展进入新的十年,宽带化、移动性、泛在性成为互联网应用的显著特征。毫无疑问,拥有6亿多网民的中国已经是网络大国,同时也是信息窃取、网络攻击的主要受害者,面临着巨大的网络安全压力。

  宽带化是互联网发展的必然要求。2013年8月我国发布宽带中国战略及实施方案,要求到2015年固定宽带家庭普及率和3G/4G用户普及率分别达到50%和32.5%,2020年分别达到70%和85%;城市和农村家庭宽带接入能力基本达到20 Mbps和4Mbps,2020年分别达到50Mbps和12Mbps。随着宽带中国战略的实施,2014年第三季度,中国网民平均可用下载速率超过4Mbps,相对2013年同期的3Mbps提升33%。

  “大智移云”(大数据、智能化、移动互联网和云计算)是互联网发展的又一重要特征,或者说信息化发展进入到“大智移云”新阶段。这里的智能化包括物联网的感知和大数据的挖掘所支撑的用户体验。

  网络安全的问题越来越突出,网络安全内涵也在不断扩展。过去,人们通常把网络基础设施的安全称为网络安全,把数据与内容的安全称为信息安全。但从2011年以来,美国、英国、法国、德国、俄罗斯、澳大利亚、加拿大、韩国、新西兰等国家纷纷制定国家Cyberspace战略或Cyber Security战略(Cyberspace目前尚无普遍认可的中文翻译,有人称为网络空间,但更多的称为赛博空间),以争取和保持在信息化新阶段的国家安全的战略优势地位。Cyberspace(赛博空间)包含网络基础设施、数据与内容以及控制域,即覆盖传输层、认知层和决策层,其范围还将从目前的互联网拓展到各类网络、各类数据链和所能链接及管控的各类设备。Cyber Security(赛博安全)的含义不仅是传统的网络基础设施安全,还包括信息层面即数据或内容的安全以及执行决策层面的安全,即与信息化有关的非传统安全的综合。

   信息化新阶段网络安全面临的挑战

   网络安全挑战越加严峻。 中国互联网发展报告(2014)》报道,我国面临大量境外地址攻击威胁,国家互联网应急中心监测发现在2013年我国境内1090万余台计算机主机被境外服务器控制,其中源自美国的占30.2%。我国境内6.1万个网站被境外控制,较2012年增长62.1%。2013年针对我国银行等境内网站的钓鱼页面数量和涉及的IP地址数量分别较2012年增长35.4%和64.6%。

   移动互联网的安全问题甚至比桌面互联网更严重。 根据思科公司统计,2013年全球移动数据流量增长了81%,预计到2018年还将较2013年增长11倍,其中半数流量通过Wi-Fi接入移动互联网。2013年底我国4G牌照的发放加快了移动互联网的发展。截至2014年6月我国移动智能终端用户数占全球30%,移动互联网用户数5.27亿,占网民总数83.4%,占移动用户数的41.8%,移动互联网接入流量同比增长44.7%,户均移动互联网接入流量达到每月175MB,其中手机上网流量占比提升至84.1%。大量移动互联网用户的增加导致了移动终端的设备越来越多样,这也意味着管理起来将更加困难。移动终端因功耗等限制,无法像PC(个人计算机)那样内置功能强大的防火墙。移动终端相比PC涉及的用户身份信息多,具有定位能力但可被跟踪,移动支付还涉及银行账号,移动终端的安全问题比PC严重得多。据统计2013年移动互联网新增恶意程序样本较2012年增长3.3倍。据360安全中心报告,2014年上半年标记骚扰电话号码8330万,拦截垃圾短信385.6亿,拦截伪基站短信12.38亿。安卓移动操作系统尽管已经使用了针对应用软件的签名系统,但黑客仍然能使用匿名的数字证书来签署他们的病毒并发放。安卓4.0版本中内置的无线通信接入的密码远程备份功能可被用来定位用户,苹果公司的手机云计划能够读取用户在手机云中所存的信息。再如,基于智能终端的移动支付方便了用户,但传统的账号+密码+短信的身份验证方式存在安全风险,手机卡可能被复制,验证短信有可能被劫持,支付指令在传输中也可能被篡改。据报道,受美国标准委员会NIST批准,美国家安全局(NSA)和加密公司RSA达成了价值超过1千万美元的协议,在移动终端所用的加密技术中放置后门,使NSA通过随机数生成算法Bsafe的后门程序破解各种加密数据。可见,移动互联网的安全问题是当前网络安全面临的一个重要挑战。

   大数据、云计算也是信息安全防御的新重点。 伴随移动互联网等的发展,大数据近年受到越来越多关注。据BBC公司统计,2013年全球互联网流量每天为2.7EB,全球新产生的数据年增40%,每两年就可以翻番。大数据的挖掘可应用到经济、政治、国防、文化等各领域。大数据是信息化新阶段的特征,也是网络安全防御的新重点。我国对大数据的存储、保护和利用重视不够,导致信息丢失或不完整,同时存在信息被损坏、篡改、泄露等问题,给国家的信息安全和公众的隐私保护带来了隐患。此外,宽带化以及信息化应用的深入推动了云计算发展。个人的云存储、企业的云制造,还有云政务等在近年迅速发展。据统计,到2015年全球数据中心的一半都会基于云计算技术。与全球云计算行业的复合年增长率23.5%相比,我国云计算市场增长更快,年增长率超过40%。云计算能力的分布化、虚拟化、服务化是云计算的技术基础,但云计算平台如果被攻击,出现故障,就会导致大规模的服务器瘫痪。

   物联网的安全问题不容忽视。 物联网节点数很多,不易于管理,节点的数据可能被篡改或者假冒,这是物联网安全的重大隐患。比如,现在物联网已经应用到了医疗设备上,如果像心脏起搏器这样的设备被黑客攻击,将直接影响到人的生命安全。黑客还能够通过智能电视、冰箱以及无线扬声器等发起攻击。在全球首例物联网攻击事件中,10余万台互联网“智能”家电在黑客的操控下构成了一个恶意网络,并在两周时间内向那些毫无防备的受害者发送了约75万封网络钓鱼邮件。谷歌眼镜会对它拍下的所有照片进行扫描,如果拍下或看到的二维码含有恶意,这种二维码在谷歌眼镜被解析后可劫持谷歌眼镜,它所能监视的不仅仅是你的生活——实际上是你在看什么它就能看到什么,你听什么它就能听到什么,甚至不经谷歌眼镜主人控制就发出去,这带来严重的隐私泄漏问题。

  此外,工业控制系统的安全也需要加强,2012年4月黑客入侵了美国的智能电表系统并修改了电表数据。还有一些国家刻意准备网络战,目的是破坏对方的信息系统并进而摧毁能源、交通等基础设施,著名的案例是2010年9月伊朗的铀燃料浓缩设施被“震网”病毒攻击而瘫痪。这些都值得我们警惕。

   提高创新能力,健全网络法制,保障网络安全

  提高技术自主创新能力。当前,我国所用的PC操作系统和手机操作系统技术几乎都源自国外,核心芯片依赖进口,这是很大的隐患。在网络安全方面,如果自己没有过硬的技术,就很难实现安全可控的管理。斯诺登事件爆出美国大规模入侵华为服务器就是一例。外国的核心技术是买不来的,也是市场换不来的,但我国的市场对培育自主创新的技术和产品是必不可少的。这就要求我们在培育网络核心技术方面也要发挥市场在资源配置中的决定性作用和更好发挥政府的作用。

  加快建设网络人才队伍。建设网络强国,维护网络安全,需要建设一支政治强、业务精、作风好的强大人才队伍。要培养造就世界水平的科学家、网络科技人才、卓越工程师、高水平创新团队。

  在国际互联网治理中积极发挥作用。建设网络强国,需要我们有与网络大国相适应的国际互联网治理的话语权。当前,尤其要抓住向IPv6(互联网协议第6版)转换的机会极力争取根服务器落户中国,积极宣传我国发展互联网的政策,共同维护国际互联网秩序。

  网络安全需要法制保障,尽管物理世界的法律应该而且也能用到虚拟世界,但虚拟世界还需要有专门的法律,我们需要有网络安全法、隐私保护法等。