安全無憂 還有多遠？

文｜本刊記者 王景

2014年，云計算、物聯(lián)網(wǎng)等新技術新應用將得到進一步推廣，這些新技術所帶來的安全隱患將會進一步加大，我國的信息安全也將面臨更加嚴峻的挑戰(zhàn)。同時，國際信息安全環(huán)境也日趨復雜，大規(guī)模網(wǎng)絡空間沖突一觸即發(fā)，貿易保護“安全壁壘”成風，西方國家繼續(xù)加強對我國的網(wǎng)絡遏制，網(wǎng)絡空間安全問題更加突出。

2013年6月，前中情局（CIA）職員愛德華?斯諾頓曝光美國國家安全局的“棱鏡”項目，該項目為秘密項目，其內容是要求電信巨頭威瑞森公司必須每天上交數(shù)百萬用戶的通話記錄。6月6日，美國《華盛頓郵報》披露稱，過去6年間，美國國家安全局和聯(lián)邦調查局通過進入微軟、谷歌、蘋果、雅虎等九大網(wǎng)絡巨頭的服務器，監(jiān)控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。世界輿論隨之嘩然。

此次的“棱鏡門”事件促使歐盟重新審視與美國簽署的安全港數(shù)據(jù)隱私協(xié)議，也提高了外國政府購買及部署美國技術的警惕性。“棱鏡門”事件曝光后，眾多企業(yè)及個人都把對信息安全問題的關注提升到了更高層次。

就在“棱鏡門”事件曝光后不久，隨著“余額寶”、“百發(fā)”等網(wǎng)絡金融產品的迅速風靡，人們再度將目光聚集到信息安全問題上。2014年春節(jié)前后，一篇討論手機失竊之后支付寶可能存在巨大安全漏洞的文章，在網(wǎng)絡上瘋狂傳播。雖然最后被證明，文中提及的很多“漏洞”并非實情，但它的流傳之廣已經(jīng)說明，越來越多人關注自己的信息安全。

信息安全上升到國家戰(zhàn)略高度

《2006—2020年國家信息化發(fā)展戰(zhàn)略》對未來我國信息化發(fā)展的目標、任務、戰(zhàn)略重點以及措施等都做出了系統(tǒng)要求。九大戰(zhàn)略重點分別為：推進國民經(jīng)濟信息化；推行電子政務；建設先進網(wǎng)絡文化；推進社會信息化；完善綜合信息基礎設施；加強信息資源的開發(fā)利用；提高信息產業(yè)競爭力；建設國家信息安全保障體系；提高國民信息應用能力，造就信息化人才隊伍。不難看出，信息安全問題已上升到國家戰(zhàn)略高度。

實際上，早在去年兩會期間就有多位人大代表提案重視信息安全，加快信息安全立法。全國政協(xié)委員張紅武就在兩會期間提出“重視信息安全，加大國產數(shù)據(jù)庫管理系統(tǒng)的支持力度”的提案，他認為，目前的中國已進入信息社會，信息成為一個國家、一個部門、一個企業(yè)最重要的資源。管理信息資源最基礎的軟件是數(shù)據(jù)庫管理系統(tǒng)——DBMS（由Database Management System縮寫而成），DBMS是保存、管理、檢索、維護信息的科學高效的工具，在網(wǎng)絡支持下，人們通過DBMS可以快速獲取所需的各種信息。

然而，長期以來，我國的各處信息管理系統(tǒng)大都建立在國外的DBMS之上，其中每年要花費上百億人民幣購買美國的DBMS。這不僅耗資巨大，而且更重要的是在軍事、政治、商業(yè)、技術上存在潛在的巨大威脅。現(xiàn)代戰(zhàn)爭是電子戰(zhàn)、信息戰(zhàn)，顯而易見，由于外國的DBMS在我國的軍事、公安、中央機要部門的信息領域占統(tǒng)治地位，因而將可能對國家形成隱患。

通過網(wǎng)絡和DBMS的隱通道可獲取用戶查詢的任何信息，近些年，韓國、澳大利亞發(fā)生過商業(yè)技術機密被竊取的案例，在其他國家甚至在我國，情報和錢財被竊事件也屢屢發(fā)生，信息系統(tǒng)被破壞，病毒和軟炸彈可隨時破壞信息系統(tǒng)。如果不從根本上改變這種狀況，國家將沒有什么秘密可言，后果不堪設想。

近年來，美國以國家信息安全為由，一直在阻止中國企業(yè)的IT產品在美國本土參與競標，同時阻撓中國企業(yè)并購美國高科技企業(yè)，防止中國企

業(yè)獲取核心技術。特別是在2012年美國眾議院指控華為、中興威脅國家安全，2012年10月8日，在一份有關華為和中興的調查報告中，美國眾議院常設特別情報委員會得出這樣一個結論：華為和中興對美國國家安全構成威脅，它們制造的設備可以通過遙控向中國發(fā)回數(shù)據(jù)，有間諜嫌疑，應該對其在美開展的業(yè)務進行嚴厲限制。

中國IT企業(yè)在美國頻頻受阻，反觀中國，國家信息系統(tǒng)安全形式嚴峻。當前，我國的信息安全保護機制還相當薄弱，在許多采購案例中，我們仍可以看到，關鍵設備使用國外產品，重要系統(tǒng)也采購于國外，這等于把自己的秘密置于別人的眼皮底下，這種現(xiàn)象給我國信息安全帶來很大的隱患。

浪潮集團董事長孫丕恕認為，造成這種情況最根本的原因是中國缺乏明確的法律法規(guī)，沒有完善審核監(jiān)管體系，而美國是從國家立法層面對信息安全予以重點保障，對信息安全有明確的規(guī)定，也有一整套的等級保護體系和評測審查手段，如全球供應鏈審查、源代碼備案、采購目錄清單等層層設防。

新技術帶來新的安全威脅

2014年，云計算、物聯(lián)網(wǎng)等新技術新應用將得到進一步推廣，這些新技術所帶來的安全隱患將會進一步加大，我國的信息安全也將面臨更加嚴峻的挑戰(zhàn)。同時，國際信息安全環(huán)境也日趨復雜，大規(guī)模網(wǎng)絡空間沖突一觸即發(fā)，貿易保護“安全壁壘”成風，西方國家繼續(xù)加強對我國的網(wǎng)絡遏制，網(wǎng)絡空間安全問題更加突出。數(shù)據(jù)統(tǒng)計顯示，在過去的幾年中，每年惡意軟件的增長量都高達35%，這一趨勢也將持續(xù)。在2014年，惡意軟件有了新的攻擊方式，它與有效的盈利模式結合，能夠得到更快的執(zhí)行和更快的拓展，越來越猛烈，所以用戶要不斷完善惡意軟件攻擊的系統(tǒng)。

與此同時，近期網(wǎng)絡上新出現(xiàn)的一種綁架式攻擊——CryptoLocker，成為威脅信息安全的勁敵，目前每周約有12000臺計算機會感染這個病毒。這種新型的蠕蟲病毒會假冒企業(yè)郵箱的名義，給用戶發(fā)送郵件，當用戶點擊這個郵件以后，電腦就會中毒。病毒會去查找用戶的文檔，如Excel文檔或者PPT文檔，然后把文檔進行加密，使用戶無法打開。加密之后，病毒的后臺會給用戶推送一封郵件，向用戶索要大量的金額，用戶支付之后，就可以解鎖。如果不支付，文件則徹底消失。

一方面，這種攻擊仿冒企業(yè)郵件的方式，而用戶對于企業(yè)或公共機構的郵件會放松警惕；另一方面，因其病毒采用的加密算法很難破解，病毒系統(tǒng)設計得很精巧，它能夠根據(jù)用戶的E—mail去尋找對應的聯(lián)系人，生成相應的密鑰。業(yè)內人士認為，這種創(chuàng)新的攻擊和綁架方式，是一個有一定投資行為的，有組織的攻擊，而這種模式在2014年也會被大量復制。

2013年12月18日，中國移動在廣州舉辦了“2013中國移動全球合作伙伴大會”。目前，全世界已有18個國家共部署了23張TD-LTE商用網(wǎng)絡，另有40余個商用網(wǎng)在計劃部署中，全球用戶規(guī)模已突破500萬。隨著4G的日益覆蓋，必將引領一場大數(shù)據(jù)革命，然而，在3G時代信息泄露問題就已經(jīng)成為最受關注的問題之一。

目前的移動互聯(lián)市場依舊處于“粗放型”發(fā)展期，安全隱患愈加突出。4G牌照的發(fā)放，讓移動互聯(lián)網(wǎng)進一步提速，基于移動互聯(lián)網(wǎng)的云計算、物聯(lián)網(wǎng)和移動應用發(fā)展又將迎來一個新高潮，廣大用戶及企業(yè)的信息安全問題勢必更加復雜。數(shù)據(jù)顯示，截至今年6月底，中國手機網(wǎng)民有4.64億，占網(wǎng)民數(shù)量的78.5%，手機超越臺式電腦成為第一大上網(wǎng)終端，但其潛在的信息安全威脅也將更加令人擔憂。

騰訊移動安全實驗室近期發(fā)布的手機安全報告已對4G移動網(wǎng)絡存在的信息安全問題做出預警，報告顯示，在新一代4G等移動網(wǎng)絡中，用戶更容易受到手機病毒、惡意程序和廣告程序攻擊，手機隱私泄露、流量資費消耗等一系列安全問題也將更加突出。普華永道也于去年12月11日發(fā)布了針對全球企業(yè)的最新信息安全狀況調查。調查顯示，全球信息安全事故正不斷增長，企業(yè)的修復成本亦呈上升趨勢。全球被檢測到的信息安全事件總數(shù)同比增長了25%。增長量在各行業(yè)不盡相同，其中在金融服務業(yè)信息安全事件的增長高達170%。

信息安全關乎每一個人

對于個人用戶來說，信息安全意味著賬戶里的存款或者重裝系統(tǒng)和找回資料所花費的時間。隨著移動設備的普及以及移動應用的“無所不能”，越來越多的移動設備承載著前所未有的信息量，移動支付的迅速擴張也使移動設備的安全性日益重要。目前，國內手機支付市場呈井噴式的增長。中國支付清算協(xié)會近日發(fā)布的《中國網(wǎng)絡支付安全白皮書》顯示，2013年移動支付市場規(guī)模預計超過8000億元，達到2012年規(guī)模的5倍以上。360手機安全專家也指出，2013年針對手機的病毒、木馬明顯增多，直接針對手機應用的支付隱患增加，手機相比PC端更安全的看法已經(jīng)改變。手機相對PC更隱私和封閉，PC端的防護措施相對成熟，這使得手機安全問題更顯突出。另外，手機支付在掃二維碼、獲取驗證碼以及快捷支付上隱患相對較多。

許多手機木馬進入用戶手機并盜取相關信息。用戶若發(fā)現(xiàn)收到多條驗證碼，或其它不信任信息提醒的時候，要提高警惕，你的手機很有可能已經(jīng)中招。應對手機端復雜的支付風險，除了用戶提高警惕外，還需要依賴專業(yè)的解決方案。目前，360手機衛(wèi)士已提供一整套解決方案來保障移動支付安全。據(jù)悉，前不久360手機衛(wèi)士已推出安全市場，通過360的QVS+云查殺雙核查殺引擎對市場中的應用進行在線安全檢測，以排除用戶在下載應用軟件過程中帶來的安全隱患，從源頭解決手機面臨的安全威脅，這或許就是其解決方案的一次首著陸。

對于企業(yè)用戶來說，信息安全意味著資料泄密帶來的激烈競爭和業(yè)務癱瘓所造成的銷售損失。在企業(yè)移動信息化的大勢所趨之下，信息安全的重要性被越來越多的企業(yè)上升到企業(yè)戰(zhàn)略高度。數(shù)據(jù)顯示，49%的中國公司十分關注安全性和隱私性，并且普遍認為這是一個亟待解決的問題。相比而言，亞太及日本地區(qū)和美國的相關數(shù)據(jù)分別為30%和28%。事實上，三分之二的中國企業(yè)正在部署企業(yè)移動化戰(zhàn)略，以提升移動設備獲取數(shù)據(jù)和應用的安全性，這一比例在亞太地區(qū)中最高。

業(yè)內人士認為，首席信息官正面臨著技術快速變化和發(fā)展帶來的巨大壓力。移動化提升了內部用戶系統(tǒng)和面向客戶系統(tǒng)的復雜性。移動安全至關重要，如果企業(yè)不采用有效、集成的移動設備管理技術，移動設備很快就會被淘汰。沒有制定移動化戰(zhàn)略的企業(yè)將面臨許多潛在風險，比如說不遵守重要法規(guī)、無意中泄漏企業(yè)信息、或由于糟糕的移動應用購物體驗對品牌聲譽造成負面影響等。

實際上，無論是企業(yè)還是個人，信息安全大多可以金錢來衡量，而如果將信息安全的重要性上升到國家層面，那么它不僅關乎我們每一個人的過去和現(xiàn)在，更關乎著我們的未來。