社交网络成为黑客攻击和网络犯罪的新途径。2014年基于社交网络的恶意程序攻击将增多,甚至可能出现利用社交网络发布命令、实施控制的新型僵尸网络,社交网络免费开放的第三方应用接口将成为黑客进行违法犯罪活动的突破口。
云平台的应用普及加大信息泄露风险和事件处置难度。随着云平台的应用普及和大数据技术的发展,一方面,集成大量同类数据的云端如同“地下宝藏”,其一旦发生信息泄露,将对整个行业造成影响。另一方面,由于云平台使用方便、成本低廉,黑客将大量利用云平台进行钓鱼网站部署、恶意程序传播控制和网络攻击跳板,而云平台的使用给传统基于IP地址的追踪溯源带来困难,事件处置难度进而增大。
移动支付安全和移动终端漏洞成为移动互联网发展的新挑战。2014年,4G网络的大面积商用将进一步推动各类金融、证券、电商等移动应用的普及,这也将导致针对移动互联网应用的仿冒App和恶意插件增多。此外,针对智能终端设备硬件、操作系统、应用程序等的安全漏洞挖掘将增多,这将导致针对移动互联网和智能终端的攻击增多。大量智能终端设备通过家用无线路由器、公用WiFi等接入互联网,通过这些设备进行网络劫持和网络钓鱼等事件的曝光,暴露出诸多安全隐患。
微软停止对Windows XP系统的服务支持可能导致零日漏洞攻击增多。2014年4月8日,微软将正式停止对Windows XP系统的技术支持与更新。由于Windows XP系统市场占有份额高,据统计在我国安装和使用该系统的计算机将近2亿台,一旦系统支持与更新停止,这些计算机将面临严重安全风险,黑客可能会加强对该系统的零日漏洞挖掘,用于对高价值目标计算机攻击或控制,造成信息泄露、系统瘫痪、经济损失等严重后果。
传统短信验证和新兴二维码扫描方式背后均面临安全风险。2014年通过手机木马劫持支付验证码短信,窃取用户账户信息的活动将呈高发态势。黑客利用手机木马拦截验证码短信,并进一步套取用户网络支付账号和密码。此外,二维码隐蔽性高,制作成本低,其背后未经安全认证的网站链接和应用程序逐步成为黑客的青睐对象。
开药方 制定国家级网络信息安全战略
没有网络安全,就没有国家安全。以互联网为核心的网络空间已成为第五大战略空间,各国均高度重视网络空间的安全问题。2013年,斯诺登披露的“棱镜门”事件如同重磅炸弹,更是引发了国际社会和公众对网络安全的空前关注。
在我国,随着“宽带中国”战略推进实施,互联网升级全面提速,用户规模快速增长,移动互联网新型应用层出不穷,4G网络正式启动商用,虚拟运营商牌照陆续发放,网络化和信息化水平显著提高,极大促进传统产业转型升级,带动信息消费稳步增长。
维护互联网网络安全,是保障各领域信息化工作持续稳定发展的先决条件。我国政府相关部门、互联网服务机构、网络安全企业和广大网民对网络安全的重视程度日益提高,不断加强自身防护水平,加大网络安全威胁治理力度,积极参与网络安全国际合作,以期建立安全可信的网络环境,确保基础网络和重要信息系统安全运行,促进产业经济稳定发展。对此,这份报告对我国互联网网络信息安全提出了下述建议。
加快推动制定网络安全战略和相关政策,统筹规划网络安全保障能力。报告建议,尽快制定我国国家级网络信息安全战略,同时制定相关的配套法规政策,明确相关主体工作内容和责任义务。此外,建议加强网络安全保障工作的顶层设计,继续健全跨部门、跨行业、跨地域的网络安全保障协作机制,实现国家全局网络安全能力的协同联动和专业支撑。
加大网络安全工作投入,提高网络安全防护意识。报告建议相关行业、企业和政府部门,加大在网络设备和技术研发方面的投入,强化安全防护和管理,提高自身应对网络安全新风险的能力,以减少技术不断发展引起的网络安全隐患。同时,进一步加强对网络安全的重视程度和安全意识。
加强网络安全技术手段建设,提高对网络攻击主体的追溯能力。建议加强实现网络安全技术手段的研究和建设,提高对网络攻击的威胁监测、全局感知、预警防护、应急处置、协同联动等能力,并进一步提高对网络攻击的追踪溯源能力。
提高核心设备国产化水平,加快完善信息安全审查制度。建议加强网络关键设备和核心技术的研发与推广,提高重点行业和重要信息系统中联网设备软硬件的国产化水平,提升软硬件产品和服务的自主可控能力。这份报告也认为,在较长一段时间内,我国各部门仍然不可避免地要使用国外主流网络设备和互联网服务,建议加强对联网系统的安全防护检查和动态监测能力,提高对系统漏洞的发现能力,并尽快完善信息安全审查制度框架。
加强移动互联网恶意程序治理,维护良性的移动生态环境。这份报告建议政府主管部门加大移动互联网监管力度,从制作、发布、传播环节加大对恶意程序的打击力度,在源头上遏制移动互联网地下黑色产业链的蔓延。同时,建议通信行业、互联网行业、软硬件厂商等充分发挥优势,加强行业联动和信息技术共享,提升对移动互联网恶意程序的监测能力,提高处置效率。