信息安全要沦陷?还能怎样绝地反攻

2016年年初,由360互联网安全中心调查研究《2015年度中国网站安全报告》显示:被调查网站中43.9%存在安全漏洞,一年或有55亿条信息因网站漏洞泄露。在互联网黑市交易中,平均一份个人信息数据5美元。而根据去年流出的数据量,这个灰色地带的市场总额已经达到500多亿,比小米公司去年的市值还高。

一九四九年,作家乔治奥威尔出版小说《一九八四》,描绘了一个老大哥无所不在的监控世界,人们的一举一动都在监控之中,无所遁形。作品除了表达对极权统治,对乌托邦理想的讽刺之外,也侧面反映了人们对于信息安全的渴望。

半个多世纪过去,随着移动互联网、云服务、物联网等新兴事物的风起云涌,手机号码、家庭住址、工资收入等个人信息越来越多暴露于移动互联网当中。

网络边界无法判定,信息窃取手段越来越高明,传统的安全思路已难以应对大数据时代的信息安全挑战。

2014年,美国斯诺登“菱镜”事件震惊世界,2016年,美国总统候选人希拉里更因邮件门憾失总统宝座。

信息安全告急。

由信息泄露造成的悲剧越来越多,上至国家机器,下至企业个人都需要立刻重视个人信息的安全。一场信息保护的序幕已经拉开。

根据IDC报告,2015年中国信息安全市场规模约为27亿美元,约合162亿人民币。预计到2019年,国内信息安全产品市场规模有望达290亿人民币,年复合增长率为16.5%,整个信息安全市场空间巨大。

  警钟为谁鸣

2015年,我国政府机构和重要信息系统部门的事件性漏洞近2.4万起,约是2014年的2.6倍。近5000个IP地址感染窃密木马、约2.5万个网站被恶意篡改。

2016年年初,由360互联网安全中心调查研究《2015年度中国网站安全报告》显示:被调查网站中43.9%存在安全漏洞,一年或有55亿条信息因网站漏洞泄露。2016年网络世界用户数据外泄事件频发,上半年就有LinkedIn、MySpace、Tumblr以及雅虎等网站传出数年前的旧数据在黑客之间交易流传进而在黑市出售,Dropbox更是承认6800万用户资料外泄。

著名科技博客网站GigaOmce曾报道,在互联网黑市交易中,平均一份个人信息数据5美元。而根据去年流出的数据量,这个灰色地带的市场总额已经达到500多亿,比小米公司去年的市值还高。

利益驱使之下,不断有人以身试法,信息的盗取越加猖狂。

中国互联网协会发布的《2016年中国网民权益保护调查报告》显示:2015年下半年到2016年上半年,我国因诈骗信息、个人信息泄露等遭受经济损失高达915亿元,人均133元。

  凶手
信息安全已经告急,那么,谁是真正的凶手?

第一个凶手,是信息企业本身。

“对于企业而言,应从两个方面着手规避有可能出现的安全问题:一是加强企业的安全意识,二是通过安全公司提供安全防护。”奇虎360总裁齐向东说。

企业的安全意识普遍并不高。

根据数字安全公司Gemalto发布的《2014年网络数据安全报告》显示,大部分数据泄露事故并不需要黑客攻击或者政府组织攻击这样高端的技术。70%的事故主要是因为外部或内部恶意代码侵入。12306订票网站泄露的账户信息就是恶意代码侵入,这些事实和公司行为不无关系,视公司对数据库安全投入程度而定。IDC数据显示,2013年的320亿家公司中,只有26%都对数据安全做了部署。

  “传统的信息安全防护措施难以应对大数据时代的信息安全挑战,大数据时代应加强信息安全保护工作。”中国工程院院士沈昌祥说。

第二个凶手,是人——信息泄露者。

信息泄露带来的高额利润,使得许多人进行信息倒卖。回顾近6年来有关信息泄露的案件,快递、网购、物业、教育等机构是信息泄露的源头,而保险、理财、房地产中介等行业以及职业倒卖人则是这些信息的主要购买者。

第三个凶手,是进行数据窃取的黑客。

网络黑客会通过软件和硬件的漏洞进入,引诱人们打开受感染的电子邮件,访问带病毒的网站来传播恶意软件,并利用人们忽视网络安全常识的漏洞(如不经常修改密码、不定期更新反病毒软件,以及使用反病毒软件等)开展网络攻击。

最近的网络安全攻击事件显示,网络黑客已从原先的单一攻击手段转向多种攻击手段的结合,综合使用非法接入、木马攻击、IP欺骗、网页仿冒、僵尸网络、网络嗅探、网址嫁接等手段,窃取数据。

  魔高一尺,道高一丈

爱加密公司CTO程智力告诉Xtecher:“信息安全防护是一个博弈过程,黑客攻击技术魔高一尺,防护技术就道高一丈。”

数据的存贮、输送、甚至硬件,都有可能存在着脆弱环节,黑客会利用其中的安全漏洞盗取数据信息。因此,信息安全保护要从各个环节中进行加密和保护。

数据有两种存在的形态:一种是结构化的数据——数据库中保存的数据;此外是大量的非结构化数据——大量地存在于用户终端的散落文档型数据。这些数据都需要保护。

如何保护?

首先,数据库和输送渠道的保护。

在众多信息当中,首先要在数据进行分级:核心数据、公开数据。然后对核心数据在储存设备中加密,在加密过程中采用不同强度的算法,密钥,增加破解的难度,对抗黑客的信息盗取。

黑客们除了在数据库中进行数据盗取,另一个重要的盗取方式就是在数据、信息等进行外部的输送时,利用输送链条薄弱进行信息的窃取。

针对此,程智力表示,他们对于数据的输送保护有一套严格的审查机制——DLP敏感数据防泄露解决方案。其做法是:在网络出口设置审核机制,系统判断数据的机密程度,进行拦截或放行;通过使用协议对流量抓包、解码、捕捉敏感数据是否存在外泄;一旦发现外泄,系统会做出及时通知、预警和阻拦,扼杀数据在传输中泄露的可能性。

其次,硬件软件化。

信息安全的防护除了和软件有关,跟硬件同样有着莫大的关系。

因为硬件设计上的缺陷、硬件操作系统上的问题、既带的安全漏洞等引发数据丢失的例子屡见不鲜。因为硬件本身的安全风险和漏洞难以修复,许多黑客窃取数据也选择从硬件下手。

据文章《征信之乱,一家公司黑市倒卖上亿数据,如今估值几十亿》中记载:某黑客盗取企业数据时,其核心数据服务器放在云端。如果直接入侵云端,对抗的是整个云端的安全系统,难度系数高,于是,黑客便利用小工具强行破解公司的WiFi——进入内网后,所有人的电脑,黑客便如探囊取物,很快找到了登陆云端服务器的用户名和密码,将200万的公司缓存数据库拖出来。

对于此种情况,信息安全要求硬件往智能化方向进化。通过并入软件或并入安全系统,即硬件软件化的方式,对硬件的组件进行智能化升级,避免安全风险、快速修复安全问题。

最后,从源头防起。

针对来自信息泄露源的隐患,程智力表示,需要对数据的使用实行权限的控制:“对同一个数据设置可使用的人群、可使用的时间,可使用的基础,并对相关的数据使用的操作进行记录。这样,所有的数据人员操作行为都是可溯源的。”

换言之,要从根本上大大降低信息从人泄露出去的可能。

  APP,一个重要阵地

随着移动互联网的兴起,越来越多企业都是依托APP进行相关活动。

根据艾媒咨询《2015年中国手机APP市场研究》,在三大系统运营商应用商店应用数量上,以iOS系统为主的App Store应用商店应用数量已达到121万;以Android系统为主的Google Play应用商店应用数量超过App Store,达到143万;Windows Phone的应用数量最少,只有30万,但其应用数量增速较快。

APP是信息重要载体,在展开对应业务时,APP上会储存着敏感的数据。

针对APP,开发者首先要做的是保障数据的本地安全性,对数据进行加密;同时要保障的是数据的远程应用,在连接服务器进行远程服务时,需要保障链入的安全性;此外,需要在链入的通道进行加密,避免出现中间人攻击以及通过中间的抓包窃取行为盗取机密数据。

总之,APP开发者应该本着对用户负责的原则,做到数据在储存、传输、终端都是安全的。

  信息安全化的未来

今年8月,我国发射首颗量子通信卫星,对于安全通信而言,无疑是莫大的喜讯。

量子通讯卫星利用量子力学特性来保证通信安全,它使通信的双方能够产生并分享一个随机的、安全的密钥,来加密和解密讯息。

量子密码的一个最重要的,也是最独特的性质是:如果有第三方试图窃听密码,则通信的双方便会察觉。

这种性质基于量子力学的基本原理:任何对量子系统的测量都会对系统产生干扰。第三方试图窃听密码,必须用某种方式测量它,而这些测量就会带来可察觉的异常。通过量子叠加态或量子纠缠态来传输信息,通信系统便可以检测是否存在窃听。当窃听低于一定标准,一个有安全保障的密钥就可以产生了。

相比之下,传统密码学是基于某些数学算法的计算复杂度,量子密码的安全性基于量子力学的基本原理。传统密码学无法察觉窃听,也就无法保证密钥的安全性。量子密码只用于产生和分发密钥,并没有传输任何实质的讯息。密钥可用于某些加密算法来加密讯息,加密过的讯息可以在标准信道中传输——这将大大提升通信的安全性。

中国科学技术大学微尺度物质科学国家实验室研究员彭承志说:“量子科学实验卫星是一颗低轨卫星,只能在晚上进行量子通信,空间覆盖能力和应用都还比较有限。”

我国计划在2030年建成全球化的量子通信网络。换言之,量子通信网络还只是个愿景。

在量子通信之外,人工智能的飞速发展也让我们对信息安全技术有了新的想象。

《西部世界》剧中,总工程师Ford试图从host机器人Deloris口中获取阿诺德遗留的算法信息,但是机器人能够做到“守口如瓶”。未来的人工智能技术不但能够自己开发加密技术,还能够破解其他人工智能加密技术。

现实中,人工智能加密技术的发展也超出了预期,例如谷歌大脑已经成功开发出两个人工智能加密算法,在加密时甚至都不需要“学习”人类的算法。

在更好的明天到来之前,个性化定制是最好的出路。

这是因为,随着工业4.0持续发酵,每个企业对于信息安全都会有不同的需求,定制化能够更好地根据企业的规模、成本、对安全性的需求量身打造信息安全的方案。因此,近期的信息安全道路,走的一定是深度定制的方向。

专注于企业服务器信息安全的白帽汇CTO刘宇对记者说:“目前的技术已经可以实现个性化的定制。”

白帽汇旗下的产品安徒生,就是专门针对中小企业而设定的信息安全产品,采用服务器的被动扫描、主动扫描等方法对进行服务器进行漏洞检测,并且发现最新攻击方法。

总而言之,信息安全化是一条非常艰难的道路,并非朝夕之功。如果你我不想生活在一个随时布满监控的“老大哥”世界,必须不断地发展技术,构建信息安全的保护墙,使得无论是国家机器还是企业个人,都在公平的状态底下竞争,而不是通过剽窃等方式偷步。

与非网专栏作者招募

你也许是工程师甲,每天默默画电路板、写代码;
你也许是高校老师乙,每天站在三尺讲台,传授知识;
你也许是项目经理丙,每天为得到客户认可而赶工、奔忙;

不管你身处何地是何种身份,只要你是电子领域的从业者,就一定有对这一行业的一些感受和看法。

可能你已修炼成资深行业观察家,如何小庆老师那样真知灼见;

  可能你善于分析行业趋势,如飞翔的鸭子侃侃而谈;

  可能你精通某一项技术,如加菲那样精讲技术而不失幽默;

  可能你善于发现身边的工程师故事,如骆驼般娓娓道来。

  也可能你和他们都不同,有自己想发表的观点,这样的你都是我们在等的人,只要你准备好了,“与非网专栏作者”就会成为你的一个标签。你不再是普通的路人“甲、乙、丙”,而是工程师和电子产业的发言人。

本文转自d1net(转载)

时间: 2024-10-24 09:55:01

信息安全要沦陷?还能怎样绝地反攻的相关文章

加速转型 高通绝地反攻

在2015年的一系列波折之后,高通在2016年明显加快了调整的脚步:发布最新手机芯片,并开始向服务器芯片.IOT芯片加速布局. 高通能否在智能手机市场守住"老大"地位?能否在服务器芯片市场"虎口拔牙"?能否在IOT市场有所作为? 高通中国2月17日在回复<中国经营报>记者采访时表示,高通正在实施去年确定的最新业务战略,即巩固核心市场--智能手机的领先地位,将核心技术向物联网.移动计算.车联网等毗邻领域扩展,并将投资重点集中于具有规模化和高盈利前景的市场机

美国信息安全架构师的岗位职责和胜任资格

优秀信息安全架构师横跨业务和技术两界.写出清晰切实的职位描述,可确保双方都理解该角色的职责.     无论什么角色,对职责和职位期待的良好沟通,都是职场人士成功的关键.这种沟通,始于一份切实透彻的职位描述,是职位招聘时的重要基准,是员工入职后的业绩触点.职位描述,也是帮助安全团队经理紧跟多种角色发展的基线. 任何良好的职位描述,都会涉及该角色的职责和重要性,还会列出其在报告层级中的位置.对角色的需求,比如资质证书.技能.经验和学历等,也会包含在职位描述中.因为角色重要性和报告层级各公司迥异,这里

工业控制系统信息安全产品标准及测评方法

1 工控系统安全现状 1.1 工控系统现状 目前,各类信息安全均面临着广泛的威胁,而工控系统尤为突出,主要是因为工业控制领域信息安全的先天不足: (1)工控设备(如PLC.DCS等)以及工控协议本身普遍在设计之初就较少考虑信息安全方面的问题.工控设备主要关注的是功能安全,系统的稳定性及可靠性方面;互联网通常都通过加密.身份认证等方式来保证协议传输的安全性,如SSH.HTTPS协议.而工控协议基本都是采用明文方式传输,并且缺少身份认证的支持,这在传统IT领域是绝对无法接受的. (2)工控系统在建设

信息安全人才短缺,Web安全攻防迎来发展良机

信息安全,是近年来最为热门的行业,从国家到企业无一不关注着信息安全.信息安全不断升温,导致了信息安全人才的短缺,更有报道指出,2016年后,信息安全人才匮乏会进一步扩大,让我们看到了Web安全攻防人才发展的良机. 信息安全事件暴涨, Web安全攻防人才需求增加 近年,随着我国网络信息化进程的加剧,大规模的信息泄露.病毒攻击时有发生,涉及人员.范围越来越广,影响恶劣,给企业和个人带来严重的损失,一些用户信息泄露后,更是长期遭受推销.欺诈电话的骚扰. 据<2016年上半年中国信息安全报告>显示,今

加速建军事信息安全保密体系是战略工作

目前,攻击计算机的手段在不断更新,关系整个国家安全的各种信息系统所面临的挑战极其严峻.以信息技术为核心的信息战将是作战对手以各种信息平台和计算机网络为主战场,运用高精尖的信息技术,破坏对方的军事指挥和武器控制系统,攻击其金融.交通.商业等国民经济各部门要害系统,从而达到瘫痪经济活动.动摇行政基础,破坏社会结构,迫使其放弃抵抗的目的.信息技术的飞速发展,也使泄密的渠道.环节变得更为广泛和隐蔽,传统的行政管理模式已经不能适应信息技术发展的要求,提高防窃密技术的科技含量显得更加突出,在未来战场上,信息

“黑洞门”触目惊心 两会聚焦信息安全立法

随着互联网和4G网络的普及,我国已成为全球最大的互联网市场,网络空间也已成为继陆.海.空.天外的"第五空间".但是当互联网推动我国经济社会快速发展的同时,个人.企业等信息资料泄露也愈演愈烈.在今年的两会上,关于信息安全立法的提案再次将互联网信息安全"黑洞门"推上风口浪尖. 个人隐私频频泄露 信息安全"黑洞门"触目惊心 随着互联网技术在全球的普及应用,社会信息化步伐日益加快,大数据时代已然来临,挖掘.分析.利用好海量数据在各行各业都成为新的竞争力.

浪潮孙丕恕:国内信息安全保护相当薄弱

浪潮集团董事长孙丕恕[搜狐IT消息]3月7日消息,2013年两会期间,全国人大代表,浪潮集团董事长孙丕恕在接受搜狐IT专访时称,国内的信息安全保护机制相当薄弱,距离自主安全可控的目标还有一定距离,因此建议国内出台<信息安全审查制度>.孙丕恕向搜狐IT表示,浪潮在国际化的过程中,也遇到过信息安全审查方面的案例.比如美国西欧等国家一般都拥有这方面的法律制度.据悉,美国是从国家立法层面对信息安全予以重点保障,对信息安全有明确的规定,并且出台了等级保护体系和评测审查手段等,对源代码.采购目录清单等层层

普及新媒体特性护佑信息安全

2017年4月15日是我国第二个全民国家安全教育日.习近平总书记曾经指出,要构建集政治安全.国土安全.军事安全.经济安全.文化安全.社会安全.科技安全.信息安全.生态安全.资源安全.核安全等于一体的国家安全体系.近年来,随着电信网络诈骗的日益增多,信息安全问题变得愈发突出,构建国家安全体系需要大力维护好信息安全. 信息安全是信息技术双刃剑效应的集中体现.一方面,信息技术越发达,个人信息暴露的可能性就越大,程度也越深.从文字.图片到音频.视频,在信息技术节节攀升的同时,个人信息保护也越来越无险可守

建设网络强国需要信息安全产业支撑

信息网络在经济和社会发展中的作用越来越突出.政府工作报告中第一次提出了加快推进""互联网+""行动计划的重大部署,这进一步表明加快从"网络大国"向"网络强国"转变,成为我国的战略目标.这也表明当前的社会已经是信息社会,网络不仅是基础平台,也已经成为经济社会的内在组成部分.网络强国.网络安全的建设将助力中国经济升级版的打造,为我国经济结构调整和转型升级提供源源不断的动力. 习近平总书记提出的"努力把我国建设成为网络强国