近几年来,在我们记忆中有很多与网络与信息安全相关并且令人印象深刻的事件:例如震网病毒、维基解密、网络风暴演习、成立网络司令部、暴风影音事件、雪灾断网、熊猫烧香病毒等等,2011年也不例外。即将过去的2011年中,很多涉及网络与信息安全的事件和热点值得我们关注:
网络攻击可能引发战争-网络空间纳入美国主权范畴
2011年5月16日,美国白宫发布由总统奥巴马签署的《网络空间国际战略》,提出如果日后遭遇有可能威胁国土安全的网络攻击,可以动用军事实力进行反击。《网络空间国际战略》中包括:在网络安全领域增进合作,增强美国及全球互联网的安全性、可靠性及灵活性;在执法领域加强网络立法和执行力度,提高全球打击网络犯罪的能力;在军事领域与盟友通力合作,提高盟友应对网络威胁的能力,并确保美国军用网络的安全;在互联网管理领域加强各国间的沟通交流,保障全球网络系统、包括域名系统的稳定和安全;在国际发展领域援助合作伙伴构建“数字基础设施”,帮助他们提高抵御网络威胁的能力;在网络自由方面加强保护隐私,促进网络表达自由、集会自由及结社自由等内容。
2011年7月16日,美国国防部发布《网络空间行动战略》,将网络空间列为与陆海空太空并列的行动领域。此外,《网络空间行动战略》中还提出:变被动防御为主动防御,更加有效地阻止、击败针对美军网络系统的入侵和其他敌对行为;美军将通过各种手段发现、探测、分析并降低网络威胁和系统漏洞,在网络尚未遭到攻击前阻止恶意行为;加强国防部与国土安全部等其他政府部门及私人部门的合作,在保护军事网络安全的同时,加强电网、运输系统等重要基础设施的网络安全防护;加强与美国的盟友及伙伴在网络空间领域的国际合作;重视高科技人才队伍建设并提升技术创新能力等内容。
《网络空间国际战略》以及《网络空间行动战略》的发布,标志着美国政府将网络空间与陆、海、空、太空并列,成为美国主权疆域。《战略》以网络武器为基础,以网络自卫权为依据,网络战争正式被赋予法律依据。
美国已经从战略层面关注网络空间主权及其安全,并采取行动。无论包括中国在内的其他国家如何应对,美国在网络空间领域已经占据了先机。
手机还是手雷?移动互联网安全被围观
智能手机问世以来,对移动互联网安全的担忧就没有停止过。一部分人认为移动互联网仅仅是能力有限的计算机(智能手机)通过资源有限的移动通信网访问互联网,可能出现的安全问题基本类似传统互联网。另外一部分人则认为移动互联网与传统互联网差异较大,用户众多且具备移动性,担心影响以话音为主业的移动通信网正常运行,也担心溯源方面的问题。
2011年三月十五日,央视3?15晚会节目中曝光,当用户在手机上安装名为飞流下载的软件之后,手机就会自动联网,导致手机任务管理器中出现4个可疑文件,运行后自动卸载杀毒软件,并静默安装四个程序,最终致手机无法正常运行。根据相关机构的鉴定,这一行为已经具备了恶意软件的特征。根据报道,用户只有通过付费使用网秦杀毒软件,才能使手机恢复正常,网秦从这一过程中获利。在去年手机涉黄事件后,移动互联网安全又一次得到大众的关注。
2011 年 4 月 20 日,美国科技作家阿拉斯代尔?艾伦和苹果公司前员工皮特?沃登在旧金山定位技术大会上宣布:苹果手机 iPhone 和3G版iPad植入了定期搜集和存储用户地理位置信息的“跟踪器”,在用户不知情的情况下记录用户所在位置信息并定期将其传回苹果公司。根据实验室验证,iPhone 手机和 3G 版 iPad 平板电脑ISO4操作系统可以即时获取用户所在位置的信息,而后默认存储在一个未经加密的数据包中,并每隔几个小时 通过电信网或互联网成批发回苹果公司总部。据了解,除了苹果公司的IOS 系统,谷歌公司的手机操作系统 Android 同样存在跟踪用户位置信息的问题。
此外根据2011年“易观智库”的统计,当前移动互联网安全问题主要集中在如下方面:
约90%的用户曾收到垃圾、骚扰、诈骗短信以及电话;
约80%的用户曾因手机运行变慢、死机、频繁重启困扰;
约48%的用户被恶意扣费;
约26%的用户因手机丢失,相应文档、照片、通信录等信息无法找回;
约24%用户手机内信息无故丢失;
约15%的用户账户信息被窃取;
约13%的用户因手机被盗,信息被用于不法用途;
约11%的用户通信录、短信、录音、文件等信息被窃取;
约7%的用户手机被他人监听、跟踪或监控;
约0.5%的用户遭遇其他手机安全问题。
最初手机仅仅是一个便利的通话工具,随着手机能力的提升,手机上可能存储着用户的社会关系(通信录、QQ好友、MSN好友等)、帐号密码信息(手机银行、掌上证券等)、业务定制、通话记录、网站访问记录、位置信息、个人图片、文件等各种涉及隐私的资料、信息。在极端情况下,手机甚至可以成为窃听器、追踪器。按照当前手机的普及率,移动互联网安全已经涉及到几亿人的切身利益。如果移动互联网安全问题不能妥善解决,手中的手机可能成为手雷。
小结与展望
2011年网络与信息安全相关的热点还有很多,例如云计算安全、网络诈骗、隐私安全、新型无线联网技术、网络新媒体/社交网络安全、身份管理、电子商务/支付安全等,无法一一赘述。通过对上述安全事件和热点分析和总结,可以看到:网络与信息安全,最重要的是重视以及落实。
对国家而言,应当从战略层面加以重视,出台类似《网络空间国家战略》纲领性的文件,从法律层面确立网络空间以及网络空间安全的重要地位;在用户而言,应当提升安全意识,在选择网络、选择终端、选择/使用软件应用等各个环节保护安全和隐私;在运营商而言,要在网络的规划、网络的建设、产品的规划、业务的部署、软件的设计和编码、网络和系统的运营维护等方方面面每个环节都重视并落实安全要求。随着全社会对网络与信息关注和重视程度的提升,以及对安全要求的逐步落实,相信网络与信息安全的状况会不断好转。
