移動互聯(lián)網(wǎng)警鐘長鳴 信息安全保障迫在眉睫

移動互聯(lián)網(wǎng)警鐘長鳴 信息安全保障迫在眉睫

創(chuàng)客

范淵，安恒信息技術(shù)有限公司總裁，畢業(yè)于美國加州州立大學，計算機科學碩士。由于在信息安全領(lǐng)域的技術(shù)創(chuàng)新的成功實踐，他成為第一個登上全球頂級安全大會BLACKHAT（黑帽子）大會進行演講的中國人。正因為有了范淵這樣的創(chuàng)業(yè)家，給我們的網(wǎng)絡(luò)帶來了相當?shù)陌踩?007年，他回國在休閑之都杭州創(chuàng)辦了一家公司。他總是說，自己其實是個白客。

近年來，隨著移動網(wǎng)絡(luò)的快速演進，智能終端的日益普及，服務(wù)模式的迭代創(chuàng)新，浙江省移動互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅速，預計2014年實現(xiàn)總收入160億元左右，比上年增長120%，移動互聯(lián)網(wǎng)產(chǎn)業(yè)已經(jīng)成為浙江省最重要的新興產(chǎn)業(yè)。但是，在移動互聯(lián)網(wǎng)繁榮壯大的同時，信息安全事件也引起了各方的關(guān)注，如手機隱私信息被竊取、病毒軟件的傳播、信息內(nèi)容篡改等問題經(jīng)常出現(xiàn)。網(wǎng)絡(luò)安全事件逐步從PC轉(zhuǎn)向了手機，信息內(nèi)容的泄露更加隱蔽和頻繁，信息安全給移動互聯(lián)網(wǎng)敲響了警鐘。移動互聯(lián)網(wǎng)主要面臨以下三方面的風險隱患：

金融支付風險。前有支付寶、微信支付等支付平臺，后有各銀行推出的移動銀行等APP，移動金融支付安全首當其沖，據(jù)調(diào)查報告稱，2014年，有大約60%針對安卓手機的惡意軟件，設(shè)計初衷就是竊取客戶端錢財或銀行賬戶資料。不僅如此，移動互聯(lián)網(wǎng)上金融犯罪手段不斷翻新升級，犯罪分子通過偽造移動基站和WIFI熱點以及進行號碼偽裝等具有極強隱蔽性的手段，誘導用戶上當受騙。

新興技術(shù)風險。移動互聯(lián)網(wǎng)依托的技術(shù)基礎(chǔ)是大數(shù)據(jù)與云計算，大數(shù)據(jù)導致了敏感數(shù)據(jù)的大量集中，云計算促使了業(yè)務(wù)信息的共享交互。大數(shù)據(jù)所暗藏的巨大價值誘發(fā)了黑客APT（高級可持續(xù)攻擊）的可能，云共享增加了移動用戶信息泄露的途徑，且目前業(yè)內(nèi)普遍缺乏對云計算、大數(shù)據(jù)等新興技術(shù)底層架構(gòu)的深刻認知，因此，傳統(tǒng)的安全防護手段也不能完全適用于移動互聯(lián)網(wǎng)時代。

數(shù)據(jù)泄露風險。移動互聯(lián)帶來了數(shù)據(jù)的爆炸式增長，各項服務(wù)和終端設(shè)備直接或間接綁定了數(shù)以億計的用戶數(shù)，移動平臺提供商缺乏對這些用戶的安全準入機制，用戶對移動網(wǎng)絡(luò)不透明，鑒權(quán)不嚴格，大量用戶未經(jīng)嚴格的認證機制即可接入網(wǎng)絡(luò)，終端的安全能力和安全狀況網(wǎng)絡(luò)不知情、不控制，用戶地址可以偽造。且個人數(shù)據(jù)的所有權(quán)和使用權(quán)并沒有明確的界定，導致數(shù)據(jù)被大量濫用。

為保障和促進浙江省移動互聯(lián)網(wǎng)良好的產(chǎn)業(yè)發(fā)展環(huán)境，進一步加強移動應用和業(yè)務(wù)的監(jiān)管，移動互聯(lián)網(wǎng)信息安全保障迫在眉睫。根據(jù)前文對移動互聯(lián)網(wǎng)重要風險隱患特點的分析，結(jié)合國內(nèi)安全現(xiàn)狀和業(yè)內(nèi)防護經(jīng)驗，可以從以下幾點著手移動互聯(lián)網(wǎng)的安全保障：

建立移動互聯(lián)網(wǎng)安全管控平臺。在技術(shù)層面，通過相關(guān)特定技術(shù)對移動互聯(lián)網(wǎng)安全態(tài)勢進行實時感知和管控：如通過大數(shù)據(jù)技術(shù)針對惡意代碼和非法終端接入的監(jiān)控，通過云計算，關(guān)聯(lián)分析等技術(shù)對APT（高級可持續(xù)攻擊）和其他攻擊行為進行事前預警防護，通過數(shù)據(jù)審計技術(shù)確保應用和業(yè)務(wù)安全交互。這樣，通過各個維度的技術(shù)防護構(gòu)建移動互聯(lián)網(wǎng)安全管控平臺，并與國家信息安全綜合監(jiān)測體系對接，保證移動互聯(lián)網(wǎng)底層架構(gòu)的自主可控。

統(tǒng)一移動互聯(lián)網(wǎng)安全標準規(guī)范。在行業(yè)層面，產(chǎn)業(yè)上下游共同制定統(tǒng)一規(guī)范的行業(yè)安全標準。特別是制定金融、支付、電子商務(wù)等涉及人民財產(chǎn)安全的平臺的安全審查規(guī)范，確保達到符合國家安全認證標準的平臺才能準入開展業(yè)務(wù)和提供服務(wù)。制定智能終端硬件和軟件準入安全標準，并開展信息傳輸過程中的針對性檢測，進一步維護好個人信息安全和合法權(quán)益。通過一系列標準制度的統(tǒng)一規(guī)范要求，從根源上保障移動互聯(lián)網(wǎng)用戶、應用和平臺的合規(guī)性和可信性。

推進移動互聯(lián)網(wǎng)信息安全立法。在國家層面，通過不斷完善網(wǎng)絡(luò)空間安全法律法規(guī)，建立移動互聯(lián)網(wǎng)的法律和政策框架，成立相關(guān)的執(zhí)法機構(gòu)，提高各方對移動互聯(lián)網(wǎng)的信息安全意識，推進行業(yè)自律和監(jiān)管力度。在移動互聯(lián)網(wǎng)安全法規(guī)的政策引領(lǐng)下，建立多部門聯(lián)動的監(jiān)管機制，對于通過惡性競爭等手段違反安全法規(guī)的企業(yè)，加大處罰力度，追溯安全職責，并和移動互聯(lián)網(wǎng)應用備案、行業(yè)標準、審查制度結(jié)合，形成移動互聯(lián)網(wǎng)長效治理機制。

浙江省信息產(chǎn)業(yè)基礎(chǔ)好，發(fā)展快，但是也面臨更嚴峻的信息安全形勢，移動互聯(lián)網(wǎng)作為浙江省信息產(chǎn)業(yè)發(fā)展的中流砥柱，必須確保其本身的安全性和可控性。面對風云變幻的移動互聯(lián)網(wǎng)環(huán)境，在國家將網(wǎng)絡(luò)空間信息安全建設(shè)提高到國家安全層面的前提下，我們更應該將信息安全打造成浙江省信息化建設(shè)的堅石，認清移動互聯(lián)網(wǎng)的風險和隱患，促進浙江省信息產(chǎn)業(yè)健康持續(xù)發(fā)展。