移动智能终端的普及,云计算、物联网、虚拟化、大数据等新技术的快速发展与广泛应用,一方面给人们生活带来了极大便利,另一方面也给网络安全带来了新的风险。美国最早将网络安全提升到国家战略高度,去年的“棱镜门”持续发酵,更是引发了世界各国对网络与信息安全的重视,我国十八届三中全会也明确提出要设立国家安全委员会,将信息安全上升到国家战略层面。
移动设备成为主要攻击对象
全社会的网络化、信息化给人们的生产与生活带来诸多便利、高效的同时,也给社会带来日益严峻的安全挑战。
第一,网络的普及对网络安全和应急响应技能提出更高要求。随着网络对社会生产与生活的渗透、网络安全技术手段的不断升级,单纯的技术手段攻击难度提高,但同时由于用户水平各不相同、接入网络的设备众多且兼容性参差不齐,使之成为网络薄弱环节,在技术无法有效突破时也最容易受到攻击。另外,网络持续监测与评估不可能涵盖所有网络节点,也导致网络欺诈、信息操纵犯罪、物联网攻击等不断。这些都对网络安全和应急响应的技能提出更高要求,单纯的封锁策略并非可行之道,企业正面临如何能够在不影响正常社会生产与生活情况下实施最佳网络安全管控的挑战。
第二,移动设备成为主要的攻击对象,数据丢失风险最受关注。目前,大量移动设备接入网络,并连接到企业和家庭。同时,大量的山寨设备安全极其脆弱,且不易被监测,更是对网络安全构成极大威胁。由于绝大多数的人使用自己的移动设备(BYOD)工作,使得相对不安全的设备连接到网络,越来越多的数据被存储到个人电脑里。大量设备不受企业安全策略管理而暴露在外,成为恶意软件、数据丢失或被窃、信息犯罪或诈骗、网络钓鱼攻击与的目标。每天都有成千上万的智能手机和平板电脑丢失或被盗,而大多数智能手机和平板电脑用户的进入口令为无或弱,使得那些找到移动设备的人不受限制地进入相应网络、转移资源、破坏信息。
第三,云服务安全性仍然是云计算广泛推广的最大障碍,也是未来安全的重点。云服务可通过任何公共网络接入,随时随地提供服务,从而为企业提供了更大的灵活性,也让员工工作更有效率。但这种灵活性、无所不在的服务,也会构成新的网络威胁,信息不只在云服务器或者自身网络上传播,企业无法确保每个公共网络的安全性,也不能确定接入端设备的安全性。网络全球性使得网络黑客、攻击人员可以远程控制并绕过公司内部安全防御体系;另外,接入设备兼容性各异,也加剧云服务潜在的安全风险。
第四,移动互联网与大数据升温,使得数据安全与隐私问题日益严重。掌握人们数据与隐私的,不仅仅包括运营网站与App等,还包括提供网络接入的电信运营商。近年来全球发生的数据与隐私泄露事故不断升级,互联网企业经常侵犯用户隐私,电信运营商也不断加入数据利用与变现的行列。赛门铁克报告显示,2013年超过5.52亿条身份信息被泄露,该数量是2012年的4倍,并将2013年定义为“大规模数据泄露之年”。
电信运营商最受用户信赖
面对日益严峻的网络安全挑战,从国家到企业到个人都有必要加强网络安全管理,强化数据安全与隐私保护。
首先,从全局角度,以网络信息安全为核心,实现网络信息安全对内对外的统筹管理。一方面,国家需完善立法、加强行业自律、加快国际合作,打造一个安全、可控、透明、健康的外部网络空间环境。目前,个人数据法规与规范在欧美地区比较成熟,亚太地区各国情况不一。另一方面,企业要持续强化自身安全意识,从组织、流程、技术三个方面,系统性构建面向未来的信息安全管理体系。新的形势下,必须充分利用大数据技术分析,建立基于透明情报信息的智慧发现机制,有效利用现有资源并提高投资效益,打造主动化、智能化的安全监测与处理控制系统,实时进行评估。
其次,电信运营商为用户提供移动设备安全防护与数据安全管理。移动设备安全可通过嵌入式芯片、NFC、生物技术、移动操作系统四个方面加强安全管理,同时还需加强移动设备上数据的安全。越来越多的电信运营商开始帮助用户保护智能终端的安全,同时用户也更倾向于让运营商而非终端设备商来提供设备安全保护。比如Vodafone集团就为消费者提供两种移动安全服务:Vodafone保护和Vodafone守护。Vodafone保护与McAfee联手,联合品牌运营,可以在欧洲5个国家和南非提供免费+增值方式的安全保护;Vodafone守护则是其内部开发的应用程序,可在17个国家使用,且完全免费。这种服务也有助于提升运营商企业社会形象与客户忠诚度。
最后,云服务提供商应将安全集成服务作为核心云计算需求,联合更多合作伙伴从云计算部署与虚拟化入手,建立新云服务安全标准。这需要从网络控制、接入认证、数据安全与存储三个方面加强云服务的实时保护。在网络控制层面,加强访问控制,避免未授权或不当访问,同时增加传输加密或者其他控制措施,避免被恶意侦听;在接入认证层面,采用智能卡、令牌、数字证书以及生物识别等多因素混合验证技术;在数据安全与存储方面,应基于数据生命周期从保密性、完整性、可用性三个方面加强云存储数据保密。电信运营商作为可能最受信赖的身份代理商,应加快建立基于云计算的标识驱动模型,实施身份管理系统(IDM),增强云计算的身份验证,统一管理用户身份。
根据德国地区消费者调查,在个人信息处理时,用户最受信赖的公司是电信运营商。因此电信运营商最有可能成为受信赖的个人身份信息代理商,更有机会充分挖掘数据价值。其核心关键:一是增强透明度,让用户自主选择与控制信息,二是加强人性化、个性化的数据使用。
|