移动互联网安全问题进一步凸显
移动互联网采用2G、3G以及E3G等移动通信网作为接入手段,并以WAP以及Web等方式为用户提供公众互联网服务。移动互联网终端可以是手机、专用移动互联网终端以及配置了数据卡的便携电脑。2009年,移动互联网将迎来高速增长期,运营商的一系列举措已经证实了这一点。近期,中国电信提出了天翼计划,并将CDMA上网提速;中国移动大幅度降低GPRS/EDGE资费,并推出TD-SCDMA高速上网卡;工业和信息化部发放了3G牌照,全业务运营大门由此打开。移动互联网将越来越快速、越来越廉价、越来越便捷。此外,随着智能手机的推出,操作系统越来越开放,应用软件越来越多样,功能越来越强大。
当前,互联网存在诸多问题,包括恶意代码、僵尸网络、垃圾邮件、不健康信息等等,这些问题长期得不到解决,且难以根治。随着移动互联网的快速发展,所有在互联网上出现的安全问题都可能在移动互联网上重现。此外,移动互联网有别于传统互联网的特性可能会带来新的安全隐患,例如窃取通话内容、窃取话费、非授权定位等等。
移动互联网安全问题在2008年已经初现端倪。一方面确实已经出现了手机病毒、垃圾邮件、垃圾短信、蓝牙间谍或被远程控制等问题,另一方面,用户对手机安全也比较担心,根据MCAfee《2008年移动安全研究报告》显示,80%以上的用户对手机安全问题有质疑。
因此,2009年,移动互联网在快速发展的同时,与之相关的安全问题将逐渐凸现,并在一段时间内成为网络与信息安全领域关注的焦点。
电信网安全服务将进入高速发展期
电信网相关的安全服务包括两部分内容:一部分是专业安全服务机构对电信运营商所拥有的电信网络提供的安全相关服务,例如第三方安全测试、第三方数据备份、第三方安全评测和风险评估等;另一部分是电信运营商通过电信网向特定用户提供的安全服务,例如流量清洗、垃圾信息过滤、病毒扫描等。
随着中共中央办公厅、国务院办公厅2003年27号文的下发,公安部门在全国范围内推进等级保护工作,国务院信息化工作办公室也随之推进风险评估和灾难备份与恢复工作。电信行业将等级保护、风险评估以及灾难备份与恢复结合起来,作为安全防护工作整体推进。2009年,安全防护将继续在全国范围内推进,因此,为电信行业提供的安全服务将进入高速发展期。
此外,网络上泛滥的恶意代码、僵尸网络、垃圾信息都不断威胁到用户的个人隐私、经济利益甚至公共利益或者国家利益。普通用户需要流量清洗、垃圾信息过滤以及病毒扫描等安全服务,而网络运营商是提供上述安全服务最直接和自然的选择。因此,2009年,电信行业将为用户提供越来越多的安全服务,与电信网相关的安全服务将进入高速发展期。
安全保障将从被动防护转向综合防护
传统上的安全核心在于“防”,即通过种种管理和技术手段阻止对手获取关键信息。例如,建立物理隔离,防止非授权人员进入敏感地点或接触敏感设施;建立访问控制机制,防止能进入敏感地点和接触敏感设施的非授权人员访问到敏感信息;设置复杂的加解密算法,防止信息泄露后被非法使用;在网络上设置防火墙,将信息基础设施保护在“高墙”内;填补修复操作系统、应用软件的漏洞,防止非授权使用等等。
随着网络规模和网络应用的飞速发展,一方面,人们对网络的依赖程度日益增加,网络安全事件造成的损失越来越大;另一方面,网络上的安全威胁同样与日俱增。“道高一尺,魔高一丈”,所有防守措施都针对已有的或者可能出现的进攻手段来部署,而防守的技术手段普遍滞后于进攻手段,因此,被动防护已经无法满足日益增长的安全需求。目前,工业和信息化部已组织研究信息安全保障体系,加强对网络与信息安全的全面安全保障。
通信网安全保障发展的必然趋势是从整体上建设“综合防护”(“主动+被动”)系统,分析通信网的脆弱性和安全威胁,深入研究恶意行为的发展趋势和新一代攻击技术,积极采取主动、有效的措施来根治通信网的威胁来源,真正做到对网络安全事件防患于未然,对网络的安全治理变被动为主动。由此可见,2009年,安全保障将逐渐向主动与被动相结合的综合防护转变。
被泄密将成为最严重的安全隐患
近几年来,互联网在为我们获取和传递信息带来了前所未有的便利的同时,也带来了泄密渠道增多、信息可控性减弱、保密监管难度增大等问题。
众所周知,黑客行为已经从传统的炫耀技术发展到有经济/政治目的、有组织的行为。多数黑客行为都出于政治或经济目的,并针对互联网用户的密码账号、个人隐私、商业秘密、网络财产、政府机密等信息发起攻击,用户信息在不知不觉中“被动泄密”。此外,互联网“地下经济”已经组织化、规模化、公开化,使制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱等行为分工明确,从而形成了一个非常完善的流水性作业程序。
赛门铁克研究人员对网络犯罪分子2007年7月1日至2008年6月30日间在IRC(网络聊天室)渠道和论坛的聊天记录进行了分析,发现其中信用卡信息占到所有地下经济的30%以上,成为交易最频繁的类别,兜售银行账号凭据的广告在互联网地下经济服务中最为频繁。从统计数据来看,上述非法出售的交易额就达到2.75亿美元。如果考虑受害者账户资金可能被盗和信用卡可能被刷爆等情况的损失,潜在损失将达到70亿美元。
当前,黑客组织越来越专业化,现有的技术手段应对新病毒的威胁已经力不从心,查找病毒源头更是十分困难。在巨大的政治和经济利益驱使下,犯罪分子更加猖獗。因此,2009年,被动泄密将成为互联网用户最严重的安全隐患,防范被动泄密任重而道远。
