移动互联网时代网络安全趋势分析

　　一、大数据时代的互联网安全边界
　　根据互联网数据中心(IDC)数据显示，目前互联网上的数据每年增长50%，每两年翻一番，全球互联网90%以上的数据是最近几年才产生的。可以说，人类已经走入了大数据时代。最早洞见大数据时代的数据科学家维克托•迈克•舍恩伯格在《大数据时代》一书中曾指出：大数据带给人类生活的益处是多方面的，不仅是人们获得新认知、创造新价值的源泉，还是改变市场、组织结构以及政府与公民关系的方法。但他同时也指出大数据相比传统互联网，会给网络安全带来更多威胁，给用户隐私带来更大挑战。1.无处不在的“老大哥”，不断挑战传统隐私保护法大数据技术给数据使用的隐私问题带来了新挑战。对于企业来说，大数据时代，企业决策从“业务驱动”转变为“数据驱动”，企业需要遵守更严格的安全标准和保密规定，对数据存储与使用的安全性和隐私性要求由此提高。对于个人而言，大数据时代，个人数据是一种信息资产，但这种资产却在用户不知情的情况下被收集、分析，以正当或不正当的方式用以牟利，个人生活似乎时刻被置于“老大哥”的监视之下，隐私安全受到了巨大挑战。2.信息脱敏和分级：看似无解的数据使用与隐私保护的边界数据共享是大数据的现实价值，但隐私保护又关系到公民个体和国家整体的安全。如何平衡大数据使用和隐私保护是亟待解决的问题。传统的隐私规范采用“告知与许可”原则，即让人们自主决定是否、如何以及经由谁来处理他们的信息，这就意味着将个人隐私保护的责任推给了用户个体，由他们自主决定。但在大数据时代，由于信息存在被二次使用的情况，“告知与许可”原则就显得缺乏现实的可行性，学者因此提出应改变传统的隐私保护体系，将隐私保护的责任由公民个体转移到数据使用者身上，即由数据使用者为其行为承担责任，而非停留于收集数据之初的是否取得个人同意。围绕这一原则，相关学者目前又提出了数据脱敏技术和数据分类分级等一系列具体的隐私保护手段。信息脱敏技术是指将数据脱敏为不含用户隐私的测试用数据。但是由于结构化数据在大数据时代关联性非常紧密，使得单个数据集的脱敏不能解决两个各自不敏感数据集放在一起就变为敏感数据集这类的问题，因此需要针对具体行业和具体问题开发、采用不同的脱敏技术。数据分类分级从隐私安全与保护成本的角度出发，对数据进行分类和等级划分，进而根据不同需要对关键数据进行重点防护。但是传统的数据分级对于大数据时代来说过于粗放，许多研究机构正在探索进一步细化可行的分级标准。
　　二、互联网安全立法规划被提上日程
　　互联网信息安全不仅与每个公民的日常生活息息相关，更事关互联网行业的健康发展和整个国家的安全。然而，目前我国在互联网安全立法方面存在缺乏系统完善的法律体系、立法过程各自为政、缺乏民主参与、互联网安全立法滞后于互联网产业发展需要等问题。面对大数据、云计算、在线支付等新技术新业务带来的信息资产归属、隐私保护、数据使用权限等新兴网络安全问题，亟待制定一部对我国互联网安全问题做出全面规定的专门法律，并以此为基础，调整和完善我国现行的网络安全法律体系。
　　1.系统完善的互联网安全法律体系是保障
　　我国互联网方面的立法与发达国家相比，起步较晚，缺乏相关立法经验，造成我国与互联网安全方面的法律体系不健全。我国互联网立法始于20世纪80年代，90年代后网络安全逐渐成为其中的重要内容。目前有关互联网安全保护的法律法规主要包括四个层次：一是广义上的专门立法，指全国人大常委会、国务院及其有关业务主管部门针对网络安全和网络管理颁布的法律、法规、部门规章等，其中属于国家法律的有《电子签名法》，带有国家法律性质的全国人大常委会决定有《全国人民代表大会常务委员会关于维护互联网安全的决定》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》，行政法规包括《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等;二是《侵权责任法》《专利法》《刑法》等其他法律中涉及到互联网安全的相关内容，如《刑法》在1997年的修订版中增加了侵入计算机系统犯罪的定罪处罚规定，2009年修正案中增加了“出售、非法提供公民个人信息罪”等;三是最高人民法院、最高人民检察院的司法解释，如：《关于办理利用互联网、移动通信终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》;四是地方性法规、规章或规范性文件规定。
　　2.立法过程应引入多元参与机制，考虑网络用户群体的切身利益
　　由于我国在网络安全立法中缺乏一部系统全面的全国性法律，相关法律法规散见于其他法律、行政法规和地方性规制中。而部门规章几乎都是各行政部门根据自己职责范围内的管理内容，出台的部门规章，目的在于方便管理。现行法律法规在对互联网安全的理解上都是从不同部门自身职责出发，从各自专业领域认识，而缺乏统一和全局的界定。要想建立健全互联网安全的相关法律体系，就必须首先厘清现行网络安全法律渊源的层级关系，消除效力位阶冲突，细化网络安全法律制度及程序规则。此外，在互联网安全的立法过程中，可以通过召开听证会等形式广泛听取公众的意见，增强对网络安全立法的科学性与普适性。
　　3.互联网安全立法逐步强化前置立法
　　近年来我国互联网产业发展迅速，微信支付、二维码扫描支付等成为金融服务的新领域，物联网和智能硬件伸向千家万户的客厅和卧室，云计算技术使得大量用户数据从个人电脑转移到云端……但与互联网产业发展中出现的新业务和新技术形成鲜明对比的是，目前有的互联网安全立法内容已显陈旧和滞后：首先，我国现行的网络安全法律法规的制定时间停留于十几年甚至二十年前，如《中华人民共和国计算机信息系统安全保护条例》制定于1994年，《计算机信息网络国际联网安全保护管理办法》制定于年，《关于维护互联网安全的决定》制定于2000年，《互联网出版管理暂行规定》制定于2002年，《中华人民共和国电子签名法》制定于2004年;其次，一些法律法规的内容针对特定时期的特定问题，尤其对于互联网金融繁荣下的经济安全、用户生产内容时代的网络版权问题以及大数据、云计算和物联网平台中的信息数据所有权等新兴安全问题几乎没有涉及，因此这些法律法规难以在当下的移动互联网时代有效发挥安全管理的作用，也无法适应维护新时期互联网安全的需要。
　　三、移动互联网安全是未来网络安全的主战场
　　移动互联网是移动通信技术与互联网技术结合的产物，在继承二者优势的同时也加剧了安全风险。移动互联网的安全威胁主要来自三个方面：用户终端、网络和应用。
　　1.手机成为人体的一部分：移动终端私密性挑战用户隐私
　　随着通信技术的发展，内存和芯片处理能力越来越强,移动终端日趋智能化、开放化。这些终端设备，兼具通讯、上网、办公、娱乐等多种功能，逐渐发展成为用户日常通讯中心、办公中心、交易中心、娱乐中心。在给人们生活带来便利的同时，移动终端也出现了新的安全威胁，如不法分子会利用手机操作系统的弱点进行病毒和恶意代码的植入。由于移动终端不断拓展的业务功能承载着巨大的商业价值，因此移动终端相较于传统终端，更容易吸引攻击者。同时，移动终端的属性更加贴近个人生活，相比传统互联网，移动互联网私密性更强，服务过程中会发生大量的用户信息(如支付信息、通信信息、计费信息、位置信息等)，这些给用户的隐私保护带来巨大挑战，也增加了网络信息犯罪的危害性。
　　2.恶意应用程序会日益加重移动互联网的多元业务是吸引
　　网络用户的主要方式。移动应用市场的繁荣吸引了巨大的用户群，同时暗藏着更多更大的安全威胁。针对应用的安全攻击，方式更加多样，危害规模也更广，主要包括：针对业务载体的后门木马，对业务和数据进行非法访问;针对业务信息的垃圾、不良信息大规模传播，个人隐私泄露，版权盗用;针对业务模式的恶意订购等。国家网络与信息安全技术研究所抽样检测了80余万个安卓平台移动应用样本，累计发现7582个移动恶意应用，总下载量近1亿次。此外，在巨大经济利益的诱导下，针对智能应用程序的安全漏洞挖掘将增多，移动互联网0-day漏洞数量还将继续增长，这些漏洞一旦被黑客利用，现有杀毒软件也无法察觉，这进一步加剧了移动应用的使用风险。移动应用商店的安全审核机制存在很大漏洞，大量应用商店缺乏对应用产品的安全监测，安全准入门槛低，导致恶意应用潜藏其中。此外，安卓移动应用盈利模式也是导致恶意应用滋生的重要原因。目前大部分安卓应用是免费应用，其盈利模式主要包括：嵌入广告或灰色产业，免费应用的盈利模式是恶意应用产生的经济诱因之一。嵌入广告是指开发者在开发应用时调用广告平台提供的接口创建嵌入式的广告，用户在使用这类应用时如果点击了嵌入广告，广告平台即会支付开发者相应的费用。嵌入广告的安全问题主要是恶意推广，为了赚取更多利润，恶意推广在用户不知情的情况下直接在后台访问广告链接或自动下载其他应用，在广告平台骗取利益的同时也造成了用户流量的损耗。灰色产业是指开发者故意开发出具有恶意扣费、窃取隐私等行为的恶意应用，通过恶意扣费分成、隐私信息贩卖等方式牟取暴利。
　　3.移动互联网用户安全意识会进一步提升
　　目前，我国拥有手机网民5.27亿，但这些用户在性别、年龄、学历等方面的结构复杂，导致我国用户在移动互联网的安全意识和安全行为呈现参差不齐的现象：首先，大量用户使用习惯存在着潜在的安全隐患，如在不同的电子商务网站或SNS平台使用相同的账户名和密码设置，在网络上随意泄露自己的个人信息，让不法分子有机可乘;其次，并非所有用户都能意识到安全问题的发生，很多用户对已发生的网络安全问题漠不关心、毫不知情，有些用户在遭遇安全事件以后，选择不让外人知道，而非向他人预警;此外，对于个体用户而言，不可能有足够的专业知识和精力去关注可能给自己系统带来威胁的安全漏洞,普通用户的专业知识不足，与黑客高超的隐蔽技术形成对比，加剧了网络安全的风险。因此需要权威信息的引导和第三方专业机构的协助。而我国目前在互联网安全的用户引导方面还相对欠缺，大量用户缺乏权威机构的安全使用指导。
　　四、智能硬件兴起后的物联网安全形势更加复杂
　　万物互联是未来的发展趋势。网络连接不仅发生在信息化设备领域，同时也在向工业控制系统、医疗器械、办公及家用设备领域延伸，随着可穿戴设备、智能汽车、智能家居、智能电网等智能设备和移动终端的快速普及，物联网时代正在向我们走来。但是，作为一种新兴技术，物联网技术尚处于发展过程中，其潜在的漏洞缺陷可能成为黑客网络攻击的下一个入口;同时万物互联时代，节点和数据的规模远远超出了传统互联网安全防御的边界。物联网安全和用户隐私问题给物联网的建设和普及带来了挑战。2013年，美国“黑帽安全技术大会”上出现了“冰箱僵尸网络”等十多项针对智能家电、汽车控制系统等职能终端设备的恶意攻击技术展示，物联网的脆弱性将伴随其应用和发展而更加凸显。
　　1.感知层：分散式终端泄露用户隐私，智能硬件成重灾区
　　物联网使网络终端延伸到生活的各个领域，物联网中包含着大量的隐私数据，从个人身份信息，到位置信息，再到消费信息等等。分散式的智能终端是物联网感知层的重要组成部分，其安全威胁包括操作系统缺陷、恶意软件和“僵尸网络”等等，对用户个人隐私、在线支付中的财产安全等构成直接威胁。在操作系统缺陷方面，由于安卓系统目前已成为智能设备的主流操作平台，针对安卓系统的攻击威胁会从移动互联网蔓延至物联网领域。安卓系统具有开放性、大众化的特点，几乎所有的安卓手机都存在重大验证漏洞，黑客可以通过未加密的无线网络窃取用户数字证书。2014年，企业安全公司Proof⁃point发布报告指出，从2013年12月23日到2014年1月6日，全球有超过10万台的互联网智能终端在两周时间内发送了75万封“钓鱼”邮件。这个“僵尸网络”中包括了大量媒体播放器、智能电视机以及1台冰箱。攻击者利用了默认管理密码和其他错误的配置，以及旧版本Linux上的高危软件漏洞，创建了一个由PC和智能家电构成的“僵尸网络”。移动“僵尸网络”的出现对用户的个人隐私、财产、银行卡密码等重要信息构成直接威胁。由于物联网终端是分散的，使得传统的防火墙等集中式的防护模式可能不再有用，加剧了物联网终端设备的使用风险。
　　2.传输层：异构网络带来的安全问题比移动网络更突出
　　物联网中存在着海量的节点和海量的数据，当传输网络面临着以集群方式存在的数据传输需求时，容易出现核心网络拥塞。黑客很容易利用传输层数据量庞大带来的挑战，制造拒绝服务(DoS)攻击。此外，由于物联网传输层是由不同架构的网络集结而成，除存在各自网络所固有的安全需求外，在相互连接的时候面临异构网络网间安全、安全协议的无缝衔接等一系列新的安全问题，容易遭到DoS攻击、中间人攻击、异步攻击、合谋攻击，导致节点丧失运行能力。因此，构建高柔性免受攻击的异构网络安全防护的关键技术和方法，是物联网传输层必须关注的重要问题。
　　3.应用层：用户更私密的个人信息使用与保护的形势更加严峻
　　当感应层接收的信息通过传输网络到达应用层时，海量用户信息如何应用，是物联网面临的又一挑战。物联网应用层集合了大量个体用户的隐私数据，包括健康状况、通讯数据、位置数据、消费习惯等。同时还储存了海量的电网、交通等等国家、行业敏感信息数据。以健康数据为例，随着智能硬件和可穿戴设备的发展和普及，除了用户对产品的使用行为、健康信息等用户个人数据也会被智能设备采集，并上传至云端。健康数据不仅是用户重要的个人隐私，也是用户的信息资源，但是当海量数据集中后，如果对数据的使用权限不加管理，如果没有相关法律对公民个人的信息资产加以界定，极有可能出现围绕个人的健康数据产生一个利益链条，而用户却对商家利用自己隐私数据牟利的情况毫不知情。据报道，国外已经发生某些公司或网络黑客将用户健康数据贩卖至医药企业、保险公司的案例。因此，在大数据和云计算时代，如何使用这些信息，不仅需要制定通用的隐私保护和信息安全政策，还需要针对特定行业考虑具体的数据使用权限问题。有学者提出在物联网应用层应该加强数据库访问控制，对不同的访问用户可根据其安全级别或身份不同限制其权限和操作，对不同的应用场景可采取认证机制和加密机制。