上圖并未給出中國市場的Android系統(tǒng)威脅數(shù)據(jù)����,但是復旦大學計算機科學學院專家今年8月份發(fā)布的研究顯示���,目前國內(nèi)安卓系統(tǒng)的應(yīng)用程序泄露率 過半,八成軟件過度要求授權(quán)��,非法收集用戶隱私信息����,包括手機通訊錄、身份信息��、地理位置信息����、諸多賬號信息以及郵件文件等數(shù)據(jù)。
無線安全再次引起警鐘
2012年11月����,深圳地鐵信號系統(tǒng)受干擾�,導致信號系統(tǒng)安全保護功能啟動,列車緊急制動���,造成多次列車因重新啟動而晚點或清客���。經(jīng)過分析地鐵信號系統(tǒng)采用WIFI信號�����,以通行的 2.4GHz頻段進行無線數(shù)據(jù)傳輸��,線路信號系統(tǒng)受到了列車上乘客所使用的便攜式3G無線路由器所產(chǎn)生的信號干擾所致��。此類便攜式3G無線路由器主要用于將3G信號轉(zhuǎn)換為WIFI信號供無線終端使用��, 其無線數(shù)據(jù)傳輸頻段與地鐵信號系統(tǒng)傳輸頻段相同����,均為公眾免費頻段2.4GHz����。要徹底解決改問題,地鐵需要申請專用頻段的來傳送信號�����,避免干擾���。
展望篇:2013年信息安全何去何從
在云計算����、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新技術(shù)�����、新應(yīng)用不斷發(fā)展的時代���,關(guān)于信息安全的未來發(fā)展具有如下特征:
市場驅(qū)動力:從合規(guī)驅(qū)動到需求驅(qū)動漸變
信息安全一般分兩類驅(qū)動力����,即政策性驅(qū)動和需求類驅(qū)動�。從歷史來看,政策性驅(qū)動的市場要大于需求類驅(qū)動的市場�����。等級保護是一個典型的政策性驅(qū)動的市場����,當然兩者也不是完全隔離,但是近年來需求驅(qū)動力度越來越明顯�����。
耗費巨資的中國鐵路客戶服務(wù)中心網(wǎng)站(簡稱12306網(wǎng)站)定義為等級保護四級�,前不久暴露出被黑客拖庫,最近又因機房空調(diào)問題停止服務(wù)����,而這兩項 內(nèi)容都在等級保護規(guī)范中有明確的要求。所以�����,認為通過等級保護的評測就不會出問題顯然是一種誤區(qū)����。國外屢屢出現(xiàn)的大規(guī)模信用卡信息泄漏的公司多數(shù)也通過了 PCI-DSS認證,這些只不過是促進信息安全工作的一種合規(guī)性要求�����。等級保護只是指導性�����,關(guān)注通用的一些要求�,并沒有觸及到用戶的安全需求實質(zhì)。很多行 業(yè)用戶的需求已經(jīng)完全超出了等級保護的泛在要求��。等級保護只是最基本的要求���,無法也不可能涉及到用戶的所有業(yè)務(wù)安全需求����,結(jié)合業(yè)務(wù)的需求才是關(guān)鍵。
從未來看���,在滿足合規(guī)的基礎(chǔ)上����,用戶真正的安全需求還有巨大的空間需要滿足�����。從廠商角度要切實關(guān)注用戶的實質(zhì)安全需求�����,這將是今后很重要的市場驅(qū)動力���。
安全關(guān)注點:從“系統(tǒng)”到“業(yè)務(wù)”到“人和數(shù)據(jù)”的轉(zhuǎn)移
哪里有價值���,哪里就有攻擊,攻擊者一定是不斷靠近價值層的。從未來看���,安全的關(guān)注點也在發(fā)生變化,從早期的關(guān)注系統(tǒng)�,到關(guān)注業(yè)務(wù),到當下及未來更關(guān)注人���、關(guān)注數(shù)據(jù)��。
系統(tǒng)安全
從國內(nèi)用戶的安全工作來看���,大部分的安全資源投入到了安全補丁、安全事件處置�、漏洞掃描和評估、安全設(shè)備部署等����,這些主要集中在網(wǎng)絡(luò)�����、系統(tǒng)層面的工作很難涉及到安全的實質(zhì)���,致使很多用戶投入了大量的資金和精力所建設(shè)的安全系統(tǒng)疲于防護,安全事故依舊頻發(fā)��。
業(yè)務(wù)安全
業(yè)務(wù)系統(tǒng)既有通用IT基礎(chǔ)設(shè)施,又有其特有的應(yīng)用����、特有的業(yè)務(wù)流程����。一般的安全防護是基于基礎(chǔ)IT設(shè)備的體系���,從內(nèi)容上看開展的安全工作大部分僅停 留在系統(tǒng)和設(shè)備層面上,缺乏對應(yīng)用層��、業(yè)務(wù)流程層的全面評估和防護手段��,不能全面發(fā)現(xiàn)漏洞����,無法應(yīng)對日新月異的安全威脅。近期發(fā)生的信息泄密等安全事故都 表明,傳統(tǒng)安全管理和技術(shù)措施存在明顯空白薄弱點�����。
對于業(yè)務(wù)安全難以發(fā)現(xiàn)、難以防護的特點��,切實的工作方法就是落實“三同步”�����。按照天融信2012年初反復強調(diào)的要“將安全和業(yè)務(wù)進行融合”��,就可以 避免出現(xiàn)安全問題后再打補丁所付出的巨大代價����。只有從業(yè)務(wù)角度進行梳理���,才能發(fā)現(xiàn)深層次的安全隱患����。業(yè)務(wù)安全問題需要安全專家要深度了解業(yè)務(wù)知識����,首先是 業(yè)務(wù)專家然后才是安全專家�����。培養(yǎng)專門的業(yè)務(wù)安全專家是當務(wù)之急。
人的管理
人永遠是信息安全最為核心的要素��,盡管目前信息安全技術(shù)在識別威脅方面變得更好�����,但技術(shù)不可能始終將人這一要素剔除。人的安全意識、技能是安全體系充分發(fā)揮作用的基石��。
人也是信息安全體系木桶中最重要的一塊木板����。社會工程學就是利用人性的弱點達到攻擊業(yè)務(wù)或獲取數(shù)據(jù)的目的�����。社會工程學始終是安全攻擊中高居不下的攻擊方式���,需要引起足夠的重視����。人的安全意識提升至關(guān)重要。
同時對人的安全管理也是信息安全工作中事半功倍的措施��,業(yè)內(nèi)的4A(集中賬號管理、認證�、授權(quán)與審計)系統(tǒng)這些年建設(shè)的效果非常好,也從另一個側(cè)面體現(xiàn)了對人的管理的重要性���。安全的實質(zhì)是攻與防的博弈��,安全的未來投入會更多的關(guān)注的“人”的這個層面。
數(shù)據(jù)安全
在大數(shù)據(jù)時代�����,對機構(gòu)或企業(yè)來說����,大數(shù)據(jù)將成為關(guān)鍵價值資產(chǎn)�����,對數(shù)據(jù)的安全關(guān)注需要加大投入��?!按髷?shù)據(jù)”并不是一項技術(shù)���,而是由于不斷增長的數(shù)據(jù)量和數(shù)據(jù)種類而逐漸衍生出來的一種現(xiàn)象。
隨著計算機信息化技術(shù)飛速發(fā)展,企業(yè)中的主機、服務(wù)器��、防火墻、交換機���、防毒墻�����、無線路由等等網(wǎng)絡(luò)設(shè)備����、安全設(shè)備以及應(yīng)用系統(tǒng)越來越多����,這些設(shè)備所產(chǎn)生的海量日志信息成為了大數(shù)據(jù)時代飛速增長的數(shù)據(jù)的重要組成部分�,由此帶來的日志管理與安全審計的工作也變得越來越復雜。
面對海量數(shù)據(jù)�����,單靠人工進行管理幾乎成了一件不可能完成的工作�。越來越多的企業(yè)也意識到了這種挑戰(zhàn):IT 負責人和職員無法有效地對海量數(shù)據(jù)進行有效地收集、處理和分析;另一方面�,企業(yè)CEO 以及高層管理人員因不能及時獲得所需的信息,而無法預測出潛在的業(yè)務(wù)風險���,坐等商業(yè)機會的流失��。
天融信在面對大數(shù)據(jù)時代帶來的新挑戰(zhàn)��,提出大數(shù)據(jù)綜合管理平臺戰(zhàn)略�����,為企業(yè)轉(zhuǎn)型�、成長提供必要的戰(zhàn)略技術(shù)支撐。通過海量數(shù)據(jù)的自動收集�����、處理以及實時的智能分析實現(xiàn)企業(yè)高效�����、便捷�、經(jīng)濟的大數(shù)據(jù)管理����。
威脅新變化:從普通攻擊到“有目的�、有組織”網(wǎng)絡(luò)戰(zhàn)
安全威脅發(fā)展的三個階段,即
a、第一階段:早期的無意識攻擊����,以炫耀技術(shù)為主
b�、第二階段:趨利性安全攻擊�,目的明確就是獲取利益
c�����、第三階段:APT(Advanced Persistent Threat)攻擊,主要表現(xiàn)為有組織的攻擊��、反政府的恐怖襲擊等網(wǎng)絡(luò)戰(zhàn)�。
網(wǎng)絡(luò)戰(zhàn)已不是某種概念���,而是現(xiàn)實�。2013年安全威脅主要有以下趨勢�����。
1�、威脅主體的變化——在新的形勢下�����,威脅的主體在發(fā)生變化�����,以前的威脅主體主要是個體、小組織團體�,未來的對手會是有組織的攻擊等。新的對手有幾 個特點:網(wǎng)絡(luò)攻擊活動背景越來越復雜���,攻擊者擁有更大量的資源�����,鎖定精準的目標�����,攻擊的目標越來越多被選定為關(guān)系到國計民生的基礎(chǔ)設(shè)施�,攻擊者擁有更強的 團隊能力等�����,過去所積累的經(jīng)驗教訓將遠遠不足以應(yīng)對未來的情況���。
2�、網(wǎng)絡(luò)沖突或成常態(tài)——2013年及未來的網(wǎng)絡(luò)世界中,不同組織或個人之間的網(wǎng)絡(luò)沖突或?qū)⒊蔀橐环N常態(tài)���。一些有組織的團體會繼續(xù)使用網(wǎng)絡(luò)戰(zhàn)術(shù)來嘗 試摧毀或破壞其攻擊目標的安全系統(tǒng)及信息資產(chǎn)���。2013年的網(wǎng)絡(luò)形勢更類似于一場“比武大會”,不同組織和團體都可能會通過網(wǎng)絡(luò)攻擊來展示其實力并“發(fā)布 信息”���。針對個人和非政府類組織的攻擊會越來越多�����,例如政治事件的擁護者以及發(fā)生沖突的少數(shù)群體成員���。
3、定向攻擊����、勒索軟件——APT攻擊時代的來臨預示著定向攻擊將成為惡意軟件發(fā)展的新趨勢,傳統(tǒng)的蜜罐或蜜網(wǎng)將難以捕捉APT樣本;同時一種威力 更強大的新模式“勒索軟件”正在涌現(xiàn)����。勒索軟件不僅僅是欺騙受害者那么簡單�,它還會對受害者實施威脅與恐嚇���。如今����,網(wǎng)絡(luò)罪犯們使用在線支付的方式這些敲詐 方式會變得越來越先進�����,且更具破壞性����。攻擊者們會使用更加專業(yè)的勒索手段來刺激受害者�����,并使用一些方法讓受攻擊對象在被入侵后很難恢復��。
產(chǎn)業(yè)大趨勢:從傳統(tǒng)安全走向融合開放的大安全
智能化
傳統(tǒng)安全更關(guān)注防御���、應(yīng)急處置能 力���,隨著互聯(lián)網(wǎng)的發(fā)展�,安全問題逐漸突出�����,入侵�����、攻擊和病毒行為正向分布化�����、規(guī)?�;?���、趨利化、復雜化和間接化等方向 發(fā)展�。因此,在網(wǎng)絡(luò)中依靠傳統(tǒng)孤立的采用一種安全產(chǎn)品或技術(shù)��,部署在局部范圍內(nèi)�����,來識別和發(fā)現(xiàn)網(wǎng)絡(luò)中的安全事件已經(jīng)非常困難或有失準確性。
在“大數(shù)據(jù)時代”的智能化安全�����,是通過對安全海量數(shù)據(jù)的挖掘��,通過數(shù)據(jù)融合���,智能化深入分析和良好呈現(xiàn)�����,更注重體系的安全態(tài)勢預知,強調(diào)系統(tǒng)的“預防”能力�����,達到醫(yī)學上的“上醫(yī)治未病”���。
運營化
同 其他產(chǎn)業(yè)一樣���,信息安全同樣要經(jīng)歷“產(chǎn)品模式”、“服務(wù)模式”��、“體驗?zāi)J健钡霓D(zhuǎn)變,安全實質(zhì)提供的是知識和能力��,從發(fā)展趨勢看�,安全將從硬件交 付、軟件交付向運營化服務(wù)的過渡�����,依托產(chǎn)品+服務(wù)���,提供7*24小時的運營化服務(wù)才能更無縫的契合用戶的安全需求����。即SAAS:安全即服務(wù)�。
隨 著云的落地,給IT帶來了巨大的變革�。云安全服務(wù)的出現(xiàn),徹底顛覆了傳統(tǒng)安全產(chǎn)業(yè)基于軟硬件提供安全服務(wù)的模式���,降低了企業(yè)部署安全產(chǎn)品的成本�����, 使更多的企業(yè)可以享受到安全運營保障����,全心關(guān)注企業(yè)的核心業(yè)務(wù)。運營化服務(wù)的SLA和信息保密及隱私的問題�,是服務(wù)提供商后續(xù)需要重點考慮和解決的。
精細化
融 合開放是這個時代發(fā)展的主題�,尤其在云計算時代,系統(tǒng)融合了很多的應(yīng)用和服務(wù)��,開放很多的接口��,系統(tǒng)供應(yīng)鏈的整個安全都需要我們關(guān)注��。在全供應(yīng)鏈 風險管理體系中���,可能供應(yīng)商的供應(yīng)商都屬于全供應(yīng)鏈風險。我們很多用戶對供應(yīng)鏈��,尤其是全球供應(yīng)鏈環(huán)境的風險考慮是不足的�。真正的安全是從一個整體系統(tǒng)去 看它的全生命周期的安全問題,而且要考慮人的因素���,同時還要考慮各方面的對手所帶來的危險�����。
技術(shù)新挑戰(zhàn):新計算�、新網(wǎng)絡(luò)、新應(yīng)用��、新數(shù)據(jù)的安全
新計算�、新網(wǎng)絡(luò)、新應(yīng)用�、新數(shù)據(jù),這些都是今后一段時期的信息安全方向和熱點���,每一個方向都會給未來的應(yīng)用和業(yè)務(wù)帶來巨大改變����,同時也帶來新的安全挑戰(zhàn)����。
新計算
這 里所提到的新計算可以認為就是目前大熱的云計算。云計算給傳統(tǒng)計算模式和商業(yè)服務(wù)模式帶來了巨大改變����,但卻面臨極大的安全風險,這使得云安全也隨 著云計算熱而廣受關(guān)注�。云計算的虛擬化�����、多租戶和動態(tài)性給傳統(tǒng)安全問題出了一道難題�,而且也引入了一些新的安全問題�。云計算的出現(xiàn)使得傳統(tǒng)的網(wǎng)絡(luò)邊界不復 存在,使得信息的所有權(quán)和管理權(quán)分離�,信息資產(chǎn)的非授權(quán)訪問成為云計算系統(tǒng)的重要安全問題。
數(shù)據(jù)安全和隱私保護:由于多租戶環(huán)境����、虛擬技術(shù)、數(shù)據(jù)遷移等多個因素綜合導致數(shù)據(jù)保護將面臨更大的挑戰(zhàn)����。
虛擬化運行環(huán)境安全:虛擬機隔離、監(jiān)控�、安全遷移及鏡像文件的安全存儲,以及文件存儲�����、塊存儲��、對象存儲等于計算存儲服務(wù)的安全
動態(tài)云安全服務(wù):不同企業(yè)�、不同應(yīng)用存在差異化的安全需求,根據(jù)用戶需求����,結(jié)合移動互聯(lián)網(wǎng)應(yīng)用架構(gòu),提供動態(tài)差異化的于安全服務(wù)�����。
天融信公司依據(jù)多年的信息安全工作經(jīng)驗��,充分分析云計算系統(tǒng)的特點����,總結(jié)了云計算安全保障體系框架,從三個維度闡述云計算安全的相關(guān)要素�����。如下圖:
圖:云計算安全保障體系框架
新網(wǎng)絡(luò)
物 聯(lián)網(wǎng)——國家“十二五”規(guī)劃明確提出���,物聯(lián)網(wǎng)將會在智能電網(wǎng)��、智能交通���、智能物流����、金融與服務(wù)業(yè)�、國防軍事等十大領(lǐng)域重點部署。物聯(lián)網(wǎng)和安全相關(guān) 的特征表現(xiàn)在可感知性�����、可傳遞性和可處理性�����?���?筛兄允切枰锲贰⒃O(shè)備和設(shè)施的相關(guān)信息均可唯一識別����,并數(shù)據(jù)化描述,最終可通過網(wǎng)絡(luò)進行遠程監(jiān)控���?�?蓚鬟f 性是需要將物品信息通過各種電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)實時準確地傳遞出去�??商幚硇允切枰\用云計算、模糊識別等智能計算技術(shù)對海量信息進行智能處理�����。物聯(lián)網(wǎng)中的 業(yè)務(wù)認證機制和加密機制是安全上最重要的兩個環(huán)節(jié)��。
移動互聯(lián)網(wǎng)——據(jù)Gartner預計����,到2013年,全球PC保有量將達到16.2 億部��,而智能手機和具備瀏覽器的傳統(tǒng)手機的保有量將達到16.9 億部�。手機將超越PC而成為人們的主要上網(wǎng)工具,隨著3G網(wǎng)絡(luò)�����、WLAN網(wǎng)路如火如荼的建設(shè)�����,移動互聯(lián)網(wǎng)用戶規(guī)模和網(wǎng)絡(luò)規(guī)模都將呈現(xiàn)爆炸性增長��。
移 動終端存儲的隱私信息及蘊含的經(jīng)濟利益使其稱為黑客首要的攻擊目標。主要表現(xiàn)在移動惡意軟件竊取隱私或吸取話費及帶來潛在威脅���、操作系統(tǒng)���、客戶端 軟件漏洞導致安全風險。從未來看��,由于收益豐厚�,黑色產(chǎn)業(yè)鏈會刺激病毒的發(fā)展,移動惡意軟件會更加肆虐�、泛濫、更加智能化���,更難清除����,同時綜合型移動惡意 軟件出現(xiàn)���,集成隱私竊取�����,惡意消費�����、系統(tǒng)破壞���、后門等多種功能,危害會更大�����。
新應(yīng)用
電子商務(wù)安全——電 子商務(wù)主要依托Internet平臺完成交易過程中雙方的身份���、資金等信息的傳輸�����,安全問題是電子商務(wù)的主要技術(shù)問題��,主要面臨 以下威脅:一是信息篡改���,電子的交易信息在網(wǎng)絡(luò)傳輸過程中,信息可能會被人�����、被第三者非法篡改,導致信息失去了真實性和完整性��。二是信息破壞���,由于一些硬 件和軟件問題或者是一些惡意病毒使一些信息遭到破壞��。三是身份識別����,若沒有身份識別��,交易的一方就可以對交易內(nèi)容否認或者是欺詐��,或者會有第三方來冒充交 易的一方�����。四是信息泄密�,即交易雙方進行交易的內(nèi)容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。
社交網(wǎng)絡(luò) (SNS)安全——社交網(wǎng)絡(luò)的安全威脅會越來越大��,隱私保護將成為焦點��。最重要的兩個因素是安全和信任,雖然可以保護個人信息不被其它應(yīng)用 程序用戶看到����,但對于受信任的朋友,你卻無法保證他不會泄露你的私密資料或以此為目的來接近你����,就目前的社交平臺來看,安全和信任還存在相當大的問題����。
新數(shù)據(jù)
大 數(shù)據(jù)成為網(wǎng)絡(luò)攻擊的顯著目標:在網(wǎng)絡(luò)空間�,大數(shù)據(jù)是更容易被“發(fā)現(xiàn)”的大目標。一方面�,大數(shù)據(jù)意味著海量的數(shù)據(jù),也意味著更復雜����、更敏感的數(shù)據(jù), 這些數(shù)據(jù)會吸引更多的潛在攻擊者�。另一方面,數(shù)據(jù)的大量匯集�,使得黑客成功攻擊一次就能獲得更多數(shù)據(jù),無形中降低了黑客的進攻成本�����,增加了“收益率”。
大 數(shù)據(jù)也為信息安全的發(fā)展提供了新機遇���。大數(shù)據(jù)正在為安全分析提供新的可能性��,對于海量數(shù)據(jù)的分析有助于信息安全服務(wù)提供商更好地刻畫網(wǎng)絡(luò)異常行 為����,從而找出數(shù)據(jù)中的風險點�。對實時安全和商務(wù)數(shù)據(jù)結(jié)合在一起的數(shù)據(jù)進行預防性分析,可識別釣魚攻擊���,防止詐騙和阻止黑客入侵���。網(wǎng)絡(luò)攻擊行為總會留下蛛絲 馬跡,這些痕跡都以數(shù)據(jù)的形式隱藏在大數(shù)據(jù)中��,利用大數(shù)據(jù)技術(shù)整合計算和處理資源有助于更有針對性地應(yīng)對信息安全威脅���,有助于找到攻擊的源頭��。
