国家信息技术安全研究中心 杨 雪 高红静

2015年网络安全热点展望

国家信息技术安全研究中心 杨 雪 高红静

2014年信息安全领域经历了风风雨雨，可以预见到2015年在网络安全领域依然不会风平浪静。网络空间面临的安全形势将日趋严峻和复杂，在此,我们对2015年可能即将出现的网络安全热点问题做出如下展望。

1、国家有望出台网络空间安全战略

网络空间正日趋成为关系国际以及国家安全的重要领域。如何加强网络空间的科学治理和安全保障，不仅决定我国能否实现从网络大国向网络强国的跨越，也是我国国家治理体系和治理能力现代化的重要方面。中国自2009年已经是世界第一网民大国，作为世界网络大国和最大的发展中国家，制定出台国家网络安全战略，已经成为迫在眉睫的任务。当前，中央已经将网络安全上升到国家战略高度予以系统谋划，以习近平为组长的中央网络安全和信息化领导小组的成立奠定了领导基础，另外网络空间安全智囊团不断出谋划策，国家有望明年出台网络空间安全战略。

2、网络安全审查逐步落地

5月22日，国家互联网信息办公室发布消息称，我国将实行网络安全审查制度，从制度上为互联网安全保驾护航。网络安全审查将是一个制度的体现，而不是一个单个的文件，包括法律的要求、政策规定、国家标准和工作机构，以法规的形式来规范网络审查活动，避免出现管理的随意性。此次网络安全审查制度从出台到全面实施将循序渐进，从重点行业开始逐步扩展到各个领域。

3、网络信任体系建设不断加强

全球网络空间中，不同行为体之间占有的资源与拥有的能力处于不对称状态，网络空间信任体系的重要性日趋凸显。我国网络信任体系建设方案已提出多年，经过近十年的发展，电子银行领域已经普遍采用电子认证服务等身份认证手段，形成比较完整的互联网身份认证体系，这一信任体系可以延伸到更为广泛的互联网金融市场中。此外，建立包括征信体系、统一权属登记体系、不良交易信息共享体系在内的互联网网络信任体系也是行之有效的控制手段。网络信任体系建设有助于净化网络环境，形成绿色网络。2015年网络信任体系建设会成为一个重点关注领域。

4、APT攻击将席卷全球

随着网络空间对抗的日益加剧，APT攻击以其精准高效的特点，正成为黑客组织乃至国家间网络对抗的主要方式。尽管2014年很多政府机构和全球化企业在安全控管上都投入了巨大的人力和物力，但是APT攻击仍然渗透进这些组织，锁定高度机密的政府数据、金融信息、数字资产、工业设计等资料。今年，网络犯罪集团成功利用APT攻击，在美国和加拿大制造多起大型数据外泄事件。威胁防御专家预测，2015年，随着黑客攻击技能的泛化，攻击工具的商品化， APT攻击将会波及更多国家，甚至同普通的网络攻击一样在全球泛滥。

5、移动支付安全和移动终端漏洞给移动互联网发展带来新挑战

随着4G网络的大面积应用，智能手机和移动应用在日常生活中日益普及，人们越来越习惯于移动支付方式。受经济利益驱使，黑客将更多地把移动互联网作为主阵地。ApplePay的引入可能会成为许多用户使用移动支付的开始，其他公司也将推出自己的支付平台，这些平台没有经过真实的安全威胁考验，NFC功能的大量使用也会给移动支付带来新的风险。此外，针对智能终端设备硬件、操作系统、应用程序等的安全漏洞挖掘将增多，预计2015年Android威胁累积数量将达到目前的二倍，突破至800万。另外，移动设备、平台及APP程序的漏洞数量将会增加，这将带来更严重的网络风险。

6、网络犯罪更加猖獗，催生出功能更强、效果更好的黑客工具及攻击手法

2014年的网络犯罪攻击愈演愈烈，包括美国Target 超市7000万笔客户资料泄露、ebay遭到神秘黑客的攻击、索尼影视娱乐数据泄露并遭受恐怖威胁等。社交网络成为黑客攻击和网络犯罪的新途径。黑客通过社交网络广泛收集、挖掘用户信息，形成社工库，并基于用户网络习惯实施高效的定向攻击，散播恶意程序、钓鱼欺诈信息等。网络攻击事件的背后，是那些神秘而强大的黑客工具。例如：发展迅速的POS病毒家族，犯罪集团所采用的恶意软件可以轻松入侵那些安装了POS软件的商家计算机，从而截获每笔付款信息。2015年网络犯罪活动将显示出更高级别的协作水平与更令人担忧的技术层级。

7、身份认证技术的发展

在信息安全里，身份认证技术在整个安全系统中是重点，也是信息安全系统首要“看门人”。传统的密码系统频遭网络犯罪的攻击，以生物特征为基础的生物认证技术和以口令为特点的非生物认证技术均存在一定的局限，目前采用一次性密码、虹膜和指纹扫描等多因素身份验证技术可以成为安全维护的替代方法。

8、物联网危机

目前，物联网的大规模攻击不易发生，但是攻击者会针对家庭路由器、智能电视和互联汽车应用等互联设备进行一次性攻击，以获取敏感和隐私信息。物联网应用的发展意味着通过网络连接设备、数码配件以及机器等进行的万物互联会导致新一轮的安全隐患。

9、云平台的普及加大信息泄露风险

随着云平台的应用普及和大数据技术的发展，涵盖互联网行业、金融服务业、医疗保健业的大量行业数据快速增长，越来越多的用户数据从个人电脑转向云平台。此外，私有云不断得到普及，越来越多的企业构建私有云。2015年，在不同行业，云构建都将成为企业的竞争优势。但一方面，集成大量数据的云端容易成为攻击者的目标，一旦发生信息泄露，将对整个行业造成影响。另一方面，由于云平台使用方便、成本低廉，黑客将大量利用云平台进行恶意程序传播和网络攻击的跳板，严重危害互联网安全。

10、大数据安全问题引关注

大数据在优化商业服务、拉动信息消费、改善社会治理、促进经济转型等方面发挥着越来越积极的作用。目前已经有数十亿已连接的设备以及新的技术在生产大量的数据。在2015年，连接的设备数量将继续增长。在大数据相关技术的发展下，数据安全问题也会越发重要。未来企业都将成为互联网企业，企业信息安全和用户个人隐私信息都面临更大挑战。大数据还可能存在污染，即大数据被人为操作和注入修改虚假信息。这些问题都值得重点关注。

11、改变传统网络安全游戏规则，加速研发网络空间安全主动防御新技术

美国在改变传统网络安全游戏规则方面先发制人，具体做法包括开发人机协作新模式，采用更好的数字化工具；打造可信网络空间，设计与建设具有多层次安全的系统和网络；培养具备网络技能的人才，改变教育培训形式；建立新思维，创设新技术，构建完备的主动防御体系。我国将加快步伐，借鉴国外经验，并加快研发网络空间安全主动防御新技术。

2015年的网络空间安全会遇到新的挑战，云计算、物联网、大数据和移动互联网等新技术的广泛普及应用在给互联网产业带来巨大利益的同时，也暴露出众多棘手问题。面对更加猖獗的网络犯罪和日益凸显的移动终端漏洞等问题，信息安全势必会进入发力阶段。