移动互联网警钟长鸣 信息安全保障迫在眉睫
2015-10-24范渊
移动互联网警钟长鸣 信息安全保障迫在眉睫
创客
范渊,安恒信息技术有限公司总裁,毕业于美国加州州立大学,计算机科学硕士。由于在信息安全领域的技术创新的成功实践,他成为第一个登上全球顶级安全大会BLACKHAT(黑帽子)大会进行演讲的中国人。正因为有了范渊这样的创业家,给我们的网络带来了相当的安全。2007年,他回国在休闲之都杭州创办了一家公司。他总是说,自己其实是个白客。
近年来,随着移动网络的快速演进,智能终端的日益普及,服务模式的迭代创新,浙江省移动互联网产业发展迅速,预计2014年实现总收入160亿元左右,比上年增长120%,移动互联网产业已经成为浙江省最重要的新兴产业。但是,在移动互联网繁荣壮大的同时,信息安全事件也引起了各方的关注,如手机隐私信息被窃取、病毒软件的传播、信息内容篡改等问题经常出现。网络安全事件逐步从PC转向了手机,信息内容的泄露更加隐蔽和频繁,信息安全给移动互联网敲响了警钟。移动互联网主要面临以下三方面的风险隐患:
金融支付风险。前有支付宝、微信支付等支付平台,后有各银行推出的移动银行等APP,移动金融支付安全首当其冲,据调查报告称,2014年,有大约60%针对安卓手机的恶意软件,设计初衷就是窃取客户端钱财或银行账户资料。不仅如此,移动互联网上金融犯罪手段不断翻新升级,犯罪分子通过伪造移动基站和WIFI热点以及进行号码伪装等具有极强隐蔽性的手段,诱导用户上当受骗。
新兴技术风险。移动互联网依托的技术基础是大数据与云计算,大数据导致了敏感数据的大量集中,云计算促使了业务信息的共享交互。大数据所暗藏的巨大价值诱发了黑客APT(高级可持续攻击)的可能,云共享增加了移动用户信息泄露的途径,且目前业内普遍缺乏对云计算、大数据等新兴技术底层架构的深刻认知,因此,传统的安全防护手段也不能完全适用于移动互联网时代。
数据泄露风险。移动互联带来了数据的爆炸式增长,各项服务和终端设备直接或间接绑定了数以亿计的用户数,移动平台提供商缺乏对这些用户的安全准入机制,用户对移动网络不透明,鉴权不严格,大量用户未经严格的认证机制即可接入网络,终端的安全能力和安全状况网络不知情、不控制,用户地址可以伪造。且个人数据的所有权和使用权并没有明确的界定,导致数据被大量滥用。
为保障和促进浙江省移动互联网良好的产业发展环境,进一步加强移动应用和业务的监管,移动互联网信息安全保障迫在眉睫。根据前文对移动互联网重要风险隐患特点的分析,结合国内安全现状和业内防护经验,可以从以下几点着手移动互联网的安全保障:
建立移动互联网安全管控平台。在技术层面,通过相关特定技术对移动互联网安全态势进行实时感知和管控:如通过大数据技术针对恶意代码和非法终端接入的监控,通过云计算,关联分析等技术对APT(高级可持续攻击)和其他攻击行为进行事前预警防护,通过数据审计技术确保应用和业务安全交互。这样,通过各个维度的技术防护构建移动互联网安全管控平台,并与国家信息安全综合监测体系对接,保证移动互联网底层架构的自主可控。
统一移动互联网安全标准规范。在行业层面,产业上下游共同制定统一规范的行业安全标准。特别是制定金融、支付、电子商务等涉及人民财产安全的平台的安全审查规范,确保达到符合国家安全认证标准的平台才能准入开展业务和提供服务。制定智能终端硬件和软件准入安全标准,并开展信息传输过程中的针对性检测,进一步维护好个人信息安全和合法权益。通过一系列标准制度的统一规范要求,从根源上保障移动互联网用户、应用和平台的合规性和可信性。
推进移动互联网信息安全立法。在国家层面,通过不断完善网络空间安全法律法规,建立移动互联网的法律和政策框架,成立相关的执法机构,提高各方对移动互联网的信息安全意识,推进行业自律和监管力度。在移动互联网安全法规的政策引领下,建立多部门联动的监管机制,对于通过恶性竞争等手段违反安全法规的企业,加大处罚力度,追溯安全职责,并和移动互联网应用备案、行业标准、审查制度结合,形成移动互联网长效治理机制。
浙江省信息产业基础好,发展快,但是也面临更严峻的信息安全形势,移动互联网作为浙江省信息产业发展的中流砥柱,必须确保其本身的安全性和可控性。面对风云变幻的移动互联网环境,在国家将网络空间信息安全建设提高到国家安全层面的前提下,我们更应该将信息安全打造成浙江省信息化建设的坚石,认清移动互联网的风险和隐患,促进浙江省信息产业健康持续发展。