“互联网+”环境下的网络平台信息安全
2016-05-14
联通系统集成公司 北京 100032
1 概述
互联网是网络与网络之间通过标准的协议相连而形成的巨大全球化网络,在这个网络中有路由器、交换机、防火墙等网络设备、多种连接链路、繁多的服务器和数不尽的计算机终端。通过互联网,人们可以将数据信息瞬间发送到千里之外的其他网络节点中,它是信息社会的基础。在互联网技术的不断成熟、推进下,“互联网+”应运而生,它是互联网发展的新形态、新业态,是知识社会的互联网形态演进及其催生的经济社会发展新形态;代表一种更为先进的生产力,推动着社会经济形态随着互联网技术不断演变,进而带动社会实体经济发展,为社会不断改革、创新、发展提供了更为广阔的网络平台。
“‘互联网+’传统行业”以互联网发展为核心,与工业、商业、金融等服务行业全面融合,具有跨界融合、创新驱动、重塑结构、尊重人性、开放生态、连接一切等特点。
1.1 大数据提升社会治安管理
1)通过搜索数据、微信、微博等手段提高舆情监测效率;
2)使用大数据打击犯罪,如利用目前通用的交通一卡通乘车数据,根据异常乘坐数据,或许可以容易判断出对象是否是小偷,同时,利用人脸识别可以为公共安全提供更多的管控手段。
1.2 巨大的信息安全市场潜力
随着“互联网+”战略的实施,随之而来的信息安全事件,如个人信息被泄露、篡改、支付宝平台瘫痪等等事件,使得网络信息安全需求大幅提高,市场潜力巨大,其涉及的相差硬件产品、软件产品及信息安全服务将迎来快速发展期。同时,在引起重大国际影响的“棱镜门”事件发生后,网络信息安全被提升到国家安全高度,信息安全将更加受到政府及企业重视,国产自主可控软硬件产品将成为政策重点扶持方向,会迎来更大的市场空间和发展机遇(如图1)。
图1 2010~2015年中国信息安全市场规模
总之,机遇与挑战并存,伴随“互联网+”的推进,中国作为拥有近7亿网民的网络大国,大部分传统行业信息将数据化、在线化、移动化、远程化,同时,随着电子商务、互联网的发展,产生的信息数据必将呈指数增长;这些信息数据会涉及整个社会、军事及国民经济的方方面面,与国家经济发展甚至整个国家安全都息息相关,在这样的新环境下,“互联网+”面对的信息数据形式更加严峻,如何保障并提升信息安全,为社会经济健康发展保驾护航,成为信息安全领域的新课题和使命。
2 “互联网+”环境下信息安全的风险与挑战
“互联网+”环境下,信息系统主要主体是个人消费者、企业和政府等各级管理监管部门,每个主体都面临各自的信息安全风险与挑战。
2.1 个人消费者层
2.1.1 个人信息泄露
“互联网+”环境下,每个人都贡献着信息数据,信息数据泄露等安全问题更加凸显。根据2016年4月29日国家工商总局发布的《中国消费者权益保护年度报告(2015工商行政管理卷)》数据显示,涉及个人信息泄露事件多达1139件,同比增长69.2%[1]。
非法采集、窃取、贩卖和利用个人信息的黑色产业链不断“做大”。2014年,支付宝前员工非法贩卖超过2G的个人信息,以及携程网的“安全门”事件,都曾引起广泛关注。今年2月,江苏省淮安市公安机关发现,有人利用互联网大肆倒卖车主、车牌号、车辆类型等公民个人信息。经缜密侦查,淮安公安机关抓获犯罪嫌疑人陈某,当场查获公民信息1500余万条。近期发生的优步(UBER)个人信息泄露以及不法分子利用泄露的个人信息进行叫车服务对司机和个人都造成了严重经济损失和不良的社会影响[2]。
泄露的个人信息数据,如被广告商利用则能够精准营销,使个人不堪其扰;其次,网络攻击者利用信息数据中的邮件、微博、微信、手机号码、家庭住址等敏感信息更容易锁定目标;一些不法分子利用这些信息将会更有针对性地进行欺骗。
2.1.2 在线支付安全
我国首个《公众网络安全意识调查报告(2015)》正式发布。报告数据显示,83.48%的网民网上支付行为存在安全隐患,特别是青少年和老年人的网络安全意识亟待加[3]。
“互联网+”环境下,在线支付安全是个人消费者面临的另一个重大风险。2014年,黑客利用淘宝出现的重大信息安全漏洞获取淘宝用户信息;同年,因为携程网信息安全漏洞,大量用户信息被泄露。2016年7月,支付宝出现大面积使用故障,用户在线上、线下购物支付时出现“网络不给力,请稍后再试”的提示,无法支付成功,同时,转账时也遇到了同样的问题。根据第36次中国互联网络发展状况统计报告数据显示,至2015年上半年,移动互联网技术和应用在中国普及率持续提高,各类新型应用呈现爆发式增长,手机支付、手机网购、手机旅行预订用户规模分别达到2.76亿、2.70亿和1.68亿,半年度增长率分别为26.9%、14.5%和25.0%。但手机等移动设备内置的安全保护非常有限,同时3G、4G、操作系统、应用软件等的多样性和不成熟性也加剧了移动支付被攻击的威胁。“互联网+”环境下,对个人用户来说,财产安全面临更加严峻的风险和挑战。
2.2 企业层
传统行业如教育、金融、交通、旅游、制造业、农业、房地产等在融入到“互联网+”环境中时,因自身的业务特征,会带来更多信息安全问题。例如“‘互联网+’旅游”,其产业链包括导游认证、酒店预订、车辆租赁、门票预订、支付、网络货币、保险服务等多个环节,在这样庞大的旅游全业务链中,一方面交易双方无法面对面鉴别真实身份;另一方面如何保障信息数据在网络传输过程中的安全性、完整性;再有,一旦发生纠纷,电子证据如何证明双方的交易行为,这些电子证据是否可以作为合法的法律证据使用?如近期出现的上海迪士尼乐园电子门票被冒用事件,购票游客最终只能自行再次购票。这些问题都是“‘互联网+’旅游”要解决的关键问题。
2.3 管理层
2.3.1 法律和监管
法律发展受经济条件影响,具有历史类型的更替与继承的规律,是受社会发展限制的,也就是说,法律具有稳定性、静止性,而社会、经济的发展是动态的,所以法律通常滞后于社会发展。
李克强总理在泉州企业视察时说过,“互联网+”未知远大于已知。对企业而言,企业未来发展有无限的空间和机遇;对法律及监管机构而言,却是非常大的挑战。原因有两个方面,一是“‘互联网+’传统行业”的新业态形式会引出新的问题,法律要随之制定新的规章制度定;二是新业态刚刚萌芽,未来发展有无限可能,如果法律及监管部门贸然制定规章制度,可能适得其反,限制了新业态的发展。
2.3.2 思想意识转变
传统行业中部分行业如农业、卫生等,刚刚开始融入“互联网+”环境,缺少信息安全知识,信息安全意识薄弱。在保障信息安全的各种措施中,企业本身的安全防范和管理水平才是最重要的。通过正确的操作性强的管理流程、全程审计、日常维护、权限管理等手段可以进一步保障企业信息安全。同时,“互联网+”环境下的新业态要求的是不同于传统行业的全新的技术架构、商业模式,而传统企业观念及意识的改变需要一个长期的过程。
2.4 信息安全风险分析
通过以上在个人消费者层、企业层以及管理层出现的各种事件分析,不难看出,“互联网+”环境下网络信息安全风险主要体现在以下几个方面。
1)技术安全风险。物理环境存在风险基础信息、网络和系统信息安全存在风险,如泄密、窃听、窃照、抵赖、缺少监控与审计、数据库安全等。
2)人为恶意攻击。恶意代码攻击、网络黑客、网络入侵。
3)信息安全管理薄弱。法律法规滞后,安全意识薄弱,管理制度实操性不强,硬件响应机制不健全。
3 “互联网+”环境下信息安全措施
根据信息数据安全策略的要求及上述信息安全风险分析的结果,“互联网+”环境下的网络平台信息安全措施主要由物理安全措施、网络安全措施、安全管理措施组成,安全架构如图2所示。
3.1 物理安全措施
物理安全是保障网络平台的基本条件,保护网络平台设备、设施以及其它媒体设施免遭水灾、地震、火灾等环境因素以及人为误操作、网络犯罪行为的破坏、窃取。
网络平台的网络机房在机房建设和机房选址时要遵循安全可靠的原则,如果是涉密的网络平台要考虑远离商业、娱乐、餐饮、宾馆或居民区等复杂物理环境,同时,对机房内的重要安全区域要建立完善、操作性强的管理制度,责任到人,在保障机房环境及网络平台健康、平稳运行的同时,逐步降低网络平台运行风险。针对不同物理地点的机房环境进行信息交互时,应选择正规运营商的专有传输链路,进一步保障传输链路的安全,如果是涉密的信息系统还要考虑对物理传输链路进行数据加密措施。
图2 互联网+网络平台信息安全架构
3.2 网络安全措施
网络安全措施主要针对以下四个部分,即系统安全、运行安全、信息安全、安全管理。
3.2.1 系统安全
系统安全主要指“互联网+”环境下网络平台上承载传统业务系统数据的主机和服务器的安全,为保障系统安全,就要对主机和服务器系统进行安全加固,包括系统病毒与恶意代码防护、系统安全检测、系统入侵检测(监控)和审计分析等方面的防护措施。
而针对个人移动用户而言,在对操作终端安装防病毒软件的同时,要警惕恶意软件,不要随便打开不安全或未知的软件,避免造成个人信息泄露。
对法律和监管部门来说,要加大对网络欺诈、网络犯罪的打击力度,完善相应的法律法规,增加不法分子网络犯罪的违法成本,逐步降低直至消除网络犯罪。
3.2.2 运行安全
运行安全措施指对维持系统运行必备资源的管理,如信息资源管理、网络设备管理,以及针对突发事件的系统应急响应措施,包括数据的备份、恢复和系统运行维护管理等。
1)信息资源就是“互联网+”网络平台上的信息技术、设备、设施、信息产生、处理、存储系统的集合。信息资源的安全管理是网络安全的基础,没有信息资源的安全稳定,就谈不上网络安全。所以,在进行信息资源安全管理时,要制定文档化的、操作性强的信息资源管理策略以及确保信息资源管理策略能够正确实施的规章制度。在对“互联网+”系统内的信息资源进行调整、维护时按照既有的规章制度进行,避免盲目化,可以提高系统安全运行系数。
2)网络设备,就是在“互联网+”网络平台上承载信息资源间信息交互的设备,是不同信息资源间通信的桥梁,是“互联网+”网络平台稳固运行的基础设施,所以在对网络设备进行管理时,要制定严格的权限管理制度,设置不同的网络设备管理人员,同时要对网络设备进行加固,如定期修改网络设备登录密码、控制登录人员等,提高“互联网+”网络平台稳固运行系数。
3)应急响应制度及策略是在“互联网+”网络平台出现火灾、地震、水灾、断电、病毒爆发、网络攻击、平台软硬件故障等突发事件时,可以保障网络平台继续稳固运行的必要条件。“互联网+”环境下不同行业系统应该根据自身行业系统的特点,制定不同的应急响应预案,一旦发生应急事件,应急小组人员可以依据预案将行业损失降到最低,同时,能够及时恢复网络平台正常运行。
3.3 信息安全
“互联网+”环境下的网络平台,集合了个人、企业等相关各方的海量信息数据,所以信息数据安全是“互联网+”网络平台的重中之重,它涉及了“互联网+”网络平台中信息传输安全、信息存储安全及内容完整性校验、安全审计与监控、身份鉴别、数据库安全等方面[4]。
在“互联网+”环境下网络平台进行信息数据传输时,可以采用数据传输加密技术、数据完整性校验技术来保障传输安全;由于网络是开放的,数据极有可能被非法截获,为避免截获的信息数据泄露,对信息数据加密变得非常重要,可以通过VPN技术、加密机产品等来实现,这样一来,没有加解密算法就无法获取截获信息数据中的机密信息。而信息数据完整性校验技术能确保信息数据传输的完整性,大多采用重发、丢弃等办法实现。在保证信息数据存储安全性方面,设置本地存储的同时,可以通过设置本地备份存储加异地备份存储的方式来实现,出现突发事件时依据应急响应预案来实现信息数据的恢复。
数据库安全是“互联网+”环境下行业系统的核心,数据库内存储的数据是保障行业系统应用正常运行的核心,所以在处理数据库安全时需采取加密存储,同时采取强制访问控制措施避免数据库管理员违规操作、用户弱口令、SQL注入攻击等安全隐患及漏洞[5]。
身份鉴别,简单来说就是对“互联网+”环境下的网络平台内用户,包括信息资源、网络设备等进行身份强认证机制,通过身份鉴别可以鉴定用户的合法性,同时,能够获取合法用户的详细访问记录,为安全审计与监控提供内容。身份鉴别通常有三种方式验证主体身份,包括用户的UsbKey、令牌卡、生物特征等[6]。
安全审计与监控,审计与监控的事件是“互联网+”网络平台上所有的资源、设备、数据等的启动与关闭、增加与减少、身份鉴别、访问控制、系统管理等,需要定时根据审计与监控分析网络系统运行状态,为系统内发生的事件提供安全分析、溯源服务等。安全审计与监控可以通过综合安全审计系统软件来实现[7]。
3.4 安全管理
在以上通过技术手段实现“互联网+”环境下网络平台安全性的同时,成熟、规范、实操性强的安全管理制度也是保障网络平台安全的重要措施,是传统行业在“互联网+”环境下进一步健康、稳定发展的的重要保障措施。安全管理主要包括管理机构、管理人员、管理制度三个方面。
1)管理机构。包含两部分,即企业所处行业上级安全管理机构和企业内部成立的安全管理机构,管理机构应根据职责履行的需要适时调整,以便进一步保障行业内或企业内的安全管理。
2)管理人员。应建立多级安全管理人员及审计岗位,并且安全管理人员相互独立、制约的机制。管理人员应选用本企业或监管部门内业务技术精湛、政治表现良好的人员。在教育和培训方面,管理机构应有计划地提高管理人安全管理意识,定期培训提升管理人员安全管理的专业技术水平。
3)管理制度。安全管理制度应该规范、安全、成熟、实操性强并且逐步完善,企业及企业人员要遵从,并提高安全意识。只有这样,在“互联网+”环境下的新业态的无限发展空间内,企业才能更健康地发展、法律才能更加完善、监管部门才能更好地履行监管责任[8]。
以上简要介绍了“互联网+”环境下网络平台信息安全风险及应对措施,我们应不断改进“互联网+”环境下的信息安全技术,提高“互联网+”环境下系统的安全性和可靠性,从而促进“‘互联网+’传统行业”的蓬勃发展。
4 结语
“互联网+”的时代是一个美好的时代,但也可能是最坏的时代。“互联网+”正在以其低成本、高质量、高效率的特征逐步被广大传统行业接受,但“互联网+”环境下的信息安全将会是人们一直关注和担心的焦点,也会成为“‘互联网+’传统行业”全面推行的难点。“‘互联网+’传统行业”战略为信息安全领域带来了新的思想意识变革,对安全管理、技术、法律和监管等方面是新的挑战,但“互联网+”环境下也提升了舆情监测、企业决策、犯罪行为治理效率,为信息安全带来了新的机会。如何把握大幅提升的安全需求,为“互联网+”时代保驾护航是信息安全领域的新课题。
参考文献
[1] 中国消费者权益保护年度报告(2015工商行政管理卷)[R/OL].(2016-05-03)[2016-07-30].http://www.saic.gov.cn/ywdt/xwfb/201605/t20160503_168329.html
[2] 网络信息泄露形成黑色产业链 技术类窃取成重要源头[EB/OL].(2016-07-25)[2016-07-30].http://news.xinhuanet.com/legal/2016-07/25/c_129175177.htm
[3] 公众网络安全意识调查报告(2015)[R/O L].[2016-07-30].http://wenku.baidu.com/link?url=MumlGgsf3USUSkBHyNL-9m95f6mh9kC5lpfaIn RLpf7wTle5WPh0DALazOi-kKNLf2aIItvXhruyJGbSdO0_puXQBeKIMh5UdTijExUe9ci
[4] 吕本富,张崇.“互联网+”环境下信息安全的挑战与机遇[J].中国信息安全,2015(6):34-36
[5] 陈越,寇红召,费晓飞,等.数据库安全[M].北京:国防工业出版社,2011
[6] 王秦.移动商务环境下身份认证机制的研究[M].北京:北京交通大学出版社,2011
[7] GB_Z20986-2007信息安全技术 信息安全事件分类分级指南[S/OL].(2007-06-14)[2016-07-30].http://www.doc88.com/p-1893004518747.html
[8] GB-T20988-2007信息安全技术信息系统灾难恢复规范[S/OL].(2012-03-08) [2016-07-30].http://wenku.baidu.com/link?url=E1OQlyz9syvp0lDfeuOn2Z1jqmWb0C Mm-QWy2OxifJnvbST9HdLXtqckdzMtIsekQXXJlrg3bQ saO6ZyPJYWmOBxROMcQNcnj8lHF32W74a