APP下载

“互联网+”时代网络信息安全现状与防护研究

2021-03-07陈朝兵

网络安全技术与应用 2021年10期
关键词:漏洞信息安全网络安全

◆陈朝兵

“互联网+”时代网络信息安全现状与防护研究

◆陈朝兵

(四川省旅游学校 四川 610041)

在现代科技领域的发展中,实现了互联网的全面覆盖,同时也推动了大数据技术与云计算的进一步发展,为传统行业的发展带来了全新的机遇和挑战。但如同工业化发展一样,人们在享受前所未有的舒适感的同时,也在面临着一系列的安全问题。本文分析了当前互联网+网络信息安全的使用状况,以及近些年所发生的典型网络信息安全事件,同时结合了目前已出台的,有关网络信息安全的政策与法律法规,总结了保证网络信息安全的核心要素,剖析了网络信息安全威胁的来源,提出了以“人”为核心的网络信息安全构建策略,意在推动“互联网+”网络信息安全防护的最终实现。

计算机;互联网+;信息安全;防护

1 “互联网+”时代网络信息安全现状分析

近年来,大量的网络安全监测数据表明,当前我国的互联网安全存在诸多隐患,具体包括以下几个层面:

首先是恶意程序,2019年监测出境外控制服务器大约有4.7万个,而与此同时,我国受到恶意程序攻击的计算机已经超过了2574万台,远程控制木马的数量最多,占全部恶意程序的73.2%,此外,网络木马占比为19.3%。必须定期进行木马清除,才能有效保障互联网安全。而在2019年我国互联网行业治理了578个大规模的僵尸网络,2020年治理了619个控制规模较大的僵尸网络。

其次是安全漏洞,从当前国家级漏洞库所收录的软硬件漏洞种类来看,品种还是十分齐全的,同时也正处于逐渐上升的态势,现阶段,我国互联网安全中心共收录了超过17164个网络漏洞,较2019年相比,上涨了36.5%。同时也成立了电信漏洞库、移动互联漏洞库以及电子政务漏洞库等多个子漏洞库。同时在漏洞库在实现了3144个安全漏洞修复,相比上一年高出了110.9%,其中包含网络摄像头、路由器以及会议系统。

最后是网站安全,在2020年中,我国一共发现网站安全超过6.3万起,共处理了3.1万,其中包含移动互联网页面7000左右,被植入后门的网站安全问题约4.6万,威胁IP的网站超过了2.7万,而其中境外超过90%。另外,在网络安全中,网页被篡改也是常见现象。

对于用户来说,无论是个人还是企业,低网络信息安全度将提高数据信息泄露的风险,无论威胁来自哪个方面的安全漏洞,其结果都会给用户使用造成极大阻碍,个人信息与财产信息的泄露直接增加了网络犯罪率。

2 典型案例分析

由于互联网具有良好的开放性与共享性,同时一些网络系统的安全性能比较低,所以一般情况下,很容易出现非法窃取以及黑客入侵的现象。

案例一:

2016年8月19日,犯罪嫌疑人杜某通过某种网络入侵手段,对“山东省高考网上报名系统”进行攻击,通过木马植入,获取后台权限,成功盗取了被害人徐某某等大量的考生信息,并将其转卖。

从这案例中我们可以看出,黑客攻击行为并不仅仅局限于个人终端电脑,高考网上报名信息系统并不是以个人名义创建的,具有很强的地方政府背景,在这种情况下都能受到攻击,除了说明攻击者狡猾,并且其所使用的攻击手段多样化外,系统防护意识不足也是不容忽视的问题。这类问题的频繁发生,充分说明了当前人们对网络信息安全防护的意识不足。

案例二:

2017年12月,网络安全技术人员发现了名为“Janus”的高危漏洞,通过“Janus”漏洞能够直接绕过允许机制,恶意植入木马,对安卓应用程序进行恶意篡改,如果用户的APP内部被植入这种木马,不但会泄露个人因素,同时也可能会存在资金盗刷以及手机操控等影响。

此类攻击行为多半来自某些组织,是有目的、有计划的,甚至是一种长期的攻击行为,可能不会只针对某一个企业,或某一个品牌的产品。我们需要考虑的是,为什么安卓的签名机制会被如此轻松的绕过?

案例三:

2018年初,在CPU芯片漏洞事件发生后,又接连出现多起网络安全事件,其中影响最严重的要数腾讯发现的“应用克隆”安全问题,用户只要点击恶意链接,便将用户权限轻松的“奉献”给了攻击者,攻击者轻而易举就可以套取装回信息和资金,其中一些国内主流APP都受到了侵袭,几乎对所有安卓用户带来了巨大隐患。

对于此类问题,它们都源自同一个原因,即我们长期以来都喜欢“专攻”某一个最流行的“产品”,或是复制,或是模仿,总之,内核是永远不会被改变的,包括优化升级。这种行为其实是黑客最喜欢的,因为只要攻破一个产品的程序,其他自然不在话下。即便是腾讯,旗下众多产品的创作灵感均来自国外,有些甚至是直接照搬,比如QQ。并且,即便是“创作”,也仅仅是指经营思路和对产品的外包装层面,技术上从来没有过创新。而这恰恰是黑客们最为喜欢的。

3 关于网络信息安全法律法规的制定

早在2014年,我国网络安全部门以及信息领导小组就已经积极提出了网络安全规划与管理战略,并将网络信息安全作为当前的重要工作目标,全面推动我国网络信息安全整治工作进程。为了更有效提高网络用户的信息安全,维护公民合法权益,强化网络秩序,提高国家、社会公共乃至全体人民的合法权益,推动社会的和谐发展,我国针对这一问题深入研究并出台了相关网络安全发了财法规,并加大实施力度,彻底强化了网络信息安全在信息化发展中的重要地位。

网络安全法共有6大特点,分别是:

(1)明确了网络空间主权原则;

(2)明确了网络商品供应者的安全义务;

(3)明确了网络运营者的安全义务;

(4)进一步完善了个人信息保护规则;

(5)强化网络信息安全保护体系;

(6)加强网络基础设施建设的传输安全规范。

4 网络信息安全的具体防护

4.1 网络信息安全要素分析

首先我们需要明确的是,网络信息安全工作是没有终点的,只要“网络”还存在,网络信息安全防护就不能停歇,由此可见,网络信息安全并非一朝一夕,这时一些复杂且漫长的系统工程。通过对前面几则案例进行分析,我们将影响网络信息安全的因素归结为以下几方面,即人员、技术、设备、管理、制度,其中“人员”包括了攻击者被攻击者,其中不乏组织机构、集体以及个人,例如用户的信息安全意识不强,并没有做好重要信息的加密处理,密码保护强度较低,信息共享并没有设置全新,或者用户对网络操作并不熟悉,缺乏安全责任意识,无意中破坏了安全网络措施。另外专业人员利用自己的权力非法获取重要信息,不法分子利用传输端口与介质非法捕获与监听保密资料。

“制度”就是上面所讲的一系列法律法规。若想建立一个成熟、稳定、科学、有效的网络信息安全防护体系,就必须在上述这些因素中多下功夫,做足文章,将安全要素的保障策略全部结合起来。

4.2 网络信息安全威胁来源

网络信息安全威胁通常情况下可以分为以下几个层面:

第一,网络层面。这个层面的威胁主要是局域网、无线网络、移动网络等受到威胁;

第二,物理接触。主要是硬件设备被替换,通过物理手段实现恶意介入,对网络信息造成威胁;

第三,技术人员。技术人员自身利用职务之便、攻击者买通内部人员以及黑客利用技术手段进行入侵;

第四,数据层面。主要包括数据平台、业务系统、运维数据等多个层面;

第五,应用层面。主要包括OA系统、邮件、网页以及业务系统;

第六,操作系统。其中包括终端操作、主机操作、服务器操作以及计入互联网设备。

4.3 网络信息安全保护措施

(1)构建以“人”为核心的网络信息安全战略架构

构建以“人”为核心的网络信息安全战略架构需要以下三个方面来做考虑:

首先是安全管理。提高管理人员的安全意识与忧患意识,严格按照我国网络安全法律法规内容,构建完善的网络安全管理体系,制定科学的信息安全管理架构,以为网络信息安全工作提供强而有力的应急支持。

其次是技术支撑。通过提升技术水平来做好网络基础设施建设,从根本上提高网络软硬件产品的安全性和功能性,包括各类终端设备,从而有效降低网络信息安全风险。

然后是落实执行。制定网络信息安全应用预案并进行实地演练,定期开展网络安全比赛、网络安全培训,以提升网络信息安全防护能力。

总之,提升安全人员意识是基础,提高安全人员能力是目标,安全人员技术配合是支撑,关键是安全人员的执行效果。

(2)养成良好的用网习惯

正如前面所讲,只要网络还存在,互联网还存在,网络威胁就永远不会被解除,网络信息安全工作将会永远进行下去。因此,做好实时检测、实时响应、实时恢复等工作就显得尤为重要,只有做好这些内容,才能更有效提高网络信息安全。另外,用户也要养成良好的上网习惯,强化网络安全意识,这也是至关重要的。前面所列举的几个案例均与用网习惯有关,包括对App的依赖性应用。在具体操作上,在客户端与服务器中正确的安装杀毒设备,并对杀毒设备进行合理的升级维护,及时对重要数据进行备份,不将重要信息下载至本地网络,杜绝随意开展信息共享,不随意开启不明应用程序,及时更新补丁包,杜绝随意接受和算数文件,谨慎开启陌生网址,不随意在网络透露个人信息,谨慎接入免费网络,提高隐私保护意识,严格按照我国网络信息安全法律进行网络操作,登录正规网址,安装正本杀毒软件。

5 结束语

在大数据与云计算等技术的支持下,网络信息量急剧增加,大量移动终端与设备的接入,使信息在网络上的传输变得更加“肆无忌惮”,但同时也引发了更为严重的安全问题。互联网与传统行业进行深度融合的发展战略的确让人们获得了前所未有的良好体验,但我们也必须清醒认识到,当前已存在的,或潜在的网络信息安全隐患,将在一定程度上制约了我们的健康发展。若想从深层次剖析问题所在及其成因,需要我们结合当前的发展现状与应用现状,从问题本身出发,抽象出影响要素,并有针对性地提出改善策略。

[1]赵晓峰,赵俊杰.互联网+网络信息安全现状与防护研究[J].科技风,2020(25):86-87.

[2]何祥龙,杨志,何玮炜,王强.互联网+网络信息安全现状与防护研究[J].信息通信,2020(03):174-175.

[3]王长春,曾照华,张跃华.“互联网+”网络信息安全现状与防护研究[J].软件导刊,2020,19(02):282-284.

[4]魏育华,陈允行.互联网+时代高职院校校园网络信息安全的现状与防护探究[J].信息与电脑(理论版),2016(17):161-163.

[5]李丽.我国互联网信息安全现状及对策研究[J].信息与电脑(理论版),2015(23):157-158.

猜你喜欢

漏洞信息安全网络安全
漏洞
网络安全
信息安全专业人才培养探索与实践
网络安全人才培养应“实战化”
上网时如何注意网络安全?
保护信息安全要滴水不漏
高校信息安全防护
三明:“两票制”堵住加价漏洞
漏洞在哪儿
高铁急救应补齐三漏洞