“互联网+”形势下的安全与风险分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

“互联网+”形势下的安全与风险分析互联网企业是网络空间的市场主体,也是网络安全与治理的重要参与方。尤其是互联网安全企业承担着保卫安全、保护网民、企业甚至整个社会安全等系列的任务和使命。如何把握“互联网+”时代的安全风险,如CPS(信息物理融合系统)、云计算、大数据、智能硬件、无线通信等技术与应用上的风险和应对策略,需要有责任的互联网安全企业给出行之有效的答案。

一“互联网+”与网络强国战略

1.“互联网+”将是我国网络强国战略的着力点之一

“互联网+”战略是全国人大代表、腾讯董事会主席兼CEO马化腾今年向人大提出的四个建议之一,李克强总理提出制定“互联网+”行动计划,让“互联网+”这个词汇顿时红遍大江南北。马化腾解释说,“互联网+”战略就是利用互联网的平台,利用信息通信技术,把互联网和包括传统行业在内的各行各业结合起来,在新的领域创造一种新的生态。简单地说就是“互联网+XX传统行业=互联网XX行业”,虽然实际的效果绝不是简单的相加。今天我们已经看到互联网金融对传统金融业的冲击,“专车”对出租车行业的冲击,微信对移动通信运营商的冲击,在线旅游行业对传统旅游行业的冲击,很快会看到“互联网医疗”对传统医疗行业的冲击,“互联网教育”对传统教育系统的冲击,互联网对农业的改造也已经看到端倪。每次的产业升级都是一次机会,伴随一些国家、产业、企业的兴起,凭借庞大的互联网人口基数、在世界范围内有竞争力的互联网公司、发达的传统制造业,中国无疑已经走在了这次产业升级的最前列,面对的是百年一遇的发展机遇。因此说,“互联网+”将会是我国网络强国战略的着力点之一,将为我国技术和产业创新的带来更多机遇,将对国家经济发展产生巨大影响。

2.“互联网+”两大支点:互联网IT技术、互联网思维

“互联网+”有两大支点,一是互联网IT技术,二是互联网思维。前者解决产业升级换代的技术可行性问题,后者解决产业升级换代的价值链条重塑、产业链条重整问题。互联网IT技术包括、但不限于云计算、大数据等技术,其特点是采用廉价的硬件、开源的软件构建出高性价比、可伸缩、可靠性可以满足某种应用场景需求的IT解决方案。以“专车”为例,过去出租车行业要建造一个用户叫车的服务系统,需要给每台出租车配置一套带GPS 和无线通信系统的车台,再开发一套基于商用操作系统、数据库的指挥调度系统,投资较多,建设周期较长,若干城市都尝试过,但效果都不太好。而如今的“专车”服务,依靠司机和乘客的手机做定位、利用手机上软件和司机、乘客通信,用廉价的PC服务器和开源软件搭建服务撮合系统,通过给乘客带来便利,给司机带来更高收入做为利益点来撬动市场,短时间内就对传统出租车行业产生了巨大冲击,虽然在法律法规上还存在争议,但从用户体验上超过传统出租车、代表生产力的进步已是不争的事实。

二“互联网+”安全与风险的特殊性

互联网IT技术所面临的安全风险,“互联网+”也都将面对,并且因为互联网IT技术与传统产业结合过程中产生了很多新的结合点,这些结合点上还可能会面临新的安全风险。

1.信息世界与物理世界融合所带来的安全风险

德国政府所提出来的“工业4.0”中提到,工业4.0的发展的三个阶段是纵向集成——传统工厂边界内发生的技术革新,端到端集成——对供应链的集成,和横向集成——跨越多条价值链的横向集成。“传统工厂边界内发生的技术革新”会是大量机器人的应用、生产的高度自动化、真正的CPS(Cyber Physical System,信息物理融合系统),这也意味着信息系统的安全威胁可能会变成物理上的威胁:工厂中的3D打印系统是否会被攻击从而打印一支自动步枪出来?“对供应链的集成”是否意味着网络攻击可以随着供应链传播到上下游的厂商?即使单纯看工业控制系统的安全,由于当初设计的时候对网络攻击威胁的考虑甚

少,工业控制系统对抗网络攻击的防护能力还比较差,工业控制系统使用的周期又相对比较长、更新成本很高,工业控制系统安全的防护基本还处于“攻击检测”阶段,所谓“工控防火墙”,没有几个人敢开防护功能。

2.云计算系统的安全风险

云计算按需付费、快速伸缩的特性使得云计算成为“互联网+”的助推剂,但云计算实际上扩大了系统的攻击面,带来了新的安全威胁,比如VMM系统、云计算管理系统都是新的、可能会被攻击的“攻击面”,这些新引入的系统的脆弱性也会给采用云计算架构的业务系统带来安全威胁;由于资源共享所带来的多租户安全问题也是传统IT框架中所没有的;云服务商这个新的角色也可能会带来新的风险:云服务商是否会恪守职业操守不窃取客户的数据?云服务商的工作人员是否会被收买而做违规操作?云计算的用户是否有能力监督、审计云计算服务商在安全上的SLA?因为云计算系统会成为“互联网+”的基础IT架构,云计算系统出现严重的安全问题就会影响到多个行业,其影响类似于现阶段微软操作系统出现严重安全漏洞的情景。

3.智能硬件的安全风险

智能硬件会是“互联网+”战略的物理载体之一,小到随身佩戴的智能手环、戒指,大到会上网的冰箱、空气净化器、能自动驾驶的汽车,具备一定数据存储、计算能力,能连网上传数据以及接受云控指令的智能硬件将会无处不在,对这些智能硬件的破解也开始成为安全研究圈的热门话题,智能硬件制造商通过将传统的传感组件、控制组件、应用组件等智能模块,合理的组合到一起,并且通过网络传输进行控制,开发出来现代人所使用的物联网模式的智能硬件。这些硬件通过采集人们生活当中的环境参数、控制参数、行为参数结合大数据分析、人工智能机器学习等先进性技术,从而可以提高使用者的生活环境,给用户带来更完美的生活体验。但智能硬件设计制造商对于安全方面重视程度很不够,直到今年年初某著

名品牌网络摄像头被爆出严重漏洞并被某重点行业客户通报之后,才开始重视智能硬件的安全问题。智能硬件的安全风险集中在如下方面:弱密码、后门、固件(Firmware)缺乏防分析/防篡改机制、管理系统安全漏洞、通信协议漏洞、数据存储系统漏洞、被利用做为反射攻击、劫持攻击、篡改攻击,以及电路设计上的调试引角未混淆或隐藏、调试功能被绕过提权等。目前智能硬件的安全现状是:绝大多数智能硬件都能在某种程度上被破解。

4.无线通信网络的安全风险

万物互联基本是靠无线通信网络互联,从WiFi、蓝牙、ZigBee到射频通信,无线通信网络本身也可以成为被攻击对象,比如伪造WiFi热点做中间人攻击,如果通信协议没有加密,或者没有对证书的真伪做鉴定,就可能造成通信内容失密。又比如对射频通信内容做破解后,进行重放攻击,导致依赖这些射频通信的门禁及其他民用控制系统运转异常甚至导致非授权访问。如今新建造的自动化工程,机器人之间的通信已经依靠无线通信,无线通信网络的安全直接影响未来工厂的生产安全;在智能家居系统中无线通信网络的安全关系到客户隐私信息的安全。

5.大数据的安全风险

大数据方法已然成为一把通用的榔头,在互联网金融、电商、互联网安全等领域已经发挥出巨大作用,在“互联网+”的诸多产业升级改造中也必然是利器之一,但大数据背后的用户隐私权保护问题则是一颗不定时炸弹,中国的隐私权立法还不是很完善,但隐私保护越来越受重视是共识,大数据的合法获取、妥善保存、合法转让、安全销毁是“互联网+”中需要提前规划。

三“互联网+”安全与风险应对之道

在用互联网的技术手段、互联网的思维方式改造传统的产业的“互联网+”时代,解决“互联网+”的安全问题,同样也要靠互联网技术与互联网思维:

相关文档
最新文档