信息专家表示:2015年网络安全问题依然严峻
发布时间:2015-05-13 《2014互联网网络安全态势报告》称,政府机构和重要信息系统部门通报漏洞事件较2013年增长3倍。专家表示, 不容乐观――2015,网络安全形势严峻大数据、云计算、工业互联网,当诸多与互联网相关的新名词深入日常社会生活中时,“安全”成了最基础也最有挑战性的问题。
日前,国家互联网应急中心公布了《2014互联网网络安全态势报告》(以下简称《报告》)。《报告》显示,2014年,涉及重要行业和政府部门的高危漏洞事件增多,基础应用或通用软硬件漏洞风险凸显,漏洞威胁向传统领域泛化演进,并向新型智能设备领域延伸。
安全,已经成了信息社会必不可少的健康要素。然而,当前静态化、程序化的管理方式,似乎却跟不上高速前进的信息化步伐。
环境变化致漏洞事件增多
《报告》显示,去年,政府机构和重要信息系统部门通报漏洞事件共9068起,较2013年增长3倍。
在受访专家看来,网络安全态势严峻已是毋庸置疑。“漏洞的增加与客观环境的变化关系密切。”中国工程院院士倪光南在接受《中国科学报》采访时表示,随着互联网的普及,网络空间斗争、网络安全问题正在变得越来越突出。
当前,大数据的应用、移动互联、云计算这三大新技术的应用,使过去传统信息化的应用模式发生了变化。“以大数据应用为例,在挖掘数据的过程中,用户的挖掘倾向如果被不法之徒窥探,就对挖掘模式进行攻击或是窃取挖掘模式,先行进行数据挖掘。这样就使得信息安全的风险增加。”国家信息中心原首席工程师宁家骏在接受《中国科学报》采访时说。
近年来,国家信息安全漏洞共享平台(cnvd)新增收录漏洞数量年均增长率在15%~25%之间,针对漏洞的挖掘和利用研究日趋活跃。“安全风险在增加,而很多风险其实是由于应用模式发生了变化,客户群体发生了变化,客户应用的环境也发生了变化,导致漏洞增加。”宁家骏说。
国产化安全将受更多重视
面对严峻的网络安全形势,报告预测,2015年,针对国产软硬件的漏洞挖掘将增多,应对机制和披露管理面临挑战。
据了解,2015年,黑客将更加关注应用广泛的网站应用框架、开源软件、集成组件、网络协议等的安全问题。随着服务器、芯片、操作系统、数据库、办公软件等信息产业各个领域的自主可控深入推进,国产软硬件产品应用增多,其安全问题将受到更多重视。
近年来,国产软硬件安全性也受到更高关注。今年2月,安防行业首屈一指的海康威视遭遇“黑天鹅”事件,江苏省各级公关机关使用的海康威视监控设备存在严重安全隐患,部分设备已经被境外ip地址控制,也为国产化的安全性敲响了警钟。
“国产化本身的安全也是个问题,我们经常强调要完全自主可控,下一步还是要把独立自主创新和开放很好地结合起来,应该还是要积极引进消化吸收国外的一些东西。”宁家骏说。
不过在倪光南看来,国产软硬件要达到安全自主可控的目标,还需要一个过程,在这个过程中,要不断提高产品服务的安全,正面问题,加以解决。“我们还有一些关键核心技术需要突破、完善,比如说终端操作系统,整体上看,我们还是在追赶发达国家。”
信息安全保障需要动态化
在宁家骏看来,漏洞的增长反映了两个问题。“一是原有信息系统的弱点和漏洞正在更多地被黑客们发现和利用;二是传统上对信息安全的技术保障和管理措施不太适应当前的新形势,使得被发现的漏洞明显增多。”
宁家骏告诉记者,过去传统的信息安全管理是比较定式的静态保障方式,对风险和漏洞的观测,对安全态势的感知,都是静态的,缺少动态的管理。他表示,过去数据主权是非常肯定的,但是如今存储空间的虚拟化带来存储空间的使用重复化,这造成数据的管理时刻处于风险之中。
《报告》也指出,目前大多数云服务商的安全审核机制并不完善,用户租用后作何用途,云服务商并不清楚地知晓,也未作严格审核或周期性检查,因此会出现黑客在云平台部署钓鱼网站、传播恶意代码或发动攻击的情况,如不及时加强管理,未来这种现象将继续增多。
宁家骏认为,在这种情况下,能否提前一步决定了安全保障是否可靠。“要把对风险的监测识别贯穿于信息系统运行建设的全流程之中,就要求管理流程也做到即时化,随时随地对安全风险进行检测,感知态势,监测有害信息,提前做出预判。”