“互聯(lián)網(wǎng)”形勢下的安全與風(fēng)險(xiǎn)分析

“互聯(lián)網(wǎng)+”形勢下的安全與風(fēng)險(xiǎn)分析“互聯(lián)網(wǎng)+”形勢下的平安與風(fēng)險(xiǎn)分析互聯(lián)網(wǎng)企業(yè)是網(wǎng)絡(luò)空間的市場主體，也是網(wǎng)絡(luò)平安與治理的重要參加方。尤其是互聯(lián)網(wǎng)平安企業(yè)擔(dān)當(dāng)著保衛(wèi)平安、愛護(hù)網(wǎng)民、企業(yè)甚至整個(gè)社會(huì)平安等系列的任務(wù)和使命。如何把握“互聯(lián)網(wǎng)+”時(shí)代的平安風(fēng)險(xiǎn)，如CPS（信息物理融合系統(tǒng)）、云計(jì)算、大數(shù)據(jù)、智能硬件、無線通信等技術(shù)與應(yīng)用上的風(fēng)險(xiǎn)和應(yīng)對(duì)策略，需要有責(zé)任的互聯(lián)網(wǎng)平安企業(yè)給出行之有效的答案。

一“互聯(lián)網(wǎng)+”與網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略

1.“互聯(lián)網(wǎng)+”將是我國網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的著力點(diǎn)之一

“互聯(lián)網(wǎng)+”戰(zhàn)略是全國人大代表、騰訊董事會(huì)主席兼CEO馬化騰今年向人大提出的四個(gè)建議之一，李克強(qiáng)總理提出制定“互聯(lián)網(wǎng)+”行動(dòng)方案，讓“互聯(lián)網(wǎng)+”這個(gè)詞匯立刻紅遍大江南北。馬化騰解釋說，“互聯(lián)網(wǎng)+”戰(zhàn)略就是利用互聯(lián)網(wǎng)的平臺(tái)，利用信息通信技術(shù)，把互聯(lián)網(wǎng)和包括傳統(tǒng)行業(yè)在內(nèi)的各行各業(yè)結(jié)合起來，在新的領(lǐng)域制造一種新的生態(tài)。簡潔地說就是“互聯(lián)網(wǎng)+XX傳統(tǒng)行業(yè)=互聯(lián)網(wǎng)XX行業(yè)”，雖然實(shí)際的效果絕不是簡潔的相加。今日我們已經(jīng)看到互聯(lián)網(wǎng)金融對(duì)傳統(tǒng)金融業(yè)的沖擊，“專車”對(duì)出租車行業(yè)的沖擊，微信對(duì)移動(dòng)通信運(yùn)營商的沖擊，在線旅游行業(yè)對(duì)傳統(tǒng)旅游行業(yè)的沖擊，很快會(huì)看到“互聯(lián)網(wǎng)醫(yī)療”對(duì)傳統(tǒng)醫(yī)療行業(yè)的沖擊，“互聯(lián)網(wǎng)訓(xùn)練”對(duì)傳統(tǒng)訓(xùn)練系統(tǒng)的沖擊，互聯(lián)網(wǎng)對(duì)農(nóng)業(yè)的改造也已經(jīng)看到端倪。每次的產(chǎn)業(yè)升級(jí)都是一次機(jī)會(huì)，伴隨一些國家、產(chǎn)業(yè)、企業(yè)的興起，憑借浩大的互聯(lián)網(wǎng)人口基數(shù)、在世界范圍內(nèi)有競爭力的互聯(lián)網(wǎng)公司、發(fā)達(dá)的傳統(tǒng)制造業(yè)，中國無疑已經(jīng)走在了這次產(chǎn)業(yè)升級(jí)的最前列，面對(duì)的是百年一遇的進(jìn)展機(jī)遇。因此說，“互聯(lián)網(wǎng)+”將會(huì)是我國網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的著力點(diǎn)之一，將為我國技術(shù)和產(chǎn)業(yè)創(chuàng)新的帶來更多機(jī)遇，將對(duì)國家經(jīng)濟(jì)進(jìn)展產(chǎn)生巨大影響。

2.“互聯(lián)網(wǎng)+”兩大支點(diǎn)：互聯(lián)網(wǎng)IT技術(shù)、互聯(lián)網(wǎng)思維

“互聯(lián)網(wǎng)+”有兩大支點(diǎn)，一是互聯(lián)網(wǎng)IT技術(shù)，二是互聯(lián)網(wǎng)思維。前者解決產(chǎn)業(yè)升級(jí)換代的技術(shù)可行性問題，后者解決產(chǎn)業(yè)升級(jí)換代的價(jià)值鏈條重塑、產(chǎn)業(yè)鏈條重整問題?；ヂ?lián)網(wǎng)IT技術(shù)包括、但不限于云計(jì)算、大數(shù)據(jù)等技術(shù)，其特點(diǎn)是采納廉價(jià)的硬件、開源的軟件構(gòu)建出高性價(jià)比、可伸縮、牢靠性可以滿意某種應(yīng)用場景需求的IT解決方案。以“專車”為例，過去出租車行業(yè)要建筑一個(gè)用戶叫車的服務(wù)系統(tǒng)，需要給每臺(tái)出租車配置一套帶GPS和無線通信系統(tǒng)的車臺(tái)，再開發(fā)一套基于商用操作系統(tǒng)、數(shù)據(jù)庫的指揮調(diào)度系統(tǒng)，投資較多，建設(shè)周期較長，若干城市都嘗試過，但效果都不太好。而如今的“專車”服務(wù)，依靠司機(jī)和乘客的手機(jī)做定位、利用手機(jī)上軟件和司機(jī)、乘客通信，用廉價(jià)的PC服務(wù)器和開源軟件搭建服務(wù)撮合系統(tǒng)，通過給乘客帶來便利，給司機(jī)帶來更高收入做為利益點(diǎn)來撬動(dòng)市場，短時(shí)間內(nèi)就對(duì)傳統(tǒng)出租車行業(yè)產(chǎn)生了巨大沖擊，雖然在法律法規(guī)上還存在爭議，但從用戶體驗(yàn)上超過傳統(tǒng)出租車、代表生產(chǎn)力的進(jìn)步已是不爭的事實(shí)。

二“互聯(lián)網(wǎng)+”平安與風(fēng)險(xiǎn)的特別性

互聯(lián)網(wǎng)IT技術(shù)所面臨的平安風(fēng)險(xiǎn)，“互聯(lián)網(wǎng)+”也都將面對(duì)，并且由于互聯(lián)網(wǎng)IT技術(shù)與傳統(tǒng)產(chǎn)業(yè)結(jié)合過程中產(chǎn)生了許多新的結(jié)合點(diǎn)，這些結(jié)合點(diǎn)上還可能會(huì)面臨新的平安風(fēng)險(xiǎn)。

1.信息世界與物理世界融合所帶來的平安風(fēng)險(xiǎn)

德國政府所提出來的“工業(yè)4.0”中提到，工業(yè)4.0的進(jìn)展的三個(gè)階段是縱向集成——傳統(tǒng)工廠邊界內(nèi)發(fā)生的技術(shù)革新，端到端集成——對(duì)供應(yīng)鏈的集成，和橫向集成——跨越多條價(jià)值鏈的橫向集成?！皞鹘y(tǒng)工廠邊界內(nèi)發(fā)生的技術(shù)革新”會(huì)是大量機(jī)器人的應(yīng)用、生產(chǎn)的高度自動(dòng)化、真正的CPS（CyberPhysicalSystem，信息物理融合系統(tǒng)），這也意味著信息系統(tǒng)的平安威逼可能會(huì)變成物理上的威逼：工廠中的3D打印系統(tǒng)是否會(huì)被攻擊從而打印一支自動(dòng)步槍出來？“對(duì)供應(yīng)鏈的集成”是否意味著網(wǎng)絡(luò)攻擊可以隨著供應(yīng)鏈傳播到上下游的廠商？即使單純看工業(yè)掌握系統(tǒng)的平安，由于當(dāng)時(shí)設(shè)計(jì)的時(shí)候?qū)W(wǎng)絡(luò)攻擊威逼的考慮甚

少，工業(yè)掌握系統(tǒng)對(duì)抗網(wǎng)絡(luò)攻擊的防護(hù)力量還比較差，工業(yè)掌握系統(tǒng)使用的周期又相對(duì)比較長、更新成本很高，工業(yè)掌握系統(tǒng)平安的防護(hù)基本還處于“攻擊檢測”階段，所謂“工控防火墻”，沒有幾個(gè)人敢開防護(hù)功能。

2.云計(jì)算系統(tǒng)的平安風(fēng)險(xiǎn)

云計(jì)算按需付費(fèi)、快速伸縮的特性使得云計(jì)算成為“互聯(lián)網(wǎng)+”的助推劑，但云計(jì)算實(shí)際上擴(kuò)大了系統(tǒng)的攻擊面，帶來了新的平安威逼，比如VMM系統(tǒng)、云計(jì)算管理系統(tǒng)都是新的、可能會(huì)被攻擊的“攻擊面”，這些新引入的系統(tǒng)的脆弱性也會(huì)給采納云計(jì)算架構(gòu)的業(yè)務(wù)系統(tǒng)帶來平安威逼；由于資源共享所帶來的多租戶平安問題也是傳統(tǒng)IT框架中所沒有的；云服務(wù)商這個(gè)新的角色也可能會(huì)帶來新的風(fēng)險(xiǎn)：云服務(wù)商是否會(huì)恪守職業(yè)操守不竊取客戶的數(shù)據(jù)？云服務(wù)商的工作人員是否會(huì)被收買而做違規(guī)操作？云計(jì)算的用戶是否有力量監(jiān)督、審計(jì)云計(jì)算服務(wù)商在平安上的SLA？由于云計(jì)算系統(tǒng)會(huì)成為“互聯(lián)網(wǎng)+”的基礎(chǔ)IT架構(gòu)，云計(jì)算系統(tǒng)消失嚴(yán)峻的平安問題就會(huì)影響到多個(gè)行業(yè)，其影響類似于現(xiàn)階段微軟操作系統(tǒng)消失嚴(yán)峻平安漏洞的情景。

3.智能硬件的平安風(fēng)險(xiǎn)

智能硬件會(huì)是“互聯(lián)網(wǎng)+”戰(zhàn)略的物理載體之一，小到隨身佩戴的智能手環(huán)、戒指，大到會(huì)上網(wǎng)的冰箱、空氣凈化器、能自動(dòng)駕駛的汽車，具備肯定數(shù)據(jù)存儲(chǔ)、計(jì)算力量，能連網(wǎng)上傳數(shù)據(jù)以及接受云控指令的智能硬件將會(huì)無處不在，對(duì)這些智能硬件的破解也開頭成為平安討論圈的熱門話題，智能硬件制造商通過將傳統(tǒng)的傳感組件、掌握組件、應(yīng)用組件等智能模塊，合理的組合到一起，并且通過網(wǎng)絡(luò)傳輸進(jìn)行掌握，開發(fā)出來現(xiàn)代人所使用的物聯(lián)網(wǎng)模式的智能硬件。這些硬件通過采集人們生活當(dāng)中的環(huán)境參數(shù)、掌握參數(shù)、行為參數(shù)結(jié)合大數(shù)據(jù)分析、人工智能機(jī)器學(xué)習(xí)等先進(jìn)性技術(shù)，從而可以提高使用者的生活環(huán)境，給用戶帶來更完善的生活體驗(yàn)。但智能硬件設(shè)計(jì)制造商對(duì)于平安方面重視程度很不夠，直到今年年初某著

名品牌網(wǎng)絡(luò)攝像頭被爆出嚴(yán)峻漏洞并被某重點(diǎn)行業(yè)客戶通報(bào)之后，才開頭重視智能硬件的平安問題。智能硬件的平安風(fēng)險(xiǎn)集中在如下方面：弱密碼、后門、固件（Firmware）缺乏防分析／防篡改機(jī)制、管理系統(tǒng)平安漏洞、通信協(xié)議漏洞、數(shù)據(jù)存儲(chǔ)系統(tǒng)漏洞、被利用做為反射攻擊、劫持攻擊、篡改攻擊，以及電路設(shè)計(jì)上的調(diào)試引角未混淆或隱蔽、調(diào)試功能被繞過提權(quán)等。目前智能硬件的平安現(xiàn)狀是：絕大多數(shù)智能硬件都能在某種程度上被破解。

4.無線通信網(wǎng)絡(luò)的平安風(fēng)險(xiǎn)

萬物互聯(lián)基本是靠無線通信網(wǎng)絡(luò)互聯(lián)，從WiFi、藍(lán)牙、ZigBee到射頻通信，無線通信網(wǎng)絡(luò)本身也可以成為被攻擊對(duì)象，比如偽造WiFi熱點(diǎn)做中間人攻擊，假如通信協(xié)議沒有加密，或者沒有對(duì)證書的真?zhèn)巫鲨b定，就可能造成通信內(nèi)容失密。又比如對(duì)射頻通信內(nèi)容做破解后，進(jìn)行重放攻擊，導(dǎo)致依靠這些射頻通信的門禁及其他民用掌握系統(tǒng)運(yùn)轉(zhuǎn)特別甚至導(dǎo)致非授權(quán)訪問。如今新建筑的自動(dòng)化工程，機(jī)器人之間的通信已經(jīng)依靠無線通信，無線通信網(wǎng)絡(luò)的平安直接影響將來工廠的生產(chǎn)平安；在智能家居系統(tǒng)中無線通信網(wǎng)絡(luò)的平安關(guān)系到客戶隱私信息的平安。

5.大數(shù)據(jù)的平安風(fēng)險(xiǎn)

大數(shù)據(jù)方法已然成為一把通用的榔頭，在互聯(lián)網(wǎng)金融、電商、互聯(lián)網(wǎng)平安等領(lǐng)域已經(jīng)發(fā)揮出巨大作用，在“互聯(lián)網(wǎng)+”的諸多產(chǎn)業(yè)升級(jí)改造中也必定是利器之一，但大數(shù)據(jù)背后的用戶隱私權(quán)愛護(hù)問題則是一顆不定時(shí)炸彈，中國的隱私權(quán)立法還不是很完善，但隱私愛護(hù)越來越受重視是共識(shí)，大數(shù)據(jù)的合法獵取、妥當(dāng)保存、合法轉(zhuǎn)讓、平安銷毀是“互聯(lián)網(wǎng)+”中需要提前規(guī)劃。

三“互聯(lián)網(wǎng)+”平安與風(fēng)險(xiǎn)應(yīng)對(duì)之道

在用互聯(lián)網(wǎng)的技術(shù)手段、互聯(lián)網(wǎng)的思維方式改造傳統(tǒng)的產(chǎn)業(yè)的“互聯(lián)網(wǎng)+”時(shí)代，解決“互聯(lián)網(wǎng)+”的平安問題，同樣也要靠互聯(lián)網(wǎng)技術(shù)與互聯(lián)網(wǎng)思維：

1.平安眾包當(dāng)一己之力不足以解決平安問題的時(shí)候，就號(hào)召大家一起來幫自己解決問題。國內(nèi)已經(jīng)涌現(xiàn)出來如360補(bǔ)天、烏云、威客眾測、SoBug等平安眾測平臺(tái)，依靠國內(nèi)外網(wǎng)絡(luò)平安白帽黑客的力氣來發(fā)覺各系統(tǒng)的平安漏洞，可以預(yù)見的將來，平安漏洞的修復(fù)也將會(huì)采納眾包方式進(jìn)行。

2.信息平安的縱向集成、端到端集成與橫向集成當(dāng)傳統(tǒng)平安企業(yè)與互聯(lián)網(wǎng)平安企業(yè)都熟悉到靠一己之力無法100%保證客戶平安的現(xiàn)實(shí)的時(shí)候，端到端集成與橫向集成就會(huì)開頭，整個(gè)平安行業(yè)會(huì)走向分工合作，聯(lián)合防備。在平安漏洞信息方面也會(huì)形成更緊密的預(yù)共享機(jī)制，特殊在基礎(chǔ)網(wǎng)絡(luò)設(shè)備、虛擬化技術(shù)、中間件等基礎(chǔ)平臺(tái)技術(shù)領(lǐng)域里，供應(yīng)商會(huì)與互聯(lián)網(wǎng)企業(yè)、上層服務(wù)供應(yīng)商形成更緊密的內(nèi)部平安信息溝通，抵擋共同的外部威逼。

3.假設(shè)被攻破信息平安領(lǐng)域不存在銀彈，再嚴(yán)密的防線也有可能被攻破，“假設(shè)被攻破”就是防備策略之一，如何盡早發(fā)覺自己已被攻破、如何阻斷攻擊的集中、如何回放攻擊過程、如何溯源、如何評(píng)估損失、如何改進(jìn)防備系統(tǒng)，猶如運(yùn)作勝利的互聯(lián)網(wǎng)業(yè)務(wù)的特點(diǎn)，快速的反應(yīng)和應(yīng)對(duì)將會(huì)是從網(wǎng)絡(luò)平安攻擊中生存下來的必要條件。

4.平安即服務(wù)“互聯(lián)網(wǎng)+”將帶來多個(gè)產(chǎn)業(yè)的快速互聯(lián)網(wǎng)化，會(huì)遇到信息平安人才供應(yīng)嚴(yán)峻不足的狀況，解決之道在于信息平安的“服務(wù)化”、“云化”，通過提高資源的復(fù)用率解決專業(yè)的平安人員數(shù)量上的不足、用戶的信息平安防備成本高的沖突，并且有可能供應(yīng)更加精確?????、快速的平安應(yīng)急響應(yīng)。

5.外部威逼情報(bào)即使討論局部網(wǎng)絡(luò)平安威逼，也要站在整個(gè)互聯(lián)網(wǎng)的角度去討論，外部威逼情報(bào)能讓平安人員既見樹木，也見森林，對(duì)提高對(duì)威逼的推斷速度、精確?????程度特別有關(guān)心，本單位信息采集＋云端威逼判定＋外部威逼情報(bào)＋平安云服務(wù)將會(huì)是將來企業(yè)信息平安的標(biāo)準(zhǔn)配置。

四“互聯(lián)網(wǎng)+”平安策略初探

作為國家重大戰(zhàn)略，“互聯(lián)網(wǎng)+”中的平安策略就顯得特別重要。

1.自主與可控“互聯(lián)網(wǎng)+”的互聯(lián)網(wǎng)IT技術(shù)中大量采納開源技術(shù)，這部分的技術(shù)雖不完全自主，但是可控的，在這里可控就已足夠。但智能硬件、工業(yè)自動(dòng)化、工業(yè)掌握領(lǐng)域，我們還有大量的元器件、系統(tǒng)要依靠進(jìn)口，既不自主也不行控，對(duì)這些器件、組件建立平安審查機(jī)制、市場準(zhǔn)入機(jī)制就特別重要。

2.合規(guī)“互聯(lián)網(wǎng)+”必定帶來各傳統(tǒng)產(chǎn)業(yè)信息化水平提高，推行信息平安的合規(guī)很有意義：合規(guī)不能保證不出平安事故，但把基本的信息平安防備工作做好，有利于削減信息平安事故的發(fā)生。

3.政府與信息平安企業(yè)的通力合作信息平安問題的解決單靠政府或單靠企業(yè)都已經(jīng)沒有可能性，需要的是政府與企業(yè)的通力合作來解決問題。五國際社會(huì)相關(guān)策略與舉措借鑒重金嘉獎(jiǎng)白帽子：微軟的平安嘉獎(jiǎng)方案中新增了云計(jì)算平安的嘉獎(jiǎng)方案，發(fā)覺Hyper-V和Azure漏洞者，最高可獲得15萬美元的嘉獎(jiǎng)——這個(gè)嘉獎(jiǎng)?lì)~度與發(fā)覺繞過微軟客戶端軟件平安防備措施的漏洞的最高獎(jiǎng)金額度一樣，云計(jì)算平安的重要性可見一斑。

公私部門合作：在2