.中国信息化 >2015 >信息安全 >浏览文章
2015信息安全趋势展望
 2015年07月17日  来源:ICHINA  姜红德

    2014年国家高调成立网信办以来,网络安全逐渐成为重点,从国家到行业主管部门及企业都引起了重视。这一年网络安全事件也频频出现,比如心脏出血漏洞、民间IT行业发起的去IOE热潮、12306泄密等事件都折射出信息安全在云计算、大数据环境下,呈现出新的特点和趋势。虽然2014年已经过去,但是网络安全的复杂性和严重性还将持续下去,在这样的背景下,2015年网络安全行业还将出现哪些趋势?我们不妨展望一下。

云计算安全继续升温
    2014年国家工信部公布了”十三五”云计算规划,按照文件规划,我国云计算产业的发展思路和工作重点是:培育龙头企业,打造完整的产业链;鼓励有实力的大型企业兼并重组、集中资源;发挥龙头企业对产业发展的带动辐射作用,打造云计算产业链。
    国家发改委、财政部、工信部等部委则更进一步组织实施云计算工程,表示将专项重点支持公共云计算服务平台建设、基于云计算平台的大数据服务、云计算和大数据解决方案及推广项目3个领域。
    可以预知在有关部门的规划和文件出台之后,云计算在全国各地将加速落地,越来越多的地方政府和企业将采用云计算技术,购买云计算服务,给本来就发展迅猛的云计算产业再添动力。
    在这一背景下,和云计算有关的技术也会得到快速发展。统计表明,至2018年我国SDN/NFV市场将会快速增加到110亿美元规模,新的云网融合技术的发展也必将带来ICT行业的持续繁荣,但也不可避免带来安全的隐患。
    这些新技术的兴起,使传统网络安全产品越来越不能适应新型网络所带来的变化,促使越来越多的国内企业开始在SDN安全方面进行了大量探索。在对抗安全漏洞上,SDN提供了新的可能性,然而SDN也可能扩展安全漏洞、误配置、侵犯隐私和其他事变的危险。未来SDN/NFV改变了网络中的哪些东西?安全漏洞通常会出现在什么地方?如何有效地防护?……针对一系列安全问题,都要引起我们的注意。

安全人才培养得到重视
    目前我国网络安全技术人才缺口很大,具备网络攻防实战技术能力的特殊人才更是极端匮乏。这一观点是目前来自我国政府主管层面、行业、企业达成的共识,要解决这一问题不是仅仅依靠学校的专业教育就能解决的,和网络安全技术竞赛及各种技能培训也是分不开的,随着各方面重视网络安全人才的培养,相信2015年网络安全人才的培训市场会逐渐变得完善起来。
    在2014年11月举办的网络安全宣传周上,据国家网信办网络安全协调局局长赵泽良介绍,目前全国一年培养的网络安全专业毕业生,从本科到硕士仅7000多人,缺口很大。由于现状紧迫,在网络安全周启动仪式现场,他还向教育部部长袁贵仁追问网络安全人才的培养计划。“袁部长现场回应,教育部已对网络安全人才培养进行统筹安排。”
    2014年10月27日,XCTF全国网络安全技术对抗联赛在北京启动。XCTF联赛致力于为网络安全相关专业学生和技术爱好者提供一个公开、公平、公正的竞技赛场,从中发现人才、培养人才、用好人才。中国网络空间安全协会(筹)竞评演练工作组组长杜跃进博士表示,“XCTF联赛是网络安全人才战略的关键一步,目标是发现未来的安全新生力量”。杜跃进博士在谈到网络安全人才的培养时表示,全世界的大国都十分重视安全,俄罗斯甚至将安全人才的培养放到国家战略中,我国筹建中国网络空间安全协会也体现了国家对安全人才的极度重视。
    据了解,目前高校所培养的信息安全专业毕业生离产业界所需人才有相当大的差距,主要原因在于教学思想刻意回避攻防技术,课程设置不合理,以及实践环节普遍缺乏等客观困难。通过竞赛的形式在高校的普及推广,将树立攻防兼备、面向实战的教学标杆,并能有效补充课外的网络安全攻防实践,对于提升网络安全人才培养质量是一种非常有效的方式。

在线金融安全问题引起关注
    2014年6月份,一家欧洲大型商业银行受到了网络定向攻击,短期内就蒙受了巨大的经济损失。实际上Web上针对金融机构的攻击一直是持续不断,2015年随着大数据、移动支付等技术的逐渐推广,在线金融等网络支付业务在安全方面遭遇到一些新的挑战,如何在管理、产品技术上进行漏洞修复和积极防御,成为当前金融行业信息安全的重要特点。
    网络银行恶意软件数量在 2014 上半年持续稳定增加,趋势科技监测结果显示,截至到第三季度,这些恶意程序的数量已经达到了13.7万个。Emmental 行动这样的复杂攻击手法,证明了即使是银行的双重认证机制也可能出现漏洞,而未来几年之内,跨平台的网银攻击会更加频繁。
    一方面,网络罪犯费尽心机布下各式骗局,博取用户的信任;另一方面,网络病毒这只无形的“黑手”也在其中助纣为虐,扮演着至关重要的角色。数据显示,每天新兴的恶意软件样本约31.5万个。面对不断滋生的网络病毒与防不胜防的网络骗局,互联网用户究竟应该如何确保自身的在线金融安全?

网络隐私更容易被侵犯
    岁末年初,“ 12306”泄密事件给网络隐私敲响了警钟,虽然这次只有13万人群受到影响,但是影响却不可小视。根据专业安全公司的调查统计,目前广泛存在用户名密码等个人信息加密不多,用户安全顾念有待加强等问题,可以预见,随着上网人群的增加,网络隐私被侵犯的问题更普遍。
    安全公司启明星辰CTO潘柱廷表示,从防范措施上来讲,主要有以下几个方面需要注意:首先是基本的安全认识,比如外面免费的WiFi尽量不要上,毕竟还是有危险,尤其不要做任何金融支付;其次,要守住自己的基本安全底线。每个人必须建立一个基本的安全底线,包括不要在网络上随便泄露自己和家人最重要的隐私。比如身份证号、姓名、学校等等这些都不是个人隐私,隐私信息是指身体健康、个人账号密码等等,这些尽量不要通过网络手段透露;再次,就是不要害怕出现安全问题。在对网络安全有了基本的了解之后,我们要降低自己对安全的期望值,有些东西可能都会到传到网上去,个人要有心理承受力,要知道网络环境是很复杂的,一个绝对很干净的网络环境是不存在的。

黑客攻击手段增加
    通过当前一些网络攻击频率数据的发展态势判断,未来每个月都将见到两起或更多起大型资料外泄事件,而这些事件背后,正是那些神秘而强大的黑客工具。例如发展迅速的POS病毒家族,犯罪集团所采用的恶意软件可以轻松入侵那些安装了POS软件的商家计算机,从而截获每笔付款的信息。这种恶意软件被用来取代以前在“ATM上安装摄像头”等物理方式来进行的数据窃取。我们可以通过梳理目前一些主要的网络攻击方式了解到,2015年面临的网络环境是如何不具备安全性。
    由于大多数的驱动硬件制造商不会采取任何措施保护其固件,且反恶意软件解决方案也不会扫描驱动固件以检查恶意行为,理论上这种攻击可以将这种难以发现和难以制止的恶意软件传播到PC端,而同时也将会感染到连接该PC端的USB工具。幸运的是,目前这种类型的攻击在现实中还没有出现。
    通过飞机上提供的Wi-Fi和空中娱乐系统“黑”进飞机的卫星通讯系统,机载Wi-Fi和空中娱乐系统为黑客打开了攻击的大门,他们可以控制飞机的航线和安全系统。英国路透社指出,基于这种袭击的概率和潜在危害最小化的心理,一些通讯设备制造商对于这种威胁的重视程度并不高。不过,一些通讯设备供应商表示,他们已经修复了上述曝光的漏洞。
家用网络设备本身就是安全系数降低的一个源头。In-Q-Tel的首席信息安全官Dan Geer以路由器为例,指出路由器是攻击者们最容易攻击的目标。攻击者们通过网上浏览很容易找到这些路由器,而在这些路由器上通常都保持着默认登录信息,而且大部分的用户从来没有想过要把他们的路由器升级到最新版本。
有关物联网的漏洞已经成为黑客讨论的热点问题,而目前内置无线连接设备的安全问题以扩展到了更多设备和家用电器中。“我可以用这个工具锁车、开车,或者打开汽车的后备箱。它可以轻而易举地击败智能钥匙的安全系统。”这样的观点并不鲜见。
 
地址:北京市万寿路南口金家村288号华信大厦信息化与信息安全研究所 邮政编码:100036
投稿信箱:tengj#ichina.net.cn(请把#改为@)
未经授权禁止转载、摘编、复制及建立镜象,违者追究法律责任。
CopyRight © 2004-2011 WWW.ICHINA.NET.CN All Rights Reserved.京ICP备08004245号 京公网安备110108006116