網絡空間安全的定義精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡空間安全的定義主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡空間安全的定義范文
信息安全管理系列之十九
1 信息安全的主要研究方向
1.1 密碼學(cryptography)
從之前的討論中,我們可以看出,“信息安全”的詞匯隨著“載體”或者“關注點”保持了持續的變化,從“通信安全”“計算機安全”,到“網絡安全(network security)”直至“信息安全”[1],本質都是為了保護最核心的資產,即“信息”。ISO/IEC 27000:2014中對信息安全的定義為:保證信息的保密性(confidentiality)、完整性(integrity)和可用性(availability);另外也可包括例如真實性(authenticity)、可核査性(accountability)、不可否認性(non-repudiation)和可靠性(reliability)等。
這其中的諸多安全屬性主要依靠密碼學的相關技術或機制解決[2],具體如表1所示,表中的數據來自GB/T 9387.2—1995 / ISO 7498-2:1989。
因此,一直以來,密碼學都是信息安全最重要的研究方向之一。在通信安全時代及其之前,載體方面主要防止竊聽,這并不需要形成單獨的學科,最重要的安全措施是加密傳輸,但是在計算機與信息系統出現之后,僅靠消息加解密已經不能解決所有的問題,更重要的是,在信息大爆炸的時代,這不現實也沒必要。
信息安全引起廣泛重視,一個很重要的原因還是信息系統的普及。圍繞信息系統,存在兩個最重要的研究方向,即關注如何設計信息系統的計算機科學與技術領域,以及關注如何應用信息系統的信息系統管理領域,具體如圖1所示。
通過圖1,也給出了解決信息安全問題的兩種主要途徑:一是技術,即通過安全防護系統加固現有的信息系統;或者二,通過管理,即通過信息安全制度加強對個體行為的約束。
1.2 起源于計算機領域的安全防護系統研發
防火墻、防病毒和入侵檢測系統(Intrusion Detection Systems,IDS)等信息安全防護系統研發是目前實踐中最常見的手段,也是研究領域的熱點之一。按照Basie von Solms[3,4]對信息安全實踐的劃分,技術部署是最早出現的浪潮。當然,在今天的信息安全實踐中,已經不再可以區分技術手段還是管理手段,更多的是關注安全目標,例如,在ISO/IEC 27001:2013中,一個安全控制目標所對應的不僅是技術,也包括管理。
1.3 起源于管理學領域的信息系統安全管理
單純的技術不會解決任何問題,在目前信息安全業界已經得到公認[5]。首先,技術不是萬能的,不能解決所有的問題;此外,即使是技術系統,最終需要人去操作,依然需要相應的制度或策略。例如,防火墻策略的配置。即使在“最技術”的密碼學領域,BruceSchneier也曾經指出“再強的密碼算法也抵不過前克格勃的美女”[6]。
2 為什么研究重點會轉移到行為信息安全
2.1 安全機制中最薄弱的環節
普遍認為,人是安全機制中最薄弱的環節,航空領域的諸多事故基本證實了這一點。在集中計算時代,每一個管理員都如同飛行員一樣,都是專業人員,這種脆弱性表現的并不突出。但是在個人PC廣泛普及的時代,人在安全機制中的脆弱性就暴露無遺。
以信息安全風險評估為例。在集中計算的時代,信息安全風險評估并沒有完整的流程,而是一系列的檢查表(checklist)[7],例如PD3000系列。這實際是最經濟,也是最有效的方式之一,例如在其他行業,醫療領域的新生兒阿普加(Apgar)評分表2),原理不復雜,但是有效地降低了新生兒死亡率,到現在仍然應用于臨床。再如,飛行員做安全檢查的主要依據是一系列的檢查表。但是,要使定性的檢查表有效,一個重要前提是操作者是專業人員,因此當分布式計算時代來臨的時候,檢查表就不再能夠有效地發揮作用。或者說,基于主觀判斷的檢查表并不適用于非專業人員,于是促生了現在常用的“經典六因素法”(資產,威脅,脆弱性,控制措施,可能性和影響),信息安全風險評估成了規范的流程/方法,檢查表只是其中的一個技術工具。
2.2 行為信息安全研究出現的必然性
在很多行業,從對技術的關注轉向對人的關注也是一個必然過程,在每個人都可以操作的系統中表現的尤為明顯,主要因為:第一,技術是新生事物,而不是必然存在的,因此在發展的開始階段,更多地考慮技術進步,但是技術一旦成熟,如何應用就成了關注的重點;第二,技術的進步在某種程度上是可控的,是一個不斷迭代的過程,但是人類本身的進步卻是緩慢的,在短時間內不會超越生理極限,而且以系統論的觀點來看,越復雜的系統,可能越不可靠,人恰恰是最復雜的系統。
此外,限定只有專業人員操作的行業可以通過規范操作等途徑來加強管理,例如航空業,但是每個人都可以操作的信息系統則很難實現,行為表現出更大的復雜性且操作者不能挑選。在航空安全等領域,人類工效學(ergonomics)或人因因素(human factors)主要是針對專業人員,使用者或者旅客等對安全的影響有限。
在這種背景下,國際信息處理聯合會(International Federation for Information Processing,IFIP) TC8/WG11和TC11/WG133)在2013年定義了行為信息安全研究方向[8],主要關注信息安全中的個體行為。行為信息安全在學科中的位置如圖2所示。
行為信息安全研究大致起源于1990年,期間經歷了產生、發展、形成和定義等階段,在后續的文章中,我們將陸續介紹。
在實踐中,流行的信息安全架構已經將個體行為的要素考慮在內,例如,ISO/IEC 27001:2013中,“A.7人力資源安全”從人員任用的角度考慮信息安全;“A.9.3 用戶責任”從用戶角度考慮訪問控制問題。因此,信息系統安全管理的研究重點已經從“怎么做系統”轉化為“怎么用系統”。
3 網絡空間中個體行為的虛擬化
行為信息安全研究的主要關注點還是停留在“物理人”,隨著網絡空間(cyberspace)的發展,更多的威脅來自“虛擬人”[9],雖然虛擬人是建立在物理人的基礎上,但是兩者的個體行為表現出很明顯的區別。圖3給出了物理人與虛擬人關系的示例。
與現實世界相比較,網絡空間中的個體行為主要有如下特征:
(1)在網絡空間中,個體數量眾多,行為也更多樣化。在物理世界,人的數量是有限的,但是在網絡空間中,一個人可以同時以各種表現迥異的角色出現,例如,在微博同時開幾個賬號,以不同的身份發表言論。單個的虛擬人在網絡空間中的行為可能比物理世界的人要簡單得多,但是由于數量眾多所帶來的多樣性更難以預測。實踐已經證明,在網絡空間中,個體更容易表現出極端行為或非主流小眾行為,雖然這些極端行為不能直接造成人身傷害,但是極端的言論具有很大的危害。
(2)在網絡空間中,個體違規能力更弱,但是違規意愿更強。在現實世界中,每一個人都有一定的違規能力,即使是弱者。但是在網絡空間中,絕大部分的人都屬于技術上的菜鳥,并不具備違規能力,因此表現出的弱者特征更加明顯,例如發牢騷、發表威脅性的言論等。心理學的諸多研究表明,人在感受到威脅時更容易表現出攻擊性,加上缺乏足夠的能力或解決途徑,因此在網絡空間中,語言暴力往往更加突出。同時,由于違規能力弱,更容易導致“抱團取暖”,從而容易形成群體行為。
(3)在網絡空間中,個體更具備機會主義特征。現實世界的秩序已經形成,機會主義缺乏足夠的土壤。但是在網絡空間中,違規的成本更低,甚至可以反復“復活”,新游戲規則下,個體更具備機會主義特征。例如,在現實世界中,一個人在街上發牢騷,出于自保,一般不會有太多響應,除非引起足夠的共鳴。在網絡空間中不同,這種“見義勇為”的成本很低,圍觀者甚至將辨別事實的步驟都省略了就參與進來。
綜上所述,由于個體行為所表現出的不同特征,個體信息安全行為研究應該過渡到行為網絡安全研究,從而對網絡空間中的個體行為給與更多的關注。
第2篇:網絡空間安全的定義范文
1 大數據安全的范疇
大數據作為一個新的技術模式和學科分支,已經開始對網絡信息安全產生深刻的影響,這種影響既要循著安全本身的固有規律,也會帶著數據自身以前不被重視的新特性。
1.1 安全的本質性結構
在IT領域的各個分支中,網絡信息安全區別于其他分支的根本不同,就是安全永遠是一個三要素互相交織、博弈的課題。這3個要素為:業務和資產、威脅和危害、保障和處置,如圖1所示。
安全的獨特性在于:有難以控制、難以意料的“威脅和危害”一方,自然就有了特有的“保障和處置”這一方,兩者和業務資產一起形成了一個三方博弈關系。
所有的安全問題,都要就這3方面分別闡述清楚才談得到思考的完備性,而大數據安全這個話題也不例外。
1.2 大數據安全的方向
大數據安全的如下3個方向,是大數據方法和技術作用于安全三要素所演繹出來的方向。
(1)大數據作用于業務和資產,即大數據的主流應用。這必然會面臨新的針對大數據的攻擊和威脅,進而對大數據的保護要對抗這種針對大數據的攻擊。
(2)大數據作用于威脅和危害,即大數據攻擊和副作用。如果是主動和故意的舉措,那就是大數據攻擊;如果是被動的,就是大數據產生的副作用,比如大數據技術對于公民隱私保護的破壞。
(3)大數據作用于保障和處置,即安全大數據應用。就是在對抗各類安全威脅的時候,運用大數據技術進行分析和檢測,特別是無特征檢測、異常檢測、態勢分析等方面。
文章論述的重點是大數據安全的第1個方向。研究對大數據的保護必須先研究針對大數據的攻擊,如果沒有真正研究、設計、實現并測度大數據的攻擊,那么之前所設計的所謂大數據防護就都是臆想,只有真實的攻擊才能夠驗證保護和防護的有效性。
2 數據本質和特質
研究針對大數據的攻擊,我們必須搞清楚針對大數據的攻擊的對象——大數據對象。
2.1 大數據的7V特性
在描述大數據問題時,我們常說其有7個V的特性[1],具體如下:
1V(Volume),即海量的數據規模。這體現了大數據問題在數據量上的海量。
2V(Velocity),即快速數據流轉和動態數據體系。這代表了時間軸上的大數據,除了對于分析快速及時的要求之外,還體現海量數據可能來自于時間軸的長度延展(存儲)和顆粒度的細化(頻度);時間的相關性也是數據間相關性的一大類,比如視頻和音頻數據就是“順序時間”的典型結構。
3V(Vast),即數據來自廣大無邊的空間。每個數據都來自于一個空間的位置,可能是物理空間(現實世界),也可能是網絡空間,空間的相關性也是數據間相關性的一大類,也是一大類典型結構。
4V(Variety),即多樣的數據類型。大數據,比所謂的“量大”更重要的一個特性就是“高維”。特別是當數據樣本的數量難以滿足對于高維問題求解的基本要求時,大數據更傾向于回避精確解的求解,而滿足于有價值的近似解。這種不追求精確解的特性,讓大數據及其系統具有了一定的魯棒性基礎,增加了攻擊難度。
5V(Veracity),即數據的真實和準確性更難判斷。數據有好壞問題,而這個好壞問題在大數據中會更加極端地被放大,更泛地表達這個話題就是數據的“質”,即數據質量[2]的相關問題。
6V(Value),即大數據的低價值密度。對于大數據的攻擊,背后必然要針對其價值進行。
7V(Visualization),即大數據可視化的重要性。大數據的價值需要展現,如果能夠破壞和斬斷價值鏈,也是重要的攻擊成果。
在這7個V中:第1個V,表達的是大數據外在表現的 “大”量;第2~4個V是從時間、空間和多樣性這3個方面說明大數據的“大”;第5~7個V闡述的是大數據的價值流轉,即從數據本身的客觀質量,到有立場的價值認識和價值挖掘,最后到價值的展示和利用。
2.2 攻擊大數據的常規理解
在傳統的網絡信息安全領域中(這里指融合大數據特有特征的思考之前),對于攻防的認知主要集中于系統方面:漏洞是系統的漏洞,越權是對于系統訪問控制的突破,拒絕服務攻擊是對網絡系統的擁塞,偽裝是對于系統訪問者身份的假冒等;安全方法也主要都圍繞系統的防護而展開。當然,這個系統是包括了節點式的系統(如主機操作系統)、結構化的網絡系統。
在探討攻擊大數據的時候,我們首先想到的就是如何攻擊大數據系統,而由于大數據目前的主要應用模式就是分析和決策支持,其系統的對外暴露面非常少,因此至今還沒有關于重要的大數據系統遭遇滲透性攻擊的報道。能夠見諸報道的大數據系統出現的問題和故障,常常是由于電力故障等物理性故障導致的可用性事故,而這些所謂的問題并沒有體現出大數據的獨特性。
對于大數據系統的、具有針對性的攻擊假設,需要針對大數據系統的分布式特色發起攻擊。對于大數據的特色攻擊還沒有太多的研究,可能有兩個原因:第一,大數據系統還在快速地演化和發展;第二,攻擊研究者要搭建一個接近真實的大數據系統,其成本比較高,技術門檻也較高。但是,由于大數據系統的高價值聚集,這樣的攻擊早晚會到來。
2.3 MCPs結構
網絡空間已經成為了大家非常熟悉的一個詞,它不僅僅指網絡相關的IT系統,更被人們理解為一個空間,在這個空間中主要體現了Cyber實體及其“活動”。
這里所說的活動指Cyber過程,主要體現為操作和流。數據實體對應的是數據流,應用系統對應業務流和服務關系,節點系統對應了計算操作和存儲承載,網絡系統對應了網絡流和連接關系,而物理實體則是對前述Cyber實體的承載。Cyber實體就如同生物體的解剖關系,而Cyber過程如同生物體的生理關系。當前流行概念中的云計算、移動互聯網等等都是Cyber自身形態的多樣化、高能化和效益化。
信息物理系統(CPS)強調了Cyber與物理空間的關系:可將Cyber與物理空間的關系簡化為控制與感知的關系。CPS類似的模型將物理世界和網絡空間關聯起來了,其關聯的根本媒介其實是數據。當前流行概念中的物聯網、工業控制、智能生活等等都是將Cyber空間與物理世界更加緊密地關聯起來。
網絡空間安全領域被分為兩大領域:一個是從技術上說的網絡安全,比如加解密、攻防滲透、系統加固等;另一個是從系統的內容上說的信息安全,比如輿情態勢感知、社交網絡策動攻擊等。這兩方面現在是單獨研究和治理的,交集不大。
現在,隨著大數據的方法和技術日益得到重視,數據也越來越受到人們的重視。大數據又是一個應用驅動、價值驅動的領域。當數據與數據的語義總是密切關聯在一起的時候,我們就發現人的意識空間和Cyber空間的關系變得密切起來。多人的共同意識空間就是群體社交意識。
數據將人的意識空間(包括群體意識)、Cyber空間、物理世界3方面鏈接在一起,形成了一個整體意識信息物理系統(MCPs),如圖2所示。
當我們有了MCPs這樣的整體認識,在考慮安全問題(特別是大數據安全問題)的時候,就要考慮MCPs模式下的攻擊。
3 MCPs的攻擊假設矩陣
3.1 攻擊面和攻擊目標
攻擊面是指攻擊者的著手之處和著手模式;攻擊目標是指攻擊者希望被攻擊體系中的某個部分或環節出現重大偏差。我們將攻擊面和攻擊目標分開來定義,是因為兩者并非總是同一的。
3.2 MCPs的3x3攻擊假設矩陣
在系統攻擊中,攻擊面和攻擊目標可能不同。這種攻擊面與攻擊目標的錯位,可能出現在MCPs的3個方面,由意識空間、網絡空間、物理空間(現實世界)的交叉攻擊假設,形成如圖3所示的3x3攻擊假設矩陣。
3.3 MCPs的14x14攻擊假設矩陣
要對MCPs攻擊假設矩陣進行更具體的研究,就需要將MCPs分解成更細致的環節。我們可以將MCPs簡單分解為14個方面,其編碼如下:
Mm:動機
Mv:價值
Ms:語義
Cd:數據和數據流
Cm:元數據和純數據
Ca:應用和業務流
Cc:計算節點
Cs:存儲節點
Cn:網絡和網絡流
Cp:Cyber物理實體
Pc:控制器
Ps:傳感器
PS:空間關系
PT:時間關系
將MSPs的這14個方面組成一個矩陣,矩陣不同的行代表不同的攻擊面,矩陣不同的列代表不同的攻擊目標。如表1 所示。
表1中,藍色區域就是從傳統的系統攻擊視角看到的攻擊假設,攻擊面可能是網絡系統、存儲節點、計算主機、應用系統,而最終最受影響的攻擊目標也在這其中。
數據Cd和元數據Cm,將MCPs三大空間連接起來。表1中的紅色部分表示數據作為攻擊面和攻擊目標會橫縱貫穿整個攻擊假設矩陣,而且數據會成為MCPs3個空間的橋梁,產生交叉攻擊的可能性。
表1反映了大數據和數據視角引入后,給我們帶來的更加全面統合的攻擊假設視界。
4 MCPs攻擊假設矩陣的
歸類分析
MCPs的14x14攻擊假設矩陣中的每一個格子,都是一種攻擊模式,甚至是一個攻擊鏈的索引。歸類后的每個格子,都具有一定的攻擊模式共性;格子之間則應當有攻擊模式的差異化特點。
做出這樣的分類研究,可以讓我們把攻擊研究得更細致,比如可以將計算節點(Cs)進一步細分為PC節點、移動節點、工控節點等。這樣還可提醒我們注意那些原先忽視的空白部分,是否有攻擊可能存在。只有對于攻擊的全面和細致的研究,才能讓我們對于防御和對抗的問題上有更多的把握。
4.1 [Cc,Cc]攻擊
[Cc,Cc]攻擊是最常被關注到的攻擊模式,比如,對于操作系統漏洞的挖掘和利用,進而對于系統進行破壞和滲透,其攻擊面和受影響目標都是系統。
4.2 [Cn,Cc]攻擊
與節點攻擊不同,[Cn,Cc]對網絡的攻擊是對結構的攻擊。另外,一般把對于網絡設備的攻擊歸類為對于網絡的攻擊。
分布式拒絕服務攻擊(DDoS)是一個典型例子,其通過對于網絡結構性的攻擊,并通過占領海量節點而構成了一個攻擊網絡結構,將流量導入給一個目標系統使其癱瘓。這是典型的攻擊網絡最終危害節點系統。
網絡劫持竊聽也是一個典型例子,攻擊點在網絡的路上。通過竊聽下來的明文或者密文進行分析,達到滲透相關系統的目的。
從Cn到Cc的影響傳遞很直接,因為計算節點都自然連接在網絡中,所以對網絡的攻擊會很快傳遞給計算節點。
4.3 [Cn,Cn]攻擊
內容分發網絡(CDN)是當前一個非常重要的網絡服務。如果能夠利用CDN服務構建一個CDN指向的環,當向這個環投入足夠多的流量時,環就會利用CDN機制在網絡中形成一種自激振蕩式的流量洪流,可能導致網絡風暴的發生[3]。這是典型的攻擊網絡而危害網絡,是一種結構性破壞。
4.4 [Cs,Cd]攻擊
[Cs,Cd]攻擊存儲設備,甚至滲透并控制存儲設備,自然會對于存儲設備上存儲的數據產生直接的危害。
4.5 [Cs,Ms]:=[Cs,Cd][Cd,Ms]攻擊
如果[Cs,Ms]:=[Cs,Cd][Cd,Ms]攻擊存儲并對存儲進行破壞,或者對于存儲的攻擊和篡改被較快發現,那么這種影響就難于進一步傳遞到其他攻擊假設矩陣格子。
如果對于存儲的攻擊充分考慮了存儲的數據結構,在篡改中保持其基本的數據結構,不讓這樣的篡改被輕易發現;同時,篡改的數據又能夠借助應用系統的分析對于分析結果進行有效影響,那么就能夠將這樣的攻擊傳遞到語義層,進而影響人的意識空間,影響人的決策。
而如果要在大數據存儲環境下達到[Cs,Ms],就要順應大數據存儲的系統模式和其存儲數據的數據結構,做到篡改不易被發現;還要了解大數據存儲的數據將如何被分析和應用,讓篡改的數據能夠污染到大數據分析的結果。
大數據相關的攻擊假設,能夠讓我們反思如何對抗這種攻擊。如果將存儲的系統模式和數據結構進行一定的隨機化(仿效操作系統中的地址隨機化思想),那么大量篡改數據就很容易被發現;如果將大數據分析的容錯能力(容忍不良質量數據)提高,那么就迫使要污染大數據分析結果必須篡改更多的數據。讓“篡改不易被發現”與“大量篡改數據才能產生語義污染”形成矛盾,進而將攻擊的效果阻隔在Cyber空間中,不讓其有效影響人的意識空間。
4.6 [Mm,Ca]攻擊
2016年初的一個突發案例[4]:一則謠言,經過微信朋友圈的擴散,震動了大半個互聯網金融圈。
2016年1月10日下午,回顧2015年微信數據的“我和微信的故事”在朋友圈突然被刷屏,正當大家玩得非常歡快時,一個啞彈突然向社群中拋來。當晚,有用戶在自己的朋友圈中稱:該鏈接“千萬不要進,(黑客)馬上把支付寶的錢轉出去,已經有人被盜”,還稱加載該鏈接時“很慢,已經在盜取資料。”朋友圈截圖被瘋轉,引發用戶集體不安。很多人嚇得把支付寶的銀行卡都解除綁定,支付寶里的余額全部打回銀行卡,還一一提醒朋友“如果我這個號向你借錢,千萬別理。”
在1月11日的一個報告中,張小龍說起10日晚的事稱:“我和微信的故事”的鏈接沒想到被分享出去,這樣帶來了3個問題。第1個問題:訪問太高,基本掛掉了;第2個問題,有人造謠說,打開鏈接支付寶的錢被偷了,這個時候,鏈接也確實因訪問量太高打不開了;第3個問題,百萬級用戶開始解綁銀行卡了,結果服務器也快掛了,銀行卡也解綁不了了。
這是一個典型案例:一個謠言(在人的群體意識空間),影響了人們的操作行動,進而讓一個應用系統崩潰(網絡空間中)。
對于這類有意的攻擊和無意的危害,有些防范措施可能在意識空間,有些防范措施就要在網絡空間,甚至需要二者結合。比如,針對這類[Mm,Ca]風暴,就可以考慮建立態勢感知監控和相關性研判,當然這就要將輿情監控和系統風暴監控進行相關性聯動分析。這在以前是沒有的,從這個事件讓我們意識到這種聯動分析的必要性。
4.7 [Cn,Pc]:=[Cn,Cm][Cm,Pc]攻擊
光大證券烏龍指事件[5]給我們展示了一種可能性。
2013年8月16日11點05分上證指數出現大幅拉升,大盤一分鐘內漲超5%,最高漲幅5.62%,指數最高報2 198.85點,盤中逼近2 200點。11點44分上交所稱系統運行正常,下午2點,光大證券公告稱策略投資部門自營業務在使用其獨立的套利系統時出現問題。有媒體將此次事件稱為“光大證券烏龍指事件”。
一個系統網絡的故障,可能導致應用系統和大量數據的錯誤,這些可能是數據Cd或者元數據Cm。如果一些金融衍生品應用系統是通過對數據監測和分析自動進行買賣操作的,就可能因為被監測數據的錯誤導致錯誤的買賣決策(控制現實世界的控制器行動);而如果錯誤的買賣決策又繼續導致被監測數據的錯誤效果放大,可能就在市場中產生連鎖效應,甚至有引發或誘發證券市場的瞬間大波動甚至股災。
這種危害的可能性,對于社會的危害是極為嚴峻的。
4.8 [Cp,Cm]攻擊和[PS, Cs]攻擊
在密碼破譯和密鑰分析領域,有一種方法:通過對密碼芯片外部的熱量分布進行跟蹤分析,從而達到破解和猜測密鑰的目的。這是典型的[Cp,Cm]攻擊,用對系統物理實體的分析來攻擊到數據層。
對于系統的運行狀態進行分析,我們也可以通過對系統的能量消耗進行分析。這是典型的[PS, Cs] 攻擊,用物理世界的物理測度PS來分析系統Cs。
上述兩個分析(攻擊)都需要對物理世界測度并產生相當大量的數據,才能完成對于Cyber內部的分析。換句話說,這個分析過程需要大數據技術和分析方法的支持。
5 結束語
MCPs攻擊假設矩陣還有很多空白之處需要填補和研判。可以想象:當我們把各個格子的攻擊都能夠假想并模擬出來,那么對于有效的安全保障和問題防范就會產生不可估量的支撐。
大數據安全絕對不能停留在系統層面,一定要在MCPs的統合視角下研究整個攻擊假設矩陣。特別是跨MCP三大空間的攻擊,將是非常值得研究的,很多“黑天鵝”式的攻擊必然由此而產生。
第3篇:網絡空間安全的定義范文
1 “棱鏡”折射下我國網絡信息安全面臨的巨大挑戰
1. 1 對新興科技的濫用加劇網絡安全的脆弱性
美國著名技術史專家M.Kranzberg曾深刻地指出:“科技本身既不好也不壞,甚至不是中立的。科技進步往往對環境、社會以及人產生超越科技設備及技術本身直接。科技本目的的影響,這正是科技與社會生態的互動” 身不會對網絡安全造成威脅,對科技的濫用才是網絡安全風險的根源。“棱鏡門”事件中,無論是美國政府,還是涉事的幾大網絡巨頭,無一不利用了新技術的跨地域性、隱秘性、造成破壞的規模性及不確定性,加劇了全球網絡安全的脆弱性。了解新技術對我國網絡安全的影響,是構筑我國網絡安全戰略的必要前提。
1.1.1“云”技術放大了數據風險“云計算”指遠程數字信息存儲技術,該技術允許用戶從接入到互聯網的任意互聯設備接觸其文件。云計算技術如同雙刃劍,在用戶運用該技術便捷地進行數據共享、備份的同時,也為新的技術風險與社會沖突開啟了方便之門。
首先,云計算服務商可能基于監管套利“合法地侵害”我國用戶的個人隱私和安全。監管套利指互聯網環境下,某些跨國企業通過選擇適用自身偏好的法律以規避對己不利的監管。云計算的服務器可能位于不同國家,而不同國家對數據安全義務的界定、數據丟失責任、隱私保護、數據的公開政策等均存在不同規定,監管法律的差異為云服務商提供了套利空間。例如卷入“棱鏡門”的谷歌公司,雖然向我國用戶提供網絡服務,其服務器卻位于美國加州。其提供的谷歌云端硬盤(GoogleDrive)服務要求用戶同意谷歌可“依據谷歌的隱私政策使用其數據”,但谷歌有權隨時改變其隱私政策。在谷歌最新的隱私政策中規定:“如果我們確信:為了滿足適用法律、法規、法律程序的要求或強制性的政府要求的目的而有必要訪問、使用、保留或披露相關信息,我們就會與Google以外的公司、組織和個人分享用戶個人信息。”據此,谷歌有權也有義務遵守服務器所在地的美國國家安全局的要求,向其提供用戶儲存的數據。作為互聯網用戶無可避免的傳輸和儲存信息的數字中介,云計算服務商向美國政府披露用戶信息在美國雖屬“合法”,卻嚴重地損害了他國用戶的個人信息隱私和安全,甚至可能影響他國國家安全。
其次,云計算“數據所有人與控制人分離”的模式增加了對網絡信息在物理上監管和追責的難度。在傳統模式下,數據存放在本地技術設施中,數據在邏輯上、物理上是可控的,因此風險也是可控的。在云計算模式下,由于用戶的數據不是存儲在本地計算機上,而是在防火墻之外的遠程服務器集中儲存,傳統的、借助機器或網絡物理邊界來保障信息安全的方式已經無法發揮作用。發生信息安全事件時,日志紀錄可能分散在位于不同國家的多臺主機和數據中心,因此即使是同一個云服務商部署的應用程序和托管服務,也可能難以追查紀錄,這無疑增加了取證和數據保密的難度。
1.1.2大數據技術動搖數據保護的基本原則大數據指各類組織依托海量數據、更快的電腦以及新式分析技巧以挖掘隱藏的極有價值的關聯性、更為強大的數據挖掘方式。“棱鏡門”牽涉的所有互聯網巨頭,包括谷歌、微軟、臉譜、雅虎等均以不同形式運用了大數據技術,并將數據作為其主要資產以及價值創造來源。
首先,大數據可能動搖數據保護規制的基石。歐盟的數據保護指令、歐盟通用數據保護條例草案,以及世界其他國家的數據保護法大多依賴于“透明度”和“同意”的要求以確保用戶能夠在知情的基礎上分享個人信息。然而大數據的性質就在于通過數據挖掘與分析尋找意料之外的聯系以及制造難以預測的結果,不僅用戶對于其同意的對象和目的缺乏認知,甚至運用數據挖掘技術的公司自身也無法事先得知通過大數據技術將發現什么,因此也就很難實現實質意義上的“同意”。
其次,大數據技術帶來的巨大商業利潤可能誘使服務商漠視用戶隱私,進而威脅數據安全。在互聯網背景下,一方面眾多網絡信息媒介有機會接觸用戶的大數據,而大數據技術使這些信息媒介能夠以極低的成本輕易地獲取和處理這些信息;另一方面,大數據能夠產生驚人的商業利潤:據McKinsey咨詢集團的報告,大數據每年能為美國的健康行業貢獻3000億美元的價值,為歐洲的公共管理行業貢獻2500億歐元。因此,那些有機會接觸客戶龐大數據的網絡媒介有足夠的激勵,以用戶無法想象,并且常常是無法察覺的方式利用其客戶的大數據。越來越多的商業組織開始將轉賣搜集的數據視為潛在的商業機會,并且開始從中獲利。大型金融機構開始將與其客戶支付卡相關的數據進行市場推廣(例如,常消費的店鋪及購買商品)。在荷蘭,一家GPS定位服務提供商將其用戶移動的地理編碼出售給政府機構,包括警察服務,而這些數據原本用以規劃自動變速雷達陷阱的優化安裝。在面臨巨大利潤誘惑并且無人知曉、無人監管的情況下,信息媒介對信息的利用容易偏離初衷,將用戶信息置于巨大的風險中。
1. 2 我國網絡信息安全市場信息不對稱導致市場失靈
披露網絡安全風險的成本、技術障礙以及我國網絡信息安全立法的缺失決定我國網絡信息安全市場存在信息不對稱。由于缺乏真實反映網絡安全風險的信息,產業將無法準確決定需要供給多少網絡安全產品,這一市場失靈導致網絡信息安全風險的必然性。
1.2.1披露網絡安全風險的技術障礙及成本決定網絡信息安全市場的信息天然不足網絡信息安全風險自身的無形性、復雜性、動態性特征決定了網絡安全風險的相關信息存在先天不足。同時,由于公布網絡安全風險事件可能損害市場份額、聲譽以及客戶群,私人企業往往缺乏激勵披露網絡安全風險事件。有研究顯示每公開披露一個安全漏洞,經銷商的股價平均下跌0.6%左右,這相當于每披露一次漏洞,就喪失大約8.6億美元的市值。網絡安全風險的信息不對稱并不意味著社會沒有對網絡安全上進行投資或投資過度,相反,它意味著“沒有以理想的比例投資正確的防范措施”。由于缺乏對威脅及防范正確的認識,用戶和企業傾向于投資萬金油式的解決方法。同時,安全企業也不會具有足夠的壓力將新科技帶入市場,以抵御實質性的威脅。
1.2.2我國網絡信息安全立法的缺位加劇了市場失靈在公民網絡信息安全方面,我國尚未頒布專門的法律。2009年我國在刑法中設立侵犯公民個人信息罪,然而該條款的適用對象僅限于“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”,無法涵蓋網絡空間處理公民個人信息的網絡服務提供商。同時該條款由于追責情形不清、缺乏明晰的處罰標準,被批評為“可操作性,欠佳”目前鮮見因該條款被追責的案例。現有網絡安全立法散見于效力層級較低的行政法規、部門規章及地方政府規章,或是僅針對特定行業或特定信息對象,適用面狹窄。因此,即使“棱鏡門”披露某些企業涉嫌侵犯我國公民網絡信息安全,我國網絡信息安全立法缺位的現狀決定了此類事件在現階段處于“無法可依、無責可追”的尷尬局面。在立法缺乏規制的情況下,企業并無確保網絡安全及披露網絡泄露事件的法定義務,對數據泄露事件的公布反而可能引來監管機構更多的關注,從而增加企業,乃至整個行業的運作成本。這決定了企業缺乏動機進行信息安全風險披露,加劇了信息不對稱。
1. 3 網絡軍事化趨勢引發網絡信息安全風險升級
依據軍事革命理論(RevolutioninMilitaryAffairs),新科技和相關組織架構的創新運用將引發戰爭性質的變化。隨著數字網絡關鍵基礎設施的依賴性日漸增強以及相較于傳統武器的低成本,軍事戰場開始從傳統的水、陸、空轉向網絡空間,網絡戰工具被視為是軍事革命的自然演進。Clarke在其《網絡戰》一書中將網絡戰定義為“國家為了造成損害或干擾的目的,侵入另一國電腦或網絡的行為” 局在互聯網上對包括中國在內的多個國家10類主要信息進行監聽,該事件正是網絡戰的真實案例并已經實質性地威脅到全球網絡環境的信息安全。不僅如此,我國網絡頻頻遭受來自于海外的信息監控及網絡攻擊。據中國國家互聯網應急中心數據顯示,2012年的抽樣監測發現,境外約有7.3萬個木馬或僵尸網絡控制服務器控制我國境內1419.7萬余臺主機,其中位于美國的12891個控制服務器(占境外控制服務器的17.6%)控制我國境內1051.2萬余臺主機(占受境外控制的境內主機的74.0%),控制服務器數量和所控制的我國境內主機數量均居首位。這些事件并不是孤立的,背后是某些國家利用網絡技術對中國、歐洲乃至全球信息霸權獨享和控制的體現。網絡戰對信息安全的破壞存在如下特征。
1.3.1網絡戰具有不可預測性和不可控性指網絡戰對他國可能帶來的破壞規模無法事先預測,其事后的衍生效應可能無法控制。信息系統在結構和互聯設置上任何微小的改動都可能導致截然不同的系統行為,針對某一系統的網絡攻擊既由系統操作人的行為和該特定系統的性質所驅動,也可能由網絡武器自身的特征所影響。網絡武器相對小而隱蔽的特征使攻擊對象難以察覺,無法作出及時的反應,進一步加劇了網絡戰后果的不可預測性。在2007年,愛沙尼亞整個國家的網絡由于黑客攻擊陷入癱瘓。具有政治動機的黑客通過制造數據過載,在長達10小時的時間里,迫使系統每6秒下載相當于整個WindowsXP操作系統規模的數據,致使整個國家的網絡陷入癱瘓。愛沙尼亞最大的銀行在此過程中損失超過100萬美元,愛沙尼亞議會成員持續四天無法登錄電子郵件系統。
1.3.2針對關鍵基礎設施的網絡戰將導致對網絡安全破壞強度的升級關鍵基礎設施(CriticalInfrastructure)指一旦被摧毀或干擾,將對健康、安全、國家安全或公民的正常生活或政府的有效運作造成嚴重影響的、物理和信息的科技設施、網絡、服務和財產。“棱鏡”項目披露美國國家安全局曾入侵中國電訊公司以獲取手機短信信息,并持續攻擊清華大學的主干網絡以及電訊公司Pacent香港總部的計算機,該公司擁有區內最龐大的海底光纖電纜網絡。從該事件可知,網絡安全風險已經從網上蔓延至網下,網絡攻擊的間接效果已經直接地威脅我國關鍵基礎設施的安全。
1.3.3網絡空間的軍事化缺乏國際制約機制冷戰期間各國訂立了用以限制核武器制造的條約,以控制軍備競賽可能到來的潛在風險。然而目前各國尚未就互聯網治理達成任何具有約束力的國際條約。如果互聯網不受國家間條約框架的規制,將導致更加開放和不穩定的軍事結構。國家間在網絡空間的軍備競賽會威脅數字生態的穩定性,其造成破壞的規模和結果難以預料。
2構筑我國網絡信息安全保護方略
“棱鏡門”事件為我國網絡信息安全敲響了警鐘,從法治的視角積極構建我國網絡信息安全保護方略不僅必要,而且迫切。在網絡信息安全保護方略中,明確網絡服務提供商的義務與責任是前提,完善網絡用戶救濟權是核心;與此雙管齊下的,是進行國際維權并推動國際談判向利我方向發展。本文將從國內和國際兩個視角分別思考。
2.1國內視角
構筑網絡信息安全保護戰略首先應體現在完善網絡信息處理行為的規范和追責機制,矯正市場失靈,實現政策對確保網絡安全和促進科技發展運用的最大效能。
2.1.1出臺專門立法明確網絡服務提供商的義務與責任
目前我國網絡信息安全領域亂象叢生,很大程度在于現行法律缺乏對網絡服務提供商在網絡信息安全方面的法律義務和責任的規定,這意味著現實生活中的用戶信息安全問題和信息安全糾紛解決常常依賴于網絡服務供應商與用戶之間的許可協議。網絡服務商往往會利用自己的優勢地位在服務協議中盡可能規避相關風險問題,不承諾對客戶個人數據丟失、數據泄密及數據被破壞等行為承擔法律責任,這無疑會侵害廣大網絡用戶的信息安全。同時,在云計算、大數據等新生科技背景下,網絡信息安全風險的跨地域性、隱秘性、造成破壞的規模性及不確定性等特點,客觀上對我國信息網絡安全立法提出了更高的要求。鑒于此,建議從以下幾點明確網絡服務提供商的法律義務與責任:
1)確立網絡服務商持續的數據安全保護義務,即所有涉及數據處理的主體或組織都必須實施并保持合理、適當的安全流程及做法,以保護個人信息免受非法接入、丟失、破壞、使用、修改或披露的侵害。由于技術的快速革新,網絡風險的來源與形式不斷地發生調整,這就決定了數據安全保護義務不是一勞永逸的,而是持續的過程。具體而言,“合理、適當的安全措施”要求公司采取持續的、不間斷的過程以定期評估風險、識別風險并針對風險采取適當的安全措施、監控并驗證安全措施的有效實施,并確保會根據科技的發展持續地調整、更新。具體采取的安全措施應當由公司自行決定。
2)確立數據泄密的警示義務以確保用戶的知情權。由于網絡安全風險的無形性、即時性以及連帶性,用戶可能在發生了嚴重的犯罪結果后才得知信息外泄、丟失事件。為此,為了防止信息泄密導致用戶更加嚴重的衍生后果,必須明確網絡服務商對數據泄密的公示義務,即要求所有處理敏感個人信息的企業及機構在此類信息發生泄密事件后,必須在一定時限內向受影響的用戶發出通知及警示。這里需要注意的是,該義務需要明確敏感信息的范圍,包括但不限于:身份證號碼,金融機構賬戶或信用卡號碼等;而通知的方式應以電子方式或有全國影響力的傳統媒體方式實現,以確保通知的覆蓋面及即時性;而通知的情形應為個人用戶數據的丟失、修改、破壞或者未經許可的接入的情形。
3)明確網絡服務商的責任。對于未履行數據保護義務的網絡服務商,應承擔不同層次的責任,包括由主管部門發出違規通報、責令改正、行政罰款、撤銷經營資格等行政處罰;同時個人數據受損的用戶有權向網絡服務提供商提出民事損害賠償;刑法層面應將網絡服務提供商納入侵犯公民個人信息罪的主體范圍中,并明確“情節嚴重”的具體認定標準。
4)建議引入歐盟的“長臂”條款約束跨境信息流動。“長臂條款”系歐盟特有的數據保護原則,該原則通過約束位于歐盟以外的數據處理人以及跨國公司集團內部的跨境數據轉移,尤其是云計算背景下的第三國數據處理人,旨在確保向歐盟以外傳輸的歐盟公民個人數據能夠獲得與歐盟內類似的保護水平,因此具有跨域適用的“長臂效應”。該原則主要過3種機制以實現對歐盟境外主體的約束:①國家保護水平評估機制,即歐盟有權評估第三國是否就數據安全提供了足夠水平的保護。如果經評估,第三國未能提供充分的保護水平,歐盟將禁止向該第三國傳輸個人數據并將與第三國協商。②約束性公司規則(BindingCorporateRules,BCR),指約束向公司集團設立于未提供充分保護水平國家的組織進行個人數據轉移的公司內部政策(包括與數據安全、質量、透明度有關的隱私原則,有效性的工具,如審計、培訓、投訴處理制度等,以及證明BCR具有約束力的要素)。草案規定跨國企業可以通過制定符合草案要求的BCR,并將BCR提交主要數據保護監管機構審批來履行充分保護義務。③標準數據保護條款或經許可的合同條款,指除了BCR,跨國企業也可以通過適用歐盟采納的標準數據保護條款來履行足夠保護義務。如果需要適用自行商議的合同條款,則該條款需要獲得監管機構的事先許可。云計算技術使一國數據可能在他國存儲或被處理,網絡風險為此可以擺脫時間和地點的限制,風險的來源地和結果地可能完全分離,這為我國監管機構在網絡安全監管、取證及追責帶來許多困難。有鑒于新技術發展的實際需要,建議引入歐盟的“長臂”條款,明確我國網絡安全的法律適用于我國以外建立的公司或組織,如果這些主體對我國用戶信息進行處理或者提供外包服務。具體的約束機制包括對其在國內的經營實體進行監管,如未在我國設立經營實體,要求本國企業與其通過合同形式履行我國網絡安全保護的義務。
2.1.2以救濟權為核心完善網絡用戶的權利保障機制無救濟,則無權利,面臨網絡空間愈演愈烈的安全風險,完善用戶的“救濟權”是當務之急。
1)確立保護用戶的舉證責任。在網絡服務關系中,一旦用戶選擇了某一服務提供商,該服務提供商就獲得了用戶數據的控制權,可以通過檢查用戶紀錄,掌握客戶的商業秘密和個人隱私信息,用戶在技術、信息獲取、談判用戶處于相對弱勢地位。為此,為了防止網絡服務商濫用其在網絡服務關系中的優勢地位,也考慮到個人用戶網絡取證的難度,對于網絡泄密造成的用戶損失,應規定主要由網絡服務商承擔履行數據安全保護相關義務的舉證責任。
2)確立“一站式”的主管機構。網絡信息安全牽涉到個人隱私、商業秩序、電信設施安全、金融安全、公共安全及國家安全等社會管理的多個環節,各個環節的主管部門都涉及到部分網絡監管的職能,然而各自為政、多頭管理的體系增加了企業合規的不確定性和成本,也增大了公民維權的難度。建議設立涵蓋所有行業的網絡信息安全主管機構,考慮到網絡安全的戰略意義,該主管機構應直屬于國務院,負責制定網絡信息安全方面的政策戰略,監管全行業的網絡安全合規情況并具有相應的行政執法權,通過整合協調各個機構與網絡信息安全相關的職能,作為受理用戶與網絡信息安全相關的投訴事件的接待門戶,便利用低戶成本、高效率、一站式解決網絡安全方面的糾紛。
3)提供多層次的救濟程序。除了傳統的司法程序,針對網絡數據保護糾紛涉及面廣、技術性強、時效性要求高的特點,建議引入調解、仲裁程序,在網絡主管機構下設專門處理個人信息糾紛的仲裁委員會,仲裁委員會由監管政府官員、網絡安全技術人員、消費者代表、互聯網服務商代表、學者等組成,在給定期限內由仲裁委員會提出調解方案供各方參考,如果各方接受,則作為具有約束力的文件履行;如果無法被接受,則進入司法程序。另外,數據泄密涉及者眾,而互聯網行業作為新興行業進行曠日持久的獨立訴訟也會造成巨大成本,建議規定數據保護集團訴訟/仲裁的程序,明確訴訟與仲裁之間的效力與程序銜接問題,引導通過集團訴訟或仲裁快速、簡便地解決糾紛。
2.2國際視角
構筑我國網絡信息安全保護方略不僅體現在國內立法與執法體系的完善上,也應體現在影響網絡安全國際標準未來談判和國際合作走向上。
在網絡安全已經成為國際社會面臨的共同挑戰的今天,防范網絡安全風險已不可能完全在封閉的國內法體系中實現,而必須置于國際法框架內予以合作和解決。許多情形下,網絡安全問題已經不再是一個國家的司法內政問題,而是涉及到多個國家的司法問題,尤其是在類似于“棱鏡門”這樣影響范圍廣、涉及多國當事人的信息外泄事件,必然涉及到跨國取證、協調糾紛管轄以及明確法律適用等現實難題。目前許多國際組織,包括聯合國、經合組織、亞太經合組織、歐盟、北約、八國集團、國際電信聯盟(ITU)以及國際標準組織(ISO)都在解決信息和通訊基礎建設的問題。一些新成立的組織開始考慮制定網絡安全政策與標準,現有組織也積極地希望將職能拓展到這一領域。這些組織的協議、標準或做法將對全球產生影響。同時“棱鏡門”事件后,各國紛紛對現有網絡安全戰略進行調整,可以預見今后幾年將是推動網絡安全國際合作框架建立的關鍵期。作為最主要的網絡安全受害國與最大的發展中國家,一方面我國應進行相關研究,系統掌握各國網絡安全戰略的特征和動向,尤其是某些國家侵害他國公民網絡信息安全的證據,為我國在國際陣地維權提供保障。另一方面中國有必要主動參與網絡安全國際公約及標準的制定,充分表達本國合理的利益訴求,與各國緊密合作,借助各個國際舞臺,積極爭取我國在網絡空間中的利益。
3結束語
第4篇:網絡空間安全的定義范文
【關鍵詞】計算機;網絡安全;管理與運行
計算機網絡安全不僅包括組網的硬件、管理控制網絡的軟件,也包括共享的資源,快捷的網絡服務,所以定義網絡安全應考慮涵蓋計算機網絡所涉及的全部內容。參照ISO給出的計算機安全定義,認為計算機網絡安全是指:“保護計算機網絡系統中的硬件,軟件和數據資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網絡系統連續可靠性地正常運行,網絡服務正常有序。”
現在的網絡安全技術僅可以對付已知的、被分析過的攻擊,沒有預防攻擊的能力。面對未來越來越多的新病毒,不能在大規模攻擊爆發的初期就有效地阻止攻擊的進行,為網絡安全提供保障。
一、影響計算機網絡安全的因素
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網絡存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。人為因素是對計算機信息網絡安全威脅最大的因素。計算機網絡不安全因素主要表現在以下幾個方面。
1.1 操作系統的漏洞及網絡設計的問題
目前流行的許多操作系統均存在網絡安全漏洞,黑客利用這些操作系統本身所存在的安全漏洞侵入系統。由于設計的網絡系統不規范、不合理以及缺乏安全性考慮,使其受到影響。網絡安全管理缺少認證,容易被其他人員濫用,人為因素造成的網絡安全的隱患。
1.2 缺乏有效的手段評估網絡系統的安全性
缺少使用硬件設備對整個網絡的安全防護性能作出科學、準確的分析評估,并保障實施的安全策略技術上的可實現性、經濟上的可行性和組織上的可執行性。
1.3 黑客的攻擊手段在不斷地更新
目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。攻擊源相對集中,攻擊手段更加靈活。黑客手段和計算機病毒技術結合日漸緊密,病毒可以進入黑客無法到達的企業私有網絡空間,盜取機密信息或為黑客安裝后門,在攻擊方法上,混合攻擊出現次數越來越多,攻擊效果更為顯著。黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
1.4 計算機病毒
計算機病毒將導致計算機系統癱瘓,程序和數據嚴重破壞甚至被盜取,使網絡的效率降低,使許多功能無法使用或不敢使用。層出不窮的各種各樣的計算機病毒活躍在計算機網絡的每個角落,給我們的正常工作已經造成過嚴重威脅。
二、確保計算機網絡安全的防范措施
2.1 操作系統與網絡設計
計算機用戶使用正版軟件,及時對系統漏洞打補丁,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在計算機網絡中,建立起統一的身份認證,供各種應用系統使用,實現用戶統一管理、認證和授權。網絡管理員和操作員根據本人的權限,輸入不同的口令,對應用程序數據進行合法操作,防止用戶越權訪問數據和使用網絡資源。
2.2 安全性評估
加強計算機網絡各級使用人員的網絡安全教育,建立健全計算機網絡安全管理制度,嚴格執行操作規程和規章制度。網絡管理人員對整個網絡的安全防護性能進行檢查,查找其中是否有可被黑客利用的漏洞,對系統安全狀況進行評估、分析,并對發現的問題提出建議,從而提高網絡系統安全性能。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
2.3 黑客的防范
對于網絡外部的入侵可以通過安裝防火墻來解決,利用防火墻,在網絡通訊時執行一種訪問控制規則,防火墻允許同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們更改、移動甚至刪除網絡上的重要信息。對于網絡內部的侵襲,可以采用對各個子網做一個具有一定功能的監聽程序,為網絡管理人員分析自己的網絡運作狀態提供依據。
2.4 網絡病毒的防范
在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品。這需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連,就需要網關的防病毒軟件,加強上網計算機的安全。
計算機網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。我們必須做到管理和技術并重,安全技術必須結合安全措施,并加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標準。此外,由于計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
隨著計算機網絡技術的飛躍發展,計算機網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,建立網絡安全體系,需要國家政策和法規的支持研究開發,重視對計算機網絡安全的硬件產品開發及軟件研制,建立一個好的計算機網絡安全系統。
參考文獻:
[1]趙國福.淺議計算機網絡安全[J].中國新技術新產品,2009,4(7).
[2]吳詩豪.計算機網絡安全性研究[J].管理觀察,2009,5(10):69?69.
[3]李曉明.淺談計算機網絡安全與防范方法[J].科技資訊,2008,10(30):1919
第5篇:網絡空間安全的定義范文
關鍵詞:計算機;網絡信息安全;防護措施
1 引言
隨著互聯網的快速發展和信息化進程的深入,全世界的計算機都將通過互聯網聯到一起,世界的信息資源也得到了最大程度的共享。網絡給人們的日常生活帶來了極大的便利,同時也給人們帶來了巨大的安全隱患,計算機上的數據在接入網絡后就非常容易被盜竊或者是受到攻擊。而網絡信息的安全問題已成為人類面臨的共同挑戰,如果我們不能很好地解決這個問題,信息化發展的進程必將受到阻礙。
2 計算機網絡安全含義
所謂計算機網絡安全,是指計算機軟件、硬件以及系統中的數據受到保護,系統可以連續可靠正常地運行,不會受到偶然的或者惡意的破壞,信息不會受到更改和泄露,網絡服務不會中斷,從其本質上來講,網絡上的信息安全就是網絡安全。從廣義來講,涉及到網絡信息的完整性、可用性、可控性、保密性以及真實性的相關理論和技術,均是網絡安全所要研究的領域。
3 網絡信息安全的特征
網絡信息是一個信息共享、服務開放的系統,具有如下特征:
(1)網絡要受到不同應用需求的用戶從內、外網以不同的身份訪問使用,因此網絡安全就會受到多方面因素的制約和影響,因此網絡安全具有不確定性和動態性。
(2)網絡信息安全涉及到外部環境、內部的管理以及用戶水平等多個方面的影響,它并不是一個單純的技術層面的問題,要每個環節必須統籌考慮,緊密的聯系起來,因此網絡安全具有綜合性。
(3)網絡信息安全與通常的用戶至上是相互矛盾的。因此,網絡信息安全需要通過不同的管理和技術的控制手段相互結合,達到與用戶之間需要一個平衡,從而實現最佳效果,因此網絡安全具有不易管理性。
4 網絡信息安全的現狀
(1)計算機病毒危害突出
計算機病毒能在計算機系統運行中自身拷貝,或者是有修改地拷貝到其他程序中,使得計算機系統完全癱瘓,或者是帶來某種故障,計算機病毒具有隱蔽性、傳染性、破壞性和復制性。隨著網絡的發展,其種類也在急劇增加,受感染的范圍也越來越廣。據粗略統計,全世界計算機病毒正以平均每月300至500的速度在瘋狂增長,它不僅能夠通過軟盤和硬盤傳播,同時還經下載文件、電子郵件、瀏覽網頁等方式傳播,對網絡造成極大的危害,許多服務器癱瘓,網絡系統遭感染,甚至于丟失了許多數據,給人們造成了極大的損失。
(2)計算機犯罪逐年遞增
計算機犯罪對世界構成了前所未有的新威脅,對于未來的信息化社會,犯罪學家預言犯罪的形式將以計算機網絡犯罪為主。自1986年我國深圳發生第一起計算機犯罪以來,目前呈直線上升趨勢,犯罪領域在不斷擴展,犯罪手段也日趨多樣化并且技術化,已遠遠超過傳統犯罪的危害性。而計算機犯罪的主體大多是掌握了網絡技術的專業人士,一些信息安全技術專家甚至也鋌而走險,他們洞悉網絡的缺陷與漏洞,借助四通八達的網絡,運用豐富的網絡技術,對各種電子數據發動進攻破壞,使得犯罪手段更趨專業化。
(3)黑客攻擊手段多樣化
目前,世界上的黑客網站有20多萬個,他們的攻擊方法有幾千種之多,由于網絡空間是一個開放的、無疆界的領域,因此每當一種新的黑客攻擊手段產生時,它便能在一周內傳遍世界,既可以在任何時間,在跨部門、地區和國界的網絡中進行攻擊。黑客在國內的經濟和金融領域,他們通過竊取網絡系統的密碼,可以非法進入網絡金融系統,盜用資金,篡改數據,使得正常的金融秩序遭到了嚴重的破壞。
5 相關防護措施
對于網絡安全的防護,我們可以從以下幾個方面采取對策:
(1)網絡訪問控制
它是網絡安全防范保護的一個主要策略,首要任務是保證網絡中的資源不被非法訪問和使用。同時它也是保證網絡信息安全的一個最重要的核心策略,而訪問控制涉及到的技術則比較廣,通常包含網絡權限控制、入網訪問控制以及目錄級控制等多種手段。
(2)應用密碼技術
它網絡信息安全的核心技術,應用密碼手段可以為信息安全提供可靠保證。當前,基于密碼的身份認證和數字簽名,則是保證信息安全完整性的一個最為主要的方法。
(3) 數據庫的備份與恢復
它是數據庫的管理員維護數據完整性和安全性的一個重要操作。二備份是最能防止意外,并且是最為容易的恢復數據庫的保證方法。
(4)提高網絡反病毒技術能力
通常我們可以通過安裝病毒防火墻,對網絡服務器中的文件進行監測和頻繁掃描,對計算機進行實時過濾保護。在工作站上采用防病毒卡,則可以加強網絡文件的訪問權限設置。
(5)加強網絡人員的管理
加強網絡信息安全的防護,則最為主要的就是加強對這些信息進行操作的人們的管理,這就要不斷的對計算機用戶進行包括計算機安全法、犯罪法以及保密法等法制教育,對計算機系統管理人員和用戶,要明確他們應當履行的權利和義務。除此之外,還應教育全體工作人員和計算機用戶自覺遵守為維護網絡信息系統安全而建立的一切規章制度。
6 結束語
現今,計算機網絡的信息安全問題已經受到人們越來越多的重視,現今的網絡安全問題已經不僅僅是技術問題,也是安全管理問題。這就要求我們必須綜合考慮各方面的安全因素,制定合理的技術方案,制定相關的配套法規。在世界中沒有絕對安全的網絡系統,隨著網絡技術的進一步發展,隨著網絡應用的發展,網絡信息安全的防護技術也必然不斷發展。
參考文獻:
第6篇:網絡空間安全的定義范文
網絡虛擬貨幣的成因
貨幣的形態自從它產生時就在不斷演變。隨著信息時代和網絡商務時代的到來,新的商務方式需要新的交易媒介,電子貨幣出現了。根據巴塞爾委員會1998年的定義,電子貨幣是指通過銷售終端、不同的電子設備之間以及在公開網絡上執行支付的儲值和預付支付機制。顯然,“網絡虛擬貨幣”屬于電子貨幣的范疇。
網絡消費具有小額、遠程、重復等特點,消費者不方便進行現金支付,出于安全考慮,也不太愿意用手機支付或信用卡支付,用郵寄方式支付成本較高,而且麻煩。隨著互聯網的迅速發展和普及,在給廣大網民提供大量免費服務的同時,各大網站也紛紛推出了收費服務項目。特別是網絡游戲產業的發展,以點卡、游戲幣形式出現的網絡虛擬貨幣不斷產生、滋長。因此網絡游戲產業利潤豐厚,近幾年發展迅速,網絡游戲運營商為上、下游企業帶來了可觀的收入,從而形成了虛擬貨幣。
目前在超過4.85億網民中有64.2%的人玩網絡游戲,特定市場的交易需求,創造了虛擬貨幣的生存空間。
我國現有的官方支付體系較難滿足電子化微型支付,主要表現為:一是現有支付體系的參與主體不支持微支付。現有支付體系主要由金融機構和清算組織組成,網上銷售商品和虛擬財產的網絡企業無法作為主體參與支付體系;二是支付體系的支付額度不支持微支付。現在大額支付系統金額在幾萬到幾十萬元,小額支付系統金額在幾十元到幾千元之間。而微支付金額通常在幾角和幾元之間;三是收費方式不支持微支付。小額支付系統的收費每筆在0.03-0.75元之間,而網絡微支付一般都采取免費。此外,由于以卡基為基礎的銀行支付體系在用于微支付時容易泄漏客戶個人信息而帶來風險,而以網絡虛擬貨幣為基礎的微支付與個人基本信息脫鉤,充值后與卡基分離降低了個人資金風險。
網絡虛擬貨幣的特點和問題
與現實世界法定貨幣相比,網絡虛擬貨幣有以下特點:一是網絡虛擬貨幣由于其發行范圍有限,屬于某一虛擬社區“通貨”,并不構成一般等價物,且由于網絡虛擬貨幣自身并不具備內在價值,因而只能是價值相對性的表現形式,僅發揮流通手段職能;二是現實法定貨幣發行權唯一,只屬于央行,而網絡虛擬貨幣發行由作為微觀經濟主體的網絡服務商決定,其發行權具有明顯非權威性、分散性、局部性;三是與現實法定貨幣相比較,目前的網絡虛擬貨幣無法實現“提現”的功能,再加上互聯網提供的便捷支付加快網絡虛擬貨幣流通速度,這就使得網絡虛擬貨幣在理論上具備無限擴張能力。即使網絡服務商不會無限提供虛擬商品,網絡虛擬貨幣交易量依然可以實現無限倍放大。
以上表明,網絡虛擬貨幣以網絡企業的信譽為保證,風險較大,可能對現實社會中的金融、經濟、法律秩序造成沖擊。
虛擬經濟中的一大問題是,許多應用很受歡迎卻難以建立盈利模式,要說服用戶為虛擬商品掏出真金白銀很不容易,而他們也早已習慣了免費應用。虛擬貨幣為解決這一問題提供了很好的路徑,由于虛擬貨幣是憑空創造的,其邊際成本幾乎為零。重要的是,直接把免費應用改為收費,給用戶的感受是大不相同的:假如他滿足于以前使用的基本功能,贈送的代幣是夠用的,那么掏錢只是因為自己抵御不住不斷涌現的新功能的誘惑;相反,突然對他已經習慣免費使用的功能收費,給用戶的感覺是你從他手里拿走了一件東西,會讓他產生被愚弄和拋棄的感覺,甚至會將他激怒。所以,限額贈送代幣是從免費向收費平滑過渡的可取途徑。
其次,虛擬貨幣也是有效的價格發現手段,收費的一大障礙是定價困難,定高了嚇退客戶,定低了以后很難糾正,而免費贈送的代幣既不增加用戶負擔,也與自己的成本無關,因而廠商有著充分的定價自由度,只須遵循贈送額能滿足基本功能需求的原則即可,然后等待用戶之間發生交易,或讓有機會直接感知用戶需求的終端零售商去兜售代幣卡,市場價格便形成了,當然,為此得向用戶提供代幣交易的方便手段。
由于代幣制造沒有成本,而且大量代幣是免費贈送的,這讓廠商有了很大的空間來隨時嘗試和調整各種價格策略,而在實體經濟中,價格策略性命攸關,難以經受頻繁更動。
信用能否得到保障?
現代經濟大多用紙幣執行貨幣職能。紙幣其實并無真實價值,只是價值符號,以政府的信用為保障,在政府信用的保障下,人民幣代表了等額的有價值的任何商品,如果政府信用缺失,那人們只相信具有內在價值的商品貨幣。網絡貨幣的發行是各網絡服務商的商業行為,其背后的信用來源于各個網絡商家。
首先,其信用得不到普遍信任,離開這家網絡服務商,其網絡貨幣的購買力就消失;其次,網絡商家的信用是不可靠、不安全的,網絡服務商為了逐利可能濫用信用,不限數量地發行網絡貨幣,使網絡貨幣貶值,而商家則從中獲利:再次,網絡商家虧損、破產的風險較高,一旦破產關門,其發行的網絡貨幣得不到政府的承認和保護,消費者真金白銀購買的網絡貨幣可能變得一文不值。這樣的結果是網絡貨幣的信用得不到保障。
會引發通貨膨脹嗎?
網絡貨幣的大量增加,會不會導致現實空間的通貨膨脹呢?持肯定意見的人認為,網上已出現用網絡虛擬貨幣購買實物商品的現象,這相當于增加了現實空間的貨幣流通量。這一觀點筆者認為是沒有依據的。首先,網絡貨幣購買實物商品,只是零星的現象,成不了氣候。其次,消費者用人民幣購買網絡貨幣,再用網絡貨幣購買實物商品,這跟用人民幣購買購物券,再用購物券購買商品是同樣的道理,并沒有滋生出更多的貨幣來。如果網絡商家發行過多的網絡貨幣,只會造成網絡貨幣的貶值,改變的只是網絡貨幣與人民幣之間的匯率以及用網絡貨幣標注的價格而已。如果統計的網絡空間的產值低估,那么總的貨幣供應量就會不足,只有統計的網絡空間的產值高估時,才會出現貨幣供給增速超過產值增速,從而導致現實空間的通貨膨脹。
第7篇:網絡空間安全的定義范文
隨著計算機軟件開發技術的不斷進步,開發出功能全面的手機操作系統,手機也愈發的智能化,傳統的僅僅能接入互聯網的移動通信服務已經不能滿足人們的需求了。因而,推出將物聯網技術與移動通信技術相結合的新型服務成為了移動公司科研部門需要去研究的工作。
1 物聯網定義、組成結構及其特點概述
將網絡技術應用于萬物,是對物聯網最直接的表述。物聯網的英文全稱是Internet of Things,是指將無處不在的終端設備和應用設施,例如具有智能化能力的傳感器、移動終端設備、工業工程系統、電子數控系統、家庭數字智能設備等, 與周圍安裝有無線終端接收設備的個人與車輛等等連接,通過各種無線或有線發射接收技術,在長距離或短距離的通訊上,實現不同類型的網絡之間的互聯互通效果。在各種網絡環境下,采用保障終端設備信息安全的機制,為各聯接終端提供安全可控甚至是具有個性化的實時在線監測、定位搜索、報警聯動、調度指揮等管理方式和服務功能,實現網絡技術對“萬物”的“高效便捷、節能環保、安全放心”的“管理、防控、經營”一體化功能。
構成物聯網的框架部分由3部分組成,它們分別是:控制整個物聯網的核心能力,讓物聯網具有感知能力的感知層,感知層反應著物聯網的技術含量,是開發部門追求進步的重要一層;接下來就是以移動通信網絡為根本,技術最為成熟,各方面都是最全面的,只有經過小部分完善的網絡層;最后一層是應用層,面對的是移動終端的用戶,通過物聯網技術將企業的信息展現到終端用戶面前,為終端用戶提供全面高效的服務方案,整個物聯網具有著融合企業信息、提供資源開發利用、保障信息安全的開發能力。物聯網系統主要包括有:支撐服務運營的系統、虛擬空間中的傳感網絡系統、終端業務服務的應用系統、作為連接基礎的無線通信網系統等組成。
過去的互聯網是基于計算機技術而開發出來的信息技術,現今的物聯網技術所取用的核心部分依然是互聯網技術,物聯網技術只是對互聯網所能實現的功能進行擴展和延伸,達到物體與物體的連接。由于物理材料、物理技術的升級,通過光感技術、紅外技術、等等,物聯網技術能快捷的使兩種不同的行業產生聯系,使得像超市、護膚品專賣店等這類實體經營店也能通過網絡技術產進行交流。總的來講結合力物聯網的移動通信有以下幾個方面的特點。
1.1 物聯網技術服務的對象更廣
過去的移動互聯網由于技術條件的限制,服務對象局限于移動終端,沒有將這些對網絡服務需求高的大量的實體類的客戶端納入網絡空間去,服務效應明顯低下了很多,而物聯網技術的引入剛好滿足了這類對網絡應用需求高客戶群體,方便了實體類的客戶端對人們的快捷服務,填補了之前服務所達不到的空缺部分,擴大了通信公司服務的范圍。
1.2 物聯網縮短了服務的反應時間
以往人們需要社會設施服務的時候,需要很長一段時間才能得到。物聯網則徹底縮短了人們申請服務的反應時間,需求人群只要通過物聯網或者使用物聯網上提供此類服務的APP一個簡單的需求信息,能提供該類服務的從業人員在接到需求信息之后就能快速反應,到達需求人群身邊解決所遇到問題或是提供需要的服務,經過物聯網的提速,使得生活變得更簡單方便了。
1.3 物聯網個人信息保護更高
物聯網技術是在互聯網技術的基礎上發展起來的,在保護用戶個人信息發面已經有了經驗,再加上新的加密解密技術,物聯網對用戶信息保護的能力更加提升了一個環節,物聯網保護信息的能力更高。
2 物聯網技術下移動通信技術的應用與發展探究
我國通信行業經過了互聯網時代的升級,有了長足的進步,但物聯網是一種新的技術,未來的上限需要經過不斷的探索才能確定,因而筆者提出以下幾點建議。
2.1 加快物聯網與移動通信技術的結合進程
每一項新技術的出現到為大眾帶來福利都是需要一個時間發展的過程來完成的,物聯網技術作為互聯網技術的擴展,有互聯網技術運作所打下的經驗基礎。因此,物聯網與移動通信技術的結合進程要加快。移動物聯網的發展,為用戶生活創造便利,更為移動通信行業開展出新的業務創造出前提和準備。通信公司要發掘通信領域內的技術優勢,充分運用終端平臺的高度智能特性,開發出便捷服務于廣大群眾同時又支持這類智能平臺的APP軟件,使廣大群眾能充分體驗到物聯網對改變生活、服務生活的優勢。通信公司要注意到的是,公司要通過電話調查、問卷調查,等等方式來獲取廣大用戶對公司所開展的這些服務的感受、看法,了解帶終端使用者對需求,這樣技術開發部門才能開發出符合用戶需要的應用軟件。
2.2 增強網絡監管力度,打擊網絡違法行為
網絡科技的不斷進步,各種各樣的犯罪分子也趁機利用網絡的力量來實施各種違法犯罪行為,各種層出不窮的電信電話詐騙,欺騙老年人,套取老年人的個人信息,給老年人的晚年生活帶來了不快。因而,物聯網技術下的移動通信技術要不斷的提升網絡監管力度,協助警方打擊這些通過網絡來違法犯罪的行為。同時在用戶信息保密上也要加強管理,很多帶有騷擾性質的電話就是因為通信行業對用戶信息的保管不利,被一些黑客盜取了數據庫內客戶的信息資料,不斷的向被盜信息的客戶打騷擾電話,影響日常生活,這都是物聯網管理要注意的地方。
第8篇:網絡空間安全的定義范文
大數據時代已經到來
物聯網、云計算、移動互聯網等新技術的發展,使得手機、平板電腦、PC及遍布地球各個角落的傳感器,成為數據來源和承載方式。據估計,互聯網上的數據量每兩年會翻一番,到2013年,互聯網上的數據量將達到每年667EB(1EB=230GB)。這些數據絕大多數是“非結構化數據”,通常不能為傳統的數據庫所用,但這些龐大的數據“寶藏”將成為“未來的新石油”。
1.大數據具有四個典型特征
大數據(Big Data)是指“無法用現有的軟件工具提取、存儲、搜索、共享、分析和處理的海量的、復雜的數據集合”。業界通常用四個V來概括大數據的特征。
——數據體量巨大(Volume)。到目前為止,人類生產的所有印刷材料的數據量是200PB(1PB=210TB),而歷史上全人類說過的所有的話的數據量大約5EB(1EB=210PB)。當前,典型個人計算機硬盤的容量為TB量級,而一些大企業的數據量已經接近EB量級。
——數據類型繁多(Variety)。這種類型的多樣性也讓數據被分為結構化數據和非結構化數據。相對于以往便于存儲的以文本為主的結構化數據,非結構化數據越來越多,包括網絡日志、音頻、視頻、圖片、地理位置信息等,這些多類型的數據對數據的處理能力提出了更高要求。
——價值密度低(Value)。價值密度的高低與數據總量的大小成反比。以視頻為例,一部1小時的視頻,在連續不間斷的監控中,有用數據可能僅有一兩秒。如何通過強大的機器算法更迅速地完成數據的價值“提純”,成為目前大數據背景下亟待解決的難題。
——處理速度快(Velocity)。這是大數據區分于傳統數據挖掘的最顯著特征。根據IDC的“數字宇宙”報告,預計到2020年,全球數據使用量將達到35.2ZB(1ZB=210EB)。在如此海量的數據面前,處理數據的效率就是企業的生命。
2.大數據成為國家和企業的核心資產
2012年瑞士達沃斯論壇上的《大數據大影響》報告稱,數據已成為一種新的經濟資產類別,就像貨幣或黃金一樣。奧巴馬政府已把“大數據”上升到國家戰略層面,2012年3月,美國宣布投資2億美元啟動“大數據研究和發展計劃”,借以增強收集海量數據、分析萃取信息的能力。美國政府認為,大數據是“未來的新石油”,一個國家擁有數據的規模、活性及解釋運用的能力將成為綜合國力的重要組成部分,未來對數據的占有和控制甚至將成為繼陸權、海權、空權之外國家的另一個核心資產。
對企業來說,數據正在取代人才成為企業的核心競爭力。在大數據時代,數據資產取代人才成為企業智商最重要的載體。這些能夠被企業隨時獲取的數據,可以幫助和指導企業對全業務流程進行有效運營和優化,幫助企業做出最明智的決策。此時,企業智商的基礎就是形形的數據。
大數據在重新定義企業智商的同時,對企業核心資產也進行了重塑,數據資產當仁不讓地成為現代商業社會的核心競爭力。在大數據時代,企業必須熟悉和用好海量的數據,而互聯網行業已提早感受到了大數據帶來的深切變化。一些互聯網企業已經完成了核心競爭力的重新定義。
3.大數據“藍海”成為競爭的新焦點
大數據所能帶來的巨大商業價值,被認為將引領一場足以與20世紀計算機革命匹敵的巨大變革。大數據正在對每個領域造成影響,在商業、經濟和其他領域中,決策行為將日益基于數據分析,而不再是憑借經驗和直覺。大數據正在成為政府和企業競爭的新焦點。各大企業正紛紛投向大數據促生的新藍海。甲骨文、IBM、微軟和SAP共投入超過15億美元成立各自的軟件智能數據管理和分析專業公司。在大數據時代,商業生態環境在不經意間發生了巨大變化:無處不在的智能終端、隨時在線的網絡傳輸、互動頻繁的社交網絡,讓以往只是網頁瀏覽者的網民的面孔從模糊變得清晰,企業也有機會進行大規模的精準化的消費者行為研究。大數據藍海將成為未來競爭的制高點。
大數據給信息安全帶來了新的挑戰與機遇
大數據在成為競爭新焦點的同時,不僅帶來了更多安全風險,同時也帶來了新機遇。
一是大數據成為網絡攻擊的顯著目標。在網絡空間,大數據是更容易被“發現”的大目標。一方面,大數據意味著海量的數據,也意味著更復雜、更敏感的數據,這些數據會吸引更多的潛在攻擊者。另一方面,數據的大量匯集,使得黑客成功攻擊一次就能獲得更多數據,無形中降低了黑客的進攻成本,增加了“收益率”。
二是大數據加大隱私泄露風險。大量數據的匯集不可避免地加大了用戶隱私泄露的風險。一方面,數據集中存儲增加了泄露風險;而這些數據不被濫用,也成為人身安全的一部分;另一方面,一些敏感數據的所有權和使用權并沒有明確界定,很多基于大數據的分析都未考慮到其中涉及的個體隱私問題。
三是大數據威脅現有的存儲和安防措施。大數據存儲帶來新的安全問題。數據大集中的后果是復雜多樣的數據存儲在一起,很可能會出現將某些生產數據放在經營數據存儲位置的情況,致使企業安全管理不合規。大數據的大小也影響到安全控制措施能否正確運行。安全防護手段的更新升級速度無法跟上數據量非線性增長的步伐,就會暴露大數據安全防護的漏洞。
四是大數據技術成為黑客的攻擊手段。在企業用數據挖掘和數據分析等大數據技術獲取商業價值的同時,黑客也在利用這些大數據技術向企業發起攻擊。黑客會最大限度地收集更多有用信息,比如社交網絡、郵件、微博、電子商務、電話和家庭住址等信息,大數據分析使黑客的攻擊更加精準。此外,大數據也為黑客發起攻擊提供了更多機會。黑客利用大數據發起僵尸網絡攻擊,可能會同時控制上百萬臺傀儡機并發起攻擊。
五是大數據成為高級可持續攻擊的載體。傳統的檢測是基于單個時間點進行的基于威脅特征的實時匹配檢測,而高級可持續攻擊(APT)是一個實施過程,無法被實時檢測。此外,大數據的價值低密度性,使得安全分析工具很難聚焦在價值點上,黑客可以將攻擊隱藏在大數據中,給安全服務提供商的分析制造很大困難。黑客設置的任何一個會誤導安全廠商目標信息提取和檢索的攻擊,都會導致安全監測偏離應有方向。
六是大數據技術為信息安全提供新支撐。當然,大數據也為信息安全的發展提供了新機遇。大數據正在為安全分析提供新的可能性,對于海量數據的分析有助于信息安全服務提供商更好地刻畫網絡異常行為,從而找出數據中的風險點。對實時安全和商務數據結合在一起的數據進行預防性分析,可識別釣魚攻擊,防止詐騙和阻止黑客入侵。網絡攻擊行為總會留下蛛絲馬跡,這些痕跡都以數據的形式隱藏在大數據中,利用大數據技術整合計算和處理資源有助于更有針對性地應對信息安全威脅,有助于找到攻擊的源頭。
保障我國大數據信息安全的建議
一是重視大數據及其信息安全體系建設。大數據作為一個較新的概念,目前尚未直接以專有名詞被我國政府提出來給予政策支持。在物聯網“十二五”規劃中,信息處理技術作為4項關鍵技術創新工程之一被提出來,其中包括了海量數據存儲、數據挖掘、圖像視頻智能分析,這都是大數據的重要組成部分。在對大數據發展進行規劃時,建議加大對大數據信息安全形勢的宣傳力度,明確大數據的重點保障對象,加強對敏感和要害數據的監管,加快面向大數據的信息安全技術的研究,培養大數據安全的專業人才,建立并完善大數據信息安全體系。
二是加快大數據安全技術研發。云計算、物聯網、移動互聯網等新技術的快速發展,為大數據的收集、處理和應用提出了新的安全挑戰。建議加大對大數據安全保障關鍵技術研發的資金投入,提高我國大數據安全技術產品水平。推動基于大數據的安全技術研發,研究基于大數據的網絡攻擊追蹤方法,搶占發展基于大數據的安全技術的先機。
第9篇:網絡空間安全的定義范文
你的汽車會被黑客攻擊嗎?”
聽到這個問題,埃隆?馬斯克有些惱怒。這顯然不是一個在友好會客的晚餐飯桌上適宜提起的話題。
對于這個自從推出特斯拉的ModelS就時刻接收著鮮花和贊譽的年輕總裁來說,這樣的質疑顯得格外刺耳,但他還是禮貌性地做出了回答。“不會,我們所有的應用都是自己寫的,我們不會安裝任何第三方應用,所以不會有任何問題。”
拋出問題的奇虎360公司董事長周鴻并沒有打算就這樣放過這個話題。“那你的汽車有WiFi和藍牙么?”
在程序員出身的周鴻看來,就算特斯拉汽車本身不會遭到黑客攻擊,但只要馬斯克用手機與汽車連接的話,黑客一樣可以通過手機進入汽車。而只要特斯拉汽車有和云端進行通信的需求,那么只要下載了它的通信協議或者破解了云端的網絡,汽車也會被控制。
問題的答案顯而易見。3個月后,360成功地破解了特斯拉的通信協議,利用電腦實現了將特斯拉汽車遠程開鎖、鳴笛、閃燈、開啟天窗等操作,并將漏洞報告提交特斯拉。
在周鴻看來,智能汽車不過就是一部有四個輪子的大手機。在出席“2014中國互聯網安全大會”時,周鴻明確地指出:“智能手機的普及已經打破了邊界的定義,安全的問題變得更加嚴重。”
消失的邊界
遠程遙控汽車啟動,冬天預熱坐墊,夏天提前打開空調;讓汽車自動跑到指定地點;實時提供交通咨詢、信息導航和道路救援;車輛定位尋找丟失汽車……將汽車聯網后,汽車廠商們相繼重磅推出汽車的智能功能,擔心在智能汽車的浪潮中分不到一杯羹。
在汽車變得越來越智能的時候,空調、電視、冰箱等家電企業也爭先恐后地投身智能化浪潮中。
這是一個走向萬物互聯的世界。“萬物互聯將會是未來的趨勢。不僅手機、電腦、電視機等傳統信息化設備將連入網絡,家用電器和工廠設備、基礎設施等也將逐步成為互聯網的端點。”中國互聯網安全大會聯合主席、互聯網協會理事長鄔賀銓說。
互聯網、電腦出現漏洞和病毒早已是過去的新聞。手機出現病毒、被釣魚、下載了虛假的App、接入了偽基站,也不再是新鮮的事情。但是正如周鴻在“2014中國互聯網安全大會”所說,當人們生活周圍的電器設備都內置了一個智能的芯片和一個智能的操作系統的時候,可以說所有的東西實際上就都變成了一個“手機”。
但就像智能汽車這個四個輪子的“手機”,可以輕易利用市面上隨手可以得到的汽車診斷設備,外加一款應用軟件實現破解。這些攻擊甚至有可能通過遠程操控,讓汽車在駕駛途中熄火,遙控打開其后備廂進行偷盜,隨時可以讓汽車車門、天窗打開,甚至控制剎車,造成安全事故。
當這些“手機”都可以通過3G、4G的網絡,通過WiFi、藍牙等各種各樣的協議和互聯網、云端7×24小時相連的時候,邊界的概念會越來越弱,逐漸消失。隨著“手機”的增多,消失邊界的范圍就會越來越大。“接入點越多,可以被攻破的這種可能的入口就會越多。”這給安全帶來了全新的挑戰。
美國前國土安全部部長湯姆?里奇也認可數字邊界已經打破了對傳統意義上的國家和行業疆界邊際的界定。在他看來,萬物互聯的世界將是一個全新的戰場。
湯姆?里奇說,我們的數字世界既充滿了機遇,也充滿了挑戰和威脅。當地緣政治的邊界都不再實時存在的時候,我們都會暴露在各種惡意的,甚至邪惡的攻擊者面前。沒有人能夠心存僥幸。
也許有人認為自己的CPU、自己的操作系統、自己的數據庫能夠保證安全。但是,只要還在網絡環境里,我們的數據都會走出去在世界上繞一圈再回來,無法阻擋。這是互聯網的天性。
與傳統的戰場不同,在這個對惡意沒有抵抗力的數字世界里,襲擊者可以很輕易地掩藏住自己的身份。“在空中、地域或者海域將敵人拒之門外比在數字空間更容易,軍事方面的哨兵可以實地放哨。但在數字的邊界,針對某一具體的黑客,要抓住他們,通過一種有意義的方式抓住他們是非常困難的,有時候甚至是不可能的,這是顯而易見的。”湯姆?里奇說。
在湯姆?里奇看來,在這個全新的戰場中,每個人要成為網絡戰士,每個人有義務去扮演打擊這些襲擊者的角色。
數據的對抗
這不是危言聳聽。在8月的美國西雅圖之旅,奇虎360副總裁兼首席隱私官譚曉生見證了一組黑客,只用了45分鐘就破解了22種硬件設備。被破解的硬件設備包括三星加密的攝像頭、放在嬰兒床邊的攝像頭、海信的電視、LG的冰箱、摩托羅拉LTE的終端、亞馬遜的機頂盒、松下的藍光播放器。
“如果我們想保護自己的數據,在經濟領域競爭得到優勢,威脅我們的是什么?不是網絡,而是信息數據本身的對抗。”原網絡安全應急技術國家工程實驗室主任杜躍進表示。
以智能汽車為例,按照杜躍進的估計,目前至少有超過80個智能傳感器,每天傳輸著涵蓋了汽車和駕駛者的個人的各類信息、高達100M的數據。這是一個真正的大數據時代。
用戶數據的泄露正逐漸成為常態。山石網科副總裁張凌齡對此有著切身體會。在去年一年,她就更換了兩次信用卡。辦卡的花旗銀行和美洲銀行信用卡公司主動發信通知她換卡,稱舊卡已不能使用。“其實就是信息已經被盜了,只是他們不愿意跟你講。”
事實上,這種數據的對抗現在已經上升到國家戰略。“互聯網在中國的發展已經有20年,從早期的CIH病毒到后來的‘沖擊波’和‘熊貓燒香’,再到2013年的‘棱鏡門’事件,網絡安全領域已經不僅僅是簡單的攻防戰,而是已經關系到全社會的生存與發展。”奇虎360總裁齊向東在“2014中國互聯網安全大會”上如此表示。
中國的準備顯然還不充分。與美國在面臨網絡安全問題的時候能夠有效協調安全廠商、技術機構和媒體形成常態化優勢不同,中國在技術標準、監管機制和產業聯合引導方面還有著不足。
美國在安全產業上的布局是非常完善的。從底層的基礎信息巨頭,到中層的網絡安全產業聚集,到高層的專業安全廠商,構成了一個非常完整的網絡安全的產業格局。在國家計算機網絡應急技術處理協調中心副主任兼總工程師云曉春看來,這種格局對整體網絡安全能力非常重要。
云曉春認為,在“棱鏡門”事件中,美國之所以能夠對全世界進行竊聽,是依托其在互聯網資源及信息技術方面的絕對優勢,特別是政府、企業等各部門的高度協同。
但是,中國還達不到這樣的格局。在俄國,安全廠商更希望做完整的產品線,覆蓋產業的整個鏈條。大而全的結果,就是粗糙的同質競爭。國家的總體部署雖然促進了各個單位自身網絡安全保障能力的提高,但協作不夠。一旦遇到高強度攻擊,形不成整體合力,無法有效地做出應對。
那么,在這個萬物互聯的時代,應該拿什么去拯救信息安全?
跳躍的思維
受阿西諾夫在科幻小說中提出的機器人三原則影響,周鴻發散思維,為企業量身打造了萬物互聯時代需要遵守的三原則――不管存儲在哪個服務器上,數據的擁有權必須屬于用戶;企業必須把你收集到的用戶數據進行安全存儲和安全傳輸;如果使用用戶信息時,必須告知用戶,經過授權。
周鴻相信,即使到了萬物互聯,即使用戶數據都在云端,當這三個原則都被遵守的時候,數據和隱私的安全會受到更好地保護。
當然,在數字的世界中,當所有的邊界都消失的時候,傳統的防御已然不合時宜。這個時候,需要跳出固有的思維,用進攻的方式來防守。
在過去傳統的信息安全防護中,首先是依靠在建立一個防火墻,被動地做出防護。在中國科學院大學呂本富教授看來,這種防火墻是一個軟隔離,并不安全,很容易被人家穿墻打洞。即使做了物理隔離,效果也不是很好。比如著名的“震網”病毒就打破了物理隔離,突破工業專用局域網的物理限制,在伊朗廣泛傳播開來。
網絡安全的本質就是攻防對抗。在攻擊和防御相互博弈的過程中,攻擊者會不斷尋找防護方的弱點,防護方也會不斷探索應對新攻擊的手段。了解對手的能力、特點、動機,用對手的思維來思考,實行攻防對抗,在新型的安全防御中就顯得至關重要。
在思科內部就有這樣的意識。每隔幾個禮拜,就有一個發到思科內部員工郵箱里的有針對性的釣魚郵件,進行安全測試。這種響應式的做法帶來了很好的效果,思科的安全部門發現了多個被忽略的問題,及時做出了調整。
這個道理尤其適用于國家的安全戰略中。呂本富認為,一個國家的網絡空間的是建立在“能力之矛、規則之盾”的基礎上的。一個國家擁有能力之矛,就可以用最小的博弈能力,讓對方不敢輕易做出侵犯的舉動。規則之盾,則是掌握在萬物互聯的新空間下的規則,依據規則定下防御策略。
