特約撰稿人 | 竇海霓

網絡信息安全保護需以網絡安全為核心，提升云服務與移動設備端安全管理水平，強化數據安全與隱私保護，從而持續(xù)提升企業(yè)網絡信息安全水平。

移動智能終端的普及，云計算、物聯(lián)網、虛擬化、大數據等新技術的快速發(fā)展與廣泛應用，一方面給人們生活帶來了極大便利，另一方面也給網絡安全帶來了新的風險。美國最早將網絡安全提升到國家戰(zhàn)略高度，去年的“棱鏡門”持續(xù)發(fā)酵，更是引發(fā)了世界各國對網絡與信息安全的重視，我國十八屆三中全會也明確提出要設立國家安全委員會，將信息安全上升到國家戰(zhàn)略層面。

移動設備成為主要攻擊對象

全社會的網絡化、信息化給人們的生產與生活帶來諸多便利、高效的同時，也給社會帶來日益嚴峻的安全挑戰(zhàn)。

第一，網絡的普及對網絡安全和應急響應技能提出更高要求。隨著網絡對社會生產與生活的滲透、網絡安全技術手段的不斷升級，單純的技術手段攻擊難度提高，但同時由于用戶水平各不相同、接入網絡的設備眾多且兼容性參差不齊，使之成為網絡薄弱環(huán)節(jié)，在技術無法有效突破時也最容易受到攻擊。另外，網絡持續(xù)監(jiān)測與評估不可能涵蓋所有網絡節(jié)點，也導致網絡欺詐、信息操縱犯罪、物聯(lián)網攻擊等不斷。這些都對網絡安全和應急響應的技能提出更高要求，單純的封鎖策略并非可行之道，企業(yè)正面臨如何能夠在不影響正常社會生產與生活情況下實施最佳網絡安全管控的挑戰(zhàn)。

第二，移動設備成為主要的攻擊對象，數據丟失風險最受關注。目前，大量移動設備接入網絡，并連接到企業(yè)和家庭。同時，大量的山寨設備安全極其脆弱，且不易被監(jiān)測，更是對網絡安全構成極大威脅。由于絕大多數的人使用自己的移動設備（BYOD）工作，使得相對不安全的設備連接到網絡，越來越多的數據被存儲到個人電腦里。大量設備不受企業(yè)安全策略管理而暴露在外，成為惡意軟件、數據丟失或被竊、信息犯罪或詐騙、網絡釣魚攻擊與的目標。每天都有成千上萬的智能手機和平板電腦丟失或被盜，而大多數智能手機和平板電腦用戶的進入口令為無或弱，使得那些找到移動設備的人不受限制地進入相應網絡、轉移資源、破壞信息。

第三，云服務安全性仍然是云計算廣泛推廣的最大障礙，也是未來安全的重點。云服務可通過任何公共網絡接入，隨時隨地提供服務，從而為企業(yè)提供了更大的靈活性，也讓員工工作更有效率。但這種靈活性、無所不在的服務，也會構成新的網絡威脅，信息不只在云服務器或者自身網絡上傳播，企業(yè)無法確保每個公共網絡的安全性，也不能確定接入端設備的安全性。網絡全球性使得網絡黑客、攻擊人員可以遠程控制并繞過公司內部安全防御體系；另外，接入設備兼容性各異，也加劇云服務潛在的安全風險。

第四，移動互聯(lián)網與大數據升溫，使得數據安全與隱私問題日益嚴重。掌握人們數據與隱私的，不僅僅包括運營網站與App等，還包括提供網絡接入的電信運營商。近年來全球發(fā)生的數據與隱私泄露事故不斷升級，互聯(lián)網企業(yè)經常侵犯用戶隱私，電信運營商也不斷加入數據利用與變現(xiàn)的行列。賽門鐵克報告顯示，2013年超過5.52億條身份信息被泄露，該數量是2012年的4倍，并將2013年定義為“大規(guī)模數據泄露之年”。

電信運營商最受用戶信賴

面對日益嚴峻的網絡安全挑戰(zhàn)，從國家到企業(yè)到個人都有必要加強網絡安全管理，強化數據安全與隱私保護。

首先，從全局角度，以網絡信息安全為核心，實現(xiàn)網絡信息安全對內對外的統(tǒng)籌管理。一方面，國家需完善立法、加強行業(yè)自律、加快國際合作，打造一個安全、可控、透明、健康的外部網絡空間環(huán)境。目前，個人數據法規(guī)與規(guī)范在歐美地區(qū)比較成熟，亞太地區(qū)各國情況不一。另一方面，企業(yè)要持續(xù)強化自身安全意識，從組織、流程、技術三個方面，系統(tǒng)性構建面向未來的信息安全管理體系。新的形勢下，必須充分利用大數據技術分析，建立基于透明情報信息的智慧發(fā)現(xiàn)機制，有效利用現(xiàn)有資源并提高投資效益，打造主動化、智能化的安全監(jiān)測與處理控制系統(tǒng)，實時進行評估。

其次，電信運營商為用戶提供移動設備安全防護與數據安全管理。移動設備安全可通過嵌入式芯片、NFC、生物技術、移動操作系統(tǒng)四個方面加強安全管理，同時還需加強移動設備上數據的安全。越來越多的電信運營商開始幫助用戶保護智能終端的安全，同時用戶也更傾向于讓運營商而非終端設備商來提供設備安全保護。比如Vodafone集團就為消費者提供兩種移動安全服務：Vodafone保護和Vodafone守護。Vodafone保護與McAfee聯(lián)手，聯(lián)合品牌運營，可以在歐洲5個國家和南非提供免費+增值方式的安全保護；Vodafone守護則是其內部開發(fā)的應用程序，可在17個國家使用，且完全免費。這種服務也有助于提升運營商企業(yè)社會形象與客戶忠誠度。

最后，云服務提供商應將安全集成服務作為核心云計算需求，聯(lián)合更多合作伙伴從云計算部署與虛擬化入手，建立新云服務安全標準。這需要從網絡控制、接入認證、數據安全與存儲三個方面加強云服務的實時保護。在網絡控制層面，加強訪問控制，避免未授權或不當訪問，同時增加傳輸加密或者其他控制措施，避免被惡意偵聽；在接入認證層面，采用智能卡、令牌、數字證書以及生物識別等多因素混合驗證技術；在數據安全與存儲方面，應基于數據生命周期從保密性、完整性、可用性三個方面加強云存儲數據保密。電信運營商作為可能最受信賴的身份代理商，應加快建立基于云計算的標識驅動模型，實施身份管理系統(tǒng)（IDM），增強云計算的身份驗證，統(tǒng)一管理用戶身份。

根據德國地區(qū)消費者調查，在個人信息處理時，用戶最受信賴的公司是電信運營商。因此電信運營商最有可能成為受信賴的個人身份信息代理商，更有機會充分挖掘數據價值。其核心關鍵：一是增強透明度，讓用戶自主選擇與控制信息，二是加強人性化、個性化的數據使用。