姜紅德

2014年國家高調(diào)成立網(wǎng)信辦以來，網(wǎng)絡(luò)安全逐漸成為重點，從國家到行業(yè)主管部門及企業(yè)都引起了重視。這一年網(wǎng)絡(luò)安全事件也頻頻出現(xiàn)，比如心臟出血漏洞、民間IT行業(yè)發(fā)起的去IOE熱潮、12306泄密等事件都折射出信息安全在云計算、大數(shù)據(jù)環(huán)境下，呈現(xiàn)出新的特點和趨勢。雖然2014年已經(jīng)過去.但是網(wǎng)絡(luò)安全的復(fù)雜性和嚴(yán)重性還將持續(xù)下去，在這樣的背景下，201 5年網(wǎng)絡(luò)安全行業(yè)還將出現(xiàn)哪些趨勢7我們不妨展望一下。

云計算安全繼續(xù)升溫

2014年國家工信部公布了“十三五”云計算規(guī)劃，按照文件規(guī)劃，我國云計算產(chǎn)業(yè)的發(fā)展思路和工作重點是 培育龍頭企業(yè)，打造完整的產(chǎn)業(yè)鏈：鼓勵有實力的大型企業(yè)兼并重組、集中資源：發(fā)揮龍頭企業(yè)對產(chǎn)業(yè)發(fā)展的帶動輻射作用，打造云計算產(chǎn)業(yè)鏈。

國家發(fā)改委、財政部、工信部等部委則更進(jìn)一步組織實施云計算工程，表示將專項重點支持公共云計算服務(wù)平臺建設(shè)、基于云計算平臺的大數(shù)據(jù)服務(wù)、云計算和大數(shù)據(jù)解決方案及推廣項目3個領(lǐng)域。

可以預(yù)知在有關(guān)部門的規(guī)劃和文件出臺之后，云計算在全國各地將加速落地.越來越多的地方政府和企業(yè)將采用云計算技術(shù)，購買云計算服務(wù)，給本來就發(fā)展迅猛的云計算產(chǎn)業(yè)再添動力。

在這一背景下，和云計算有關(guān)的技術(shù)也會得到快速發(fā)展。統(tǒng)計表明，至2018年我國SDN/NFV市場將會快速增加到110億美元規(guī)模，新的云網(wǎng)融合技術(shù)的發(fā)展也必將帶來ICT行業(yè)的持續(xù)繁榮，但也不可避免帶來安全的隱患。

這些新技術(shù)的興起，使傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品越來越不能適應(yīng)新型網(wǎng)絡(luò)所帶來的變化，促使越來越多的國內(nèi)企業(yè)開始在SDN安全方面進(jìn)行了大量探索。在對抗安全漏洞上，SDN提供了新的可能性，然而SDN也可能擴展安全漏洞、誤配置、侵犯隱私和其他事變的危險。未來SDN/NFV改變了網(wǎng)絡(luò)中的哪些東西7安全漏洞通常會出現(xiàn)在什么地方7如何有效地防護(hù)？……針對一系列安全問題都要引起我們的注意。

安全人才培養(yǎng)得到重視

目前我國網(wǎng)絡(luò)安全技術(shù)人才缺口很大，具備網(wǎng)絡(luò)攻防實戰(zhàn)技術(shù)能力的特殊人才更是極端匱乏。這一觀點是目前來自我國政府主管層面、行業(yè)、企業(yè)達(dá)成的共識，要解決這一問題不是僅僅依靠學(xué)校的專業(yè)教育就能解決的，和網(wǎng)絡(luò)安全技術(shù)競賽及各種技能培訓(xùn)也是分不開的，隨著各方面重視網(wǎng)絡(luò)安全人才的培養(yǎng)，相信2015年網(wǎng)絡(luò)安全人才的培訓(xùn)市場會逐漸變得完善起來

在2014年11月舉辦的網(wǎng)絡(luò)安全宣傳周上，據(jù)國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局局長趙澤良介紹，目前全國一年培養(yǎng)的網(wǎng)絡(luò)安全專業(yè)畢業(yè)生，從本科到碩士僅7000多人缺口很大。由于現(xiàn)狀緊迫，在網(wǎng)絡(luò)安全周啟動儀式現(xiàn)場，他還向教育部部長袁貴仁追問網(wǎng)絡(luò)安全人才的培養(yǎng)計劃 “袁部長現(xiàn)場回應(yīng)，教育部已對網(wǎng)絡(luò)安全人才培養(yǎng)進(jìn)行統(tǒng)籌安排?！?/p>

2014年10月27日，XCTF全國網(wǎng)絡(luò)安全技術(shù)對抗聯(lián)賽在北京啟動XCTF聯(lián)賽致力于為網(wǎng)絡(luò)安全相關(guān)專業(yè)學(xué)生和技術(shù)愛好者提供一個公開、公平、公正的競技賽場，從中發(fā)現(xiàn)人才、培養(yǎng)人才、用好人才。中國網(wǎng)絡(luò)空間安全協(xié)會（籌）競評演練工作組組長杜躍進(jìn)博士表示，“XCTF聯(lián)賽是網(wǎng)絡(luò)安全人才戰(zhàn)略的關(guān)鍵一步，目標(biāo)是發(fā)現(xiàn)未來的安全新生力量”。杜躍進(jìn)博士在談到網(wǎng)絡(luò)安全人才的培養(yǎng)時表示，全世界的大國都十分重視安全，俄羅斯甚至將安全人才的培養(yǎng)放到國家戰(zhàn)略中，我國籌建中國網(wǎng)絡(luò)空間安全協(xié)會也體現(xiàn)了國家對安全人才的極度重視。

據(jù)了解，目前高校所培養(yǎng)的信息安全專業(yè)畢業(yè)生離產(chǎn)業(yè)界所需人才有相當(dāng)大的差距，主要原因在于教學(xué)思想刻意回避攻防技術(shù)，課程設(shè)置不合理，以及實踐環(huán)節(jié)普遍缺乏等客觀困難。通過競賽的形式在高校的普及推廣，將樹立攻防兼?zhèn)?、面向?qū)崙?zhàn)的教學(xué)標(biāo)桿，并能有效補充課外的網(wǎng)絡(luò)安全攻防實踐，對于提升網(wǎng)絡(luò)安全人才培養(yǎng)質(zhì)量是一種非常有效的方式。

在線金融安全問題引起關(guān)注

2014年6月份，一家歐洲大型商業(yè)銀行受到了網(wǎng)絡(luò)定向攻擊，短期內(nèi)就蒙受了巨大的經(jīng)濟損失。實際上Web上針對金融機構(gòu)的攻擊一直是持續(xù)不斷，2015年隨著大數(shù)據(jù)、移動支付等技術(shù)的逐漸推廣，在線金融等網(wǎng)絡(luò)支付業(yè)務(wù)在安全方面遭遇到一些新的挑戰(zhàn)如何在管理、產(chǎn)品技術(shù)上進(jìn)行漏洞修復(fù)和積極防御成為當(dāng)前金融行業(yè)信息安全的重要特點。

網(wǎng)絡(luò)銀行惡意軟件數(shù)量在2014上半年持續(xù)穩(wěn)定增加，趨勢科技監(jiān)測結(jié)果顯示，截至到第三季度這些惡意程序的數(shù)量已經(jīng)達(dá)到了13.7萬個 Emmental行動這樣的復(fù)雜攻擊手法，證明了即使是銀行的雙重認(rèn)證機制也可能出現(xiàn)漏洞，而未來幾年之內(nèi)，跨平臺的網(wǎng)銀攻擊會更加頻繁。

一方面，網(wǎng)絡(luò)罪犯費盡心機布下各式騙局 博取用戶的信任，另一方面，網(wǎng)絡(luò)病毒這只無形的“黑手”也在其中助紂為虐，扮演著至關(guān)重要的角色。數(shù)據(jù)顯示，每天新興的惡意軟件樣本約31.5萬個。面對不斷滋生的網(wǎng)絡(luò)病毒與防不勝防的網(wǎng)絡(luò)騙局，互聯(lián)網(wǎng)用戶究竟應(yīng)該如何確保自身的在線金融安全？

網(wǎng)絡(luò)隱私更容易被侵犯

歲末年初，“12306”泄密事件給網(wǎng)絡(luò)隱私敲響了警鐘，雖然這次只有13萬人群受到影響 但是影響卻不可小視。根據(jù)專業(yè)安全公司的調(diào)查統(tǒng)計 目前廣泛存在用戶名密碼等個人信息加密不多 用戶安全顧念有待加強等問題，可以預(yù)見，隨著上網(wǎng)人群的增加，網(wǎng)絡(luò)隱私被侵犯的問題更普遍。

安全公司啟明星辰CTO潘柱廷表示 從防范措施上來講，主要有以下幾個方面需要注意。首先是基本的安全認(rèn)識，比如外面免費的WiFi盡量不要上，畢竟還是有危險，尤其不要做任何金融支付.其次，要守住自己的基本安全底線。每個人必須建立一個基本的安全底線，包括不要在網(wǎng)絡(luò)上隨便泄露自己和家人最重要的隱私。比如身份證號、姓名、學(xué)校等等這些都不是個人隱私，隱私信息是指身體健康、個人賬號密碼等等，這些盡量不要通過網(wǎng)絡(luò)手段透露；再次，就是不要害怕出現(xiàn)安全問題。在對網(wǎng)絡(luò)安全有了基本的了解之后.我們要降低自己對安全的期望值，有些東西可能都會到傳到網(wǎng)上去，個人要有心理承受力，要知道網(wǎng)絡(luò)環(huán)境是很復(fù)雜的，一個絕對很干凈的網(wǎng)絡(luò)環(huán)境是不存在的。

黑客攻擊手段增加

通過當(dāng)前一些網(wǎng)絡(luò)攻擊頻率數(shù)據(jù)的發(fā)展態(tài)勢判斷，未來每個月都將見到兩起或更多起大型資料外泄事件，而這些事件背后，正是那些神秘而強大的黑客工具。例如發(fā)展迅速的POS病毒家族，犯罪集團所采用的惡意軟件可以輕松入侵那些安裝了POS軟件的商家計算機，從而截獲每筆付款的信息。這種惡意軟件被用來取代以前在“ATM上安裝攝像頭”等物理方式來進(jìn)行的數(shù)據(jù)竊取。我們可以通過梳理目前一些主要的網(wǎng)絡(luò)攻擊方式了解到，2015年面臨的網(wǎng)絡(luò)環(huán)境是如何不具備安全性。

由于大多數(shù)的驅(qū)動硬件制造商不會采取任何措施保護(hù)其固件，且反惡意軟件解決方案也不會掃描驅(qū)動固件以檢查惡意行為，理論上這種攻擊可以將這種難以發(fā)現(xiàn)和難以制止的惡意軟件傳播到PC端，而同時也將會感染到連接該PC端的USB工具。幸運的是，目前這種類型的攻擊在現(xiàn)實中還沒有出現(xiàn)。

通過飛機上提供的Wi-Fi和空中娛樂系統(tǒng)“黑”進(jìn)飛機的衛(wèi)星通訊系統(tǒng)，機載Wi-Fi和空中娛樂系統(tǒng)為黑客打開了攻擊的大門，他們可以控制飛機的航線和安全系統(tǒng)。英國路透社指出，基于這種襲擊的概率和潛在危害最小化的心理，一些通訊設(shè)備制造商對于這種威脅的重視程度并不高。不過，一些通訊設(shè)備供應(yīng)商表示，他們已經(jīng)修復(fù)了上述曝光的漏洞。

家用網(wǎng)絡(luò)設(shè)備本身就是安全系數(shù)降低的一個源頭。In-Q-Tel的首席信息安全官Dan Geer以路由器為例，指出路由器是攻擊者們最容易攻擊的目標(biāo)。攻擊者們通過網(wǎng)上瀏覽很容易找到這些路由器，而在這些路由器上通常都保持著默認(rèn)登錄信息，而且大部分的用戶從來沒有想過要把他們的路由器升級到最新版本。

有關(guān)物聯(lián)網(wǎng)的漏洞已經(jīng)成為黑客討論的熱點問題，而目前內(nèi)置無線連接設(shè)備的安全問題以擴展到了更多設(shè)備和家用電器中?！拔铱梢杂眠@個工具鎖車、開車，或者打開汽車的后備箱。它可以輕而易舉地?fù)魯≈悄荑€匙的安全系統(tǒng)?！边@樣的觀點并不鮮見。