關(guān)于信息安全的幾點(diǎn)思考

摘 要：近年來，新興技術(shù)不斷發(fā)展與應(yīng)用，改變了傳統(tǒng)產(chǎn)業(yè)形態(tài)和人們的工作生活方式，隨著大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)在各行業(yè)領(lǐng)域發(fā)揮出重要作用，整個(gè)網(wǎng)絡(luò)中的詐騙和攻擊行為也隨之增加，對用戶隱私、基礎(chǔ)網(wǎng)絡(luò)環(huán)境的安全沖擊尤為突出，人們需要加強(qiáng)網(wǎng)絡(luò)安全防護(hù)意識(shí)，增加安全現(xiàn)狀分析并有所投入。

關(guān)鍵詞：信息安全;攻擊方式;隔離網(wǎng);安全環(huán)境建設(shè)

在5G驅(qū)動(dòng)萬物互聯(lián)的趨勢下，“數(shù)字化+”的應(yīng)用在各行各業(yè)遍地開花，包括大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)早已開始應(yīng)用到金融、交通、能源等領(lǐng)域;同時(shí)，借助光纖、衛(wèi)星等鏈路使以前通信距離遠(yuǎn)、覆蓋范圍大的期望變?yōu)楝F(xiàn)實(shí)。然而，這些技術(shù)手段的有效應(yīng)用，使得數(shù)據(jù)（信息）安全受到的威脅越發(fā)明顯，數(shù)據(jù)鏈路是否暢通和私有屬性是否完整，已成為信息使用中的重要隱患，尤其在重要關(guān)鍵領(lǐng)域，事關(guān)全局，一時(shí)疏忽可能全盤皆輸。

1 應(yīng)對信息安全威脅不再有“銀彈”

從計(jì)算機(jī)誕生之時(shí)一直延用至今的馮諾依曼體系結(jié)構(gòu)，由于缺少支撐安全防御的理念，加之由人設(shè)計(jì)的IT系統(tǒng)不能窮盡所有邏輯關(guān)系，勢必出現(xiàn)邏輯不全的隱憂，被人利用就會(huì)成為漏洞，引發(fā)風(fēng)險(xiǎn)。實(shí)際上從90年代開始，戰(zhàn)爭的形態(tài)已經(jīng)由自然空間擴(kuò)大至不易被人們感知的電磁空間，在各種數(shù)據(jù)安全威脅中，除了傳統(tǒng)攻擊方式（獲取口令、植入木馬、郵件攻擊、WWW欺騙、系統(tǒng)漏洞、賬號(hào)攻擊、偷取特權(quán)、單節(jié)點(diǎn)攻擊其他節(jié)點(diǎn)、網(wǎng)絡(luò)監(jiān)聽等）以外，更有青出于藍(lán)勝于藍(lán)的竊取、破壞手段，在此列舉九種非典型的手段：1）利用麥克風(fēng)監(jiān)聽手機(jī)屏幕內(nèi)容（超聲波追蹤技術(shù)）;2）利用聲音破壞機(jī)械硬盤;3）利用魚缸溫度計(jì)竊取賭場數(shù)據(jù)庫（室內(nèi)動(dòng)環(huán)系統(tǒng)漏洞）;4）利用電腦風(fēng)扇聲音竊取數(shù)據(jù)（適用于未裝聲音硬件的系統(tǒng)中，如服務(wù)器、打印機(jī)、工業(yè)控制系統(tǒng)）;5）通過電腦散熱竊取數(shù)據(jù)（使隔離網(wǎng)闡作用減弱）;6）發(fā)送傳真入侵內(nèi)網(wǎng)（利用通信協(xié)議漏洞入侵）;7）智能燈炮亮度泄漏數(shù)據(jù)（從遠(yuǎn)處分析智能亮度和色彩從而獲取數(shù)據(jù)）;8）利用聲音入侵控制智能設(shè)備（特定頻率聲波使設(shè)備內(nèi)傳感器產(chǎn)生共振，進(jìn)而獲取控制權(quán)）;9）利用加速度傳感器竊聽（利用移動(dòng)終端內(nèi)的加速度傳感器來采集揚(yáng)聲器所發(fā)出聲音的震動(dòng)信號(hào)，實(shí)現(xiàn)對用戶語音竊聽）。這些手段足以讓普通用戶應(yīng)接不暇，傳統(tǒng)的單一防護(hù)方法對此已無法應(yīng)對，需要采取更多的技術(shù)和措施來防范。

2 建立安全環(huán)境需要內(nèi)外兼修

在開放共享、多樣互聯(lián)的大背景下，各行各業(yè)每個(gè)用戶都難能獨(dú)善其身。網(wǎng)絡(luò)背后黑手眾多，或?yàn)槊?，或?yàn)榍终迹麄冴P(guān)系盤根錯(cuò)節(jié)，產(chǎn)生的威脅如同細(xì)菌一樣無處不在，其攻擊行為往往少數(shù)是隨機(jī)的，多數(shù)是有針對性預(yù)謀的。全球有相當(dāng)多的政府已經(jīng)認(rèn)識(shí)到網(wǎng)絡(luò)安全的緊迫性并采取了應(yīng)對措施，如新加坡政府關(guān)于網(wǎng)絡(luò)安全戰(zhàn)略的四大支柱。從國內(nèi)上層設(shè)計(jì)來看，習(xí)主席明確了“沒有網(wǎng)絡(luò)安全就沒有國家安全”的指示，全國人大也頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，這些都起到很好的指導(dǎo)和支撐作用。但維護(hù)權(quán)益不能僅紙上談兵，這需要政府-企業(yè)-個(gè)人共同合作，轉(zhuǎn)化一切可利用資源，就像搜集社會(huì)面情報(bào)一樣，除了抵達(dá)現(xiàn)場獲取以外，最多的就是通過網(wǎng)絡(luò)（包括不太靠譜的朋友圈），對待網(wǎng)絡(luò)的威脅也應(yīng)該如此。首先利用數(shù)據(jù)挖掘建立網(wǎng)絡(luò)安全預(yù)警分析并報(bào)告到統(tǒng)一的或公認(rèn)的平臺(tái)上。不管是在哪里發(fā)生何種威脅危害，即使是個(gè)別的、小范圍的事件，都要盡可能展現(xiàn)。把這些零星的碎片化的信息共享出來之后每個(gè)用戶都能去參考和研判，發(fā)揮群眾智慧和力量，達(dá)到全網(wǎng)皆兵的效果;其次，要對網(wǎng)絡(luò)不法行為有所察覺。因每個(gè)行業(yè)都有自己的特點(diǎn)和要求，在本行業(yè)內(nèi)甚至本部門內(nèi)應(yīng)建立一套行為判斷模型，通過人工智能的機(jī)器學(xué)習(xí)技術(shù)對網(wǎng)內(nèi)行為是否非法或有害作出利弊判斷，包括對通過密碼技術(shù)而進(jìn)行的授權(quán)行為的驗(yàn)證，替代人工來完成不可能達(dá)到的速度;最后，要形成閉環(huán)。即發(fā)現(xiàn)威脅-消除威脅-驗(yàn)證效果，利用一切已知手段和威脅來審視現(xiàn)有防御措施，進(jìn)行攻防推演，及時(shí)查找漏洞并改善，不斷讓系統(tǒng)日趨完善，最好達(dá)到攻擊者進(jìn)不去、非授權(quán)者重要信息得不到、竊取的保密信息看不懂、系統(tǒng)癱不成、數(shù)據(jù)改不了、攻擊行為賴不掉的效果。

在信息化時(shí)代，新興技術(shù)應(yīng)用帶來了更高復(fù)雜度和更強(qiáng)聯(lián)通性，也讓網(wǎng)絡(luò)安全環(huán)境面臨更多挑戰(zhàn)，作為信息安全從業(yè)者既不能因噎廢食，也不要任人宰割，唯有做好每個(gè)個(gè)體防護(hù)，全員響應(yīng)，才會(huì)起到封控效果，否則，一旦中招全家緊張，耗費(fèi)人力物力求醫(yī)問藥是小，沒能治好則后悔莫及。因此平時(shí)多磨煉，增強(qiáng)自身免疫，主動(dòng)投向安全建設(shè)，做到防患于未燃和拒敵于千里之外才是上上策。

參考文獻(xiàn)

[1]https：//baijiahao.baidu.com/s？id=1662094109059224160

[2]網(wǎng)絡(luò)安全無小事：那些意想不到的黑客攻擊方式 《戰(zhàn)略前沿技術(shù)》2018.9.3

作者簡介

成陽（1982-），男，漢族，江蘇連云港，天津武警指揮學(xué)院作戰(zhàn)指揮系，碩士學(xué)位，助教，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)。