编者按
2014年结束的钟声即将敲响,信息安全领域却又传来警报。这一次,是号称“全球最忙”的12306网站。12月25日,第三方漏洞报告平台乌云爆出12306网站现用户数据泄露漏洞。大量12306用户数据在互联网遭疯传,包括用户账号、明文密码、身份证、邮箱等。该事件引发了用户的广泛关注,漏洞也紧急提交至国家互联网应急中心处理。
人们对于信息安全的密切关注始于2013年由美国人斯诺登曝光“棱镜计划”。这一事件引发了人们对互联网高度发达时代信息泄露的恐慌。与此同时,随着互联网技术的进一步发展,信息安全领域爆发了许多值得关注的事件,许多与信息安全密切相关的新领域也迎来了新挑战。
下面来看看2014年这一年中有哪些热门的信息安全事件及热词值得了解,专家们又是如何解读的。
2014信息安全“关键词”
关键词 后XP时代
◎代表事件 微软停止XP支持
2014年4月8日起,微软正式停止了对Windows XP操作系统的技术支持,这意味着此后XP操作系统出现任何漏洞,微软不会再提供任何系统更新修补漏洞。一旦系统出现漏洞且没能及时修补,可能会引发安全隐患,如电脑感染木马程序、电脑病毒或遭遇黑客的入侵。
作为微软历史上最为成功的操作系统,XP操作系统至今在全球仍有近30%的市场份额,而在中国,使用XP系统的用户比例更是高达70%,用户总量超过2亿。
◎专家观点
中国工程院院士沈昌祥:
掌控操作系统主动权是关键
2006年,微软推出了VISTA操作系统,这个系统会使用户电脑被微软高度掌控。我向国家建议不要采购VISTA,到现在为止,国家也没有采购。如果继续使用XP系统,显然会有很多安全问题;如果不使用,就需要采购WIN8系统,每一台电脑要花1000元左右,2亿台是多少钱?更重要的不是钱,而是微软加强了后续系统的信息安全根本控制权。我们如果采购WIN8,将会丧失安全控制权。
微软停止XP支持,这对我们而言不仅是挑战,更是机遇,对现有的操作系统,我们可以加固、替代,更可以借此机会,打造自主的操作系统品牌。我们通过协同攻关,到2020年完全可以形成自主的智能操作系统,包括PC终端、手机、嵌入式的操作系统,规模地打造出成熟的一两款主流国产操作系统,实现替代。
关键词 物联网及智能汽车安全
◎代表事件 特斯拉程序漏洞
7月,国内互联网安全厂商360宣布,发现特斯拉汽车应用程序流程存在设计缺陷,可能被攻击者利用。攻击者利用该漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯等操作,并且能够在车辆行驶中开启天窗。而在此前,已经有国外媒体报道过有黑客利用特斯拉的6位数密码实现对汽车的远程操控。
在汽车智能化的发展趋势下,已经有不少汽车厂商着手将信息技术整合入汽车的驾驶系统中,当以获取利益作为支撑点,入侵智能汽车系统可能成为黑客的下一个目标。多数业内人士都认为,车联网产业要想健康发展,就必须解决智能汽车的安全问题。
◎专家观点
360网络安防技术顾问刘健皓:
智能汽车安全应未雨绸缪
汽车安全风险分三类,第一类是接触式,对车进行改造或者破坏;第二类是非接触式,通过无线射频和车联网的应用反向控制车辆,造成车辆丧失控制;第三类是后装市场产品的漏洞,比如,一辆车本身很安全,没有对外发射射频信号或交互也很安全,但是接了OBD盒子,这个盒子自身存在的问题造成安全风险。
到2017年,将有60%的新车会连接到互联网,在今年的DefCon黑客大会上发布了两个远程攻击汽车的方法,未来一两年内,智能汽车安全势必会被推到风口浪尖上。
智能交通行业发展迅猛,大家应该居安思危,对汽车的基本控制功能、固有信息、状态信息、用户信息、软件和内容以及设置信息进行保护,厂商也要对智能汽车全生命周期进行安全管理。
黑客团队Keen Team成员吕一平:
物联网信息安全要做到三步
物联网跟移动终端非常类似,会产生很多同类型的安全问题。比如,在云存储、移动APP、智能硬件设备等方面。应对物联网信息安全的挑战,第一是改变安全观念。安全行业要成为科技发展的推动力而不是阻力,只有解决安全问题才能应用更多新技术;第二是加强硬件设备安全性,厂商要将安全视为物联网硬件设备产品质量的重要部分;第三是安全问题的动态改进。因为安全问题是动态发现、动态改进的过程,这需要安全研究企业和厂商有效沟通和合作。
关键词 国家网络安全
◎代表事件 全球根域名服务器DNS出现故障
1月21日,国内通用顶级域的根服务器忽然出现异常,导致众多知名网站出现DNS解析故障,用户无法正常访问。虽然国内访问根服务器很快恢复,但由于DNS缓存问题,部分地区用户“断网”现象仍将持续数个小时,至少有2/3的国内网站受到影响。今年全国“两会”期间,网络安全又首次列入政府工作报告,上升到国家战略层次。
◎专家观点
工业和信息化部部长苗圩:
保障国家网络安全要做到五点
网络与信息安全问题日益突出,复杂性、危害性进一步显现,已成为事关国家政治安全、经济安全、社会安全、文化安全和国防安全的重大问题。就信息化发展和网络安全工作提出五点要求:一是要着力加强网络基础设施建设;二是要加快新一代信息通信技术开发和推广应用;三是要大力推进信息化和工业化深度融合;四是要进一步加强和改进互联网行业管理;五是要把增强网络信息安全保障能力摆在更加突出位置。
工业和信息化部电子信息司副司长安筱鹏:
要重视信息产业在国家安全中的作用
“棱镜门”事件后,各国高度重视信息产业在国家安全中的重要作用,综合运用经济、政治、外交等各方面的手段和资源,强化产业自主研发和产业化能力。一方面,美国出于国家安全因素对我国通信设备产业的制裁,在未来一段时间还将成为各国压制我国电子信息领域发展的主要手段,这意味着我国已具备国际竞争力的电子信息产业将面临着信息安全因素的壁垒。另一方面,信息安全形势日益严峻也要求我国尽快摆脱长期以来在上游关键材料和重要设备领域受制于美日欧的现象,快速提升较为薄弱的电子基础产业的核心竞争力,建立和完善自主可控的信息产业体系。
关键词 互联网金融安全
◎代表事件 支付宝信息泄露,携程支付陷安全门
2014年是互联网金融崛起的一年,BAT等互联网大佬们一系列针对金融行业的渗透和布局,使得国内金融市场发生了深刻的变化。
但是,互联网金融的信息安全问题不断曝光。1月,支付宝前技术员工涉嫌将多达20G的用户数据非法贩卖他人事件,引起广泛关注。2月17日,乌云漏洞报告平台又发布两条消息称淘宝爆出重大安全漏洞,黑客通过搜索引擎,无需密码即可登录淘宝用户账号,直接获取用户的账户余额、交易记录、收货地址、姓名、手机号码等敏感隐私信息。3月,携程爆发“安全门”事件,携程网安全支付日志存在漏洞,导致大量用户银行卡信息泄露,引发一场“换卡潮”。
无独有偶,1月10日,美国零售巨头塔吉特表示,在该集团发生的数据库失窃事件中,有7000万顾客的付款卡和个人信息被盗取。
◎专家观点
美亚柏科总经理滕达:
互联网金融发展安全是前提
互联网金融要想长期发展,安全性是前提。从技术角度讲,不出现安全漏洞是不可能的,关键在于企业是否能够及时发现漏洞并堵上。因此,建议相关企业可以采用多重验证手段加强安全防范。
未来移动互联网金融的安全性也将成为热点。手机的计算能力不如电脑,不能达到电脑的安全级别,再加上移动互联网上的通讯录等信息都是实名的,更容易成为恶意软件的攻击目标。从这个角度看,移动互联网的安全形势更为严峻。