2023年信息安全生态系统亟待建立

2023年信息安全生态系统亟待建立交换信息、玩游戏、收看视频、发表微博、购物、工作、进行业务往来……或通过固网，或借助移动终端，信息技术应用已经渗透到人们生活的每一个角落。中国互联网络信息中心今年1月发布的《第29次中国互联网发展状况报告》显示，截止到2023年底，中国网民已经达到5.13亿，普及率达到38.3%。

信息化给工作和生活带来便利的同时，也使信息安全环境变得更加复杂。3月22日至23日，由中国计算机学会计算机安全专业委员会与微软公司共同主办的“2023信息安全论坛暨科技展”在北京举行。来自政府、企业和研究机构的安全专家，共同就当前信息安全的新形势、新挑战、新对策，进行了深入探讨。

安全边界正变得模糊

当前，虚拟化、云计算、移动互联网应用的快速发展正在改变IT环境，并且带来了更为复杂的安全威胁，政府、企业、个人的信息泄露风险逐年升级。

“随着信息化的普及，信息安全的需求，无论是在其存在的广度还是技术对抗的深度上，都已经达到了空前的水平。从全球网际空间安全，到国家网络基础设施安全，再到每一个企业团体的安全与发展；从社会的和谐稳定，到家庭的财产安全，再到个人隐私的保护。这些几乎都和信息安全保护密不可分。”中国计算机学会计算机安全专业委员会常务副主任严明表示，“信息安全已经涵盖国际安全、国家安全、社会与团体安全，并且深入到家庭与个人安全等各个领域。”

“根据NetApplications的数据，现在中国约有24%的互联网用户在使用IE6浏览器，占全球IE6浏览器用户的一半以上。此外，这些用户的计算机大多在运行WindowsXP或更早的平台。而WindowsXPServicePack3感染恶意软件的可能性比Windows7高6倍。”微软公司可信赖计算部门总经理JohnLambert在演讲中指出：“中国的软件开发人员迫切需要使用能够实现深度防御的安全缓解技术。”

2023年年底的大规模网络用户信息泄露事件至今让人心有余悸。尽管CSDN用户信息泄露的始作俑者已经落入法网，但这很难让我们稍感轻松，因为2023年的信息安全形势依然严峻。国家互联网应急中心（CNCERT）发布的《CNCERT互联网安全威胁报告》显示，2023年1月，我国境内感染网络病毒的终端数约为617万个。其中，境内感染飞客蠕虫病毒的主机IP约为448万个；被木马或僵尸程序控制的主机IP约为169万个，不仅没有减少，而且环比增长22%。

随着移动互联网的发展，针对智能终端各种应用的威胁正在上升，信息安全的边界正变得越来越模糊。根据CNCERT的统计，2023年，CNCERT共捕获移动互联网恶意程序6249个，比2023年增加超过两倍。其中，针对Android平台的恶意程序数量与2023年相比大幅增加，有超过塞班平台的趋势。2023年，我国约有712万个上网的智能手机曾感染手机恶意程序，严重威胁和损害了手机用户的权益。

与PC相比，手机等移动终端与用户的关联程度更高，平台架构和系统异构分化，并具有高度开放性。因此，移动终端的产业链分工更为复杂，安全防护方案尚不成熟。《华尔街日报》的调查显示，苹果AppStore中的大量应用软件存在搜集用户隐私的行为，56%的应用软件向应用开发者回传UUID（UniversallyUniqueIdentifier，通用唯一识别码），47%的应用软件向应用开发者回传用户位置，5%的应用软件回传个人数据。用户的个人信息几乎是在互联网上“裸奔”。

“移动场景下，隐私威胁在源头、目的、方式方面均呈现分散化趋势，更大的威胁从主观的直接威胁过渡到各种间接风险。”哈尔滨安全科技股份有限公司首席技术架构师肖新光在论坛上表示，“应用软件免费下载模式日益流行，隐私的价值链已经完全凸显，并形成了产业链，用户权益正在逐渐被侵蚀。”

“我国网络安全形势严峻，各种类型的安全威胁有增无减，系统脆弱性难以在短期内有效解决，安全企业自主创新能力亟待提高。”公安部网络安全保卫局副局长赵林认为，在这种情况下，贯彻落实信息安全等级保护制度具有重要意义，它要求“信息系统运营单位在使用信息安全产品时，应慎重考虑信息安全产品的安全风险，避免因安全产品对重要系统安全稳定运营带来新的风险隐患”。

信息安全需全方位防护

十年前，微软提出可信赖计算，强调从软件开发阶段就将安全视为重中之重，建立安全威胁模型，并且将安全防护应对措施加入到软件开发的每个环节中，旨在为所有计算机用户提供安全的、隐私得到保障的、可靠的计算体验。此后，微软建立了安全开发生命周期（SecurityDevelopmentLifecycle，SDL）的开发方法，并在全球进行推广。

在论坛现场，JohnLambert向开发者分享了SDL开发方法中的四个安全开发工具：增强的缓解体验工具包（EMET）能够帮助用户缓解像零日威胁这类没有安全更新的威胁；攻击面分析器（AttackSurfaceAnalyzer）可以在安装产品前后获取系统状态的快照，显示对Windows攻击面若干关键因素的更改；威胁建模工具（ThreatModelingTool）能帮助工程师分析系统威胁，在软件开发生命周期的早期发现并解决设计问题；BinScope工具可以用来验证是否正确使用了安全缓解技术，如ASLR或DEP。JohnLambert称，这些工具免费向开发者提供，包括淘宝网、奇虎360公司在内的很多中国公司都已经拥有成功利用这些工具的经验。

SDL可以有效降低软件开发过程中的安全威胁。除此之外，微软通过更早地发现软件安全漏洞、开发软件的环节技术和持续地监控面临的威胁和漏洞等途径，以期为用户提供可信赖的计算环境。

微软力图在产品生命周期全过程中保护其客户信息安全。然而，IT系统中的任何一个薄弱环节都可能带来风险，仅仅靠某一家企业的努力远远不够。面对严峻的信息安全形势，我们不得不重新思考安全防护体系的建设思路。

国家信息中心电子政务外网管理中心网络安全部副主任、电子认证办公室副主任李新友分享了他在终端安全防护方面的经验和体会。他援引澳大利亚终端安全防护策略的成功案例称，澳大利亚国防部信号局2023年7月发布了包含35条策略的《网络安全防范策略清单》。其中，85%的安全策略与终端安全相关。前四项策略为应用软件配置、操作系统配置、管理权限配置和软件白名单配置。据澳大利亚官方统计，仅这四项配置，2023年至少可以抵挡70%的网络入侵事件，2023年至少可以抵挡85%的网络入侵事件。因此，李新友认为：“终端安全配置对于使终端设备免遭威胁具有重要的意义。终端安全配置包括硬件安全配置、软件安全配置和核心安全配置三部分。只有对这三部分都进行完善的配置，才能有效对恶意攻击进行拦截。”

此外，从产业的层面看，近两年，IT巨头收购安全厂商的案例屡屡发生，例如英特尔收购McAfee、惠普收购Ar