“互联网”形势下的安全与风险分析

“互联网+”形势下的安全与风险分析“互联网+”形势下的平安与风险分析互联网企业是网络空间的市场主体，也是网络平安与治理的重要参加方。尤其是互联网平安企业担当着保卫平安、爱护网民、企业甚至整个社会平安等系列的任务和使命。如何把握“互联网+”时代的平安风险，如CPS（信息物理融合系统）、云计算、大数据、智能硬件、无线通信等技术与应用上的风险和应对策略，需要有责任的互联网平安企业给出行之有效的答案。

一“互联网+”与网络强国战略

1.“互联网+”将是我国网络强国战略的着力点之一

“互联网+”战略是全国人大代表、腾讯董事会主席兼CEO马化腾今年向人大提出的四个建议之一，李克强总理提出制定“互联网+”行动方案，让“互联网+”这个词汇立刻红遍大江南北。马化腾解释说，“互联网+”战略就是利用互联网的平台，利用信息通信技术，把互联网和包括传统行业在内的各行各业结合起来，在新的领域制造一种新的生态。简洁地说就是“互联网+XX传统行业=互联网XX行业”，虽然实际的效果绝不是简洁的相加。今日我们已经看到互联网金融对传统金融业的冲击，“专车”对出租车行业的冲击，微信对移动通信运营商的冲击，在线旅游行业对传统旅游行业的冲击，很快会看到“互联网医疗”对传统医疗行业的冲击，“互联网训练”对传统训练系统的冲击，互联网对农业的改造也已经看到端倪。每次的产业升级都是一次机会，伴随一些国家、产业、企业的兴起，凭借浩大的互联网人口基数、在世界范围内有竞争力的互联网公司、发达的传统制造业，中国无疑已经走在了这次产业升级的最前列，面对的是百年一遇的进展机遇。因此说，“互联网+”将会是我国网络强国战略的着力点之一，将为我国技术和产业创新的带来更多机遇，将对国家经济进展产生巨大影响。

2.“互联网+”两大支点：互联网IT技术、互联网思维

“互联网+”有两大支点，一是互联网IT技术，二是互联网思维。前者解决产业升级换代的技术可行性问题，后者解决产业升级换代的价值链条重塑、产业链条重整问题。互联网IT技术包括、但不限于云计算、大数据等技术，其特点是采纳廉价的硬件、开源的软件构建出高性价比、可伸缩、牢靠性可以满意某种应用场景需求的IT解决方案。以“专车”为例，过去出租车行业要建筑一个用户叫车的服务系统，需要给每台出租车配置一套带GPS和无线通信系统的车台，再开发一套基于商用操作系统、数据库的指挥调度系统，投资较多，建设周期较长，若干城市都尝试过，但效果都不太好。而如今的“专车”服务，依靠司机和乘客的手机做定位、利用手机上软件和司机、乘客通信，用廉价的PC服务器和开源软件搭建服务撮合系统，通过给乘客带来便利，给司机带来更高收入做为利益点来撬动市场，短时间内就对传统出租车行业产生了巨大冲击，虽然在法律法规上还存在争议，但从用户体验上超过传统出租车、代表生产力的进步已是不争的事实。

二“互联网+”平安与风险的特别性

互联网IT技术所面临的平安风险，“互联网+”也都将面对，并且由于互联网IT技术与传统产业结合过程中产生了许多新的结合点，这些结合点上还可能会面临新的平安风险。

1.信息世界与物理世界融合所带来的平安风险

德国政府所提出来的“工业4.0”中提到，工业4.0的进展的三个阶段是纵向集成——传统工厂边界内发生的技术革新，端到端集成——对供应链的集成，和横向集成——跨越多条价值链的横向集成。“传统工厂边界内发生的技术革新”会是大量机器人的应用、生产的高度自动化、真正的CPS（CyberPhysicalSystem，信息物理融合系统），这也意味着信息系统的平安威逼可能会变成物理上的威逼：工厂中的3D打印系统是否会被攻击从而打印一支自动步枪出来？“对供应链的集成”是否意味着网络攻击可以随着供应链传播到上下游的厂商？即使单纯看工业掌握系统的平安，由于当时设计的时候对网络攻击威逼的考虑甚

少，工业掌握系统对抗网络攻击的防护力量还比较差，工业掌握系统使用的周期又相对比较长、更新成本很高，工业掌握系统平安的防护基本还处于“攻击检测”阶段，所谓“工控防火墙”，没有几个人敢开防护功能。

2.云计算系统的平安风险

云计算按需付费、快速伸缩的特性使得云计算成为“互联网+”的助推剂，但云计算实际上扩大了系统的攻击面，带来了新的平安威逼，比如VMM系统、云计算管理系统都是新的、可能会被攻击的“攻击面”，这些新引入的系统的脆弱性也会给采纳云计算架构的业务系统带来平安威逼；由于资源共享所带来的多租户平安问题也是传统IT框架中所没有的；云服务商这个新的角色也可能会带来新的风险：云服务商是否会恪守职业操守不窃取客户的数据？云服务商的工作人员是否会被收买而做违规操作？云计算的用户是否有力量监督、审计云计算服务商在平安上的SLA？由于云计算系统会成为“互联网+”的基础IT架构，云计算系统消失严峻的平安问题就会影响到多个行业，其影响类似于现阶段微软操作系统消失严峻平安漏洞的情景。

3.智能硬件的平安风险

智能硬件会是“互联网+”战略的物理载体之一，小到随身佩戴的智能手环、戒指，大到会上网的冰箱、空气净化器、能自动驾驶的汽车，具备肯定数据存储、计算力量，能连网上传数据以及接受云控指令的智能硬件将会无处不在，对这些智能硬件的破解也开头成为平安讨论圈的热门话题，智能硬件制造商通过将传统的传感组件、掌握组件、应用组件等智能模块，合理的组合到一起，并且通过网络传输进行掌握，开发出来现代人所使用的物联网模式的智能硬件。这些硬件通过采集人们生活当中的环境参数、掌握参数、行为参数结合大数据分析、人工智能机器学习等先进性技术，从而可以提高使用者的生活环境，给用户带来更完善的生活体验。但智能硬件设计制造商对于平安方面重视程度很不够，直到今年年初某著

名品牌网络摄像头被爆出严峻漏洞并被某重点行业客户通报之后，才开头重视智能硬件的平安问题。智能硬件的平安风险集中在如下方面：弱密码、后门、固件（Firmware）缺乏防分析／防篡改机制、管理系统平安漏洞、通信协议漏洞、数据存储系统漏洞、被利用做为反射攻击、劫持攻击、篡改攻击，以及电路设计上的调试引角未混淆或隐蔽、调试功能被绕过提权等。目前智能硬件的平安现状是：绝大多数智能硬件都能在某种程度上被破解。

4.无线通信网络的平安风险

万物互联基本是靠无线通信网络互联，从WiFi、蓝牙、ZigBee到射频通信，无线通信网络本身也可以成为被攻击对象，比如伪造WiFi热点做中间人攻击，假如通信协议没有加密，或者没有对证书的真伪做鉴定，就可能造成通信内容失密。又比如对射频通信内容做破解后，进行重放攻击，导致依靠这些射频通信的门禁及其他民用掌握系统运转特别甚至导致非授权访问。如今新建筑的自动化工程，机器人之间的通信已经依靠无线通信，无线通信网络的平安直接影响将来工厂的生产平安；在智能家居系统中无线通信网络的平安关系到客户隐私信息的平安。

5.大数据的平安风险

大数据方法已然成为一把通用的榔头，在互联网金融、电商、互联网平安等领域已经发挥出巨大作用，在“互联网+”的诸多产业升级改造中也必定是利器之一，但大数据背后的用户隐私权爱护问题则是一颗不定时炸弹，中国的隐私权立法还不是很完善，但隐私爱护越来越受重视是共识，大数据的合法猎取、妥当保存、合法转让、平安销毁是“互联网+”中需要提前规划。

三“互联网+”平安与风险应对之道

在用互联网的技术手段、互联网的思维方式改造传统的产业的“互联网+”时代，解决“互联网+”的平安问题，同样也要靠互联网技术与互联网思维：

1.平安众包当一己之力不足以解决平安问题的时候，就号召大家一起来帮自己解决问题。国内已经涌现出来如360补天、乌云、威客众测、SoBug等平安众测平台，依靠国内外网络平安白帽黑客的力气来发觉各系统的平安漏洞，可以预见的将来，平安漏洞的修复也将会采纳众包方式进行。

2.信息平安的纵向集成、端到端集成与横向集成当传统平安企业与互联网平安企业都熟悉到靠一己之力无法100%保证客户平安的现实的时候，端到端集成与横向集成就会开头，整个平安行业会走向分工合作，联合防备。在平安漏洞信息方面也会形成更紧密的预共享机制，特殊在基础网络设备、虚拟化技术、中间件等基础平台技术领域里，供应商会与互联网企业、上层服务供应商形成更紧密的内部平安信息沟通，抵挡共同的外部威逼。

3.假设被攻破信息平安领域不存在银弹，再严密的防线也有可能被攻破，“假设被攻破”就是防备策略之一，如何尽早发觉自己已被攻破、如何阻断攻击的集中、如何回放攻击过程、如何溯源、如何评估损失、如何改进防备系统，犹如运作胜利的互联网业务的特点，快速的反应和应对将会是从网络平安攻击中生存下来的必要条件。

4.平安即服务“互联网+”将带来多个产业的快速互联网化，会遇到信息平安人才供应严峻不足的状况，解决之道在于信息平安的“服务化”、“云化”，通过提高资源的复用率解决专业的平安人员数量上的不足、用户的信息平安防备成本高的冲突，并且有可能供应更加精确     、快速的平安应急响应。

5.外部威逼情报即使讨论局部网络平安威逼，也要站在整个互联网的角度去讨论，外部威逼情报能让平安人员既见树木，也见森林，对提高对威逼的推断速度、精确     程度特别有关心，本单位信息采集＋云端威逼判定＋外部威逼情报＋平安云服务将会是将来企业信息平安的标准配置。

四“互联网+”平安策略初探

作为国家重大战略，“互联网+”中的平安策略就显得特别重要。

1.自主与可控“互联网+”的互联网IT技术中大量采纳开源技术，这部分的技术虽不完全自主，但是可控的，在这里可控就已足够。但智能硬件、工业自动化、工业掌握领域，我们还有大量的元器件、系统要依靠进口，既不自主也不行控，对这些器件、组件建立平安审查机制、市场准入机制就特别重要。

2.合规“互联网+”必定带来各传统产业信息化水平提高，推行信息平安的合规很有意义：合规不能保证不出平安事故，但把基本的信息平安防备工作做好，有利于削减信息平安事故的发生。

3.政府与信息平安企业的通力合作信息平安问题的解决单靠政府或单靠企业都已经没有可能性，需要的是政府与企业的通力合作来解决问题。五国际社会相关策略与举措借鉴重金嘉奖白帽子：微软的平安嘉奖方案中新增了云计算平安的嘉奖方案，发觉Hyper-V和Azure漏洞者，最高可获得15万美元的嘉奖——这个嘉奖额度与发觉绕过微软客户端软件平安防备措施的漏洞的最高奖金额度一样，云计算平安的重要性可见一斑。

公私部门合作：在2