“互联网+”形势下的安全与风险分析

1、“互联网+”形势下的安全与风险分析互联网企业是网络空间的市场主体，也是网络安全与治理的重要参与方。尤其是互联网安全企业承担着保卫安全、保护网民、企业甚至整个社会安全等系列的任务和使命。如何把握“互联网+”时代的安全风险，如CPS（信息物理融合系统）、云计算、大数据、智能硬件、无线通信等技术与应用上的风险和应对策略，需要有责任的互联网安全企业给出行之有效的答案。一“互联网+”与网络强国战略1.“互联网+”将是我国网络强国战略的着力点之一“互联网+”战略是全国人大代表、腾讯董事会主席兼CEO马化腾今年向人大提出的四个建议之一，李克强总理提出制定“互联网+”行动计划，让“互联网+”这个词汇顿时红遍大

2、江南北。马化腾解释说，“互联网+”战略就是利用互联网的平台，利用信息通信技术，把互联网和包括传统行业在内的各行各业结合起来，在新的领域创造一种新的生态。简单地说就是“互联网+XX传统行业=互联网XX行业”，虽然实际的效果绝不是简单的相加。今天我们已经看到互联网金融对传统金融业的冲击，“专车”对出租车行业的冲击，微信对移动通信运营商的冲击，在线旅游行业对传统旅游行业的冲击，很快会看到“互联网医疗”对传统医疗行业的冲击，“互联网教育”对传统教育系统的冲击，互联网对农业的改造也已经看到端倪。每次的产业升级都是一次机会，伴随一些国家、产业、企业的兴起，凭借庞大的互联网人口基数、在世界范围内有竞争力的互

3、联网公司、发达的传统制造业，中国无疑已经走在了这次产业升级的最前列，面对的是百年一遇的发展机遇。因此说，“互联网+”将会是我国网络强国战略的着力点之一，将为我国技术和产业创新的带来更多机遇，将对国家经济发展产生巨大影响。2.“互联网+”两大支点：互联网IT技术、互联网思维“互联网+”有两大支点，一是互联网IT技术，二是互联网思维。前者解决产业升级换代的技术可行性问题，后者解决产业升级换代的价值链条重塑、产业链条重整问题。互联网IT技术包括、但不限于云计算、大数据等技术，其特点是采用廉价的硬件、开源的软件构建出高性价比、可伸缩、可靠性可以满足某种应用场景需求的IT解决方案。以“专车”为例，过去出

4、租车行业要建造一个用户叫车的服务系统，需要给每台出租车配置一套带GPS和无线通信系统的车台，再开发一套基于商用操作系统、数据库的指挥调度系统，投资较多，建设周期较长，若干城市都尝试过，但效果都不太好。而如今的“专车”服务，依靠司机和乘客的手机做定位、利用手机上软件和司机、乘客通信，用廉价的PC服务器和开源软件搭建服务撮合系统，通过给乘客带来便利，给司机带来更高收入做为利益点来撬动市场，短时间内就对传统出租车行业产生了巨大冲击，虽然在法律法规上还存在争议，但从用户体验上超过传统出租车、代表生产力的进步已是不争的事实。二“互联网+”安全与风险的特殊性互联网IT技术所面临的安全风险，“互联网+”也都

5、将面对，并且因为互联网IT技术与传统产业结合过程中产生了很多新的结合点，这些结合点上还可能会面临新的安全风险。1.信息世界与物理世界融合所带来的安全风险德国政府所提出来的“工业4.0”中提到，工业4.0的发展的三个阶段是纵向集成传统工厂边界内发生的技术革新，端到端集成对供应链的集成，和横向集成跨越多条价值链的横向集成。“传统工厂边界内发生的技术革新”会是大量机器人的应用、生产的高度自动化、真正的CPS（Cyber Physical System，信息物理融合系统），这也意味着信息系统的安全威胁可能会变成物理上的威胁：工厂中的3D打印系统是否会被攻击从而打印一支自动步枪出来？“对供应链的集成”是

6、否意味着网络攻击可以随着供应链传播到上下游的厂商？即使单纯看工业控制系统的安全，由于当初设计的时候对网络攻击威胁的考虑甚少，工业控制系统对抗网络攻击的防护能力还比较差，工业控制系统使用的周期又相对比较长、更新成本很高，工业控制系统安全的防护基本还处于“攻击检测”阶段，所谓“工控防火墙”，没有几个人敢开防护功能。2.云计算系统的安全风险云计算按需付费、快速伸缩的特性使得云计算成为“互联网+”的助推剂，但云计算实际上扩大了系统的攻击面，带来了新的安全威胁，比如VMM系统、云计算管理系统都是新的、可能会被攻击的“攻击面”，这些新引入的系统的脆弱性也会给采用云计算架构的业务系统带来安全威胁；由于资源共

7、享所带来的多租户安全问题也是传统IT框架中所没有的；云服务商这个新的角色也可能会带来新的风险：云服务商是否会恪守职业操守不窃取客户的数据？云服务商的工作人员是否会被收买而做违规操作？云计算的用户是否有能力监督、审计云计算服务商在安全上的SLA？因为云计算系统会成为“互联网+”的基础IT架构，云计算系统出现严重的安全问题就会影响到多个行业，其影响类似于现阶段微软操作系统出现严重安全漏洞的情景。3.智能硬件的安全风险智能硬件会是“互联网+”战略的物理载体之一，小到随身佩戴的智能手环、戒指，大到会上网的冰箱、空气净化器、能自动驾驶的汽车，具备一定数据存储、计算能力，能连网上传数据以及接受云控指令的智

8、能硬件将会无处不在，对这些智能硬件的破解也开始成为安全研究圈的热门话题，智能硬件制造商通过将传统的传感组件、控制组件、应用组件等智能模块，合理的组合到一起，并且通过网络传输进行控制，开发出来现代人所使用的物联网模式的智能硬件。这些硬件通过采集人们生活当中的环境参数、控制参数、行为参数结合大数据分析、人工智能机器学习等先进性技术，从而可以提高使用者的生活环境，给用户带来更完美的生活体验。但智能硬件设计制造商对于安全方面重视程度很不够，直到今年年初某著名品牌网络摄像头被爆出严重漏洞并被某重点行业客户通报之后，才开始重视智能硬件的安全问题。智能硬件的安全风险集中在如下方面：弱密码、后门、固件（Fir

9、mware）缺乏防分析防篡改机制、管理系统安全漏洞、通信协议漏洞、数据存储系统漏洞、被利用做为反射攻击、劫持攻击、篡改攻击，以及电路设计上的调试引角未混淆或隐藏、调试功能被绕过提权等。目前智能硬件的安全现状是：绝大多数智能硬件都能在某种程度上被破解。4.无线通信网络的安全风险万物互联基本是靠无线通信网络互联，从WiFi、蓝牙、ZigBee到射频通信，无线通信网络本身也可以成为被攻击对象，比如伪造WiFi热点做中间人攻击，如果通信协议没有加密，或者没有对证书的真伪做鉴定，就可能造成通信内容失密。又比如对射频通信内容做破解后，进行重放攻击，导致依赖这些射频通信的门禁及其他民用控制系统运转异常甚至导

10、致非授权访问。如今新建造的自动化工程，机器人之间的通信已经依靠无线通信，无线通信网络的安全直接影响未来工厂的生产安全；在智能家居系统中无线通信网络的安全关系到客户隐私信息的安全。5.大数据的安全风险大数据方法已然成为一把通用的榔头，在互联网金融、电商、互联网安全等领域已经发挥出巨大作用，在“互联网+”的诸多产业升级改造中也必然是利器之一，但大数据背后的用户隐私权保护问题则是一颗不定时炸弹，中国的隐私权立法还不是很完善，但隐私保护越来越受重视是共识，大数据的合法获取、妥善保存、合法转让、安全销毁是“互联网+”中需要提前规划。三“互联网+”安全与风险应对之道在用互联网的技术手段、互联网的思维方式改

11、造传统的产业的“互联网+”时代，解决“互联网+”的安全问题，同样也要靠互联网技术与互联网思维：1.安全众包当一己之力不足以解决安全问题的时候，就号召大家一起来帮自己解决问题。国内已经涌现出来如360补天、乌云、威客众测、SoBug等安全众测平台，依靠国内外网络安全白帽黑客的力量来发现各系统的安全漏洞，可以预见的将来，安全漏洞的修复也将会采用众包方式进行。2.信息安全的纵向集成、端到端集成与横向集成当传统安全企业与互联网安全企业都认识到靠一己之力无法100%保证客户安全的现实的时候，端到端集成与横向集成就会开始，整个安全行业会走向分工合作，联合防御。在安全漏洞信息方面也会形成更紧密的预分享机制，

12、特别在基础网络设备、虚拟化技术、中间件等基础平台技术领域里，提供商会与互联网企业、上层服务提供商形成更紧密的内部安全信息沟通，抵御共同的外部威胁。3.假设被攻破信息安全领域不存在银弹，再严密的防线也有可能被攻破，“假设被攻破”就是防御策略之一，如何尽早发现自己已被攻破、如何阻断攻击的扩散、如何回放攻击过程、如何溯源、如何评估损失、如何改进防御系统，如同运作成功的互联网业务的特点，快速的反应和应对将会是从网络安全攻击中生存下来的必要条件。4.安全即服务“互联网+”将带来多个产业的快速互联网化，会遇到信息安全人才供应严重不足的情况，解决之道在于信息安全的“服务化”、“云化”，通过提高资源的复用率解

13、决专业的安全人员数量上的不足、用户的信息安全防御成本高的矛盾，并且有可能提供更加准确、快速的安全应急响应。5.外部威胁情报即使研究局部网络安全威胁，也要站在整个互联网的角度去研究，外部威胁情报能让安全人员既见树木，也见森林，对提高对威胁的判断速度、准确程度非常有帮助，本单位信息采集云端威胁判定外部威胁情报安全云服务将会是未来企业信息安全的标准配置。四“互联网+”安全策略初探作为国家重大战略，“互联网+”中的安全策略就显得非常重要。1.自主与可控“互联网+”的互联网IT技术中大量采用开源技术，这部分的技术虽不完全自主，但是可控的，在这里可控就已足够。但智能硬件、工业自动化、工业控制领域，我们还有

14、大量的元器件、系统要依赖进口，既不自主也不可控，对这些器件、组件建立安全审查机制、市场准入机制就非常重要。2.合规“互联网+”必然带来各传统产业信息化水平提高，推行信息安全的合规很有意义：合规不能保证不出安全事故，但把基本的信息安全防御工作做好，有利于减少信息安全事故的发生。3.政府与信息安全企业的通力合作信息安全问题的解决单靠政府或单靠企业都已经没有可能性，需要的是政府与企业的通力合作来解决问题。五国际社会相关策略与举措借鉴重金奖励白帽子：微软的安全奖励计划中新增了云计算安全的奖励计划，发现Hyper-V和Azure漏洞者，最高可获得15万美元的奖励这个奖励额度与发现绕过微软客户端软件安全防御措施的漏洞的最高奖金额度一样，云计算安全的重要性可见一斑。公私部门合作