| 储能

请登录

注册

2018年网络安全技术领域新趋势

2018-05-14 15:30:47 安华信达
A A
2018年网络安全技术领域新趋势,移动互联网安全漏洞百出,物联网保障体系发展滞后于产业发展,大数据核心技术安全可控是重要风险,区块链技术尚未成熟 新型风险显现

一、移动互联网安全漏洞百出

目前iOS和安卓系统占据移动互联网操作系统90%以上的份额。iOS目前面临最大的安全风险来自于iOS系统漏洞。据国家信息安全漏洞库(CNNVD)数据统计,截至2017年11月30日,iOS系统共收录了624个系统漏洞,其中2017年115个,信息泄露和权限许可访问控制为漏洞最多的类型。

安卓系统面临的情况同样不容乐观,据CNNVD数据统计,截至2017年11月30日,安卓系统共收录了1082个系统漏洞,其中2017年540个,权限许可访问控制和信息泄露同样为漏洞最多的类型。

移动互联网通信安全不容忽视

实例表明,移动通信网络已是最易受攻击的系统之一。4G网络安全问题的首要特点是网络规模不断扩大;其二是高新通讯技术的应用,使安全隐患增加;其三是多样化,移动通讯设备和计算机是应用4G网络最广泛最频繁的终端设备,随着二者的无线移动,由于自身的储存力减弱,病毒、木马、恶意代码便会不经意地传入无线应用当中,从而入侵终端设备。

2017年移动互联网安全主要安全事件集中在隐私窃取、网络诈骗尤其是金融诈骗、网络谣言方面,其他还有网络色情、暴力、赌博、贩毒、杀人,甚至器官贩卖、恐怖主义、跨国犯罪等。

2018年趋势预测及对策建议

2018年,移动互联网与新技术深度融合,可能成为新蓝海。随着移动带宽技术的迅速提升,更多的传感设备、移动终端随时随地接入网络,加之云计算、物联网、AI、区块链等技术的带动,移动互联网也逐渐步入大数据和智能化时代。

2018年,预计会出现针对移动设备的更高端的APT恶意软件。银行木马和移动勒索软件将成为移动系统的主要威胁,且安卓手机操作系统将成为网络犯罪分子的优选目标。2018年移动互联网安全建议从以下四方面加强:重顶层设计,加强移动互联网安全法律法规、标准体系建设;提升移动互联网安全技术水平,加强安全防护和保障能力建设;拓展国际合作空间,积极参与全球移动互联网治理;加强移动互联网海量应用软件风险管控,增强网络管理能力。

二、物联网:保障体系发展滞后于产业发展

物联网信息安全总体形势不容乐观

2017年,针对物联网的攻击数量不断增长,攻击范围和规模逐步扩大。物联网安全事件频繁发生,安全事件所涉及的行业领域较之前明显增多。

物联网终端设备的安全漏洞呈现快速增长的趋势,成为制约物联网发展的关键问题之一。据CNNVD数据统计,2017年度物联网漏洞数量达637个,较2016年增长了56%。受影响设备类型呈多样化特点,不仅包括传统的物联网终端,智能锁、投影仪、玩具等新型物联网设备的安全漏洞也日渐凸显。

2017年物联网终端设备主要包括以下类型的安全漏洞:授权问题、命令注入、操作系统命令注入、路径遍历、资源管理错误、信任管理、跨站请求伪造、输入验证、跨站脚本、权限许可和访问控制、信息泄露、缓冲区溢出等13种漏洞类型,占漏洞总数的75%。

物联网逐渐成为攻击者的主要攻击目标

物联网安全保障体系的发展滞后于物联网产业的发展,越来越多的攻击者将攻击目标转向了物联网。自2015年开始,在各类世界顶级的黑帽大会和黑客大会上,智能家电、智能门锁、智能监控、智能网联汽车、机器人等物联网智能终端频繁被曝出安全漏洞,部分物联网设备开发厂商的安全研发能力和研发水平不高,研发人员的安全研发的意识不够,导致物联网设备存在诸多安全隐患,安全漏洞种类繁多、易于攻破。海量物联网终端的部署,随之产生的大量用户数据价值在不断增加,这些数据将在云端进行处理和存储,如何保障物联网系统中云端存储数据的隐私也是物联网系统安全保障的重要任务之一。

物联网的体系结构复杂、物联网网络、应用、终端等种类的多样化使得物联网的攻击面不断扩大,攻击形式多样化,造成的危害范围更广。同时,物联网终端设备的海量规模导致攻击者的攻击效应规模放大。随着人工智能技术的发展,物联网终端设备呈现智能化趋势,但这也会导致攻击的效果放大。物联网全产业链的多领域性导致安全体系建设面临较大困难,物联网产业链上的每一个环节都有自身的信息安全体系,因而针对物联网应用重新制定安全体系的建设需要每一个环节的调整和磨合。

2018年趋势预测及对策建议

2018年,利用僵尸网络对物联网实施的网络攻击将愈演愈烈;勒索软件等恶意软件对物联网的危害将逐步显现;物联网骨干网和接入网新协议的安全性可能成为新的失效点;物联网隐私泄露将导致“黑产”更加泛滥。

为保障物联网产业健康稳定发展,我国应持续推进物联网安全工作,从政府、企业、科研、教育部门,以及用户角度多方协同并进,加速建成物联网安全保障体系。为此,要做到监管落实物联网安全方案,加快推进物联网安全标准制定;物联网厂商增强生产安全意识,协同保障产业链安全环节;行业加快建立可信第三方认证机制;加大物联网安全课题投入,加速培养物联网安全人才;最后要培养公民信息安全意识,鼓励用户规范设备使用。

三、大数据:核心技术安全可控是重要风险

我国大数据发展过程中存在的安全问题与风险

首先是国家层面制定体系化的大数据法规建设规划和实施计划规划不足,传统的个人信息保护法面临新的挑战,个人权益难以保障。

二是大数据产业生态逐步细分,以数据价值为核心,对大数据产业生态中的基础支撑层、融合应用层、数据服务层等三层从数据流的角度进一步细分为数据采集商、大数据分析商、技术平台商、数据交易商和监管机构等,各角色在开展业务过程中都存在安全风险。

三是核心技术仍基于开源产品或和国外厂商合作,难以安全可控,安全风险持续聚集。

四是数据安全已成为关注焦点,内部威胁导致数据泄露形势严重,大数据系统成为新的勒索目标,个人信息被过度采集和分析,安全形势日趋严峻。五是数据开放和共享受“权利属性”、“财富属性”、数据确权缺失等多重制约,阻碍战略实施落地。

同时,大数据双面效应持续彰显,既保安全又有风险。大数据技术已广泛应用于网络安全、公众安全等跟人民生命密切相关的行业,取得了良好的效果。但是,敌对势力和攻击者也能利用大数据技术逃避网络防护机制、窃取保密信息等。

2018年趋势预测及对策建议

目前,我国重点行业和领域基本上是使用开源产品和基于开源产品进行二次封装后的产品,技术核心都是国外产品,因此,基于大数据核心技术不能安全可控而持续聚集的安全风险将是我国大数据安全发展面临的重大安全风险之一。其次,数据被勒索、窃取和丢失等风险持续增加,数据安全形势将更加严峻。再次,人工智能应用快速发展,带来新的技术挑战。最后,我国跟数据相关的权利人的权利和义务不确定,缺乏法律依据,难以保障相关方的权利,将制约我国数据开放共享的顺利开展。

为此,提出四方面对策:摸清安全现状,做到“心中有底、手中有招”;完善政策法规,做到“科学立法、严格执法”;研发核心技术,做到“自主创新、安全可控”;创新人才机制,积极培育大数据技术和应用创新型人才,做到“体制新颖、人才济济”。

四、区块链:技术尚未成熟 新型风险显现

区块链技术金融先行

近年来,区块链技术得到了广泛的关注和认可,其具备去中心化、可追溯、不可篡改和可编程等特性。当前基于区块链技术的大部分业务应用系统尚处于开发、验证和实验测试阶段,预计未来几年将如雨后春笋般涌现。目前,区块链技术正吸引着金融、证券、保险等领域以及供应链、知识产权保护、合同存证、审计、捐款追踪、积分管理等应用场景的广泛关注,已在多个行业或组织内容开展研发测试,甚至已上线运行,特别是金融行业。其他行业包括证券、保险、供应链(物流)等也有相关研发实例。

2018趋势分析和建议

区块链作为新兴技术正在同传统技术发生强烈碰撞阶段,试图颠覆传统的网络信任基础。网络空间公有链(数字货币等)区块链系统正受到各国政府和监管机构的强烈关注,其已经对国家安全,特别是金融安全、公共安全等层面构成实质性的威胁。随着区块链技术的发展,预计不久其安全风险问题将不断爆出。

区块链存在的主要安全风险有:国外公有区块链系统及其外围应用对我国金融安全存在一定影响,应持续关注其对我金融安全的隐患分析和排查。此外,区块链外围应用很多均不是去中心化的,应避免误解造成使用或操作风险,排除误认识带来的隐患,例如矿池或矿场组织、数字货币的交易所、在线钱包等。

区块链技术涉及多种密码算法,对密码学技术的依赖程度非常高。密码学算法对相于区块链的作用的重要性就像是CPU、操作系统对于计算机。如果设计的密码算法本身存在漏洞或后门,对区块链系统将是致命的,潜在风险巨大,影响不可估量。此外,数字资产或价值的安全存储存在隐患。为了安全应用区块链技术,提供安全的便利的密钥保护机制至关重要。

针对上述情况分析,我们提出以下对策和建议:应加强对公有区块链的监管和监测,包括公有链外围挖矿、交易所等的监管和监测,跟踪社区动态、安全事件情况等,及时处置;开展区块链技术安全风险评估评测,及时掌握区块链安全机制和安全动态,为制定相关政策指导提供依据;加大区块链特别是数字货币等的风险教育和宣传,提高风险安全意识。

大云网官方微信售电那点事儿
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞

相关新闻