我國互聯網仍然存在較多網絡攻擊和安全威脅，2015年我國信息安全領域的現狀不容樂觀：

 

 

　　在大數據時代，網站數據和個人信息利益價值凸顯，海量數據既是企業(yè)和用戶的核心資產，也成為網絡攻擊瞄準的目標，以竊取數據為主要目的的攻擊事件將越來越多，云平臺自身的網絡安全防護特別是對海量數據安全的防護將面臨挑戰(zhàn)。

 

　　在移動互聯網應用方面，多款打車軟件存在信息泄露風險。互聯網漏洞曝光平臺——烏云網2015年5月向《消費者報道》提供的數據顯示，自2014年1月份到2015年5月上旬，共發(fā)布59個關于打車軟件的安全漏洞，涉及廠商多達9家，其中快的、滴滴、Uber等行業(yè)領先企業(yè)赫然在列。在網絡第三方支付平臺方面，財付通、Apple Pay等被曝存在“災難級”漏洞，該漏洞可致遠程任意代碼執(zhí)行，對用戶電腦安全造成極大危害。

 

 

　　隨著信息產業(yè)各個領域的自主可控深入推進，國產軟硬件產品應用增多，其安全問題將受到更多重視。移動互聯網與傳統(tǒng)產業(yè)結合催生智能硬件新業(yè)態(tài)，智能手環(huán)、智能手表等可穿戴設備、互聯網電視等產品成為市場熱點，隨著終端設備的功能和性能大幅提升，面臨的安全威脅增大。

 

　　智能手機成為感染病毒與木馬的重災區(qū)。研究人員表示六成安卓設備存安全風險、安卓平臺媒體誕生近5000款惡意程序；操作系統(tǒng)方面，谷歌再次披露win8.1未修復漏洞。該漏洞存在潛在的可能讓黑客攻擊谷歌Chrome、Adobe Reader等其他產品的沙盒；可穿戴設備方面，蘋果Apple Watch智能手表在上市不久就先后曝出了不少問題，紋身將影響手表的傳感器，安全性能缺失，付款無需支付密碼。而最新消息顯示，Apple Watch可以被輕松重置，被黑客利用猶如探囊取物，存在一定安全隱患。

 

　　云計算爆發(fā)式發(fā)展,挑戰(zhàn)現有監(jiān)管制度。根據數據顯示，2014年，中國網民手機商務應用發(fā)展大爆發(fā)，手機網購、手機支付、手機銀行等手機商務應用用戶年增長分別為63.5%、73.2%和69.2%，遠超其他手機應用增長幅度。高速增長的數字，也給人們的生產、生活帶來了嚴峻的安全威脅，而現有的安全機制如權限許可和審查機制等還存在諸多弊端。

 

　　2015年7月13日windows平臺爆出Evernote安全漏洞，這些漏洞可能會導致執(zhí)行代碼。10月19日下午，烏云宣布發(fā)現新漏洞，此漏洞將導致網易163/126郵箱過億數據泄漏，涉及郵箱賬號、密碼、用戶密保等。我國需加強自主可控云計算安全技術的研發(fā)，杜絕云計算安全技術和應用尤其是電子政務云建設依賴國外主流公司的情況，這是解決我國云計算安全問題以及云中數據安全問題的關鍵點之一。

 

　　此外，涉及重要行業(yè)和政府部門的高危漏洞事件增多，網絡邊防保障仍需加強。“烏云網”日前發(fā)布報告稱，上海住房公積金網存在漏洞，大量單位和居民信息存在被泄露的風險。上海移動所有用戶實名制信息被曝可任意查詢，只需你的手機號，就能直接竊取你的實名、住址等信息。包括此前12306網站用戶信息在互聯網上瘋傳一事都可以窺探出，重要企事業(yè)單位信息系統(tǒng)安全問題日益嚴峻。

 

　　有組織攻擊頻發(fā)，我國面臨大量境外攻擊威脅。2015年4月19日《新西蘭先驅報》爆料斯諾登發(fā)布的絕密文件，稱新西蘭通信安全局與美國國家安全局合作監(jiān)控中國領館，此事引發(fā)中國高度關注。且多年來美國國家安全局（NSA）一直在對中國電信巨頭華為采取秘密行動，行動內容包括入侵華為總部的服務器，監(jiān)視華為高層的通信等等。據稱這次行動代號為“狙擊巨人”（Shotgaint），早在2007年就已經開始。

 

 

 

　　2015年2月，國家網信辦發(fā)布《互聯網用戶賬號名稱管理規(guī)定》，重拳整治互聯網用戶賬號亂象，主要對公眾使用微博、微信等上網的賬號名稱（包括頭像和簡介）進行規(guī)范，明確提出網上昵稱不準違反法律、危害國家安全、破壞民族團結、侮辱誹謗他人等“九不準”

 

　　6月，《中國互聯網協會漏洞信息披露和處置自律公約》在京簽署，公約提出漏洞信息披露的“客觀、適時、適度”三原則；

 

　　6月，國務院辦公廳發(fā)布《關于運用大數據加強對市場主體服務和監(jiān)管的若干意見》。加大網絡和信息安全技術研發(fā)和資金投入，建立健全信息安全保障體系。采取必要的管理和技術手段，切實保護國信息安全以及公民、法人和其他組織信息安全；

 

　　7月，新的國家安全法實施。新法要求建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數據的安全可控；

 

　　6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法（草案）》?，F將《中華人民共和國網絡安全法（草案）》在中國人大網公布，向社會公開征求意見；

 

　　8月，人大正式通過中華人民共和國刑法修正案（九）。明確了網絡服務提供者履行信息網絡安全管理的義務，加大了對信息網絡犯罪的刑罰力度，進一步加強了對公民個人信息的保護，對增加編造和傳播虛假信息犯罪設立了明確條文；

 

　　9月，國務院印發(fā)《促進大數據發(fā)展行動綱要》，在網絡和大數據安全方面要求，在涉及國家安全穩(wěn)定的領域采用安全可靠的產品和服務，到2020年，實現關鍵部門的關鍵設備安全可靠；

 

　　11月，工商總局印發(fā)《關于加強網絡市場監(jiān)管的意見》，全面加強網絡市場監(jiān)管。推進“依法管網”、“以網管網”、“信用管網”和“協同管網”4。

 

 

　　今年以來，政府部門開展的集中打擊整治網絡違法犯罪專項行動：例如成都“鐵帚凈網”行動，處理違法信息56萬條；浙江特大跨國網絡賭博案，浙江特大跨國網絡賭博案；中移動配合公安機關破獲仿冒10086特大詐騙團伙等等。目前我國已經初步形成了以國家信息化工作領導小組為核心的監(jiān)管機構，并在實踐中發(fā)揮了重要作用。

 

　　然而從我國互聯網絡監(jiān)管實際情況來看，各行政機關、職能部門的管理職責既有交叉重復，也有管理真空。同時，由于我國互聯網起步較晚，監(jiān)管體系不夠完善和全面，因此在網絡安全的防范上存在著滯后現象，甚至有“心有余而力不足”之感。

 

 

　　“一體兩翼的雙輪驅動觀”是習近平在中央網絡安全和信息化領導小組第一次會議上提出的新論斷和新要求，強調“網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施?！边@一新論斷闡述了信息化對網絡安全的重要影響以及網絡安全對于信息化的驅動作用之間的辯證關系。

 

　　同時，信息化對網絡安全具有重要影響，兩者之間具有緊密的關聯性、互動性和協同性。我們應當在社會信息化深入發(fā)展順勢而為之時，同時對信息安全做到因勢而謀，對網絡安全做到未雨綢繆，將信息安全和網絡安全放到更加重要的全局性高度來認識，將其作為經濟健康發(fā)展的前提，將其作為城市安全發(fā)展的基礎，將其作為人民安全的不可或缺的保障。

 

　　截止2015年6月底，我國已有6.32億網民，占世界網民數量的五分之一，是名副其實的互聯網大國，但互聯網大國并非就是互聯網強國。“沒有網絡安全就沒有國家的安全，沒有信息化就沒有現代化”。黨的十八大以來，黨和國家采取了一系列措施加強互聯網的發(fā)展與管理。

 

　　第二屆世界互聯網大會于2015年16日至18日在浙江烏鎮(zhèn)舉行，主題為“互聯互通·共享共治——構建網絡空間命運共同體”。大會展示了中外互聯網前沿技術和最新成果，展示了中國互聯網20年發(fā)展歷程，發(fā)布了20多項倡議、報告、宣言等成果。會議發(fā)布的《烏鎮(zhèn)倡議》提出，“維護網絡和平安全。尊重網絡空間國家主權，保護網絡空間及關鍵信息基礎設施免受威脅、干擾、攻擊和破壞，保護個人隱私和知識產權，共同打擊網絡犯罪和恐怖活動”，表明了中國政府對網絡安全認識的新高度。

 

 

　　2015年5月8日，習近平主席訪問俄羅斯期間，中俄外長在兩國元首見證下簽署了《中華人民共和國政府和俄羅斯聯邦政府關于在保障國際信息安全領域合作協定》。

 

　　9月，習近平主席訪美，與網絡議題相關的領域達成六點共識。包括網絡安全審查、商業(yè)領域加強信息通訊技術網絡安全的一般措施、惡意網絡活動提供信息及協助、反對網絡竊取知識產權、制定和推動國際社會網絡空間國家行為準則，以及建立兩國打擊網絡犯罪及相關事項高級別聯合對話機制。

 

　　雖然與美國達成了一定程度上的共識，但背后的網絡空間的較量仍在繼續(xù)，并且形勢非常嚴峻，中國要建設網絡強國，必須要制定國家信息網絡安全戰(zhàn)略，注重自主可控技術的研發(fā)，才能在國際上打破美國對整個網絡的話語霸權。

 

 

　　1、對云和虛擬化基礎設施發(fā)起攻擊。今年被披露出的“毒液”漏洞向我們證明了攻擊者和惡意軟件是能夠從Hypervisor中逃逸，并且在虛擬化環(huán)境中訪問宿主機操作系統(tǒng)。對虛擬化技術以及私有云和混合云的信任，將會給網絡攻擊和犯罪帶來更便利的條件。同時，由于大量的應用能夠訪問云系統(tǒng)，移動設備運行有問題的應用，也為攻擊者開啟了另一個攻擊維度，能夠讓企業(yè)網絡、公有云和私有云都遭受安全威脅。

 

　　2、漏洞獎勵、眾測服務持續(xù)升溫。第三方漏洞平臺的作用不可小覷。相比于廠商自己的SRC，其優(yōu)勢在于更加公開、中立和范圍廣。始源于漏洞獎勵基礎之上的眾測服務業(yè)開始逐漸被行業(yè)認可。預測明年，在一些在線服務應用比較廣泛的重點行業(yè)如金融、支付領域會有更大的動作。而另外一些尚未實施過眾測服務的行業(yè)則可能進行試探性的嘗試。

 

　　3、全球網絡攻擊的戰(zhàn)場上將出現更多新的參與者。目前，全球范圍的網絡戰(zhàn)爭層出不窮，這些網絡戰(zhàn)爭中所采用的技術和策略基本上是成功的。這無疑將會引導更多的新成員加入到全球網絡戰(zhàn)爭中，網絡攻擊的廣度將會進一步擴大。此外，與傳統(tǒng)的間諜戰(zhàn)成本相比，進行網絡攻擊的門檻是最低的，未來或許將會出現更多松散的網絡恐怖分子或網絡戰(zhàn)發(fā)起者，開展更為國際化的網絡攻擊。

 

　?。ㄗ髡撸厚R明明）