信息安全 向何處去

岳占仁

在酒店辦理了入住手續，安頓妥當后打開電腦，連接Wi-Fi，查收郵件……在連接Wi-Fi的時候出現一個彈窗，告訴你“需要更新Adobe Flash以便正常顯示Wi-Fi設置對話窗口”。這時如果你不假思索地點擊“OK”，你可能就此中招了。

這是最近幾年活躍的DarkHotels （黑暗酒店）網絡間諜攻擊行動的典型步驟：首先侵入一家酒店的內部網絡，在酒店客人登陸Wi-Fi時欺騙其下載安裝一款偽裝成“Adobe Flash更新”之類合法軟件的后門程序，成功之后進而自行下載安裝更多的監視和信息竊取工具，然后開始自動收集系統信息，并竊取鍵盤記錄，尋找各種賬號密碼及其他機密信息。

隨著芯片、軟件和連接變得越來越無處不在，黑客們也有了越來越多的“用武之地”，信息安全遭遇的威脅也日益增加。如何保護和管理全面數字化和高度互聯所產生的海量信息，全面有效地防御各種風險和威脅，成為企業密切關注的課題。

信息安全威脅可謂愈演愈烈。賽門鐵克《互聯網安全威脅報告》的統計顯示，2013年全球范圍發生的數據泄露事件較上一年增加了62%，信息安全專家將2013年稱作“大規模數據泄露年”;2014年的數據有待匯總，但從迄今已經發生的情況看，可以預計肯定會再創新高。另外，IDC的研究數據顯示，中國企業移動管理解決方案市場正在進入快速發展的軌道，2014年的市場空間達到3550萬美元，2014～2018 年復合增長率約為25%。

賽門鐵克移動部門產品副總裁Michael Lin認為，快速發展的市場背后是企業實實在在的硬需求，主要表現在：幫助企業推進BYOD（自帶設備），讓員工個人的手機和平面電腦等設備安全、順暢地嵌入企業工作環境：幫助企業管理、保護移動App和數據;以及為企業提供保護措施應對移動惡意軟件、灰色軟件的潛在威脅，幫助企業保護隱私和保障工作效率。為此，安全解決方案需要做到能夠實時地為企業提供信息保護、威脅防護和可付諸行動的情報。

與人人都擁有的移動設備比較，物聯網的發展狀況沒有那么直觀地被普通公眾覺察到。根據思科互聯網業務系統集團（IBSG）的研究數據，今天接入互聯網的“人”和“物”的數量分別是70億和90億，而到2020年，接入互聯網的“物”的數量將達到500億之巨。

然而，物聯網的發展也隱含著信息安全管理方面的巨大挑戰。這些威脅實際上已經在我們身邊存在。例如，日益流行的運動跟蹤記錄App和設備每天都在產生大量的個人信息和數據，這些設備和信息如果有別有用心的黑客盯上，其安全性需要打個問號。賽門鐵克的研究表明，由于很多設備和相應的數據管理存在漏洞，讓黑客可以很容易地對用戶進行跟蹤，以及盜取包括密碼在內的個人私密信息。

不久前，法國EURECOM學院的科研人員對超過3.2萬個嵌入式設備的固件映像做了分析，發現超過1.4萬個物聯網設備，從路由器到閉路電視監控系統（CCTV）等等不一而足，都存在各種安全隱患，包括零日攻擊漏洞、后門、不安全的密碼和密鑰等。

有的物聯網病毒看上去很神奇。很多人認為，電腦只要不連網，黑客就拿你沒辦法，因為惡意軟件總不能跨越“air-gapping”（空氣間隙）吧？但是一種叫“air-gapping”的病毒已經出現，它可以通過聲波，經由麥克風和聲卡等外圍設備來感染目標設備。

賽門鐵克太平洋地區資深技術總監Sean Kopelke認為，目前大量存在的物聯網安全隱患，原因在于在系統設計階段沒有很好地重視和認真規劃信息安全管理。物聯網安全需要端到端的解決方案，需要統一規劃三個層面的安全體系，一是服務層面的設備管理、威脅情報和安全分析;二是網絡系統層面的登陸控制、App沙盒以及針對惡意軟件和外部入侵的偵測和防護;三是設備和網關層面的認證、數字或電子簽名保護代碼、App沙盒以及針對外部入侵的偵測和防護;同時，要設計和管理好貫徹整個體系的身份和密鑰系統。