信息安全 向何處去

岳占仁

在酒店辦理了入住手續(xù)，安頓妥當后打開電腦，連接Wi-Fi，查收郵件……在連接Wi-Fi的時候出現(xiàn)一個彈窗，告訴你“需要更新Adobe Flash以便正常顯示W(wǎng)i-Fi設(shè)置對話窗口”。這時如果你不假思索地點擊“OK”，你可能就此中招了。

這是最近幾年活躍的DarkHotels （黑暗酒店）網(wǎng)絡(luò)間諜攻擊行動的典型步驟：首先侵入一家酒店的內(nèi)部網(wǎng)絡(luò)，在酒店客人登陸Wi-Fi時欺騙其下載安裝一款偽裝成“Adobe Flash更新”之類合法軟件的后門程序，成功之后進而自行下載安裝更多的監(jiān)視和信息竊取工具，然后開始自動收集系統(tǒng)信息，并竊取鍵盤記錄，尋找各種賬號密碼及其他機密信息。

隨著芯片、軟件和連接變得越來越無處不在，黑客們也有了越來越多的“用武之地”，信息安全遭遇的威脅也日益增加。如何保護和管理全面數(shù)字化和高度互聯(lián)所產(chǎn)生的海量信息，全面有效地防御各種風險和威脅，成為企業(yè)密切關(guān)注的課題。

信息安全威脅可謂愈演愈烈。賽門鐵克《互聯(lián)網(wǎng)安全威脅報告》的統(tǒng)計顯示，2013年全球范圍發(fā)生的數(shù)據(jù)泄露事件較上一年增加了62%，信息安全專家將2013年稱作“大規(guī)模數(shù)據(jù)泄露年”;2014年的數(shù)據(jù)有待匯總，但從迄今已經(jīng)發(fā)生的情況看，可以預(yù)計肯定會再創(chuàng)新高。另外，IDC的研究數(shù)據(jù)顯示，中國企業(yè)移動管理解決方案市場正在進入快速發(fā)展的軌道，2014年的市場空間達到3550萬美元，2014～2018 年復合增長率約為25%。

賽門鐵克移動部門產(chǎn)品副總裁Michael Lin認為，快速發(fā)展的市場背后是企業(yè)實實在在的硬需求，主要表現(xiàn)在：幫助企業(yè)推進BYOD（自帶設(shè)備），讓員工個人的手機和平面電腦等設(shè)備安全、順暢地嵌入企業(yè)工作環(huán)境：幫助企業(yè)管理、保護移動App和數(shù)據(jù);以及為企業(yè)提供保護措施應(yīng)對移動惡意軟件、灰色軟件的潛在威脅，幫助企業(yè)保護隱私和保障工作效率。為此，安全解決方案需要做到能夠?qū)崟r地為企業(yè)提供信息保護、威脅防護和可付諸行動的情報。

與人人都擁有的移動設(shè)備比較，物聯(lián)網(wǎng)的發(fā)展狀況沒有那么直觀地被普通公眾覺察到。根據(jù)思科互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)集團（IBSG）的研究數(shù)據(jù)，今天接入互聯(lián)網(wǎng)的“人”和“物”的數(shù)量分別是70億和90億，而到2020年，接入互聯(lián)網(wǎng)的“物”的數(shù)量將達到500億之巨。

然而，物聯(lián)網(wǎng)的發(fā)展也隱含著信息安全管理方面的巨大挑戰(zhàn)。這些威脅實際上已經(jīng)在我們身邊存在。例如，日益流行的運動跟蹤記錄App和設(shè)備每天都在產(chǎn)生大量的個人信息和數(shù)據(jù)，這些設(shè)備和信息如果有別有用心的黑客盯上，其安全性需要打個問號。賽門鐵克的研究表明，由于很多設(shè)備和相應(yīng)的數(shù)據(jù)管理存在漏洞，讓黑客可以很容易地對用戶進行跟蹤，以及盜取包括密碼在內(nèi)的個人私密信息。

不久前，法國EURECOM學院的科研人員對超過3.2萬個嵌入式設(shè)備的固件映像做了分析，發(fā)現(xiàn)超過1.4萬個物聯(lián)網(wǎng)設(shè)備，從路由器到閉路電視監(jiān)控系統(tǒng)（CCTV）等等不一而足，都存在各種安全隱患，包括零日攻擊漏洞、后門、不安全的密碼和密鑰等。

有的物聯(lián)網(wǎng)病毒看上去很神奇。很多人認為，電腦只要不連網(wǎng)，黑客就拿你沒辦法，因為惡意軟件總不能跨越“air-gapping”（空氣間隙）吧？但是一種叫“air-gapping”的病毒已經(jīng)出現(xiàn)，它可以通過聲波，經(jīng)由麥克風和聲卡等外圍設(shè)備來感染目標設(shè)備。

賽門鐵克太平洋地區(qū)資深技術(shù)總監(jiān)Sean Kopelke認為，目前大量存在的物聯(lián)網(wǎng)安全隱患，原因在于在系統(tǒng)設(shè)計階段沒有很好地重視和認真規(guī)劃信息安全管理。物聯(lián)網(wǎng)安全需要端到端的解決方案，需要統(tǒng)一規(guī)劃三個層面的安全體系，一是服務(wù)層面的設(shè)備管理、威脅情報和安全分析;二是網(wǎng)絡(luò)系統(tǒng)層面的登陸控制、App沙盒以及針對惡意軟件和外部入侵的偵測和防護;三是設(shè)備和網(wǎng)關(guān)層面的認證、數(shù)字或電子簽名保護代碼、App沙盒以及針對外部入侵的偵測和防護;同時，要設(shè)計和管理好貫徹整個體系的身份和密鑰系統(tǒng)。