新網絡條件下的數據安全新問題

李 雄 郝曉偉 劉傳相

1 國家計算機網絡應急技術處理協調中心 北京 100029

2 國家計算機網絡應急技術處理協調中心重慶分中心 重慶 401121

引言

近年來，互聯網的應用領域快速擴展，改變和重新定義了許多傳統領域與行業[1]。例如，以淘寶為代表的電子商務重新定義了零售業，以余額寶為代表的互聯網金融改變了金融業，小米改變了產品從設計到銷售的模式。這些變革的背后，移動互聯網[2-3]、大數據[4-5]等應用和技術扮演了重要角色。例如，目前手機支付寶的支付量高達支付寶總量的一半；電商產品推薦與供需鏈的核心是大數據技術。

同時，隨著可穿戴設備的興起、工業與互聯網的結合，智慧城市從設想成為現實、物聯網的廣闊前景漸漸顯露[3,6]。以物聯網為基礎的工業4.0[7]開始從德國向歐洲和中國蔓延。可以預見，在工業4.0中，將用戶需求、生產計劃、柔性制造、物流配送與用戶反饋結合的物聯網將成為下一個龐大的領域，并引導新的工業革命。

在互聯網應用繁榮的背后，其基礎的網絡連接方式也在悄然發生變化。這些變化可能對互聯網產生根本性的影響。目前，最具潛力的是“無網連接”[8]和谷歌熱氣球無線網絡[9]。這些新的網絡連接方式可能改變信息傳遞的方式。

在新網絡連接、移動互聯網、物聯網、大數據等網絡條件下，數據的產生、傳輸、存儲和利用方式發生了巨大變化。在這些技術進一步數字化這個世界的同時，數據的安全開始面臨新問題。本文將從新型網絡連接、移動互聯網、大數據等角度對可能出現的數據安全新問題進行探討。

1 移動互聯網的數據安全問題

移動互聯網是移動通信和互聯網的二次革命。移動互聯網的安全隱患通過海量的終端和應用等因素被放大，導致數據泄露等嚴重后果。特別是在4G網絡條件下，高速帶寬催生很多新的應用，使得移動互聯網成為數據泄露的重災區。

1.1 移動互聯網數據產生安全問題的主要原因

移動互聯網數據安全威脅主要有三方面的原因。一是傳統互聯網基于開放式架構，存在諸多的安全問題；移動互聯網不僅帶入了傳統互聯網的安全問題，更由于接入方式與應用的多樣化而加重。二是移動互聯中終端與用戶及其身份綁定較強，衍生了基于位置和身份的各種服務，如移動支付、移動電子商務都是易受攻擊的領域。三是移動終端包含大量個人信息和其它重要信息，容易引起攻擊者的注意。且移動終端受制于計算能力，防范手段較弱。

1.2 移動互聯網數據泄露的類型

1) 個人隱私數據泄露。移動互聯網的廣泛運用使得越來越多的個人隱私與網絡聯接，例如賬號密碼、通訊錄和照片等，隱私數據泄露的風險大大增加。2014年9月，蘋果公司iCloud云存儲平臺接連兩次發生艷照泄露事件，引起用戶對移動終端數據安全的恐慌。

據Android手機隱私安全報告[10]顯示，92.8%的安卓手機用戶在手機中存放隱私信息，智能手機已成為隱私最多的設備。多數安卓應用需要獲取隱私權限才能正常使用。通過對1 200個應用檢測發現[10]，92%的安卓應用獲取了隱私權限，具體分布如圖1所示。

圖1 手機應用獲取隱私權限數量的分布

隱私權限按應用類型的分布如表1所示。設備信息、用戶位置和Wi-Fi位居隱私權限前三[10]。越來越多的個人隱私從手機外泄，隱私安全日益成為嚴重的問題。

表1 各類安卓應用所獲取的權限類型

2) 企業單位數據泄露。網絡安全公司Webroot的調查結果顯示[11]：超過40%的員工會使用移動設備辦公，其中有大約75%的員工使用的是自己的設備，95%的企業擔心安全風險，此外還有近40%的IT部門對這些設備沒有信心。智能移動終端可通過各類網絡接入內部網絡訪問和獲取數據資源，網絡數據傳輸通道安全保護較弱，存在數據竊聽等隱患。此外，當設備丟失時，設備中的涉密信息也很容易被獲取。如何防止內部數據泄露已成為智能移動終端應用的巨大挑戰。3) 國家安全相關數據泄露。目前，移動智能終端的安全防護能力較弱，并且主流操作系統由谷歌、蘋果等國外企業掌控，數據安全面臨風險。例如，蘋果公司的iOS系統具有數據同步上傳及位置定位功能，可將用戶終端的通訊錄、郵件、即時通信內容等通過移動網絡實時上傳到國外服務器。企業可通過分析這些數據獲知我國的社情民意、用戶身份、用戶社交關系等，對國家安全構成威脅。另外，智能移動終端具有攝像、錄音和拍照等數據采集能力，通過4G等高速移動網絡可實現即時傳輸，泄密一旦發生就難以挽回[2]。

1.3 基于微博數據的統計分析

為了支持上述分析，本文通過自主研發的數據采集和分析系統對新浪、騰訊、搜狐和Twitter數據進行了統計分析。數據為2015年1月7日至14日，境內三大微博的全量數據和Twitter的中文用戶數據。具體通過檢索關鍵詞“移動互聯網數據安全”相關信息，并從通道、地域、參與者、子話題等角度對相關信息進行分析。圖2和圖3為話題按通道和參與者的分布情況。分析發現：1)移動互聯網的數據安全問題是用戶關注熱點；2)各地用戶均關注該問題，但經濟發達地區關注度更高；3)從話題參與者角度，電信客服、新浪科技等技術機構積極參與移動互聯網安全問題的討論，平安北京、首都網警等安全相關部門也非常關注移動互聯網安全；4)話題包括安全事件、發展趨勢、防護措施等多個方面。這些結果表明，移動互聯網安全問題已引起各地、機構和用戶的廣泛關注，且關注具有相當的深度。

圖2 參與“移動互聯網數據安全”話題的微博分布

圖3 參與“移動互聯網數據安全”話題的主要微博用戶

2 大數據環境下的數據安全問題

大數據平臺承載了來自于個人計算機、移動智能終端、可穿戴設備、智能家居設備及智能汽車等數據資源。正成為黑客組織和各類敵對勢力網絡攻擊的重要目標。隨著電子商務、社交網絡、物聯網、云計算以及移動互聯網的廣泛應用，我國數據資源正在呈現爆發性增長[4]。但由于對數據的保護不足，數據泄露在互聯網上的現象十分普遍。2011年，國內最大程序員網站CSDN的600萬個人信息和密碼被公開；2013年，中國人壽80萬客戶的保單被泄露；2014年，黑客從快遞公司網站竊取1 400余萬條用戶數據并在網上售賣；小米、360和攜程等相繼發生用戶數據泄露事件。這些事件表明，大數據時代的數據安全面臨前所未有的挑戰[12]。此外，企業數據通常與大數據分析系統對接，以充分發掘其商業價值。一些企業的內部工作人員將大量個人信息非法竊取并打包出售給信息中介機構和個人，企業信息挖掘成為大數據時代不法分子獲取高額利益的利器[5,13]。

大數據技術在改變企業和政府工作模式的同時，也在侵蝕個人數據的安全邊界。以前，只有持有公權力的政府機構才能掌握大量個人數據，現在，許多企業也能擁有海量數據，甚至在某些方面超過政府機構。例如，微信的用戶數已超過4億，只要用戶使用各類互聯網應用，就不得不將個人數據轉移給服務商。在這種條件下，傳統的線下數據保護方式難以奏效。用戶在微博等社交平臺發布信息、關注好友、發表評論時，或在電商平臺進行購物時，都存在泄露個人信息的可能。大量數據的匯集加大了用戶隱私泄露的風險，甚至上升到人身安全的層面。同時，一些敏感數據的所有權和使用權并沒有明確界定，目前很多基于大數據的分析都未考慮涉及的個人隱私問題[12]。

本節利用自主開發的數據采集和分析系統對新浪、騰訊、網易和Twitter數據進行統計分析。通過檢索關鍵詞“大數據安全”相關信息，并從通道、地域、參與者(如圖4)、話題角度對信息進行分析。分析發現：1)大數據安全問題各地用戶均關注，沿海和中部地區關注度更高；2)IT科技學等技術機構、法制日報等法律機構、Lenovo樂基金等投資機構均關注大數據安全問題；3)子話題包括大數據安全技術、應用與安全、發展前景等多個方面。結果表明，大數據安全已在多個領域產生影響，并引起了社會多方面的關注。

圖4 參與“大數據安全”話題的主要微博用戶

3 新型網絡連接的數據安全風險

互聯網正在往“連接一切”的方向發展，這已經成為谷歌、騰訊等互聯網巨頭的目標。“連接一切”意味著連接全世界所有地區、人和設備。這里主要討論谷歌熱氣球無線連接、無網絡連接和物聯網這三類新連接的數據安全問題。

3.1 谷歌熱氣球無線網絡

地面互聯網連接成本低但依賴光纖等基礎設施，難以到達人口稀少和地理條件復雜的地區。衛星通訊覆蓋面大但成本極高。針對這些問題，谷歌2013年啟動了“Project Loon”項目[9]，通過熱氣球為地面提供Wi-Fi無線連接，目前已進入測試階段。當前，單顆熱氣球的最長續航時間已達134天，覆蓋面積相當于10個移動基站，可提供10M每秒的無線網絡，能適應復雜天氣與溫度，并按軌道準確飛行。

然而，熱氣球由谷歌公司所控制，在提供無線網絡的同時還是強大的數據采集設備。谷歌作為高空網絡運營商，理論上可獲得用戶傳輸的所有數據，包括接入網絡的個人隱私、傳感器數據。這將給數據安全甚至國家安全帶來新的隱患。雖然谷歌氣球的Wi-Fi還沒有進入中國，但其潛在的影響不難通過Wi-Fi安全來說明。Wi-Fi已成為隱私數據泄露的重要途徑，新浪微博關于“Wi-Fi隱私泄露”的討論熱度可證實這一點。2013年共有相關信息29.28萬條。2014年，在微博被分流的情況下，相關信息總數達到42.1萬條，同比增加43%。如圖5所示，Wi-Fi隱私泄露已由技術問題轉化為公共安全問題，引起了許多公安機關的關注。

圖5 參與“Wi-Fi信息泄露”話題的主要微博用戶

3.2 無網連接與通訊

目前，幾乎所有的網絡應用都需要接入互聯網。在網絡中斷的情況下或者沒有互聯網覆蓋的地區，所有的網絡應用都將失效。“無網絡連接”的組網方式針對這些情形而出現。即時通訊Firechat開創了這種新的網絡連接模式[8]，智能終端通過Wi-Fi或藍牙將相鄰的設備連接成網絡，實現終端之間的橋接與通訊。這種方式在因災難而導致通訊中斷時特別有效。目前Firechat在智利、以色列、瑞士、澳大利亞、比利時等國家位居移動社交應用的前列。

不同于傳統的互聯網，這類網絡沒有固定的路由與中繼設備，網絡結構動態生成。這種情形給數據安全帶來了全新的問題。首先，數據的通訊方式完全由組網的應用來定義，數據安全缺少通訊機制上的保證。其次，在出現數據安全問題后，由于通訊記錄的缺失，難以進行追蹤與溯源。再次，這類網絡與互聯網完全獨立，現有的網絡安全技術與設施都面臨失效。Firechat等應用在國內的普及速度也非常快。對新浪微博進行統計發現，2014年前半年關于Firechat的信息數僅6.2萬條，而2014年下半年快速增加至9.1萬條，增長了47%。

3.3 物聯網

物聯網中的智能設備都可隨時獲取數據并通過網絡傳輸，物聯網自身的特性是造成數據安全風險的重要原因。1)物聯網建立在互聯網的基礎上，互聯網具有的安全問題物聯網同樣具有。2)物聯網將網絡拓展到現實的物品當中，導致網絡的構成非常復雜，進而導致難以確定網絡環節是否被攻擊者控制。3)物聯網通常采用無線組網來保證終端的移動性，但由于無線信道的開放性，攻擊者只要在無線路由器或中繼器的范圍內就可能進入網絡。并且無線網絡終端的加密和防護能力較弱，而通過智能手機和手持設備發起攻擊的技術在不斷完善[3]，導致數據泄露面臨更嚴峻的威脅。4)物聯網終端通常是小型傳感器或智能終端，其存儲和處理能力較低，無法使用對存儲、計算和功耗要求較高的安全措施[14]。

物聯網中的設備均具有一定的感知、計算和執行能力，連接的設備類型比互聯網更多，獲取和傳輸的信息也更多。例如，可穿戴設備獲取的個人信息、工業網絡的企業信息、智慧城市網絡的社會信息等重要的數據都連接在網絡中。國家重要的基礎行業和領域如電力、醫療等也依賴于物聯網。這些重要信息可能因感知設備被入侵而竊取[6]，將影響個人及企業的數據安全，甚至上升到國家層面，成為影響國家發展和社會穩定的重要因素[15]。

4 總結

2014年，中國接入互聯網已滿20周年，互聯網的蓬勃發展帶來了一個新技術和新應用層出不窮、數據安全問題日益凸顯的新時代。2015年，基于可穿戴設備的物聯網、醫療大數據等新技術與模式將進一步發展。技術的發展應以安全為前提，數據安全需要產業鏈上的設計者、生產者及用戶的共同努力。另一方面，新技術在帶來新挑戰的同時，也將帶來新的解決方法與思路。

參考文獻

[1]2014年互聯網跨界趨勢報告[EB/OL].[2015-01-28].http://tech.qq.com/a/20140630/001999.htm#p=1

[2]姜逸文.移動互聯網下的信息安全問題及應對策略[J].中國新通信,2014,(10):123-124

[3]姚蕾.移動互聯網應用的安全風險探究淺析[J].電子世界,2014,(17):10-11

[4]袁露,肖志勇,王映龍.論大數據的現狀及其發展研究[J].教育教學論壇,2014,(44):86-87

[5]張占波.淺談大數據時代信息技術的機遇與挑戰[J].電子世界,2014,(18):7-7

[6]徐英武.物聯網安全問題研究[J].科技情報開發與經濟,2014,24(12):140-144

[7]Industry 4.0[EB/OL].[2015-01-28].http://en.wikipedia.org/wiki/Industry_4.0

[8]Firechat[EB/OL].[2015-01-28].https://firechat.firebaseapp.com/

[9]Project Loon[EB/OL].[2015-01-28].http://en.wikipedia.org/wiki/ Project_Loon

[10]2014年上半年Android手機隱私安全報告[EB/OL].[2015-01-28].DCCI互聯網數據中心與360手機安全中心.http://www.fzgh.org.cn/kejiqianyan/48950.html

[11]BYOD Security Report[EB/OL].[2015-01-28].New Webroot,2014

[12]譚秀麗,張茂新.大數據時代保證網絡信息安全的法律體系研究[J].商情,2014,(30):292-292

[13]2014年第二季度財報[EB/OL].[2015-01-28].http://tech.qq.com/zt2014/tx2014q1/

[14]丁婷婷.物聯網時代的信息安全防護[J].中國電子商務,2014,(17):30-30

[15]金洪穎.數據隱藏技術在物聯網安全中的應用探索[J].電腦知識與技術,2014,(22):5185-5186