“互聯網+”環境下的網絡平臺信息安全

聯通系統集成公司 北京 100032

1 概述

互聯網是網絡與網絡之間通過標準的協議相連而形成的巨大全球化網絡，在這個網絡中有路由器、交換機、防火墻等網絡設備、多種連接鏈路、繁多的服務器和數不盡的計算機終端。通過互聯網，人們可以將數據信息瞬間發送到千里之外的其他網絡節點中，它是信息社會的基礎。在互聯網技術的不斷成熟、推進下，“互聯網+”應運而生，它是互聯網發展的新形態、新業態，是知識社會的互聯網形態演進及其催生的經濟社會發展新形態；代表一種更為先進的生產力，推動著社會經濟形態隨著互聯網技術不斷演變，進而帶動社會實體經濟發展，為社會不斷改革、創新、發展提供了更為廣闊的網絡平臺。

“‘互聯網+’傳統行業”以互聯網發展為核心，與工業、商業、金融等服務行業全面融合，具有跨界融合、創新驅動、重塑結構、尊重人性、開放生態、連接一切等特點。

1.1 大數據提升社會治安管理

1)通過搜索數據、微信、微博等手段提高輿情監測效率；

2)使用大數據打擊犯罪，如利用目前通用的交通一卡通乘車數據，根據異常乘坐數據，或許可以容易判斷出對象是否是小偷，同時，利用人臉識別可以為公共安全提供更多的管控手段。

1.2 巨大的信息安全市場潛力

隨著“互聯網+”戰略的實施，隨之而來的信息安全事件，如個人信息被泄露、篡改、支付寶平臺癱瘓等等事件，使得網絡信息安全需求大幅提高，市場潛力巨大，其涉及的相差硬件產品、軟件產品及信息安全服務將迎來快速發展期。同時，在引起重大國際影響的“棱鏡門”事件發生后，網絡信息安全被提升到國家安全高度，信息安全將更加受到政府及企業重視，國產自主可控軟硬件產品將成為政策重點扶持方向，會迎來更大的市場空間和發展機遇(如圖1)。

圖1 2010～2015年中國信息安全市場規模

總之，機遇與挑戰并存，伴隨“互聯網+”的推進，中國作為擁有近7億網民的網絡大國，大部分傳統行業信息將數據化、在線化、移動化、遠程化，同時，隨著電子商務、互聯網的發展，產生的信息數據必將呈指數增長；這些信息數據會涉及整個社會、軍事及國民經濟的方方面面，與國家經濟發展甚至整個國家安全都息息相關，在這樣的新環境下，“互聯網+”面對的信息數據形式更加嚴峻，如何保障并提升信息安全，為社會經濟健康發展保駕護航，成為信息安全領域的新課題和使命。

2 “互聯網+”環境下信息安全的風險與挑戰

“互聯網+”環境下，信息系統主要主體是個人消費者、企業和政府等各級管理監管部門，每個主體都面臨各自的信息安全風險與挑戰。

2.1 個人消費者層

2.1.1 個人信息泄露

“互聯網+”環境下，每個人都貢獻著信息數據，信息數據泄露等安全問題更加凸顯。根據2016年4月29日國家工商總局發布的《中國消費者權益保護年度報告(2015工商行政管理卷)》數據顯示，涉及個人信息泄露事件多達1139件，同比增長69.2%[1]。

非法采集、竊取、販賣和利用個人信息的黑色產業鏈不斷“做大”。2014年，支付寶前員工非法販賣超過2G的個人信息，以及攜程網的“安全門”事件，都曾引起廣泛關注。今年2月，江蘇省淮安市公安機關發現，有人利用互聯網大肆倒賣車主、車牌號、車輛類型等公民個人信息。經縝密偵查，淮安公安機關抓獲犯罪嫌疑人陳某，當場查獲公民信息1500余萬條。近期發生的優步(UBER)個人信息泄露以及不法分子利用泄露的個人信息進行叫車服務對司機和個人都造成了嚴重經濟損失和不良的社會影響[2]。

泄露的個人信息數據，如被廣告商利用則能夠精準營銷，使個人不堪其擾；其次，網絡攻擊者利用信息數據中的郵件、微博、微信、手機號碼、家庭住址等敏感信息更容易鎖定目標；一些不法分子利用這些信息將會更有針對性地進行欺騙。

2.1.2 在線支付安全

我國首個《公眾網絡安全意識調查報告(2015)》正式發布。報告數據顯示，83.48%的網民網上支付行為存在安全隱患，特別是青少年和老年人的網絡安全意識亟待加[3]。

“互聯網+”環境下，在線支付安全是個人消費者面臨的另一個重大風險。2014年，黑客利用淘寶出現的重大信息安全漏洞獲取淘寶用戶信息；同年，因為攜程網信息安全漏洞，大量用戶信息被泄露。2016年7月，支付寶出現大面積使用故障，用戶在線上、線下購物支付時出現“網絡不給力，請稍后再試”的提示，無法支付成功，同時，轉賬時也遇到了同樣的問題。根據第36次中國互聯網絡發展狀況統計報告數據顯示，至2015年上半年，移動互聯網技術和應用在中國普及率持續提高，各類新型應用呈現爆發式增長，手機支付、手機網購、手機旅行預訂用戶規模分別達到2.76億、2.70億和1.68億，半年度增長率分別為26.9%、14.5%和25.0%。但手機等移動設備內置的安全保護非常有限，同時3G、4G、操作系統、應用軟件等的多樣性和不成熟性也加劇了移動支付被攻擊的威脅。“互聯網+”環境下，對個人用戶來說，財產安全面臨更加嚴峻的風險和挑戰。

2.2 企業層

傳統行業如教育、金融、交通、旅游、制造業、農業、房地產等在融入到“互聯網+”環境中時，因自身的業務特征，會帶來更多信息安全問題。例如“‘互聯網+’旅游”，其產業鏈包括導游認證、酒店預訂、車輛租賃、門票預訂、支付、網絡貨幣、保險服務等多個環節，在這樣龐大的旅游全業務鏈中，一方面交易雙方無法面對面鑒別真實身份；另一方面如何保障信息數據在網絡傳輸過程中的安全性、完整性；再有，一旦發生糾紛，電子證據如何證明雙方的交易行為，這些電子證據是否可以作為合法的法律證據使用？如近期出現的上海迪士尼樂園電子門票被冒用事件，購票游客最終只能自行再次購票。這些問題都是“‘互聯網+’旅游”要解決的關鍵問題。

2.3 管理層

2.3.1 法律和監管

法律發展受經濟條件影響，具有歷史類型的更替與繼承的規律，是受社會發展限制的，也就是說，法律具有穩定性、靜止性，而社會、經濟的發展是動態的，所以法律通常滯后于社會發展。

李克強總理在泉州企業視察時說過，“互聯網+”未知遠大于已知。對企業而言，企業未來發展有無限的空間和機遇；對法律及監管機構而言，卻是非常大的挑戰。原因有兩個方面，一是“‘互聯網+’傳統行業”的新業態形式會引出新的問題，法律要隨之制定新的規章制度定；二是新業態剛剛萌芽，未來發展有無限可能，如果法律及監管部門貿然制定規章制度，可能適得其反，限制了新業態的發展。

2.3.2 思想意識轉變

傳統行業中部分行業如農業、衛生等，剛剛開始融入“互聯網+”環境，缺少信息安全知識，信息安全意識薄弱。在保障信息安全的各種措施中，企業本身的安全防范和管理水平才是最重要的。通過正確的操作性強的管理流程、全程審計、日常維護、權限管理等手段可以進一步保障企業信息安全。同時，“互聯網+”環境下的新業態要求的是不同于傳統行業的全新的技術架構、商業模式，而傳統企業觀念及意識的改變需要一個長期的過程。

2.4 信息安全風險分析

通過以上在個人消費者層、企業層以及管理層出現的各種事件分析，不難看出，“互聯網+”環境下網絡信息安全風險主要體現在以下幾個方面。

1)技術安全風險。物理環境存在風險基礎信息、網絡和系統信息安全存在風險，如泄密、竊聽、竊照、抵賴、缺少監控與審計、數據庫安全等。

2)人為惡意攻擊。惡意代碼攻擊、網絡黑客、網絡入侵。

3)信息安全管理薄弱。法律法規滯后，安全意識薄弱，管理制度實操性不強，硬件響應機制不健全。

3 “互聯網+”環境下信息安全措施

根據信息數據安全策略的要求及上述信息安全風險分析的結果，“互聯網+”環境下的網絡平臺信息安全措施主要由物理安全措施、網絡安全措施、安全管理措施組成，安全架構如圖2所示。

3.1 物理安全措施

物理安全是保障網絡平臺的基本條件，保護網絡平臺設備、設施以及其它媒體設施免遭水災、地震、火災等環境因素以及人為誤操作、網絡犯罪行為的破壞、竊取。

網絡平臺的網絡機房在機房建設和機房選址時要遵循安全可靠的原則，如果是涉密的網絡平臺要考慮遠離商業、娛樂、餐飲、賓館或居民區等復雜物理環境，同時，對機房內的重要安全區域要建立完善、操作性強的管理制度，責任到人，在保障機房環境及網絡平臺健康、平穩運行的同時，逐步降低網絡平臺運行風險。針對不同物理地點的機房環境進行信息交互時，應選擇正規運營商的專有傳輸鏈路，進一步保障傳輸鏈路的安全，如果是涉密的信息系統還要考慮對物理傳輸鏈路進行數據加密措施。

圖2 互聯網+網絡平臺信息安全架構

3.2 網絡安全措施

網絡安全措施主要針對以下四個部分，即系統安全、運行安全、信息安全、安全管理。

3.2.1 系統安全

系統安全主要指“互聯網+”環境下網絡平臺上承載傳統業務系統數據的主機和服務器的安全，為保障系統安全，就要對主機和服務器系統進行安全加固，包括系統病毒與惡意代碼防護、系統安全檢測、系統入侵檢測(監控)和審計分析等方面的防護措施。

而針對個人移動用戶而言，在對操作終端安裝防病毒軟件的同時，要警惕惡意軟件，不要隨便打開不安全或未知的軟件，避免造成個人信息泄露。

對法律和監管部門來說，要加大對網絡欺詐、網絡犯罪的打擊力度，完善相應的法律法規，增加不法分子網絡犯罪的違法成本，逐步降低直至消除網絡犯罪。

3.2.2 運行安全

運行安全措施指對維持系統運行必備資源的管理，如信息資源管理、網絡設備管理，以及針對突發事件的系統應急響應措施，包括數據的備份、恢復和系統運行維護管理等。

1)信息資源就是“互聯網+”網絡平臺上的信息技術、設備、設施、信息產生、處理、存儲系統的集合。信息資源的安全管理是網絡安全的基礎，沒有信息資源的安全穩定，就談不上網絡安全。所以，在進行信息資源安全管理時，要制定文檔化的、操作性強的信息資源管理策略以及確保信息資源管理策略能夠正確實施的規章制度。在對“互聯網+”系統內的信息資源進行調整、維護時按照既有的規章制度進行，避免盲目化，可以提高系統安全運行系數。

2)網絡設備，就是在“互聯網+”網絡平臺上承載信息資源間信息交互的設備，是不同信息資源間通信的橋梁，是“互聯網+”網絡平臺穩固運行的基礎設施，所以在對網絡設備進行管理時，要制定嚴格的權限管理制度，設置不同的網絡設備管理人員，同時要對網絡設備進行加固，如定期修改網絡設備登錄密碼、控制登錄人員等，提高“互聯網+”網絡平臺穩固運行系數。

3)應急響應制度及策略是在“互聯網+”網絡平臺出現火災、地震、水災、斷電、病毒爆發、網絡攻擊、平臺軟硬件故障等突發事件時，可以保障網絡平臺繼續穩固運行的必要條件。“互聯網+”環境下不同行業系統應該根據自身行業系統的特點，制定不同的應急響應預案，一旦發生應急事件，應急小組人員可以依據預案將行業損失降到最低，同時，能夠及時恢復網絡平臺正常運行。

3.3 信息安全

“互聯網+”環境下的網絡平臺，集合了個人、企業等相關各方的海量信息數據，所以信息數據安全是“互聯網+”網絡平臺的重中之重，它涉及了“互聯網+”網絡平臺中信息傳輸安全、信息存儲安全及內容完整性校驗、安全審計與監控、身份鑒別、數據庫安全等方面[4]。

在“互聯網+”環境下網絡平臺進行信息數據傳輸時，可以采用數據傳輸加密技術、數據完整性校驗技術來保障傳輸安全；由于網絡是開放的，數據極有可能被非法截獲，為避免截獲的信息數據泄露，對信息數據加密變得非常重要，可以通過VPN技術、加密機產品等來實現，這樣一來，沒有加解密算法就無法獲取截獲信息數據中的機密信息。而信息數據完整性校驗技術能確保信息數據傳輸的完整性，大多采用重發、丟棄等辦法實現。在保證信息數據存儲安全性方面，設置本地存儲的同時，可以通過設置本地備份存儲加異地備份存儲的方式來實現，出現突發事件時依據應急響應預案來實現信息數據的恢復。

數據庫安全是“互聯網+”環境下行業系統的核心，數據庫內存儲的數據是保障行業系統應用正常運行的核心，所以在處理數據庫安全時需采取加密存儲，同時采取強制訪問控制措施避免數據庫管理員違規操作、用戶弱口令、SQL注入攻擊等安全隱患及漏洞[5]。

身份鑒別，簡單來說就是對“互聯網+”環境下的網絡平臺內用戶，包括信息資源、網絡設備等進行身份強認證機制，通過身份鑒別可以鑒定用戶的合法性，同時，能夠獲取合法用戶的詳細訪問記錄，為安全審計與監控提供內容。身份鑒別通常有三種方式驗證主體身份，包括用戶的UsbKey、令牌卡、生物特征等[6]。

安全審計與監控，審計與監控的事件是“互聯網+”網絡平臺上所有的資源、設備、數據等的啟動與關閉、增加與減少、身份鑒別、訪問控制、系統管理等，需要定時根據審計與監控分析網絡系統運行狀態，為系統內發生的事件提供安全分析、溯源服務等。安全審計與監控可以通過綜合安全審計系統軟件來實現[7]。

3.4 安全管理

在以上通過技術手段實現“互聯網+”環境下網絡平臺安全性的同時，成熟、規范、實操性強的安全管理制度也是保障網絡平臺安全的重要措施，是傳統行業在“互聯網+”環境下進一步健康、穩定發展的的重要保障措施。安全管理主要包括管理機構、管理人員、管理制度三個方面。

1)管理機構。包含兩部分，即企業所處行業上級安全管理機構和企業內部成立的安全管理機構，管理機構應根據職責履行的需要適時調整，以便進一步保障行業內或企業內的安全管理。

2)管理人員。應建立多級安全管理人員及審計崗位，并且安全管理人員相互獨立、制約的機制。管理人員應選用本企業或監管部門內業務技術精湛、政治表現良好的人員。在教育和培訓方面，管理機構應有計劃地提高管理人安全管理意識，定期培訓提升管理人員安全管理的專業技術水平。

3)管理制度。安全管理制度應該規范、安全、成熟、實操性強并且逐步完善，企業及企業人員要遵從，并提高安全意識。只有這樣，在“互聯網+”環境下的新業態的無限發展空間內，企業才能更健康地發展、法律才能更加完善、監管部門才能更好地履行監管責任[8]。

以上簡要介紹了“互聯網+”環境下網絡平臺信息安全風險及應對措施，我們應不斷改進“互聯網+”環境下的信息安全技術，提高“互聯網+”環境下系統的安全性和可靠性，從而促進“‘互聯網+’傳統行業”的蓬勃發展。

4 結語

“互聯網+”的時代是一個美好的時代，但也可能是最壞的時代。“互聯網+”正在以其低成本、高質量、高效率的特征逐步被廣大傳統行業接受，但“互聯網+”環境下的信息安全將會是人們一直關注和擔心的焦點，也會成為“‘互聯網+’傳統行業”全面推行的難點。“‘互聯網+’傳統行業”戰略為信息安全領域帶來了新的思想意識變革，對安全管理、技術、法律和監管等方面是新的挑戰，但“互聯網+”環境下也提升了輿情監測、企業決策、犯罪行為治理效率，為信息安全帶來了新的機會。如何把握大幅提升的安全需求，為“互聯網+”時代保駕護航是信息安全領域的新課題。

參考文獻

[1] 中國消費者權益保護年度報告(2015工商行政管理卷)[R/OL].(2016-05-03)[2016-07-30].http://www.saic.gov.cn/ywdt/xwfb/201605/t20160503_168329.html

[2] 網絡信息泄露形成黑色產業鏈 技術類竊取成重要源頭[EB/OL].(2016-07-25)[2016-07-30].http://news.xinhuanet.com/legal/2016-07/25/c_129175177.htm

[3] 公眾網絡安全意識調查報告(2015)[R/O L].[2016-07-30].http://wenku.baidu.com/link?url=MumlGgsf3USUSkBHyNL-9m95f6mh9kC5lpfaIn RLpf7wTle5WPh0DALazOi-kKNLf2aIItvXhruyJGbSdO0_puXQBeKIMh5UdTijExUe9ci

[4] 呂本富,張崇.“互聯網+”環境下信息安全的挑戰與機遇[J].中國信息安全,2015(6):34-36

[5] 陳越,寇紅召,費曉飛,等.數據庫安全[M].北京:國防工業出版社,2011

[6] 王秦.移動商務環境下身份認證機制的研究[M].北京:北京交通大學出版社,2011

[7] GB_Z20986-2007信息安全技術 信息安全事件分類分級指南[S/OL].(2007-06-14)[2016-07-30].http://www.doc88.com/p-1893004518747.html

[8] GB-T20988-2007信息安全技術信息系統災難恢復規范[S/OL].(2012-03-08) [2016-07-30].http://wenku.baidu.com/link?url=E1OQlyz9syvp0lDfeuOn2Z1jqmWb0C Mm-QWy2OxifJnvbST9HdLXtqckdzMtIsekQXXJlrg3bQ saO6ZyPJYWmOBxROMcQNcnj8lHF32W74a