“互聯網+”網絡信息安全現狀與防護研究

王長春 曾照華 張躍華

摘 要：隨著大數據、云計算等技術的飛速發展，如今已進入 “互聯網+”時代，將互聯網與傳統行業進行深度融合，可能存在更多信息安全隱患。通過分析互聯網新時代網絡信息安全現狀，比較了近年來發生的典型網絡信息安全事件，結合有關網絡安全的法律法規及政策，分析“互聯網+”時代網絡信息安全要素以及網絡信息安全威脅的來源，從而提出構建以“人”為核心的網絡信息安全三層戰略架構，并養成良好的互聯網使用習慣，對于保障個人身份隱私信息，如銀行賬戶和密碼信息等網絡信息安全將起到積極作用。

關鍵詞：互聯網+;信息安全;移動終端;安全架構

DOI：10. 11907/rjdk. 191218 開放科學（資源服務）標識碼（OSID）：

中圖分類號：TP309文獻標識碼：A 文章編號：1672-7800（2020）002-0282-03

英標：Study on the Status and Protection of Network Information Security in the “Internet Plus” Era

英作：WANG Chang-chun1，ZENG Zhao-hua1，ZHANG Yue-hua2

英單：（1. Educational Information Center，Shanxi Institute of Technology;2. Section of State-owned Assets Management，Shanxi Institute of Technology，Yangquan 045000，China）

Abstract： With the rapid development and improvement of big data， cloud computing and other technologies， it has now entered the era of “Internet +”， making the Internet and traditional industries more deeply integrated， and the hidden dangers of information security are more obvious. By analyzing the current situation of network information security， this paper compares the typical network information security incidents and Internet development security reports in recent years， and analyzes the sources and the threat of network information security according to relevant laws， regulations and policies，so as to put forward the construction of network letters with “people” as the core. The three-tier strategic framework of information security and good habits of using the Internet have played a positive role in protecting the network information security of personal identity privacy information， bank account and password information.

Key Words： Internet +; information security; mobile terminal; security architecture

0 引言

隨著互聯網的飛速發展，傳統行業利用信息通信技術及互聯網平臺，使互聯網與傳統行業深度融合，如今已進入“互聯網+”時代[1]。同時大量移動終端與智能設備都接入了互聯網，從而使網絡信息量急劇增加，信息安全隱患也隨之增長。本文分析了互聯網新時代的網絡信息安全現狀，介紹了典型的網絡安全事件與近期發布的有關網絡安全的法律法規及政策，分析了網絡信息安全要素和網絡信息安全威脅的來源，提出構建以“人”為核心的網絡信息安全三層戰略架構，并養成良好的互聯網使用習慣，以確保個人身份隱私信息，如銀行賬戶和密碼信息等網絡信息的安全。

1 “互聯網+”時代網絡信息安全現狀分析

1.1 互聯網接入設備大量增加

隨著云計算、大數據等技術的快速發展，智能移動終端在硬件、軟件和帶寬3個方面不斷改進，并且伴隨著移動終端功能的逐漸強大，與用戶生活密切相關的大量智能設備都接入了互聯網，包括常用的PC電腦、筆記本、智能手機，空調、冰箱等家用電器以及互聯網概念車，甚至網絡安全監控設備等。無線局域網的應用領域也不斷擴大[2]，因此存在巨大的安全隱患，特別是個人私密信息如身份證、銀行卡賬號、交易密碼、個人信用等都暴露在互聯網中[3]。

1.2 安全隱患案例分析

因為互聯網環境是自由開放的，而部分網絡系統數據安全性較低，通常情況下潛在的數據安全問題表現為黑客通過非法渠道竊取信息，以下列舉部分典型案例[4]。如2016年發生的8·19徐玉玉電信詐騙案，犯罪嫌疑人杜某利用技術手段攻擊了“山東省2016高考網上報名信息系統”，并在網站植入木馬病毒，獲取網站后臺登錄權限，盜取了包括徐玉玉在內的大量考生報名信息，然后將信息轉賣出去。2016年10月，孝感市公安局網安支隊聯合漢川市網安大隊經過4個月的縝密偵查和周密布控，成功破獲了陳某等人侵犯公民個人信息案，截獲各類個人信息數據20余G，近千萬條，涉案的2名主要犯罪嫌疑人被移送起訴。這是孝感警方近年來偵破的第一起重大侵犯公民個人信息案。

2017年3月，個別不法分子利用共享單車的開鎖二維碼進行非法交易，用戶掃描二維碼后很可能會遭受財產損失，甚至會跳轉到含有木馬的假租車軟件，從而導致個人信息和銀行卡信息被盜取[5]。2017年5月12日，WannaCry蠕蟲病毒通過MS17-010漏洞在全球范圍內大爆發，感染了大量計算機，該蠕蟲感染計算機后會向計算機中植入敲詐者病毒，導致電腦中大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于300美元（約合人民幣2 069元）的比特幣才能解鎖。2017年6月，一款偽裝《王者榮耀》游戲的輔助工具軟件打著游戲外掛的名義吸引游戲玩家下載安裝，界面與PC端大規模肆虐的WannaCry極為相似，用戶中毒后，將對手機內的個人文件進行加密，然后向用戶索要贖金。2017年12月，一個名為“Janus”的安卓高危漏洞被發現，該漏洞允許惡意攻擊者繞過安卓的簽名機制，將惡意代碼植入安卓應用程序中篡改APP。一旦用戶安裝了植入惡意代碼的APP應用程序，不僅會造成用戶個人隱私泄露，甚至可能導致資金被盜、手機被遠程操控的后果。

2018年初又爆發了多起網絡安全事件，繼曝出CPU芯片級漏洞事件之后不久，騰訊安全玄武實驗室首次發現了“應用克隆”攻擊模型，用戶只需點擊一個鏈接，攻擊者便可輕松克隆用戶賬戶權限，盜取用戶賬號及資金等[8]。支付寶、攜程等國內主流APP均在受影響之列，涉及幾乎全部安卓手機用戶。

網絡信息安全事件在國內頻繁發生，在國外也不例外。例如：2017年，美國達拉斯警報器遭黑客入侵，警笛聲持續1小時;黑客入侵Edmodo教育平臺，竊取7千余萬教師、學生和家長賬戶信息;某國重要機構數千份機密文檔泄露，涉及的黑客工具包括各種0day工具及惡意程序等[9]。

網絡信息泄露事件涉及領域非常廣泛，包括交通、物流、醫療、金融等與用戶密切相關的各個行業。《中國互聯網站發展狀況及其安全報告（2017）》中指出：2017年境內被篡改網站近1.7萬個，其中被篡改政府網站467個，分別下降了31.7%和47.9%，表明我國政府網站的安全防護水平整體上已得到了很大提高，省部級以上網站網頁被明文篡改的情況已經很少發生[10];被植入后門的網站數量為8.2萬余個，同比上升9.3%，涉及IP地址約4萬個，其中84.9%位于境外。

2 網絡信息安全法律法規

為了保障網絡安全，維護網絡空間主權與國家安全、社會公共利益，保護公民、法人及其它組織的合法權益，促進社會信息化的健康發展，全國人民代表大會常務委員會于2016年11月7日發布了《中華人民共和國網絡安全法》，自2017年6月1日起施行，從而確立了網絡安全在整個信息系統建設中的核心地位。網絡安全法有6大特點：一是明確了網絡空間主權原則，二是明確了網絡產品和服務提供者的安全義務，三是明確了網絡運營者的安全義務，四是進一步完善了個人信息保護規則，五是建立了關鍵信息基礎設施安全保護制度，六是明確了關鍵信息基礎設施重要數據的跨境傳輸規則等。

早在2014年2月27日，中央即成立了網絡安全和信息化領導小組，該機構的主要職責為統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網絡安全和信息化重大問題，研究制定網絡安全及信息化發展戰略和重大政策，以及推動國家網絡安全和信息化法治建設進程。

習近平總書記在中央網絡安全和信息化領導小組會議等多個會議中提到，網絡安全和信息化是相輔相成的。網絡信息安全已被提升到國家安全層面，實施網絡強國戰略，需要加快提高網絡管理水平、增強網絡空間安全防御能力，并利用網絡信息技術推進社會治理，即沒有網絡安全就沒有國家安全。

除《中華人民共和國網絡安全法》外，還推出了針對網絡安全與信息安全的諸多法規政策，如《中華人民共和國計算機信息系統安全保護條例》《個人信息和重要數據出境安全評估辦法（征求意見稿）》《網絡產品和服務安全審查辦法（征求意見稿）》《國家網絡空間安全戰略》《信息安全等級保護管理辦法》等。

3 網絡信息安全保護

網絡信息安全是一項復雜的系統工程，涉及人員、技術、設備、管理等多方面因素，只有將安全要素的保障策略結合起來，才能形成一個高效的網絡信息安全系統[11]。

3.1 網絡信息安全要素分析

網絡信息安全要素主要包括人員、技術和管理。人員方面問題包括：系統使用人員保密觀念不強，對關鍵信息未進行加密處理，密碼保護強度低，文檔共享未經過必要的權限控制，或因為業務不熟練、缺乏責任心，無意中破壞了網絡系統與設備的保密措施;專業人員利用工作之便，采用非法手段訪問系統并獲取信息;非法人員利用系統端口或傳輸介質，采用監聽、捕獲、破譯等手段竊取保密信息。技術方面問題包括網絡通信線路和設備缺陷以及軟件存在漏洞后門等[12]。其中網絡通信線路方面問題有：①電磁泄露。攻擊者利用電磁泄露，捕獲無線網絡傳輸信號，破譯后能較輕易地獲取傳輸內容;②設備監聽。不法分子通過對通信設備的監聽捕獲傳輸信息;③終端接入。攻擊者在合法終端上接入非法終端，利用合法用戶身份操縱該計算機通信接口，使信息傳輸到非法終端;④網絡攻擊。

3.2 網絡信息安全威脅來源

網絡信息安全威脅主要來源于6個方面：①網絡：組建無線局域網、內部局域網、3G/4G移動網絡等;②物理接觸：關鍵設備、部件替換、內部網絡物理接入等;③人員：收買內部工作人員、攻擊關鍵人員或利用黑客身份直接潛入等;④數據：包括個人數據、應用平臺數據、業務系統數據、云數據及其它數據等;⑤應用：包括Web應用、郵件系統、OA系統、業務系統等;⑥操作系統：包括主機操作系統、服務器操作系統、移動終端操作系統以及接入互聯網其它設備的操作系統等[13]。

3.3 網絡信息安全保護措施

3.3.1 構建以“人”為核心的網絡信息安全戰略架構

網絡信息安全戰略架構要求主動、動態、全員參與，全方位地考慮安全建設，從單位管理層的行政命令要求出發，從法律義務層面保障網絡信息安全;網絡安全管理團隊需要將安全保障作為主要任務開展工作;業務運維第三方要將安全作為基本需求，使網絡安全管理貫穿整個業務生命周期，這是建立網絡信息安全戰略架構的前提。

構建以“人”為核心的網絡信息安全戰略架構主要從3個方面考慮：一是安全管理，提高管理人員安全意識，建立網絡信息安全相關制度，并對網絡信息安全提供強有力的應急支持;二是技術支撐，降低網絡信息安全風險，加強網絡基礎設施建設，提高網絡核心產品與終端安全性[14]，特別是網絡應用安全;三是落實執行，制定網絡信息安全應用預案并進行實地演練，定期開展網絡安全比賽、網絡安全培訓，以提升相關管理人員的網絡信息安全防護能力。

要堅持“管理為主、技術為輔”的安全理念，實行專人專管，必須有負責單位網絡信息安全的專職崗位及人員，并且持有相應的安全等級證書以保證具備足夠的網絡安全知識和技能;做好數據資料保護，謹慎進行電子交易、網上支付等涉及經濟利益的操作[15];及時修復安全漏洞，防范自身信息泄露與財產損失。

3.3.2 養成良好的用網習慣

在互聯網世界里沒有絕對安全，只有實時檢測、實時響應、實時恢復、防治結合，才能保證網絡信息的相對安全。對于個人而言，要養成良好的用網習慣，以預防為主，加強個人防范意識，防患于未然。服務器和客戶端都安裝殺毒軟件，并不定期升級;盡量不使用下載工具;定期備份數據;不隨意下載機密信息到本地;不隨意共享信息;不隨意讓他人使用自己的機器;不隨意執行不明用途的應用程序;對所有應用程序設置不同的超強口令;安裝最新的服務包和補丁程序;不隨意接收文件;不隨意訪問陌生網站;不隨意泄露個人私密信息;不隨意掃描二維碼，以及接入免費Wi-Fi;交流中特別注意隱私保護;遵守網絡信息安全法律法規和有關政策;訪問正規網站，特征是網站首頁底部有工信部備案的ICP號、公安部門備案號和事業單位備案號等;安裝正版殺毒軟件如360殺毒、金山毒霸、百度殺毒軟件等，如遇到非法網站立即到中國互聯網違法和不良信息舉報中心（www.12377.cn）等正規網站進行舉報。

4 結語

在當前互聯網高速發展的時代，大量移動終端與智能設備都接入了互聯網，從而使網絡信息量急劇增加，信息安全隱患也隨之增長。通過分析網絡信息安全現狀，結合有關網絡安全的法律法規及政策，分析了“互聯網+”時代網絡信息安全要素以及網絡信息安全威脅的來源，提出構建以“人”為核心的網絡信息安全三層戰略架構。雖然在信息社會沒有絕對安全的網絡，但只要遵守網絡安全法律法規，增強網絡信息安全意識，提高網絡信息安全防護水平，養成良好的上網習慣，即能在最大程度上保障網絡信息安全。

參考文獻：

[1] 常俊. 互聯網+時代網絡安全防御現狀及關鍵技術研究[J]. 網絡安全技術與應用， 2018（11）：6，26.

[2] 高情. 校園無線局域網設計研究[J].? 軟件導刊，2016（10）：173-175.

[3] 賀道德. 互聯網+時代下的網絡安全技術分析與研究[J]. 無線互聯科技， 2018（18）：41-43.

[4] 陳華，蔡燕. 互聯網+時代內部網絡安全管理策略研究[J]. 信息與電腦， 2017（22）：178-179.

[5] 丁小娜. 基于移動智能終端安全威脅與防護技術的研究[J]. 數字技術與應用， 2017（1）： 192-193.

[6] 嚴晨雪. 電子政務外網安全體系研究[J]. 軟件導刊，2018（6）：194-197.

[7] 孫曉霞. 校園無線網絡安全防護研究[J]. 網絡安全技術與應用，2016（1）：109-110.

[8] 沈繼云. 網絡安全分析與大數據技術的應用[J]. 網絡安全技術與應用，2017（12）： 75-76.

[9] 于躍. 計算機網絡信息安全及防護[J]. 電子技術與軟件工程，2017（12）：229.

[10] 潘子軒. 基于擴展式博弈的網絡安全防御策略研究[J]. 軟件導刊，2018（10）：191-193，199.

[11] 魏至銳. 高校無線網絡系統的分析與設計[D]. 昆明：云南大學，2015.

[12] 王輝. 基于互聯網應用的應用型本科網絡工程專業課程體系建設研究[J]. 軟件導刊， 2016（12）：177-179.

[13] 賴特. 網絡安全設備日志融合技術研究[D]. 成都：電子科技大學，2015.

[14] 張新剛，于波，田燕，等. 大數據時代高校網絡空間安全層次化保障體系分析[J]. 網絡安全技術與應用， 2017（1）：107-108.

[15] 董征宇. 智能計算下計算機網絡可靠性研究綜述[J]. 軟件導刊， 2017（9）： 216-218.

[16] 周曉青. 計算機網絡信息安全問題的對策[J]. 電子技術與軟件工程， 2019（1）：190.

[17] 張剛. 計算機網絡信息安全及其防護對策[J]. 電子技術與軟件工程， 2019（1）：196.

[18] 黃娟. 網絡安全問題預防對策探討[J]. 現代工業經濟與信息化， 2019（1）：70-71.

[19] 包金峰. 防范網絡型病毒的計算機安全技術探討[J]. 信息與電腦，2018（24）：3-4.

[20] 張永強. 計算機網絡安全技術與防范措施探討[J]. 信息技術與信息化，2018（12）：121-122.

（責任編輯：黃 健）