“互聯網+”時代網絡信息安全現狀與防護研究

◆陳朝兵

“互聯網+”時代網絡信息安全現狀與防護研究

◆陳朝兵

（四川省旅游學校 四川 610041）

在現代科技領域的發展中，實現了互聯網的全面覆蓋，同時也推動了大數據技術與云計算的進一步發展，為傳統行業的發展帶來了全新的機遇和挑戰。但如同工業化發展一樣，人們在享受前所未有的舒適感的同時，也在面臨著一系列的安全問題。本文分析了當前互聯網+網絡信息安全的使用狀況，以及近些年所發生的典型網絡信息安全事件，同時結合了目前已出臺的，有關網絡信息安全的政策與法律法規，總結了保證網絡信息安全的核心要素，剖析了網絡信息安全威脅的來源，提出了以“人”為核心的網絡信息安全構建策略，意在推動“互聯網+”網絡信息安全防護的最終實現。

計算機；互聯網+；信息安全；防護

1 “互聯網+”時代網絡信息安全現狀分析

近年來，大量的網絡安全監測數據表明，當前我國的互聯網安全存在諸多隱患，具體包括以下幾個層面：

首先是惡意程序，2019年監測出境外控制服務器大約有4.7萬個，而與此同時，我國受到惡意程序攻擊的計算機已經超過了2574萬臺，遠程控制木馬的數量最多，占全部惡意程序的73.2%，此外，網絡木馬占比為19.3%。必須定期進行木馬清除，才能有效保障互聯網安全。而在2019年我國互聯網行業治理了578個大規模的僵尸網絡，2020年治理了619個控制規模較大的僵尸網絡。

其次是安全漏洞，從當前國家級漏洞庫所收錄的軟硬件漏洞種類來看，品種還是十分齊全的，同時也正處于逐漸上升的態勢，現階段，我國互聯網安全中心共收錄了超過17164個網絡漏洞，較2019年相比，上漲了36.5%。同時也成立了電信漏洞庫、移動互聯漏洞庫以及電子政務漏洞庫等多個子漏洞庫。同時在漏洞庫在實現了3144個安全漏洞修復，相比上一年高出了110.9%，其中包含網絡攝像頭、路由器以及會議系統。

最后是網站安全，在2020年中，我國一共發現網站安全超過6.3萬起，共處理了3.1萬，其中包含移動互聯網頁面7000左右，被植入后門的網站安全問題約4.6萬，威脅IP的網站超過了2.7萬，而其中境外超過90%。另外，在網絡安全中，網頁被篡改也是常見現象。

對于用戶來說，無論是個人還是企業，低網絡信息安全度將提高數據信息泄露的風險，無論威脅來自哪個方面的安全漏洞，其結果都會給用戶使用造成極大阻礙，個人信息與財產信息的泄露直接增加了網絡犯罪率。

2 典型案例分析

由于互聯網具有良好的開放性與共享性，同時一些網絡系統的安全性能比較低，所以一般情況下，很容易出現非法竊取以及黑客入侵的現象。

案例一：

2016年8月19日，犯罪嫌疑人杜某通過某種網絡入侵手段，對“山東省高考網上報名系統”進行攻擊，通過木馬植入，獲取后臺權限，成功盜取了被害人徐某某等大量的考生信息，并將其轉賣。

從這案例中我們可以看出，黑客攻擊行為并不僅僅局限于個人終端電腦，高考網上報名信息系統并不是以個人名義創建的，具有很強的地方政府背景，在這種情況下都能受到攻擊，除了說明攻擊者狡猾，并且其所使用的攻擊手段多樣化外，系統防護意識不足也是不容忽視的問題。這類問題的頻繁發生，充分說明了當前人們對網絡信息安全防護的意識不足。

案例二：

2017年12月，網絡安全技術人員發現了名為“Janus”的高危漏洞，通過“Janus”漏洞能夠直接繞過允許機制，惡意植入木馬，對安卓應用程序進行惡意篡改，如果用戶的APP內部被植入這種木馬，不但會泄露個人因素，同時也可能會存在資金盜刷以及手機操控等影響。

此類攻擊行為多半來自某些組織，是有目的、有計劃的，甚至是一種長期的攻擊行為，可能不會只針對某一個企業，或某一個品牌的產品。我們需要考慮的是，為什么安卓的簽名機制會被如此輕松的繞過？

案例三：

2018年初，在CPU芯片漏洞事件發生后，又接連出現多起網絡安全事件，其中影響最嚴重的要數騰訊發現的“應用克隆”安全問題，用戶只要點擊惡意鏈接，便將用戶權限輕松的“奉獻”給了攻擊者，攻擊者輕而易舉就可以套取裝回信息和資金，其中一些國內主流APP都受到了侵襲，幾乎對所有安卓用戶帶來了巨大隱患。

對于此類問題，它們都源自同一個原因，即我們長期以來都喜歡“專攻”某一個最流行的“產品”，或是復制，或是模仿，總之，內核是永遠不會被改變的，包括優化升級。這種行為其實是黑客最喜歡的，因為只要攻破一個產品的程序，其他自然不在話下。即便是騰訊，旗下眾多產品的創作靈感均來自國外，有些甚至是直接照搬，比如QQ。并且，即便是“創作”，也僅僅是指經營思路和對產品的外包裝層面，技術上從來沒有過創新。而這恰恰是黑客們最為喜歡的。

3 關于網絡信息安全法律法規的制定

早在2014年，我國網絡安全部門以及信息領導小組就已經積極提出了網絡安全規劃與管理戰略，并將網絡信息安全作為當前的重要工作目標，全面推動我國網絡信息安全整治工作進程。為了更有效提高網絡用戶的信息安全，維護公民合法權益，強化網絡秩序，提高國家、社會公共乃至全體人民的合法權益，推動社會的和諧發展，我國針對這一問題深入研究并出臺了相關網絡安全發了財法規，并加大實施力度，徹底強化了網絡信息安全在信息化發展中的重要地位。

網絡安全法共有6大特點，分別是：

（1）明確了網絡空間主權原則；

（2）明確了網絡商品供應者的安全義務；

（3）明確了網絡運營者的安全義務；

（4）進一步完善了個人信息保護規則；

（5）強化網絡信息安全保護體系；

（6）加強網絡基礎設施建設的傳輸安全規范。

4 網絡信息安全的具體防護

4.1 網絡信息安全要素分析

首先我們需要明確的是，網絡信息安全工作是沒有終點的，只要“網絡”還存在，網絡信息安全防護就不能停歇，由此可見，網絡信息安全并非一朝一夕，這時一些復雜且漫長的系統工程。通過對前面幾則案例進行分析，我們將影響網絡信息安全的因素歸結為以下幾方面，即人員、技術、設備、管理、制度，其中“人員”包括了攻擊者被攻擊者，其中不乏組織機構、集體以及個人，例如用戶的信息安全意識不強，并沒有做好重要信息的加密處理，密碼保護強度較低，信息共享并沒有設置全新，或者用戶對網絡操作并不熟悉，缺乏安全責任意識，無意中破壞了安全網絡措施。另外專業人員利用自己的權力非法獲取重要信息，不法分子利用傳輸端口與介質非法捕獲與監聽保密資料。

“制度”就是上面所講的一系列法律法規。若想建立一個成熟、穩定、科學、有效的網絡信息安全防護體系，就必須在上述這些因素中多下功夫，做足文章，將安全要素的保障策略全部結合起來。

4.2 網絡信息安全威脅來源

網絡信息安全威脅通常情況下可以分為以下幾個層面：

第一，網絡層面。這個層面的威脅主要是局域網、無線網絡、移動網絡等受到威脅；

第二，物理接觸。主要是硬件設備被替換，通過物理手段實現惡意介入，對網絡信息造成威脅；

第三，技術人員。技術人員自身利用職務之便、攻擊者買通內部人員以及黑客利用技術手段進行入侵；

第四，數據層面。主要包括數據平臺、業務系統、運維數據等多個層面；

第五，應用層面。主要包括OA系統、郵件、網頁以及業務系統；

第六，操作系統。其中包括終端操作、主機操作、服務器操作以及計入互聯網設備。

4.3 網絡信息安全保護措施

（1）構建以“人”為核心的網絡信息安全戰略架構

構建以“人”為核心的網絡信息安全戰略架構需要以下三個方面來做考慮：

首先是安全管理。提高管理人員的安全意識與憂患意識，嚴格按照我國網絡安全法律法規內容，構建完善的網絡安全管理體系，制定科學的信息安全管理架構，以為網絡信息安全工作提供強而有力的應急支持。

其次是技術支撐。通過提升技術水平來做好網絡基礎設施建設，從根本上提高網絡軟硬件產品的安全性和功能性，包括各類終端設備，從而有效降低網絡信息安全風險。

然后是落實執行。制定網絡信息安全應用預案并進行實地演練，定期開展網絡安全比賽、網絡安全培訓，以提升網絡信息安全防護能力。

總之，提升安全人員意識是基礎，提高安全人員能力是目標，安全人員技術配合是支撐，關鍵是安全人員的執行效果。

（2）養成良好的用網習慣

正如前面所講，只要網絡還存在，互聯網還存在，網絡威脅就永遠不會被解除，網絡信息安全工作將會永遠進行下去。因此，做好實時檢測、實時響應、實時恢復等工作就顯得尤為重要，只有做好這些內容，才能更有效提高網絡信息安全。另外，用戶也要養成良好的上網習慣，強化網絡安全意識，這也是至關重要的。前面所列舉的幾個案例均與用網習慣有關，包括對App的依賴性應用。在具體操作上，在客戶端與服務器中正確的安裝殺毒設備，并對殺毒設備進行合理的升級維護，及時對重要數據進行備份，不將重要信息下載至本地網絡，杜絕隨意開展信息共享，不隨意開啟不明應用程序，及時更新補丁包，杜絕隨意接受和算數文件，謹慎開啟陌生網址，不隨意在網絡透露個人信息，謹慎接入免費網絡，提高隱私保護意識，嚴格按照我國網絡信息安全法律進行網絡操作，登錄正規網址，安裝正本殺毒軟件。

5 結束語

在大數據與云計算等技術的支持下，網絡信息量急劇增加，大量移動終端與設備的接入，使信息在網絡上的傳輸變得更加“肆無忌憚”，但同時也引發了更為嚴重的安全問題。互聯網與傳統行業進行深度融合的發展戰略的確讓人們獲得了前所未有的良好體驗，但我們也必須清醒認識到，當前已存在的，或潛在的網絡信息安全隱患，將在一定程度上制約了我們的健康發展。若想從深層次剖析問題所在及其成因，需要我們結合當前的發展現狀與應用現狀，從問題本身出發，抽象出影響要素，并有針對性地提出改善策略。

[1]趙曉峰，趙俊杰.互聯網+網絡信息安全現狀與防護研究[J].科技風，2020（25）：86-87.

[2]何祥龍，楊志，何瑋煒，王強.互聯網+網絡信息安全現狀與防護研究[J].信息通信，2020（03）：174-175.

[3]王長春，曾照華，張躍華.“互聯網+”網絡信息安全現狀與防護研究[J].軟件導刊，2020，19（02）：282-284.

[4]魏育華，陳允行.互聯網+時代高職院校校園網絡信息安全的現狀與防護探究[J].信息與電腦（理論版），2016（17）：161-163.

[5]李麗.我國互聯網信息安全現狀及對策研究[J].信息與電腦（理論版），2015（23）：157-158.