“互联网+”网络信息安全现状与防护研究

2020-05-25王长春曾照华张跃华

软件导刊 2020年2期

王长春曾照华张跃华

摘要：随着大数据、云计算等技术的飞速发展，如今已进入 “互联网+”时代，将互联网与传统行业进行深度融合，可能存在更多信息安全隐患。通过分析互联网新时代网络信息安全现状，比较了近年来发生的典型网络信息安全事件，结合有关网络安全的法律法规及政策，分析“互联网+”时代网络信息安全要素以及网络信息安全威胁的来源，从而提出构建以“人”为核心的网络信息安全三层战略架构，并养成良好的互联网使用习惯，对于保障个人身份隐私信息，如银行账户和密码信息等网络信息安全将起到积极作用。

关键词：互联网+;信息安全;移动终端;安全架构

DOI：10. 11907/rjdk. 191218 开放科学（资源服务）标识码（OSID）：

中图分类号：TP309文献标识码：A 文章编号：1672-7800（2020）002-0282-03

英标：Study on the Status and Protection of Network Information Security in the “Internet Plus” Era

英作：WANG Chang-chun1，ZENG Zhao-hua1，ZHANG Yue-hua2

英单：（1. Educational Information Center，Shanxi Institute of Technology;2. Section of State-owned Assets Management，Shanxi Institute of Technology，Yangquan 045000，China）

Abstract： With the rapid development and improvement of big data， cloud computing and other technologies， it has now entered the era of “Internet +”， making the Internet and traditional industries more deeply integrated， and the hidden dangers of information security are more obvious. By analyzing the current situation of network information security， this paper compares the typical network information security incidents and Internet development security reports in recent years， and analyzes the sources and the threat of network information security according to relevant laws， regulations and policies，so as to put forward the construction of network letters with “people” as the core. The three-tier strategic framework of information security and good habits of using the Internet have played a positive role in protecting the network information security of personal identity privacy information， bank account and password information.

Key Words： Internet +; information security; mobile terminal; security architecture

0 引言

随着互联网的飞速发展，传统行业利用信息通信技术及互联网平台，使互联网与传统行业深度融合，如今已进入“互联网+”时代[1]。同时大量移动终端与智能设备都接入了互联网，从而使网络信息量急剧增加，信息安全隐患也随之增长。本文分析了互联网新时代的网络信息安全现状，介绍了典型的网络安全事件与近期发布的有关网络安全的法律法规及政策，分析了网络信息安全要素和网络信息安全威胁的来源，提出构建以“人”为核心的网络信息安全三层战略架构，并养成良好的互联网使用习惯，以确保个人身份隐私信息，如银行账户和密码信息等网络信息的安全。

1 “互联网+”时代网络信息安全现状分析

1.1 互联网接入设备大量增加

随着云计算、大数据等技术的快速发展，智能移动终端在硬件、软件和带宽3个方面不断改进，并且伴随着移动终端功能的逐渐强大，与用户生活密切相关的大量智能设备都接入了互联网，包括常用的PC电脑、笔记本、智能手机，空调、冰箱等家用电器以及互联网概念车，甚至网络安全监控设备等。无线局域网的应用领域也不断扩大[2]，因此存在巨大的安全隱患，特别是个人私密信息如身份证、银行卡账号、交易密码、个人信用等都暴露在互联网中[3]。

1.2 安全隐患案例分析

因为互联网环境是自由开放的，而部分网络系统数据安全性较低，通常情况下潜在的数据安全问题表现为黑客通过非法渠道窃取信息，以下列举部分典型案例[4]。如2016年发生的8·19徐玉玉电信诈骗案，犯罪嫌疑人杜某利用技术手段攻击了“山东省2016高考网上报名信息系统”，并在网站植入木马病毒，获取网站后台登录权限，盗取了包括徐玉玉在内的大量考生报名信息，然后将信息转卖出去。2016年10月，孝感市公安局网安支队联合汉川市网安大队经过4个月的缜密侦查和周密布控，成功破获了陈某等人侵犯公民个人信息案，截获各类个人信息数据20余G，近千万条，涉案的2名主要犯罪嫌疑人被移送起诉。这是孝感警方近年来侦破的第一起重大侵犯公民个人信息案。

2017年3月，个别不法分子利用共享单车的开锁二维码进行非法交易，用户扫描二维码后很可能会遭受财产损失，甚至会跳转到含有木马的假租车软件，从而导致个人信息和银行卡信息被盗取[5]。2017年5月12日，WannaCry蠕虫病毒通过MS17-010漏洞在全球范围内大爆发，感染了大量计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑中大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元（约合人民币2 069元）的比特币才能解锁。2017年6月，一款伪装《王者荣耀》游戏的辅助工具软件打着游戏外挂的名义吸引游戏玩家下载安装，界面与PC端大规模肆虐的WannaCry极为相似，用户中毒后，将对手机内的个人文件进行加密，然后向用户索要赎金。2017年12月，一个名为“Janus”的安卓高危漏洞被发现，该漏洞允许恶意攻击者绕过安卓的签名机制，将恶意代码植入安卓应用程序中篡改APP。一旦用户安装了植入恶意代码的APP应用程序，不仅会造成用户个人隐私泄露，甚至可能导致资金被盗、手机被远程操控的后果。

2018年初又爆发了多起网络安全事件，继曝出CPU芯片级漏洞事件之后不久，腾讯安全玄武实验室首次发现了“应用克隆”攻击模型，用户只需点击一个链接，攻击者便可轻松克隆用户账户权限，盗取用户账号及资金等[8]。支付宝、携程等国内主流APP均在受影响之列，涉及几乎全部安卓手机用户。

网络信息安全事件在国内频繁发生，在国外也不例外。例如：2017年，美国达拉斯警报器遭黑客入侵，警笛声持续1小时;黑客入侵Edmodo教育平台，窃取7千余万教师、学生和家长账户信息;某国重要机构数千份机密文档泄露，涉及的黑客工具包括各种0day工具及恶意程序等[9]。

网络信息泄露事件涉及领域非常广泛，包括交通、物流、医疗、金融等与用户密切相关的各个行业。《中国互联网站发展状况及其安全报告（2017）》中指出：2017年境内被篡改网站近1.7万个，其中被篡改政府网站467个，分别下降了31.7%和47.9%，表明我国政府网站的安全防护水平整体上已得到了很大提高，省部级以上网站网页被明文篡改的情况已经很少发生[10];被植入后门的网站数量为8.2万余个，同比上升9.3%，涉及IP地址约4万个，其中84.9%位于境外。

2 网络信息安全法律法规

为了保障网络安全，维护网络空间主权与国家安全、社会公共利益，保护公民、法人及其它组织的合法权益，促进社会信息化的健康发展，全国人民代表大会常务委员会于2016年11月7日发布了《中华人民共和国网络安全法》，自2017年6月1日起施行，从而确立了网络安全在整个信息系统建设中的核心地位。网络安全法有6大特点：一是明确了网络空间主权原则，二是明确了网络产品和服务提供者的安全义务，三是明确了网络运营者的安全义务，四是进一步完善了个人信息保护规则，五是建立了关键信息基础设施安全保护制度，六是明确了关键信息基础设施重要数据的跨境传输规则等。

早在2014年2月27日，中央即成立了网络安全和信息化领导小组，该机构的主要职责为统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全及信息化发展战略和重大政策，以及推动国家网络安全和信息化法治建设进程。

习近平总书记在中央网络安全和信息化领导小组会议等多个会议中提到，网络安全和信息化是相辅相成的。网络信息安全已被提升到国家安全层面，实施网络强国战略，需要加快提高网络管理水平、增强网络空间安全防御能力，并利用网络信息技术推进社会治理，即没有网络安全就没有国家安全。

除《中华人民共和国网络安全法》外，还推出了针对网络安全与信息安全的诸多法规政策，如《中华人民共和国计算机信息系统安全保护条例》《个人信息和重要数据出境安全评估办法（征求意见稿）》《网络产品和服务安全审查办法（征求意见稿）》《国家网络空间安全战略》《信息安全等级保护管理办法》等。

3 网络信息安全保护

网络信息安全是一项复杂的系统工程，涉及人员、技术、设备、管理等多方面因素，只有将安全要素的保障策略结合起来，才能形成一个高效的网络信息安全系统[11]。

3.1 网络信息安全要素分析

网络信息安全要素主要包括人员、技术和管理。人员方面问题包括：系统使用人员保密观念不强，对关键信息未进行加密处理，密码保护强度低，文档共享未经过必要的权限控制，或因为业务不熟练、缺乏责任心，无意中破坏了网络系统与设备的保密措施;专业人员利用工作之便，采用非法手段访问系统并获取信息;非法人员利用系统端口或传输介质，采用监听、捕获、破译等手段窃取保密信息。技术方面问题包括网络通信线路和设备缺陷以及软件存在漏洞后门等[12]。其中网络通信线路方面问题有：①电磁泄露。攻击者利用电磁泄露，捕获无线网络传输信号，破译后能较轻易地获取传输内容;②设备监听。不法分子通过对通信设备的监听捕获傳输信息;③终端接入。攻击者在合法终端上接入非法终端，利用合法用户身份操纵该计算机通信接口，使信息传输到非法终端;④网络攻击。

3.2 网络信息安全威胁来源

网络信息安全威胁主要来源于6个方面：①网络：组建无线局域网、内部局域网、3G/4G移动网络等;②物理接触：关键设备、部件替换、内部网络物理接入等;③人员：收买内部工作人员、攻击关键人员或利用黑客身份直接潜入等;④数据：包括个人数据、应用平台数据、业务系统数据、云数据及其它数据等;⑤应用：包括Web应用、邮件系统、OA系统、业务系统等;⑥操作系统：包括主机操作系统、服务器操作系统、移动终端操作系统以及接入互联网其它设备的操作系统等[13]。

3.3 网络信息安全保护措施

3.3.1 构建以“人”为核心的网络信息安全战略架构

网络信息安全战略架构要求主动、动态、全员参与，全方位地考虑安全建設，从单位管理层的行政命令要求出发，从法律义务层面保障网络信息安全;网络安全管理团队需要将安全保障作为主要任务开展工作;业务运维第三方要将安全作为基本需求，使网络安全管理贯穿整个业务生命周期，这是建立网络信息安全战略架构的前提。

构建以“人”为核心的网络信息安全战略架构主要从3个方面考虑：一是安全管理，提高管理人员安全意识，建立网络信息安全相关制度，并对网络信息安全提供强有力的应急支持;二是技术支撑，降低网络信息安全风险，加强网络基础设施建设，提高网络核心产品与终端安全性[14]，特别是网络应用安全;三是落实执行，制定网络信息安全应用预案并进行实地演练，定期开展网络安全比赛、网络安全培训，以提升相关管理人员的网络信息安全防护能力。

要坚持“管理为主、技术为辅”的安全理念，实行专人专管，必须有负责单位网络信息安全的专职岗位及人员，并且持有相应的安全等级证书以保证具备足够的网络安全知识和技能;做好数据资料保护，谨慎进行电子交易、网上支付等涉及经济利益的操作[15];及时修复安全漏洞，防范自身信息泄露与财产损失。

3.3.2 养成良好的用网习惯

在互联网世界里没有绝对安全，只有实时检测、实时响应、实时恢复、防治结合，才能保证网络信息的相对安全。对于个人而言，要养成良好的用网习惯，以预防为主，加强个人防范意识，防患于未然。服务器和客户端都安装杀毒软件，并不定期升级;尽量不使用下载工具;定期备份数据;不随意下载机密信息到本地;不随意共享信息;不随意让他人使用自己的机器;不随意执行不明用途的应用程序;对所有应用程序设置不同的超强口令;安装最新的服务包和补丁程序;不随意接收文件;不随意访问陌生网站;不随意泄露个人私密信息;不随意扫描二维码，以及接入免费Wi-Fi;交流中特别注意隐私保护;遵守网络信息安全法律法规和有关政策;访问正规网站，特征是网站首页底部有工信部备案的ICP号、公安部门备案号和事业单位备案号等;安装正版杀毒软件如360杀毒、金山毒霸、百度杀毒软件等，如遇到非法网站立即到中国互联网违法和不良信息举报中心（www.12377.cn）等正规网站进行举报。

4 结语

在当前互联网高速发展的时代，大量移动终端与智能设备都接入了互联网，从而使网络信息量急剧增加，信息安全隐患也随之增长。通过分析网络信息安全现状，结合有关网络安全的法律法规及政策，分析了“互联网+”时代网络信息安全要素以及网络信息安全威胁的来源，提出构建以“人”为核心的网络信息安全三层战略架构。虽然在信息社会没有绝对安全的网络，但只要遵守网络安全法律法规，增强网络信息安全意识，提高网络信息安全防护水平，养成良好的上网习惯，即能在最大程度上保障网络信息安全。

参考文献：

[1] 常俊. 互联网+时代网络安全防御现状及关键技术研究[J]. 网络安全技术与应用， 2018（11）：6，26.

[2] 高情. 校园无线局域网设计研究[J]. 软件导刊，2016（10）：173-175.

[3] 贺道德. 互联网+时代下的网络安全技术分析与研究[J]. 无线互联科技， 2018（18）：41-43.

[4] 陈华，蔡燕. 互联网+时代内部网络安全管理策略研究[J]. 信息与电脑， 2017（22）：178-179.

[5] 丁小娜. 基于移动智能终端安全威胁与防护技术的研究[J]. 数字技术与应用， 2017（1）： 192-193.

[6] 严晨雪. 电子政务外网安全体系研究[J]. 软件导刊，2018（6）：194-197.

[7] 孙晓霞. 校园无线网络安全防护研究[J]. 网络安全技术与应用，2016（1）：109-110.

[8] 沈继云. 网络安全分析与大数据技术的应用[J]. 网络安全技术与应用，2017（12）： 75-76.

[9] 于跃. 计算机网络信息安全及防护[J]. 电子技术与软件工程，2017（12）：229.

[10] 潘子轩. 基于扩展式博弈的网络安全防御策略研究[J]. 软件导刊，2018（10）：191-193，199.

[11] 魏至锐. 高校无线网络系统的分析与设计[D]. 昆明：云南大学，2015.