一、移動互聯(lián)網(wǎng)安全漏洞百出

目前iOS和安卓系統(tǒng)占據(jù)移動互聯(lián)網(wǎng)操作系統(tǒng)90%以上的份額。iOS目前面臨最大的安全風(fēng)險(xiǎn)來自于iOS系統(tǒng)漏洞。據(jù)國家信息安全漏洞庫(CNNVD)數(shù)據(jù)統(tǒng)計(jì)，截至2017年11月30日，iOS系統(tǒng)共收錄了624個(gè)系統(tǒng)漏洞，其中2017年115個(gè)，信息泄露和權(quán)限許可訪問控制為漏洞最多的類型。

安卓系統(tǒng)面臨的情況同樣不容樂觀，據(jù)CNNVD數(shù)據(jù)統(tǒng)計(jì)，截至2017年11月30日，安卓系統(tǒng)共收錄了1082個(gè)系統(tǒng)漏洞，其中2017年540個(gè)，權(quán)限許可訪問控制和信息泄露同樣為漏洞最多的類型。

移動互聯(lián)網(wǎng)通信安全不容忽視

實(shí)例表明，移動通信網(wǎng)絡(luò)已是最易受攻擊的系統(tǒng)之一。4G網(wǎng)絡(luò)安全問題的首要特點(diǎn)是網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大;其二是高新通訊技術(shù)的應(yīng)用，使安全隱患增加;其三是多樣化，移動通訊設(shè)備和計(jì)算機(jī)是應(yīng)用4G網(wǎng)絡(luò)最廣泛最頻繁的終端設(shè)備，隨著二者的無線移動，由于自身的儲存力減弱，病毒、木馬、惡意代碼便會不經(jīng)意地傳入無線應(yīng)用當(dāng)中，從而入侵終端設(shè)備。

2017年移動互聯(lián)網(wǎng)安全主要安全事件集中在隱私竊取、網(wǎng)絡(luò)詐騙尤其是金融詐騙、網(wǎng)絡(luò)謠言方面，其他還有網(wǎng)絡(luò)色情、暴力、賭博、販毒、殺人，甚至器官販賣、恐怖主義、跨國犯罪等。

2018年趨勢預(yù)測及對策建議

2018年，移動互聯(lián)網(wǎng)與新技術(shù)深度融合，可能成為新藍(lán)海。隨著移動帶寬技術(shù)的迅速提升，更多的傳感設(shè)備、移動終端隨時(shí)隨地接入網(wǎng)絡(luò)，加之云計(jì)算、物聯(lián)網(wǎng)、AI、區(qū)塊鏈等技術(shù)的帶動，移動互聯(lián)網(wǎng)也逐漸步入大數(shù)據(jù)和智能化時(shí)代。

2018年，預(yù)計(jì)會出現(xiàn)針對移動設(shè)備的更高端的APT惡意軟件。銀行木馬和移動勒索軟件將成為移動系統(tǒng)的主要威脅，且安卓手機(jī)操作系統(tǒng)將成為網(wǎng)絡(luò)犯罪分子的優(yōu)選目標(biāo)。2018年移動互聯(lián)網(wǎng)安全建議從以下四方面加強(qiáng)：重頂層設(shè)計(jì)，加強(qiáng)移動互聯(lián)網(wǎng)安全法律法規(guī)、標(biāo)準(zhǔn)體系建設(shè);提升移動互聯(lián)網(wǎng)安全技術(shù)水平，加強(qiáng)安全防護(hù)和保障能力建設(shè);拓展國際合作空間，積極參與全球移動互聯(lián)網(wǎng)治理;加強(qiáng)移動互聯(lián)網(wǎng)海量應(yīng)用軟件風(fēng)險(xiǎn)管控，增強(qiáng)網(wǎng)絡(luò)管理能力。

二、物聯(lián)網(wǎng)：保障體系發(fā)展滯后于產(chǎn)業(yè)發(fā)展

物聯(lián)網(wǎng)信息安全總體形勢不容樂觀

2017年，針對物聯(lián)網(wǎng)的攻擊數(shù)量不斷增長，攻擊范圍和規(guī)模逐步擴(kuò)大。物聯(lián)網(wǎng)安全事件頻繁發(fā)生，安全事件所涉及的行業(yè)領(lǐng)域較之前明顯增多。

物聯(lián)網(wǎng)終端設(shè)備的安全漏洞呈現(xiàn)快速增長的趨勢，成為制約物聯(lián)網(wǎng)發(fā)展的關(guān)鍵問題之一。據(jù)CNNVD數(shù)據(jù)統(tǒng)計(jì)，2017年度物聯(lián)網(wǎng)漏洞數(shù)量達(dá)637個(gè)，較2016年增長了56%。受影響設(shè)備類型呈多樣化特點(diǎn)，不僅包括傳統(tǒng)的物聯(lián)網(wǎng)終端，智能鎖、投影儀、玩具等新型物聯(lián)網(wǎng)設(shè)備的安全漏洞也日漸凸顯。

2017年物聯(lián)網(wǎng)終端設(shè)備主要包括以下類型的安全漏洞：授權(quán)問題、命令注入、操作系統(tǒng)命令注入、路徑遍歷、資源管理錯誤、信任管理、跨站請求偽造、輸入驗(yàn)證、跨站腳本、權(quán)限許可和訪問控制、信息泄露、緩沖區(qū)溢出等13種漏洞類型，占漏洞總數(shù)的75%。

物聯(lián)網(wǎng)逐漸成為攻擊者的主要攻擊目標(biāo)

物聯(lián)網(wǎng)安全保障體系的發(fā)展滯后于物聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，越來越多的攻擊者將攻擊目標(biāo)轉(zhuǎn)向了物聯(lián)網(wǎng)。自2015年開始，在各類世界頂級的黑帽大會和黑客大會上，智能家電、智能門鎖、智能監(jiān)控、智能網(wǎng)聯(lián)汽車、機(jī)器人等物聯(lián)網(wǎng)智能終端頻繁被曝出安全漏洞，部分物聯(lián)網(wǎng)設(shè)備開發(fā)廠商的安全研發(fā)能力和研發(fā)水平不高，研發(fā)人員的安全研發(fā)的意識不夠，導(dǎo)致物聯(lián)網(wǎng)設(shè)備存在諸多安全隱患，安全漏洞種類繁多、易于攻破。海量物聯(lián)網(wǎng)終端的部署，隨之產(chǎn)生的大量用戶數(shù)據(jù)價(jià)值在不斷增加，這些數(shù)據(jù)將在云端進(jìn)行處理和存儲，如何保障物聯(lián)網(wǎng)系統(tǒng)中云端存儲數(shù)據(jù)的隱私也是物聯(lián)網(wǎng)系統(tǒng)安全保障的重要任務(wù)之一。

物聯(lián)網(wǎng)的體系結(jié)構(gòu)復(fù)雜、物聯(lián)網(wǎng)網(wǎng)絡(luò)、應(yīng)用、終端等種類的多樣化使得物聯(lián)網(wǎng)的攻擊面不斷擴(kuò)大，攻擊形式多樣化，造成的危害范圍更廣。同時(shí)，物聯(lián)網(wǎng)終端設(shè)備的海量規(guī)模導(dǎo)致攻擊者的攻擊效應(yīng)規(guī)模放大。隨著人工智能技術(shù)的發(fā)展，物聯(lián)網(wǎng)終端設(shè)備呈現(xiàn)智能化趨勢，但這也會導(dǎo)致攻擊的效果放大。物聯(lián)網(wǎng)全產(chǎn)業(yè)鏈的多領(lǐng)域性導(dǎo)致安全體系建設(shè)面臨較大困難，物聯(lián)網(wǎng)產(chǎn)業(yè)鏈上的每一個(gè)環(huán)節(jié)都有自身的信息安全體系，因而針對物聯(lián)網(wǎng)應(yīng)用重新制定安全體系的建設(shè)需要每一個(gè)環(huán)節(jié)的調(diào)整和磨合。

2018年趨勢預(yù)測及對策建議

2018年，利用僵尸網(wǎng)絡(luò)對物聯(lián)網(wǎng)實(shí)施的網(wǎng)絡(luò)攻擊將愈演愈烈;勒索軟件等惡意軟件對物聯(lián)網(wǎng)的危害將逐步顯現(xiàn);物聯(lián)網(wǎng)骨干網(wǎng)和接入網(wǎng)新協(xié)議的安全性可能成為新的失效點(diǎn);物聯(lián)網(wǎng)隱私泄露將導(dǎo)致“黑產(chǎn)”更加泛濫。

為保障物聯(lián)網(wǎng)產(chǎn)業(yè)健康穩(wěn)定發(fā)展，我國應(yīng)持續(xù)推進(jìn)物聯(lián)網(wǎng)安全工作，從政府、企業(yè)、科研、教育部門，以及用戶角度多方協(xié)同并進(jìn)，加速建成物聯(lián)網(wǎng)安全保障體系。為此，要做到監(jiān)管落實(shí)物聯(lián)網(wǎng)安全方案，加快推進(jìn)物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定;物聯(lián)網(wǎng)廠商增強(qiáng)生產(chǎn)安全意識，協(xié)同保障產(chǎn)業(yè)鏈安全環(huán)節(jié);行業(yè)加快建立可信第三方認(rèn)證機(jī)制;加大物聯(lián)網(wǎng)安全課題投入，加速培養(yǎng)物聯(lián)網(wǎng)安全人才;最后要培養(yǎng)公民信息安全意識，鼓勵用戶規(guī)范設(shè)備使用。

三、大數(shù)據(jù)：核心技術(shù)安全可控是重要風(fēng)險(xiǎn)

我國大數(shù)據(jù)發(fā)展過程中存在的安全問題與風(fēng)險(xiǎn)

首先是國家層面制定體系化的大數(shù)據(jù)法規(guī)建設(shè)規(guī)劃和實(shí)施計(jì)劃規(guī)劃不足，傳統(tǒng)的個(gè)人信息保護(hù)法面臨新的挑戰(zhàn)，個(gè)人權(quán)益難以保障。

二是大數(shù)據(jù)產(chǎn)業(yè)生態(tài)逐步細(xì)分，以數(shù)據(jù)價(jià)值為核心，對大數(shù)據(jù)產(chǎn)業(yè)生態(tài)中的基礎(chǔ)支撐層、融合應(yīng)用層、數(shù)據(jù)服務(wù)層等三層從數(shù)據(jù)流的角度進(jìn)一步細(xì)分為數(shù)據(jù)采集商、大數(shù)據(jù)分析商、技術(shù)平臺商、數(shù)據(jù)交易商和監(jiān)管機(jī)構(gòu)等，各角色在開展業(yè)務(wù)過程中都存在安全風(fēng)險(xiǎn)。

三是核心技術(shù)仍基于開源產(chǎn)品或和國外廠商合作，難以安全可控，安全風(fēng)險(xiǎn)持續(xù)聚集。

四是數(shù)據(jù)安全已成為關(guān)注焦點(diǎn)，內(nèi)部威脅導(dǎo)致數(shù)據(jù)泄露形勢嚴(yán)重，大數(shù)據(jù)系統(tǒng)成為新的勒索目標(biāo)，個(gè)人信息被過度采集和分析，安全形勢日趨嚴(yán)峻。五是數(shù)據(jù)開放和共享受“權(quán)利屬性”、“財(cái)富屬性”、數(shù)據(jù)確權(quán)缺失等多重制約，阻礙戰(zhàn)略實(shí)施落地。

同時(shí)，大數(shù)據(jù)雙面效應(yīng)持續(xù)彰顯，既保安全又有風(fēng)險(xiǎn)。大數(shù)據(jù)技術(shù)已廣泛應(yīng)用于網(wǎng)絡(luò)安全、公眾安全等跟人民生命密切相關(guān)的行業(yè)，取得了良好的效果。但是，敵對勢力和攻擊者也能利用大數(shù)據(jù)技術(shù)逃避網(wǎng)絡(luò)防護(hù)機(jī)制、竊取保密信息等。

2018年趨勢預(yù)測及對策建議

目前，我國重點(diǎn)行業(yè)和領(lǐng)域基本上是使用開源產(chǎn)品和基于開源產(chǎn)品進(jìn)行二次封裝后的產(chǎn)品，技術(shù)核心都是國外產(chǎn)品，因此，基于大數(shù)據(jù)核心技術(shù)不能安全可控而持續(xù)聚集的安全風(fēng)險(xiǎn)將是我國大數(shù)據(jù)安全發(fā)展面臨的重大安全風(fēng)險(xiǎn)之一。其次，數(shù)據(jù)被勒索、竊取和丟失等風(fēng)險(xiǎn)持續(xù)增加，數(shù)據(jù)安全形勢將更加嚴(yán)峻。再次，人工智能應(yīng)用快速發(fā)展，帶來新的技術(shù)挑戰(zhàn)。最后，我國跟數(shù)據(jù)相關(guān)的權(quán)利人的權(quán)利和義務(wù)不確定，缺乏法律依據(jù)，難以保障相關(guān)方的權(quán)利，將制約我國數(shù)據(jù)開放共享的順利開展。

為此，提出四方面對策：摸清安全現(xiàn)狀，做到“心中有底、手中有招”;完善政策法規(guī)，做到“科學(xué)立法、嚴(yán)格執(zhí)法”;研發(fā)核心技術(shù)，做到“自主創(chuàng)新、安全可控”;創(chuàng)新人才機(jī)制，積極培育大數(shù)據(jù)技術(shù)和應(yīng)用創(chuàng)新型人才，做到“體制新穎、人才濟(jì)濟(jì)”。

四、區(qū)塊鏈：技術(shù)尚未成熟 新型風(fēng)險(xiǎn)顯現(xiàn)

區(qū)塊鏈技術(shù)金融先行

近年來，區(qū)塊鏈技術(shù)得到了廣泛的關(guān)注和認(rèn)可，其具備去中心化、可追溯、不可篡改和可編程等特性。當(dāng)前基于區(qū)塊鏈技術(shù)的大部分業(yè)務(wù)應(yīng)用系統(tǒng)尚處于開發(fā)、驗(yàn)證和實(shí)驗(yàn)測試階段，預(yù)計(jì)未來幾年將如雨后春筍般涌現(xiàn)。目前，區(qū)塊鏈技術(shù)正吸引著金融、證券、保險(xiǎn)等領(lǐng)域以及供應(yīng)鏈、知識產(chǎn)權(quán)保護(hù)、合同存證、審計(jì)、捐款追蹤、積分管理等應(yīng)用場景的廣泛關(guān)注，已在多個(gè)行業(yè)或組織內(nèi)容開展研發(fā)測試，甚至已上線運(yùn)行，特別是金融行業(yè)。其他行業(yè)包括證券、保險(xiǎn)、供應(yīng)鏈(物流)等也有相關(guān)研發(fā)實(shí)例。

2018趨勢分析和建議

區(qū)塊鏈作為新興技術(shù)正在同傳統(tǒng)技術(shù)發(fā)生強(qiáng)烈碰撞階段，試圖顛覆傳統(tǒng)的網(wǎng)絡(luò)信任基礎(chǔ)。網(wǎng)絡(luò)空間公有鏈(數(shù)字貨幣等)區(qū)塊鏈系統(tǒng)正受到各國政府和監(jiān)管機(jī)構(gòu)的強(qiáng)烈關(guān)注，其已經(jīng)對國家安全，特別是金融安全、公共安全等層面構(gòu)成實(shí)質(zhì)性的威脅。隨著區(qū)塊鏈技術(shù)的發(fā)展，預(yù)計(jì)不久其安全風(fēng)險(xiǎn)問題將不斷爆出。

區(qū)塊鏈存在的主要安全風(fēng)險(xiǎn)有：國外公有區(qū)塊鏈系統(tǒng)及其外圍應(yīng)用對我國金融安全存在一定影響，應(yīng)持續(xù)關(guān)注其對我金融安全的隱患分析和排查。此外，區(qū)塊鏈外圍應(yīng)用很多均不是去中心化的，應(yīng)避免誤解造成使用或操作風(fēng)險(xiǎn)，排除誤認(rèn)識帶來的隱患，例如礦池或礦場組織、數(shù)字貨幣的交易所、在線錢包等。

區(qū)塊鏈技術(shù)涉及多種密碼算法，對密碼學(xué)技術(shù)的依賴程度非常高。密碼學(xué)算法對相于區(qū)塊鏈的作用的重要性就像是CPU、操作系統(tǒng)對于計(jì)算機(jī)。如果設(shè)計(jì)的密碼算法本身存在漏洞或后門，對區(qū)塊鏈系統(tǒng)將是致命的，潛在風(fēng)險(xiǎn)巨大，影響不可估量。此外，數(shù)字資產(chǎn)或價(jià)值的安全存儲存在隱患。為了安全應(yīng)用區(qū)塊鏈技術(shù)，提供安全的便利的密鑰保護(hù)機(jī)制至關(guān)重要。

針對上述情況分析，我們提出以下對策和建議：應(yīng)加強(qiáng)對公有區(qū)塊鏈的監(jiān)管和監(jiān)測，包括公有鏈外圍挖礦、交易所等的監(jiān)管和監(jiān)測，跟蹤社區(qū)動態(tài)、安全事件情況等，及時(shí)處置;開展區(qū)塊鏈技術(shù)安全風(fēng)險(xiǎn)評估評測，及時(shí)掌握區(qū)塊鏈安全機(jī)制和安全動態(tài)，為制定相關(guān)政策指導(dǎo)提供依據(jù);加大區(qū)塊鏈特別是數(shù)字貨幣等的風(fēng)險(xiǎn)教育和宣傳，提高風(fēng)險(xiǎn)安全意識。