21世纪经济报道 见习记者郑雪 南方财经全媒体 记者吴立洋 北京报道
编者按:
网络安全,既是企业数字化转型的基础保障,亦是数字经济行稳致远的必备条件。
近一年来,《个人信息保护法》正式实施,《网络产品安全漏洞管理规定》《网络安全审查办法》《数据出境安全评估办法》等政策法规相继落地,我国网络安全监管框架正不断完善。
但另一方面,Apache Log4j2组件中存在严重安全漏洞、勒索攻击与DDoS等网络攻击愈演愈烈,网络安全挑战仍然存在。随着大众日常生活与网络空间的结合愈加紧密,网络安全对于我国社会治理、经济发展和人民的生命财产安全。
南方财经全媒体集团·21世纪经济报道合规科技研究院长期聚焦数字经济发展背景下新业态网络安全问题,结合产业实际发展需求,在2022年网络安全宣传周正式举办之际,特推出“新业态新安全”系列深度专题报道,聚焦数字经济新业态发展背景下,网络安全攻防的形势与变化,从制度建设和技术应用两大方向出发,探讨如何为数字时代网络安全保驾护航。
在专题报道的第三篇,我们将目光转向大众,在数字空间与现实社会结合愈加紧密的当下,各类智能化设备越来越多地进入人们的日常生活,网络空间的防护也不再局限于个人电脑对网络病毒的防范,如何统筹个人信息保护、移动安全、PC安全等,成为构筑时代个体用户网络安全防护墙。
个人网络安全,是互联网时代绕不开的话题,无论是早年席卷国内网络的“熊猫烧香”、“灰鸽子木马病毒”,还是近年来的勒索攻击、个人信息泄露带来的网络诈骗等问题,都给人们正常的网络生活带来了不容忽视的危害。
随着技术的发展,互联网被应用到社会生活的方方面面,移动设备取代了个人电脑成为大众触网最主要的设备,而穿戴设备等物联网终端的普及也使得人机交互场景更加复杂。人、机、物相互交融的网络空间中,漏洞成为威胁每个网民网络安全的“暗礁”,其危害和防护难度大大提升。
据统计,相较于2020年,2021年的网络攻击数量增加了50%,且由于Log4j漏洞风险的扩散。该数据在12月达到了顶峰。中国信息安全测评中心发布的《2022上半年网络安全漏洞态势观察》显示,大厂产品、安全漏洞频发,移动终端处于安全漏洞焦点地位。
回顾互联网发展历程,各类数字技术与产品的应用都经历了粗放式发展到精细化治理的过程。落实到网络个体安全上,技术与监管的创新是保障人们数字安全权益、应对日益复杂安全形势的必备条件。
从PC电脑的拨号上网时代,到智能设备随时接入网络,社会进入移动互联时代。人、物、网相互嵌入程度进一步加深,进一步便捷了人们的日常生活。
但另一方面,随着技术更迭加速,人们接触、使用互联网的方式愈加复杂,随着各类网络应用越来越嵌入人们的日常生活,网络安全问题对个体网民的影响也在悄然发生转变。
“PC时代由于系统安装的软件相对自由、开放,较为容易感染病毒,个人安全防护主要以杀毒软件为主。”安全研究员陈业炫在接受21世纪经济报道记者采访时表示,到了移动时代,智能手机系统框架以iOS和安卓为主,前者对隐私权限的严格限制提高了安全性,但也因此无法给与足够的应用权限得以实现杀毒软件的功能;后者相对开放,但安全水位亦参差不齐。
值得注意的是,随着各类娱乐、购物、餐饮、交通智能应用进入到人们的生活,较之以往任何时代,人们的身份、地址、联系方式、喜好乃至衣食住行等方方面面的信息都更为广泛地被互联网所采集,这也大大增加了个体安全防护的难度。
梆梆安全高级副总裁方宁告诉记者,安全防护需要全方位覆盖,不留死角,而攻击者却是定点打击,专找死角。因此,个人信息的收集使用对安全防护带来的增值要远低于为黑灰产和攻击者带来的增值。
“个人信息如果被攻击者获取,其可以采用钓鱼、爆破、关联分析等手段开展社工攻击,提升攻击成功率,且这些信息一旦泄露,往往都是以大批量的形式流入黑灰产,在短期内会极大增加个体和全社会安全压力。”方宁表示。
上海交通大学网络空间安全科学与技术研究院院长、博士生导师李建华教授也指出,移动时代面临定位追踪、伪基站、手机恶意软件、短信拦截等更加多样化的安全威胁。
在他看来,PC时代的网络通信主要依赖网线,对个体而言更为常见的是文档损失;而移动时代蜂窝网络、WIFI、蓝牙和NFC等近距离通信的广泛应用,使得网络环境更加复杂,且人们的生活与网络结合紧密,个人隐私泄露及其伴生的安全问题,更可能带来直接的经济损失。
随着各类智能化设备被广泛应用于生活的方方面面,人机交互的场景变得越来越复杂,信息传输的种类和数量都极大提升,这也使得潜在的安全隐患和可能导致的损失越发严重。
以当前发展较快的智能汽车为例,2015年,安全公司IOActive的两位研究员实现了对美国克莱斯勒汽车公司智能车系统Uconnect的破解,成功黑入车内网远程操控车辆在行驶过程中打开空调系统和雨刮器,最终致使车辆偏离设定好的路线。在此之后,汽车行业普遍加强了智能车研发过程中对软硬件安全系统的重视和投入。
方宁指出,在人、机、物相互交融的场景下,端点的存在形态、端与端之间的通信方式、网络拓扑结构、对传输及性能要求等都会发生变化,之前的网络安全只会对系统、业务和财产造成影响,而新场景下的网络安全甚至会对人的生命安全造成影响。
“随着人、机、物这些信息资产暴露面的无限增大,资产所处环境的透明化、资产分布的碎片化、资产所属人员的多样化,都为安全防护增加了难度。”方宁表示,梆梆安全的安全防护实践,在移动端人脸识别、活体检测、二维码扫描等交互场景,都发现了不同于传统安全的新安全风险。
另一方面,人机交互场景复杂化也加大了黑产治理的难度,交互场景的增加也意味受攻击面和潜在安全风险的增加。
李建华表示,物联网末端的设备往往自身资源较为局限,缺乏用于安全防护的软硬件环境,且一些可穿戴设备只为实现固定的功能,不像传统的网络安全防护注重信息的完整性、保密性和可用性,其所忽略的部分很可能被黑产所捕获和利用。
数美科技黑产研究专家道然告诉记者,在“脱库-洗库-撞库”的个人信息黑产链条中,其核心原理就是汇聚不同渠道泄露的个人信息,以此在黑产社工库中拼凑出个体用户的网络形象和特征,进而实施不法行为。
因此,在个人账号密码使用习惯相对固定的情况下,当某个平台的账号信息泄露后,其他平台的账户安全也会受到威胁,而流入黑产手中的个人信息越多,其面临的诈骗等各类风险的程度也就越高。
“互联网不存在真正的匿名。”李建华指出,一方面,大数据分析广泛应用在个人画像中,并由此带来了更大的隐私泄露面;但另一方面人们有被定制化的信息所包围,在遭到网络攻击或网络欺诈时,往往难以及时辨别真假。
在安全形势愈加严峻的背景下,对社会个体的安全防护也在逐渐完善,《网络安全法》《数据安全法》《个人信息保护法》等法律法规构成了数字时代网络安全监管体系,各类安全应用与产品的推陈出新也提升了普通用户应对各类安全风险的能力。
陈业炫指出,就个人用户而言,目前主要有两方面安全问题需要加以重视:“一是设备终端安全,目前只要使用主流、及时更新的系统软件和杀毒软件,保持谨慎的软件安装、运行习惯,一般可以防范大部分安全问题;二是互联网服务账户安全,目前还主要以账户密码体系为主,可以使用一些密码管理软件实现随机密码功能,做好密码管理。”
而面对着勒索软件等层出不穷的新型安全问题,多位专家在接受采访时表示,保障每一位数字时代互联网公民的安全权益,既需要加快安全技术与产品的创新,也需要从监管机制、行业共识、社会观念等方面构建更为立体的安全防护网。
李建华认为,当前的互联网应用和网络安全产品尚不能满足个人网络安全需求,期待业界与监管在面向个人移动终端的数据安全解决方案和应用商店的审核标准两方面加以改进。
具体而言,需要对个人移动终端上的敏感信息的存储进行统一管理,各类应用对敏感信息的采集、传输和处理对用户应具备可见性,对于疑似敏感信息泄漏或者滥用的情况,能够进行告警并提供处置建议。
此外李建华还指出,原先对于应用管理更多注重的是漏洞方面的问题,将来需要把应用的数据使用行为加以规范,将数据处理和推荐算法方面的要求与应用商店的审核标准相挂钩,从源头上保护个人的网络安全。
“面对日益变化的安全需求,指望当前的产品或方案包治百病是不现实的。”方宁表示, 只有不断更新演化的新技术、新方案,才能应对不断出现的新安全威胁。
他进一步表示,对于新出现的互联网个人应用场景,需要在场景设计时就构建安全模型,在实现新场景过程中引入安全标准,并在后续运营中保持安全监测和及时处置。随着安全监管框架体系的成熟与完善,可以从较长的时间维度应对日益变化的网络安全防护需求。
更多内容请下载21财经APP
本文来源:本站原创 作者:佚名