李升鵬(山東省德州市德城區(qū)委政法委,山東德州 253000)

?

網(wǎng)絡(luò)安全問題風(fēng)險(xiǎn)評(píng)估報(bào)告

李升鵬
(山東省德州市德城區(qū)委政法委,山東德州 253000)

【摘 要】近兩年，“火焰”、“高斯”等實(shí)施復(fù)雜APT攻擊的惡意病毒在我國(guó)頻現(xiàn)，我國(guó)境內(nèi)至少有數(shù)萬臺(tái)主機(jī)感染了具有APT特征的木馬程序，涉及多個(gè)機(jī)構(gòu)部門以及企事業(yè)單位，對(duì)國(guó)家安全、經(jīng)濟(jì)穩(wěn)定成了極大的挑戰(zhàn)。本文通過對(duì)地方政府辦公網(wǎng)絡(luò)和辦公用智能手機(jī)的調(diào)查研究，分析地方政府網(wǎng)絡(luò)安全存在的問題和隱患，提出相應(yīng)的對(duì)策建議。

【關(guān)鍵詞】辦公網(wǎng)絡(luò) 智能手機(jī) 網(wǎng)絡(luò)安全

1 我國(guó)地方政府辦公網(wǎng)絡(luò)安全隱患分析

1.1 我國(guó)地方政府辦公網(wǎng)絡(luò)安全現(xiàn)狀

近年來，網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)盜竊甚至令人擔(dān)憂的網(wǎng)絡(luò)恐怖主義層出不窮。地方政府辦公網(wǎng)絡(luò)一直是黑客和不法分子的重要入侵對(duì)象。一方面，一般政府公務(wù)人員沒有對(duì)計(jì)算機(jī)安全引起足夠重視，在辦公流程上并沒有按照保密規(guī)定的相關(guān)要求嚴(yán)格操作；另一方面，信息技術(shù)部門沒有嚴(yán)格把好技術(shù)關(guān)，導(dǎo)致數(shù)據(jù)泄露的情況時(shí)有發(fā)生 。

1.2 地方政府辦公網(wǎng)絡(luò)安全隱患分析

雖然網(wǎng)絡(luò)安全問題已經(jīng)引起了我國(guó)地方政府高度重視，并且通過網(wǎng)絡(luò)安全技術(shù)手段進(jìn)行了防范，但地方政府網(wǎng)絡(luò)安全角勢(shì)依然十分嚴(yán)峻，主要表現(xiàn)在以下幾個(gè)方面：

（1）過度依賴Windows操作系統(tǒng)。長(zhǎng)久以來，我國(guó)大量政府、企業(yè)、個(gè)人用戶等依賴于Windows系統(tǒng)，用戶的電腦被微軟嚴(yán)重地控制，包括后來微軟推出的Vista、Windows 8等對(duì)用戶的控制能力更甚。Windows 8還捆綁了微軟的殺毒軟件，時(shí)刻在檢查用戶終端，隨時(shí)可以給用戶下載補(bǔ)丁。（2）辦公電腦直接連入Internet存在明顯缺陷。地方政府在數(shù)據(jù)通信時(shí)使用TCP/IP協(xié)議進(jìn)行不同網(wǎng)絡(luò)間信息交換，數(shù)據(jù)發(fā)送、接收主要以明碼的形式進(jìn)行，所以網(wǎng)絡(luò)系統(tǒng)就具有開放性，使數(shù)據(jù)在發(fā)送接收過程中容易被黑客竊?。淮送馕覈?guó)多部分地方政府都是應(yīng)用進(jìn)口硬件芯片、網(wǎng)關(guān)協(xié)議構(gòu)架網(wǎng)絡(luò)，這將使得廠家可以對(duì)該電腦進(jìn)行監(jiān)控。（3）辦公區(qū)域內(nèi)使用無線網(wǎng)絡(luò)潛在威脅嚴(yán)重。無線網(wǎng)絡(luò)在政府辦公室的使用越來越廣泛，但由于無線網(wǎng)絡(luò)傳輸介質(zhì)的特殊性，使得無線網(wǎng)絡(luò)被攻擊的流程變得更加容易，與有線網(wǎng)絡(luò)相比，其潛在威脅更加嚴(yán)重。（4）缺乏網(wǎng)絡(luò)安全管理人才，現(xiàn)有人員網(wǎng)絡(luò)安全意識(shí)淡薄。地方政府網(wǎng)絡(luò)安全管理人才十分緊缺，同時(shí)由于政府工作人員沒有進(jìn)行網(wǎng)絡(luò)安全方面的培訓(xùn)教育，不具備基本的網(wǎng)絡(luò)安全技術(shù)，跟不上網(wǎng)絡(luò)化社會(huì)建設(shè)的步伐，成為地方政府網(wǎng)絡(luò)安全潛在不利因素。

1.3 地方政府辦公網(wǎng)絡(luò)安全提升策略

（1）轉(zhuǎn)變網(wǎng)絡(luò)安全觀念，加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)。地方政府領(lǐng)導(dǎo)要充分認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，將網(wǎng)絡(luò)安全培訓(xùn)提升為在職人員必修課，通過網(wǎng)絡(luò)安全意識(shí)方面的教育對(duì)政府工作人員進(jìn)行網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，使政府工作人員在提高網(wǎng)絡(luò)安全意識(shí)加強(qiáng)防范能力，全面提升政府部門網(wǎng)絡(luò)安全水平。（2）技術(shù)及時(shí)更新。黑客攻擊方法不斷翻新，手段層出不窮，因此政府網(wǎng)絡(luò)管理部門應(yīng)該不斷學(xué)習(xí)新技術(shù)，并時(shí)刻了解網(wǎng)絡(luò)安全方面的最新新動(dòng)向以及防止網(wǎng)絡(luò)犯罪的新手段，對(duì)自身網(wǎng)絡(luò)系統(tǒng)安全隱患進(jìn)行及時(shí)排查，發(fā)現(xiàn)問題及時(shí)處理。（3）促進(jìn)國(guó)產(chǎn)化操作系統(tǒng)替代。我們要加快促進(jìn)國(guó)產(chǎn)化操作系統(tǒng)健康替代，為國(guó)產(chǎn)化替代提供安全和服務(wù)支撐，全面實(shí)現(xiàn)操作系統(tǒng)國(guó)產(chǎn)化，為構(gòu)建我國(guó)安全可信的積極防御體系做支撐。

2 智能手機(jī)的網(wǎng)絡(luò)安全隱患分析

2.1 智能手機(jī)安全隱患分析

據(jù)抽樣統(tǒng)計(jì)分析，目前大約有90%以上政府工作人員購買了智能手機(jī)，但是，由于通信信道的開放性，智能手機(jī)引起的泄密事件頻繁發(fā)生。歸納起來，使用智能手機(jī)可能造成的泄密途徑主要有以下幾種。

（1）非加密狀態(tài)下的通話泄密。根據(jù)相關(guān)保密規(guī)定，在涉密場(chǎng)所不允許使用智能手機(jī)，只能利用內(nèi)部保密電話或機(jī)要保密電話進(jìn)行保密通話，涉密人員在事情緊急，又缺乏保密通信手段的情況下，往往忽視相關(guān)保密規(guī)定，抱僥幸心理，利用手機(jī)進(jìn)行涉密通話，造成了很多典型的泄密事件。（2）手機(jī)被植入間諜軟件竊密。目前，智能手機(jī)被植入惡意間諜軟件的渠道很多，如手機(jī)上網(wǎng)訪問帶惡意代碼的網(wǎng)站或下載包含間諜軟件的應(yīng)用程序等。手機(jī)間諜軟件功能強(qiáng)大，能夠控制智能手機(jī)的錄音、照相、攝像設(shè)備的開啟，能夠通過互聯(lián)網(wǎng)發(fā)送竊取的涉密資料。當(dāng)智能手機(jī)被接入涉密電腦時(shí)，間諜軟件往往能將涉密電腦上的涉密資料偷偷復(fù)制到手機(jī)中發(fā)送出去。（3）手機(jī)丟失泄密。手機(jī)被盜或遺失，造成手機(jī)中的敏感信息被他人復(fù)制，已被刪除的敏感數(shù)據(jù)也能被恢復(fù)。（4）手機(jī)定位開啟泄密。手機(jī)可通過內(nèi)置的GPS芯片定位，也能通過手機(jī)基站或Wi-Fi接入點(diǎn)定位，造成涉密人員的行蹤被記錄跟蹤，甚至能通過手機(jī)確定重要涉密場(chǎng)所的坐標(biāo)、海拔高度、精確范圍等。

2.2 智能手機(jī)的安全隱患應(yīng)對(duì)策略

從智能手機(jī)普及應(yīng)用的趨勢(shì)來看，對(duì)智能手機(jī)的管控應(yīng)該采取疏堵結(jié)合的方式，要從技術(shù)與管理兩個(gè)方面保證智能手機(jī)的網(wǎng)絡(luò)安全。

（1）利用數(shù)字水印技術(shù)實(shí)現(xiàn)手機(jī)拍照溯源。手機(jī)上的重要信息，運(yùn)用數(shù)字水印技術(shù)，在涉密電子文檔中自動(dòng)嵌入溯源水印信息，對(duì)允許拍攝的照片，也能夠添加防篡改、抗攻擊的數(shù)字水印，實(shí)現(xiàn)對(duì)照片來源的審計(jì)追蹤，防止非法拍照泄密。（2）利用加密和壓縮編碼技術(shù)實(shí)現(xiàn)手機(jī)保密視話通信。系統(tǒng)在手機(jī)中采集音視頻數(shù)據(jù)，經(jīng)過壓縮編碼轉(zhuǎn)換為音視頻流加密后發(fā)送到中轉(zhuǎn)服務(wù)器，對(duì)端將接收到的音視頻流通過解密解壓縮和編碼后還原為手機(jī)可以播放的音頻和視頻，并實(shí)時(shí)播放。（3）利用加密和信息隱藏技術(shù)實(shí)現(xiàn)手機(jī)文件隱秘安全存儲(chǔ)。采用文件存儲(chǔ)路徑的多重偽裝、真實(shí)文件的隱蔽存儲(chǔ)、文件數(shù)據(jù)的高級(jí)加密、異常情況時(shí)的數(shù)據(jù)安全擦除等多重安全保障機(jī)制，實(shí)現(xiàn)手機(jī)上敏感或涉密信息的安全存儲(chǔ)。（4）利用手機(jī)I/O管控技術(shù)防范進(jìn)入涉密場(chǎng)所的手機(jī)泄密。根據(jù)統(tǒng)一制定的安全策略，利用操作系統(tǒng)的驅(qū)動(dòng)層對(duì)手機(jī)的通信端口，包括藍(lán)牙、Wi-Fi、移動(dòng)網(wǎng)絡(luò)，以及錄音、錄像、GPS定位等設(shè)備進(jìn)行訪問控制。當(dāng)安全代理基站檢測(cè)到手機(jī)進(jìn)入涉密場(chǎng)所后，即遠(yuǎn)程通知手機(jī)上的I/O管控程序，按照預(yù)先設(shè)定的安全策略禁止相應(yīng)的端口或設(shè)備。

作者簡(jiǎn)介:李升鵬(1986—),男,山東棲霞,研究生,畢業(yè)于長(zhǎng)春理工大學(xué),網(wǎng)絡(luò)安全。