王長春 曾照華 張躍華

摘 要：隨著大數(shù)據(jù)、云計算等技術的飛速發(fā)展，如今已進入 “互聯(lián)網(wǎng)+”時代，將互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)進行深度融合，可能存在更多信息安全隱患。通過分析互聯(lián)網(wǎng)新時代網(wǎng)絡信息安全現(xiàn)狀，比較了近年來發(fā)生的典型網(wǎng)絡信息安全事件，結(jié)合有關網(wǎng)絡安全的法律法規(guī)及政策，分析“互聯(lián)網(wǎng)+”時代網(wǎng)絡信息安全要素以及網(wǎng)絡信息安全威脅的來源，從而提出構(gòu)建以“人”為核心的網(wǎng)絡信息安全三層戰(zhàn)略架構(gòu)，并養(yǎng)成良好的互聯(lián)網(wǎng)使用習慣，對于保障個人身份隱私信息，如銀行賬戶和密碼信息等網(wǎng)絡信息安全將起到積極作用。

關鍵詞：互聯(lián)網(wǎng)+;信息安全;移動終端;安全架構(gòu)

DOI：10. 11907/rjdk. 191218 開放科學（資源服務）標識碼（OSID）：

中圖分類號：TP309文獻標識碼：A 文章編號：1672-7800（2020）002-0282-03

英標：Study on the Status and Protection of Network Information Security in the “Internet Plus” Era

英作：WANG Chang-chun1，ZENG Zhao-hua1，ZHANG Yue-hua2

英單：（1. Educational Information Center，Shanxi Institute of Technology;2. Section of State-owned Assets Management，Shanxi Institute of Technology，Yangquan 045000，China）

Abstract： With the rapid development and improvement of big data， cloud computing and other technologies， it has now entered the era of “Internet +”， making the Internet and traditional industries more deeply integrated， and the hidden dangers of information security are more obvious. By analyzing the current situation of network information security， this paper compares the typical network information security incidents and Internet development security reports in recent years， and analyzes the sources and the threat of network information security according to relevant laws， regulations and policies，so as to put forward the construction of network letters with “people” as the core. The three-tier strategic framework of information security and good habits of using the Internet have played a positive role in protecting the network information security of personal identity privacy information， bank account and password information.

Key Words： Internet +; information security; mobile terminal; security architecture

0 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，傳統(tǒng)行業(yè)利用信息通信技術及互聯(lián)網(wǎng)平臺，使互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)深度融合，如今已進入“互聯(lián)網(wǎng)+”時代[1]。同時大量移動終端與智能設備都接入了互聯(lián)網(wǎng)，從而使網(wǎng)絡信息量急劇增加，信息安全隱患也隨之增長。本文分析了互聯(lián)網(wǎng)新時代的網(wǎng)絡信息安全現(xiàn)狀，介紹了典型的網(wǎng)絡安全事件與近期發(fā)布的有關網(wǎng)絡安全的法律法規(guī)及政策，分析了網(wǎng)絡信息安全要素和網(wǎng)絡信息安全威脅的來源，提出構(gòu)建以“人”為核心的網(wǎng)絡信息安全三層戰(zhàn)略架構(gòu)，并養(yǎng)成良好的互聯(lián)網(wǎng)使用習慣，以確保個人身份隱私信息，如銀行賬戶和密碼信息等網(wǎng)絡信息的安全。

1 “互聯(lián)網(wǎng)+”時代網(wǎng)絡信息安全現(xiàn)狀分析

1.1 互聯(lián)網(wǎng)接入設備大量增加

隨著云計算、大數(shù)據(jù)等技術的快速發(fā)展，智能移動終端在硬件、軟件和帶寬3個方面不斷改進，并且伴隨著移動終端功能的逐漸強大，與用戶生活密切相關的大量智能設備都接入了互聯(lián)網(wǎng)，包括常用的PC電腦、筆記本、智能手機，空調(diào)、冰箱等家用電器以及互聯(lián)網(wǎng)概念車，甚至網(wǎng)絡安全監(jiān)控設備等。無線局域網(wǎng)的應用領域也不斷擴大[2]，因此存在巨大的安全隱患，特別是個人私密信息如身份證、銀行卡賬號、交易密碼、個人信用等都暴露在互聯(lián)網(wǎng)中[3]。

1.2 安全隱患案例分析

因為互聯(lián)網(wǎng)環(huán)境是自由開放的，而部分網(wǎng)絡系統(tǒng)數(shù)據(jù)安全性較低，通常情況下潛在的數(shù)據(jù)安全問題表現(xiàn)為黑客通過非法渠道竊取信息，以下列舉部分典型案例[4]。如2016年發(fā)生的8·19徐玉玉電信詐騙案，犯罪嫌疑人杜某利用技術手段攻擊了“山東省2016高考網(wǎng)上報名信息系統(tǒng)”，并在網(wǎng)站植入木馬病毒，獲取網(wǎng)站后臺登錄權限，盜取了包括徐玉玉在內(nèi)的大量考生報名信息，然后將信息轉(zhuǎn)賣出去。2016年10月，孝感市公安局網(wǎng)安支隊聯(lián)合漢川市網(wǎng)安大隊經(jīng)過4個月的縝密偵查和周密布控，成功破獲了陳某等人侵犯公民個人信息案，截獲各類個人信息數(shù)據(jù)20余G，近千萬條，涉案的2名主要犯罪嫌疑人被移送起訴。這是孝感警方近年來偵破的第一起重大侵犯公民個人信息案。

2017年3月，個別不法分子利用共享單車的開鎖二維碼進行非法交易，用戶掃描二維碼后很可能會遭受財產(chǎn)損失，甚至會跳轉(zhuǎn)到含有木馬的假租車軟件，從而導致個人信息和銀行卡信息被盜取[5]。2017年5月12日，WannaCry蠕蟲病毒通過MS17-010漏洞在全球范圍內(nèi)大爆發(fā)，感染了大量計算機，該蠕蟲感染計算機后會向計算機中植入敲詐者病毒，導致電腦中大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于300美元（約合人民幣2 069元）的比特幣才能解鎖。2017年6月，一款偽裝《王者榮耀》游戲的輔助工具軟件打著游戲外掛的名義吸引游戲玩家下載安裝，界面與PC端大規(guī)模肆虐的WannaCry極為相似，用戶中毒后，將對手機內(nèi)的個人文件進行加密，然后向用戶索要贖金。2017年12月，一個名為“Janus”的安卓高危漏洞被發(fā)現(xiàn)，該漏洞允許惡意攻擊者繞過安卓的簽名機制，將惡意代碼植入安卓應用程序中篡改APP。一旦用戶安裝了植入惡意代碼的APP應用程序，不僅會造成用戶個人隱私泄露，甚至可能導致資金被盜、手機被遠程操控的后果。

2018年初又爆發(fā)了多起網(wǎng)絡安全事件，繼曝出CPU芯片級漏洞事件之后不久，騰訊安全玄武實驗室首次發(fā)現(xiàn)了“應用克隆”攻擊模型，用戶只需點擊一個鏈接，攻擊者便可輕松克隆用戶賬戶權限，盜取用戶賬號及資金等[8]。支付寶、攜程等國內(nèi)主流APP均在受影響之列，涉及幾乎全部安卓手機用戶。

網(wǎng)絡信息安全事件在國內(nèi)頻繁發(fā)生，在國外也不例外。例如：2017年，美國達拉斯警報器遭黑客入侵，警笛聲持續(xù)1小時;黑客入侵Edmodo教育平臺，竊取7千余萬教師、學生和家長賬戶信息;某國重要機構(gòu)數(shù)千份機密文檔泄露，涉及的黑客工具包括各種0day工具及惡意程序等[9]。

網(wǎng)絡信息泄露事件涉及領域非常廣泛，包括交通、物流、醫(yī)療、金融等與用戶密切相關的各個行業(yè)?！吨袊ヂ?lián)網(wǎng)站發(fā)展狀況及其安全報告（2017）》中指出：2017年境內(nèi)被篡改網(wǎng)站近1.7萬個，其中被篡改政府網(wǎng)站467個，分別下降了31.7%和47.9%，表明我國政府網(wǎng)站的安全防護水平整體上已得到了很大提高，省部級以上網(wǎng)站網(wǎng)頁被明文篡改的情況已經(jīng)很少發(fā)生[10];被植入后門的網(wǎng)站數(shù)量為8.2萬余個，同比上升9.3%，涉及IP地址約4萬個，其中84.9%位于境外。

2 網(wǎng)絡信息安全法律法規(guī)

為了保障網(wǎng)絡安全，維護網(wǎng)絡空間主權與國家安全、社會公共利益，保護公民、法人及其它組織的合法權益，促進社會信息化的健康發(fā)展，全國人民代表大會常務委員會于2016年11月7日發(fā)布了《中華人民共和國網(wǎng)絡安全法》，自2017年6月1日起施行，從而確立了網(wǎng)絡安全在整個信息系統(tǒng)建設中的核心地位。網(wǎng)絡安全法有6大特點：一是明確了網(wǎng)絡空間主權原則，二是明確了網(wǎng)絡產(chǎn)品和服務提供者的安全義務，三是明確了網(wǎng)絡運營者的安全義務，四是進一步完善了個人信息保護規(guī)則，五是建立了關鍵信息基礎設施安全保護制度，六是明確了關鍵信息基礎設施重要數(shù)據(jù)的跨境傳輸規(guī)則等。

早在2014年2月27日，中央即成立了網(wǎng)絡安全和信息化領導小組，該機構(gòu)的主要職責為統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟、政治、文化、社會及軍事等各個領域的網(wǎng)絡安全和信息化重大問題，研究制定網(wǎng)絡安全及信息化發(fā)展戰(zhàn)略和重大政策，以及推動國家網(wǎng)絡安全和信息化法治建設進程。

習近平總書記在中央網(wǎng)絡安全和信息化領導小組會議等多個會議中提到，網(wǎng)絡安全和信息化是相輔相成的。網(wǎng)絡信息安全已被提升到國家安全層面，實施網(wǎng)絡強國戰(zhàn)略，需要加快提高網(wǎng)絡管理水平、增強網(wǎng)絡空間安全防御能力，并利用網(wǎng)絡信息技術推進社會治理，即沒有網(wǎng)絡安全就沒有國家安全。

除《中華人民共和國網(wǎng)絡安全法》外，還推出了針對網(wǎng)絡安全與信息安全的諸多法規(guī)政策，如《中華人民共和國計算機信息系統(tǒng)安全保護條例》《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》《網(wǎng)絡產(chǎn)品和服務安全審查辦法（征求意見稿）》《國家網(wǎng)絡空間安全戰(zhàn)略》《信息安全等級保護管理辦法》等。

3 網(wǎng)絡信息安全保護

網(wǎng)絡信息安全是一項復雜的系統(tǒng)工程，涉及人員、技術、設備、管理等多方面因素，只有將安全要素的保障策略結(jié)合起來，才能形成一個高效的網(wǎng)絡信息安全系統(tǒng)[11]。

3.1 網(wǎng)絡信息安全要素分析

網(wǎng)絡信息安全要素主要包括人員、技術和管理。人員方面問題包括：系統(tǒng)使用人員保密觀念不強，對關鍵信息未進行加密處理，密碼保護強度低，文檔共享未經(jīng)過必要的權限控制，或因為業(yè)務不熟練、缺乏責任心，無意中破壞了網(wǎng)絡系統(tǒng)與設備的保密措施;專業(yè)人員利用工作之便，采用非法手段訪問系統(tǒng)并獲取信息;非法人員利用系統(tǒng)端口或傳輸介質(zhì)，采用監(jiān)聽、捕獲、破譯等手段竊取保密信息。技術方面問題包括網(wǎng)絡通信線路和設備缺陷以及軟件存在漏洞后門等[12]。其中網(wǎng)絡通信線路方面問題有：①電磁泄露。攻擊者利用電磁泄露，捕獲無線網(wǎng)絡傳輸信號，破譯后能較輕易地獲取傳輸內(nèi)容;②設備監(jiān)聽。不法分子通過對通信設備的監(jiān)聽捕獲傳輸信息;③終端接入。攻擊者在合法終端上接入非法終端，利用合法用戶身份操縱該計算機通信接口，使信息傳輸?shù)椒欠ńK端;④網(wǎng)絡攻擊。

3.2 網(wǎng)絡信息安全威脅來源

網(wǎng)絡信息安全威脅主要來源于6個方面：①網(wǎng)絡：組建無線局域網(wǎng)、內(nèi)部局域網(wǎng)、3G/4G移動網(wǎng)絡等;②物理接觸：關鍵設備、部件替換、內(nèi)部網(wǎng)絡物理接入等;③人員：收買內(nèi)部工作人員、攻擊關鍵人員或利用黑客身份直接潛入等;④數(shù)據(jù)：包括個人數(shù)據(jù)、應用平臺數(shù)據(jù)、業(yè)務系統(tǒng)數(shù)據(jù)、云數(shù)據(jù)及其它數(shù)據(jù)等;⑤應用：包括Web應用、郵件系統(tǒng)、OA系統(tǒng)、業(yè)務系統(tǒng)等;⑥操作系統(tǒng)：包括主機操作系統(tǒng)、服務器操作系統(tǒng)、移動終端操作系統(tǒng)以及接入互聯(lián)網(wǎng)其它設備的操作系統(tǒng)等[13]。

3.3 網(wǎng)絡信息安全保護措施

3.3.1 構(gòu)建以“人”為核心的網(wǎng)絡信息安全戰(zhàn)略架構(gòu)

網(wǎng)絡信息安全戰(zhàn)略架構(gòu)要求主動、動態(tài)、全員參與，全方位地考慮安全建設，從單位管理層的行政命令要求出發(fā)，從法律義務層面保障網(wǎng)絡信息安全;網(wǎng)絡安全管理團隊需要將安全保障作為主要任務開展工作;業(yè)務運維第三方要將安全作為基本需求，使網(wǎng)絡安全管理貫穿整個業(yè)務生命周期，這是建立網(wǎng)絡信息安全戰(zhàn)略架構(gòu)的前提。

構(gòu)建以“人”為核心的網(wǎng)絡信息安全戰(zhàn)略架構(gòu)主要從3個方面考慮：一是安全管理，提高管理人員安全意識，建立網(wǎng)絡信息安全相關制度，并對網(wǎng)絡信息安全提供強有力的應急支持;二是技術支撐，降低網(wǎng)絡信息安全風險，加強網(wǎng)絡基礎設施建設，提高網(wǎng)絡核心產(chǎn)品與終端安全性[14]，特別是網(wǎng)絡應用安全;三是落實執(zhí)行，制定網(wǎng)絡信息安全應用預案并進行實地演練，定期開展網(wǎng)絡安全比賽、網(wǎng)絡安全培訓，以提升相關管理人員的網(wǎng)絡信息安全防護能力。

要堅持“管理為主、技術為輔”的安全理念，實行專人專管，必須有負責單位網(wǎng)絡信息安全的專職崗位及人員，并且持有相應的安全等級證書以保證具備足夠的網(wǎng)絡安全知識和技能;做好數(shù)據(jù)資料保護，謹慎進行電子交易、網(wǎng)上支付等涉及經(jīng)濟利益的操作[15];及時修復安全漏洞，防范自身信息泄露與財產(chǎn)損失。

3.3.2 養(yǎng)成良好的用網(wǎng)習慣

在互聯(lián)網(wǎng)世界里沒有絕對安全，只有實時檢測、實時響應、實時恢復、防治結(jié)合，才能保證網(wǎng)絡信息的相對安全。對于個人而言，要養(yǎng)成良好的用網(wǎng)習慣，以預防為主，加強個人防范意識，防患于未然。服務器和客戶端都安裝殺毒軟件，并不定期升級;盡量不使用下載工具;定期備份數(shù)據(jù);不隨意下載機密信息到本地;不隨意共享信息;不隨意讓他人使用自己的機器;不隨意執(zhí)行不明用途的應用程序;對所有應用程序設置不同的超強口令;安裝最新的服務包和補丁程序;不隨意接收文件;不隨意訪問陌生網(wǎng)站;不隨意泄露個人私密信息;不隨意掃描二維碼，以及接入免費Wi-Fi;交流中特別注意隱私保護;遵守網(wǎng)絡信息安全法律法規(guī)和有關政策;訪問正規(guī)網(wǎng)站，特征是網(wǎng)站首頁底部有工信部備案的ICP號、公安部門備案號和事業(yè)單位備案號等;安裝正版殺毒軟件如360殺毒、金山毒霸、百度殺毒軟件等，如遇到非法網(wǎng)站立即到中國互聯(lián)網(wǎng)違法和不良信息舉報中心（www.12377.cn）等正規(guī)網(wǎng)站進行舉報。

4 結(jié)語

在當前互聯(lián)網(wǎng)高速發(fā)展的時代，大量移動終端與智能設備都接入了互聯(lián)網(wǎng)，從而使網(wǎng)絡信息量急劇增加，信息安全隱患也隨之增長。通過分析網(wǎng)絡信息安全現(xiàn)狀，結(jié)合有關網(wǎng)絡安全的法律法規(guī)及政策，分析了“互聯(lián)網(wǎng)+”時代網(wǎng)絡信息安全要素以及網(wǎng)絡信息安全威脅的來源，提出構(gòu)建以“人”為核心的網(wǎng)絡信息安全三層戰(zhàn)略架構(gòu)。雖然在信息社會沒有絕對安全的網(wǎng)絡，但只要遵守網(wǎng)絡安全法律法規(guī)，增強網(wǎng)絡信息安全意識，提高網(wǎng)絡信息安全防護水平，養(yǎng)成良好的上網(wǎng)習慣，即能在最大程度上保障網(wǎng)絡信息安全。

參考文獻：

[1] 常俊. 互聯(lián)網(wǎng)+時代網(wǎng)絡安全防御現(xiàn)狀及關鍵技術研究[J]. 網(wǎng)絡安全技術與應用， 2018（11）：6，26.

[2] 高情. 校園無線局域網(wǎng)設計研究[J].? 軟件導刊，2016（10）：173-175.

[3] 賀道德. 互聯(lián)網(wǎng)+時代下的網(wǎng)絡安全技術分析與研究[J]. 無線互聯(lián)科技， 2018（18）：41-43.

[4] 陳華，蔡燕. 互聯(lián)網(wǎng)+時代內(nèi)部網(wǎng)絡安全管理策略研究[J]. 信息與電腦， 2017（22）：178-179.

[5] 丁小娜. 基于移動智能終端安全威脅與防護技術的研究[J]. 數(shù)字技術與應用， 2017（1）： 192-193.

[6] 嚴晨雪. 電子政務外網(wǎng)安全體系研究[J]. 軟件導刊，2018（6）：194-197.

[7] 孫曉霞. 校園無線網(wǎng)絡安全防護研究[J]. 網(wǎng)絡安全技術與應用，2016（1）：109-110.

[8] 沈繼云. 網(wǎng)絡安全分析與大數(shù)據(jù)技術的應用[J]. 網(wǎng)絡安全技術與應用，2017（12）： 75-76.

[9] 于躍. 計算機網(wǎng)絡信息安全及防護[J]. 電子技術與軟件工程，2017（12）：229.

[10] 潘子軒. 基于擴展式博弈的網(wǎng)絡安全防御策略研究[J]. 軟件導刊，2018（10）：191-193，199.

[11] 魏至銳. 高校無線網(wǎng)絡系統(tǒng)的分析與設計[D]. 昆明：云南大學，2015.

[12] 王輝. 基于互聯(lián)網(wǎng)應用的應用型本科網(wǎng)絡工程專業(yè)課程體系建設研究[J]. 軟件導刊， 2016（12）：177-179.

[13] 賴特. 網(wǎng)絡安全設備日志融合技術研究[D]. 成都：電子科技大學，2015.

[14] 張新剛，于波，田燕，等. 大數(shù)據(jù)時代高校網(wǎng)絡空間安全層次化保障體系分析[J]. 網(wǎng)絡安全技術與應用， 2017（1）：107-108.

[15] 董征宇. 智能計算下計算機網(wǎng)絡可靠性研究綜述[J]. 軟件導刊， 2017（9）： 216-218.

[16] 周曉青. 計算機網(wǎng)絡信息安全問題的對策[J]. 電子技術與軟件工程， 2019（1）：190.

[17] 張剛. 計算機網(wǎng)絡信息安全及其防護對策[J]. 電子技術與軟件工程， 2019（1）：196.

[18] 黃娟. 網(wǎng)絡安全問題預防對策探討[J]. 現(xiàn)代工業(yè)經(jīng)濟與信息化， 2019（1）：70-71.

[19] 包金峰. 防范網(wǎng)絡型病毒的計算機安全技術探討[J]. 信息與電腦，2018（24）：3-4.

[20] 張永強. 計算機網(wǎng)絡安全技術與防范措施探討[J]. 信息技術與信息化，2018（12）：121-122.

（責任編輯：黃 ?。?/p>