徐小華，常 鳳，陳 冬， 胡忠旭

（昭通學(xué)院 a.網(wǎng)絡(luò)與信息中心； b.物理與信息工程學(xué)院， 云南 昭通 657000）

1 引言

隨著計算機(jī)網(wǎng)絡(luò)、信息技術(shù)的飛速發(fā)展，信息安全的重要性也愈發(fā)凸顯，智能終端設(shè)備的安全影響到人們生活中的方方面面，網(wǎng)絡(luò)信息安全已越來越被國家所重視。在國家網(wǎng)絡(luò)空間安全戰(zhàn)略的貫徹落實下不易再次出現(xiàn)如2016年的磁碟機(jī)病毒、2017年的WannaCry 勒索病毒、Reaper 僵尸網(wǎng)絡(luò)病毒以及2018年的挖礦木馬等超級病毒。但近兩年主要以個人信息泄露及網(wǎng)絡(luò)詐騙問題為關(guān)注重點(diǎn)。2018年5月，黑客入侵快遞公司后臺盜走近億條客戶信息；2018年10月，圓通快遞10 億條用戶信息數(shù)據(jù)被出售；同年11月，萬豪酒店集團(tuán)5 億房客信息被泄露；2019年2月，京東金融APP 被曝獲取用戶隱私，抖音千萬級賬號遭撞庫攻擊；2020年3月，5.38 億條微博用戶信息泄露；2020年4月，多地高校數(shù)萬學(xué)生隱私遭泄漏。在這些觸目驚心的數(shù)字背后，讓人們對信息安全的關(guān)注達(dá)到前所未有的高度。

沒有網(wǎng)絡(luò)安全就沒有國家安全[1]。由于個人安全意識缺乏、企業(yè)安全投入不足，導(dǎo)致數(shù)據(jù)泄露、高危漏洞、網(wǎng)絡(luò)攻擊以及相關(guān)的網(wǎng)絡(luò)犯罪呈現(xiàn)上升趨勢，也加重了網(wǎng)絡(luò)安全事件所帶來的損失和影響，要想實現(xiàn)互聯(lián)網(wǎng)時代的進(jìn)一步發(fā)展，必須解決這一關(guān)鍵性問題，保護(hù)廣大用戶的隱私安全[2]。信息安全在未來將會是人們普遍關(guān)注的話題。

2 網(wǎng)絡(luò)信息安全現(xiàn)狀

互聯(lián)網(wǎng)已成為推動經(jīng)濟(jì)社會轉(zhuǎn)型、提升國家綜合競爭力的強(qiáng)大動力。與此同時，層出不窮的病毒、信息的泄露等網(wǎng)絡(luò)安全事件也愈演愈烈，成為一大隱患和威脅。

2.1 網(wǎng)絡(luò)安全形勢嚴(yán)峻

2021年5月26 日，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）編寫的《2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》報告（以下簡稱“2020年態(tài)勢報告”）正式發(fā)布[3]。2020年態(tài)勢報告顯示，國家信息安全漏洞共享平臺（CNVD）收錄安全漏洞數(shù)量共計 20,704 個，繼續(xù)呈上升趨勢；全年監(jiān)測發(fā)現(xiàn)約20 萬個針對我國境內(nèi)網(wǎng)站的仿冒頁面，同比增長約 1.4 倍；區(qū)塊鏈領(lǐng)域共發(fā)生安全事件 555 起，每月均有新增安全事件；全年捕獲惡意程序樣本數(shù)量超過 4,200 萬個，日均傳播次數(shù)達(dá) 482 萬余次，涉及惡意程序家族近 34.8 萬個;我國境內(nèi)感染計算機(jī)惡意程序的主機(jī)數(shù)量約534 萬臺，同比下降8.3%；通過自主捕獲和廠商交換新增獲得移動互聯(lián)網(wǎng)惡意程序數(shù)量約 303 萬個，同比增長 8.5%；捕獲聯(lián)網(wǎng)智能設(shè)備惡意程序樣本數(shù)量約341 萬個，同比上升 5.2%。

2.2 信息安全意識薄弱

在數(shù)字化時代，互聯(lián)網(wǎng)傳遞的信息魚龍混雜，使我們眼花繚亂，應(yīng)接不暇。從單一的IE 瀏覽器訪問到多個客戶端應(yīng)用軟件，都離不開密碼的設(shè)置和應(yīng)用程序的下載，人們使用網(wǎng)絡(luò)時，大部分網(wǎng)站及應(yīng)用需要用戶填寫相關(guān)信息來注冊，成功登錄后才能正常使用相關(guān)功能，用戶一旦注冊，手機(jī)號碼、姓名、性別、出生年月甚至身份證號等一些至關(guān)重要的個人信息都會一定程度地公布在網(wǎng)絡(luò)上[4]，不法分子獲得這些信息后，進(jìn)而將這些個人隱私信息售賣，引發(fā)一系列安全問題。一些黑客往往會在應(yīng)用類軟件中注入病毒、木馬后重新發(fā)布在網(wǎng)絡(luò)中，誘導(dǎo)用戶下載，以此實現(xiàn)對用戶主機(jī)的完全控制；釣魚網(wǎng)站以超高的仿制技術(shù)蒙蔽用戶的雙眼，造成用戶信息泄露的同時還伴隨著賬戶財產(chǎn)的損失；手機(jī)應(yīng)用商店上架越來越多的APP，而這些APP 需要用戶授予權(quán)限才能正常使用，如果用戶拒絕授權(quán)，將無法使用APP，雖然有信息保護(hù)意識但卻無可奈何，也是當(dāng)前智能設(shè)備信息保護(hù)所處的比較艱難的窘境[5]。

3 信息安全存在的問題

2021年2月3 日，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）正式發(fā)布了第 47 次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》（以下簡稱《報告》）[6]?！秷蟾妗凤@示，截止2020年12月，我國網(wǎng)民規(guī)模為9.89億，互聯(lián)網(wǎng)普及率達(dá)70.4%。網(wǎng)民規(guī)模的持續(xù)增長，使信息流動出現(xiàn)多元化、自由化的趨勢，人們在享受互聯(lián)網(wǎng)帶來便利的同時，存在以下幾方面的問題。

3.1 軟件下載問題

木馬軟件是黑客常用的攻擊手段之一，一旦運(yùn)行木馬軟件，黑客就能在用戶未授權(quán)的情況下獲得計算機(jī)的完全控制權(quán)；而流氓軟件是在使用的同時未經(jīng)用戶同意觸發(fā)惡意行為，如篡改瀏覽器主頁、廣告彈窗、安裝捆綁軟件、安裝捆綁插件、修改系統(tǒng)配置等。流氓軟件介于正規(guī)軟件與木馬軟件之間，分為廣告軟件、間諜軟件和捆綁軟件三類，流氓軟件雖然不會對計算機(jī)造成直接性的經(jīng)濟(jì)損失，但是會占用過多的資源，拖慢計算機(jī)運(yùn)行速度，影響用戶體驗，甚者收集用戶信息，創(chuàng)建木馬后門。以安裝某云音樂為例，在百度搜索框中輸入“某云音樂下載”，得到的搜索結(jié)果中前10 條搜索結(jié)果均為非官方鏈接，通過每一條搜索結(jié)果內(nèi)的鏈接來進(jìn)行安裝測試，發(fā)現(xiàn)均有捆綁軟件。一旦運(yùn)行這些軟件，捆綁的軟件及木馬應(yīng)用也隨之安裝運(yùn)行。每個軟件都有自己對應(yīng)的官方下載地址，由于搜索引擎對搜索功能做了特殊處理，大量網(wǎng)民已很難分辨真假官網(wǎng)，于是讓木馬應(yīng)用及流氓軟件有了可乘之機(jī)。

部分軟件需要授權(quán)激活才能正常使用，如Microsoft Office 系列、Adobe 系列、Autodesk 系列等，大多數(shù)用戶不愿意去購買官方授權(quán)，甚至不知道如何購買授權(quán)，因此用戶會在瀏覽器中直接下載安裝，還有一部分用戶會選擇淘寶購買軟件或請專業(yè)人士安裝，盡管去淘寶購買軟件或請專業(yè)人士安裝，他們依然不是通過官方渠道來激活，常用的方法是先安裝官方正版試用然后再使用注冊機(jī)來注冊激活。注冊機(jī)的原理是修改系統(tǒng)配置和目標(biāo)軟件的授權(quán)方式來達(dá)到授權(quán)激活的效果，所以注冊機(jī)本身會被殺毒軟件識別為病毒，使用注冊機(jī)注冊激活的方式極大程度上給了不法分子的可乘之機(jī)，他們往往會在注冊機(jī)中注入病毒代碼，讓用戶明知?dú)⒍拒浖崾緸椴《镜那闆r下還運(yùn)行注冊機(jī)，于是木馬程序也隨之運(yùn)行，使用戶計算機(jī)成為黑客眼中的“肉雞”。

3.2 密碼設(shè)定問題

除了使用000000、qwe123、123456 等常規(guī)弱密碼還會通過個人信息來設(shè)置密碼，這些密碼通常由姓名、生日、聯(lián)系方式、身份證號碼及特殊字符串組成，部分用戶還會使用愛人或孩子的姓名和生日來設(shè)定密碼，黑客一旦擁有這些個人信息，就能借助工具來枚舉密碼，破解出用戶密碼。

為圖方便，大部分用戶會使用自己精心設(shè)計過的密碼來注冊網(wǎng)站，即共享密碼，這樣的共享密碼往往不超過三個。互聯(lián)網(wǎng)每時每刻都有被攻擊的風(fēng)險，一旦有注冊過的網(wǎng)站被“脫庫”，那么黑客就能登錄用這個密碼注冊過的所有網(wǎng)站，進(jìn)而獲取用戶信息。

廠商會設(shè)定默認(rèn)密碼，以提供初始登錄。例如某高校電子圖書館初始密碼為123456，而學(xué)校做不到讓所有學(xué)生都登錄電子圖書館，即使登錄了電子圖書館，也不愿意修改密碼，通過這些初始密碼，黑客不費(fèi)吹灰之力就能獲得用戶個人信息。

3.3 網(wǎng)站瀏覽問題

瀏覽網(wǎng)站時我們往往需要在表單中輸入賬號密碼等信息，大多數(shù)用戶會選擇讓瀏覽器保存密碼。由于網(wǎng)頁中被嵌套了廣告信息，以及本身就帶有營銷功能的瀏覽器，使我們在瀏覽網(wǎng)頁的時候被廣告信息誤導(dǎo)，進(jìn)而點(diǎn)擊到非官方頁面，甚者包含色情網(wǎng)站、賭博網(wǎng)站等非法網(wǎng)站，點(diǎn)擊該類網(wǎng)站后，瀏覽器能強(qiáng)制彈窗到軟件下載頁面，且通過提前設(shè)定好的JavaScript 代碼來獲取用戶保存在瀏覽器中的信息，這些被瀏覽器下載的軟件通常都攜帶病毒，這些病毒程序通過修改注冊表等系統(tǒng)信息，創(chuàng)建病毒啟動項、設(shè)置定時任務(wù)來讓病毒一直存活在用戶電腦中，使不法分子通過該類病毒對用戶計算機(jī)進(jìn)行完全控制。

3.4 系統(tǒng)更新不及時

操作系統(tǒng)不及時更新，會存在許多漏洞，微軟也不例外。錯過重大安全更新，黑客可通過掃描得到目標(biāo)主機(jī)的漏洞信息，并利用漏洞來攻擊用戶，將用戶機(jī)器與黑客機(jī)器建立連接，進(jìn)而獲得完全控制權(quán)限，導(dǎo)致各種安全事故。

3.5 敏感文件處理不當(dāng)

大部分用戶喜歡把重要（如證件照、銀行卡密碼等）信息截圖或者使用記事本保存，與普通文件共同存儲在計算機(jī)中。一旦用戶電腦遭到黑客攻擊，黑客就能輕而易舉下載到這些文件。

3.6 智能設(shè)備安全問題

智能設(shè)備的用戶也避免不了信息泄露。造成信息泄露的主要原因是用戶安全意識薄弱，手機(jī)APP 只要申請應(yīng)用權(quán)限，用戶就給予允許，以致于通訊錄、短信記錄、手機(jī)使用記錄等被APP 后臺靜默上傳。部分企業(yè)能通過特殊手段分析客戶流量情況，給客戶打上標(biāo)簽，通過標(biāo)簽生成用戶畫像，系統(tǒng)精準(zhǔn)推送消息，如打開某APP 搜索某件商品，隨后便會在微信朋友圈、QQ 空間、抖音短視頻、手機(jī)瀏覽器首頁等均顯示該商品的廣告信息。大數(shù)據(jù)“殺熟”、隱私泄露問題日益突出，從而造成大數(shù)據(jù)濫用、使得個人權(quán)益受損[7]。

4 解決信息安全問題的對策

針對信息安全存在的問題，本節(jié)做了全面的對策分析，以提升安全意識、規(guī)范用網(wǎng)為重點(diǎn)，從以下四個方面來闡述。

4.1 正確使用殺毒軟件

4.1.1 普通用戶對于殺毒軟件的誤解

國內(nèi)殺毒軟件憑借免費(fèi)二字擁有很大的用戶群體，使用殺毒軟件可以抵御大多數(shù)網(wǎng)絡(luò)攻擊，但是也存在誤殺問題，殺毒軟件不僅拖慢了電腦運(yùn)行速度，其彈窗已經(jīng)影響用戶到體驗，一些用戶在使用計算機(jī)的同時索性關(guān)閉殺毒軟件。此外，殺毒軟件能直接接管系統(tǒng)，甚至隱藏卸載功能，所以國內(nèi)免費(fèi)殺毒軟件的口碑一直不是很好，大多數(shù)用戶不愿意使用殺毒軟件。殺毒軟件默認(rèn)的配置會監(jiān)控用戶的行為，占用電腦過多的資源，殺毒軟件一旦有不認(rèn)識的文件，就列為可疑文件，后臺上傳到云端進(jìn)行人工分析。不同的殺毒軟件有著不同的病毒庫和不同的算法，以至于殺毒能力有強(qiáng)弱之分，國內(nèi)免費(fèi)殺毒軟件基本都攜帶營銷功能，如果用戶不做正確的配置，殺毒軟件的彈窗甚至比流氓軟件還多。

4.1.2 正確配置殺毒軟件

本節(jié)以Windows Defender 為主來進(jìn)行配置，為普通用戶解決絕大多數(shù)的系統(tǒng)安全問題。

（1）Windows10 系統(tǒng)中在開始菜單打開設(shè)置選項卡，依次點(diǎn)擊“更新和安全”“Windows 安全中心”，打開Windows 安全中心后在“病毒和威脅防護(hù)”中選擇“病毒和威脅防護(hù)”設(shè)置，將實時保護(hù)和云防護(hù)打開；

（2）在賬號保護(hù)中登錄微軟賬號，并將防火墻和網(wǎng)絡(luò)保護(hù)中的域網(wǎng)絡(luò)、專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)打開；

（3）在應(yīng)用和瀏覽器控制選項卡中打開“基于聲譽(yù)的保護(hù)”，將檢查應(yīng)用和文件、使用于Microsoft Edge 的SmartScreen、阻止可能不需要的應(yīng)用打開；

（4）在設(shè)備和安全性選項卡中開啟“內(nèi)核隔離”；

（5）重新打開Windows 安全中心，當(dāng)所有選項提示“無需執(zhí)行任何操作”時，完成了Windows Defender 的配置。

4.2 防范網(wǎng)絡(luò)釣魚，安全上網(wǎng)

網(wǎng)絡(luò)釣魚是黑客最簡單的攻擊方式，常常發(fā)生在郵件、短信、免費(fèi)WiFi 的鏈接中。首先，在點(diǎn)擊網(wǎng)址前首先觀察域名，確認(rèn)是可信站點(diǎn)才訪問；其次，不注冊登錄不熟悉的網(wǎng)站，不點(diǎn)擊陌生人發(fā)送的鏈接，朋友同事發(fā)送的鏈接也要觀察域名，確定是官方網(wǎng)站或可信網(wǎng)站才點(diǎn)擊瀏覽。同時應(yīng)保證殺毒軟件的正常運(yùn)行，殺毒軟件能識別出大多數(shù)的釣魚鏈接，不在網(wǎng)上留下真實資料，不連接未加密WiFi，不相信陌生人的任何信息。最后，建議使用谷歌瀏覽器或微軟新推出的Microsoft Edge 瀏覽器上網(wǎng)；首頁不使用導(dǎo)航頁；不使用瀏覽器的密碼自動填充功能；不訪問非法網(wǎng)站，上網(wǎng)時開啟防火墻和殺毒軟件；及時清除上網(wǎng)記錄。

4.3 加強(qiáng)智能設(shè)備安全

智能設(shè)備已融入到生活中的方方面面，正確、合理使用智能設(shè)備，智能設(shè)備才能安全地服務(wù)我們。首先應(yīng)從正規(guī)商店購買智能設(shè)備，在安裝應(yīng)用時應(yīng)從系統(tǒng)提供的應(yīng)用市場來下載安裝，不進(jìn)行“越獄”操作[9]，不安裝來歷不明的軟件及盜版軟件，不掃描來歷不明的二維碼，不連接公共WiFi，不使用來歷不明公共充電器和充電寶。其次，使用應(yīng)用的時候應(yīng)留意權(quán)限申請，非必要不授權(quán)。最后開啟鎖屏密碼、應(yīng)用加密功能，并減少本地密碼保存。

4.4 提升安全意識，規(guī)范用網(wǎng)

隨著社會的進(jìn)步，國家越來越重視網(wǎng)絡(luò)安全，我們更應(yīng)該響應(yīng)國家號召，積極參加由政府、單位發(fā)起的網(wǎng)絡(luò)安全培訓(xùn)，提升網(wǎng)絡(luò)安全意識和基本技能，構(gòu)筑網(wǎng)絡(luò)安全的第一道防線[10]。除此之外還需從以下幾個方面提升自我安全意識：

（1）使用高強(qiáng)度密碼，不定期修改密碼。設(shè)置的密碼中不包含姓名、生日、聯(lián)系方式等信息，多使用特殊符號并隨機(jī)組合，設(shè)置12 位以上的密碼，如果有登錄驗證，應(yīng)該開啟登錄驗證。密碼應(yīng)不定期更換，同一密碼使用30 次后作廢，及時修改密碼。

（2）不共享賬號密碼等信息。不輕易向別人透露自己的賬號密碼等信息，如果必須將賬戶提供給別人使用，應(yīng)該在使用前修改一次密碼，使用后再次修改密碼；不在不同的網(wǎng)站使用相同或相近的密碼；及時修改由廠商或機(jī)構(gòu)設(shè)定的默認(rèn)密碼。

（3）非必要不在網(wǎng)絡(luò)中使用真實信息。當(dāng)網(wǎng)站要求用戶填寫身份信息時，應(yīng)考慮該網(wǎng)站的可信性。一般的網(wǎng)站不應(yīng)該填寫真實信息，包括購物網(wǎng)在內(nèi)，除了地址信息及聯(lián)系電話，不使用真實姓名。

5 結(jié)語

隨著萬物互聯(lián)時代到來，人們更應(yīng)加強(qiáng)信息安全意識，提升網(wǎng)信安全防護(hù)能力，避免隱私信息泄露。信息安全是推動社會進(jìn)步的關(guān)鍵，信息安全問題無憂，國家安全和社會穩(wěn)定才會有可靠的保障。人們應(yīng)樹牢“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”的觀念，全面貫徹落實網(wǎng)絡(luò)空間安全戰(zhàn)略，進(jìn)入網(wǎng)絡(luò)強(qiáng)國新時代。