GA黄金甲编者按:“互联网+”在实体经济乃至社会上下、各行各业掀起了创新的浪潮。但同时,我们需清醒地认识到,无论对于消费者、企业,还是政府监管部门,都意味着新的信息安全风险与挑战,安全风险,涉及法律、制度等问题都将逐渐暴露出来。当然这同时也是机遇,安全治理和安全产业如何利用好这柄双刃剑,需要我们不懈努力,共同探寻“互联网+”的安全之道。
“互联网+”这一概念一经提出,立刻激起千层浪,专家学者们展开热烈讨论,国内两大互联网巨头阿里巴巴和腾讯也先后发布“‘互联网+’研究报告”,讨论这一新的国家战略带来的美好愿景与机遇。
然而机遇往往与挑战并存,“互联网+”火热的背后暗藏潜在的风险,信息安全便是众多风险中重之又重的一个方面。随着“互联网+”的推进,众多传统行业逐步数据化、在线化、移动化、远程化,同时更多消费者卷入互联网,产生的数据和信息也必将呈爆炸式增长;除此之外,在物联网和物理信息系统(cps)的发展下,网络从“人”和“机”的连接延伸至“人、机、物”的连接,将产生新的自物理世界的巨量传感数据,这些数据涉及整个社会、军事及国民经济的方方面面,与国家经济发展甚至整个国家安全都息息相关,在这样的新环境下,如何保障并提升信息安全,为社会经济健康发展保驾护航,这为信息安全领域提出了新的课题和使命。
“互联网+”是一个新的生态系统,这个系统的主体不仅有企业,还包括个人消费者以及政府等各级管理监管部门,本文从个人消费者、企业及管理三个层面分别阐述在“互联网+”时代面临的信息安全风险及挑战。
“互联网+”时代,每个人都是数据的贡献者,在个人贡献信息的同时,信息泄露等安全问题也变得更加严峻,2011—2014年,已确认被泄露的我国公民个人信息就多达11.27亿条,非法采集、窃取、贩卖和利用个人信息的黑色产业链不断“做大”,2014年支付宝前员工非法贩卖超过2G的个人信息,以及携程网的“安全门“事件,都引起广泛关注。个人信息泄露的后果主要包括三个方面,首先是个人信息滥用的问题,商家广告商不遗余力地收集个人信息用于精准营销;其次,信息泄露使得网络攻击目标更显著,攻击者搜集获得个人社交网络、邮件、微博、手机号码和家庭住址等敏感信息,使目标更容易被锁定;最后,基于这些感敏信息的网络欺诈将会有更好的针对性和欺骗性,更高的成功率,对个人的财产甚至人身安全产生极大风险和挑战。
在线支付安全将是个人消费者在“互联网+”时代面临的另一个重大风险。2014年2月,淘宝被爆出现重大安全漏洞,黑客通过搜索引擎,无需密码即可登录淘宝用户账号,直接获取用户的账户余额、交易记录等信息;3月,携程网因安全支付日志存在漏洞,导致大量用户银行卡信息泄露,引发一场“换卡潮”。“互联网+”时代,随着越来越多的行业互联网化,对于个人用户来说,也会有越来越多的消费和支付转移至互联网,这将使用户的财产安全面临更加严峻的风险和挑战,尤其近年来移动支付得到快速发展和普及,2014年我国移动支付的用户规模达到2.17亿,比2013年增长了73%,移动支付虽然便捷,但手机等移动设备内置的安全保护非常有限,同时3G、4G、操作系统、应用软件等的多样性和不成熟性也加剧了移动支付被攻击的威胁。
“互联网+”加的是多个传统行业,包括金融、教育、旅游、交通、房地产、农业、制造业等等,涉及社会经济的方方面面,每个传统行业都有其自身的业务特征,在与互联网结合的过程中,会产生各不相同的新技术、新业态,带来不同的信息安全问题,例如“互联网+金融”,其产业链包括资金募集、理财、支付、网络货币、金融信息服务等多个环节,在这样庞大的金融全业务链中,一方面互联网金融交易双方无法见面,无法面对面鉴别真实身份;另一方面如何保障在网络中传输的数据如电子合同等是可信的、未被篡改的;再有,如果发生纠纷,如何通过电子证据证明用户的交易行为,这些电子证据是否可以作为可靠的法律证据来使用?这些问题是“互联网+金融”要解决的关键信息安全问题。而“互联网+制造业”产业链则包括消费者需求调研,生产管理,库存管理,批发、分销,配送等环节,与“互联网+金融”截然不同的业务流程,必然产生新的信息安全问题,不同行业技术标准、业务标准的多样化,会导致信息安全问题的复杂化,这也是“互联网+”环境下企业信息安全面临的新挑战。
“互联网+”时代,互联网所连接的不再局限于“人”和“机”,物联网(IoT)和信息物理融合系统(CPS)作为下一代网络的核心技术,将人、机、物融合,除了传统互联网由人产生的数据外,还将产生并处理大量来自于物理世界的传感数据,并与现有的数据及技术不断整合。与传统互联网类似,CPS网络也面临传统的网络威胁,如现有的拒绝服务攻击、僵尸网络、身份欺骗、信息窃取等网络攻击手段,除此之外,由于CPS网络还涉及各种物理节点如传感器等,攻击者也可能会在物理节点进行攻击,使系统接收到虚假信息;同时异构网络之间的数据交换将带来全新的安全问题,如网间认证、安全协议的无缝衔接等,这些都使企业信息安全面临更严峻的挑战。
从法治规律的角度来说,法律通常是滞后于社会发展的,法律所反映的往往是稳定的既存社会格局。总理近日在泉州企业视察时说:“互联网+”未知大于已知。这对企业而言意味着未来无限的空间和机遇,但是对于法律及监管机构而言则是非常大的挑战:一方面,“互联网+”的新业态可能带来新的问题,需要法律规制;另一方面,新的业态刚刚萌芽,其未来的发展存在无限的可能性,人们对其认知也有限,如果贸然规制,则可能极大地限制其发展。如何在鼓励创新和防范风险中间维持一个微妙的平衡,对监管机构而言是一个巨大的挑战。
首先,对于过去一直远离“互联网”的传统行业,如农业、卫生、制造业等,信息安全知识匮乏,信息安全意识极为薄弱。而保障信息安全,除了技术手段和法律监管外,很大程度上取决于企业本身的安全防范和管理水平,制定正确的安全操作流程、权限管理、安全评审等对于保障企业信息安全具有不可替代的重要作用,这将成为“互联网+”行动计划健康推进的一大风险和隐患。其次,“互联网+”对应的是企业传统技术构架、商业模式及组织方式的变革,这必然要求观念及意识的变革,甚至是颠覆性的变革,这将是一个长期且充满阻力障碍的艰辛过程。
综上,“互联网+”环境下的信息安全问题涉及观念意识、技术、管理、法律监管等多个层面,给个人消费者、企业及相关监管部门带来了新的挑战,但“互联网+”的在线化和数据化,也为信息安全带来了新的机遇。
“互联网+”的进程将会是一个不断数据化的进程,越来越多的社会主体包括政府、企业、个人及各类社会组织将卷入这一进程,从而产生并积累丰富及全面的大数据,包括企业经营数据、用户行为数据等等,这些数据能够折射不同社会主体的行为特征及规律,为社会治理,政策制定,甚至打击犯罪提供了重要的数据基础,从而极大提升信息安全管理的效率,具体体现在以下几个方面。
自2009年google的几位工程师在《自然》杂志发表论文探讨基于网络搜索数据的流感发病率监测成果后,针对于网络大数据的社会经济行为监测及预测研究成为热点。人们越来越习惯于通过微博、微信、论坛等社交平台去分享信息,表达诉求,每天传播与这些平台上的数据量高达百亿甚至千亿条,这些数据对于政府收集民意动态,监测社会舆情具有重要意义。相对于传统的监测方法,这些数据具有实时性强、覆盖面广,信息类型多元化等特点,有助于政府更快速高效准确地制定政策策略,在宏观层面上会对社会治理及信息安全起到至关重要的积极作用。
大数据技术对于预测及打击犯罪同样具有不错的效果,基于大数据分析的社会化分析和预测性分析将会是大数据警务的两个热门领域,越来越多的案例表明犯罪预防领域的预测型分析能够显著降低犯罪率,例如洛杉矶警察局利用大数据分析软件成功地把辖区里的盗窃犯罪降低了33%,暴力犯罪降低了21%,财产类犯罪降低了12%。
在国内,利用大数据技术定位及打击犯罪的工作也已有不少应用,比如北京警方运用大数据云计算的数学分析模型,开发“犯罪数据分析及趋势预测系统”,根据预测结果有针对性的部署警力,显著提高工作效率和效果。在阿里巴巴内部,大数据已成为打击假货和作弊卖家,保护知识产权的利器,2014年12月23日,阿里巴巴集团首次对外披露多年来的打假数据,并公布阿里巴巴已经构建起一套基于互联网大数据的打假模式,通过智能识别和追踪技术、庞大的商品样本库和数据库,精确复杂的算法及强大的云计算能力,将假货从10亿量级的在线万条侵权商品链接,配合各级行政执法部门办理侵犯知识产权案件1000余起,极大地提高了打击犯罪的效率和精准度。
随着“互联网+”战略的实施,越来越多传统企业逐步在线化、数据化、移动化,由此带来的信息安全需求将会大幅度提高并升级,这对于信息安全市场将会是巨大的机遇,IDC的数据显示,2013年我国信息安全市场规模约19亿美元;企业对信息安全的投入仅占全部IT投入的1%,而北美和欧洲企业对信息安全投入占整个IT的比重高达14%,这说明信息安全相关硬件,软件产品及细分产业还有巨大的市场潜力,将迎来快速发展期。同时,在“棱镜门”等信息安全事件背景下,网络安全上升至国家安全高度,“互联网+”将涉及国民经济的方方面面,信息安全将更加受到政府及企业重视,国产自主可控软硬件产品将成为政策重点扶持方向,迎来更大的市场空间和发展机遇。
这是一个最好的时代,也是一个最坏的时代。“互联网+”战略为信息安全领域带来从观念意识,到技术、管理、法律监管等多个层面的全新挑战,但同时,传统行业的在线化数据化也为社会舆情监测、企业决策、犯罪行为的预测识别提供更多的有效数据,提升社会治理的效率,为信息安全带来了新的机会,面对“互联网+”环境下信息安全需求的大幅提高和升级,如何把握时代机遇,为“互联网+”时代整个社会经济安全、健康发展保驾护航,是信息安全领域需要思考的新课题。