李 雄 郝曉偉 劉傳相

1 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 北京 100029

2 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心重慶分中心 重慶 401121

引言

近年來，互聯(lián)網(wǎng)的應(yīng)用領(lǐng)域快速擴展，改變和重新定義了許多傳統(tǒng)領(lǐng)域與行業(yè)[1]。例如，以淘寶為代表的電子商務(wù)重新定義了零售業(yè)，以余額寶為代表的互聯(lián)網(wǎng)金融改變了金融業(yè)，小米改變了產(chǎn)品從設(shè)計到銷售的模式。這些變革的背后，移動互聯(lián)網(wǎng)[2-3]、大數(shù)據(jù)[4-5]等應(yīng)用和技術(shù)扮演了重要角色。例如，目前手機支付寶的支付量高達支付寶總量的一半；電商產(chǎn)品推薦與供需鏈的核心是大數(shù)據(jù)技術(shù)。

同時，隨著可穿戴設(shè)備的興起、工業(yè)與互聯(lián)網(wǎng)的結(jié)合，智慧城市從設(shè)想成為現(xiàn)實、物聯(lián)網(wǎng)的廣闊前景漸漸顯露[3,6]。以物聯(lián)網(wǎng)為基礎(chǔ)的工業(yè)4.0[7]開始從德國向歐洲和中國蔓延?？梢灶A(yù)見，在工業(yè)4.0中，將用戶需求、生產(chǎn)計劃、柔性制造、物流配送與用戶反饋結(jié)合的物聯(lián)網(wǎng)將成為下一個龐大的領(lǐng)域，并引導(dǎo)新的工業(yè)革命。

在互聯(lián)網(wǎng)應(yīng)用繁榮的背后，其基礎(chǔ)的網(wǎng)絡(luò)連接方式也在悄然發(fā)生變化。這些變化可能對互聯(lián)網(wǎng)產(chǎn)生根本性的影響。目前，最具潛力的是“無網(wǎng)連接”[8]和谷歌熱氣球無線網(wǎng)絡(luò)[9]。這些新的網(wǎng)絡(luò)連接方式可能改變信息傳遞的方式。

在新網(wǎng)絡(luò)連接、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等網(wǎng)絡(luò)條件下，數(shù)據(jù)的產(chǎn)生、傳輸、存儲和利用方式發(fā)生了巨大變化。在這些技術(shù)進一步數(shù)字化這個世界的同時，數(shù)據(jù)的安全開始面臨新問題。本文將從新型網(wǎng)絡(luò)連接、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等角度對可能出現(xiàn)的數(shù)據(jù)安全新問題進行探討。

1 移動互聯(lián)網(wǎng)的數(shù)據(jù)安全問題

移動互聯(lián)網(wǎng)是移動通信和互聯(lián)網(wǎng)的二次革命。移動互聯(lián)網(wǎng)的安全隱患通過海量的終端和應(yīng)用等因素被放大，導(dǎo)致數(shù)據(jù)泄露等嚴重后果。特別是在4G網(wǎng)絡(luò)條件下，高速帶寬催生很多新的應(yīng)用，使得移動互聯(lián)網(wǎng)成為數(shù)據(jù)泄露的重災(zāi)區(qū)。

1.1 移動互聯(lián)網(wǎng)數(shù)據(jù)產(chǎn)生安全問題的主要原因

移動互聯(lián)網(wǎng)數(shù)據(jù)安全威脅主要有三方面的原因。一是傳統(tǒng)互聯(lián)網(wǎng)基于開放式架構(gòu)，存在諸多的安全問題；移動互聯(lián)網(wǎng)不僅帶入了傳統(tǒng)互聯(lián)網(wǎng)的安全問題，更由于接入方式與應(yīng)用的多樣化而加重。二是移動互聯(lián)中終端與用戶及其身份綁定較強，衍生了基于位置和身份的各種服務(wù)，如移動支付、移動電子商務(wù)都是易受攻擊的領(lǐng)域。三是移動終端包含大量個人信息和其它重要信息，容易引起攻擊者的注意。且移動終端受制于計算能力，防范手段較弱。

1.2 移動互聯(lián)網(wǎng)數(shù)據(jù)泄露的類型

1) 個人隱私數(shù)據(jù)泄露。移動互聯(lián)網(wǎng)的廣泛運用使得越來越多的個人隱私與網(wǎng)絡(luò)聯(lián)接，例如賬號密碼、通訊錄和照片等，隱私數(shù)據(jù)泄露的風(fēng)險大大增加。2014年9月，蘋果公司iCloud云存儲平臺接連兩次發(fā)生艷照泄露事件，引起用戶對移動終端數(shù)據(jù)安全的恐慌。

據(jù)Android手機隱私安全報告[10]顯示，92.8%的安卓手機用戶在手機中存放隱私信息，智能手機已成為隱私最多的設(shè)備。多數(shù)安卓應(yīng)用需要獲取隱私權(quán)限才能正常使用。通過對1 200個應(yīng)用檢測發(fā)現(xiàn)[10]，92%的安卓應(yīng)用獲取了隱私權(quán)限，具體分布如圖1所示。

圖1 手機應(yīng)用獲取隱私權(quán)限數(shù)量的分布

隱私權(quán)限按應(yīng)用類型的分布如表1所示。設(shè)備信息、用戶位置和Wi-Fi位居隱私權(quán)限前三[10]。越來越多的個人隱私從手機外泄，隱私安全日益成為嚴重的問題。

表1 各類安卓應(yīng)用所獲取的權(quán)限類型

2) 企業(yè)單位數(shù)據(jù)泄露。網(wǎng)絡(luò)安全公司W(wǎng)ebroot的調(diào)查結(jié)果顯示[11]：超過40%的員工會使用移動設(shè)備辦公，其中有大約75%的員工使用的是自己的設(shè)備，95%的企業(yè)擔(dān)心安全風(fēng)險，此外還有近40%的IT部門對這些設(shè)備沒有信心。智能移動終端可通過各類網(wǎng)絡(luò)接入內(nèi)部網(wǎng)絡(luò)訪問和獲取數(shù)據(jù)資源，網(wǎng)絡(luò)數(shù)據(jù)傳輸通道安全保護較弱，存在數(shù)據(jù)竊聽等隱患。此外，當設(shè)備丟失時，設(shè)備中的涉密信息也很容易被獲取。如何防止內(nèi)部數(shù)據(jù)泄露已成為智能移動終端應(yīng)用的巨大挑戰(zhàn)。3) 國家安全相關(guān)數(shù)據(jù)泄露。目前，移動智能終端的安全防護能力較弱，并且主流操作系統(tǒng)由谷歌、蘋果等國外企業(yè)掌控，數(shù)據(jù)安全面臨風(fēng)險。例如，蘋果公司的iOS系統(tǒng)具有數(shù)據(jù)同步上傳及位置定位功能，可將用戶終端的通訊錄、郵件、即時通信內(nèi)容等通過移動網(wǎng)絡(luò)實時上傳到國外服務(wù)器。企業(yè)可通過分析這些數(shù)據(jù)獲知我國的社情民意、用戶身份、用戶社交關(guān)系等，對國家安全構(gòu)成威脅。另外，智能移動終端具有攝像、錄音和拍照等數(shù)據(jù)采集能力，通過4G等高速移動網(wǎng)絡(luò)可實現(xiàn)即時傳輸，泄密一旦發(fā)生就難以挽回[2]。

1.3 基于微博數(shù)據(jù)的統(tǒng)計分析

為了支持上述分析，本文通過自主研發(fā)的數(shù)據(jù)采集和分析系統(tǒng)對新浪、騰訊、搜狐和Twitter數(shù)據(jù)進行了統(tǒng)計分析。數(shù)據(jù)為2015年1月7日至14日，境內(nèi)三大微博的全量數(shù)據(jù)和Twitter的中文用戶數(shù)據(jù)。具體通過檢索關(guān)鍵詞“移動互聯(lián)網(wǎng)數(shù)據(jù)安全”相關(guān)信息，并從通道、地域、參與者、子話題等角度對相關(guān)信息進行分析。圖2和圖3為話題按通道和參與者的分布情況。分析發(fā)現(xiàn)：1)移動互聯(lián)網(wǎng)的數(shù)據(jù)安全問題是用戶關(guān)注熱點；2)各地用戶均關(guān)注該問題，但經(jīng)濟發(fā)達地區(qū)關(guān)注度更高；3)從話題參與者角度，電信客服、新浪科技等技術(shù)機構(gòu)積極參與移動互聯(lián)網(wǎng)安全問題的討論，平安北京、首都網(wǎng)警等安全相關(guān)部門也非常關(guān)注移動互聯(lián)網(wǎng)安全；4)話題包括安全事件、發(fā)展趨勢、防護措施等多個方面。這些結(jié)果表明，移動互聯(lián)網(wǎng)安全問題已引起各地、機構(gòu)和用戶的廣泛關(guān)注，且關(guān)注具有相當?shù)纳疃取?/p>

圖2 參與“移動互聯(lián)網(wǎng)數(shù)據(jù)安全”話題的微博分布

圖3 參與“移動互聯(lián)網(wǎng)數(shù)據(jù)安全”話題的主要微博用戶

2 大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全問題

大數(shù)據(jù)平臺承載了來自于個人計算機、移動智能終端、可穿戴設(shè)備、智能家居設(shè)備及智能汽車等數(shù)據(jù)資源。正成為黑客組織和各類敵對勢力網(wǎng)絡(luò)攻擊的重要目標。隨著電子商務(wù)、社交網(wǎng)絡(luò)、物聯(lián)網(wǎng)、云計算以及移動互聯(lián)網(wǎng)的廣泛應(yīng)用，我國數(shù)據(jù)資源正在呈現(xiàn)爆發(fā)性增長[4]。但由于對數(shù)據(jù)的保護不足，數(shù)據(jù)泄露在互聯(lián)網(wǎng)上的現(xiàn)象十分普遍。2011年，國內(nèi)最大程序員網(wǎng)站CSDN的600萬個人信息和密碼被公開；2013年，中國人壽80萬客戶的保單被泄露；2014年，黑客從快遞公司網(wǎng)站竊取1 400余萬條用戶數(shù)據(jù)并在網(wǎng)上售賣；小米、360和攜程等相繼發(fā)生用戶數(shù)據(jù)泄露事件。這些事件表明，大數(shù)據(jù)時代的數(shù)據(jù)安全面臨前所未有的挑戰(zhàn)[12]。此外，企業(yè)數(shù)據(jù)通常與大數(shù)據(jù)分析系統(tǒng)對接，以充分發(fā)掘其商業(yè)價值。一些企業(yè)的內(nèi)部工作人員將大量個人信息非法竊取并打包出售給信息中介機構(gòu)和個人，企業(yè)信息挖掘成為大數(shù)據(jù)時代不法分子獲取高額利益的利器[5,13]。

大數(shù)據(jù)技術(shù)在改變企業(yè)和政府工作模式的同時，也在侵蝕個人數(shù)據(jù)的安全邊界。以前，只有持有公權(quán)力的政府機構(gòu)才能掌握大量個人數(shù)據(jù)，現(xiàn)在，許多企業(yè)也能擁有海量數(shù)據(jù)，甚至在某些方面超過政府機構(gòu)。例如，微信的用戶數(shù)已超過4億，只要用戶使用各類互聯(lián)網(wǎng)應(yīng)用，就不得不將個人數(shù)據(jù)轉(zhuǎn)移給服務(wù)商。在這種條件下，傳統(tǒng)的線下數(shù)據(jù)保護方式難以奏效。用戶在微博等社交平臺發(fā)布信息、關(guān)注好友、發(fā)表評論時，或在電商平臺進行購物時，都存在泄露個人信息的可能。大量數(shù)據(jù)的匯集加大了用戶隱私泄露的風(fēng)險，甚至上升到人身安全的層面。同時，一些敏感數(shù)據(jù)的所有權(quán)和使用權(quán)并沒有明確界定，目前很多基于大數(shù)據(jù)的分析都未考慮涉及的個人隱私問題[12]。

本節(jié)利用自主開發(fā)的數(shù)據(jù)采集和分析系統(tǒng)對新浪、騰訊、網(wǎng)易和Twitter數(shù)據(jù)進行統(tǒng)計分析。通過檢索關(guān)鍵詞“大數(shù)據(jù)安全”相關(guān)信息，并從通道、地域、參與者(如圖4)、話題角度對信息進行分析。分析發(fā)現(xiàn)：1)大數(shù)據(jù)安全問題各地用戶均關(guān)注，沿海和中部地區(qū)關(guān)注度更高；2)IT科技學(xué)等技術(shù)機構(gòu)、法制日報等法律機構(gòu)、Lenovo樂基金等投資機構(gòu)均關(guān)注大數(shù)據(jù)安全問題；3)子話題包括大數(shù)據(jù)安全技術(shù)、應(yīng)用與安全、發(fā)展前景等多個方面。結(jié)果表明，大數(shù)據(jù)安全已在多個領(lǐng)域產(chǎn)生影響，并引起了社會多方面的關(guān)注。

圖4 參與“大數(shù)據(jù)安全”話題的主要微博用戶

3 新型網(wǎng)絡(luò)連接的數(shù)據(jù)安全風(fēng)險

互聯(lián)網(wǎng)正在往“連接一切”的方向發(fā)展，這已經(jīng)成為谷歌、騰訊等互聯(lián)網(wǎng)巨頭的目標?！斑B接一切”意味著連接全世界所有地區(qū)、人和設(shè)備。這里主要討論谷歌熱氣球無線連接、無網(wǎng)絡(luò)連接和物聯(lián)網(wǎng)這三類新連接的數(shù)據(jù)安全問題。

3.1 谷歌熱氣球無線網(wǎng)絡(luò)

地面互聯(lián)網(wǎng)連接成本低但依賴光纖等基礎(chǔ)設(shè)施，難以到達人口稀少和地理條件復(fù)雜的地區(qū)。衛(wèi)星通訊覆蓋面大但成本極高。針對這些問題，谷歌2013年啟動了“Project Loon”項目[9]，通過熱氣球為地面提供Wi-Fi無線連接，目前已進入測試階段。當前，單顆熱氣球的最長續(xù)航時間已達134天，覆蓋面積相當于10個移動基站，可提供10M每秒的無線網(wǎng)絡(luò)，能適應(yīng)復(fù)雜天氣與溫度，并按軌道準確飛行。

然而，熱氣球由谷歌公司所控制，在提供無線網(wǎng)絡(luò)的同時還是強大的數(shù)據(jù)采集設(shè)備。谷歌作為高空網(wǎng)絡(luò)運營商，理論上可獲得用戶傳輸?shù)乃袛?shù)據(jù)，包括接入網(wǎng)絡(luò)的個人隱私、傳感器數(shù)據(jù)。這將給數(shù)據(jù)安全甚至國家安全帶來新的隱患。雖然谷歌氣球的Wi-Fi還沒有進入中國，但其潛在的影響不難通過Wi-Fi安全來說明。Wi-Fi已成為隱私數(shù)據(jù)泄露的重要途徑，新浪微博關(guān)于“Wi-Fi隱私泄露”的討論熱度可證實這一點。2013年共有相關(guān)信息29.28萬條。2014年，在微博被分流的情況下，相關(guān)信息總數(shù)達到42.1萬條，同比增加43%。如圖5所示，Wi-Fi隱私泄露已由技術(shù)問題轉(zhuǎn)化為公共安全問題，引起了許多公安機關(guān)的關(guān)注。

圖5 參與“Wi-Fi信息泄露”話題的主要微博用戶

3.2 無網(wǎng)連接與通訊

目前，幾乎所有的網(wǎng)絡(luò)應(yīng)用都需要接入互聯(lián)網(wǎng)。在網(wǎng)絡(luò)中斷的情況下或者沒有互聯(lián)網(wǎng)覆蓋的地區(qū)，所有的網(wǎng)絡(luò)應(yīng)用都將失效?！盁o網(wǎng)絡(luò)連接”的組網(wǎng)方式針對這些情形而出現(xiàn)。即時通訊Firechat開創(chuàng)了這種新的網(wǎng)絡(luò)連接模式[8]，智能終端通過Wi-Fi或藍牙將相鄰的設(shè)備連接成網(wǎng)絡(luò)，實現(xiàn)終端之間的橋接與通訊。這種方式在因災(zāi)難而導(dǎo)致通訊中斷時特別有效。目前Firechat在智利、以色列、瑞士、澳大利亞、比利時等國家位居移動社交應(yīng)用的前列。

不同于傳統(tǒng)的互聯(lián)網(wǎng)，這類網(wǎng)絡(luò)沒有固定的路由與中繼設(shè)備，網(wǎng)絡(luò)結(jié)構(gòu)動態(tài)生成。這種情形給數(shù)據(jù)安全帶來了全新的問題。首先，數(shù)據(jù)的通訊方式完全由組網(wǎng)的應(yīng)用來定義，數(shù)據(jù)安全缺少通訊機制上的保證。其次，在出現(xiàn)數(shù)據(jù)安全問題后，由于通訊記錄的缺失，難以進行追蹤與溯源。再次，這類網(wǎng)絡(luò)與互聯(lián)網(wǎng)完全獨立，現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)與設(shè)施都面臨失效。Firechat等應(yīng)用在國內(nèi)的普及速度也非?？?。對新浪微博進行統(tǒng)計發(fā)現(xiàn)，2014年前半年關(guān)于Firechat的信息數(shù)僅6.2萬條，而2014年下半年快速增加至9.1萬條，增長了47%。

3.3 物聯(lián)網(wǎng)

物聯(lián)網(wǎng)中的智能設(shè)備都可隨時獲取數(shù)據(jù)并通過網(wǎng)絡(luò)傳輸，物聯(lián)網(wǎng)自身的特性是造成數(shù)據(jù)安全風(fēng)險的重要原因。1)物聯(lián)網(wǎng)建立在互聯(lián)網(wǎng)的基礎(chǔ)上，互聯(lián)網(wǎng)具有的安全問題物聯(lián)網(wǎng)同樣具有。2)物聯(lián)網(wǎng)將網(wǎng)絡(luò)拓展到現(xiàn)實的物品當中，導(dǎo)致網(wǎng)絡(luò)的構(gòu)成非常復(fù)雜，進而導(dǎo)致難以確定網(wǎng)絡(luò)環(huán)節(jié)是否被攻擊者控制。3)物聯(lián)網(wǎng)通常采用無線組網(wǎng)來保證終端的移動性，但由于無線信道的開放性，攻擊者只要在無線路由器或中繼器的范圍內(nèi)就可能進入網(wǎng)絡(luò)。并且無線網(wǎng)絡(luò)終端的加密和防護能力較弱，而通過智能手機和手持設(shè)備發(fā)起攻擊的技術(shù)在不斷完善[3]，導(dǎo)致數(shù)據(jù)泄露面臨更嚴峻的威脅。4)物聯(lián)網(wǎng)終端通常是小型傳感器或智能終端，其存儲和處理能力較低，無法使用對存儲、計算和功耗要求較高的安全措施[14]。

物聯(lián)網(wǎng)中的設(shè)備均具有一定的感知、計算和執(zhí)行能力，連接的設(shè)備類型比互聯(lián)網(wǎng)更多，獲取和傳輸?shù)男畔⒁哺?。例如，可穿戴設(shè)備獲取的個人信息、工業(yè)網(wǎng)絡(luò)的企業(yè)信息、智慧城市網(wǎng)絡(luò)的社會信息等重要的數(shù)據(jù)都連接在網(wǎng)絡(luò)中。國家重要的基礎(chǔ)行業(yè)和領(lǐng)域如電力、醫(yī)療等也依賴于物聯(lián)網(wǎng)。這些重要信息可能因感知設(shè)備被入侵而竊取[6]，將影響個人及企業(yè)的數(shù)據(jù)安全，甚至上升到國家層面，成為影響國家發(fā)展和社會穩(wěn)定的重要因素[15]。

4 總結(jié)

2014年，中國接入互聯(lián)網(wǎng)已滿20周年，互聯(lián)網(wǎng)的蓬勃發(fā)展帶來了一個新技術(shù)和新應(yīng)用層出不窮、數(shù)據(jù)安全問題日益凸顯的新時代。2015年，基于可穿戴設(shè)備的物聯(lián)網(wǎng)、醫(yī)療大數(shù)據(jù)等新技術(shù)與模式將進一步發(fā)展。技術(shù)的發(fā)展應(yīng)以安全為前提，數(shù)據(jù)安全需要產(chǎn)業(yè)鏈上的設(shè)計者、生產(chǎn)者及用戶的共同努力。另一方面，新技術(shù)在帶來新挑戰(zhàn)的同時，也將帶來新的解決方法與思路。

參考文獻

[1]2014年互聯(lián)網(wǎng)跨界趨勢報告[EB/OL].[2015-01-28].http://tech.qq.com/a/20140630/001999.htm#p=1

[2]姜逸文.移動互聯(lián)網(wǎng)下的信息安全問題及應(yīng)對策略[J].中國新通信,2014,(10):123-124

[3]姚蕾.移動互聯(lián)網(wǎng)應(yīng)用的安全風(fēng)險探究淺析[J].電子世界,2014,(17):10-11

[4]袁露,肖志勇,王映龍.論大數(shù)據(jù)的現(xiàn)狀及其發(fā)展研究[J].教育教學(xué)論壇,2014,(44):86-87

[5]張占波.淺談大數(shù)據(jù)時代信息技術(shù)的機遇與挑戰(zhàn)[J].電子世界,2014,(18):7-7

[6]徐英武.物聯(lián)網(wǎng)安全問題研究[J].科技情報開發(fā)與經(jīng)濟,2014,24(12):140-144

[7]Industry 4.0[EB/OL].[2015-01-28].http://en.wikipedia.org/wiki/Industry_4.0

[8]Firechat[EB/OL].[2015-01-28].https://firechat.firebaseapp.com/

[9]Project Loon[EB/OL].[2015-01-28].http://en.wikipedia.org/wiki/ Project_Loon

[10]2014年上半年Android手機隱私安全報告[EB/OL].[2015-01-28].DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心與360手機安全中心.http://www.fzgh.org.cn/kejiqianyan/48950.html

[11]BYOD Security Report[EB/OL].[2015-01-28].New Webroot,2014

[12]譚秀麗,張茂新.大數(shù)據(jù)時代保證網(wǎng)絡(luò)信息安全的法律體系研究[J].商情,2014,(30):292-292

[13]2014年第二季度財報[EB/OL].[2015-01-28].http://tech.qq.com/zt2014/tx2014q1/

[14]丁婷婷.物聯(lián)網(wǎng)時代的信息安全防護[J].中國電子商務(wù),2014,(17):30-30

[15]金洪穎.數(shù)據(jù)隱藏技術(shù)在物聯(lián)網(wǎng)安全中的應(yīng)用探索[J].電腦知識與技術(shù),2014,(22):5185-5186