| 2014-05-05 来源:[人民邮电报] |
当前,中国互联网已覆盖所有城市和超过99%的乡镇,各类网民数以亿计,多种业务在线人数都达千万级,许多行业的营销服务体系在全国范围内成为一个整体,交流与交易不再因距离而分割。
与此同时,金融、电力、政府等行业对互联网和通信业务依赖度越来越高,包括电信业自身,无论是服务还是交易环节都存在多种安全隐患,从终端到系统,从传输到内容,从政治、军事、经济到个人信息,另类力量在全方位地进行暗中博弈和对抗。
金融行业
金融行业的信息安全主要体现在入侵、假冒和信息泄露,三者之间又有关联。
我国金融行业的网络基础设施、电脑设备、芯片、数据库、操作系统、业务系统等几乎都被外国垄断,服务外包高度依赖国外厂商,导致极大风险,服务提供商可能越俎代庖,信息泄露威胁严重。
银行系统停机容忍时限是30分钟,证券交易系统允许的数量级为“秒”,在营业时间没有碰到过“系统故障关闭”的客户似乎不多。灾备体系多有不足,设置的行、所级别低,甚至缺失灾备设备,从事业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面的技术力量与投入明显不足。
鉴于经济市场的活跃,网络上的新型金融业务不时涌现,但是一方面是急于开办的业务并非已经完善,另一方面业务的技术支撑欠缺完整,从业人员的业务不成熟都可能造成投资者信息泄露及平台的运营失常。
十分活跃的第三方支付机构的系统难以核实客户真实身份,多次发生过从不知情的用户账户划走巨额资金的案例,风险不言而喻。
任何一个领域的客户信息泄露,都会将危机转移到金融客户,并且“兑现”为资金损失。泄露来源多种多样,如电信运营商雇员,跨银行网上金融服务产品“超级网银”的授权漏洞,酒店WiFi管理,QQ群的关系数据,甚至12306网站也会泄露乘客数据,客户的登录名、账户与密码,邮箱、姓名、身份证以及电话,出行时间、去向、快捷酒店的开房记录、开房日期和房间号等,QQ号、年龄、从业经历、通信录等各类个人隐私都有可能公之于众。
在银行开通新业务和系统升级之时,就是诈骗分子寻机出动的时机,对那些不了解情况的客户制造混乱,以便他们趁火打劫。
对金融新业务技术内情最为关心的是有意诈骗的另类团伙或个人,连续“蹲守”总能及时发现漏洞并得以破解,这是他们梦寐以求的“阿里巴巴”。应当支持业界成立专业的“安全探查企业”,及时发现新业务中的漏洞。
电力行业
电力信息化可以分为发电系统和调度系统,贯穿发电、输电、供电、用电四个环节,“安全分区、网络专用、横向隔离、纵向加密”这十六个字成为总体安全防护策略的核心。
数据传输设备频受外界人为攻击,重要数据丢失,国内外多次出现由于电力信息系统或传输链路的安全问题导致的重大事故,有统计说70%的安全问题来自内部,非法下载信息恶意攻击内网、窃取密级文件等。
安全隐患还要面对自然灾害,电力调度控制中心要日夜不停地自动监控变电站,监视上网电厂与客户变电站。电网遭遇暴雪、暴雨、台风侵袭都要及时应对,自动化系统的信息报送功能、事故跳闸语音功能、实时信息浏览功能、调度令下达等都要保持绝对的稳定工作状态。
电网公司的营业厅实施“大营销”改造,所有营业厅“都能漫游”办理业务,联网在各处银行交纳费用,电力决策部门可根据需求调整电力生产计划。但是,“大营销”的开放环境也使数据丢失和受到远程攻击的可能性上升。
智能电网条件下的新能源:包括电动汽车、太阳能、家庭太阳能、智慧城市、智慧城市架构等,电网架构更加复杂,节点更多,应对信息安全更加复杂。
需要重点防范的倒是“二次灾害”,防止损害连锁产生。
电力领域和相关的轨道交通、民航、冶金等大功率能源用户提升了自动化水平,日常检测与维护都纳入了信息系统,但国内外都多次发生工作状态和检测维护状态切换失误的事故,造成设备和人员伤亡。
民航飞机在进入起飞“零时”状态下更换配件,操作失误造成候机坪上的待命飞机突然收起起落架的事故,这可是起飞后在空中才能执行的状态。
地铁运营系统因事故停电之后,恢复列车运行时,因为软件和通信指挥系统的欠缺,造成后车出发冲撞还在等候出发命令的前车的事故。
轨道交通供电系统的大系统与子系统的匹配也出现过安全问题,体现在局部运行时所采集、显示的工作状态数据没有同步切换,一旦进入多线运行状态,调度系统依旧显示局部运行参数,列车相撞就难以避免。
政府网络
政府网站要严密防范的攻击还是资源泄露和内容被篡改。
由于历史原因,国家基础通信网络设施、党政军机关等重要信息系统大多基于国外的关键基础软硬件,被入侵、被渗透、被控制的安全风险较大。
多家政府网站受过黑客攻击,有的网站经过若干时间才能恢复,中国互联网络咨询中心(CNNIC)被攻击并超过13个小时无法访问,多家企业蒙受影响。
政府网络要采用物理层面的“技术隔离”,内部电脑严防接到外网。
据海外媒体报道,美国国家安全局持续入侵和监视中国内地和香港的电脑网络,最感兴趣的是海底光纤电缆网络,以及对网络干线服务器和海底通信电缆的控制,通吃互联网上的电邮、电话、信息传输。更有甚者,海外机构曾派出间谍进入内地机关楼宇,不留痕迹地在电脑上安装间谍软件,在电话上安装窃听器,甚至攻击数据交换中心、拷贝文件和硬盘。
如果说上述“走进来”匪夷所思,那么不止一个单位的出国人员在“走出去”之时,所携带的笔记本电脑内会“不动声色”地增添传感器,回国之后,电脑的工作内容会自动向外传播。
其实,非法在宾馆、办公室设置相对简单的“摄像头”的案例已不鲜见,随着技术与设备不断地升级,“窃听”电脑、打印机和网络上的数据也非难事。
此外,我国通用顶级根域名服务器解析出现异常,近半年曾遭遇两次大面积“瘫痪”,影响全国三分之二的网站访问。
电信行业
电信、金融等的本地营业单元承受着远程服务的压力,客户银行卡、身份证的丢失,个人资料频繁泄露,单纯依靠“对话式”的密码验证、接入防御极容易被攻破,客户和金融机构多次受到重大损失。
多家厂商的路由器产品存在后门,黑客攻击者可取得部分路由器的完全控制权,发起DNS(域名系统)劫持、窃取信息、网络钓鱼等攻击,威胁用户网上交易和数据存储安全。任何一种先进、不先进的产品,涉及的安全问题都将影响成千上万的用户。
据《纽约时报》报道,从2007年开始,美国国家安全局(NSA)早在几年前通过自己提前设置的“后门”,侵入了电信设备制造商华为总部的服务器,并且获得敏感数据信息,还长期监控华为高管的通信数据。
有的智能手机会下载并安装一个包含病毒的应用程序,该病毒程序能读取用户手机通信录上的所有联系人,并向他们群发上述短信。
所有淘汰手机和终端里的数据都有可能轻易得到恢复,特别是其中的个人身份信息和财务资料是不会同时淘汰的。
由于片面突出信息企业的竞争和缺少社会责任,相近企业在网络上相互拦截、攻击,使得原本顺畅的网络连接与应用业务,在某些场合支离破碎,浏览器频遭拥堵,电子邮件变成有去无回的单行,交易费用不能支付,正常业务不能通行,对网民的信息安全造成威胁。
此外,所有行业的信息领域都面对一个人员流动的问题,由于安全责任和法制观念淡薄,企业的业务数据常被流动人员携带离开,造成严重的安全问题。客观来看,建立安全责任制度、系统及时调控都是不可疏忽的例行工作,当然增强机构、企业对员工的凝聚力是一个重要的举措。
* * *
我国网络整体安全形势严峻,特别是以金融、电力、政府、通信为代表的重要行业,安全问题尤为突出。目前,金融、电力、政府等关键行业较多使用专网来传送关键业务,但是其大量信息依然是通过公网(如国家骨干网)来传输的,因此保证关键行业的信息安全,重中之重是保证骨干网络的安全,我们相信,采用国产设备对于确保网络信息安全具有重要意义。我们只有提高安全意识,健全安全体系,培育高素质的安全团队,特别是通过自主创新提升安全能力,才能从根本上保障重要行业的信息安全。