2010年是计算机病毒诞生25周年。就在这一年,我国网络安全领域的数场大戏轮番上演。年初,百度域名在美国被非法篡改导致宕机长达6个小时;Gmail被黑客攻击被认为是谷歌退出中国的直接导火线;年末,“3Q大战”及金山披露360所谓“最大规模互联网泄密事件”让广大网民顿悟:在IT企业眼中,除了利益,其他都是“浮云”。
在国外,网络安全领域同样异彩纷呈。一个名为Stuxnet的病毒竟然像科幻电影一样让伊朗核设施浓缩铀离心机被破坏;维基解密的出现让宣称网络自由的美国政府马上“变脸”;McAfee“误杀”事件导致数十万用户电脑不断重复开机;微软Windows XP零日漏洞被黑客攻击。此外,随着僵尸网络的持续壮大,传统的DDoS(分布式拒绝服务攻击)在2010年再次成为主流的网络威胁,服务阻断式攻击、恐吓软件、网络钓鱼等事件不断发生。
然而,这些“浮云”终将散去。对我国而言,2011年随着三网融合的加快推进,智能终端以及云计算的深化发展,社交网络的日渐成熟,互联网安全将面临更为严峻的挑战。
智能终端:黑客入侵的主攻点
咨询机构IDC预计,到2011年年末,新的移动设备的出货量将增长55%。咨询机构Gartner预测,本年内将有12亿用户使用具有丰富网络应用的移动电话。平板电脑和智能手机日渐普及,使用频率的增加及设计的日渐复杂将使智能终端更易受到黑客攻击,特别是不安全的网络合作伙伴,以及含有不良编码的第三方应用程序所带来的危险,更是加剧了移动终端泄密的风险。同时,在使用这些移动设备的过程中,业务应用和个人应用变得更为模糊,用户行为也将更为随意,再加上无线网络本来就很容易受到攻击等因素的影响,移动终端设备将成为网络罪犯的主要攻击目标之一。
目前已经出现了能在iPhone上感染的蠕虫病毒,但其只能依靠电脑进行传播。网络安全专家预计,未来可能会出现真正可以自我传播的病毒,它们将严重威胁智能终端,今后80%的安全隐患都将来自于终端。总之,随着用户将智能终端作为迷你个人电脑来处理银行交易、登录社交网站,黑客将更加关注这一平台。
三网融合:网络攻击的新目标
2010年1月13日,温家宝总理主持召开国务院常务会议,决定加快推进电信网、广播电视网和互联网三网融合。会议提出,2010年至2012年重点开展广电和电信业务双向进入试点,探索形成保障三网融合规范有序开展的政策体系和体制机制。
按照既定目标,2011年将成为完成有线网络省网整合、跨区域并购和大规模推广三网融合新业务的关键年。然而,广播电视网、互联网、电信网的融合后,网络系统更加开放,终端更加复杂,网络应用更加多样,网络节点更为集中,这些都可能导致当前信息安全问题进一步加重。同时,相关管理部门将面临更多的网络设备、更复杂的网络链接、更为多样的应用终端,其中的每一个环节都将为网络安全部门应急处理,确保系统安全带来严峻挑战。此外,三网融合后,网络音视频及图片数据海量增加,整个网络的数据量将成倍上升,音视频内容的管理面临巨大的考验。而融合之后的网络也为垃圾邮件、商业欺诈、病毒传播带来了便利。随着三网融合的逐步推进,更多终端开始接入到网络,目前在互联网上流行的木马、蠕虫将可能通过广电网和电信网传播,而电子书、MP4、互联网电视等设备也将成为黑客攻击的新目标。而当前关于三网融合安全问题的探索和研究仍不成熟,尚没有快速有效的应对手段,安全问题一旦爆发,后果将不堪设想。
社交网络:隐私泄露的集散地
2010年,社交网站受到数以亿计网民的追捧。就在人们兴奋地在社交网站上谈情交友时,黑客、垃圾邮件、病毒接踵而来,甚至于有社交网站以通过泄露用户隐私的方式谋取私利。而这一切发生的原因在于网民对自身信息保护放松了警惕。近日,安全厂商Check Point就发出警告,用户对社交网站安全性能的“迷信”导致了个人隐私泄露的潜在威胁。思科也曾在其《年度安全报告》中揭示出社交网络对网络安全的影响。
2011年,计算机病毒对社交网络的安全威胁仍不容小觑。网络安全认证及数字证书服务提供企业Global Sign对主流社交网站做了抽查,发现国内主流社交网站并没有采取有效的SSL(安全套接层)技术对信息传输的过程进行加密,无从保证用户账户信息安全。对此,安全厂商Check Point安全产品总监指出,对于黑客来说,社交网站是一个便于策动网络攻击的平台,因为它能够使大量信息在相互信任的用户及群体之间迅速广泛流传,这让网络歹徒可以轻而易举散播恶意软件、恶意链接及诈骗攻击。有预测称,如果相关IT企业及网络安全部门不采取应对措施,社交网络势必沦陷为黑客攻击的重灾区。
云计算:安全隐患的藏身处
对云计算在2010年的表现,有媒体这样评论:“在经济最萧条的时期,云计算的表现并不糟糕。”据咨询机构Gartner统计,2010年云服务市场的销售额增长到了680.3亿美元,这一数字比2009年增长了16.6%。业界对云计算的期待也在持续升温,微软宣布其90%的员工将从事云计算及相关工作;IBM与松下达成迄今为止全球最大的云计算交易……
分析师预测,2011年的云计算的表现会比2010年更加出色,并将2011年定为云计算之年。但业界必须清楚地认识到,市场的快速发展必将为安全运行埋下隐患。咨询机构Gartner曾发布一份关于云计算安全风险的分析报告,其中列举了7项安全风险,包括特权管理、数据位置、数据隔离、数据恢复、审计与法律调查、服务延续性等内容。未来一年,网络犯罪也将顺应云计算大发展的趋势,把更多的时间用于挖掘云计算服务提供商的API(应用程序编程接口)漏洞。安全厂商Fortinet预计,网络犯罪也将效仿企业的做法使用基于云计算的工具,以便更有效率地部署远程攻击,甚至借此大幅拓展攻击范围。
