日前，國家互聯(lián)網(wǎng)應急中心公布了《2014互聯(lián)網(wǎng)網(wǎng)絡(luò )安全態(tài)勢報告》（以下簡(jiǎn)稱(chēng)《報告》）。

《報告》顯示，2014年，涉及重要行業(yè)和政府部門(mén)的高危漏洞事件增多，基礎應用或通用軟硬件漏洞風(fēng)險凸顯，漏洞威脅向傳統領(lǐng)域泛化演進(jìn)，并向新型智能設備領(lǐng)域延伸。

安全漏洞體現在生活的很多方面，中國數據信息保護面臨嚴峻挑戰。2014年中國多家知名電商、快遞公司、招聘網(wǎng)站、考試報名網(wǎng)站等多次發(fā)生數據泄露事件；去年5月，某知名手機廠(chǎng)商論壇數據泄露，由于用戶(hù)管理模塊存在漏洞，導致包括賬號、密碼和社交賬號等800萬(wàn)用戶(hù)個(gè)人信息泄露，用戶(hù)財產(chǎn)和人身安全受到巨大威脅。

安全，已經(jīng)成了信息社會(huì )必不可少的健康要素。然而，當前靜態(tài)化、程序化的管理方式，似乎卻跟不上高速前進(jìn)的信息化步伐。

環(huán)境變化致漏洞事件增多

《報告》顯示，去年，政府機構和重要信息系統部門(mén)通報漏洞事件共9068起，較2013年增長(cháng)3倍。

在受訪(fǎng)專(zhuān)家看來(lái)，網(wǎng)絡(luò )安全態(tài)勢嚴峻已是毋庸置疑。“漏洞的增加與客觀(guān)環(huán)境的變化關(guān)系密切。”中國工程院院士倪光南在接受《中國科學(xué)報》記者采訪(fǎng)時(shí)表示，隨著(zhù)互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò )空間斗爭、網(wǎng)絡(luò )安全問(wèn)題正在變得越來(lái)越突出。

當前，大數據的應用、移動(dòng)互聯(lián)、云計算這三大新技術(shù)的應用，使過(guò)去傳統信息化的應用模式發(fā)生了變化。“以大數據應用為例，在挖掘數據的過(guò)程中，用戶(hù)的挖掘傾向如果被不法之徒窺探，就對挖掘模式進(jìn)行攻擊或是竊取挖掘模式，先行進(jìn)行數據挖掘，這樣就使得信息安全的風(fēng)險增加。”國家信息中心原首席工程師寧家駿在接受《中國科學(xué)報》記者采訪(fǎng)時(shí)說(shuō)。

近年來(lái)，國家信息安全漏洞共享平臺（CNVD）新增收錄漏洞數量年均增長(cháng)率在15%至25%之間，針對漏洞的挖掘和利用研究日趨活躍。“安全風(fēng)險在增加，而很多風(fēng)險其實(shí)是由于應用模式發(fā)生了變化，客戶(hù)群體發(fā)生了變化，客戶(hù)應用的環(huán)境也發(fā)生了變化，導致漏洞增加。”寧家駿說(shuō)。

國產(chǎn)化安全將受更多重視

面對嚴峻的網(wǎng)絡(luò )安全形勢，報告預測，2015年，針對國產(chǎn)軟硬件的漏洞挖掘將增多，應對機制和披露管理面臨挑戰。

據了解，2015 年，黑客將更加關(guān)注應用廣泛的網(wǎng)站應用框架、開(kāi)源軟件、集成組件、網(wǎng)絡(luò )協(xié)議等的安全問(wèn)題。隨著(zhù)服務(wù)器、芯片、操作系統、數據庫、辦公軟件等信息產(chǎn)業(yè)各個(gè)領(lǐng)域的自主可控深入推進(jìn)，國產(chǎn)軟硬件產(chǎn)品應用增多，其安全問(wèn)題將受到更多重視。

近年來(lái)，國產(chǎn)軟硬件安全性也受到更高關(guān)注。今年2月，安防行業(yè)首屈一指的?？低曉庥?ldquo;黑天鵝”事件，江蘇省各級公關(guān)機關(guān)使用的?？低暠O控設備存在嚴重安全隱患，部分設備已經(jīng)被境外IP地址控制，也為國產(chǎn)化的安全性敲響了警鐘。

“國產(chǎn)化本身的安全也是個(gè)問(wèn)題，我們經(jīng)常強調要完全自主可控，下一步還是要把獨立自主創(chuàng )新和開(kāi)放很好地結合起來(lái)，應該還是要積極引進(jìn)消化吸收國外的一些東西。”寧家駿說(shuō)。

不過(guò)在倪光南看來(lái)，國產(chǎn)軟硬件要達到安全自主可控的目標，還需要一個(gè)過(guò)程，在這個(gè)過(guò)程中，要不斷提高產(chǎn)品服務(wù)的安全，直面問(wèn)題，加以解決。“我們還有一些關(guān)鍵核心技術(shù)需要突破、完善，比如說(shuō)終端操作系統，整體上看，我們還是在追趕發(fā)達國家。”

信息安全保障需要動(dòng)態(tài)化

在寧家駿看來(lái)，漏洞的增長(cháng)反映了兩個(gè)問(wèn)題。”一是原有信息系統的弱點(diǎn)和漏洞正在更多地被黑客們發(fā)現和利用；二是傳統上對信息安全的技術(shù)保障和管理措施不太適應當前的新形勢，使得被發(fā)現的漏洞明顯增多。”

寧家駿告訴記者，過(guò)去傳統的信息安全管理是比較定式的靜態(tài)保障方式，對風(fēng)險和漏洞的觀(guān)測，對安全態(tài)勢的感知，都是靜態(tài)的，缺少動(dòng)態(tài)的管理。他表示，過(guò)去數據主權是非?？隙ǖ?，但是如今存儲空間的虛擬化帶來(lái)存儲空間的使用重復化，這造成數據的管理時(shí)刻處于風(fēng)險之中。

《報告》也指出，目前大多數云服務(wù)商的安全審核機制并不完善，用戶(hù)租用后作何用途，云服務(wù)商并不清楚地知曉，也未作嚴格審核或周期性檢查，因此會(huì )出現黑客在云平臺部署釣魚(yú)網(wǎng)站、傳播惡意代碼或發(fā)動(dòng)攻擊的情況，如不及時(shí)加強管理，未來(lái)這種現象將繼續增多。

寧家駿認為，在這種情況下，能否提前一步?jīng)Q定了安全保障是否可靠。“要把對風(fēng)險的監測識別貫穿于信息系統運行建設的全流程之中，就要求管理流程也做到即時(shí)化，隨時(shí)隨地對安全風(fēng)險進(jìn)行檢測，感知態(tài)勢，監測有害信息，提前作出預判。”