论文部分内容阅读
“一般来说,当信息技术产生重大发展、极大促进经济社会进步、造福人类时,也会带来新的信息安全挑战。”在2013中国信息产业经济年会·信息安全峰会(下文简称信息安全峰会)上,工业和信息化部信息安全协调司司长赵泽良深刻指出,信息安全与信息技术总是如影随形。
不可否认,云计算、大数据、移动互联网、物联网,这些新的信息技术和商业模式,颠覆了原有的技术架构和商业架构,极大促进了信息消费的发展。当然,那个随之而来的“影子”——新形势下信息消费环境的安全问题,也不得不引起我们的足够关注。
新技术挑战信息消费安全
智能手机已经不仅是一个资讯获取工具和娱乐工具,人们可以利用它进行购物、进行实时的转账和支付。然而,恰恰是这一人性化的新应用,在极大提升用户体验的同时给用户带来巨大的安全隐患。
“10月,我们发现了利用手机二维码的攻击方式。用户扫描了恶意二维码以后,手机就会打开一个病毒下载界面,病毒会自动下载并安装到手机上。运行了这个恶意程序以后,用户突然发现自己的账户在一夜之间被洗劫。当然,这里还有一个前提,即该用户的账号密码等关键信息发生了泄露,从而导致这种攻击的成功。”360公司资深安全专家裴智勇介绍,“我觉得这种威胁非常可怕。这种攻击方式的出现也说明了移动支付安全非常复杂,它并不是仅仅依赖安全软件就可以实现的。”
“BYOD已经有了新的解释,那就把自己的安全威胁带入网络(Bring Your Own Danger)。”WatchGuard中国区市场总监万熠指出,“对于企业而言,员工个人设备安全性相对较低,BYOD就把个人的风险带到了企业中来。”
用户体验与安全的平衡
万熠认为,企业要解决的不仅是BYOD,而是BYOX,即对任何接入企业网络的设备进行设备接入控制、应用控制,实现安全的数据访问、数据防泄密和事件日志审计。
然而,在企业对设备进行严格控制的同时,员工使用设备的便捷性肯定会受到影响。安全与便捷如何平衡,考验着信息技术的发展和企业的智慧。
企业为了自身的信息安全,可以牺牲一定的便捷以达到更为安全的效果,但是很多直接面向消费者的服务商,为了赢得更好的用户体验,千方百计为用户提供更为便捷的信息化服务。
“今年5月,我们发现了超级网银授权支付欺诈案例。超级网银存在漏洞,可以给其他人授权来操作自己的网上银行。”裴智勇介绍,“我们认为这是一个非常高危的安全漏洞。一位用户账户曾在24秒之内被他人转走了10万块钱。今年发生的一起案件中,用户被骗走15.5万元,虽然这个用户并没有泄露验证码,但其账户仍然被洗劫一空。”
设计超级网银,本来是为了提升用户体验,让用户跨行网上转账更为便捷。然而,过度的便捷就会带来更多的安全隐患。“很多金融机构在设计互联网金融产品时,还是没有考虑到互联网安全的最新发展形势。当然使用的人很少时,可能漏洞并不容易被发现和被利用,而当大多数人都开始利用互联网进行支付和转账时,这个漏洞就会产生极大的危害,而且这种漏洞比木马和病毒更为可怕。”裴智勇认为。
360公司推出网购先赔计划,就是期望在用户利用更为便捷的互联网购物和支付时,能够在资金安全上有所保障,从而达到用户体验与安全的平衡。当然,通过这种方式,360公司也可以在第一时间截获最新的漏洞和攻击方式,从而进行具有针对性的防护。
在平衡安全与用户体验的天平时,北京数字认证股份有限公司进行了另外一番尝试。北京数字认证股份有限公司信手书产品部总经理马臣云认为,目前很多企业内部的业务流程以及外部的客户服务已经充分利用了信息化手段,但是由于缺乏合法、有效的电子凭证,使得企业与外部进行交互时不得不使用纸质凭证。纸质凭证降低了效率、增加了成本,甚至还会降低用户的体验。
马臣云认为,无纸化成为企业的迫切诉求,而真正意义上的无纸化需要可靠的电子签名作为支撑。“真正的业务创新革命是彻底的无纸化,不是纸张文件的电子影印,而是文件信息产生、使用、存储、归档全过程的彻底电子化。”马臣云说,利用北京数字认证股份有限公司的新产品“信手书”,无纸化的“最后1公里”问题可以轻松解决,同时能极大提升用户体验。
“信手书”即手写电子签名,它在提升用户身份认证体验的同时,保证了认证过程的安全可靠。马臣云介绍,太平洋保险公司已经在销售人员的平板电脑上应用了“信手书”,客户可以直接在平板电脑上签单,将原来5~7天的承保周期缩短至30分钟,“信手书”为用户带来了极好的用户体验。
构造安全的环境
企业同样是信息消费的重要组成部分,万熠认为,在云计算和虚拟化环境下,企业的传统安全防护措施已经力不从心,必须采用全新的安全模型。同样,在大数据时代,应用安全以及网络安全可视化显得更为重要。
大数据等趋势带来的信息安全焦点逐渐向应用层转移已经成为不争的事实。任子行网络技术股份有限公司资深安全专家郭亮认为,应用审计、行为管理、协议识别、App及无线网络管理等安全防护措施将得到越来越多的应用。
“我们坚信,信息安全应该和信息技术相互融合。信息安全产业正在扩大,而信息安全也不只是信息安全领域企业的事情,而应该是所有IT企业的事情。”赛迪顾问信息安全首席分析师戴向军认为,新的信息技术迅猛发展,信息消费日益扩大,整个产业应该走向信息安全与信息技术紧密结合,走向产业链企业通力合作,走向主管部门、企业、用户共同努力。
赵泽良在安全峰会上呼吁,应该更加注重营造一个公平、开放、透明的网络环境,同时提高用户的安全防护意识。
不可否认,云计算、大数据、移动互联网、物联网,这些新的信息技术和商业模式,颠覆了原有的技术架构和商业架构,极大促进了信息消费的发展。当然,那个随之而来的“影子”——新形势下信息消费环境的安全问题,也不得不引起我们的足够关注。
新技术挑战信息消费安全
智能手机已经不仅是一个资讯获取工具和娱乐工具,人们可以利用它进行购物、进行实时的转账和支付。然而,恰恰是这一人性化的新应用,在极大提升用户体验的同时给用户带来巨大的安全隐患。
“10月,我们发现了利用手机二维码的攻击方式。用户扫描了恶意二维码以后,手机就会打开一个病毒下载界面,病毒会自动下载并安装到手机上。运行了这个恶意程序以后,用户突然发现自己的账户在一夜之间被洗劫。当然,这里还有一个前提,即该用户的账号密码等关键信息发生了泄露,从而导致这种攻击的成功。”360公司资深安全专家裴智勇介绍,“我觉得这种威胁非常可怕。这种攻击方式的出现也说明了移动支付安全非常复杂,它并不是仅仅依赖安全软件就可以实现的。”
“BYOD已经有了新的解释,那就把自己的安全威胁带入网络(Bring Your Own Danger)。”WatchGuard中国区市场总监万熠指出,“对于企业而言,员工个人设备安全性相对较低,BYOD就把个人的风险带到了企业中来。”
用户体验与安全的平衡
万熠认为,企业要解决的不仅是BYOD,而是BYOX,即对任何接入企业网络的设备进行设备接入控制、应用控制,实现安全的数据访问、数据防泄密和事件日志审计。
然而,在企业对设备进行严格控制的同时,员工使用设备的便捷性肯定会受到影响。安全与便捷如何平衡,考验着信息技术的发展和企业的智慧。
企业为了自身的信息安全,可以牺牲一定的便捷以达到更为安全的效果,但是很多直接面向消费者的服务商,为了赢得更好的用户体验,千方百计为用户提供更为便捷的信息化服务。
“今年5月,我们发现了超级网银授权支付欺诈案例。超级网银存在漏洞,可以给其他人授权来操作自己的网上银行。”裴智勇介绍,“我们认为这是一个非常高危的安全漏洞。一位用户账户曾在24秒之内被他人转走了10万块钱。今年发生的一起案件中,用户被骗走15.5万元,虽然这个用户并没有泄露验证码,但其账户仍然被洗劫一空。”
设计超级网银,本来是为了提升用户体验,让用户跨行网上转账更为便捷。然而,过度的便捷就会带来更多的安全隐患。“很多金融机构在设计互联网金融产品时,还是没有考虑到互联网安全的最新发展形势。当然使用的人很少时,可能漏洞并不容易被发现和被利用,而当大多数人都开始利用互联网进行支付和转账时,这个漏洞就会产生极大的危害,而且这种漏洞比木马和病毒更为可怕。”裴智勇认为。
360公司推出网购先赔计划,就是期望在用户利用更为便捷的互联网购物和支付时,能够在资金安全上有所保障,从而达到用户体验与安全的平衡。当然,通过这种方式,360公司也可以在第一时间截获最新的漏洞和攻击方式,从而进行具有针对性的防护。
在平衡安全与用户体验的天平时,北京数字认证股份有限公司进行了另外一番尝试。北京数字认证股份有限公司信手书产品部总经理马臣云认为,目前很多企业内部的业务流程以及外部的客户服务已经充分利用了信息化手段,但是由于缺乏合法、有效的电子凭证,使得企业与外部进行交互时不得不使用纸质凭证。纸质凭证降低了效率、增加了成本,甚至还会降低用户的体验。
马臣云认为,无纸化成为企业的迫切诉求,而真正意义上的无纸化需要可靠的电子签名作为支撑。“真正的业务创新革命是彻底的无纸化,不是纸张文件的电子影印,而是文件信息产生、使用、存储、归档全过程的彻底电子化。”马臣云说,利用北京数字认证股份有限公司的新产品“信手书”,无纸化的“最后1公里”问题可以轻松解决,同时能极大提升用户体验。
“信手书”即手写电子签名,它在提升用户身份认证体验的同时,保证了认证过程的安全可靠。马臣云介绍,太平洋保险公司已经在销售人员的平板电脑上应用了“信手书”,客户可以直接在平板电脑上签单,将原来5~7天的承保周期缩短至30分钟,“信手书”为用户带来了极好的用户体验。
构造安全的环境
企业同样是信息消费的重要组成部分,万熠认为,在云计算和虚拟化环境下,企业的传统安全防护措施已经力不从心,必须采用全新的安全模型。同样,在大数据时代,应用安全以及网络安全可视化显得更为重要。
大数据等趋势带来的信息安全焦点逐渐向应用层转移已经成为不争的事实。任子行网络技术股份有限公司资深安全专家郭亮认为,应用审计、行为管理、协议识别、App及无线网络管理等安全防护措施将得到越来越多的应用。
“我们坚信,信息安全应该和信息技术相互融合。信息安全产业正在扩大,而信息安全也不只是信息安全领域企业的事情,而应该是所有IT企业的事情。”赛迪顾问信息安全首席分析师戴向军认为,新的信息技术迅猛发展,信息消费日益扩大,整个产业应该走向信息安全与信息技术紧密结合,走向产业链企业通力合作,走向主管部门、企业、用户共同努力。
赵泽良在安全峰会上呼吁,应该更加注重营造一个公平、开放、透明的网络环境,同时提高用户的安全防护意识。