“互聯網+”環境下信息安全的挑戰與機遇

編者按：“互聯網+”在實體經濟乃至社會上下、各行各業掀起了創新的浪潮。但同時，我們需清醒地認識到，無論對於消費者、企業，還是政府監管部門，都意味著新的信息安全風險與挑戰，安全風險，涉及法律、制度等問題都將逐漸暴露出來。當然這同時也是機遇，安全治理和安全產業如何利用好這柄雙刃劍，需要我們不懈努力，共同探尋“互聯網+”的安全之道。

“互聯網+”這一概念一經提出，立刻激起千層浪，專家學者們展開熱烈討論，國內兩大互聯網巨頭阿裡巴巴和騰訊也先后發布“‘互聯網+’研究報告”，討論這一新的國家戰略帶來的美好願景與機遇。

然而機遇往往與挑戰並存，“互聯網+”火熱的背后暗藏潛在的風險，信息安全便是眾多風險中重之又重的一個方面。隨著“互聯網+”的推進，眾多傳統行業逐步數據化、在線化、移動化、遠程化，同時更多消費者卷入互聯網，產生的數據和信息也必將呈爆炸式增長﹔除此之外，在物聯網和物理信息系統（cps）的發展下，網絡從“人”和“機”的連接延伸至“人、機、物”的連接，將產生新的自物理世界的巨量傳感數據，這些數據涉及整個社會、軍事及國民經濟的方方面面，與國家經濟發展甚至整個國家安全都息息相關，在這樣的新環境下，如何保障並提升信息安全，為社會經濟健康發展保駕護航，這為信息安全領域提出了新的課題和使命。

一、“互聯網+”環境下信息安全的挑戰

“互聯網+”是一個新的生態系統，這個系統的主體不僅有企業，還包括個人消費者以及政府等各級管理監管部門，本文從個人消費者、企業及管理三個層面分別闡述在“互聯網+”時代面臨的信息安全風險及挑戰。

1. 個人消費者層面

（1）個人信息泄露風險增大

“互聯網+”時代，每個人都是數據的貢獻者，在個人貢獻信息的同時，信息泄露等安全問題也變得更加嚴峻，2011—2014年，已確認被泄露的我國公民個人信息就多達11.27億條，非法採集、竊取、販賣和利用個人信息的黑色產業鏈不斷“做大”，2014年支付寶前員工非法販賣超過2G的個人信息，以及攜程網的“安全門“事件，都引起廣泛關注。個人信息泄露的后果主要包括三個方面，首先是個人信息濫用的問題，商家廣告商不遺余力地收集個人信息用於精准營銷﹔其次，信息泄露使得網絡攻擊目標更顯著，攻擊者搜集獲得個人社交網絡、郵件、微博、手機號碼和家庭住址等敏感信息，使目標更容易被鎖定﹔最后，基於這些感敏信息的網絡欺詐將會有更好的針對性和欺騙性，更高的成功率，對個人的財產甚至人身安全產生極大風險和挑戰。

（2）在線支付安全

在線支付安全將是個人消費者在“互聯網+”時代面臨的另一個重大風險。2014年2月，淘寶被爆出現重大安全漏洞，黑客通過搜索引擎，無需密碼即可登錄淘寶用戶賬號，直接獲取用戶的賬戶余額、交易記錄等信息﹔3月，攜程網因安全支付日志存在漏洞，導致大量用戶銀行卡信息泄露，引發一場“換卡潮”。“互聯網+”時代，隨著越來越多的行業互聯網化，對於個人用戶來說，也會有越來越多的消費和支付轉移至互聯網，這將使用戶的財產安全面臨更加嚴峻的風險和挑戰，尤其近年來移動支付得到快速發展和普及，2014年我國移動支付的用戶規模達到2.17億，比2013年增長了73%，移動支付雖然便捷，但手機等移動設備內置的安全保護非常有限，同時3G、4G、操作系統、應用軟件等的多樣性和不成熟性也加劇了移動支付被攻擊的威脅。

2.企業層面

（1）傳統行業多樣化導致信息安全問題的復雜化

“互聯網+”加的是多個傳統行業，包括金融、教育、旅游、交通、房地產、農業、制造業等等，涉及社會經濟的方方面面，每個傳統行業都有其自身的業務特征，在與互聯網結合的過程中，會產生各不相同的新技術、新業態，帶來不同的信息安全問題，例如“互聯網+金融”，其產業鏈包括資金募集、理財、支付、網絡貨幣、金融信息服務等多個環節，在這樣龐大的金融全業務鏈中，一方面互聯網金融交易雙方無法見面，無法面對面鑒別真實身份﹔另一方面如何保障在網絡中傳輸的數據如電子合同等是可信的、未被篡改的﹔再有，如果發生糾紛，如何通過電子証據証明用戶的交易行為，這些電子証據是否可以作為可靠的法律証據來使用？這些問題是“互聯網+金融”要解決的關鍵信息安全問題。而“互聯網+制造業”產業鏈則包括消費者需求調研，生產管理，庫存管理，批發、分銷，配送等環節，與“互聯網+金融”截然不同的業務流程，必然產生新的信息安全問題，不同行業技術標准、業務標准的多樣化，會導致信息安全問題的復雜化，這也是“互聯網+”環境下企業信息安全面臨的新挑戰。

（2）CPS（cyber physical system）安全問題

“互聯網+”時代，互聯網所連接的不再局限於“人”和“機”，物聯網（IoT）和信息物理融合系統（CPS）作為下一代網絡的核心技術，將人、機、物融合，除了傳統互聯網由人產生的數據外，還將產生並處理大量來自於物理世界的傳感數據，並與現有的數據及技術不斷整合。與傳統互聯網類似，CPS網絡也面臨傳統的網絡威脅，如現有的拒絕服務攻擊、僵尸網絡、身份欺騙、信息竊取等網絡攻擊手段，除此之外，由於CPS網絡還涉及各種物理節點如傳感器等，攻擊者也可能會在物理節點進行攻擊，使系統接收到虛假信息﹔同時異構網絡之間的數據交換將帶來全新的安全問題，如網間認証、安全協議的無縫銜接等，這些都使企業信息安全面臨更嚴峻的挑戰。

3.管理層面

（1）法律及監管

從法治規律的角度來說，法律通常是滯后於社會發展的，法律所反映的往往是穩定的既存社會格局。李克強總理近日在泉州企業視察時說：“互聯網+”未知大於已知。這對企業而言意味著未來無限的空間和機遇，但是對於法律及監管機構而言則是非常大的挑戰：一方面，“互聯網+”的新業態可能帶來新的問題，需要法律規制﹔另一方面，新的業態剛剛萌芽，其未來的發展存在無限的可能性，人們對其認知也有限，如果貿然規制，則可能極大地限制其發展。如何在鼓勵創新和防范風險中間維持一個微妙的平衡，對監管機構而言是一個巨大的挑戰。

（2）觀念意識的變革

首先，對於過去一直遠離“互聯網”的傳統行業，如農業、衛生、制造業等，信息安全知識匱乏，信息安全意識極為薄弱。而保障信息安全，除了技術手段和法律監管外，很大程度上取決於企業本身的安全防范和管理水平，制定正確的安全操作流程、權限管理、安全評審等對於保障企業信息安全具有不可替代的重要作用，這將成為“互聯網+”行動計劃健康推進的一大風險和隱患。其次，“互聯網+”對應的是企業傳統技術構架、商業模式及組織方式的變革，這必然要求觀念及意識的變革，甚至是顛覆性的變革，這將是一個長期且充滿阻力障礙的艱辛過程。

綜上，“互聯網+”環境下的信息安全問題涉及觀念意識、技術、管理、法律監管等多個層面，給個人消費者、企業及相關監管部門帶來了新的挑戰，但“互聯網+”的在線化和數據化，也為信息安全帶來了新的機遇。

二、“互聯網+”環境下信息安全的機遇

1.基於大數據的社會治理更加有效

“互聯網+”的進程將會是一個不斷數據化的進程，越來越多的社會主體包括政府、企業、個人及各類社會組織將卷入這一進程，從而產生並積累豐富及全面的大數據，包括企業經營數據、用戶行為數據等等，這些數據能夠折射不同社會主體的行為特征及規律，為社會治理，政策制定，甚至打擊犯罪提供了重要的數據基礎，從而極大提升信息安全管理的效率，具體體現在以下幾個方面。

（1）用微博、微信及搜索數據進行輿情監測

自2009年google的幾位工程師在《自然》雜志發表論文探討基於網絡搜索數據的流感發病率監測成果后，針對於網絡大數據的社會經濟行為監測及預測研究成為熱點。人們越來越習慣於通過微博、微信、論壇等社交平台去分享信息，表達訴求，每天傳播與這些平台上的數據量高達百億甚至千億條，這些數據對於政府收集民意動態，監測社會輿情具有重要意義。相對於傳統的監測方法，這些數據具有實時性強、覆蓋面廣，信息類型多元化等特點，有助於政府更快速高效准確地制定政策策略，在宏觀層面上會對社會治理及信息安全起到至關重要的積極作用。

（2）運用大數據打擊犯罪更高效精准

大數據技術對於預測及打擊犯罪同樣具有不錯的效果，基於大數據分析的社會化分析和預測性分析將會是大數據警務的兩個熱門領域，越來越多的案例表明犯罪預防領域的預測型分析能夠顯著降低犯罪率，例如洛杉磯警察局利用大數據分析軟件成功地把轄區裡的盜竊犯罪降低了33%，暴力犯罪降低了21%，財產類犯罪降低了12%。

在國內，利用大數據技術定位及打擊犯罪的工作也已有不少應用，比如北京警方運用大數據雲計算的數學分析模型，開發“犯罪數據分析及趨勢預測系統”，根據預測結果有針對性的部署警力，顯著提高工作效率和效果。在阿裡巴巴內部，大數據已成為打擊假貨和作弊賣家，保護知識產權的利器，2014年12月23日，阿裡巴巴集團首次對外披露多年來的打假數據，並公布阿裡巴巴已經構建起一套基於互聯網大數據的打假模式，通過智能識別和追蹤技術、龐大的商品樣本庫和數據庫，精確復雜的算法及強大的雲計算能力，將假貨從10億量級的在線商品中識別出來，僅2014年前三季度就處理600萬條侵權商品鏈接，配合各級行政執法部門辦理侵犯知識產權案件1000余起，極大地提高了打擊犯罪的效率和精准度。

2.“互聯網+”環境下信息安全市場潛力巨大

隨著“互聯網+”戰略的實施，越來越多傳統企業逐步在線化、數據化、移動化，由此帶來的信息安全需求將會大幅度提高並升級，這對於信息安全市場將會是巨大的機遇，IDC的數據顯示，2013年我國信息安全市場規模約19億美元﹔企業對信息安全的投入僅佔全部IT投入的1%，而北美和歐洲企業對信息安全投入佔整個IT的比重高達14%，這說明信息安全相關硬件，軟件產品及細分產業還有巨大的市場潛力，將迎來快速發展期。同時，在“棱鏡門”等信息安全事件背景下，網絡安全上升至國家安全高度，“互聯網+”將涉及國民經濟的方方面面，信息安全將更加受到政府及企業重視，國產自主可控軟硬件產品將成為政策重點扶持方向，迎來更大的市場空間和發展機遇。

三、結語

這是一個最好的時代，也是一個最壞的時代。“互聯網+”戰略為信息安全領域帶來從觀念意識，到技術、管理、法律監管等多個層面的全新挑戰，但同時，傳統行業的在線化數據化也為社會輿情監測、企業決策、犯罪行為的預測識別提供更多的有效數據，提升社會治理的效率，為信息安全帶來了新的機會，面對“互聯網+”環境下信息安全需求的大幅提高和升級，如何把握時代機遇，為“互聯網+”時代整個社會經濟安全、健康發展保駕護航，是信息安全領域需要思考的新課題。

（作者單位：呂本富 中國科學院大學管理學院﹔張 崇 北京語言大學）

（來源：中國信息安全）