金融智库 - 网络安全

警惕网络陷阱、守住个人隐私，这一课赶紧补起来

2020-09-14 08:10:12 来源：百家号编辑：zgjrzk

　　网上办公、交易、交友、教育已成为常态，互联网为人们搭建联系世界的桥梁，还能让人享受足不出户的快捷便利。

　　然而我们都知道，

　　互联网并非世外桃源。

　　每天和网络打交道的我们，时刻都可能遭遇计算机莫名中毒、文档意外丢失、黑客异常攻击、网络行骗诈骗、个人信息泄露等风险和危害。这不仅仅是个人的得失，网络安全也影响着公共安全、国家安全。

　　2020年国家网络安全宣传周，

　　将于9月14日正式拉开帷幕。

　　9月11日下午，

　　武汉临空港经开区。

　　由湖北省委网信办、斗鱼直播与

　　楚天都市报联合主办的

　　“国家安全伴你行”全媒体直播走进

　　国家网络人才与创新基地。

　　直播围绕

　　“网络安全人才培养与创新”的主题，

　　说网络风险，话国家安全。

　　→看直播

　　手机软件究竟怎么用才安全？

　　如今，

　　各式各样的APP融入日常生活，

　　给生活带来便利的同时，

　　也造成了一些风险。

　　武汉大学网络安全学院院长助理陈晶教授，

　　现场直播授课，

　　用实际案例作分析。

　　陈晶教授（右）

　　他表示，App是移动互联网应用的重要呈现形式之一，随着智能手机的普及，大量的App被开发出来，这其中就包含一些有使用风险的App，要想避免陷入互联网骗局，首先就要防止安装来历不明的App。

　　同时，在使用网络的时候，一定要注意保护自己的个人信息。很多骗局都是通过各种各样的交流群实施的，有的标榜新颖的投资项目来吸引眼球，有的打感情牌再套取个人账户信息等等。他强调：“不论现实还是网络，都不会掉馅饼。”

　　线上线下都要小心。很多骗局都是在线下实施的，要想避免风险，一定不要随意扫描二维码，这很可能会泄漏个人信息，甚至陷入骗局。在通过移动互联网支付时，一定要反复确认对方的真实身份，最好能通过电话沟通一下，这样能够从最大程度上避免支付风险。

　　其实网络安全并非简单的支付安全，网络安全包含了人的安全、系统安全、网络通信安全、内容安全和网络应用安全等多个方面，与传统的信息安全定义相比，更加综合、更加复杂。

　　当前网络空间已经成为继海陆空天之后的第五疆域，网络空间的主权捍卫体现了国家科技实力，成为维护国家安全所必须的一环。

　　2020年国家网络安全宣传周以“网络安全为人民，网络安全靠人民”为主题，旨在强调人民是网络安全参与者与建设者，同时也是网络安全建设的受益者。

　　陈晶教授表示，随着网络空间的发展，衍生了各种新技术和新应用，拓展了人类活动的新领域。在网络空间中个人隐私数据、单位敏感信息、国家信息基础设施都面临新的挑战。不论是普通群众还是专业技术人员都应该清晰的了解网络安全法规并遵守网络安全伦理，共建一个和谐的网络空间。

　　关于网络安全知识

　　楚天君和凤安安也聊开了

　　案例分析

　　国家电网干线遭攻击

　　委内瑞拉全国大停电

　　2020年5月，委内瑞拉国家电网干线遭到攻击，造成全国大面积停电。这也是在委挫败雇佣兵入侵委内瑞拉数小时后发生的。除首都加拉加斯外，全国11个州府均发生停电。2019年，委内瑞拉也曾两次因电力系统遭到破坏导致大规模停电，原因直指网络攻击。特别是2019年3月持续6天的大停电，刷新了全球最大规模的停电记录。停电导致的缺电、缺水以及持续40摄氏度的高温几乎把委内瑞拉带到崩溃的边缘。大规模停电给委内瑞拉带来了重大损失，全国交通瘫痪、网络通讯中断、供水系统瘫痪、医院手术中断、加油站无法加油、机场停运，政府暂停了学校及商业活动。

　　【点评】：这是近年来典型的工业控制网安全事件，造成严重的国家关键基础设施被破坏，人民财产和生命受到威胁。近年来，我国同样遭受着工业控制系统信息安全漏洞的困扰，我国工控领域的安全可靠性问题突出，工控系统的复杂化、IT化和通用化加剧了系统的安全隐患。工信部发布《关于加强工业控制系统信息安全管理的通知》，要求加强与国计民生紧密相关的多个重点领域内工业控制系统信息安全管理。只有做到居安思危、未雨绸缪，才能保证工业控制系统健康稳定地运行。

　　个人信息网上被贩卖

　　网购网贷扫码需谨慎

　　2019年12月，据媒体报道，韩国检方捣毁一黑客团伙，该团伙4年间共盗取了74亿条个人信息，并以此非法牟利。在国内，网上贩卖个人信息案件也屡有发生。就在今年8月，武汉洪山警方打掉一个贩卖公民个人信息的犯罪团伙，他们将信息卖给境外诈骗分子，半年非法获利上百万。犯罪嫌疑人交代，这些信息是从网上非法购买，信息上的人分布在全国各地，都是急需贷款的人。该团伙将非法购买的公民个人信息转卖给境外诈骗团伙。

　　【点评】：网上贩卖公民个人信息、网络诈骗等违法行为屡禁不止，严重危害网络安全和公民的合法权益。《中华人民共和国网络安全法》规定：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。《中华人民共和国刑法》规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。参加网络贷款、网购、扫码、填写调查表等，都容易造成个人信息泄露，我们每天与网络打交道，要时刻保持警惕，线上线下都不要轻易填写个人信息，特别是身份证、银行卡、家庭住址等关键信息。

　　黑客瞄准政府机构

　　攻击网站敲诈勒索

　　2019年6月，美国佛罗里达州莱克城(LakeCity)遭到灾难性的勒索软件攻击，各项市政工作停摆两周后，市政紧急会议投票决定支付价值将近50万美元的赎金。2019年3月，美国亚特兰大市政府遭遇持续性重大勒索软件攻击，办公计算机系统和门户网站纷纷宕机，严重影响政府职能行使。

　　2019年3月13日，我国部分政府部门和医院等公立机构遭遇到国外黑客攻击。此次攻击中，黑客组织利用勒索病毒对上述机构展开邮件攻击。从 2019年3月11日起，境外不明黑客组织对我国部分政府部门开展勒索病毒邮件攻击。这些邮件的标题是 " 你必须在 3 月 11 日下午 3 点向警察局报到 !"，这些邮件的发件者名为 "Min,GapRyong" ( 部分部门反映还有其他的假冒发件人约 70 多个 ) ，另外这些邮件中无一例外都附有名为 "03-11-19.rar" 的压缩文件，而不明真相者一旦打开这些附件将会中招。

　　【点评】：近年来，全球针对政府机构的网络攻击层出不穷，常见攻击类型有数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等。勒索病毒使网络黑产势力浮出水面，借助暗网、病毒、加解密等一系列复杂技术的掩护，肆无忌惮地实施绑架勒索等网络犯罪行为。政府机构是与民生关联最紧密的机构，掌握着大量公民隐私信息甚至国家机密信息，一旦遭到网络攻击，便会造成十分严重的后果，威胁公民安全和国家安全。多数的政府网络安全事件，是因为内部对于安全建设和管理有疏漏，导致黑客乘虚而入。勒索病毒事件，也暴露出我国在大规模网络安全事件的应急响应和处置机制运转中存在的不足，部分行业单位网络安全防护缺乏体系化的规划和建设。增强政府机构的网络安全建设、加强内部管理人员的安全培训和监管，是当下政府部门网络安全管理要重点考虑的事情。

　　丰田服务器遭黑客入侵

　　威胁310万用户信息

　　2019年4月1日，丰田汽车公布了一起发生在日本主办事处的数据泄露事件。丰田汽车表示，黑客入侵了其IT系统，并访问了几家销售子公司的数据。这些子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji(雷克萨斯Nerima)和丰田西东京卡罗拉。

　　该公司表示，黑客访问的服务器存储了多达310万名客户的销售信息。丰田汽车称，目前正在调查此事，以确定黑客是否泄露了他们可以访问的任何数据。

　　丰田汽车强调，客户的财务细节并未存储在被黑客攻击的服务器上。至于黑客可能访问了哪些类型的数据，丰田汽车并未披露。

　　最后，丰田公司还对广大用户致歉：“我们向所有使用丰田和雷克萨斯汽车的客户表示歉意。我们认真对待这一问题，并将在经销商和整个丰田集团中彻底实施信息安全措施。”

　　【点评】：上述案例是企业数据泄露导致个人隐私数据泄露的典型案例，个人隐私数据因业务或者某种原因被企业采集并存储，相关企业需要承担数据安全保护的责任。我国在《网络安全法》中有规定数据安全与个人隐私保护的明确要求。企业在个人信息的采集、使用、输出、处理各个环节当中形成非常有效的行业实践要求中，要在源头上去堵住这个个人信息泄露的漏洞。从上面案例分析，需要企业主要从四个方面来做到安全保障。第一，我们需要对个人信息进行一定的分类，在我们的企业实践过程当中，需要所谓的分类分级保护的措施；第二，涉及到用户的授权机制；第三，当企业采集到数据之后，需要在企业内部建立一整套非常严格的管控流程，企业要在技术上进行一系列的创新，通过技术而不是传统的人工手段去实现这种严格的管控；最后企业要建立一个完善的泄露危机的应急预案。

　　湖北首例入侵物联网案

　　十万设备受损

　　2019 年 5 月，湖北警方经过 50 余天侦查，成功破获湖北省首例入侵物联网破坏计算机信息系统的刑事案件，抓获两名犯罪嫌疑人。

　　据警方介绍，3 月 21 日至 22 日，位于光谷总部国际的“微锋”(化名)科技有限公司的多台物联网终端设备出现故障：自助洗衣机、自助充电桩、自助吹风机、按摩椅、摇摇车、抓娃娃机等均脱网无法正常运行。经统计，共 100 余台设备被恶意升级无法使用、10 万台设备离线，造成了重大经济损失。

　　接报案后，网警通过对故障设备的源代码进行解密，对公司服务器日志进行取证分析。原来从 3 月 21 日 20 时开始，公司服务器收到了大量的伪造离线报文，通过溯源分析，网警发现“微天地”科技公司谢某、王某有重大作案嫌疑。

　　5月13日，民警在位于东湖新技术开发区精工科技园的“微天地”科技公司抓获谢某、王某。经审查核实，谢某系“微锋”公司前员工，2018年初离职时带走了该公司产品的设计源代码，后与王某共同成立了“微天地”科技公司，成为“微锋”公司的行业竞争对手。谢某、王某为提高自己公司产品的市场占有率，破解了“微锋”公司的物联网服务器，利用系统漏洞将终端设备恶意升级，导致100余台设备系统损坏，无法正常工作;同时模拟终端设备，以每秒3至4千条的速度给服务器发送伪造离线报文，导致10万台设备离线。

　　【点评】：上述案例的物联网安全事件，仅仅是呈现在大家眼前的冰山一角，隐藏在背后的物联网安全威胁层出不穷，2018年以来的安全形势更加严峻。随着物联网逐渐走入千家万户的生活当中，物联网设备将成为黑客们或者非法利用者新的战场，由于物联网设备的防护难度或对安全性的忽视，使得物联网设备异常脆弱，很容易被攻击者发现漏洞并利用。据统计，物联网设备在全球范围内已暴露7100多万台，包含无线传感器、摄像头、自助终端、无人值守设备、无线设备类型，物联网设备的安全需求日益凸显。

　　1、什么是网络安全？

　　网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。网络安全的本质在对抗，对抗的本质在攻防两端能力较量。

　　2、如何认识网络安全的重要性？

　　网络是信息化社会的重要基础，网络空间是国家安全和经济社会发展的关键领域。没有网络安全就没有国家安全，没有信息化就没有现代化。过不了互联网这一关，就过不了长期执政这一关。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。网络安全已经成为我国面临的最复杂、最现实、最严峻的非传统安全问题之一。

　　【相关知识】网络是把双刃剑，安全使用是关键

　　网络是一把双刃剑，一张图、一段视频经由全煤体几个小时就能形成爆发式传播，对论场造成很大影响。这种影响力，用好了造福国家和人民，用不好就可能带来难以预见的危害。

　　3.当前网络安全具有哪些主要特点？

　　网络安全是整体的而不是割裂的，对国家安全牵一发而动全身，同许多其他方面的安全都有着密切关系；二是网络安全是动态的而不是静态的，网络变得高度关联、相互依赖，威胁来源和攻击手段不断变化；三是网络安全是开放的而不是封闭的，要立足开放环境，加强对外交流、合作、互动、博弈；四是网络安全是相对的而不是绝对的，要立足基本国情保安全；五是网络安全是共同的而不是孤立的，维护网络安全是全社会共同责任。

　　4.维护网络安全的主要任务有哪些？

　　国家安全法第二十五条规定，国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。

　　【相关知识】“弯道超车”势在必行

　　互联网核心技术是我们最大的“命门”，核心技术受制于人是我们最大的隐患。要掌握我国互联网发展主动权，保障互联网安全、国家安全，就必须突破核心技术这个难题，争取在某些领域、某些方面实现“弯道超车”。

　　【延伸阅读】备受期待的网络安全法

　　2016年1月7日，十二届全国人大常委会第二十四次会议审议通过网络安全法。该法正确处理网络空间自由和秩序、安全和发展、自主和开放的关系，遵循积极利用、科学发展、依法管理、确保安全的方针，确立了有关主管部门和企业等网络运营者、网络使用者的网络安全责任，确立了网络产品安全、网络运行安全、网络信息安全、网络数据安全、关键信息基础设施安全等各方面的基本管理制度。

　　5、为什么要维护国家网络空间主权？

　　网络空间主权是国家主权的重要组成部分，是国家主权在网络空间的体现和延伸。尊重网络空间主权，是维护网络空间安全的重要前提。互联网是国家重要基础设施，我国境内的互联网属于中国主权管辖范围，中国的互联网主权应受到尊重和维护。

　　6.怎样才能切实保障国家数据安全？

　　加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力，加强政策、监管、法律的统筹协调，加快法规制度建设:制定数据资源确权、开放、流通、交易关制度，完善数据产权保护制度;加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度、推护广大人民群众利益、社会稳定、国家安全，加强国际数据治理政策储备和治理规则研究提出中国方案。

　　【相关知识】大数据的“妙用”

　　随着云计算时代的来临，大数据（Big data）也吸引了越来越多的关注。大数据是对大量、动态能持续的数据，通过运用新系统、新工具、新模型的批据，从而获得具有洞察力和新价值的东西。大数据不仅颜覆了生活方式，还对国家政治、经济军事、生态等重大领域有着重要影响，是国家的重要战略资源。大数据发展日新月异的同时，随之而来的是数据安全的保障问题。比如，有人说，大数据时代，人类就像生活在“玻璃房”里。这句话道出了大数据时代潜在的安全风险:数据缺乏有效管理，就有泄露的危险，如果被别有用心的人利用，就会对个人隐私和国家安全造成极大危害。

　　7.如何认识网络安全和信息化的关系？