技术前沿

观点 | 我国现阶段网络安全难点及技术解决方案

2019-04-25 蓝西资讯
观点 | 我国现阶段网络安全难点及技术解决方案

 

导语

随着我国社会经济的发展,我国已经进入“数字经济”时代,互联网渗透到我们社会的方方面面。在带给我们生活许多便利的同时,也带来很多问题。这些问题,既有网络自身固有的脆弱特性和网络信息技术的不完善,也有电子证据的使用难题及信息安全方面的隐患。今天,我们邀请中国人民大学法学院李学军教授、中国人民大学中国普惠金融研究院顾雷研究员一起就网络安全最新热点问题进行讨论,也欢迎广大业内同仁一起参与,为我国网络安全献言献策。

作者简介

观点 | 我国现阶段网络安全难点及技术解决方案

 

顾雷,法学博士,金融学博士后,高级经济师,现任天津金融资产交易所首席经济学家,国际破产协会中国破产重整联盟副会长,中国人民大学中国普惠金融研院(CAFI)研究员、硕士生导师。近年来主要研究互联网金融、破产重组、普惠金融监管以及证券市场违规犯罪问题。

观点 | 我国现阶段网络安全难点及技术解决方案

 

李学军,法学博士,中国人民大学法学院教授、博士生导师,主要研究证据法学、物证技术学、司法鉴定学、大数据证据问题。现任中国人民大学法学院证据学教研室主任,中国人民大证据学研究所副所长,中国人民大学物证技术鉴定中心主任,教育部人文社科研究基地中国人民大学刑事法律科学研究中心高级研究员,中国法学会刑事诉讼研究会理事,北京市法学会物证技术研究会副会长。


近年来,网络规模不断扩大,网络应用水平不断提高,成为推动互联网金融发展的巨大力量,但网络安全出现了不少新情况、新问题,尤其在云计算、大数据和人工智能新技术方面,木马僵尸网络、钓鱼网站等网络威胁有增无减,数据和用户信息泄露等网络安全问题日益突出,分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等新型网络攻击更是愈演愈烈。根据IDC发布的报告显示:2016--2017年间,全球恶意代码样本数正以每天可获取300万个的速度增长,云端恶意代码样本也从2005年的40万种增长至目前的60亿种,互联网安全协议OpenSSL上被曝存在的十分严重的安全漏洞“心脏流血”更是威胁着我国境内约3.3万互联网服务器……

正值2019年春夏之交,天气日渐火热的时候有必要还保持冷静,梳理一下我国现阶段网络安全难点,未雨绸缪,做好互联网安全防护工作。

一、当前互联网网络安全难点分析

难点一 云计算强势增长,云安全问题亟待解决

目前,我国云计算得以快速发展和应用,云服务市场在2020年预计将突破100亿美金,方兴未艾,但其中的维护云端数据服务、数据存放位置、数据隔离以及人为内部泄漏用户数据则风险最大。根据中国互联网信息中心公布的数据:截至2016年12月,全国感染过病毒木马程序的PC数量为2.47亿台,感染恶意程序的安卓智能手机共1.08亿台;网络交易安全事件更是频发,诸如2017年AWS S3云存储桶成为数据泄露的重灾区,就是在数据存放位置、数据隔离上出现重大泄露,殃及全国近5000万台PC电脑。

难点二 区块链技术尚未成熟,不能排除恶意攻击网络安全的行为

目前,区块链虽然凭借其天然的技术特点而具有用户认证、数据保护、防DDoS攻击等安全优势成为网络新宠,但现阶段区块链技术还不成熟,早期生成的区块算法已过时或者密钥长度不够,部分交易数据有可能被篡改。而且区块链配套软件也存在隐患,攻击者可以通过系统中存在的漏洞恶意篡改或者盗取数据。例如2017年多起勒索病毒攻击事件就是由于数字加密出现问题引发的。我们预测,2019年由区块链技术催生的恶意攻击活动将更加活跃,变相数字加密货币可能成为黑客攻击的主要罪源,区块链安全形势不容乐观。

难点三 人工智能快速发展,为互金网络安全带来前所未有的巨大挑战

根据中国互联网金融协会预测:2020年我国人工智能(AI)规模将达到100亿美元。毫无疑问,未来AI的快速崛起不仅推动了社会快速发展,也使得互联网金融机构成为其恶意攻击的主要对象之一,不排除有些人利用人工智能通过随机性漏洞制造恶意软件进而威胁互联网平台的运行。也许,这将成为2019年网络违规犯罪的一种新常态。

难点四 网络安全隐患和大量的数据累积,经常导致数据的泄露和非法买卖,严重威胁金融机构正常运行

借力互联网提供金融服务的机构及人员综合素质参差不齐,蕴含的数据泄露风险不容忽视。有研究表明:2017年也有IOTroop这样的新型僵尸网络、WannaCry勒索病毒、WiFi功能中的KRACK漏洞、蓝牙中BlueBorne漏洞多次爆发,让网络安全形势变得十分严峻。2018年5月WannaCry勒索病毒的全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,金融、能源、医疗等多个行业均受到影响。

根据Gartner 预测:2019年,黑客利用物联网组成僵尸网络发动大规模DDOS攻击的频率将会大大增强,诸如银行账户、非金机构账户、移动设备、交易网络因其物联网具有超级链接特性将会受到网络攻击。相比单纯的数据泄露事件,此类牵连引发的后果更为严重,将直接影响金融机构正常运行。为此,金融机构必须时刻保持警惕,不可掉以轻心,防止受到恶意牵连。

难点五 交易主体诚信难保,互联网网络安全道德风险相应大为增加

我国社会个人征信体系尚不完善,很难验证互联网金融交易者的信用状况、道德水准,更无法有效审查互金交易主体的偿还能力,于是诸如网上诈骗、电脑黑客、网络钓鱼、电子扒手、信息污染等道德风险大为增加,相关问题将成为2019年互联网金融的重大课题。同时,大量数据以数据孤岛状态被分割在各部门内部而无法关联与聚合,甚至同一机构不同分支机构之间也存在数据隔离现象。这就使得风险不仅来自网络交易方式的违法性,还有金融机构内部协调不力而导致的道德违约。这与大数据时代数据共享背道而驰,对跨地域、跨境网络合作带来了一定困难。

总之,2019年全世界将更加重视网络技术安全问题,欧盟《通用数据保护条例(GDPR)》已于2018年5月25日生效。如果不遵守GDPR规定,企业将面临上一个财务年度公司营业总额4%或2000万欧元的处罚——该处罚将取其中较高值。

面对前述诸多难题,我们的金融机构真的都准备好了吗?

我们不得而知,但有一点是肯定的,就是对于金融机构来说,应该认真做好网络安全保护工作,采取适当措施,优先增强深度防御和网络攻击的适应能力,加速构建“协同预警、有效应急、强化灾备”的全网动态保障体系,优化互联网应用生态环境,实现从现实威胁静态保护向未来风险动态预防的转变。

二、互联网网络安全技术解决方案

联网网络风险的技术解决方案,总体上可以从互联网客户安全认证、系统安全壁垒建设以及大数据分析预警、电子数据证据使用原则几个维度着手。

从互联网金融行业角度来看,加强客户安全认证技术首当其冲。与传统金融相比,数字金融会随着互联网技术的发展不断扩展应用范围,对系统正常运行的依赖程度更高。随着互联网应用的普及,传统金融基于账户密码、银行卡密码和短信验证码的“挑战-应答”机制的弊端已逐步显现。一些领先的互联网金融机构已经开始尝试新的客户安全认证技术,如通过位置、设备、行为、偏好、社交等多维数据来交叉验证客户身份信息;或者充分利用生物识别技术,即借助难以被窃取和复制的生物特征,如指纹、声纹、虹膜等,提升伪冒用户身份的难度,有效识别客户主体。

其次,加强网络安全系统自身安全壁垒建设。从目前互联网金融数据安全保护技术看,主流技术有:数据加密技术、数据匿名技术。数据加密技术是传统的对敏感信息予以保护的方法,目的是防止重要数据被入侵者复制、窃取或者篡改,通过隐藏信息主体的身份和其他敏感数据,保护信息主体的隐私。而数据匿名技术,是对数据本身进行脱敏处理,包括泛化、压缩、分解、置换和干扰等手段,消除信息中的个体指向。但是,这两项技术也存在一定瑕疵,在面临网络攻击时可能无法实现隐匿消费者身份标识的目标,攻击者可以通过获得含用户标识符的数据集,重新建立用户标识符与数据记录,使得网络平台很容易成为诈骗集团觊觎的目标。

第三,借力大数据分析技术防范互联网金融犯罪。作为金融行业发展的新兴支柱,互联网金融在创新的同时,也被一些不法分子所利用,他们往往借助互联网金融支付工具或打着发展互联网金融的旗号,非法侵占网络另一端不特定人群的财产,进而构成非法吸收公众存款罪、欺诈发行股票债券罪、擅自发行股票公司企业债券罪、擅自设立金融机构罪、组织领导传销罪、非法经营罪、集资诈骗罪等罪行。这些行为,严重扰乱了我国金融管理秩序,更往往导致巨大的、无法挽回的经济损失,具有严重的社会危害性、极大妨碍我国互联网金融业的创新及健康发展,因而有必要在打击此等利用网络非法集资案件的同时,对其进行有效预防,以确保互联网金融的安全。基于大数据、云计算、人工智能而生的大数据分析技术,面对海量、多维、实时可变的电子数据,可以适时对某些网上交易或资金流转行为等作出积极的预测并加以防范。具体而言,根据公安司法机关办理前述涉众型网络非法集资案件时积累的丰富经验、及相关机构研发出的特定分析模型,获得针对这些涉众型犯罪的风险监测结果,当分析结果显示互联网上某行为或活动可能成立前述犯罪时,便及时“报警”。例如目前实务中已开发出“传销类罪分析模型”,该模型紧紧围绕资金的交易频率、交易量、某资金帐户与其他帐户的关联密度等等,而展开预测。一旦有预警,相关部门便极时介入并予以干预。

当然,大数据分析预警技术的嵌入,应以海量数据为前提。为此,做为国家重要行业之一的金融领域,不仅要确保其关键信息基础设施安全有序运行,同时还应严格按照我国《网络安全法》的相关规定,对在运营中收集和产生的个人信息和重要数据予以严格保护的同时,有序、科学、得当地建立数据共享、数据获取等机制。

第四,注重电子数据的留存及备份。与传统金融相比,互联网金融最为独特的特点是资金融通的电子化,例如身份认证数字化、书面认购协议等权利凭证电子合同化、投资款项的转移及返利的实现虚拟货币化等等,因此,互联网金融行为产生的种种电子数据均是金融机构与客户间法律关系发生、变更和消灭的重要且关键证据,更是互联网金融双方维护自身权利、寻求各种救济特别是司法救济时必不可少的证据。由于电子数据具有看不见摸不着的虚拟性、依附电子设备而存在的附随性、易被删改被剪切的脆弱性,因此,为确保互联网金融活动中的各类电子数据客观、完整、真实地存在着,为日后可能发挥的证明作用做准备,互联网金融机构不仅要按照我国《网络安全法》相关规定,对重要数据库建立容灾备份,而且有必要结合各类互联网金融活动的特点,对具体的网上金融活动建立电子数据存证平台——当前我国的可信时间戳技术、e签宝技术、区块链技术等都可为此类存证活动提供技术支撑。

2019年,互联网金融机构应加大对自主知识产权的信息安全技术研发和投资力度,建立一套立体的安全防护体系,有效克服数据加密技术和数据匿名技术的缺陷,采用防火墙、智能卡、量子密钥等新型技术,确保管理制度安全、物理环境安全、网络信息安全、系统认证安全和操作应用安全,推动产业数字化,释放数字对经济发展的放大、叠加、倍增作用,推动互联网、大数据、人工智能和实体经济深度融合,利用互联网新技术新应用对传统产业进行全方位、全角度、全链条的改造,让网络更加安全、健康。