“WiFi万能钥匙”是一款自动获取周边免费WiFi热点并建立连接的软件,通过云端内置千万用户分享的WiFi热点数据进行连接。记者下载该软件,首次进入时,会默认自动备份,选择同意就会将曾使用的WiFi密码分享到云端。试着搜索附近WiFi,列表中出现四五个热点显示已加密无法连接。记者点击加密的热点,选择万能钥匙自动连接,在不知道密码的情况下,该软件在一两分钟内成功连上了2个以“TP-LINK”开头的加密热点。
WiFi万能钥匙开发方发出声明称,所有密码都经过用户同意分享,用户可随时关闭分享,或选择不分享。WiFi密码在传输和服务器保存时,都是采用了128位加密后的密文。用户在登录热点时,黑客并不能毫无障碍地进出手机,其他用户在使用软件时,云密码在手机本地保存,连接成功后即被删除。
如果你碰巧拿着装有类似WiFi万能钥匙软件、默认分享密码的手机到了朋友家连上WiFi,朋友家又恰好开着WiFi,你就会在无意中将朋友家的WiFi密码分享到云端。当你用该软件连上邻居家已经被泄露密码的WiFi时,你的手机也会遭遇安全风险,这不仅会泄露你朋友的隐私,也会给其他连上WiFi的用户带来风险。如果黑客通过修改路由器DNS地址的方式,将正规网站的地址定向到一个钓鱼网站,风险就非常大,用户的网银、支付宝都可能被盗刷。
分享WiFi密码确实存在安全隐患。如果担心别人手机安装的WiFi万能助手等类似软件泄密,及时修改密码就能有效避免。
对。随着我国国民经济和社会信息化进程的全面推进,网络与信息系统的基础性、全局性作用日益增强,信息网络安全已成为国家安全的重要组成部分。别是,新型冠状病毒疫情的爆发,间接地促进了信息技术的迅猛发展,在疫情防控、复产复工、社会发展等方面均取给予关键支撑。但是人们在享受信息和数据公开带来的便利的同时,却忽略了信息数据的安全保密问题,网络安全问题正在对信息系统的健康发展带来日益严峻的挑战,网络安全事件的影响力和破坏不断在扩大。信息系统安全保密工作涉及政治、国防、经济和科技等领域,关系到国家安全与利益,其重要性不言而喻,信息系统安全越来越体现为国家战略安全。机遇与挑战并存,新技术、新情况、新形势、新问题不断涌现,信息系统安全保密管理同样也面临前所未有的挑战和风险,任重而道远。
1信息系统安全保密管理面临的形势挑战
随着国际形势的发展变化,我国大国地位的不断提升以及信息化建设的快速推进,信息系统面临的复杂性凸显、安全威胁的多样性增大、安全保密挑战的严峻性加剧,信息系统安全保密工作面临的形势更加复杂尖锐,面临的问题更加的突出。
①境外情报机构加紧对我实施“陆、海、空、天、网”全方位、立体式、多维度的信息监控和情报窃取。这些窃取手段不断翻新,窃密的范围不断扩大,对我国主权、安全、发展利益构成严重威胁。②由于长期的和平建设环境,我们部分人员安而忘危、思想麻痹,敌情观念淡化,保密意识缺失,对技术的泄密风险不懂不学,日常工作中,仅关注信息系统的便捷性,而忽略了安全性。③我国社会主义市场经济的深入发展,是信息系统安全保密管理的内涵更加宽阔、主体更加多样、领域更加分散、载体日趋数字化,同时,信息公开利用的速度和保密管理能力建设发展不协同。④我国信息系统建设的基础薄弱,大多是在别人的核心技术上进行拓展,从底层缺乏自主核心技术,贴别是大数据、云计算、物联网、人工智能等新技术的飞速发展,又为信息系统的安全保密管理带来新的安全保密隐患[1]。
2信息系统在运用中存在的安全保密隐患
信息技术的迅猛发展,增加了信息系统的信息泄密渠道,同时也加大了数据泄密的风险,为了实现信息系统的安全保密,首先需要了解信息系统存在哪些安全隐患。
(1)物理安全隐患。物理安全是整个信息系统安全的前提。大多重点关注计算机系统设备、网络设备和存储设备的实体安全。但是,随着信息技术的发展和攻击手段的提升,物理安全的外延也随之扩展。例如信息设备产生的电磁、声、光等信息(号),如果没有得到妥善处理和防护,在一定距离内可以被相应设备截获,进而通过还原信息,造成泄密;另外,打印、复印或复制等形成的信息载体,如处理不妥当,也可以通过专用工具进行检测恢复。
(2)软硬件设备安全隐患。目前我国高端处理器芯片大多依赖于进口,信息系统中使用的基础软件,如 *** 作系统、数据库、设计软件、数据运算等,基本都依赖进口国外产品,攻击者容易利用“后门”或者系统漏洞,实施窃密攻击,大致我国重要信息系统安全保密管理长期处于被动防御阶段。同时,由于系统开发人员个人技能水平、系统开发过程管控不严谨、测试方案不完善等问题,也可能导致系统中存在漏洞,为信息系统安全运行带来隐患。
(3)内部人员安全隐患。一是内部人员误 *** 作:未严格按照信息系统保密管理要求,数据导入导出时,将病毒、木马带入系统,造成系统数据篡改、数据失窃等威胁;二是安全保密管理人员失职:未能妥善管理信息系统存储介质、移动设备等,造成设备遗失,导致信息系统数据外流;三是内部人员恶意攻击:利用管理漏洞、系统漏洞、防护薄弱环节、屏幕录制等获取系统数据,向外部企业或情报机构泄露。
(4)外部网络攻击隐患。窃密者利用信息系统安全脆弱性和漏洞,以远程方式向信息系统或系统内用户终端发起攻击,获取信息系统的重要信息、影响信息系统关键功能的正常 *** 作、控制信息系统内关键主机等。外部网络攻击,可以造成信息被窃取、系统可用性被破坏、系统数据被篡改、产生网络欺骗以及被入侵控制等隐患。
(5)新技术安全隐患。一是云计算方面:云计算发展趋势迅猛,但由于成千上万的用户隐私、企业商业秘密、政府敏感信息等都存储在云端之上,其势必成为全球黑客、敌对势力的核心攻击目标;二是物联网方面:由于物联网相关支撑技术的脆弱性,以及体系存在的漏洞,为安全攻击提供了新的可能,如攻击者恶意修改网络设备信息,导致敏感数据和用户数据丢失、业务终端或通过大规模分布式拒绝服务攻击是系统中断运行;三是大数据方面:数据安全边界被打破,数据管理主体的风险防控能力被大大削弱,随着数据资源的经济价值越发凸显,针对数据的攻击、窃取、滥用、劫持等活动持续泛滥;四是人工智能方面:由于人工智能能够使计算机模仿人类的思考方式去完成任务,一旦受到干扰或滥用,会让保护信息安全面临更大风险;五是区块链方面:尽管区块链不断得到研究、应用,但在技术层和业务层都还面临诸多挑战,如算法安全威胁、共识机制面临51%攻击、本土化挑战等[2]。
3全方位加强信息系统安全保密管理效能
信息技术的飞速发展,使得网络的攻击技术手段不断提高,由此带来的危害性也日益突出,因此,面对世情、国情、技术等持续发生深刻变化的新形势,还需要继续加强信息系统安全保密管理工作,全方位提高信息系统安全保密管理效能。
(1)大力推进基于国产自主可控设备的网络建设。面对信息系统安全保密管理的核心技术、关键设备的切实需求,国家主管部门已组织相关研究机构,与产业集团通力合作,开展国产自主可控CPU芯片、BIOS固件、 *** 作系统、安全中间件、数据库、办公软件、办公自动化设备等在内的自主可控计算平台的技术体系和完整产业链布局。虽然说,当前的国产设备性能与现有进口设备存在一定差距,但是,我们应清醒地认识到,基于国产自主可控计算平台的技术体系,是构建我国信息系统安全保密的基石,发展过程中,必然面对阵痛期,我们应充分理解、大力支持,用包容心态推进基于国产自主可控设备的网络建设。
(2)大力推进重要场所物理安全综合防护体系建设。重要场所如中心机房、重要办公室、重点库房、中心会议室等,是集中处理声、光、电磁数据等信息的重要部位,更是电子数据集中存储、输入、输出的核心,需要依靠多种技术进行综合防护。其中,对于视野内非可控区域可视探的外窗,应采取光泄露防护措施、声泄露防护措施;对于各种穿过重要场所的管道(包括通风管道、金属桥架等)需采取隔声隔震动防泄漏防护措施;对于重要场所出入口,还应采取门控、监控等技防措施。除此之外,在重要场所的管理制度和维护人员方面也应不同于其他区域,建立更具针对性的管理要求,形成全面、统一、综合、立体的防护体系。
(3)大力推进保密技术检查取证和安全测评。信息系统安全保密直接关系到国家安全利益和企业生存发展,对信息系统开展保密检查、安全保密测评和风险评估,是加强信息系统安全保密管理的重要措施,通过对信息系统安全保密运行状况的检查评估,可以为管理部门和系统使用单位实施的风险管控措施提供直接依据,实现防患于未然。
(4)大力推进新技术新应用与安全保密管理研究。以大数据、人工智能、虚拟仿真、万物互联为代表的新一代信息技术不断催生着新的信息系统应用形态。新技术新应用的发展,对信息系统安全保密工作而言都是一把双刃剑,他们既会对原有安全保密防护体系形成巨大冲击,也会推进信息系统安全保密防护理念、技术措施、管理体系的推陈出新,促进信息系统安全保密管理不断迭代升级[3]。随着区块链技术的出现,尽管我们已经朝着这个未来主义的愿景迈近了很多步,但还远远无法达到理想的目标。以下简单地列出了一些关键的局限性:
1、缺少专门为物联网设备开发的主流区块链网络(注意:截至本文撰稿时间,还没有任何区块链系统称得上是「主流的」);
2、设备制造商尚未将加密密钥嵌入到所有硬件中,也没有把与区块链的兼容性确立为一个通用标准;
3、用于保证隐私保护算法的软件加密方法效率极低且不切实际 [1],而硬件解决方案则需要建立在对制造商和整个制造供应链完全信任的基础上。因此止数据盗版很难被防止;
4、人工智能还不够精密,无法在设备中实现这种高度自主的决策行为;
5、为了进一步消除链上交易风险,还需要确立相应的法律手段,但是只有有限的国家和地区 [2] 才承认链上智能合约具有和链下合约同等的法律约束力。
但即使存在这些局限性,区块链依旧具有提供广泛增值应用的潜力,能够解决物联网面临的许多技术。首先,让我们更深入地了解区块链技术当前的进展,以及我们可以做些什么来改善现有技术水平。
为物联网设备开发的区块链网络
考虑到区块链和物联网之间的所有协同作用,一个能够完美适配物联网需求的区块链网络会具备哪些特征?尽管许多区块链技术在本质上都是基础性的,并不会明显侧重于特定应用,但在公共分类帐层面,有许多设计和优化选择能够反映设计者在开发过程中考虑到的应用堆栈。
物联网设备的特征及其对区块链网络设计的影响
在谈及物联网,特别是将其与现有区块链网络上运行的节点做对比时,我们需要明确一点:目前所有的区块链网络,都依赖于功能强大且始终联网的服务器来执行所有记录保存和共识任务。当下显而易见的是,我们所认为的大多数「物联网」设备,或者更小的,有时是移动的联网设备,其受限且独有的特征并不适合上述情况。
「IoT」一词基本上被用于指代任何连入互联网的设备,我们可以对这些设备的特征做一些总结性的陈述:
大规模:[3] 据一些统计显示,物联网设备的数量已经超过了世界人口,并将继续以更快的速度增长;
有限的算力:[4] 即使是与普通笔记本电脑的处理能力相比,物联网设备的算力在量级上往往也排不上号;
有限的存储空间:大多数物联网设备的初衷并不是在本地存储信息,而是单纯的信息中继(例如上传到云端),因此其存储空间非常有限;
有限的带宽和网络连接性:许多物联网设备在没有可靠网络连接的野外环境运行,联网成本高昂(例如,树林深处的卫星网络);
能耗限制:许多物联网设备使用电池或通过能量采集机制运行,这严重限制了其能耗。
那么想要设计最适合物联网设备的区块链网络,需要满足哪些关键指标?
1、网络需具备可扩展性:考虑到可能有数十亿个设备连接到任何特定的区块链网络,该网络必须能够扩展其处理交易和请求的能力。
2、网络需支持通用资产的发现和交易:物联网设备上有许多可交易的数字资产和资源(例如数据),其中不仅仅是货币。因此还需要发现这些资产的途径。
3、网络需支持选择性存储:考虑到物联网设备的所有局限性,它们将只能参与网络的一个小的子集,并且必须仔细甄选每个设备所存储和处理的内容。
4、网络不能仅仅依靠「工作」来维持安全性:网络安全不能单纯基于解决复杂的密码难题,这会使物联网设备难以执行区块链事务。
5、网络需支持去信任的轻节点:目前的物联网设备并不足以支持全节点的 *** 作,但仍需要保持其在区块链网络上的独立性,因此在物联网设备上运行的「轻」节点不能太过天真(即盲目地信任另一个全节点),并且应该具备某种方法能够验证网络状态和状态转换。
6、网络需支持点对点交易:IoT 设备之间的许多事务都是高度本地化的,即设备彼此相邻,不可能每次都去等待全网验证造成的延时。
综上,即便目前区块链与物联网的结合还存在许多局限性,在满足上述关键指标的基础上,就能够设计出最适合物联网设备的区块链网络,从更好地赋能物联网生态。物联网的日益普及给人们带来了诸多便利,但随着大量的物联网应用落地随之也带来了很多安全风险。
提起物联网设备,我们就能想到智能化,智慧城市,智慧家居,智慧医疗,智慧养殖等等,都给生活带来了便利,但是物联网设备也有一个极其引人担心的一个问题,就是安全问题。当一切都智能后,伴随的危机风险将更大。安全漏洞一旦遭受到恶意攻击,会引发严重问题,导致一系列设备都罢工宕机。
物联网安全与之紧密联系的就是物联网设备的支出和回报问题,这是个永恒的议题。
使用物联网设备带来的优势是不言而喻的,它在无形中简化了很多业务以及人工成本,从采集数据到数据分析再到价值挖掘和提高运营效率,作用是巨大的。但是同时也存在着风险,就是物联网的安全漏洞,对于很多企业来说,使用物联网设备都有一定的担忧,也造成了物联网应用落地化并没有特别快速的普及。
出现这种冷热交替化的情况原因就很简单了,企业一方面想要拥抱物联网,走上风口,另一方面就是新的东西出来,就总不是那么成熟,有一些时间需要走,物联网攻击事件也有爆出。其实只要有了安全意识,做长期的潜在回报准备,在物联网实施过程中,从一开始就应该注重安全性,并将其作为规划布局中的关键任务之一。从初始阶段就在系统中加入安全设计,比在开发周期接近尾声时或者在漏洞已经出现或公开之后再采取措施,更加经济有效。
此外,物联网安全,挑战无处不在物联网的迅速增长和商用普及,导致物联网市场出现碎片化困局,缺乏明确、统一的标准。而定义物联网设备的标准和架构,要通过数十项持续、不同的举措来进行,企业自然会疲于应对眼前出现的挑战。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)