在日前召开的“第七届互联网安全大会”上,工信部网络安全管理局副局长杨宇燕表示,网络安全已经扩展到物理空间,安全边界发生巨大的变化。这其中,数据应用安全的表现最为突出,数以亿计的用户时刻面临安全危机。与此同时,随着5G进程加速,这一风险还将加剧。


为了阻止数据应用安全“潘多拉魔盒”的进一步打开,中国移动练就一身硬功夫——“功守道”,在打造坚固的安全堡垒同时,还主动出击推出一体的立体化安全管控体系。



01 数据应用安全的“潘多拉魔盒”


今年央视“3·15”晚会曝光了“社保掌上通”APP违规违法收集个人信息现象。主持人通过“社保掌上通”现场查询个人社保信息,用户信息就被同步发送至一家大数据公司的服务器中。


实际上,在我们的日常生活中,类似“社保掌上通”一样的APP在应用市场还有很多,踩雷的用户更是数以亿计。


日前,腾讯安全科恩实验室发布的《2018年安卓应用安全白皮书》披露,超98%的安卓应用存有不同类型的安全风险。形式严峻的是,白皮书还指出,超80%的移动应用皆存有隐式Intent信息泄漏风险,利用这些已深度侵入到安卓应用内的漏洞,攻击者即可实现对用户信息的绑架、资费的恶意扣取与消耗等,甚至引发高达亿级的应用安全危机。


不需要用户同意就自行收集个人信息、无法提供注销账号的途径、注销账号后个人信息的及时删除或匿名化处理不明确……门类众多的APP虽为用户带来便利,但却不断暴露违法收集、使用、处置用户信息的问题。


这引发业界的思考,数据应用究竟是否给用户带来便利,还是在为黑产业打开“潘多拉魔盒”?



绿盟科技2018年处理的安全事件中,勒索软件、挖矿和入侵类事件占比最高,分别为20%、17%和15%。黑客是否发起攻击很大程度上取决于攻击成本和获利多少。勒索病毒和虚拟货币 “黄金搭档”这一模式,在目前来看成本低,收益高且风险低;在未来一段时间还会持续,但热度会有所下降,直到攻击者找到更好利益变现手段或者攻击成本高于所获利益。


业内专家表示,“2018年是相对平静的一年,如MS17-010等核弹级漏洞带来的阴影正渐渐淡去,但在这平静的表面下,黑色产业链也在默默壮大。而且少了中间商赚差价,黑客可以快捷攫取高额的非法收入。“


去年,阿里巴巴发布的《2018网络黑灰产治理研究报告》也印证了这一趋势。报告披露,恶意账号中83%是通过“黑卡”注册生产的,这些账号主要分布于网络打车、互联网金融、网络游戏等平台,已经日益成为黑灰产线上线下打通犯罪的关键环节。


可以说,打击网络黑产链成为当下监管部门和网络平台面临相当大的治理难题。针对网络数据安全这一问题,工信部日前印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称方案),明确提出深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动,今年10月底前将完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。


一场关于数据应用安全的战役正式打响。


02 5G杀手应用在「安全」


实际上,这场数据应用安全战役的战役的内涵并不止于此。


今年6月份,工信部正式发放5G牌照,相关产业进程明显提速。由于5G具备高带宽、低时延、广覆盖的三大特性,能解决基本上所有的连接问题,万物皆互联。人们只需要控制智能手机等移动终端即可实现与之相连的智能开关、家用电器、汽车等。


这也意味着5G时代,数据应用安全会面临更大的安全风险。


此外,5G作为一项可以改变游戏规则的技术,2B行业应用被寄予更多预期。然而目前行业应用还处于摸索、起步和试点阶段,杀手级应用似乎并未出现。就在大家急于寻找出口的时候,某厂商的一句话如同醍醐灌顶,“其实大家寻找的5G杀手级应用就在眼前——信息安全。”



最新研究预测,到2024年,5G将覆盖全球40%的人口覆盖率和15亿用户,使其成为有史以来在全球范围内推出的最快移动一代。然而,正如历史一次又一次地告诉我们的那样,任何快速增长的技术创新都会带来新的网络安全风险。


随着数十亿设备连接到互联网,用户面临着网络攻击,数据隐私泄露、攻击的风险增加。如果数据应用安全没有获得正确的担保,那么就有可能破坏对新一代互联设备的信任以及智能城市和智能行业的概念。


所以说,工信部开展的App数据安全检查意义深远,它是5G信息安全的前哨战,必将为5G的数据应用安全扫平障碍。


据了解,《方案》旨在通过开展数据安全合规性评估、专项治理和监督检查,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患。


此外,工信部引导鼓励第三方机构开展App数据安全管理认证,探索推动应用商店等明确标识并优先推荐通过认证的App。并针对物联网、车联网、卫星互联网、人工智能等新技术新应用带来的重大互联网数据安全问题,及时开展行业评估和跨部门联合评估工作。


03 中国移动的“功守道”


网络安全攻防技术是一把“双刃剑”,新的攻击技术会来带新的威胁,新的威胁也会促进防御手段的更新换代。在这场安全的攻防战中,运营商承担的责任最大。


一直以来运营商作为网络设施的建设、运营和维护单位,在网络层面承担了基础和关键性的角色,这一特点使得运营商行业备受黑客关注。中国移动专家坦言,在运营商做网络安全,更多的从“防”的角度入手,“攻”只要找到一个点,而“防”是任何一个点都不能出纰漏。


为了保护用户及企业的数据应用安全,中国移动更是练就了独家绝活“功守道”。



在“守”的方面,中国移动斥资千万,逐步从“技术、保障、生态、治理、服务”等多个维度打造出一个坚固的安全堡垒,并且为到2020年建成可管理的网络安全体系持续发力。


资料显示,中国移动在集团和31个省级公司都已经设立了网络安全专职部门,构建了覆盖“风险、资产、人员”的立体化互联网暴露面资产闭环管理机制。


另据中国移动相关负责人透露,目前中国移动成立了中国移动(洛阳)信息安全运营中心,配备近600名专业人员,开展集中发现、集中研判、集中处置,这也是目前我国运营商中规模最大的信息安全集中运营团队。


在“攻”的方面,针对数据应用发生泄漏的后向安全事件,中国移动主动出击,自主打造了涵盖垃圾短信拨测验证、不良网站拨测、安全漏洞检测、安全合规管理、安全监控预警等多方面的创新系统,逐步形成了一整套集“监控、防护、溯源”于一体的立体化安全管控体系。


值得一提的是,由于5G网络不只是一种网络连接,更多的是面向产业和用户的服务。在这样的服务过程中,中国移动希望把安全打造成5G的核心能力之一。这个能力为自己所用,也开放给各行各业。在这个过程中,中国移动希望和产业的合作伙伴们一起来推进5G安全,最终真正去为5G的创新应用保驾护航,实现5G+的融合生态。


04 写在最后


凡事都有两面性,这在数据应用安全领域表现的最为突出。人们在享受数据应用带来的便利同时,却又不得不直面信息安全的拷问。为了保护用户及企业的数据应用安全,中国移动练就了独家绝活“功守道”。在“守”的方面,中国移动斥资千万打造出一个坚固的安全堡垒;“攻”的方面,主动出击推出一体的立体化安全管控体系。


不难预见,在一波又一波的攻防对抗中,中国移动必将寻找到关上数据应用安全的“潘多拉魔盒”最佳方式,为5G的创新应用保驾护航。

*专家文章为作者独立观点,不代表移动Labs立场. 转载此文章须经作者同意,并请附上出处(移动Labs)及本页链接。

0