一、移動互聯(lián)網(wǎng)安全漏洞百出

目前iOS和安卓系統(tǒng)占據(jù)移動互聯(lián)網(wǎng)操作系統(tǒng)90%以上的份額。iOS目前面臨最大的安全風險來自于iOS系統(tǒng)漏洞。據(jù)國家信息安全漏洞庫(CNNVD)數(shù)據(jù)統(tǒng)計，截至2017年11月30日，iOS系統(tǒng)共收錄了624個系統(tǒng)漏洞，其中2017年115個，信息泄露和權限許可訪問控制為漏洞最多的類型。

安卓系統(tǒng)面臨的情況同樣不容樂觀，據(jù)CNNVD數(shù)據(jù)統(tǒng)計，截至2017年11月30日，安卓系統(tǒng)共收錄了1082個系統(tǒng)漏洞，其中2017年540個，權限許可訪問控制和信息泄露同樣為漏洞最多的類型。

移動互聯(lián)網(wǎng)通信安全不容忽視

實例表明，移動通信網(wǎng)絡已是最易受攻擊的系統(tǒng)之一。4G網(wǎng)絡安全問題的首要特點是網(wǎng)絡規(guī)模不斷擴大;其二是高新通訊技術的應用，使安全隱患增加;其三是多樣化，移動通訊設備和計算機是應用4G網(wǎng)絡最廣泛最頻繁的終端設備，隨著二者的無線移動，由于自身的儲存力減弱，病毒、木馬、惡意代碼便會不經(jīng)意地傳入無線應用當中，從而入侵終端設備。

2017年移動互聯(lián)網(wǎng)安全主要安全事件集中在隱私竊取、網(wǎng)絡詐騙尤其是金融詐騙、網(wǎng)絡謠言方面，其他還有網(wǎng)絡色情、暴力、賭博、販毒、殺人，甚至器官販賣、恐怖主義、跨國犯罪等。

2018年趨勢預測及對策建議

2018年，移動互聯(lián)網(wǎng)與新技術深度融合，可能成為新藍海。隨著移動帶寬技術的迅速提升，更多的傳感設備、移動終端隨時隨地接入網(wǎng)絡，加之云計算、物聯(lián)網(wǎng)、AI、區(qū)塊鏈等技術的帶動，移動互聯(lián)網(wǎng)也逐漸步入大數(shù)據(jù)和智能化時代。

2018年，預計會出現(xiàn)針對移動設備的更高端的APT惡意軟件。銀行木馬和移動勒索軟件將成為移動系統(tǒng)的主要威脅，且安卓手機操作系統(tǒng)將成為網(wǎng)絡犯罪分子的優(yōu)選目標。2018年移動互聯(lián)網(wǎng)安全建議從以下四方面加強：重頂層設計，加強移動互聯(lián)網(wǎng)安全法律法規(guī)、標準體系建設;提升移動互聯(lián)網(wǎng)安全技術水平，加強安全防護和保障能力建設;拓展國際合作空間，積極參與全球移動互聯(lián)網(wǎng)治理;加強移動互聯(lián)網(wǎng)海量應用軟件風險管控，增強網(wǎng)絡管理能力。

二、物聯(lián)網(wǎng)：保障體系發(fā)展滯后于產(chǎn)業(yè)發(fā)展

物聯(lián)網(wǎng)信息安全總體形勢不容樂觀

2017年，針對物聯(lián)網(wǎng)的攻擊數(shù)量不斷增長，攻擊范圍和規(guī)模逐步擴大。物聯(lián)網(wǎng)安全事件頻繁發(fā)生，安全事件所涉及的行業(yè)領域較之前明顯增多。

物聯(lián)網(wǎng)終端設備的安全漏洞呈現(xiàn)快速增長的趨勢，成為制約物聯(lián)網(wǎng)發(fā)展的關鍵問題之一。據(jù)CNNVD數(shù)據(jù)統(tǒng)計，2017年度物聯(lián)網(wǎng)漏洞數(shù)量達637個，較2016年增長了56%。受影響設備類型呈多樣化特點，不僅包括傳統(tǒng)的物聯(lián)網(wǎng)終端，智能鎖、投影儀、玩具等新型物聯(lián)網(wǎng)設備的安全漏洞也日漸凸顯。

2017年物聯(lián)網(wǎng)終端設備主要包括以下類型的安全漏洞：授權問題、命令注入、操作系統(tǒng)命令注入、路徑遍歷、資源管理錯誤、信任管理、跨站請求偽造、輸入驗證、跨站腳本、權限許可和訪問控制、信息泄露、緩沖區(qū)溢出等13種漏洞類型，占漏洞總數(shù)的75%。

物聯(lián)網(wǎng)逐漸成為攻擊者的主要攻擊目標

物聯(lián)網(wǎng)安全保障體系的發(fā)展滯后于物聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，越來越多的攻擊者將攻擊目標轉向了物聯(lián)網(wǎng)。自2015年開始，在各類世界頂級的黑帽大會和黑客大會上，智能家電、智能門鎖、智能監(jiān)控、智能網(wǎng)聯(lián)汽車、機器人等物聯(lián)網(wǎng)智能終端頻繁被曝出安全漏洞，部分物聯(lián)網(wǎng)設備開發(fā)廠商的安全研發(fā)能力和研發(fā)水平不高，研發(fā)人員的安全研發(fā)的意識不夠，導致物聯(lián)網(wǎng)設備存在諸多安全隱患，安全漏洞種類繁多、易于攻破。海量物聯(lián)網(wǎng)終端的部署，隨之產(chǎn)生的大量用戶數(shù)據(jù)價值在不斷增加，這些數(shù)據(jù)將在云端進行處理和存儲，如何保障物聯(lián)網(wǎng)系統(tǒng)中云端存儲數(shù)據(jù)的隱私也是物聯(lián)網(wǎng)系統(tǒng)安全保障的重要任務之一。

物聯(lián)網(wǎng)的體系結構復雜、物聯(lián)網(wǎng)網(wǎng)絡、應用、終端等種類的多樣化使得物聯(lián)網(wǎng)的攻擊面不斷擴大，攻擊形式多樣化，造成的危害范圍更廣。同時，物聯(lián)網(wǎng)終端設備的海量規(guī)模導致攻擊者的攻擊效應規(guī)模放大。隨著人工智能技術的發(fā)展，物聯(lián)網(wǎng)終端設備呈現(xiàn)智能化趨勢，但這也會導致攻擊的效果放大。物聯(lián)網(wǎng)全產(chǎn)業(yè)鏈的多領域性導致安全體系建設面臨較大困難，物聯(lián)網(wǎng)產(chǎn)業(yè)鏈上的每一個環(huán)節(jié)都有自身的信息安全體系，因而針對物聯(lián)網(wǎng)應用重新制定安全體系的建設需要每一個環(huán)節(jié)的調整和磨合。

2018年趨勢預測及對策建議

2018年，利用僵尸網(wǎng)絡對物聯(lián)網(wǎng)實施的網(wǎng)絡攻擊將愈演愈烈;勒索軟件等惡意軟件對物聯(lián)網(wǎng)的危害將逐步顯現(xiàn);物聯(lián)網(wǎng)骨干網(wǎng)和接入網(wǎng)新協(xié)議的安全性可能成為新的失效點;物聯(lián)網(wǎng)隱私泄露將導致“黑產(chǎn)”更加泛濫。

為保障物聯(lián)網(wǎng)產(chǎn)業(yè)健康穩(wěn)定發(fā)展，我國應持續(xù)推進物聯(lián)網(wǎng)安全工作，從政府、企業(yè)、科研、教育部門，以及用戶角度多方協(xié)同并進，加速建成物聯(lián)網(wǎng)安全保障體系。為此，要做到監(jiān)管落實物聯(lián)網(wǎng)安全方案，加快推進物聯(lián)網(wǎng)安全標準制定;物聯(lián)網(wǎng)廠商增強生產(chǎn)安全意識，協(xié)同保障產(chǎn)業(yè)鏈安全環(huán)節(jié);行業(yè)加快建立可信第三方認證機制;加大物聯(lián)網(wǎng)安全課題投入，加速培養(yǎng)物聯(lián)網(wǎng)安全人才;最后要培養(yǎng)公民信息安全意識，鼓勵用戶規(guī)范設備使用。

三、大數(shù)據(jù)：核心技術安全可控是重要風險

我國大數(shù)據(jù)發(fā)展過程中存在的安全問題與風險

首先是國家層面制定體系化的大數(shù)據(jù)法規(guī)建設規(guī)劃和實施計劃規(guī)劃不足，傳統(tǒng)的個人信息保護法面臨新的挑戰(zhàn)，個人權益難以保障。

二是大數(shù)據(jù)產(chǎn)業(yè)生態(tài)逐步細分，以數(shù)據(jù)價值為核心，對大數(shù)據(jù)產(chǎn)業(yè)生態(tài)中的基礎支撐層、融合應用層、數(shù)據(jù)服務層等三層從數(shù)據(jù)流的角度進一步細分為數(shù)據(jù)采集商、大數(shù)據(jù)分析商、技術平臺商、數(shù)據(jù)交易商和監(jiān)管機構等，各角色在開展業(yè)務過程中都存在安全風險。

三是核心技術仍基于開源產(chǎn)品或和國外廠商合作，難以安全可控，安全風險持續(xù)聚集。

四是數(shù)據(jù)安全已成為關注焦點，內(nèi)部威脅導致數(shù)據(jù)泄露形勢嚴重，大數(shù)據(jù)系統(tǒng)成為新的勒索目標，個人信息被過度采集和分析，安全形勢日趨嚴峻。五是數(shù)據(jù)開放和共享受“權利屬性”、“財富屬性”、數(shù)據(jù)確權缺失等多重制約，阻礙戰(zhàn)略實施落地。

同時，大數(shù)據(jù)雙面效應持續(xù)彰顯，既保安全又有風險。大數(shù)據(jù)技術已廣泛應用于網(wǎng)絡安全、公眾安全等跟人民生命密切相關的行業(yè)，取得了良好的效果。但是，敵對勢力和攻擊者也能利用大數(shù)據(jù)技術逃避網(wǎng)絡防護機制、竊取保密信息等。

2018年趨勢預測及對策建議

目前，我國重點行業(yè)和領域基本上是使用開源產(chǎn)品和基于開源產(chǎn)品進行二次封裝后的產(chǎn)品，技術核心都是國外產(chǎn)品，因此，基于大數(shù)據(jù)核心技術不能安全可控而持續(xù)聚集的安全風險將是我國大數(shù)據(jù)安全發(fā)展面臨的重大安全風險之一。其次，數(shù)據(jù)被勒索、竊取和丟失等風險持續(xù)增加，數(shù)據(jù)安全形勢將更加嚴峻。再次，人工智能應用快速發(fā)展，帶來新的技術挑戰(zhàn)。最后，我國跟數(shù)據(jù)相關的權利人的權利和義務不確定，缺乏法律依據(jù)，難以保障相關方的權利，將制約我國數(shù)據(jù)開放共享的順利開展。

為此，提出四方面對策：摸清安全現(xiàn)狀，做到“心中有底、手中有招”;完善政策法規(guī)，做到“科學立法、嚴格執(zhí)法”;研發(fā)核心技術，做到“自主創(chuàng)新、安全可控”;創(chuàng)新人才機制，積極培育大數(shù)據(jù)技術和應用創(chuàng)新型人才，做到“體制新穎、人才濟濟”。

四、區(qū)塊鏈：技術尚未成熟 新型風險顯現(xiàn)

區(qū)塊鏈技術金融先行

近年來，區(qū)塊鏈技術得到了廣泛的關注和認可，其具備去中心化、可追溯、不可篡改和可編程等特性。當前基于區(qū)塊鏈技術的大部分業(yè)務應用系統(tǒng)尚處于開發(fā)、驗證和實驗測試階段，預計未來幾年將如雨后春筍般涌現(xiàn)。目前，區(qū)塊鏈技術正吸引著金融、證券、保險等領域以及供應鏈、知識產(chǎn)權保護、合同存證、審計、捐款追蹤、積分管理等應用場景的廣泛關注，已在多個行業(yè)或組織內(nèi)容開展研發(fā)測試，甚至已上線運行，特別是金融行業(yè)。其他行業(yè)包括證券、保險、供應鏈(物流)等也有相關研發(fā)實例。

2018趨勢分析和建議

區(qū)塊鏈作為新興技術正在同傳統(tǒng)技術發(fā)生強烈碰撞階段，試圖顛覆傳統(tǒng)的網(wǎng)絡信任基礎。網(wǎng)絡空間公有鏈(數(shù)字貨幣等)區(qū)塊鏈系統(tǒng)正受到各國政府和監(jiān)管機構的強烈關注，其已經(jīng)對國家安全，特別是金融安全、公共安全等層面構成實質性的威脅。隨著區(qū)塊鏈技術的發(fā)展，預計不久其安全風險問題將不斷爆出。

區(qū)塊鏈存在的主要安全風險有：國外公有區(qū)塊鏈系統(tǒng)及其外圍應用對我國金融安全存在一定影響，應持續(xù)關注其對我金融安全的隱患分析和排查。此外，區(qū)塊鏈外圍應用很多均不是去中心化的，應避免誤解造成使用或操作風險，排除誤認識帶來的隱患，例如礦池或礦場組織、數(shù)字貨幣的交易所、在線錢包等。

區(qū)塊鏈技術涉及多種密碼算法，對密碼學技術的依賴程度非常高。密碼學算法對相于區(qū)塊鏈的作用的重要性就像是CPU、操作系統(tǒng)對于計算機。如果設計的密碼算法本身存在漏洞或后門，對區(qū)塊鏈系統(tǒng)將是致命的，潛在風險巨大，影響不可估量。此外，數(shù)字資產(chǎn)或價值的安全存儲存在隱患。為了安全應用區(qū)塊鏈技術，提供安全的便利的密鑰保護機制至關重要。

針對上述情況分析，我們提出以下對策和建議：應加強對公有區(qū)塊鏈的監(jiān)管和監(jiān)測，包括公有鏈外圍挖礦、交易所等的監(jiān)管和監(jiān)測，跟蹤社區(qū)動態(tài)、安全事件情況等，及時處置;開展區(qū)塊鏈技術安全風險評估評測，及時掌握區(qū)塊鏈安全機制和安全動態(tài)，為制定相關政策指導提供依據(jù);加大區(qū)塊鏈特別是數(shù)字貨幣等的風險教育和宣傳，提高風險安全意識。