新网络条件下的数据安全新问题

李 雄 郝晓伟 刘传相

1 国家计算机网络应急技术处理协调中心 北京 100029

2 国家计算机网络应急技术处理协调中心重庆分中心 重庆 401121

引言

近年来，互联网的应用领域快速扩展，改变和重新定义了许多传统领域与行业[1]。例如，以淘宝为代表的电子商务重新定义了零售业，以余额宝为代表的互联网金融改变了金融业，小米改变了产品从设计到销售的模式。这些变革的背后，移动互联网[2-3]、大数据[4-5]等应用和技术扮演了重要角色。例如，目前手机支付宝的支付量高达支付宝总量的一半；电商产品推荐与供需链的核心是大数据技术。

同时，随着可穿戴设备的兴起、工业与互联网的结合，智慧城市从设想成为现实、物联网的广阔前景渐渐显露[3,6]。以物联网为基础的工业4.0[7]开始从德国向欧洲和中国蔓延。可以预见，在工业4.0中，将用户需求、生产计划、柔性制造、物流配送与用户反馈结合的物联网将成为下一个庞大的领域，并引导新的工业革命。

在互联网应用繁荣的背后，其基础的网络连接方式也在悄然发生变化。这些变化可能对互联网产生根本性的影响。目前，最具潜力的是“无网连接”[8]和谷歌热气球无线网络[9]。这些新的网络连接方式可能改变信息传递的方式。

在新网络连接、移动互联网、物联网、大数据等网络条件下，数据的产生、传输、存储和利用方式发生了巨大变化。在这些技术进一步数字化这个世界的同时，数据的安全开始面临新问题。本文将从新型网络连接、移动互联网、大数据等角度对可能出现的数据安全新问题进行探讨。

1 移动互联网的数据安全问题

移动互联网是移动通信和互联网的二次革命。移动互联网的安全隐患通过海量的终端和应用等因素被放大，导致数据泄露等严重后果。特别是在4G网络条件下，高速带宽催生很多新的应用，使得移动互联网成为数据泄露的重灾区。

1.1 移动互联网数据产生安全问题的主要原因

移动互联网数据安全威胁主要有三方面的原因。一是传统互联网基于开放式架构，存在诸多的安全问题；移动互联网不仅带入了传统互联网的安全问题，更由于接入方式与应用的多样化而加重。二是移动互联中终端与用户及其身份绑定较强，衍生了基于位置和身份的各种服务，如移动支付、移动电子商务都是易受攻击的领域。三是移动终端包含大量个人信息和其它重要信息，容易引起攻击者的注意。且移动终端受制于计算能力，防范手段较弱。

1.2 移动互联网数据泄露的类型

1) 个人隐私数据泄露。移动互联网的广泛运用使得越来越多的个人隐私与网络联接，例如账号密码、通讯录和照片等，隐私数据泄露的风险大大增加。2014年9月，苹果公司iCloud云存储平台接连两次发生艳照泄露事件，引起用户对移动终端数据安全的恐慌。

据Android手机隐私安全报告[10]显示，92.8%的安卓手机用户在手机中存放隐私信息，智能手机已成为隐私最多的设备。多数安卓应用需要获取隐私权限才能正常使用。通过对1 200个应用检测发现[10]，92%的安卓应用获取了隐私权限，具体分布如图1所示。

图1 手机应用获取隐私权限数量的分布

隐私权限按应用类型的分布如表1所示。设备信息、用户位置和Wi-Fi位居隐私权限前三[10]。越来越多的个人隐私从手机外泄，隐私安全日益成为严重的问题。

表1 各类安卓应用所获取的权限类型

2) 企业单位数据泄露。网络安全公司Webroot的调查结果显示[11]：超过40%的员工会使用移动设备办公，其中有大约75%的员工使用的是自己的设备，95%的企业担心安全风险，此外还有近40%的IT部门对这些设备没有信心。智能移动终端可通过各类网络接入内部网络访问和获取数据资源，网络数据传输通道安全保护较弱，存在数据窃听等隐患。此外，当设备丢失时，设备中的涉密信息也很容易被获取。如何防止内部数据泄露已成为智能移动终端应用的巨大挑战。3) 国家安全相关数据泄露。目前，移动智能终端的安全防护能力较弱，并且主流操作系统由谷歌、苹果等国外企业掌控，数据安全面临风险。例如，苹果公司的iOS系统具有数据同步上传及位置定位功能，可将用户终端的通讯录、邮件、即时通信内容等通过移动网络实时上传到国外服务器。企业可通过分析这些数据获知我国的社情民意、用户身份、用户社交关系等，对国家安全构成威胁。另外，智能移动终端具有摄像、录音和拍照等数据采集能力，通过4G等高速移动网络可实现即时传输，泄密一旦发生就难以挽回[2]。

1.3 基于微博数据的统计分析

为了支持上述分析，本文通过自主研发的数据采集和分析系统对新浪、腾讯、搜狐和Twitter数据进行了统计分析。数据为2015年1月7日至14日，境内三大微博的全量数据和Twitter的中文用户数据。具体通过检索关键词“移动互联网数据安全”相关信息，并从通道、地域、参与者、子话题等角度对相关信息进行分析。图2和图3为话题按通道和参与者的分布情况。分析发现：1)移动互联网的数据安全问题是用户关注热点；2)各地用户均关注该问题，但经济发达地区关注度更高；3)从话题参与者角度，电信客服、新浪科技等技术机构积极参与移动互联网安全问题的讨论，平安北京、首都网警等安全相关部门也非常关注移动互联网安全；4)话题包括安全事件、发展趋势、防护措施等多个方面。这些结果表明，移动互联网安全问题已引起各地、机构和用户的广泛关注，且关注具有相当的深度。

图2 参与“移动互联网数据安全”话题的微博分布

图3 参与“移动互联网数据安全”话题的主要微博用户

2 大数据环境下的数据安全问题

大数据平台承载了来自于个人计算机、移动智能终端、可穿戴设备、智能家居设备及智能汽车等数据资源。正成为黑客组织和各类敌对势力网络攻击的重要目标。随着电子商务、社交网络、物联网、云计算以及移动互联网的广泛应用，我国数据资源正在呈现爆发性增长[4]。但由于对数据的保护不足，数据泄露在互联网上的现象十分普遍。2011年，国内最大程序员网站CSDN的600万个人信息和密码被公开；2013年，中国人寿80万客户的保单被泄露；2014年，黑客从快递公司网站窃取1 400余万条用户数据并在网上售卖；小米、360和携程等相继发生用户数据泄露事件。这些事件表明，大数据时代的数据安全面临前所未有的挑战[12]。此外，企业数据通常与大数据分析系统对接，以充分发掘其商业价值。一些企业的内部工作人员将大量个人信息非法窃取并打包出售给信息中介机构和个人，企业信息挖掘成为大数据时代不法分子获取高额利益的利器[5,13]。

大数据技术在改变企业和政府工作模式的同时，也在侵蚀个人数据的安全边界。以前，只有持有公权力的政府机构才能掌握大量个人数据，现在，许多企业也能拥有海量数据，甚至在某些方面超过政府机构。例如，微信的用户数已超过4亿，只要用户使用各类互联网应用，就不得不将个人数据转移给服务商。在这种条件下，传统的线下数据保护方式难以奏效。用户在微博等社交平台发布信息、关注好友、发表评论时，或在电商平台进行购物时，都存在泄露个人信息的可能。大量数据的汇集加大了用户隐私泄露的风险，甚至上升到人身安全的层面。同时，一些敏感数据的所有权和使用权并没有明确界定，目前很多基于大数据的分析都未考虑涉及的个人隐私问题[12]。

本节利用自主开发的数据采集和分析系统对新浪、腾讯、网易和Twitter数据进行统计分析。通过检索关键词“大数据安全”相关信息，并从通道、地域、参与者(如图4)、话题角度对信息进行分析。分析发现：1)大数据安全问题各地用户均关注，沿海和中部地区关注度更高；2)IT科技学等技术机构、法制日报等法律机构、Lenovo乐基金等投资机构均关注大数据安全问题；3)子话题包括大数据安全技术、应用与安全、发展前景等多个方面。结果表明，大数据安全已在多个领域产生影响，并引起了社会多方面的关注。

图4 参与“大数据安全”话题的主要微博用户

3 新型网络连接的数据安全风险

互联网正在往“连接一切”的方向发展，这已经成为谷歌、腾讯等互联网巨头的目标。“连接一切”意味着连接全世界所有地区、人和设备。这里主要讨论谷歌热气球无线连接、无网络连接和物联网这三类新连接的数据安全问题。

3.1 谷歌热气球无线网络

地面互联网连接成本低但依赖光纤等基础设施，难以到达人口稀少和地理条件复杂的地区。卫星通讯覆盖面大但成本极高。针对这些问题，谷歌2013年启动了“Project Loon”项目[9]，通过热气球为地面提供Wi-Fi无线连接，目前已进入测试阶段。当前，单颗热气球的最长续航时间已达134天，覆盖面积相当于10个移动基站，可提供10M每秒的无线网络，能适应复杂天气与温度，并按轨道准确飞行。

然而，热气球由谷歌公司所控制，在提供无线网络的同时还是强大的数据采集设备。谷歌作为高空网络运营商，理论上可获得用户传输的所有数据，包括接入网络的个人隐私、传感器数据。这将给数据安全甚至国家安全带来新的隐患。虽然谷歌气球的Wi-Fi还没有进入中国，但其潜在的影响不难通过Wi-Fi安全来说明。Wi-Fi已成为隐私数据泄露的重要途径，新浪微博关于“Wi-Fi隐私泄露”的讨论热度可证实这一点。2013年共有相关信息29.28万条。2014年，在微博被分流的情况下，相关信息总数达到42.1万条，同比增加43%。如图5所示，Wi-Fi隐私泄露已由技术问题转化为公共安全问题，引起了许多公安机关的关注。

图5 参与“Wi-Fi信息泄露”话题的主要微博用户

3.2 无网连接与通讯

目前，几乎所有的网络应用都需要接入互联网。在网络中断的情况下或者没有互联网覆盖的地区，所有的网络应用都将失效。“无网络连接”的组网方式针对这些情形而出现。即时通讯Firechat开创了这种新的网络连接模式[8]，智能终端通过Wi-Fi或蓝牙将相邻的设备连接成网络，实现终端之间的桥接与通讯。这种方式在因灾难而导致通讯中断时特别有效。目前Firechat在智利、以色列、瑞士、澳大利亚、比利时等国家位居移动社交应用的前列。

不同于传统的互联网，这类网络没有固定的路由与中继设备，网络结构动态生成。这种情形给数据安全带来了全新的问题。首先，数据的通讯方式完全由组网的应用来定义，数据安全缺少通讯机制上的保证。其次，在出现数据安全问题后，由于通讯记录的缺失，难以进行追踪与溯源。再次，这类网络与互联网完全独立，现有的网络安全技术与设施都面临失效。Firechat等应用在国内的普及速度也非常快。对新浪微博进行统计发现，2014年前半年关于Firechat的信息数仅6.2万条，而2014年下半年快速增加至9.1万条，增长了47%。

3.3 物联网

物联网中的智能设备都可随时获取数据并通过网络传输，物联网自身的特性是造成数据安全风险的重要原因。1)物联网建立在互联网的基础上，互联网具有的安全问题物联网同样具有。2)物联网将网络拓展到现实的物品当中，导致网络的构成非常复杂，进而导致难以确定网络环节是否被攻击者控制。3)物联网通常采用无线组网来保证终端的移动性，但由于无线信道的开放性，攻击者只要在无线路由器或中继器的范围内就可能进入网络。并且无线网络终端的加密和防护能力较弱，而通过智能手机和手持设备发起攻击的技术在不断完善[3]，导致数据泄露面临更严峻的威胁。4)物联网终端通常是小型传感器或智能终端，其存储和处理能力较低，无法使用对存储、计算和功耗要求较高的安全措施[14]。

物联网中的设备均具有一定的感知、计算和执行能力，连接的设备类型比互联网更多，获取和传输的信息也更多。例如，可穿戴设备获取的个人信息、工业网络的企业信息、智慧城市网络的社会信息等重要的数据都连接在网络中。国家重要的基础行业和领域如电力、医疗等也依赖于物联网。这些重要信息可能因感知设备被入侵而窃取[6]，将影响个人及企业的数据安全，甚至上升到国家层面，成为影响国家发展和社会稳定的重要因素[15]。

4 总结

2014年，中国接入互联网已满20周年，互联网的蓬勃发展带来了一个新技术和新应用层出不穷、数据安全问题日益凸显的新时代。2015年，基于可穿戴设备的物联网、医疗大数据等新技术与模式将进一步发展。技术的发展应以安全为前提，数据安全需要产业链上的设计者、生产者及用户的共同努力。另一方面，新技术在带来新挑战的同时，也将带来新的解决方法与思路。

参考文献

[1]2014年互联网跨界趋势报告[EB/OL].[2015-01-28].http://tech.qq.com/a/20140630/001999.htm#p=1

[2]姜逸文.移动互联网下的信息安全问题及应对策略[J].中国新通信,2014,(10):123-124

[3]姚蕾.移动互联网应用的安全风险探究浅析[J].电子世界,2014,(17):10-11

[4]袁露,肖志勇,王映龙.论大数据的现状及其发展研究[J].教育教学论坛,2014,(44):86-87

[5]张占波.浅谈大数据时代信息技术的机遇与挑战[J].电子世界,2014,(18):7-7

[6]徐英武.物联网安全问题研究[J].科技情报开发与经济,2014,24(12):140-144

[7]Industry 4.0[EB/OL].[2015-01-28].http://en.wikipedia.org/wiki/Industry_4.0

[8]Firechat[EB/OL].[2015-01-28].https://firechat.firebaseapp.com/

[9]Project Loon[EB/OL].[2015-01-28].http://en.wikipedia.org/wiki/ Project_Loon

[10]2014年上半年Android手机隐私安全报告[EB/OL].[2015-01-28].DCCI互联网数据中心与360手机安全中心.http://www.fzgh.org.cn/kejiqianyan/48950.html

[11]BYOD Security Report[EB/OL].[2015-01-28].New Webroot,2014

[12]谭秀丽,张茂新.大数据时代保证网络信息安全的法律体系研究[J].商情,2014,(30):292-292

[13]2014年第二季度财报[EB/OL].[2015-01-28].http://tech.qq.com/zt2014/tx2014q1/

[14]丁婷婷.物联网时代的信息安全防护[J].中国电子商务,2014,(17):30-30

[15]金洪颖.数据隐藏技术在物联网安全中的应用探索[J].电脑知识与技术,2014,(22):5185-5186