行業資訊2016/07/08

【APP開發】全國移動網際網路資訊保安問題嚴重 移動APP為主要載體

2016年5月4日,經過多年的爭論,歐盟終於向全世界公佈了期待已久的《一般資料保護法規》(The EU General Data Protection Regulation, 簡稱「GDPR」)的正式文字。這部具有里程碑意義的法規堪稱當今全球「個人資訊保護」領域最為嚴格、管轄範圍最寬、處罰最嚴厲、以及立法水平最高的一部法律。GDPR的通過也意味著歐盟對個人資訊保護的重視及其監管達到了前所未有的高度。

相對於歐美髮達國家,在個人資訊保護方面,中國顯然還處在「荒蠻時代」。2015年,機鋒網、IT168、網易163/126郵箱相繼發生郵箱賬密洩露事件,大量用戶數據被竊取。網易郵箱系統洩露資料更是超過5.4億條,引發了社會公眾對個人資訊洩露的大面積恐慌。同年,30餘省市社保、戶籍、疾控等系統,以及國家旅遊局的賬戶系統漏洞,均造成了逾千萬的資訊洩露,包括身份證、社保參保、財務、薪酬、房屋、旅行行程等資訊均在此列。個人資訊毫無限制地被收集、分析、使用和轉移,然而卻得不到有效的保護,成爲了黑客主要攻擊的目標。

在各種商業服務高度網際網路化的今天,在大資料技術的幫助下個人隱私成了一個特別奢侈的事情。「電信和網際網路企業收集處理大量使用者個人資料、生產執行資料、政務資料等重要資料,面臨著很大的安全挑戰。資訊竊取、資料洩露等事件時有發生,網路資料安全和使用者資訊保護形勢日趨嚴峻。」工信部相關領導如是說。除了個人資訊以外,我國面臨的網路安全形勢也日益嚴峻。6月22日舉行的2016中國網路安全論壇上,工信部網路安全管理局副局長李學林介紹,針對工業控制系統和重要信息系統的高階持續威脅等網路攻擊愈演愈烈,應用軟體、供應鏈、智慧聯網裝置等安全問題開始顯現。

面臨如此嚴峻的網路安全形勢,近日備受關注的網路安全法草案在十二屆全國人大常委會第二十一次會議上迎來了第二次審議。草案二審稿在強調關鍵資訊基礎設施保護的同時,大量增加了資料安全保護的內容,並同時提出了對個人資訊洩露的防護。二審稿還增加規定,網路運營者留存網路日誌不得少於6個月;網路運營者對有關部門依法實施的監督檢查應當予以配合。

目前,移動網際網路應用程式(APP)已成為移動網際網路資訊服務的主要載體,對提供民生服務和促進經濟社會發展發揮了重要作用。據不完全統計,在國內應用商店上架的APP超過400萬款,且數量還在高速增長。與此同時,少數APP也被不法分子利用,傳播暴力恐怖、淫穢色情及謠言等違法違規資訊,有的還存在竊取隱私、惡意扣費、誘騙欺詐等損害使用者合法權益的行為,社會反映強烈。為此,國家網信辦6月28日釋出移動網際網路應用程式APP)管理規定,要求移動網際網路應用程式提供者應當建立健全使用者資訊保安保護機制,收集、使用使用者個人資訊應當遵循合法、正當、必要的原則,明示收集使用資訊的目的、方式和範圍,並經使用者同意。網路資訊保安已經與政治安全、經濟安全、國防安全、文化安全共同成為國家安全的重要組成部分。

全國移動網際網路資訊保安問題嚴重 移動APP為主要載體

防護自主可控纔是解決之道

使用者個人資訊(包括姓名、身份證號碼、銀行卡號、手機號碼、支付賬號等)一旦洩露,在支付的關鍵環節,身份認證方法是否可靠,將直接關係到使用者的資金安全。不法分子依託從黑市交易得來的使用者個人資訊,利用可輕易被劫持的簡訊驗證碼漏洞,使用銀行卡快捷支付綁卡和手機號碼密碼找回功能,可發起資金竊取和資金轉移的犯罪行為。如何避免個人資訊及資料被收集、洩露和利用成為極大的困擾。上海資訊保安行業協會會長、上海眾人網路安全技術有限公司董事長談劍峰指出:「網路安全關乎國計民生,更關乎一個國家的安全,要想保證國家的網路安全,就一定要有自己的核心技術。」因此,他所帶領的團隊一直堅持自主設計、自主研發、自主生產的自主可控國產化發展戰略,已申報國家發明專利過百項。

「從技術的角度來看,資訊保安的第一道 門 是身份認證,其核心是密碼技術。當前移動網際網路的安全需求對以往的基於固定密碼演算法如PKI(Public Key Infrastructure,公鑰基礎設施)的密碼技術提出了根本性挑戰,介質化安全手段早已不能適應消費者對移動便捷性客戶體驗的安全需求。此外,老舊的固定演算法密碼技術也無法應對不斷更新的破解工具的攻擊。未來,無卡去介質化必將成為發展趨勢,而安全則需要新的技術做支撐。」

如何解決當前網際網路環境下資訊保安領域的難題——安全與便捷的平衡?上海眾人網路安全技術有限公司推出面向於移動網際網路認證和支付安全的創新性密碼技術SOTP(Super One-Time-Password)提供了很好的應用解決之道。對於使用者來說,只要安裝採用SOTP支付認證技術的手機APP,就能有效防禦網絡釣魚、木馬攔截、電信詐騙等一系列攻擊,在保證高安全性的前提下享受便捷的使用者體驗。同時有了SOTP技術的保護,使用者的個人資訊將以一種標識化的形式在網路上存在,即使被第三方或黑客非法獲取,也無法得到真實資訊。

SOTP技術創新地實現了金鑰與演算法的融合,在無需增加硬體SE的前提下,採用軟體實現的技術路徑開創式地解決了移動裝置中輕量化安全儲存金鑰的關鍵性問題。同時可基於「一人一演算法」+「一機一演算法」+「一次一密」+「一時一密」的極高安全特性,有效保護了移動網際網路使用者的身份認證安全、個人資訊保安以及應用資料安全,並實現了雲端統一化認證。更重要的是,該項填補國際國內空白的技術是眾人科技自主研發,擁有自主產權,將能夠在未來工業4.0、網路空間可信管理、大資料隱私保護等領域為國家快速部署網路空間主權提供底層戰術保證,將掌握資訊保安之「門」的鑰匙牢牢握在中國人自己手中。

隨著智慧終端的進一步普及和移動應用的不斷豐富,移動網際網路對於日常生活各個領域的「滲透」還將更加深入,國內移動網際網路使用者仍會不斷增加,接觸使用也會更加頻繁。在創新技術之外,公眾不斷提升自身資訊保安的保護意識和防護技能也同樣重要,齊頭並進才能共促移動網際網路的健康發展。

本文來自中國報告大廳