臺禹微制圖

編者按

2014年結束的鐘聲即將敲響，信息安全領域卻又傳來警報。這一次，是號稱“全球最忙”的12306網站。12月25日，第三方漏洞報告平臺烏云爆出12306網站現用戶數據泄露漏洞。大量12306用戶數據在互聯網遭瘋傳，包括用戶賬號、明文密碼、身份證、郵箱等。該事件引發了用戶的廣泛關注，漏洞也緊急提交至國家互聯網應急中心處理。

人們對于信息安全的密切關注始于2013年由美國人斯諾登曝光“棱鏡計劃”。這一事件引發了人們對互聯網高度發達時代信息泄露的恐慌。與此同時，隨著互聯網技術的進一步發展，信息安全領域爆發了許多值得關注的事件，許多與信息安全密切相關的新領域也迎來了新挑戰。

下面來看看2014年這一年中有哪些熱門的信息安全事件及熱詞值得了解，專家們又是如何解讀的。

　　關鍵詞后XP時代

◎代表事件 微軟停止XP支持

2014年4月8日起，微軟正式停止了對Windows XP操作系統的技術支持，這意味著此后XP操作系統出現任何漏洞，微軟不會再提供任何系統更新修補漏洞。一旦系統出現漏洞且沒能及時修補，可能會引發安全隱患，如電腦感染木馬程序、電腦病毒或遭遇黑客的入侵。

作為微軟歷史上最為成功的操作系統，XP操作系統至今在全球仍有近30%的市場份額，而在中國，使用XP系統的用戶比例更是高達70%，用戶總量超過2億。

◎專家觀點

中國工程院院士沈昌祥：

掌控操作系統主動權是關鍵

2006年，微軟推出了VISTA操作系統，這個系統會使用戶電腦被微軟高度掌控。我向國家建議不要采購VISTA，到現在為止，國家也沒有采購。如果繼續使用XP系統，顯然會有很多安全問題；如果不使用，就需要采購WIN8系統，每一臺電腦要花1000元左右，2億臺是多少錢？更重要的不是錢，而是微軟加強了后續系統的信息安全根本控制權。我們如果采購WIN8，將會喪失安全控制權。

微軟停止XP支持，這對我們而言不僅是挑戰，更是機遇，對現有的操作系統，我們可以加固、替代，更可以借此機會，打造自主的操作系統品牌。我們通過協同攻關，到2020年完全可以形成自主的智能操作系統，包括PC終端、手機、嵌入式的操作系統，規模地打造出成熟的一兩款主流國產操作系統，實現替代。

　　關鍵詞物聯網及智能汽車安全

◎代表事件 特斯拉程序漏洞

7月，國內互聯網安全廠商360宣布，發現特斯拉汽車應用程序流程存在設計缺陷，可能被攻擊者利用。攻擊者利用該漏洞，可遠程控制車輛，實現開鎖、鳴笛、閃燈等操作，并且能夠在車輛行駛中開啟天窗。而在此前，已經有國外媒體報道過有黑客利用特斯拉的6位數密碼實現對汽車的遠程操控。

在汽車智能化的發展趨勢下，已經有不少汽車廠商著手將信息技術整合入汽車的駕駛系統中，當以獲取利益作為支撐點，入侵智能汽車系統可能成為黑客的下一個目標。多數業內人士都認為，車聯網產業要想健康發展，就必須解決智能汽車的安全問題。

◎專家觀點

360網絡安防技術顧問劉健皓：

智能汽車安全應未雨綢繆

汽車安全風險分三類，第一類是接觸式，對車進行改造或者破壞；第二類是非接觸式，通過無線射頻和車聯網的應用反向控制車輛，造成車輛喪失控制；第三類是后裝市場產品的漏洞，比如，一輛車本身很安全，沒有對外發射射頻信號或交互也很安全，但是接了OBD盒子，這個盒子自身存在的問題造成安全風險。

到2017年，將有60%的新車會連接到互聯網，在今年的DefCon黑客大會上發布了兩個遠程攻擊汽車的方法，未來一兩年內，智能汽車安全勢必會被推到風口浪尖上。

智能交通行業發展迅猛，大家應該居安思危，對汽車的基本控制功能、固有信息、狀態信息、用戶信息、軟件和內容以及設置信息進行保護，廠商也要對智能汽車全生命周期進行安全管理。

黑客團隊Keen Team成員呂一平：

物聯網信息安全要做到三步

物聯網跟移動終端非常類似，會產生很多同類型的安全問題。比如，在云存儲、移動APP、智能硬件設備等方面。應對物聯網信息安全的挑戰，第一是改變安全觀念。安全行業要成為科技發展的推動力而不是阻力，只有解決安全問題才能應用更多新技術；第二是加強硬件設備安全性，廠商要將安全視為物聯網硬件設備產品質量的重要部分；第三是安全問題的動態改進。因為安全問題是動態發現、動態改進的過程，這需要安全研究企業和廠商有效溝通和合作。

　　關鍵詞國家網絡安全

◎代表事件 全球根域名服務器DNS出現故障

1月21日，國內通用頂級域的根服務器忽然出現異常，導致眾多知名網站出現DNS解析故障，用戶無法正常訪問。雖然國內訪問根服務器很快恢復，但由于DNS緩存問題，部分地區用戶“斷網”現象仍將持續數個小時，至少有2/3的國內網站受到影響。今年全國“兩會”期間，網絡安全又首次列入政府工作報告，上升到國家戰略層次。

◎專家觀點

工業和信息化部部長苗圩：

保障國家網絡安全要做到五點

網絡與信息安全問題日益突出，復雜性、危害性進一步顯現，已成為事關國家政治安全、經濟安全、社會安全、文化安全和國防安全的重大問題。就信息化發展和網絡安全工作提出五點要求：一是要著力加強網絡基礎設施建設；二是要加快新一代信息通信技術開發和推廣應用；三是要大力推進信息化和工業化深度融合；四是要進一步加強和改進互聯網行業管理；五是要把增強網絡信息安全保障能力擺在更加突出位置。

工業和信息化部電子信息司副司長安筱鵬：

要重視信息產業在國家安全中的作用

“棱鏡門”事件后，各國高度重視信息產業在國家安全中的重要作用，綜合運用經濟、政治、外交等各方面的手段和資源，強化產業自主研發和產業化能力。一方面，美國出于國家安全因素對我國通信設備產業的制裁，在未來一段時間還將成為各國壓制我國電子信息領域發展的主要手段，這意味著我國已具備國際競爭力的電子信息產業將面臨著信息安全因素的壁壘。另一方面，信息安全形勢日益嚴峻也要求我國盡快擺脫長期以來在上游關鍵材料和重要設備領域受制于美日歐的現象，快速提升較為薄弱的電子基礎產業的核心競爭力，建立和完善自主可控的信息產業體系。

　　關鍵詞互聯網金融安全

◎代表事件 支付寶信息泄露，攜程支付陷安全門

2014年是互聯網金融崛起的一年，BAT等互聯網大佬們一系列針對金融行業的滲透和布局，使得國內金融市場發生了深刻的變化。

但是，互聯網金融的信息安全問題不斷曝光。1月，支付寶前技術員工涉嫌將多達20G的用戶數據非法販賣他人事件，引起廣泛關注。2月17日，烏云漏洞報告平臺又發布兩條消息稱淘寶爆出重大安全漏洞，黑客通過搜索引擎，無需密碼即可登錄淘寶用戶賬號，直接獲取用戶的賬戶余額、交易記錄、收貨地址、姓名、手機號碼等敏感隱私信息。3月，攜程爆發“安全門”事件，攜程網安全支付日志存在漏洞，導致大量用戶銀行卡信息泄露，引發一場“換卡潮”。

無獨有偶，1月10日，美國零售巨頭塔吉特表示，在該集團發生的數據庫失竊事件中，有7000萬顧客的付款卡和個人信息被盜取。

◎專家觀點

美亞柏科總經理滕達：

互聯網金融發展安全是前提

互聯網金融要想長期發展，安全性是前提。從技術角度講，不出現安全漏洞是不可能的，關鍵在于企業是否能夠及時發現漏洞并堵上。因此，建議相關企業可以采用多重驗證手段加強安全防范。

未來移動互聯網金融的安全性也將成為熱點。手機的計算能力不如電腦，不能達到電腦的安全級別，再加上移動互聯網上的通訊錄等信息都是實名的，更容易成為惡意軟件的攻擊目標。從這個角度看，移動互聯網的安全形勢更為嚴峻。