2016年年初，由360互聯(lián)網(wǎng)安全中心調(diào)查研究《2015年度中國網(wǎng)站安全報(bào)告》顯示：被調(diào)查網(wǎng)站中43.9%存在安全漏洞，一年或有55億條信息因網(wǎng)站漏洞泄露。在互聯(lián)網(wǎng)黑市交易中，平均一份個(gè)人信息數(shù)據(jù)5美元。而根據(jù)去年流出的數(shù)據(jù)量，這個(gè)灰色地帶的市場(chǎng)總額已經(jīng)達(dá)到500多億，比小米公司去年的市值還高。

一九四九年，作家喬治奧威爾出版小說《一九八四》，描繪了一個(gè)老大哥無所不在的監(jiān)控世界，人們的一舉一動(dòng)都在監(jiān)控之中，無所遁形。作品除了表達(dá)對(duì)極權(quán)統(tǒng)治，對(duì)烏托邦理想的諷刺之外，也側(cè)面反映了人們對(duì)于信息安全的渴望。

半個(gè)多世紀(jì)過去，隨著移動(dòng)互聯(lián)網(wǎng)、云服務(wù)、物聯(lián)網(wǎng)等新興事物的風(fēng)起云涌，手機(jī)號(hào)碼、家庭住址、工資收入等個(gè)人信息越來越多暴露于移動(dòng)互聯(lián)網(wǎng)當(dāng)中。

網(wǎng)絡(luò)邊界無法判定，信息竊取手段越來越高明，傳統(tǒng)的安全思路已難以應(yīng)對(duì)大數(shù)據(jù)時(shí)代的信息安全挑戰(zhàn)。

2014年，美國斯諾登“菱鏡”事件震驚世界，2016年，美國總統(tǒng)候選人希拉里更因郵件門憾失總統(tǒng)寶座。

信息安全告急。

由信息泄露造成的悲劇越來越多，上至國家機(jī)器，下至企業(yè)個(gè)人都需要立刻重視個(gè)人信息的安全。一場(chǎng)信息保護(hù)的序幕已經(jīng)拉開。

根據(jù)IDC報(bào)告，2015年中國信息安全市場(chǎng)規(guī)模約為27億美元，約合162億人民幣。預(yù)計(jì)到2019年，國內(nèi)信息安全產(chǎn)品市場(chǎng)規(guī)模有望達(dá)290億人民幣，年復(fù)合增長(zhǎng)率為16.5%，整個(gè)信息安全市場(chǎng)空間巨大。

警鐘為誰鳴

2015年，我國政府機(jī)構(gòu)和重要信息系統(tǒng)部門的事件性漏洞近2.4萬起，約是2014年的2.6倍。近5000個(gè)IP地址感染竊密木馬、約2.5萬個(gè)網(wǎng)站被惡意篡改。

2016年年初，由360互聯(lián)網(wǎng)安全中心調(diào)查研究《2015年度中國網(wǎng)站安全報(bào)告》顯示：被調(diào)查網(wǎng)站中43.9%存在安全漏洞，一年或有55億條信息因網(wǎng)站漏洞泄露。2016年網(wǎng)絡(luò)世界用戶數(shù)據(jù)外泄事件頻發(fā)，上半年就有LinkedIn、MySpace、Tumblr以及雅虎等網(wǎng)站傳出數(shù)年前的舊數(shù)據(jù)在黑客之間交易流傳進(jìn)而在黑市出售，Dropbox更是承認(rèn)6800萬用戶資料外泄。

著名科技博客網(wǎng)站GigaOmce曾報(bào)道，在互聯(lián)網(wǎng)黑市交易中，平均一份個(gè)人信息數(shù)據(jù)5美元。而根據(jù)去年流出的數(shù)據(jù)量，這個(gè)灰色地帶的市場(chǎng)總額已經(jīng)達(dá)到500多億，比小米公司去年的市值還高。

利益驅(qū)使之下，不斷有人以身試法，信息的盜取越加猖狂。

中國互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《2016年中國網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示：2015年下半年到2016年上半年，我國因詐騙信息、個(gè)人信息泄露等遭受經(jīng)濟(jì)損失高達(dá)915億元，人均133元。

兇手

信息安全已經(jīng)告急，那么，誰是真正的兇手？

第一個(gè)兇手，是信息企業(yè)本身。

“對(duì)于企業(yè)而言，應(yīng)從兩個(gè)方面著手規(guī)避有可能出現(xiàn)的安全問題：一是加強(qiáng)企業(yè)的安全意識(shí)，二是通過安全公司提供安全防護(hù)。”奇虎360總裁齊向東說。

企業(yè)的安全意識(shí)普遍并不高。

根據(jù)數(shù)字安全公司Gemalto發(fā)布的《2014年網(wǎng)絡(luò)數(shù)據(jù)安全報(bào)告》顯示，大部分?jǐn)?shù)據(jù)泄露事故并不需要黑客攻擊或者政府組織攻擊這樣高端的技術(shù)。70％的事故主要是因?yàn)橥獠炕騼?nèi)部惡意代碼侵入。12306訂票網(wǎng)站泄露的賬戶信息就是惡意代碼侵入，這些事實(shí)和公司行為不無關(guān)系，視公司對(duì)數(shù)據(jù)庫安全投入程度而定。IDC數(shù)據(jù)顯示，2013年的320億家公司中，只有26％都對(duì)數(shù)據(jù)安全做了部署。

“傳統(tǒng)的信息安全防護(hù)措施難以應(yīng)對(duì)大數(shù)據(jù)時(shí)代的信息安全挑戰(zhàn)，大數(shù)據(jù)時(shí)代應(yīng)加強(qiáng)信息安全保護(hù)工作。”中國工程院院士沈昌祥說。

第二個(gè)兇手，是人——信息泄露者。

信息泄露帶來的高額利潤(rùn)，使得許多人進(jìn)行信息倒賣。回顧近6年來有關(guān)信息泄露的案件，快遞、網(wǎng)購、物業(yè)、教育等機(jī)構(gòu)是信息泄露的源頭，而保險(xiǎn)、理財(cái)、房地產(chǎn)中介等行業(yè)以及職業(yè)倒賣人則是這些信息的主要購買者。

第三個(gè)兇手，是進(jìn)行數(shù)據(jù)竊取的黑客。

網(wǎng)絡(luò)黑客會(huì)通過軟件和硬件的漏洞進(jìn)入，引誘人們打開受感染的電子郵件，訪問帶病毒的網(wǎng)站來傳播惡意軟件，并利用人們忽視網(wǎng)絡(luò)安全常識(shí)的漏洞（如不經(jīng)常修改密碼、不定期更新反病毒軟件，以及使用反病毒軟件等）開展網(wǎng)絡(luò)攻擊。

最近的網(wǎng)絡(luò)安全攻擊事件顯示，網(wǎng)絡(luò)黑客已從原先的單一攻擊手段轉(zhuǎn)向多種攻擊手段的結(jié)合，綜合使用非法接入、木馬攻擊、IP欺騙、網(wǎng)頁仿冒、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)嗅探、網(wǎng)址嫁接等手段，竊取數(shù)據(jù)。

魔高一尺，道高一丈

愛加密公司CTO程智力告訴Xtecher：“信息安全防護(hù)是一個(gè)博弈過程，黑客攻擊技術(shù)魔高一尺，防護(hù)技術(shù)就道高一丈。”

數(shù)據(jù)的存貯、輸送、甚至硬件，都有可能存在著脆弱環(huán)節(jié)，黑客會(huì)利用其中的安全漏洞盜取數(shù)據(jù)信息。因此，信息安全保護(hù)要從各個(gè)環(huán)節(jié)中進(jìn)行加密和保護(hù)。

數(shù)據(jù)有兩種存在的形態(tài)：一種是結(jié)構(gòu)化的數(shù)據(jù)——數(shù)據(jù)庫中保存的數(shù)據(jù)；此外是大量的非結(jié)構(gòu)化數(shù)據(jù)——大量地存在于用戶終端的散落文檔型數(shù)據(jù)。這些數(shù)據(jù)都需要保護(hù)。

　　如何保護(hù)？

首先，數(shù)據(jù)庫和輸送渠道的保護(hù)。

在眾多信息當(dāng)中，首先要在數(shù)據(jù)進(jìn)行分級(jí)：核心數(shù)據(jù)、公開數(shù)據(jù)。然后對(duì)核心數(shù)據(jù)在儲(chǔ)存設(shè)備中加密，在加密過程中采用不同強(qiáng)度的算法，密鑰，增加破解的難度，對(duì)抗黑客的信息盜取。

黑客們除了在數(shù)據(jù)庫中進(jìn)行數(shù)據(jù)盜取，另一個(gè)重要的盜取方式就是在數(shù)據(jù)、信息等進(jìn)行外部的輸送時(shí)，利用輸送鏈條薄弱進(jìn)行信息的竊取。

針對(duì)此，程智力表示，他們對(duì)于數(shù)據(jù)的輸送保護(hù)有一套嚴(yán)格的審查機(jī)制——DLP敏感數(shù)據(jù)防泄露解決方案。其做法是：在網(wǎng)絡(luò)出口設(shè)置審核機(jī)制，系統(tǒng)判斷數(shù)據(jù)的機(jī)密程度，進(jìn)行攔截或放行；通過使用協(xié)議對(duì)流量抓包、解碼、捕捉敏感數(shù)據(jù)是否存在外泄；一旦發(fā)現(xiàn)外泄，系統(tǒng)會(huì)做出及時(shí)通知、預(yù)警和阻攔，扼殺數(shù)據(jù)在傳輸中泄露的可能性。

其次，硬件軟件化。

信息安全的防護(hù)除了和軟件有關(guān)，跟硬件同樣有著莫大的關(guān)系。

因?yàn)橛布O(shè)計(jì)上的缺陷、硬件操作系統(tǒng)上的問題、既帶的安全漏洞等引發(fā)數(shù)據(jù)丟失的例子屢見不鮮。因?yàn)橛布旧淼陌踩L(fēng)險(xiǎn)和漏洞難以修復(fù)，許多黑客竊取數(shù)據(jù)也選擇從硬件下手。

據(jù)文章《征信之亂，一家公司黑市倒賣上億數(shù)據(jù)，如今估值幾十億》中記載：某黑客盜取企業(yè)數(shù)據(jù)時(shí)，其核心數(shù)據(jù)服務(wù)器放在云端。如果直接入侵云端，對(duì)抗的是整個(gè)云端的安全系統(tǒng)，難度系數(shù)高，于是，黑客便利用小工具強(qiáng)行破解公司的WiFi——進(jìn)入內(nèi)網(wǎng)后，所有人的電腦，黑客便如探囊取物，很快找到了登陸云端服務(wù)器的用戶名和密碼，將200萬的公司緩存數(shù)據(jù)庫拖出來。

對(duì)于此種情況，信息安全要求硬件往智能化方向進(jìn)化。通過并入軟件或并入安全系統(tǒng)，即硬件軟件化的方式，對(duì)硬件的組件進(jìn)行智能化升級(jí)，避免安全風(fēng)險(xiǎn)、快速修復(fù)安全問題。

最后，從源頭防起。

針對(duì)來自信息泄露源的隱患，程智力表示，需要對(duì)數(shù)據(jù)的使用實(shí)行權(quán)限的控制：“對(duì)同一個(gè)數(shù)據(jù)設(shè)置可使用的人群、可使用的時(shí)間，可使用的基礎(chǔ)，并對(duì)相關(guān)的數(shù)據(jù)使用的操作進(jìn)行記錄。這樣，所有的數(shù)據(jù)人員操作行為都是可溯源的。”

換言之，要從根本上大大降低信息從人泄露出去的可能。

APP，一個(gè)重要陣地

隨著移動(dòng)互聯(lián)網(wǎng)的興起，越來越多企業(yè)都是依托APP進(jìn)行相關(guān)活動(dòng)。

根據(jù)艾媒咨詢《2015年中國手機(jī)APP市場(chǎng)研究》，在三大系統(tǒng)運(yùn)營商應(yīng)用商店應(yīng)用數(shù)量上，以iOS系統(tǒng)為主的App Store應(yīng)用商店應(yīng)用數(shù)量已達(dá)到121萬；以Android系統(tǒng)為主的Google Play應(yīng)用商店應(yīng)用數(shù)量超過App Store，達(dá)到143萬；Windows Phone的應(yīng)用數(shù)量最少，只有30萬，但其應(yīng)用數(shù)量增速較快。

APP是信息重要載體，在展開對(duì)應(yīng)業(yè)務(wù)時(shí)，APP上會(huì)儲(chǔ)存著敏感的數(shù)據(jù)。

針對(duì)APP，開發(fā)者首先要做的是保障數(shù)據(jù)的本地安全性，對(duì)數(shù)據(jù)進(jìn)行加密；同時(shí)要保障的是數(shù)據(jù)的遠(yuǎn)程應(yīng)用，在連接服務(wù)器進(jìn)行遠(yuǎn)程服務(wù)時(shí)，需要保障鏈入的安全性；此外，需要在鏈入的通道進(jìn)行加密，避免出現(xiàn)中間人攻擊以及通過中間的抓包竊取行為盜取機(jī)密數(shù)據(jù)。

總之，APP開發(fā)者應(yīng)該本著對(duì)用戶負(fù)責(zé)的原則，做到數(shù)據(jù)在儲(chǔ)存、傳輸、終端都是安全的。

信息安全化的未來

今年8月，我國發(fā)射首顆量子通信衛(wèi)星，對(duì)于安全通信而言，無疑是莫大的喜訊。

量子通訊衛(wèi)星利用量子力學(xué)特性來保證通信安全，它使通信的雙方能夠產(chǎn)生并分享一個(gè)隨機(jī)的、安全的密鑰，來加密和解密訊息。

量子密碼的一個(gè)最重要的，也是最獨(dú)特的性質(zhì)是：如果有第三方試圖竊聽密碼，則通信的雙方便會(huì)察覺。

這種性質(zhì)基于量子力學(xué)的基本原理：任何對(duì)量子系統(tǒng)的測(cè)量都會(huì)對(duì)系統(tǒng)產(chǎn)生干擾。第三方試圖竊聽密碼，必須用某種方式測(cè)量它，而這些測(cè)量就會(huì)帶來可察覺的異常。通過量子疊加態(tài)或量子糾纏態(tài)來傳輸信息，通信系統(tǒng)便可以檢測(cè)是否存在竊聽。當(dāng)竊聽低于一定標(biāo)準(zhǔn)，一個(gè)有安全保障的密鑰就可以產(chǎn)生了。

相比之下，傳統(tǒng)密碼學(xué)是基于某些數(shù)學(xué)算法的計(jì)算復(fù)雜度，量子密碼的安全性基于量子力學(xué)的基本原理。傳統(tǒng)密碼學(xué)無法察覺竊聽，也就無法保證密鑰的安全性。量子密碼只用于產(chǎn)生和分發(fā)密鑰，并沒有傳輸任何實(shí)質(zhì)的訊息。密鑰可用于某些加密算法來加密訊息，加密過的訊息可以在標(biāo)準(zhǔn)信道中傳輸——這將大大提升通信的安全性。

中國科學(xué)技術(shù)大學(xué)微尺度物質(zhì)科學(xué)國家實(shí)驗(yàn)室研究員彭承志說：“量子科學(xué)實(shí)驗(yàn)衛(wèi)星是一顆低軌衛(wèi)星，只能在晚上進(jìn)行量子通信，空間覆蓋能力和應(yīng)用都還比較有限。”

我國計(jì)劃在2030年建成全球化的量子通信網(wǎng)絡(luò)。換言之，量子通信網(wǎng)絡(luò)還只是個(gè)愿景。

在量子通信之外，人工智能的飛速發(fā)展也讓我們對(duì)信息安全技術(shù)有了新的想象。

《西部世界》劇中，總工程師Ford試圖從host機(jī)器人Deloris口中獲取阿諾德遺留的算法信息，但是機(jī)器人能夠做到“守口如瓶”。未來的人工智能技術(shù)不但能夠自己開發(fā)加密技術(shù)，還能夠破解其他人工智能加密技術(shù)。

現(xiàn)實(shí)中，人工智能加密技術(shù)的發(fā)展也超出了預(yù)期，例如谷歌大腦已經(jīng)成功開發(fā)出兩個(gè)人工智能加密算法，在加密時(shí)甚至都不需要“學(xué)習(xí)”人類的算法。

在更好的明天到來之前，個(gè)性化定制是最好的出路。

這是因?yàn)椋S著工業(yè)4.0持續(xù)發(fā)酵，每個(gè)企業(yè)對(duì)于信息安全都會(huì)有不同的需求，定制化能夠更好地根據(jù)企業(yè)的規(guī)模、成本、對(duì)安全性的需求量身打造信息安全的方案。因此，近期的信息安全道路，走的一定是深度定制的方向。

專注于企業(yè)服務(wù)器信息安全的白帽匯CTO劉宇對(duì)記者說：“目前的技術(shù)已經(jīng)可以實(shí)現(xiàn)個(gè)性化的定制。”

白帽匯旗下的產(chǎn)品安徒生，就是專門針對(duì)中小企業(yè)而設(shè)定的信息安全產(chǎn)品，采用服務(wù)器的被動(dòng)掃描、主動(dòng)掃描等方法對(duì)進(jìn)行服務(wù)器進(jìn)行漏洞檢測(cè)，并且發(fā)現(xiàn)最新攻擊方法。

總而言之，信息安全化是一條非常艱難的道路，并非朝夕之功。如果你我不想生活在一個(gè)隨時(shí)布滿監(jiān)控的“老大哥”世界，必須不斷地發(fā)展技術(shù)，構(gòu)建信息安全的保護(hù)墻，使得無論是國家機(jī)器還是企業(yè)個(gè)人，都在公平的狀態(tài)底下競(jìng)爭(zhēng)，而不是通過剽竊等方式偷步。

APP，一個(gè)重要陣地

隨著移動(dòng)互聯(lián)網(wǎng)的興起，越來越多企業(yè)都是依托APP進(jìn)行相關(guān)活動(dòng)。

根據(jù)艾媒咨詢《2015年中國手機(jī)APP市場(chǎng)研究》，在三大系統(tǒng)運(yùn)營商應(yīng)用商店應(yīng)用數(shù)量上，以iOS系統(tǒng)為主的App Store應(yīng)用商店應(yīng)用數(shù)量已達(dá)到121萬；以Android系統(tǒng)為主的Google Play應(yīng)用商店應(yīng)用數(shù)量超過App Store，達(dá)到143萬；Windows Phone的應(yīng)用數(shù)量最少，只有30萬，但其應(yīng)用數(shù)量增速較快。

APP是信息重要載體，在展開對(duì)應(yīng)業(yè)務(wù)時(shí)，APP上會(huì)儲(chǔ)存著敏感的數(shù)據(jù)。

針對(duì)APP，開發(fā)者首先要做的是保障數(shù)據(jù)的本地安全性，對(duì)數(shù)據(jù)進(jìn)行加密；同時(shí)要保障的是數(shù)據(jù)的遠(yuǎn)程應(yīng)用，在連接服務(wù)器進(jìn)行遠(yuǎn)程服務(wù)時(shí)，需要保障鏈入的安全性；此外，需要在鏈入的通道進(jìn)行加密，避免出現(xiàn)中間人攻擊以及通過中間的抓包竊取行為盜取機(jī)密數(shù)據(jù)。

總之，APP開發(fā)者應(yīng)該本著對(duì)用戶負(fù)責(zé)的原則，做到數(shù)據(jù)在儲(chǔ)存、傳輸、終端都是安全的。

信息安全化的未來

今年8月，我國發(fā)射首顆量子通信衛(wèi)星，對(duì)于安全通信而言，無疑是莫大的喜訊。

量子通訊衛(wèi)星利用量子力學(xué)特性來保證通信安全，它使通信的雙方能夠產(chǎn)生并分享一個(gè)隨機(jī)的、安全的密鑰，來加密和解密訊息。

量子密碼的一個(gè)最重要的，也是最獨(dú)特的性質(zhì)是：如果有第三方試圖竊聽密碼，則通信的雙方便會(huì)察覺。

這種性質(zhì)基于量子力學(xué)的基本原理：任何對(duì)量子系統(tǒng)的測(cè)量都會(huì)對(duì)系統(tǒng)產(chǎn)生干擾。第三方試圖竊聽密碼，必須用某種方式測(cè)量它，而這些測(cè)量就會(huì)帶來可察覺的異常。通過量子疊加態(tài)或量子糾纏態(tài)來傳輸信息，通信系統(tǒng)便可以檢測(cè)是否存在竊聽。當(dāng)竊聽低于一定標(biāo)準(zhǔn)，一個(gè)有安全保障的密鑰就可以產(chǎn)生了。

相比之下，傳統(tǒng)密碼學(xué)是基于某些數(shù)學(xué)算法的計(jì)算復(fù)雜度，量子密碼的安全性基于量子力學(xué)的基本原理。傳統(tǒng)密碼學(xué)無法察覺竊聽，也就無法保證密鑰的安全性。量子密碼只用于產(chǎn)生和分發(fā)密鑰，并沒有傳輸任何實(shí)質(zhì)的訊息。密鑰可用于某些加密算法來加密訊息，加密過的訊息可以在標(biāo)準(zhǔn)信道中傳輸——這將大大提升通信的安全性。

中國科學(xué)技術(shù)大學(xué)微尺度物質(zhì)科學(xué)國家實(shí)驗(yàn)室研究員彭承志說：“量子科學(xué)實(shí)驗(yàn)衛(wèi)星是一顆低軌衛(wèi)星，只能在晚上進(jìn)行量子通信，空間覆蓋能力和應(yīng)用都還比較有限。”

我國計(jì)劃在2030年建成全球化的量子通信網(wǎng)絡(luò)。換言之，量子通信網(wǎng)絡(luò)還只是個(gè)愿景。

在量子通信之外，人工智能的飛速發(fā)展也讓我們對(duì)信息安全技術(shù)有了新的想象。

《西部世界》劇中，總工程師Ford試圖從host機(jī)器人Deloris口中獲取阿諾德遺留的算法信息，但是機(jī)器人能夠做到“守口如瓶”。未來的人工智能技術(shù)不但能夠自己開發(fā)加密技術(shù)，還能夠破解其他人工智能加密技術(shù)。

現(xiàn)實(shí)中，人工智能加密技術(shù)的發(fā)展也超出了預(yù)期，例如谷歌大腦已經(jīng)成功開發(fā)出兩個(gè)人工智能加密算法，在加密時(shí)甚至都不需要“學(xué)習(xí)”人類的算法。

在更好的明天到來之前，個(gè)性化定制是最好的出路。

這是因?yàn)椋S著工業(yè)4.0持續(xù)發(fā)酵，每個(gè)企業(yè)對(duì)于信息安全都會(huì)有不同的需求，定制化能夠更好地根據(jù)企業(yè)的規(guī)模、成本、對(duì)安全性的需求量身打造信息安全的方案。因此，近期的信息安全道路，走的一定是深度定制的方向。

專注于企業(yè)服務(wù)器信息安全的白帽匯CTO劉宇對(duì)記者說：“目前的技術(shù)已經(jīng)可以實(shí)現(xiàn)個(gè)性化的定制。”

白帽匯旗下的產(chǎn)品安徒生，就是專門針對(duì)中小企業(yè)而設(shè)定的信息安全產(chǎn)品，采用服務(wù)器的被動(dòng)掃描、主動(dòng)掃描等方法對(duì)進(jìn)行服務(wù)器進(jìn)行漏洞檢測(cè)，并且發(fā)現(xiàn)最新攻擊方法。

總而言之，信息安全化是一條非常艱難的道路，并非朝夕之功。如果你我不想生活在一個(gè)隨時(shí)布滿監(jiān)控的“老大哥”世界，必須不斷地發(fā)展技術(shù)，構(gòu)建信息安全的保護(hù)墻，使得無論是國家機(jī)器還是企業(yè)個(gè)人，都在公平的狀態(tài)底下競(jìng)爭(zhēng)，而不是通過剽竊等方式偷步。