首页 > 知乎精选 > 移动互联网 > 目前还有哪些悬而未解或是非常棘手的互联网安全难题?
2015
10-27

目前还有哪些悬而未解或是非常棘手的互联网安全难题?

1、僵尸网络

难题成因:

第一是由于种马太简单,肉鸡太多,第二是由于我国在这方面的法律尚不完善,其危害性难以评估,端掉也难以定罪,降低了违法的机会成本,降低公安的执行积极性,所以不管用它来做DDOS还是其他,大家只能是自扫门前雪,伤不了根基。

解决方法:

假设有组织使用一个僵尸网络攻击某大型企业造成网络中断50分钟估值带来30万元人民币的直接损失,那么企业和公安或许就会有动力去把这个僵尸网络端掉了。从技术上来讲要溯源不是不能,跳板也好,伪造IP也好,毕竟运营商是国家控制的,归根结底是投入的问题。

不足之处:

真的不是几个企业或一个安全协会或一地公安能解决的。抓人也要看对方反侦察水平。

2、移动Application安全或移动钓鱼

难题成因:

其实任何一个互联网安全问题放到移动领域来都可能会成为一个大问题。移动互联网是当今发展的大趋势,即使是较传统保守的金融领域也需要涉足移动领域来拓宽业务、保持鲜活。这就带来移动业务的迅猛发展。但是互联网安全都没跟上,更毋须论移动安全意识了。移动业务的普及程度之高,移动开发、移动用户安全意识之低,这本身已经是悬若霄壤。君不见网上银行一向非常可信赖,超级网银刚推出就出事。

移动互联网比互联网天生拥有至简的特点,至高无上的用户体验更易于虚假信息的隐蔽,对用户甄别信息源带来了极大困难。短信钓鱼、互联网钓鱼、邮箱钓鱼,若用户具备安全意识想查源地址,反而十分麻烦。

至简的用户体验+至差的安全意识,二维码植后门就是一个耳熟能详的例子。

可怕的是,这还不算完。也许除了iphone和小米,所有机器都是刷机才可能用得爽,我没有ios越狱和android获取root权限的用户数据,但是我凭个人经验认为,想root的普通用户太多了,而帮别人root的中等用户以彰显自身技术实力为主,增进交流为辅,是不会提醒普通用户安全风险的。不懂还刷机,我不知道,移动终端,有没有肉鸡的概念?

解决办法:

也许只有鲜血的教训才能带来变革。对了,即使作用微乎其微,我还是要提一句,一定不要在本地APP上存敏感数据,必须落到服务器。移动APP要反汇编比逆向个程序要容易太多了,那些发布在有root权限的android上的APP尤为如此。

不足之处:

植根于成因里的不足蔓延得都要溢出来了啊。

3、用户隐私

难题成因:

第一,用户隐私到底值多少钱,谁也说不好。泄露了,又如何?企业在乎“可能会对企业声誉产生负面影响”的比例或许跟上市比例差不多。360就相信,抓住低端用户,就是抓住95%的市场,你那10%的人批评我,我向我的低端用户辟谣就够了,你自己看5%的人边批评我还边得用我呢,官司输赢都是我提升知名度争夺市场的手段,又不会让我下架。第二,自我保护意识淡薄。13亿中国人,有没有0.1‰知道,在交出自己的身份证复印件时,应当在复印件上写明用途如“本身份证复印件仅用于办理中国银行信用卡/2013年8月31日”?5亿网民,自己都不关心自己的隐私,觉得“我没什么好监听”的人大把大把,不知道棱镜事件曝光后,有多少人感觉“听到了件新鲜事”?

解决办法:

工信部已发布了《信息安全技术公共及商用服务信息系统个人信息保护指南》,明确了目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行、责任明确八项原则。并于今年起开始实施。这八项原则非常靠谱,一旦有了法律条文作为依据,以后就该走向光明了。

不足之处:

这则《指南》还只是“意见征求稿”,谁说它是法律条文被强制力保障了。。。。。而且,发布出来无法实施无法监管的条文多了去了,我也不知道这则《指南》是会走向康庄大道还是石沉大海。
————————大家提到的互联网难题,是有解决方案的。那就不写成因了——————–
4、DOS

解决办法:

a.运营商流量清洗;

b.采购反DOS/DDOS的交换机设备;

c.部署监控,及时发现异常流量;

d.提高服务器性能,提高带宽,做好集群负载和冗余,比谁先挂。合法DDOS的没什么好说的,换个角度讲,你服务器只能承载1000TPS,10台集群就敢发布吸引十万用户的促销,还搞个准点开抢,那不是找死就是耍流氓。

不足之处:

DOS好搞,DDOS真不好搞。

5、网站钓鱼、DNS劫持

解决办法:

a.依赖于网安和运营商,可以做到钓鱼网站发布出来的24小时之内关闭,DNS劫持发生的24小时内处理。

不足之处:

a.如果注册国外运营商,事情就要麻烦很多,可以关闭网站,但是很难抓人,也就无法根绝。

b.DNS劫持发生在四级城市时处理效率就低很多。如果DNS劫持发生在个人无线热点,那就一点儿办法也没有(我发布个AP,让人连无线上网,然后搞个本地web服务器,在AP上做几个DNS劫持,查都查不到)

c.网安不是免费提供这个服务的。

6、企业不重视框架/开发安全、系统安全、操作安全,企业任由漏洞存在,不修补漏洞,不进行升级

解决办法:
制定安全策略、标准、基线、指导,构建安全体系,
不使用开源框架,使用自己编写/封装的框架,
对代码进行安全评审和代码漏洞扫描(需求夹带都能揪出来,何况后门),
对主机的安全配置和漏洞进行检查,权限、密码等要符合安全基线,实施补丁评估,定期更新必要部分的补丁,
对互联网出口进行集中管控,防火墙符合最小够用,部署DMZ,部署入侵检测。
等等。

不足之处:

影响生产效率。

7、企业机密外泄

解决方法:DLP、上网行为管理等。

不足之处:影响员工体验。

在这里有必要说明一下风险控制的价值。4567都是问题,但不是无解的问题,解决思路我一笔带过了。那企业为什么不解决这些问题任由存在?因为企业的目的就是赚钱,解决问题都需要成本,如果投入的成本高于解决问题带来的效益,那么企业不应该做这项控制。只有当一个企业渡过了争夺市场的生存初期,希望可持续发展,注重企业声誉时,才会考虑做风险控制,而且风控评估结果是效益大于成本投入(或因监管部门要求必须实施),那么企业才会去解决这些问题。或者是你做安全厂商的,做了安全加固产品才能卖得好。除此以外,企业还活不下来呢就想着给用户提供安全保护,即使我是做安全的也不指望这么好的事。

———————————不危害安全三性,被我忽略———————————–
8、色情暴力
色情暴力本身不危害互联网完整性、可用性、保密性。而是色情暴力往往伴随着恶意代码,所以有较大可能不安全。举个不正确的例子,1024就安全得很啊。
9、大数据下的用户隐私
在大数据下面,每个用户的行为都被收集,但是,大数据是不关心某一个用户的行为的,它收集大数据,是为了分析趋势,做预测,我认为大数据不涉及用户隐私问题。这里要提醒的是,请不要给简单的数据挖掘也冠以大数据的名目。

作者:秋翎

最后编辑:
作者:管理员
呃...怎么介绍呢?就是个管理员吧~
捐 赠如果您觉得这篇文章有用处,请支持作者!鼓励作者写出更好更多的文章!