作者:朱诗兵
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络安全意识导论试读:
前言
网络空间是人类生活空间不可分割的重要组成部分,随着近年来网络技术的发展和网络安全事件的增多,网络空间安全的重要性越来越得到社会各界的广泛重视。网络空间安全直接关系到国家安全、社会稳定、经济发展和个人信息安全,世界各国政府纷纷将网络空间安全战略纳入国家发展战略,从而推动了网络安全技术的快速发展。
只有全面提高社会公民的网络安全意识,才有可能从根本上做好更广泛的网络安全防护工作。
2014年,国家互联网信息办公室(简称国家网信办)就网络安全宣传周的活动发出《关于开展首届国家网络安全宣传周活动的通知》,要求广大人民群众增强网络安全意识,营造“网络安全人人有责、人人参与”的良好氛围,让“共建网络安全,共享网络文明”的理念深入人心。此后连续5年的“网络安全宣传周”活动都将网络安全意识的培育工作放在了极其重要的位置上,明确提出:“网络安全为人民,网络安全靠人民”。依靠全民投入,保证和捍卫网络安全。
全国人民代表大会常务委员会于2016年11月7日发布的《中华人民共和国网络安全法》第六条明确规定:“国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。”
据中国互联网络信息中心(CNNIC)第44次发布的《中国互联网络发展状况统计报告》显示,截至2019年6月,我国网民规模达8.54亿人,普及率为61.2%;我国手机网民规模达8.47亿人,网民通过手机接入互联网的比例高达99.1%。网民的基数意味着我国网民可能受到网络攻击次数更多,遭受的损失也更大,我国网络安全形势十分严峻。
近年来的网络安全事件,尤其是敏感信息泄露事件,充分暴露了一个事实,那就是网络安全意识薄弱将会对网络安全防护体系造成极大的威胁,对个人、机构产生严重威胁,甚至会影响国家发展,如全球多起大规模客户信息泄露事件,著名的网络勒索病毒攻击个人、政府部门和国际化大型企业敲诈金钱、破坏数据,等等。人们网络安全意识淡薄,可能会引发严重的社会问题,包括金融诈骗、重要敏感信息泄露等,会给个人、组织乃至国家造成重大损失。
网络安全意识是人员网络安全的知识性和技能性的泛在化概括,不同于专业人才培养中所要求的网络安全知识体系,它更偏重于网络安全常识性工作,并根据不同的行业领域、岗位等要求,形成科学的网络安全意识知识内容,从思维习惯、行为习惯等方面提高网络用户的意识强度。
目前,网络安全意识培训工作的重要性得到了广泛认可,但是如何促进全社会提高网络安全意识仍然需要系统研究、深化和落实,科学、系统地规划网络安全意识培训工作将有助于形成健康的网络空间。
本书正是基于上述背景,由高校一线教师和网络安全领域、网络安全培训领域、网络安全意识领域等领域的专家、学者携手编写而成,是编者多年网络安全工作经验、教学经验及研究心得的总结,是促进全民提高网络安全意识的一次有益尝试。
网络安全意识主要是网络空间行为习惯的规范,应用场景复杂,几乎涉及网络行为的方方面面。本书作为一本导论,面向网络安全领域的从业人员,内容涉及网络安全意识测评、网络安全教育培训、网络安全人员管理、人员保密管理等方面,力求为读者展示网络安全意识的技术脉络和基础知识体系,为读者后续的研究、学习,以及网络安全管理工作打下基础。
为便于读者的了解与学习,本书循序渐进地设置了相应章节的内容。其中,第1章主要讲述了网络安全意识的重要性和相关研究进展;第2章主要讲述了隐私保护,隐私保护是当前网络安全意识领域的研究重点,也是同个人息息相关的重要领域;第3章主要讲述了网络安全意识的基本概念和知识;第4章主要讲述了社会工程学的相关概念与基础知识;第5章主要讲述了现有的网络安全意识模型,方便读者深度剖析网络安全意识的组成和影响;第6章主要讲述了网络安全意识提升的框架与方法,为研究人员和从业人员提供了一种参考;第7章和第8章分别针对网络安全意识提升框架的知识体系、考核模型、测评方法等核心内容做了详细的阐述,给出了主要的应用模型及研究思路;第9章主要讲解了网络安全意识测评系统的实际应用,方便读者进一步了解测评方法;第10章主要讲述了网络意识形态安全及舆情分析;第11章主要介绍了网络安全法规与标准。
信息社会发展至今,人们对于“信息安全”“网络安全”“网络空间安全”等相近的概念有不同程度和层次的解读。本书主要以“网络安全”作为核心词汇,但在个别地方,尤其是法律、法规,以及相关标准上仍然保留了“信息安全”一词,涉及相关学科研究时,则会用到“网络空间安全”一词。参考文献分别列于各章最后,以便读者查阅。
本书由朱诗兵任主编,王宇、齐斌任副主编,参加本书撰写工作的还有航天工程大学的李冀兴、王飞、郑霄、熊达鹏等同志,他们在书稿编写过程中付出了很多辛苦与努力。本书从前期策划到最终成稿得到了很多人的帮助和支持,感谢航天工程大学的邹红霞副教授对于网络安全人才培养方面内容的指导,以及北京红山瑞达科技有限公司对于网络安全意识测评系统给予的技术支持。电子工业出版社的编辑为本书的出版耗费了大量心血,在此一并深表谢意!
本书在编写过程中还参阅了大量的文献,其中包括大量专业书籍、学术论文、学位论文、国际标准、中国国家标准和技术报告等,在此向这些文献的原作者表示衷心的感谢和敬意!
由于网络空间安全学科在快速发展中,网络安全意识的研究工作也正处于逐步开展的阶段,加之编者学识有限,书中难免有不当之处,恳请各位同行和读者不吝赐教,我们将不胜感激。编者于航天工程大学2019年6月
第1章 概述
1.1 背景环境
在信息化时代,没有网络安全就没有国家安全,网络安全对国家安全而言牵一发而动全身。2017年5月,名为WannaCry的“蠕虫式”[1]勒索病毒风暴席卷全球,迅速感染了不同国家的多家机构的计算机系统,致使世界上多个国家的重要基础设施瘫痪,造成了极其严重的经济损失,影响了人们正常的社会生活。
笔者在对病毒入侵途径的调查研究中发现,目前许多入侵攻击依赖于社会工程学方法(详见本书第4章的内容),主要包括邮件钓鱼、短信钓鱼、二维码钓鱼、电话钓鱼等方式。这些利用各种通信途径诱导用户泄露个人信息并利用恶意软件或极具恶意诱导的伪装通信载体进行攻击的方式就被称为“网络钓鱼”。
网络钓鱼作为社会工程学中典型的攻击方式,对人们的网络生活而言是一种很大威胁。通过对近几年全球信息泄露、商业欺诈等事件分析发现,近80%的网络攻击与社会工程学有关,黑客利用人性普遍存在的弱点,使用网络钓鱼、欺骗等手段,针对固定或非固定的目标植入恶意软件或计算机病毒,给受害者造成了很大损失。
金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是遭到重点攻击的潜在目标。“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。Stuxnet(震网)病毒入侵伊朗核设施等事件表明,即使是物理隔离也难以避免黑客用社会工程学手段对人的直接攻击。而难以直接采取技术攻击的关键信息基础设施往往最容易被黑客用社会工程学手段攻击。
很多网络安全事件发生的主要原因是工作人员缺乏一定的网络安全意识。倘若相关人员能够时刻警惕网络风险,提高网络安全意识,那么现有的网络安全事件保守估计可以减少1/4。
网络安全事件无疑是在提醒国民务必重视自身的网络安全意识培养,务必通过加强网络安全意识,提高对网络威胁和风险的敏感性来降低或避免网络攻击带来的损失。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同的责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。网络安全意识绝不是网络安全从业人员的专属属性,提高网络安全意识是网络空间数亿网民的必修课,是事关全年龄段、全工作领域的网民全体的重要素养。提高我国全民的网络安全意识是构筑“网络安全长城”防线的重要工程,是维护国家安全、网络边疆安全的重要环节,也是网络安全领域专家、学者极其重视的领域。
1.2 网络安全意识的重要性
网络安全事关国家安全,事关经济发展,事关社会稳定,事关亿万网民的切身利益。而我们将长期面临的最突出问题就是网民缺乏必要的网络安全知识和技能,网络安全意识淡薄。
据《中国互联网发展状况统计报告》发布的数据,截至2019年6月,我国网民数量达8.54亿人,位居世界第一位,是名副其实的网络大国。但我国的网络技术还不够强硬,信息基础设施还不够完善,人才队伍还不够强大,更为突出的是社会公众网络安全意识还很薄弱,这已成为制约我国网络安全水平提升的一大短板。
目前,网络空间安全形势十分严峻,特别是不法分子利用现代通信技术实施新型网络犯罪呈高发态势,网络安全问题已成为侵害人民群众切身利益的社会公害。网络病毒数量呈现几何级数增长态势,网络游戏大盗、灰鸽子、僵尸木马、WannaCry等病毒在网上肆意泛滥,不法分子入侵用户计算机,盗取账号密码、个人隐私、商业秘密、网络财产,甚至国家机密等。近年来,全球因网络安全问题每年遭受的经济损失高达5000亿美元。
在病毒漏洞数量激增、网络攻击愈演愈烈、网络犯罪日益猖獗的网络安全问题形势下,广大人民群众对网络安全重要性的认识不足、网络安全知识缺乏、网络安全技能薄弱、网络安全意识淡薄,不仅不利于防范网络风险、应对网络威胁,甚至可能令个人及企业遭受名誉和财产损失。
提高全民网络安全意识,特别是提升亿万网民依法上网、文明上网、安全上网的意识,共同维护网络安全和国家安全、维护网民的切身利益已成为全社会的重大课题。特别要关注以下方面。
一是要提高民众网络安全意识,注重知识和技能的培养。开展国家“网络安全宣传周”活动是我国网络安全意识培养工作的突破之举,为加强全民网络安全宣传教育、提升网民的网络安全意识和技能提供了一个良好的途径。广大网民可通过积极参与国家“网络安全宣传周”各项活动,获取网络安全知识和技能的指导。务必做好个人数据资料的保护,谨慎进行电子交易、网上支付等涉及经济利益的操作,及时修复安全漏洞,防范个人主机或移动终端被木马或僵尸网络操控,防范个人信息泄露和财产损失。
二是要完善互联网安全管理体制。建设为民、文明、诚信、法治、安全、创新的网络空间,需要各方同心共智、同频共振、同力共举。国家依法管网,维护互联网秩序,加强顶层设计,推动立法工作。企业依法办网,提升自主创新能力,发挥技术优势,勇担共建网络安全社会责任。民众依法上网,增强网络安全防范意识,提升网络安全防护技能,传播正能量,让网络真正成为工作的载体、学习的平台、生活的帮手。
三是要建立网络安全监测预警和信息通报制度。在国家网信办统筹协调下,建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练;一旦发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查、评估和处置,防止危害扩大,并及时向社会发布有关警示信息。网民应当及时关注重要警示信息,处理潜在威胁与风险,从个人做起,减小损失发生的概率。
1.3 典型群体的网络安全意识现状分析
随着大数据技术迅速发展,用户的网络安全正面临着严峻挑战。大学生作为在学历高、见识广、思维敏捷等方面具有一定优势的群体,是我国人才培养的重要后备军,这一主体的网络安全意识培养状况在很大程度上可以说明我国网络安全意识整体的环境表现。1.3.1 调查问卷数据分析
目前无论在学习、娱乐或是购物等方面,大学生依赖网络的程度越来越高。根据中国互联网信息中心发布的《中国互联网发展状况统计报告》,2015年,大学生人均周上网时长达26.2小时,相当于每天[2]上网3.75小时,大学生成为贡献上网时长的主力军。
在对全国15所高校,近3000名大学生进行问卷调查和座谈后,数据表明有25%的大学生每天上网时长在2小时以内,42%的大学生每天上网时长为2~5小时,33%的大学生每天上网时长为5小时以上。而大学生上网的主要内容包括购物、游戏、学习、通信四大类,其中网络购物与大学生的财产信息安全直接挂钩,通信则与大学生的个人隐私息息相关。
在调查“大学生是否有意识地去了解网络安全方面的知识”问题时,问卷显示仅有15%的大学生“经常”了解,38%的大学生“偶尔”了解,36%的大学生“很少”了解,11%的大学生“没有”了解。这充分表明,虽然大学生每日花费大量时间上网,但却忽视了网络安全,这是大学生易遭受网络陷阱和网络侵害的重要原因之一。
在调查大学生对社会舆论做出的反应时,数据表明对未经证实的内容,36%的大学生“不理睬,直接跳过”;61%的大学生“了解后,不管”;3%的大学生“转载并评论”。座谈中还发现,对未经证实的社会敏感问题和不良信息有潜在的网络安全问题,甚至有可能是网络安全意识形态的问题,有很大一部分大学生无法准确辨别是非,不能肯定自己的判断,更不能依据自己的专业知识做出回应。
在调查大学生遇到诸如网络病毒、垃圾邮件之后的反应,以及平时使用网络的习惯时,数据表明大学生普遍拥有基本的网络安全常识,了解有害邮件需删除、病毒查杀等基本常识,但是座谈时却发现,很多大学生存在虽然具备常识但并没有做到的现象,行为包括随意点击网站链接、随意扫描二维码等。在统计大学生遭受过的网络安全问题时发现,曾遭受过有害邮件和病毒攻击的大学生占调查总人数的83%和65%,而且有理由相信还存在部分大学生遭受病毒攻击但自己没有发现的现象。
受过财物被盗(4%)和信息被盗(15%)的大学生较少,这说明大部分大学生对于个人信息和财产的保护具备最基本的认知,但是存在处置经验不足的情况。在调查“大学生受到的具体侵权行为”时发现,其中近95%的大学生收到过垃圾信息,68%的大学生遭受过骚扰,52%的大学生有过社交软件被盗号的经历,这几类侵害行为多是因为受害者网络安全意识不强,自我保护能力差造成。在收到朋友的附件链接时,直接打开的占少数,仅为28%;询问后打开的占42%。当他们遇到网络诈骗时,能够保存证据,并向相关部门报案的仅有37%,大部分大学生会选择下次注意。1.3.2 高校网络安全教育情况
我们以6所不同类型的高校调查中可知,网络安全教育情况存在明显差异。其中理工类大学的网络安全教育情况较好,有47%的大学生接受过较为全面的网络安全教育,这同大学自身教学环境密不可分;师范类院校和语言类院校有67%的大学生在校期间从未受过或很少受过网络安全教育,网络安全教育在学生群体中覆盖面不广、不精。“大学生在校期间受过哪些形式的网络安全教育”的调查显示,开设讲座的形式占据主流,主要原因是讲座的覆盖面广,场地一次可以容纳大量学生,专业性强,对于大学生具有一定强制性。但大学生对讲座的参与意愿并不强,更多人希望通过网络宣传、自主学习等方式接受网络安全教育。整体来看,现阶段高校网络安全教育方法较为单一,大学生主动性不强,网络安全教育模式有待提高。1.3.3 大学生网络安全意识教育启示
通过以上关于大学生网络安全问题的调查研究,并基于对大学生的相关访谈,我们总结出在网络安全教育方面大学生存在以下几个问题:第一,网络安全意识不强。第二,网络安全知识缺乏,尤其是非计算机专业的大学生对相关网络安全知识,软件维护和防入侵行为方面的操作知识知之甚少或者不能有效运用。第三,对诱惑网站的有效抵御能力较差,不能很好地评估网页的安全性。第四,个人信息保护程度较差,部分大学生很容易忽视自身隐私性的保密和自身网络行为的安全性。第五,网络安全防范能力欠佳,对相关网络安全方面的案例关注甚少,法律维权意识欠缺。
网络的开放性和共享性在方便人们使用的同时,也使得网络很容易遭受攻击。从上述调研和分析可知,大部分大学生虽然有一定的网络安全防范意识,但是他们的安全防范意识不足,导致受到一些网络危害。因此,增强大学生网络安全意识刻不容缓。学校应充分利用自身的教学优势,在课堂内外宣传网络安全知识,增强大学生的网络安全意识。(1)不定期在大学生中开展网络安全知识宣传,可以在一定程度上帮助大学生了解网络中存在的安全问题,了解问题的本质,掌握解决问题的方法和技术。一份高质量的宣传手册不仅可以向大学生宣传当前网络安全的形势,更可以向大学生提出问题,引导大学生去思考、关注调查的内容。(2)开设针对性和普及性的专题知识讲座。开设专题讲座可以起到培养大学生网络安全意识的作用,也给大学生提供一个讨论相关问题的机会,以此引导大学生关注网络安全问题。通常,大学生会在自己遇到问题之后再选择参加这类讲座,所以开设针对性和普及性专题知识讲座要比课堂上集中进行理论教学的效果好。(3)为提高大学生自身的网络安全意识,首先应提高他们对计算机病毒和木马的防范意识,培养他们在计算机的使用过程中注意以下几点:安装正版杀毒软件、计算机防火墙和上网安全助手,并及时升级;使用带有漏洞修复功能的软件,定时打好补丁,弥补系统漏洞;不浏览陌生网站,不随意下载和安装可疑插件;接收QQ、邮箱等传来的文件时,安全级别最好选择“高”;上网时打开杀毒软件的网页监控功能,把网络游戏、QQ等加入带有账号保护功能的软件中,可以有效保护密码安全;定期浏览各大杀毒软件官网,了解最新的病毒情况,并做好预防;安装正版软件,这是因为正版软件有厂商承诺与定期更新业务,能够第一时间防范最新的黑客攻击与信息盗窃;当个人财产蒙受损失时,应当及时报警,寻求警方的帮助与支持;在面对索取个人私密信息的要求时,应当及时审核该机构是否有能力、有信用保证个人信息不被泄露与盗取,并根据实际情况做出自己的决定。
1.4 网络安全意识发展现状
1.4.1 国内外宣传活动现状对比“人人参与、人人受益”是互联网的重要特征,维护网络安全需要社会公众的广泛参与和配合,加强网络安全宣传教育的工作势在必行。我国从2014年开始举办“网络安全宣传周”活动,旨在帮助公众更好地了解、感知身边的网络安全风险,增强网络安全意识,提高网络安全防护技能,保障用户合法权益,共同维护国家网络安全。2017年“网络安全宣传周”活动的主题是“网络安全为人民,网络安全靠人民”,就是以人民群众通俗易懂、喜闻乐见的形式,开展网络安全进社区、进校园、进企业、进家庭等活动,增强广大网民的网络安全意识,提升基本防护技能,在全社会形成“人人学安全、懂安全、重安全”的良好氛围。我国自2014年举办“网络安全宣传周”活动以来,全社会逐渐重视网络安全意识的培养,360互联网安全中心于2017年10月发布了《中国网民网络安全意识调研报告》。该报告明确指出,近年来,网络安全事件数量逐年递增,我国国民的网络安全意识虽然普遍稳步提高,但远未达到应有的警惕性。大部分人虽然为计算机或手机安装了安全软件,能够有效抵御病毒和木马,但这还远远不够。网民只有形成正确的网络安全意识,掌握必要的网络安全技能,才能有效地防范各种网络侵害。
在国际上,美国自2004年开始启动了“国家网络安全意识月”活动,至2018年已连续举办15届。欧盟自2008年开始举办“网络安全意识日”活动,该活动将欧盟与各国家的政府机构、企业高层代表、媒体聚集一堂,旨在增进各方对新兴网络安全进展与互联世界面临挑战的共同理解。日本、新加坡、澳大利亚等国家自2011年开始纷纷结合本国国情开展网络安全意识宣传工作。
各国网络安全意识的宣传工作具备三个共性,一是政府主办,多方合作。网络安全意识教育等活动得到了国家元首的支持,呼吁国民重视网络安全的重要性,倡导公众增强安全保护意识,使其国家网络安全意识宣传工作得到了充分关注。在政府主导下,企业部门、非营利机构、媒体部门等作为合作伙伴发挥各自作用,互相提供支持。二是内容丰富,主题多元。各国网络安全意识教育计划与活动通常包含多个主题,包括互联网安全、隐私保护、欺诈防范,以及网络钓鱼、恶意软件、身份盗用、垃圾邮件、网络暴力与骚扰等问题。网络安全意识教育活动自启动以来,各个国家每年都设有不同的特定主题。三是对象广泛,方法多样。网络安全意识教育活动的目标对象较为广泛,包括各个行业领域、各个年龄层次的人群。网络安全意识教育最广泛的宣传方式是门户网站、指南手册、电视、广播等媒体宣传,最具吸引力的是网络安全意识日(周、月)等方式的主题活动,另外,还包括研讨会、竞赛、论坛等方式。1.4.2 国内外政策现状对比
网络安全意识是人员预防网络侵害的重要素养,随着世界信息化的程度越来越高,世界各国人与事物的联系越发密切,应对网络空间潜在威胁与国民息息相关,所以各国对网络安全意识的重视程度也达到了空前的地步。
我国2016年12月正式发布了《国家网络空间安全战略》,其中明确指出,全社会的网络安全意识、基本防护技能和利用网络的信心大幅提升是网络强国战略目标的重要一环,推动网络安全教育进教材、进学校、进课堂,提高网络媒介素养,增强全社会网络安全意识和防护技能,提高广大网民对网络违法有害信息、网络欺诈等违法犯罪活动的辨识和抵御能力,是夯实网络安全基础的战略任务。
2017年6月,我国正式实施《中华人民共和国网络安全法》(简称《网络安全法》),其中第六条明确指出“采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境”;第十九条规定了“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作,大众传播媒介应当有针对性地面向社会进行网络安全宣传教育”;第二十条明确了“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流”。这一系列的法律条文充分显示了我国政府对网络安全、网络安全意识、网络安全宣传教育的极度重视。《网络安全法》是建设法制中国、法制网络空间具有里程碑意义的重要文件。
美国在2018年1月启动和出台了“国家网络安全综合计划”和“国家网络安全教育计划”,形成了一个包括学历教育、社会培训、全民宣传教育相结合的多层次、广覆盖的网络安全人才发展体系,并根据安全教育需求设置了相应的指标体系,涵盖了不同年龄层次,不同行业领域,不同任务要求,为防范计算机网络犯罪和恶意攻击提供必要的知识和技能,全方位提升美国民众的网络安全意识,营造网络安全文化环境。
美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)安全相关标准与指标体系的出台刺激了美国网络安全意识评估与教育的迅速发展,在美国政府、军队、企业、学校、社区等组织中取得了明显成果。
日本自2006年起先后实施了两次信息安全基本计划,核心目标之一就是树立起“安全立国”的思想。政府组织与公用事业单位、企业积极合作,面向整个社会普及信息安全知识,共享和传播先进的信息安全保障技术和管理方法。经过多年的宣传和普及教育,信息安全意识已渗透到日本人的生活中。例如,顾客把淘汰手机交给零售店回收,店员会当顾客的面用专用工具在手机上打4个孔,并消除个人信息。
俄罗斯建立信息对抗教育防范体系,在全国范围内,特别是在一些重要部门建立全新的“信息对抗、信息心理对抗教育和防范体系”。这一体系包括技术防护、宣传解释、思想教育等。
法国于2008年发布了一份名为《网络防御与国家安全》的专题报告,要求政府所有部门都主动行动起来,采取切实有效的措施推广网络安全防范观念。
澳大利亚已制订覆盖各类组织及各个知识层次公民的“国民信息安全意识提升计划”,要求企业把提高员工信息安全意识当作一项核心工作,并建议将公众信息安全教育的重点放在法律、道德教育和网络安全知识普及等方面。
各国的相关政策及实践表明,网络安全教育可以有效提高社会公众的网络安全意识、知识和基本技能,是国家网络安全保障的一项基本政策。我国已将网络安全教育纳入国家网络安全战略规划,作为国家网络安全战略的重要组成部分发挥效能。网络安全教育应当以政府为主导,学校、社会团体、企业和个体等各方齐抓共建、具体落实,举全社会之力实现协同效应,共同提高全民网络安全意识。
1.5 网络安全意识研究现状
基于网络安全领域(包括网络安全、信息安全、通信安全等相似领域)主题词汇的智能检索发现,中文学术论文近年的实际发表量在18000篇左右,国际英文学术论文年发表量在15000篇左右(包括中国学者发表的外文学术论文)。但综合已有的统计数据表明,全球网络安全意识领域的研究学者却不多,安全意识测控的学术成果仍处于萌芽阶段。所以,笔者认为,网络安全领域的研究人员需要将更多精力投入到人员安全意识的研究中,并展开有应用价值的探索。
据2013—2017年不完全统计,我国在网络安全意识相关研究领域发表文献近千篇,其中多数为社会科学类文献,高水平的核心刊物发表文献不足60篇,且研究方向主要集中在大学生网络安全意识教育和培养模式,以及国外网络安全意识教育领域的经验和启示等方面,缺乏对网络安全意识提升措施的具体研究。反观国际上,该研究领域虽然仅有1500篇文献,但SCI、EI级别的论文却有百余篇,研究方向主要有网络安全意识教育模式及框架、不同领域的网络安全意识实训技术或方法、网络安全意识规范和策略,以及网络安全意识测试技术。
我们在对国内外高水平文献和已有的各种教育、训练、宣传平台等进行综合分析后发现,全球对网络安全意识教育研究的学者确实不多,而且多数学者的研究仅仅停留在理论和概念上,对于人员网络安全意识培养效果的量化考核缺乏指导,难以形成科学、合理的网络安全意识及意识教育体系。
目前,随着政府及社会各方的高度重视,我国在网络安全意识领域的研究已经逐步展开,并在教育培训、测评、宣传等领域取得了阶段性成果。据业内相关机构统计,我国专攻网络安全意识研究的科技公司现有10余家,与网络安全教育、培训相关的科技公司有30多家。我国政府为贯彻落实《网络安全法》中的具体细则,相关部门日前已经针对人员信息安全保护、数据安全、网络安全意识测评标准和指南等开展了法律、规范和标准的撰写工作,相关标准的顺利出台将有利于指导网络安全意识研究、教育和产业的规范性工作,将会极大提高我国国民网络安全意识的教育效果,更好地实现网络空间安全战略目标。
1.6 网络安全意识研究内容与研究方向
ACM SIGCSE 2018国际会议上正式发布了网络空间安全学科知[3]识体系CSEC2017 ,这是迄今为止国际上最具代表性和权威性的网络空间安全学科知识体系,如图1-1所示。CSEC2017将人员安全的重要性提升至最高层面,指明在软件安全、数据安全、组件安全等基础领域之上必须考虑人员安全,这既具有现实意义,也是体现人员网络安全意识重要性的理论支撑。主流学者认为人员安全知识域应着眼于用户的个人数据保护、个人隐私保护和安全威胁化解,也涉及用户的行为、知识和隐私对网络空间安全的影响,关键知识包括身份管理、社会工程、意识与常识、社交行为的隐私与安全、个人数据相关的隐私与安全。这一论述也可作为相关研究人员网络安全意识的重要参考。图1-1 网络空间安全学科知识体系结构
目前,网络安全意识领域的研究主要集中在以下几个方面:(1) 网络安全意识评价模型;(2) 不同行业人员应当掌握的网络安全知识和技能;(3) 网络安全意识测评技术;(4) 网络安全意识测评标准;(5) 网络安全意识教育与宣传;(6)《网络安全法》与行业网络安全规范研究;(7) 企业级人员网络安全意识评估。
1.7 小结
本章主要讲述了网络安全意识的重要性和相关研究进展对典型用户群体,并对大学生的网络安全意识教育情况进行了重点分析。
参考文献
[1] 齐斌,王宇,邹红霞,等.解析网络空间武器威胁[J].保密科学技术,2017,8(6):28-32.
[2] 裴秋芬.大学生网络安全意识及风险防范教育的调研与思考[J].河南教育(高教),2017(4):14-16.
[3] Raj R K,Parrish A.Toward Standards in Undergraduate Cybersecurity Education in 2018[J].Computer,2018,51(2):72-75.
第2章 隐私保护
隐私保护是网络空间安全中关注网民隐私权益、保障网络生态安[1]全发展的重要研究领域。在网络空间中,隐私的定义被极大扩展,不仅包括传统社会中个人的身份信息和社会活动信息,还包括伴随网络社交活动产生的社交信息、移动网络服务带来的位置信息,以及其他服务带来的诸如金融信息、健康信息等新的隐私类型;隐私泄露的危害显著增加,不仅会给网民带来直接的数据泄露风险,还有可能产生一系列的潜在威胁,如恶意广告、信用卡诈骗、洗钱等违法犯罪活动。
保护隐私不仅需要用户个人提高警惕,学习隐私保护方法,还需要网络服务提供方、数据使用方和监管方的共同参与。
2.1 网络空间安全领域隐私的定义
简单来讲,隐私一般是指个人、机构等实体不愿意被外部世界知晓的信息。隐私的概念是多维、灵活、动态变化的,是机密、秘密、匿名、安全和伦理等多重概念的重叠,同时也依赖特殊场景,因此很[2]难定义出通用的隐私概念。在传统领域中,隐私信息一般是指个人的身份信息、工作信息、家庭信息等。在网络空间安全领域,隐私的种类可以拓展到多方面,一般可分为个人身份数据、网络活动数据和位置数据三类。(1) 个人身份数据。个人身份数据即隶属于个人身份的数据,包括身份证号、银行账号、收入和财产状况、家庭成员信息、学历信息和职业信息等。(2)网络活动数据。网络活动数据即个人用户在使用网络服务时直接产生的数据,包括网络活动踪迹、网络社交活动、网络购物记录等。(3) 位置数据。位置数据即个人用户在使用网络服务时产生的位置信息,包括移动设备定位信息、GPS导航信息、射频信息等。
这些数据反映了网民的个人特征和行为特征,倘若泄露,极有可能对网民造成严重损失,因此,网民在使用网络服务时有权保护自己的隐私信息。
在传统的隐私保护领域,各个国家都有相关的法律和规定。《中华人民共和国宪法》(简称《宪法》)第四十条规定:中华人民共和国公民的通信自由和通信秘密受法律的保护。《网络安全法》第七十六条规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
随着计算机和网络的不断普及,越来越多的隐私信息被数字化、网络化,各个国家也都设立了相应的法律法规,以保护个人隐私信息不受侵犯。例如,在网络尚未普及的1970年,德国联邦政府就设立了《联邦数据保护法》以保护德国公民的个人信息和隐私;英国设立了《数据保护法》《人口普查保密法》;希腊设立了《私人信息保护法》;葡萄牙设立了《个人信息保护法》;新西兰设立了《隐私保护法修正案》……
虽然社会各界非常重视隐私保护,但由于网络空间的复杂性、网民缺乏网络安全意识和隐私保护意识,以及新技术不断发展带来的更多安全隐患,个人信息泄露的风险越来越大。
2.2 信息泄露事件及危害
随着互联网的不断发展,个人生活与互联网已经密不可分,几乎日常的一切活动都与网络息息相关。由于网络具有巨大的存储能力,用户在互联网的全部活动都会留下记录,致使攻击者可以通过技术手段对这些数据进行追踪和还原。
在如此背景下,隐私信息泄露事件就变得异常普遍,2016年全球发生逾3000起公开的数据泄露事件,近22亿条记录被披露。截至2018年8月统计数据表明,世界各地深受数据泄露事件的困扰,已造成数以亿万美元计的损失。据《2018数据泄露损失研究》评估显示,大型数据泄露代价高昂,百万条记录可致损失4000万美元,5000万条记录可致损失3.5亿美元。遭遇数据泄露事件的企业平均损失386万美元,同比2017年增加了6.4%。
以下是ITPUB技术论坛整理的2018年上半年发生的10起国内外影[3]响最大的数据泄露事件,其影响和危害可见一斑。
1.Aadhaar
泄密数量:10亿条
事件时间:2018年1月3日
事件回顾:
2018年1月,印度10亿公民身份数据库Aadhaar被曝遭网络攻击,该数据库除了名字、电话号码、邮箱地址等,还有指纹、虹膜等极度敏感的信息。
印度Tribune报道指出,攻击者通过一个WhatsApp匿名群组,花500卢比就能获得访问该数据库的一个账号。通过输入任何一个Aadhaar号码(每个印度公民都拥有的12位的唯一标识符),可检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后,任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。
2.Facebook
泄密数量:超过8700万条
事件时间:2018年3月17日
事件回顾:
2018年3月,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络,以及其在平台上的参与度。尽管Cambridge Analytica公司声称公司只拥有3000万用户的信息,但经过Facebook的确认,这个估计实际上很低。同年4月,该公司通知了在其平台上的8700万用户,他们的数据已经遭到泄露。
随着对Facebook应用程序更深入的审查,Cambridge Analytica丑闻只是冰山一角。2018年6月27日,安全研究员Inti DeCeukelaire透露另一个名为Nametests.com的应用程序已经泄露了超过1.2亿用户的信息。
3.Panera
泄密数量:3700万条
事件时间:2018年4月2日
事件回顾:
2018年4月2日,安全研究员Dylan Houlihan联系了调查信息安全的记者Brian Krebs,向记者讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致panerabread.com以明文泄露客户记录,这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞,但他的报告被驳回了。在此后的8个月里,Houlihan每个月都会检查一次这个漏洞,直至最终向记者Krebs披露。随后,Krebs在他的博客上公布了这些细节。在Krebs的报告发布后,Panera Bread暂时关闭了网站。
尽管该公司最初试图淡化此次数据泄露事件的严重程度,并表示受到影响的客户不到1万人,但真实数字可能高达3700万人。
4.Under Armour
泄密数量:1.5亿条
事件时间:2018年3月25日
事件回顾:
2018年3月25日,美国著名运动装备品牌Under Armour称有1.5亿MyFitnessPal用户数据被泄露了,MyFitnessPal是Under Armour旗下的一款食物和营养主题应用App,可以跟踪用户每天消耗的热量,并可以设置运动目标、集成来自其他运动设备的数据、分享运动成果到社交平台,广受欢迎。
据该公司称,此次数据泄露事件影响的用户数据包括用户名、邮箱地址和加密的密码,但并没有涉及用户的社会安全号码(Social Security Numbers)、驾驶证号和银行卡号等隐私信息。
5.MyHeritage
泄密数量:超过9200万条
事件时间:2018年6月4日
事件回顾:
2018年6月4日,MyHeritage的安全管理员收到一位研究人员发来的消息称,其在该公司外部的一个私有服务器上发现了一份名为Myheritage 的文件,里面包含了9228万个MyHeritage账号的电子邮件地址和加密密码。在检查文件后,MyHeritage的安全管理员确认该文件中包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。
随后该公司发布的一份声明称,由于MyHeritage依赖第三方服务提供商来处理会员的付款,黑客破解了密码机制,获得哈希密码,但不包含支付信息。服务商将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上,该公司表示,没有证据表明文件中的数据被黑客利用。
6.Ticketfly
泄密数量:超过2700万条
事件时间:2018年6月3日
事件回顾:
2018年5月31日,美国票务巨头Ticketfly遭遇黑客攻击勒索,导致音乐会和体育赛事票务网站遭到破坏,并离线和中断一周。据报道,此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞,并要求其支付赎金。当遭到Ticketfly的拒绝后,黑客劫持了Ticketfly网站,替换了它的主页。
据黑客IsHaKdZ表示,他手中拥有完整的数据库,里面包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)。
7.Sacramento Bee
泄密数量:1945.3万条
事件时间:2018年6月7日
事件回顾:
2018年2月,一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据,另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后,攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求,并删除了数据库,以防将来这些数据库再被利用来进行其他更多的攻击。
根据Sacramento Bee的说法,这起黑客攻击事件共泄露了5.3万名订阅者的联系信息,以及1940万名加州选民的个人数据。
8.AcFun
泄密数量:800万条
事件时间:2018年6月14日
事件回顾:
2018年6月14日凌晨,国内著名弹幕视频网站AcFun(A站)在官网发布《关于AcFun受黑客攻击致用户数据外泄的公告》称,该网站曾遭遇黑客攻击,近千万条用户数据已发生外泄,其中包括用户ID、网名,以及加密存储的密码等数据。
其实在当年3月,在暗网论坛中就有人公开出售AcFun的一手用户数据,数量高达800万条,价格仅为12000元,平均1元能买到800条。而在AcFun发布此次数据泄露公告之前,暗网中也早有人兜售AcFun的Shell和内网权限,主要卖点就是数据量大、日流量高。
9.圆通
泄密数量:10亿条
事件时间:2018年6月19日
事件回顾:
2018年6月19日,一位ID为“f666666”的用户在暗网上开始兜售圆通10亿条快递数据,该用户表示售卖的数据为2014年下旬的数据,数据信息包括寄(收)件人姓名、电话、地址等信息,10亿条数据已经经过去重处理,数据重复率低于20%,以1比特币打包出售。
该用户还支持对数据真实性进行验货,但验货费用为0.01比特币(约合431.98元),验货数据量为100万条。此验货数据是从10亿条数据里随机抽选的,每条数据完全不同,也就是说,用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息,而购买10亿条数据则需要花费43198元人民币。
10.华住旗下多个连锁酒店开房信息
泄密数量:5亿条
事件时间:2018年8月28日
事件回顾:
华住旗下多个连锁酒店开房信息数据正在暗网出售,受到影响的酒店,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等连锁酒店,泄露数据总数近5亿条。
从网络上流传的截图可以看出,黑客出售的数据信息如下,其中几大数字需要引起我们高度注意。
• 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53 GB,大约1.23亿条记录。
• 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3 GB,约1.3亿人身份证信息。
• 酒店开房记录,包括内部ID账号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID账号、房间号、消费金额等,共66.2 GB,约2.4亿条记录。数据之齐全,令人咋舌。
发帖人声称,所有数据脱库[1]时间是8月14日,每部分数据都提供10000条测试数据。所有数据打包售卖8比特币,按照当天汇率约合37万元人民币。而经过媒体报道之后,该发帖人称要减价至1比特币出售。
据研究人员表示,此次泄露是由华住公司程序员将数据库连接方式及密码上传到GitHub导致的。数据库信息是20天前传到了GitHub上,黑客脱库是在14天前,黑客很可能是利用此信息实施攻击并脱库。
用户的隐私信息一旦被泄露,通常会带来多方面的损失。首先,隐私信息泄露会给当事人的个人生活带来困扰。这其中既有由于单个网络服务出现问题导致的信息泄露,也有针对个人用户更为严重的隐私泄露威胁。其次,个人隐私泄露很容易升级为针对个人的违法侵害,如恶意广告和诈骗活动等。
据北京多个派出所的综合统计,近年来接报的电信诈骗案件数量约占立案总数的1/3,是当前比例最高的发案类型,而此类诈骗通常采用以下手段。
• 用户个人或社交信息泄露后,犯罪分子冒充公检法机关、邮政、电信、银行、社保等部门的工作人员或亲友等实施诈骗。
• 用户购物信息泄露后,不法分子冒充卖家进行诈骗。
• 用户电话、QQ、微信或邮箱等通信方式泄露后遭遇中奖诈骗。
• 用户寻求工作信息泄露后收到虚假招聘信息。
• 用户交友信息泄露后遭到网络交友诈骗。
• 家庭信息泄露后遭受绑架诈骗。
这些诈骗案件通常是基于已获得的用户隐私信息设计的针对性欺骗方案,具有极大的迷惑性。
此外,隐私泄露还可能导致更加严重的犯罪活动,如冒用他人身份信息进行非法活动,利用他人银行卡信息进行洗钱等犯罪活动。
泄露的隐私数据会成为黑客攻击的素材,不仅被用作交易而广泛传播,还会被黑客用于社会工程学攻击(指利用社会工程学手法进行的攻击,详见第4章),从而在后续攻击中起重要作用。例如,黑客通过收集用户的姓名、电话号码、生日、邮箱地址等私人信息构建破解所需的字典表,通过用户的生活、工作信息构建欺骗邮件等。
因此,无论是对于个人层面还是单位、机构、国家等层面,都应该重视和切实采取措施提高隐私保护的能力,提高网络安全意识。由于网络空间安全的复杂性,信息存储和使用的方法多种多样,责任主体也不尽相同,攻击手段更是千变万化,难以通过一套通用的过程保[4]护信息,所以必须针对不同场景设计不同的保护方法。提高网络安全意识,保护个人隐私不仅需要用户提高隐私保护的能力,也需要提供网络服务的企业在研究技术时考虑隐私保护的需求。针对网络安全意识领域而言,无论是何种机构的业务关系总是交由不同岗位的人员进行操作,因此,提升不同岗位人员的网络安全意识,提升个人在网络空间中隐私保护的能力则显得尤为重要。
2.3 个人用户的隐私保护
个人用户是使用网络服务的主体,因此,信息的保护方案应由用户自主选择,但由于用户本身欠缺网络安全意识,缺乏隐私保护的技能,因此,个人用户是隐私保护的重点对象,是提升网络安全意识的重要个体。2.3.1 隐私信息面临的主要威胁
个人用户在使用网络服务时面临的泄露威胁非常多,常见的泄露威胁包括被黑客或不法分子通过用户账号窃取隐私、通过诱导输入搜集隐私、通过终端设备提取隐私、通过黑客攻击获取隐私等。
1.通过用户账号窃取隐私
通过用户的账户信息窃取用户隐私是最简单、最直接的方式。随着互联网服务的快速发展,个人信息愈来愈多地被存储在互联网上。简单而言,通过社交网站获得用户的人际关系,通过电商网站获得用户的住址、电话等,通过支付类网站获取用户的身份信息,通过招聘网站获取用户的简历信息。如此,网络服务中包含着用户方方面面的个人信息,而这些信息数据可以通过用户的账户直接获取,所以,保护账户信息对于保护隐私和保持网络安全意识而言尤为重要。
大量的泄露事件表明,针对用户账户信息的保护非常脆弱,其中不仅包含用户自身的原因,还包括网络服务提供商和黑客等多方面原因。
对于用户本身而言,弱密码是导致大量隐私泄露事件的主要原因。研究发现,很大一部分网民为使用方便,将账户密码设置得非常简单,极易破解。2015年,美国密码安保服务商SplashData公布了全球“最弱密码”排行榜,“123456”“password”毫无意外地荣登前两位,而诸如此类的弱密码早已被整理成各种各样的字典库,作为黑客攻击活动的基础素材。根据美国加州理工大学某次安全实验统计,工作人员用网络公布的前100位弱密码对随机的邮箱地址进行检测,大约15.3%的邮箱地址可以顺利登录。虽然目前某些网站为提高密码强度要求用户输入8位以上、包含有字符、字母、数字的密码,仍然会出现新的类似的弱密码,如“1qaz@wsx”“123!@#qwe”等。这些密码虽然按要求包含了字母、数字、字符,可以通过密码安全检测,但这种依托键盘按键顺序的密码仍然是基础弱密码,极易破解。
对于服务供应商而言,市场上的服务供应商的技术实力参差不齐,部分企业员工不具备基本的安全知识,在面对黑客攻击时,不具备相应的能力保护用户的隐私信息。例如,2011年某重要网站的账户数据库泄露,导致几百万用户的账户信息被泄露,包括用户的账户、密码、其他身份信息等。更糟糕的是,数据库中的密码信息采用了明文存储,所以可以被他人直接登录,从而获取更为具体的身份信息。虽然,目前大部分网络对数据库中的私密信息都进行了类如哈希算法的加密处理,但是黑客仍然可以采取技术手段破解,可见账户数据泄露是一个严重的网络安全问题。经过数次数据库信息泄露事件,可见网络上已经积累了庞大的账户信息数据。仅以在暗网售卖的用户信息为例,我国国内被泄露的账户信息数据量就超过了50亿条,大多数用户经常使用的账户密码极有可能从中获取。
另外,随着网络技术的发展,犯罪分子的目标更加明确,攻击步骤更加清晰。部分社工库(指黑客将泄露的用户数据整合、归档,存放数据的信息库)网站或论坛将非法搜集的信息进行分类处理(像银行高净值人员信息、母婴信息、购房人员信息、购车人员信息、高校教师信息等),打包卖给有需求的人员,从事用户广告、诈骗等非法活动,严重影响网民的日常生活。
2.通过诱导输入搜集隐私
诱导输入是一种直接通过用户交互获得用户隐私信息的方法,常见的形式包括线上的账户注册和线下的问卷调查。
账户注册是在互联网上获取服务的常见步骤,很多恶意网络都会利用注册获取用户的基本信息。一般包含两个逻辑:一是账户注册时要求用户填写各种信息,往往提供简易服务但却要求填写详细的私人信息,如家庭住址、邮编、身份证号、工作地址,等等,这些信息与服务没有必然联系,所以极有可能是窃取用户个人信息;二是不提供真实服务,而是利用用户需要该项服务的急迫心理,在提供服务前要求用户填写注册信息,骗取用户隐私,当用户发现上当时,信息数据已经被储存在数据库中。
线下调查问卷也是常见的获取用户个人信息的一种方式,包括常见的纸质问卷,也包括最新的下载App、关注微信号、扫描二维码等其他方式。这种方式通常会通过奖励参与者一些小礼物,从而收集用户的个人身份、银行卡等基本信息,逐渐成为隐私泄露的重要途径。另外,很多App和微信小程序等都会要求用户将终端设备的位置信息、通讯录、照相机等授权,而用户很难分辨这些App和微信小程序要求授权的真实目的,因此,盲目授权也逐渐成为隐私泄露的重大隐患。
3.通过终端设备提取隐私
通过终端设备提取隐私是目前常见的、极其重要的一种隐私泄露途径。随着网络时代的发展,电子设备应用非常广泛,常见的终端包括笔记本电脑、手机、平板电脑、智能手表、智能手环等。这些电子设备都存储了用户大量的个人信息,是隐私泄露的重大隐患。举个例子,很多不法分子在回收二手手机后,使用数据恢复程序恢复设备中
试读结束[说明:试读内容隐藏了图片]