当前,中国互联网已覆盖所有城市和超过99%的乡镇,各类网民数以亿计,多种业务在线人数都达千万级,许多行业的营销服务体系在全国范围内成为一个整体,交流与交易不再因距离而分割。
与此同时,金融、电力、政府等行业对互联网和通信业务依赖度越来越高,包括电信业自身,无论是服务还是交易环节都存在多种安全隐患,从终端到系统,从传输到内容,从政治、军事、经济到个人信息,另类力量在全方位地进行暗中博弈和对抗。
金融行业
金融行业的信息安全主要体现在入侵、假冒和信息泄露,三者之间又有关联。
我国金融行业的网络基础设施、电脑设备、芯片、数据库、操作系统、业务系统等几乎都被外国垄断,服务外包高度依赖国外厂商,导致极大风险,服务提供商可能越俎代庖,信息泄露威胁严重。
银行系统停机容忍时限是30分钟,证券交易系统允许的数量级为“秒”,在营业时间没有碰到过“系统故障关闭”的客户似乎不多。灾备体系多有不足,设置的行、所级别低,甚至缺失灾备设备,从事业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面的技术力量与投入明显不足。
鉴于经济市场的活跃,网络上的新型金融业务不时涌现,但是一方面是急于开办的业务并非已经完善,另一方面业务的技术支撑欠缺完整,从业人员的业务不成熟都可能造成投资者信息泄露及平台的运营失常。
十分活跃的第三方支付机构的系统难以核实客户真实身份,多次发生过从不知情的用户账户划走巨额资金的案例,风险不言而喻。
任何一个领域的客户信息泄露,都会将危机转移到金融客户,并且“兑现”为资金损失。泄露来源多种多样,如电信运营商雇员,跨银行网上金融服务产品“超级网银”的授权漏洞,酒店WiFi管理,QQ群的关系数据,甚至12306网站也会泄露乘客数据,客户的登录名、账户与密码,邮箱、姓名、身份证以及电话,出行时间、去向、快捷酒店的开房记录、开房日期和房间号等,QQ号、年龄、从业经历、通信录等各类个人隐私都有可能公之于众。
在银行开通新业务和系统升级之时,就是诈骗分子寻机出动的时机,对那些不了解情况的客户制造混乱,以便他们趁火打劫。
对金融新业务技术内情最为关心的是有意诈骗的另类团伙或个人,连续“蹲守”总能及时发现漏洞并得以破解,这是他们梦寐以求的“阿里巴巴”。应当支持业界成立专业的“安全探查企业”,及时发现新业务中的漏洞。
电力行业
电力信息化可以分为发电系统和调度系统,贯穿发电、输电、供电、用电四个环节,“安全分区、网络专用、横向隔离、纵向加密”这十六个字成为总体安全防护策略的核心。
数据传输设备频受外界人为攻击,重要数据丢失,国内外多次出现由于电力信息系统或传输链路的安全问题导致的重大事故,有统计说70%的安全问题来自内部,非法下载信息恶意攻击内网、窃取密级文件等。
安全隐患还要面对自然灾害,电力调度控制中心要日夜不停地自动监控变电站,监视上网电厂与客户变电站。电网遭遇暴雪、暴雨、台风侵袭都要及时应对,自动化系统的信息报送功能、事故跳闸语音功能、实时信息浏览功能、调度令下达等都要保持绝对的稳定工作状态。
电网公司的营业厅实施“大营销”改造,所有营业厅“都能漫游”办理业务,联网在各处银行交纳费用,电力决策部门可根据需求调整电力生产计划。但是,“大营销”的开放环境也使数据丢失和受到远程攻击的可能性上升。
智能电网条件下的新能源:包括电动汽车、太阳能、家庭太阳能、智慧城市、智慧城市架构等,电网架构更加复杂,节点更多,应对信息安全更加复杂。