信息通信网络安全威胁与漏洞分析
随着互联网的普及,各种类型的移动终端设备成为人们进行高效沟通的必备工具。无论是工作还是生活,如今的人类几乎已经很难摆脱对于互联网的依赖。
尽管互联网改变了人们的生活形式,为人们带来了信息的便利与信息管理的高效,但是日益严重的信息安全问题也在时时刻刻地警醒着人们。
计算机无论是单机使用或是接入互联网,在信息读取上的原理并没有区别。只要是基于系统授权认证的用户,都可以完成对于储蓄设备上信息的读取,并通过I/O设备对信息进行拷贝、加工、传递。
只要是骗取系统授权,或是能够直接不经授权而访问计算机存储设备的行为,都可以读取本地用户或者联网用户的信息。
因此,不可忽视的一件事就是:无论何种类型的计算机设备,处于联网状态时,就有可能在I/O设备完成信息交互的过程,为第三方提供非用户意愿的信息读取的可能。而能够给予用户以外的第三方读取信息的机会,便是信息通信中的安全威胁与漏洞。
简而言之,信息安全威胁与漏洞即可视为向第三方提供非法读取用户信息的任何设备接入方式与访问授权。
目前主要存在的信息通信安全漏洞主要有两个大类。
第一:基于网络攻击而造成的信息安全
基于网络信息安全的漏洞存在于用户在访问具有钓鱼性质的网络用户服务器、主机使用通过网络授权,使得被访问的网络服务器或是主机能够有机会向终端用户传递计算机病毒或是木马程序。
这些计算机病毒以及木马程序在占据计算机进程运行后通常会采取伪装为常用进程或是主动关闭计算机安全软件的方式躲过系统安全软件的查杀。
运行之后的计算机病毒或是木马软件能够扫描出计算机系统中安全等级较低,或是开放权限的访问路径,并使得处于互联网上的计算机服务器或是用户主机通过这些安全等级较低或是开放访问权限路径对终端用户的存储器进行非法访问。
并且卫士的访问链接具有一定的稳定性,通常非法访问的黑客还会以夺取计算机系统权限的方式获得计算机的控制权,使得终端用户即使发现了黑客的行为之后也难以在系统运行状态下进行有效的制止。
但是这种传统意义上的黑客行为随着目前计算机系统安全等级的提升以及PC系统的不断优化、各类型安全软件对于病毒、木马特征识别的不断完善已经很难有效地窃取到有用的用户信息。
而一些关键应用程序如网络支付软件等在PC终端上运行时,也会主动地使用“沙箱”环境与计算机系统内的其他访问路径进行隔离。除非是本地用户给予本地I/O设备的指令操作,否则很难突破“沙箱”环境的隔离。
想要防范这种类型的信息安全威胁与漏洞最直接的方法就是提高系统安全授权等级,计算机内的任何一个软件进程的运行都必须得到当前用户的主动授权,否则即刻终止运行,同时扫描并关闭计算机系统内非必要的信息接口。
尽管这样使得用户面临软件运行时频繁弹窗获取征询用户同意的麻烦,但不失为一种最为有效的预防方式。
第二,移动终端用户
手机、平板等移动终端设备随着移动互联网技术的发展,已经越来越多地代替PC成为用户访问互联网与信息存储的工具。
从用户的使用行为来看,移动终端对于个人高价值信息储蓄的作用远胜于传统的PC。因此现有的互联网移动端用户成了非法入侵与安全威胁、漏洞存在的重灾区。
即便是目前的移动端设备不断地在提高用户使用移动端设备时,软件访问用户设备信息储蓄的权限。但是越来越多的软件却在想方设法通过对于软件的设计绑架用户,迫使用户给予访问授权。
而大多数用户其实并没有仔细阅读授权协议、访问内容的习惯。往往因为继续使用某个APP而充满的在用户协议同意栏中进行勾选。
因此基于移动端的安全威胁与漏洞更多是来自软件运营商对于用户使用需求的绑架而非基于移动设备系统安全的维系以及漏洞的利用。更重要的是,用户在被绑架同意让软件提供商获取信息资源的同时却没有任何手段来要求软件提供商对用户做出信息安全的保证。
但是目前,关于软件设计与用户权限获取的争论尚处于争论与论证阶段。极少有人质疑软件公司绑架用户需求的合理性,也没有将这种用绑架需求来获取授权的方式视为一种威胁与漏洞。
