互联网安全研究报告范例

互联网安全研究报告范文1

作为全球最具权威的IT研究与顾问咨询公司副总裁，彼得·福斯特布鲁克不仅负责高德纳咨询所有终端安全、Web安全网关等领域的研究，也是全球反恶意软件及反垃圾邮件领域的知名权威专家。。

福斯特布鲁克称此次来华，最期待的是与中全领域的精英人士交流当下企业安全的热点议题及发展趋势。在今年最新的一期研究成果中，他提出云安全服务将是2013年安全领域最“酷炫”的供应商服务，企业的首席信息安全官们及其重要的安全决策者们应考虑到云安全服务的重要性，它将对面临一系列安全问题的信息技术环境发挥独特作用。因此，选择“用户为王时代的终端安全”为演讲主题，可能是福斯特布鲁克对当今复杂的网络安全环境下，企业该如何针对终端安全方面发生的变化采取相应的防范措施，进行的又一战略性思考。

吸引福斯特布鲁克专程来华参与的大会，是由中国领先的安全厂商奇虎360发起承办、国家互联网应急中心指导的、国内规模最大的信息安全专业会议，将于9月23日在北京国家会议中心启动。大会主题会议及各专业技术论坛将云集业界各路技术大牛，美国智库战略与国际研究中心高级研究员詹姆斯·刘易斯（James A.Lewis）也将参加23日上午的主题大会，并针对美国网络安全发展现状及全球“网络战”的变化趋势发表演讲。

作为本次大会的重要环节之一，SyScan360国际安全技术峰会将迎来国际顶级黑客、有苹果“越狱大神”之称的Stefan Easer（iOnlc）！他的真实身份是德国资深安全专家，曾连续成功破解iOS4.3.x、iOS 5.1和5.1.1被果粉们奉为“越狱大神”。他的惊人表演是，在苹果放出iOS 5.1.1固件更新不到12小时内，就公布了在New 。但在此之后，ionlc宣布不再公布越狱工具，并淡出越狱圈。日前，重出江湖的ionlc通过个人Twitter透露，已经掌握了苹果iOS6.1.3系统的越狱工具，而此次到京演讲的议题正是《iOS6漏洞利用与iOS7安全改进》。届时，国内安全技术人员也可以现场一睹“越狱大神”的风采。

ionlc还有鲜为人知的一面——在因苹果越狱被大众熟知之前，他还有着“PHP安全第一人”之称。早在2003年，他全球率先实现利用缓冲区溢位漏洞，将Linux直接boot到全新完好的XBOX内，并成功开机。近几年，iOnlc的研究重心逐渐转向iOS内核和iPhone安全领域上，并合著了《iOSHacker’s Handbook》—书，被iOS安全研究者视为必不可少的学习宝典。

互联网安全研究报告范文2

随着我国移动互联网的迅速发展和普及，移动互联网金融取得了巨大进展，移动支付、掌上银行等各类移动应用积极抢占用户手机入口，用户人数增长迅速，同时安全问题日益严重。一方面，移动互联网上诈骗信息泛滥。另一方面，移动互联网上金融犯罪手段不断翻新升级，用户稍不注意就会上当受骗。

。2013年央视315聚焦安全网购；2014年央视315晚会曝光网银支付被指存漏洞；2015年央视315晚会曝光公共场所无密码wifi陷阱。但是依然不断有用户网购被骗、手机被吸费等恶意行为发生。

据IDC最新研究报告显示，2016年全球互联网用户数将达到32亿人，约占全球总人口数的44%，其中移动互联网用户总数将达到20亿，占互联网用户数62.5%。然而，随之而来的安全风险的成倍增长，恶意软件劫持流量、伪基站诈骗、攻破用户使用权限、盗窃用户信息等问题已经成为当前用户手机吃过的“家常便饭”，移动设备中的恶意软件正从碎片化的和理论层面的“萌芽”状态“变种”长大，严重威胁用户的安全。

互联网安全研究报告范文3

2010年9月，美国CIO和CTO同时出席相关会，美国IPv6行动计划，颁布实施IPv6的时间表，3个月后美国国防部和国家标准技术研究院通过安全部署IPv6的文件，标志着奥巴马推进IPv6工作的进一步落实。而、Yahoo等在互联网领域最具影响力的企业也已宣布将2011年6月8日定义为“全球IPv6日”，联手开展第一次全球性规模的IPv6服务。2011年2月4日，国际互联网编号分配机构IANA在迈阿密举行的新闻会上宣布，全球最后5个IPv4地址分配完毕。IP地址资源枯竭的危机已刻不容缓，互联网界的又一只“千年虫”降临。

。其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个。中国截止2010年6月IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。地址不足，严重地制约了全球互联网的应用和发展。此外，IP地址资源的枯竭也是我国三网融合的绊脚石。根据工信部电信研究院的研究报告，未来5年我国IP需求量为345亿，其中移动互联网为10亿，物联网为100亿，固定互联网为5亿，而按照IP地址33%的利用率来推算我国未来IP地址需求量为345亿。

IPv6地址长度为128比特，相比于IPv4地址空间增大了2的96次方倍，达到2的128次方个。不止是IP地址资源方面，IPv6在互联网安全性领域也拥有很好的表现。其包含的一种名为“节点自动配置”功能，是在所有的IPv6网络中替代动态主机配置协议和地址解析协议的下一代技术，能够让用户不进行任何设置就可以把新设备连接到网络。如果用户更换了ISP，因此被分配一个不同的全球路由前缀，这个功能可以使用户的网络重新分配IP地址的过程更简单，因为用户所要做的一切只是改变路由器的设置，而网络将重新获得一个使用新的前缀的新地址。这将减少网络管理的巨大负担。

目前，病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了，因为IPv6的地址空间实在是太大了。如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机，就犹如大海捞针。在IPv6的世界中，对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。

对此，中国互联网络信息中心(CNNIC)分管IP地址业务的负责人赵巍说，IPv6大门并不会马上对中国的新网民关闭。中国的IPv6地址主要是通过几大网络运营商和中国互联网络信息中心分配的。他说：“在我国拥有的IPv6地址中，运营商手中仍掌握部分IPv6可以使用，根据运营商网络和业务的不同情况，有的地址可以支撑未来5至6年，有的则只能支撑1至2年。”

实际上，IPv6在设计过程中就已经考虑到了IPv4到IPv6的过渡问题，并提供了一些特性使过渡过程简化。例如，IPv6地址可以使用IPv4兼容地址，自动由IPv4地址产生；也可以在IPv4的网络上构建隧道，连接IPv6孤岛。

互联网安全研究报告范文4

关键词：网络安全 分析 措施

中图分类号：TP393 文献标识码：A 文章编号：1003-9082（2017）05-0008-01

计算机网络所面临的威胁是多方面的，既包括对网络中信息的威胁，也包括对网络中设备的威胁，但归结起来，主要有三点：一是人为的无意性的失误。如操作员安全配置不当造成系统存在安全漏洞，用户安全意识不强，口令选择不慎，将自己的账号随意转借他人或与别人共享等都会给网络安全带来威胁。二是人为的有意性的恶意攻击。这也是目前计算机网络所面临的最大威胁，比如计算机犯罪和敌手的攻击都属于这种情况，此类攻击又可以分为两种：一种是主动攻击，它以各种方式有选择性地破坏信息的有效性和完整性；另一种是被动攻击，它是在不影响网络正常工作的情况下进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。三是网络软件的漏洞和“后门”。任何一款软件都或多或少存在漏洞，这些漏洞和缺陷恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因为安全措施不完善，没有及时补上系统漏洞造成的。此外，软件公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁，一旦“后门”遭到攻击而洞开，别人就能随意进入系统，后果不堪设想。

计算机网络受到攻击主要有如下六种形式：（1）内部人员窃密和破坏。内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。（2）截收信息。攻粽呖赡芡ü搭线或在电磁辐射的范围内安装截收装置的方式，截获机密信息或通过对信息流和流向、通信频度和长度等参数的分析，推断出有用的信息。（3）非法访问。只未经授权使用网络资源或以未授权的方式使用网络资源，主要包括非法用户进入网络或系统进行违法操作和合法用户以未授权的方式进行操作。（4）利用TCP/IP协议上的某些不安全因素。目前广泛使用的TCP/IP协议存在大量安全漏洞，如通过伪造数据包进行，指定源路由（源点可以指定信息包传送到目的节点的中间路由）等方式，进行APR欺骗和IP欺骗攻击。（5）病毒破坏。利用病毒占用带宽，堵塞网络，瘫痪服务器，造成系统崩溃或让服务器充斥大量垃圾信息，导致数据性能降低。（6）其他网络攻击方式。包括破坏网络系统的可能性，使合法用户不能正常访问网络资源，拒绝服务甚至摧毁系统，破坏系统信息的完整性，还可能冒充主机欺骗合法用户，非法占用系统资源等。

在计算机网络安全存在众多隐患的大环境下，如何才能保证网络稳定运行和用户正常使用？有如下建议：

1.做好用户账户安全信息管理。在用户使用计算机网络时，通常使用的账号有很多，包含了系统登录账号以及电子邮件账号和网购平台账号等一系列应用账号，因此很多黑客都通过攻击网络体系的方法，来获得合法账号和密码。首先在账户密码设置上，要尽量安排较为复杂的密码，同时尽量采用数字、字母相结合的密码组合方式。同时尽量各个账号，尤其是涉及金融信息的账户尽量密码不要一样，同时要定期更换密码。

2.完善杀毒软件和防火墙设置。计算机网络防火墙技术是用来加强网络内部访问管控，防止外部用户使用非法措施，侵入内部网络体系，从而有效保护互联网操作环境。要结合使用相应安全策略从而对数据传播进行检查，从而确保网络数据信息有效传输，而外部网络想介入并访问互联网时必需进行有效筛选。结合防火墙使用的不同技术，完善互联息监控。此外，还需配套安装完善的杀毒软件体系，结合安全软件的有效应用和普及，从而有效查杀病毒，防止木马和病毒入侵，在杀毒软件应用上，要及时做好版本更新和升级。

3.完善漏洞和补丁等程序的安装。很多黑客在攻击用户计算机网络时，通常利用一系列弱点和不足来实施攻击，而这些漏洞和不足往往表现为软件漏洞、硬件缺失、程序弊端、功能配备及分配设计不合理等一系列因素。结合美国权威对当前主要操作系统和相关应用程序所开展的研究报告，我们可以发现，由于科技的局限性和不足，任何软件都存在必要的漏洞和不足。目前，更多黑客都是利用软件缺陷和漏洞来攻击用户，进而获取利益。。要及时完善安装漏洞及补丁等程序，实现及时对计算机网络信息的监管。

4.完善对计算机网络入侵的检测和监控。近些年来，随着计算机互联网技术应用面逐渐扩大，安全问题日益严重，入侵检测已经发展成为现阶段一项全新计算机互联网安全防范技术，通过综合使用统计理论和网络通信技术及其他方法，从而有效监控计算机网络系统运转过程中的安全，结合使用统计分析法和签名分析法，从而实现对计算机网络系统的安全防范和问题监控。

5.推广使用文件加密及数字签名。对确保信息系统和互联网安全来说，使用文件加密和数字签名，能够有效确保整个系统的安全性有效防止数据被窃取或者破坏，结合目前计算机互联网安全防范作用的不同，所使用的文件加密技术及数字签名主要有数据传输、存储和确保完整三类方法。通过对所传输数据信息进行加密，确保整个传播过程能够安全、保密地完成数据传输。而数字签名则是解决计算机互联网体系中独有的方法，通过对电子类文档进行有效辨别和检验，进而使得数据完整且精准。数字签名的实现一般有多种形式。通常适合应用于传输要求较高的环境。结合计算机互联息安全工程的需要，还要完善三安全防护体系建设，随着应用环境的不断变化，仅依赖传统技术已经无法满足时代要求。

互联网安全研究报告范文5

[关键词]反垄断 相关市场 滥用市场地位 救济

。 。腾讯对此作出强烈反应，称“360”公司的“扣扣保镖”是“外挂”行为。2010 年11 月3 日，腾讯公司通过公开信声明，将在装有360 软件，并倡导卸载360 。。2010年11 月10 。

二、相关市场的界定

根据反垄断委员会2009 年的《关于相关市场界定的指南》，相关市场是指经营者在一定时期内就特定商品或者服务（ 进行竞争的商品范围和地域范围。相关商品市场界定，通常需要进行产品市场界定和地理市场界定，同时当某些产品的生产周期、使用期限、季节性、流行时尚性或知识产权保护期限等已构成商品不可忽视的特征时，界定相关市场还应考虑时间性，即相关时间市场的考量。。“360”则主打互联网安全服务以及桌面整理，并以大量的客户端为基础，通过广告业务获取利润。。至于特定地理市场界定则毫无疑问是中国，时间性在此则在所不论。

三、对滥用市场地位的认定

《反垄断法》第19 条对推定为市场支配地位的市场份额作出了具体规定，经营者有下列情形之一可推定具有市场支配地位：一是一个经营者在相关市场的市场份额达到1/2 的；二是两个经营者在相关市场的市场份额合计达到2/3 的；三是三个经营者在相关市场的市场份额合计达到3/ 4 的。同时，如果其中有的经营者市场份额不足1/ 10 的，不应当推定该经营者具有市场支配地位。根据互联网研究室2010 年11 月30 日的《中国互联网行业垄断状况调查及对策研究报告》，2010 年第三季度，腾迅在即时通讯市场的份额达到76.56%。。

腾讯公司单纯通过正当竞争取得的市场支配地位并不违法。根据《反垄断法》第十七条第四款规定，“没有正当理由，限定交易相对人只能与其进行交易或者只能与其指定的经营者进行交易”的行为属于滥用市场支配地位。从事实看，腾讯采取技术手段将在装有360 软件。。即时通讯软件并非一般性软件，它的价值不是通过一次性装载使用加以实现，其目的在于创造用户的网上的人际平台。。这就使得即时聊天软件具有极大的粘连性，消费者很难为了其他软件而放弃长期使用的即时通讯软件。。 ，继而采取激励的“自卫”行动。。从效果看，强制卸载对互联网的创新毫无裨益，反而以此震慑其他互联网企业不得开发与腾讯公司利益相悖的软件，至于其是否有创新价值、社会价值则在所不论，这从深层次上抑制了竞争和创新，于互联网环境生态不利，显然不符合《反垄断法》的立法取向。

四、对滥用市场支配地位的救济

互联网安全研究报告范文6

接踵而来的中国网络安全事件，让人们不得不再度审视一个现实：在享受网络便利的同时，谁为安全受损买单？这个问题虽从一开始就很重要，但现在变成了生死攸关。

5月27日下午5点，拥有将近3亿活跃用户的支付宝出现了大面积访问故障，全国多省市支付宝用户出现手机和电脑支付宝无法登录、余额错误等问题。。

继支付宝、携程系统瘫痪后，5月29日上午，多个券商交易系统不堪大量交易重负，也出现了接连宕机事件。

。”所有国家赴美签证均受影响。截至《财经》记者发稿，仍无修复时间表。

此前两个月，苹果的应用商店App 。

数据没有丢失，可谓虚惊一场。但此次事件给网络信息安全敲响了警钟。

高盛统计数据显示，2014年，全球范围内总共发生了3014桩数据被盗事件，11亿份记录曝光，其中97%与黑客活动（83%）或欺诈（14%）有关。过去一年时间里，数据被盗事件和记录曝光事件的数量均大幅增长了25%。

。

云为移动互联网带来了基础能力，但其动态、开放、甚至不可琢磨的技术特性，又将引发新的安全挑战。而且，以物联网为代表的新一波移动互联网大潮正在赶来的路上。

市场研究机构Gartner预测数据显示，到2020年，全球联网设备的数量将从现在的30亿台增加至260亿台左右。不仅手机、电脑、电视机等传统信息化设备将连入网络，家用电器和工厂设备、基础设施等也将逐步成为互联网的端点――网络安全边界将被无限拓宽且变得日益复杂。

建设可管、可控、可信的网络，是下一波移动互联网浪潮潮起的前提和方向，但现在中国的互联网却近似于“裸奔”。 “裸奔”

中国人在互联网，尤其移动互联网上流通的资产已经越来越多。

市场分析机构易观智库针对今年一季度的统计数据显示，中国包括电子商务、航空票务、火车网上订票、旅游、境外消费、互联网金融、线上游戏增值等网络交易总规模超过10万亿元人民币。

支付宝、银联支付和财付通等第三方移动支付规模超过2.8万亿元人民币，环比增长5.81%；P2P网贷市场交易规模超1000亿元人民币，环比增长34.5%。中国移动支付和P2P网贷市场仍保持了相当高的活跃度。

传统银行业务在互联网和手机端的交易量也十分可观。一季度，中国手机银行客户端交易规模高达12万亿元人民币；网上银行客户端交易规模达到353.5万亿元。而且，手机银行的交易规模还在以两位数以上速度攀升。

这一连串数据显示着，互联网尤其是移动互联网上流通的中国资产已经十分庞大。以网络交易为例，根据国家统计局公布的数据显示，今年1月-5月，我国社会消费品零售总额为11.8万亿元，月均2.36万亿元；而实物商品网上零售额总额为1.11万亿元，并迅速向大城市以外的二三四线城市蔓延扩张。

移动支付手段打通了移动互联网商业世界，从而形成了商业闭环。但由于成长速度太快、规模太大，中国互联网公司对安全的重视程度并未跟上业务规模发展的速度。

传统金融行业几乎是全世界信息安全技术最发达、网络架构最严密的行业，其网络架构搭建理念就好比护城河+多层堡垒，对用户数据的存放和管理有相当成熟的行业标准和规范。即便如此，其IT系统仍有缺陷，多个券商系统宕机就是最好的表现。

中信证券股份有限公司信息技术中心行政负责人董事总经理张益民接受《财经》记者采访时称，从业务上看，国内投行以前主要是以场内业务为主，是牌照业务，造成了各家业务趋同性比较大，必然导致IT系统的发挥余地较小，同质化严重；而国外投行在场外业务上的创新性百花齐放，导致对IT的个性化、创新性要求非常多，这种情况下，国外投行纷纷发展自己的IT开发队伍，以适应业务快速发展、快速创新的需求。他表示，最近几年，中国金融企业才开始自建IT系统以应对安全需求。

诞生于移动互联网、云计算变革之下的互联网金融公司兼具金融和互联网的双重身份，其安全系统更是脆弱。

一位来自传统银行的互联网金融公司高层人士入职后第一件事情就是深度研究其网络架构，并多次在公司高层会议上强调把云和服务器放在第三方平台是极不安全的，力荐公司高层应向传统银行学习，自建服务器。

该公司另一高层向《财经》记者坦言，对于一个刚刚起步的创业公司来说，这是不可能的，“现在能做的是在安全和效率中间平衡折中，到了一定规模之后，才有可能加强安全”。互联网金融公司普遍无力在网络安全上投资重金。

为P2P公司搭建IT系统服务的技术服务提供商中科柏诚董事长王德敬告诉《财经》记者，出于成本考量，绝大部分互联网金融公司偏爱成本更低的公有云平台，其数据普遍被暴露在云环境之中，所有的数据备份和安全防护基本依赖于云平台公司，这与传统金融行业利用封闭的物理设备实现护城河一般的严密数据保护不可同日而语。

一位资深IT技术人士为《财经》记者算了一笔账：以一个只需要一台最初级服务器和基本网络架构的初创互联网公司为例，自己部署服务器成本大约为每月3000元左右，但如果使用阿里云的公有云服务平台，每月只需百元左右。

这与银行在IT系统上的巨额投资几乎是天地之别。传统银行在IT上的投入巨大，一般是其年度利润的10%到15%，只有这样，才能保证IT系统能支撑庞大业务和用户的发展。

同样受限于成本，在公有云平台提供基本的灾备手段之外，目前绝大部分P2P平台几乎都没有基本的灾备系统。

不规范的业务上线操作也进一步放大了安全缺陷。多位互联网金融从业人士告诉《财经》记者，市场竞争异常激烈，业务部门非常着急要上线一些业务的时候，往往会打破规范，在整个上线流程没有建立，或者还没有完成开发、测试的时候，业务就直接了。

互联网金融企业的管理层其实十分清楚存在的安全缺陷。这些安全缺陷就像达摩克利斯之剑，时刻存在危险。

小微互联网金融公司在黑客的攻击面前防护能力普遍弱小，容易造成恐慌和非正常死亡。统计数据显示，在2013年和2014年，有超过100家网贷平台因黑客的攻击而宣布关门。绝大部分网贷平台遭遇过黑客攻击，被迫关闭服务器、暂时停止服务。

“金融风险的一个特点是滞后性，早期跑得越快，系统搭得就越浅，倒的机会也越大。”大数据风控公司神州融联合创始人黄海珈说。

最受安全制约的互联网金融行业尚且如此，其他中小型垂直互联网创业公司的安全意识和安全架构部署更是漏洞百出。公有云平台创业公司七牛科技总裁吕桂华告诉《财经》记者，互联网公司普遍不具备安全意识，大部分小公司很少主动了解平台的安全机制，更加看重平台的迁移能力和系统运行能力。

多位接受《财经》记者采访的互联网IT安全人士也均认为，除了BAT，中国绝大部分互联网公司的网络架构均不甚完善，安全漏洞和风险巨大。

国家计算机病毒应急处理中心在今年3月的调查数据显示，2014年，中国31.3%的用户遭遇过个人信息泄露。

感染计算机病毒的比例为63.7%，比2013年增长了8.8%；移动终端的病毒感染比例为31.5%，比2013年增长了5.2%。无论是传统PC还是移动终端，安全事件和病毒感染率都呈现出了上升的态势。 攻击

一家网游虚拟物品交易平台的创始人在考察了多个公有云平台后发现，没有一家的安全机制令他满意。

网游虚拟物品交易是一个竞争激烈、市场空间极大的高利润市场，在残酷的市场竞争之下，这家网游虚拟物品交易平台正沉沦于竞争对手的恶意流量攻击中不可自拔。

流量攻击必然降低用户体验。上述平台创始人透露，他的平台每天遇到的流量攻击在几十个G到几十个T之间，而他的方式除了将数据服务器分布放在不同数据中心，引流导流，目前没有其他更好的办法。

网宿科技副总裁刘洪涛告诉《财经》记者，按照经验值，互联网公司遭遇流量攻击的频度与规模整体上呈相反的变化趋势。也就是说，越大规模的攻击发生的频率也越低。

一般的互联网公司一两年可能遭遇一次大规模（大于100Gbps）的DoS攻击（Denial of Service的简称，即拒绝服务，其目的是使计算机或网络无法提供正常的服务），中等规模的DoS攻击（20-100Gbps）会频繁一些，约一季度至半年发生一次；而小规模的DoS攻击可能一个月出现一次或多次。

一家游戏公司CTO告诉《财经》记者，游戏行业服务类型严重同质化，虽然不能从技术上溯源攻击者，但用流量攻击来打击竞争对手的事情确实较为常见。

如果说流量攻击是一个恶意商业行为，可以通过一定手段来遏制和规范，那么互联网时代开放的网络架构和平台带来的网络安全风险则常令普通互联网创业公司束手无策。

传统的电信运营商和IT行业通常比较依赖于国外大公司提供的整体解决方案，比如IBM等公司提供的小型机等。互联网公司则更加喜欢前沿的开源技术。阿里曾经在内部发起 “去IOE运动”，消除公司产品对IBM、Oracle、EMC重型基础设施的依赖。而更新的互联网公司则自一开始就不会与这些重型基础设施沾边。很多互联网创业公司的产品环境没有采用任何商业软件，完全基于开源的软件系统和框架来搭建。

开源平台比想象中更加脆弱，而且其一旦受到攻击，会波及众多平台上的公司。

2014年，波及全球数以千万计服务器的“心脏流血”事件震惊了全球IT业。。。

万物互联的风险亦在显现。

2014年9月，一款可以感染路由器、恒温器、烘干机等许多物联网设备的恶意软件，组成了1.2万至1.5万台的大型僵尸网络，在亚洲和美国实施了各种形式的DDoS攻击。攻击流量峰值高达215G，每秒1.5亿个数据包。这亦是迄今为止针对物联网领域最大的一次恶意攻击。

物联网设备存在诸多因设备制造商急于联网，从而忽略了安全问题的严重风险。包括隐私泄露、弱密码、非加密通讯，以及网页操作等漏洞。而企业网络与员工自带的个人设备又极易发生交叉感染。如果没有新的安全模式来应对这一风险，那么未来物联网安全的严重性将超出人们想象。 再造

前南方电网、中国电信和思科资深技术专家徐建锋告诉《财经》记者，安全包括物理设备、网络、系统和应用四大层面。其中，物理设备和网络层面一般不会发生安全问题，一旦发生就是大事，例如，2012年因骨干网设备故障发生的中国互联网大面积断网事件。

在云计算技术和云服务平台越来越成为互联网公司技术架构核心的今天，后端的系统和前端的终端应用安全问题越来越凸显。逻辑很简单――越开放，参与的人越多，安全问题也越多。

支付宝瘫痪事件是一个典型的后端系统安全问题。支付宝相关技术人员告诉《财经》记者，瘫痪事件发生后，支付宝技术团队确定无法在短时内修复被挖断的光缆，决定进行机房容灾应急预案。为了保证用户资金数据不出现任何问题，支付宝技术团队采取了手工而不是自动切换方式――进行内部数据核对，在发现没有影响的情况下才对外开放，这也直接造成支付宝在两个小时之后才恢复运转，没有实现“无缝切换”的容灾设计初衷。

这是支付宝自运营以来首次遭遇真实的整体机房突然中断故障。从外界来看，这次事故显示，支付宝的“异地多活”备份系统架构虽然不同于传统金融行业的“两地三中心”容灾机制，但也基本经受住了考验，在光缆未修复的情况下，快速恢复了服务，这在互联网公司中已经处于顶尖水平。

这套基于云架构的备份容灾系统，并非没有缺陷。上述支付宝技术人士告诉《财经》记者，系统架构还有提升点、改进点，未来改造的方向是在遇到同类突发故障时能够提升切换速度。

上述支付宝技术人士坦言，在本次突发故障以前，支付宝技术团队考虑到网络完全中断的极端情形进行了定期演练，但未对网络拥塞情形进行充分演练。

这也许是为什么支付宝没有能够实现“用户无感知”的灾备切换能力设计初衷的原因――传统金融和运营商每年大大小小的演练有数百次，而且，现实情况与演练还是存在差异的。

事件发生后，支付宝技术团队细化了应急制度及流程、完善容灾切换应急预案与支撑系统的建设，制定了月度演练规则。

外界也有质疑，阿里巴巴“去IOE”、“由硬变软”的数据中心架构转变令网络负载存在隐患，导致业务连续性面临新挑战。2013年，阿里巴巴宣布“去IOE”战略，去掉IBM的小型机、Oracle数据库、EMC存储设备，代之以自己在开源软件基础上开发的系统。传统IT的数据中心，IBM小型机、Oracle数据库和EMC存储设备往往是标配，缺一不可。

开源软件跟商业产品的重要区别在于，开源软件只有基本一个框架，不成熟，需要自己去打磨，出了问题没有厂商技术支持。而IOE好比是4S店，收费高但服务全面。

面对这种质疑，支付宝相关技术人士认为，国产软件能力已经比过去增强不少，并且更能适应互联网海量数据和业务方面的特点。

阿里巴巴的一位前架构师基本认同这个观点。他认为，瘫痪事件对于支付宝而言就是摔了一跤，最容易出问题的不是阿里巴巴这样的技术实力雄厚的大公司，也不是体量太小的初创小公司，而是中型公司。“大型公司技术实力强，小公司被攻击的机会少；而中型互联网公司既没有特别牛的技术团队，出现漏洞和被攻击的机会又远大于小公司。”

5月29日，携程网发生了长达12小时的宕机事件。携程在事后简单的声明称，确认此次事件是由于员工错误操作，删除了生产服务器上的执行代码导致。

这并非携程发生的第一次安全事故。去年3月，携程就被爆出泄露用户信用卡CVV信息事件。。

多位接受《财经》记者采访的专业技术人士认为，相对于支付宝瘫痪，携程的安全问题十分低级严重。一家美全厂商技术高层人士指出，类似泄露用户银行卡信息和程序员误操作删除信息这样严重且低级的错误，如果在美国，这家公司将面临严厉的法律诉讼，乃至关门歇业。

如果出现问题，灾备是唯一的挽救办法。但与早已被标准化的传统行业灾备方案相比，互联网公司分类太多，情况复杂，难以形成统一的行业标准。

IT灾难恢复公司万国数据副总裁汪琪告诉《财经》记者，灾备不出实际效益，一千块钱的投入可能只做一块钱的事情，所以绝大部分互联网公司只做最基础的灾备措施。

例如，一些服务器放在公有云平台上的小型互联网公司，一般在公有云平台提供的数据备份之外，自己是否再进行数据备份，是实时备份还是有限备份，都因企业的资金实力和安全意识而不同。

万国数据为互联网公司提供的一项日常业务是计算合适的灾备投资方案。汪琪告诉《财经》记者，由于云计算和云服务的普及性，互联网公司的数据一般不会丢失，区别在于是业务不中断，还是中断时间的长和短。企业要算账，中断1个小时或者12个小时造成的经济损失会是多少，然后根据灾备的成本，选择合适的灾备方案。

按照携程一季度财报公布的数据，携程宕机的损失为平均每小时106.48万美元。按照宕机12小时算，初步估算携程损失超过千万美元。

万国数据的一份研究报告数据显示，53%的中国公司会因系统故障导致业务中断，而在日本这一数字则只有28%。

至于那些完全没有灾备意识的公司，则很有可能在一次打击之下便被迫退出市场。

汪琪认为，互联网行业很难制定一个统一的灾备标准，但根据其业务属性，可以参考传统行业的灾备标准部署灾备方案，亟须改变“唯成本论”的现状。

事实上，不同类型的互联网公司对网络架构和安全性能的需求其实各有不同。互联网金融公司需要私有云来保护用户账户核心信息；网游和电商公司需要稳定的带宽和架构保证用户体验；社交平台则强调开放特性之下的全面安全。

在终端和应用层面，移动互联网和云计算的普及也令安全面临全新挑战。我国移动互联网用户已经超过8亿，移动终端设备越来越多样，这也意味着管理起来将更加困难。

移动终端受功耗等，无法像个人计算机那样内置功能强大的防火墙。安卓移动操作系统尽管已经使用了针对应用软件的签名系统，但黑客仍然能使用匿名的数字证书来签署他们的病毒并发放。

为了保障系统和终端层面的最大安全，在2011年成立了一个名为“漏洞奖励”项目，该项目通过现金奖励的方式酬谢那些为公司发现安全漏洞的人士。2014年，通过这个项目找到了17011个漏洞，比2013年上涨了13%。谷歌也有相关的漏洞发现奖励机制。

从最终结果来看，这种方式十分有效，但在中国几乎没有类似实践。 争议

水能载舟，亦能覆舟。

从2013年开始，中国公有云服务开始进入实质性的落地阶段。2014年上半年，中国公有云服务市场整体规模达到3.27亿美元，全年预期将达7.17亿美元，同比2013年增长46.7%。有研究预测分析表明，2015年至2018年，公有云服务市场将持续高速增长态势，年均复合增长率将达到33.2%。

未来，包括互联网公司和需要互联网化的传统公司，也许所有公司都将跑在云上。

开放的公有云平台大大降低了企业的安全成本。微软近期的一份用户调查报告显示，在过去三年间，使用了云服务的企业与未使用云服务的企业相比，安全支出降低了5倍之多。

报告称，安全方面的收获是云服务平均每周可减少18个小时的安全管理时间。这是因为大部分的安全管理是由云服务提供商进行的。“虽然云计算不能取消企业内部对补丁管理的需要，但安全管理的需要会大大减少。”

完全把安全依赖于公有云平台，显然并不明智。

360副总裁谭晓生在近期举行的云计算大会上表示，开放的网络架构令互联网公司可能被攻击的点增多了，由于云计算技术尚未成熟，年轻的虚拟化系统、云计算管理平台比传统系统存在更多漏洞，更加脆弱。

一方面，公有云平台良莠不齐，此外，公有云平台也有可能受到攻击，这就好比把自己家的钥匙交给第三方，安全系数大大降低。

。

另一些渐成气候、规模成型的互联网金融公司则开始拒绝公有云。一位知名互联网金融公司安全总监告诉《财经》记者，他所在的这家公司只有在开发测试的环境下使用公有云平台，正式的生产环境则砸下大笔资金，自建数据库。

他向《财经》记者强调：“我们想做规划者，不想做救火队员。前期不投入，后期背黑锅。”

阿里巴巴也在快速转身，在涉及用户账户的核心数据安全上，向传统银行看齐。

6月25日，筹备已久的阿里巴巴旗下的浙江网商银行将正式上线。网商银行技术总监唐家才告诉《财经》记者，这虽然是一家完全运行在互联网上的新型银行，但在网络架构上还是采用了私有云系统，建了自己的机房，机房外有多层防火墙，“这一是为了迎合监管要求，二确实是出于对储户资金安全的考虑”。

在核心系统和数据的安全防护上，网商银行走了传统银行的道路。但唐家才向《财经》记者强调，这并不意味着公有云不安全，“无论是公有云、私有云还是混合云，结合自身情况选择一套合适的云搭配方案才是最重要的”。

IBM中国区的一位高层人士此前亦向《财经》记者表示，IBM一向做大型行业和企业的生意，但针对中小型企业的公有云市场潜力无限，是未来值得着力的焦点之一。

“风险不在于开放，而在于你是否有能力开放。”上述IBM高层人士强调。

接受《财经》记者采访的多位互联网人士表示，互联网技术将与安全问题如影随形，每一次问题的出现都将是一次新的发展机遇，构筑在云之上的未来移动互联网系统将越来越健壮。 倒逼立法

中国的移动互联网用户规模、业务模式已经跑在全球浪潮之巅，但对安全的敬畏和研究还处于学习阶段。

现时的互联网公司还裸奔在安全体系之外，新兴的“工业4.0”、“互联网+”浪潮又将更多的传统公司推向互联网，在互联网业态发生巨变的关口，应该如何建立相应的互联网安全体系？

中国电子学会理事长、陕西省娄勤俭认为，面对中国经济全球化、网络化趋势，既要提高被动防御能力，也要抓制度建设。

他建议，在制度层面，决策层需要加快信息安全立法进程，推进法律法规和数据开放保护制度措施，加强侵犯隐私的惩戒力度，国家、企业建立安全预警平台，及时识别网络安全的重大风险。

还应建立国家信息安全等级保护制度，建立云计算、大数据环境下的信息安全认证审查机制和安全评估体系，开展定级备案和评测等工作，加强安全风险分析，及时有效处置威胁信息安全的突发事件。

资深互联网法律专家林华则认为，对安全的监管和立法分为两种：一种监管是为了加强国家控制，一种监管是为了增加公众安全。而他觉得中国目前只做了前一种。

支付宝和携程事件备受质疑的一点在于，事件发生以后，二者都没有及时向外界详细披露技术故障的前因后果、产生了什么影响、未来改进方向等。这与亚马逊、微软、谷歌等大型国际互联网公司的成熟做法相差甚远。详细及时向外界公开信息，其核心出发点在于，需要给用户信心，披露得越详细，给社会的想象和争议空间越小。

此外，这也是规避在美国法律体系中已经十分成熟的“集体诉讼”风险。在欧美等发达国家，一旦有互联网公司出现网络故障或安全事故导致用户权益受损，消费者往往选择通过集体诉讼的方式保护权益。

近两年来，阿里巴巴、联想、聚美优品、兰亭集势等互联网公司都在美国遭遇过集体诉讼。美国的大型互联网公司也普遍遭遇过集体诉讼。。

。初步估计，有集体诉讼资格的用户将超过百万。

在美国，集体诉讼可以较低成本获得较大赔偿，也能使诉讼者得到更为全面的解决办法，更是倒逼互联网公司主动从根源上重视网络安全、尊重用户数据、主动改善用户体验的最佳方式。