一、移動互聯網安全漏洞百出

目前iOS和安卓系統占據移動互聯網操作系統90%以上的份額。iOS目前面臨最大的安全風險來自于iOS系統漏洞。據國家信息安全漏洞庫(CNNVD)數據統計，截至2017年11月30日，iOS系統共收錄了624個系統漏洞，其中2017年115個，信息泄露和權限許可訪問控制為漏洞最多的類型。

安卓系統面臨的情況同樣不容樂觀，據CNNVD數據統計，截至2017年11月30日，安卓系統共收錄了1082個系統漏洞，其中2017年540個，權限許可訪問控制和信息泄露同樣為漏洞最多的類型。

移動互聯網通信安全不容忽視

實例表明，移動通信網絡已是最易受攻擊的系統之一。4G網絡安全問題的首要特點是網絡規(guī)模不斷擴大;其二是高新通訊技術的應用，使安全隱患增加;其三是多樣化，移動通訊設備和計算機是應用4G網絡最廣泛最頻繁的終端設備，隨著二者的無線移動，由于自身的儲存力減弱，病毒、木馬、惡意代碼便會不經意地傳入無線應用當中，從而入侵終端設備。

2017年移動互聯網安全主要安全事件集中在隱私竊取、網絡詐騙尤其是金融詐騙、網絡謠言方面，其他還有網絡色情、暴力、賭博、販毒、殺人，甚至器官販賣、恐怖主義、跨國犯罪等。

2018年趨勢預測及對策建議

2018年，移動互聯網與新技術深度融合，可能成為新藍海。隨著移動帶寬技術的迅速提升，更多的傳感設備、移動終端隨時隨地接入網絡，加之云計算、物聯網、AI、區(qū)塊鏈等技術的帶動，移動互聯網也逐漸步入大數據和智能化時代。

2018年，預計會出現針對移動設備的更高端的APT惡意軟件。銀行木馬和移動勒索軟件將成為移動系統的主要威脅，且安卓手機操作系統將成為網絡犯罪分子的優(yōu)選目標。2018年移動互聯網安全建議從以下四方面加強：重頂層設計，加強移動互聯網安全法律法規(guī)、標準體系建設;提升移動互聯網安全技術水平，加強安全防護和保障能力建設;拓展國際合作空間，積極參與全球移動互聯網治理;加強移動互聯網海量應用軟件風險管控，增強網絡管理能力。

二、物聯網：保障體系發(fā)展滯后于產業(yè)發(fā)展

物聯網信息安全總體形勢不容樂觀

2017年，針對物聯網的攻擊數量不斷增長，攻擊范圍和規(guī)模逐步擴大。物聯網安全事件頻繁發(fā)生，安全事件所涉及的行業(yè)領域較之前明顯增多。

物聯網終端設備的安全漏洞呈現快速增長的趨勢，成為制約物聯網發(fā)展的關鍵問題之一。據CNNVD數據統計，2017年度物聯網漏洞數量達637個，較2016年增長了56%。受影響設備類型呈多樣化特點，不僅包括傳統的物聯網終端，智能鎖、投影儀、玩具等新型物聯網設備的安全漏洞也日漸凸顯。

2017年物聯網終端設備主要包括以下類型的安全漏洞：授權問題、命令注入、操作系統命令注入、路徑遍歷、資源管理錯誤、信任管理、跨站請求偽造、輸入驗證、跨站腳本、權限許可和訪問控制、信息泄露、緩沖區(qū)溢出等13種漏洞類型，占漏洞總數的75%。

物聯網逐漸成為攻擊者的主要攻擊目標

物聯網安全保障體系的發(fā)展滯后于物聯網產業(yè)的發(fā)展，越來越多的攻擊者將攻擊目標轉向了物聯網。自2015年開始，在各類世界頂級的黑帽大會和黑客大會上，智能家電、智能門鎖、智能監(jiān)控、智能網聯汽車、機器人等物聯網智能終端頻繁被曝出安全漏洞，部分物聯網設備開發(fā)廠商的安全研發(fā)能力和研發(fā)水平不高，研發(fā)人員的安全研發(fā)的意識不夠，導致物聯網設備存在諸多安全隱患，安全漏洞種類繁多、易于攻破。海量物聯網終端的部署，隨之產生的大量用戶數據價值在不斷增加，這些數據將在云端進行處理和存儲，如何保障物聯網系統中云端存儲數據的隱私也是物聯網系統安全保障的重要任務之一。

物聯網的體系結構復雜、物聯網網絡、應用、終端等種類的多樣化使得物聯網的攻擊面不斷擴大，攻擊形式多樣化，造成的危害范圍更廣。同時，物聯網終端設備的海量規(guī)模導致攻擊者的攻擊效應規(guī)模放大。隨著人工智能技術的發(fā)展，物聯網終端設備呈現智能化趨勢，但這也會導致攻擊的效果放大。物聯網全產業(yè)鏈的多領域性導致安全體系建設面臨較大困難，物聯網產業(yè)鏈上的每一個環(huán)節(jié)都有自身的信息安全體系，因而針對物聯網應用重新制定安全體系的建設需要每一個環(huán)節(jié)的調整和磨合。

2018年趨勢預測及對策建議

2018年，利用僵尸網絡對物聯網實施的網絡攻擊將愈演愈烈;勒索軟件等惡意軟件對物聯網的危害將逐步顯現;物聯網骨干網和接入網新協議的安全性可能成為新的失效點;物聯網隱私泄露將導致“黑產”更加泛濫。

為保障物聯網產業(yè)健康穩(wěn)定發(fā)展，我國應持續(xù)推進物聯網安全工作，從政府、企業(yè)、科研、教育部門，以及用戶角度多方協同并進，加速建成物聯網安全保障體系。為此，要做到監(jiān)管落實物聯網安全方案，加快推進物聯網安全標準制定;物聯網廠商增強生產安全意識，協同保障產業(yè)鏈安全環(huán)節(jié);行業(yè)加快建立可信第三方認證機制;加大物聯網安全課題投入，加速培養(yǎng)物聯網安全人才;最后要培養(yǎng)公民信息安全意識，鼓勵用戶規(guī)范設備使用。

三、大數據：核心技術安全可控是重要風險

我國大數據發(fā)展過程中存在的安全問題與風險

首先是國家層面制定體系化的大數據法規(guī)建設規(guī)劃和實施計劃規(guī)劃不足，傳統的個人信息保護法面臨新的挑戰(zhàn)，個人權益難以保障。

二是大數據產業(yè)生態(tài)逐步細分，以數據價值為核心，對大數據產業(yè)生態(tài)中的基礎支撐層、融合應用層、數據服務層等三層從數據流的角度進一步細分為數據采集商、大數據分析商、技術平臺商、數據交易商和監(jiān)管機構等，各角色在開展業(yè)務過程中都存在安全風險。

三是核心技術仍基于開源產品或和國外廠商合作，難以安全可控，安全風險持續(xù)聚集。

四是數據安全已成為關注焦點，內部威脅導致數據泄露形勢嚴重，大數據系統成為新的勒索目標，個人信息被過度采集和分析，安全形勢日趨嚴峻。五是數據開放和共享受“權利屬性”、“財富屬性”、數據確權缺失等多重制約，阻礙戰(zhàn)略實施落地。

同時，大數據雙面效應持續(xù)彰顯，既保安全又有風險。大數據技術已廣泛應用于網絡安全、公眾安全等跟人民生命密切相關的行業(yè)，取得了良好的效果。但是，敵對勢力和攻擊者也能利用大數據技術逃避網絡防護機制、竊取保密信息等。

2018年趨勢預測及對策建議

目前，我國重點行業(yè)和領域基本上是使用開源產品和基于開源產品進行二次封裝后的產品，技術核心都是國外產品，因此，基于大數據核心技術不能安全可控而持續(xù)聚集的安全風險將是我國大數據安全發(fā)展面臨的重大安全風險之一。其次，數據被勒索、竊取和丟失等風險持續(xù)增加，數據安全形勢將更加嚴峻。再次，人工智能應用快速發(fā)展，帶來新的技術挑戰(zhàn)。最后，我國跟數據相關的權利人的權利和義務不確定，缺乏法律依據，難以保障相關方的權利，將制約我國數據開放共享的順利開展。

為此，提出四方面對策：摸清安全現狀，做到“心中有底、手中有招”;完善政策法規(guī)，做到“科學立法、嚴格執(zhí)法”;研發(fā)核心技術，做到“自主創(chuàng)新、安全可控”;創(chuàng)新人才機制，積極培育大數據技術和應用創(chuàng)新型人才，做到“體制新穎、人才濟濟”。

四、區(qū)塊鏈：技術尚未成熟 新型風險顯現

區(qū)塊鏈技術金融先行

近年來，區(qū)塊鏈技術得到了廣泛的關注和認可，其具備去中心化、可追溯、不可篡改和可編程等特性。當前基于區(qū)塊鏈技術的大部分業(yè)務應用系統尚處于開發(fā)、驗證和實驗測試階段，預計未來幾年將如雨后春筍般涌現。目前，區(qū)塊鏈技術正吸引著金融、證券、保險等領域以及供應鏈、知識產權保護、合同存證、審計、捐款追蹤、積分管理等應用場景的廣泛關注，已在多個行業(yè)或組織內容開展研發(fā)測試，甚至已上線運行，特別是金融行業(yè)。其他行業(yè)包括證券、保險、供應鏈(物流)等也有相關研發(fā)實例。

2018趨勢分析和建議

區(qū)塊鏈作為新興技術正在同傳統技術發(fā)生強烈碰撞階段，試圖顛覆傳統的網絡信任基礎。網絡空間公有鏈(數字貨幣等)區(qū)塊鏈系統正受到各國政府和監(jiān)管機構的強烈關注，其已經對國家安全，特別是金融安全、公共安全等層面構成實質性的威脅。隨著區(qū)塊鏈技術的發(fā)展，預計不久其安全風險問題將不斷爆出。

區(qū)塊鏈存在的主要安全風險有：國外公有區(qū)塊鏈系統及其外圍應用對我國金融安全存在一定影響，應持續(xù)關注其對我金融安全的隱患分析和排查。此外，區(qū)塊鏈外圍應用很多均不是去中心化的，應避免誤解造成使用或操作風險，排除誤認識帶來的隱患，例如礦池或礦場組織、數字貨幣的交易所、在線錢包等。

區(qū)塊鏈技術涉及多種密碼算法，對密碼學技術的依賴程度非常高。密碼學算法對相于區(qū)塊鏈的作用的重要性就像是CPU、操作系統對于計算機。如果設計的密碼算法本身存在漏洞或后門，對區(qū)塊鏈系統將是致命的，潛在風險巨大，影響不可估量。此外，數字資產或價值的安全存儲存在隱患。為了安全應用區(qū)塊鏈技術，提供安全的便利的密鑰保護機制至關重要。

針對上述情況分析，我們提出以下對策和建議：應加強對公有區(qū)塊鏈的監(jiān)管和監(jiān)測，包括公有鏈外圍挖礦、交易所等的監(jiān)管和監(jiān)測，跟蹤社區(qū)動態(tài)、安全事件情況等，及時處置;開展區(qū)塊鏈技術安全風險評估評測，及時掌握區(qū)塊鏈安全機制和安全動態(tài)，為制定相關政策指導提供依據;加大區(qū)塊鏈特別是數字貨幣等的風險教育和宣傳，提高風險安全意識。