互聯網安全研究報告范例6篇

前言：中文期刊網精心挑選了互聯網安全研究報告范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

互聯網安全研究報告范文1

作為全球最具權威的IT研究與顧問咨詢公司副總裁，彼得·福斯特布魯克不僅負責高德納咨詢所有終端安全、Web安全網關等領域的研究，也是全球反惡意軟件及反垃圾郵件領域的知名權威專家。他曾是歷屆RSA特邀演講嘉賓，在金融、零售、軟件、數據庫管理方面均有豐富的工作經驗，而高德納咨詢在應用安全、企業安全及云計算安全領域的多數重量級研究報告，均由福斯特布魯克領導參與，他本人對企業安全和終端安全領域的獨到分析也曾多次受到業界關注。

福斯特布魯克稱此次來華，最期待的是與中國安全領域的精英人士交流當下企業安全的熱點議題及發展趨勢。在今年最新的一期研究成果中，他提出云安全服務將是2013年安全領域最“酷炫”的供應商服務，企業的首席信息安全官們及其重要的安全決策者們應考慮到云安全服務的重要性，它將對面臨一系列安全問題的信息技術環境發揮獨特作用。因此，選擇“用戶為王時代的終端安全”為演講主題，可能是福斯特布魯克對當今復雜的網絡安全環境下，企業該如何針對終端安全方面發生的變化采取相應的防范措施，進行的又一戰略性思考。

吸引福斯特布魯克專程來華參與的互聯網安全大會，是由中國領先的安全廠商奇虎360發起承辦、國家互聯網應急中心指導的、國內規模最大的信息安全專業會議，將于9月23日在北京國家會議中心啟動。大會主題會議及各專業技術論壇將云集業界各路技術大牛，美國智庫戰略與國際研究中心高級研究員詹姆斯·劉易斯（James A.Lewis）也將參加23日上午的主題大會，并針對美國網絡安全發展現狀及全球“網絡戰”的變化趨勢發表演講。

作為本次大會的重要環節之一，SyScan360國際安全技術峰會將迎來國際頂級黑客、有蘋果“越獄大神”之稱的Stefan Easer（iOnlc）！他的真實身份是德國資深安全專家，曾連續成功破解iOS4.3.x、iOS 5.1和5.1.1被果粉們奉為“越獄大神”。他的驚人表演是，在蘋果放出iOS 5.1.1固件更新不到12小時內，就公布了在New iPad上成功越獄的圖片。但在此之后，ionlc宣布不再公布越獄工具，并淡出越獄圈。日前，重出江湖的ionlc通過個人Twitter透露，已經掌握了蘋果iOS6.1.3系統的越獄工具，而此次到京演講的議題正是《iOS6漏洞利用與iOS7安全改進》。屆時，國內安全技術人員也可以現場一睹“越獄大神”的風采。

ionlc還有鮮為人知的一面——在因蘋果越獄被大眾熟知之前，他還有著“PHP安全第一人”之稱。早在2003年，他全球率先實現利用緩沖區溢位漏洞，將Linux直接boot到全新完好的XBOX內，并成功開機。近幾年，iOnlc的研究重心逐漸轉向iOS內核和iPhone安全領域上，并合著了《iOSHacker’s Handbook》—書，被iOS安全研究者視為必不可少的學習寶典。

互聯網安全研究報告范文2

隨著我國移動互聯網的迅速發展和普及，移動互聯網金融取得了巨大進展，移動支付、掌上銀行等各類移動應用積極搶占用戶手機入口，用戶人數增長迅速，同時安全問題日益嚴重。一方面，移動互聯網上詐騙信息泛濫。另一方面，移動互聯網上金融犯罪手段不斷翻新升級，用戶稍不注意就會上當受騙。

央視3.15晚會已經連續三年關注信息安全問題。2013年央視315聚焦安全網購；2014年央視315晚會曝光網銀支付被指存漏洞；2015年央視315晚會曝光公共場所無密碼wifi陷阱。但是依然不斷有用戶網購被騙、手機被吸費等惡意行為發生。

據IDC最新研究報告顯示，2016年全球互聯網用戶數將達到32億人，約占全球總人口數的44%，其中移動互聯網用戶總數將達到20億，占互聯網用戶數62.5%。然而，隨之而來的安全風險的成倍增長，惡意軟件劫持流量、偽基站詐騙、攻破用戶使用權限、盜竊用戶信息等問題已經成為當前用戶手機吃過的“家常便飯”，移動設備中的惡意軟件正從碎片化的和理論層面的“萌芽”狀態“變種”長大，嚴重威脅用戶的安全。

互聯網安全研究報告范文3

2010年9月，美國政府CIO和CTO同時出席相關會，美國IPv6行動計劃，頒布實施IPv6的時間表，3個月后美國國防部和國家標準技術研究院通過安全部署IPv6的政策文件，標志著奧巴馬政府推進IPv6工作的進一步落實。而Facebook、Yahoo等在互聯網領域最具影響力的企業也已宣布將2011年6月8日定義為“全球IPv6日”，聯手開展第一次全球性規模的IPv6服務。2011年2月4日，國際互聯網編號分配機構IANA在邁阿密舉行的新聞會上宣布，全球最后5個IPv4地址分配完畢。IP地址資源枯竭的危機已刻不容緩，互聯網界的又一只“千年蟲”降臨。

IPv4技術源于美國，雖然從理論上講，可以編址1600萬個網絡、40億臺主機，但采用A、B、C三類編址方式后，可用的網絡地址和主機地址的數目大打折扣，以至目前的IP地址近乎枯竭。其中北美占有3/4，約30億個，而人口最多的亞洲只有不到4億個。中國截止2010年6月IPv4地址數量達到2.5億，落后于4.2億網民的需求。地址不足，嚴重地制約了全球互聯網的應用和發展。此外，IP地址資源的枯竭也是我國三網融合的絆腳石。根據工信部電信研究院的研究報告，未來5年我國IP需求量為345億，其中移動互聯網為10億，物聯網為100億，固定互聯網為5億，而按照IP地址33%的利用率來推算我國未來IP地址需求量為345億。

IPv6地址長度為128比特，相比于IPv4地址空間增大了2的96次方倍，達到2的128次方個。不止是IP地址資源方面，IPv6在互聯網安全性領域也擁有很好的表現。其包含的一種名為“節點自動配置”功能，是在所有的IPv6網絡中替代動態主機配置協議和地址解析協議的下一代技術，能夠讓用戶不進行任何設置就可以把新設備連接到網絡。如果用戶更換了ISP，因此被分配一個不同的全球路由前綴，這個功能可以使用戶的網絡重新分配IP地址的過程更簡單，因為用戶所要做的一切只是改變路由器的設置，而網絡將重新獲得一個使用新的前綴的新地址。這將減少網絡管理的巨大負擔。

目前，病毒和互聯網蠕蟲是最讓人頭疼的網絡攻擊行為。但這種傳播方式在IPv6的網絡中就不再適用了，因為IPv6的地址空間實在是太大了。如果這些病毒或者蠕蟲還想通過掃描地址段的方式來找到有可乘之機的其他主機，就猶如大海撈針。在IPv6的世界中，對IPv6網絡進行類似IPv4的按照IP地址段進行網絡偵察是不可能了。

對此，中國互聯網絡信息中心(CNNIC)分管IP地址業務的負責人趙巍說，IPv6大門并不會馬上對中國的新網民關閉。中國的IPv6地址主要是通過幾大網絡運營商和中國互聯網絡信息中心分配的。他說：“在我國擁有的IPv6地址中，運營商手中仍掌握部分IPv6可以使用，根據運營商網絡和業務的不同情況，有的地址可以支撐未來5至6年，有的則只能支撐1至2年?！?/p>

實際上，IPv6在設計過程中就已經考慮到了IPv4到IPv6的過渡問題，并提供了一些特性使過渡過程簡化。例如，IPv6地址可以使用IPv4兼容地址，自動由IPv4地址產生；也可以在IPv4的網絡上構建隧道，連接IPv6孤島。

互聯網安全研究報告范文4

關鍵詞：網絡安全 分析 措施

中圖分類號：TP393 文獻標識碼：A 文章編號：1003-9082（2017）05-0008-01

計算機網絡所面臨的威脅是多方面的，既包括對網絡中信息的威脅，也包括對網絡中設備的威脅，但歸結起來，主要有三點：一是人為的無意性的失誤。如操作員安全配置不當造成系統存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的賬號隨意轉借他人或與別人共享等都會給網絡安全帶來威脅。二是人為的有意性的惡意攻擊。這也是目前計算機網絡所面臨的最大威脅，比如計算機犯罪和敵手的攻擊都屬于這種情況，此類攻擊又可以分為兩種：一種是主動攻擊，它以各種方式有選擇性地破壞信息的有效性和完整性；另一種是被動攻擊，它是在不影響網絡正常工作的情況下進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄露。三是網絡軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞，這些漏洞和缺陷恰恰就是黑客進行攻擊的首選目標。絕大部分網絡入侵事件都是因為安全措施不完善，沒有及時補上系統漏洞造成的。此外，軟件公司的編程人員為便于維護而設置的軟件“后門”也是不容忽視的巨大威脅，一旦“后門”遭到攻擊而洞開，別人就能隨意進入系統，后果不堪設想。

計算機網絡受到攻擊主要有如下六種形式：（1）內部人員竊密和破壞。內部人員有意或無意的泄密、更改記錄信息或者破壞網絡系統。（2）截收信息。攻粽嚦贍芡ü搭線或在電磁輻射的范圍內安裝截收裝置的方式，截獲機密信息或通過對信息流和流向、通信頻度和長度等參數的分析，推斷出有用的信息。（3）非法訪問。只未經授權使用網絡資源或以未授權的方式使用網絡資源，主要包括非法用戶進入網絡或系統進行違法操作和合法用戶以未授權的方式進行操作。（4）利用TCP/IP協議上的某些不安全因素。目前廣泛使用的TCP/IP協議存在大量安全漏洞，如通過偽造數據包進行，指定源路由（源點可以指定信息包傳送到目的節點的中間路由）等方式，進行APR欺騙和IP欺騙攻擊。（5）病毒破壞。利用病毒占用帶寬，堵塞網絡，癱瘓服務器，造成系統崩潰或讓服務器充斥大量垃圾信息，導致數據性能降低。（6）其他網絡攻擊方式。包括破壞網絡系統的可能性，使合法用戶不能正常訪問網絡資源，拒絕服務甚至摧毀系統，破壞系統信息的完整性，還可能冒充主機欺騙合法用戶，非法占用系統資源等。

在計算機網絡安全存在眾多隱患的大環境下，如何才能保證網絡穩定運行和用戶正常使用？有如下建議：

1.做好用戶賬戶安全信息管理。在用戶使用計算機網絡時，通常使用的賬號有很多，包含了系統登錄賬號以及電子郵件賬號和網購平臺賬號等一系列應用賬號，因此很多黑客都通過攻擊網絡體系的方法，來獲得合法賬號和密碼。首先在賬戶密碼設置上，要盡量安排較為復雜的密碼，同時盡量采用數字、字母相結合的密碼組合方式。同時盡量各個賬號，尤其是涉及金融信息的賬戶盡量密碼不要一樣，同時要定期更換密碼。

2.完善殺毒軟件和防火墻設置。計算機網絡防火墻技術是用來加強網絡內部訪問管控，防止外部用戶使用非法措施，侵入內部網絡體系，從而有效保護互聯網操作環境。要結合使用相應安全策略從而對數據傳播進行檢查，從而確保網絡數據信息有效傳輸，而外部網絡想介入并訪問互聯網時必需進行有效篩選。結合防火墻使用的不同技術，完善互聯網信息監控。此外，還需配套安裝完善的殺毒軟件體系，結合安全軟件的有效應用和普及，從而有效查殺病毒，防止木馬和病毒入侵，在殺毒軟件應用上，要及時做好版本更新和升級。

3.完善漏洞和補丁等程序的安裝。很多黑客在攻擊用戶計算機網絡時，通常利用一系列弱點和不足來實施攻擊，而這些漏洞和不足往往表現為軟件漏洞、硬件缺失、程序弊端、功能配備及分配設計不合理等一系列因素。結合美國權威對當前主要操作系統和相關應用程序所開展的研究報告，我們可以發現，由于科技的局限性和不足，任何軟件都存在必要的漏洞和不足。目前，更多黑客都是利用軟件缺陷和漏洞來攻擊用戶，進而獲取利益。針對計算機互聯網系統運行過程中存在的不足和問題，為有效避免這些漏洞帶來的問題，一方面要及時關注軟件廠商所的補丁，同時我們在使用互聯網時，也必須及時安裝補丁，從而有效避免漏洞程序所帶來的威脅，實現計算機應用安全。要及時完善安裝漏洞及補丁等程序，實現及時對計算機網絡信息的監管。

4.完善對計算機網絡入侵的檢測和監控。近些年來，隨著計算機互聯網技術應用面逐漸擴大，安全問題日益嚴重，入侵檢測已經發展成為現階段一項全新計算機互聯網安全防范技術，通過綜合使用統計理論和網絡通信技術及其他方法，從而有效監控計算機網絡系統運轉過程中的安全，結合使用統計分析法和簽名分析法，從而實現對計算機網絡系統的安全防范和問題監控。

5.推廣使用文件加密及數字簽名。對確保信息系統和互聯網安全來說，使用文件加密和數字簽名，能夠有效確保整個系統的安全性有效防止數據被竊取或者破壞，結合目前計算機互聯網安全防范作用的不同，所使用的文件加密技術及數字簽名主要有數據傳輸、存儲和確保完整三類方法。通過對所傳輸數據信息進行加密，確保整個傳播過程能夠安全、保密地完成數據傳輸。而數字簽名則是解決計算機互聯網體系中獨有的方法，通過對電子類文檔進行有效辨別和檢驗，進而使得數據完整且精準。數字簽名的實現一般有多種形式。通常適合應用于傳輸要求較高的環境。結合計算機互聯網信息安全工程的需要，還要完善三安全防護體系建設，隨著應用環境的不斷變化，僅依賴傳統技術已經無法滿足時代要求。

互聯網安全研究報告范文5

[關鍵詞]反壟斷 相關市場 濫用市場地位 救濟

一、騰訊QQ與360之爭基本事實

“騰訊QQ”和“360”是互聯網業的兩大客戶端軟件?！?60”公司也推出一款“扣扣保鏢”的安全工具，稱該工具能全面保護QQ 用戶的安全，該軟件的核心功能是過濾各種自動彈出的小廣告，這直接觸及騰訊的核心利益，因為“騰訊QQ”是一款完全免費的客戶端軟件，其主營業務收入正是來源于大量的市場廣告。騰訊對此作出強烈反應，稱“360”公司的“扣扣保鏢”是“外掛”行為。2010 年11 月3 日，騰訊公司通過公開信聲明，將在裝有360 軟件的電腦上停止運行QQ 軟件，并倡導卸載360 軟件登陸QQ，這是雙方一系列爭執中騰訊迄今為止最激烈的行動。騰訊此舉引發業界震動，網友憤怒，業內普遍認為，這是騰訊逼迫用戶作出二選一的選擇。2010年11 月10 日，在工信部等三部委的積極干預下，“騰訊QQ”和“360”已經兼容，并公開向社會道歉。

二、相關市場的界定

根據國務院反壟斷委員會2009 年的《關于相關市場界定的指南》，相關市場是指經營者在一定時期內就特定商品或者服務（ 以下統稱商品） 進行競爭的商品范圍和地域范圍。相關商品市場界定，通常需要進行產品市場界定和地理市場界定，同時當某些產品的生產周期、使用期限、季節性、流行時尚性或知識產權保護期限等已構成商品不可忽視的特征時，界定相關市場還應考慮時間性，即相關時間市場的考量。就“騰訊QQ”和“360”的業務范圍和特征看，“騰訊QQ”屬于即使通訊軟件，即通過為用為提供及時、快速、便捷以及免費的通訊服務，迅速掌握大量客戶端并基于大量的客戶吸引商戶進行廣告投資。“360”則主打互聯網安全服務以及桌面整理，并以大量的客戶端為基礎，通過廣告業務獲取利潤。就商業模式論，兩者之間沒有可比性，也不存在可替代性，沒有一個用戶會因為無法使用“騰訊QQ”而選用“360安全醫生”作為即時通訊工具。至于特定地理市場界定則毫無疑問是中國，時間性在此則在所不論。

三、對濫用市場地位的認定

《反壟斷法》第19 條對推定為市場支配地位的市場份額作出了具體規定，經營者有下列情形之一可推定具有市場支配地位：一是一個經營者在相關市場的市場份額達到1/2 的；二是兩個經營者在相關市場的市場份額合計達到2/3 的；三是三個經營者在相關市場的市場份額合計達到3/ 4 的。同時，如果其中有的經營者市場份額不足1/ 10 的，不應當推定該經營者具有市場支配地位。根據互聯網研究室2010 年11 月30 日的《中國互聯網行業壟斷狀況調查及對策研究報告》，2010 年第三季度，騰迅在即時通訊市場的份額達到76.56%。因此，可以推定，“騰訊QQ”在中國的即時通訊市場具有支配地位。

騰訊公司單純通過正當競爭取得的市場支配地位并不違法。根據《反壟斷法》第十七條第四款規定，“沒有正當理由，限定交易相對人只能與其進行交易或者只能與其指定的經營者進行交易”的行為屬于濫用市場支配地位。從事實看，騰訊采取技術手段將在裝有360 軟件的電腦上停運QQ 軟件?！膀v訊QQ”在即使通訊領域占有市場支配地位這一事實上文已有闡述。即時通訊軟件并非一般性軟件，它的價值不是通過一次性裝載使用加以實現，其目的在于創造用戶的網上的人際平臺。為實現人際平臺最大利用率，用戶往往需要積累大量的平臺用戶，即用戶聯系的其他平臺用戶越多，軟件的效用及活躍度就越高，而積累其他平臺用戶需要消耗大量的時間和精力，有時甚至牽涉情感投入。這就使得即時聊天軟件具有極大的粘連性，消費者很難為了其他軟件而放棄長期使用的即時通訊軟件。即便“騰訊QQ”沒有限定消費者使用“QQ管家”或者指定的其他殺毒軟件，但客觀上卻限定了消費者不得不放棄“360”，這不蒂是一種反向限定。從性質上看，“騰訊QQ”僅僅基于“360”殺毒軟件屬于基層軟件，具有對二級軟件進行查殺的肯定性，就推定其將盜取QQ用戶資料并封殺QQ ，繼而采取激勵的“自衛”行動。很顯然，“騰訊QQ”的行為難稱自衛，而屬于假象受害的攻擊行動。從效果看，強制卸載對互聯網的創新毫無裨益，反而以此震懾其他互聯網企業不得開發與騰訊公司利益相悖的軟件，至于其是否有創新價值、社會價值則在所不論，這從深層次上抑制了競爭和創新，于互聯網環境生態不利，顯然不符合《反壟斷法》的立法取向。

四、對濫用市場支配地位的救濟

互聯網安全研究報告范文6

接踵而來的中國網絡安全事件，讓人們不得不再度審視一個現實：在享受網絡便利的同時，誰為安全受損買單？這個問題雖從一開始就很重要，但現在變成了生死攸關。

5月27日下午5點，擁有將近3億活躍用戶的支付寶出現了大面積訪問故障，全國多省市支付寶用戶出現手機和電腦支付寶無法登錄、余額錯誤等問題。第二天，攜程網爆出因數據庫被物理刪除，攜程網站及APP陷入癱瘓狀態12個小時，頁面無法打開。

繼支付寶、攜程系統癱瘓后，5月29日上午，多個券商交易系統不堪大量交易重負，也出現了接連宕機事件。

6月12日，美國駐華大使館官網信息稱，“美國國務院領事事務局正經歷海外護照和簽證系統的技術問題?！彼袊腋懊篮炞C均受影響。截至《財經》記者發稿，仍無修復時間表。

此前兩個月，蘋果的應用商店App Store、iTunesStore發生重大宕機事故，搜索和下載功能都暫時失效，這一事故波及全球用戶。

數據沒有丟失，可謂虛驚一場。但此次事件給網絡信息安全敲響了警鐘。

高盛統計數據顯示，2014年，全球范圍內總共發生了3014樁數據被盜事件，11億份記錄曝光，其中97%與黑客活動（83%）或欺詐（14%）有關。過去一年時間里，數據被盜事件和記錄曝光事件的數量均大幅增長了25%。

互聯網的安全問題并不是新問題，而這幾年隨著個人云計算服務的興起，它的重要性再次被關注。

云為移動互聯網帶來了基礎能力，但其動態、開放、甚至不可琢磨的技術特性，又將引發新的安全挑戰。而且，以物聯網為代表的新一波移動互聯網大潮正在趕來的路上。

市場研究機構Gartner預測數據顯示，到2020年，全球聯網設備的數量將從現在的30億臺增加至260億臺左右。不僅手機、電腦、電視機等傳統信息化設備將連入網絡，家用電器和工廠設備、基礎設施等也將逐步成為互聯網的端點――網絡安全邊界將被無限拓寬且變得日益復雜。

建設可管、可控、可信的網絡，是下一波移動互聯網浪潮潮起的前提和方向，但現在中國的互聯網卻近似于“裸奔”。 “裸奔”

中國人在互聯網，尤其移動互聯網上流通的資產已經越來越多。

市場分析機構易觀智庫針對今年一季度的統計數據顯示，中國包括電子商務、航空票務、火車網上訂票、旅游、境外消費、互聯網金融、線上游戲增值等網絡交易總規模超過10萬億元人民幣。

支付寶、銀聯支付和財付通等第三方移動支付規模超過2.8萬億元人民幣，環比增長5.81%；P2P網貸市場交易規模超1000億元人民幣，環比增長34.5%。中國移動支付和P2P網貸市場仍保持了相當高的活躍度。

傳統銀行業務在互聯網和手機端的交易量也十分可觀。一季度，中國手機銀行客戶端交易規模高達12萬億元人民幣；網上銀行客戶端交易規模達到353.5萬億元。而且，手機銀行的交易規模還在以兩位數以上速度攀升。

這一連串數據顯示著，互聯網尤其是移動互聯網上流通的中國資產已經十分龐大。以網絡交易為例，根據國家統計局公布的數據顯示，今年1月-5月，我國社會消費品零售總額為11.8萬億元，月均2.36萬億元；而實物商品網上零售額總額為1.11萬億元，并迅速向大城市以外的二三四線城市蔓延擴張。

移動支付手段打通了移動互聯網商業世界，從而形成了商業閉環。但由于成長速度太快、規模太大，中國互聯網公司對安全的重視程度并未跟上業務規模發展的速度。

傳統金融行業幾乎是全世界信息安全技術最發達、網絡架構最嚴密的行業，其網絡架構搭建理念就好比護城河+多層堡壘，對用戶數據的存放和管理有相當成熟的行業標準和規范。即便如此，其IT系統仍有缺陷，多個券商系統宕機就是最好的表現。

中信證券股份有限公司信息技術中心行政負責人董事總經理張益民接受《財經》記者采訪時稱，從業務上看，國內投行以前主要是以場內業務為主，是牌照業務，造成了各家業務趨同性比較大，必然導致IT系統的發揮余地較小，同質化嚴重；而國外投行在場外業務上的創新性百花齊放，導致對IT的個性化、創新性要求非常多，這種情況下，國外投行紛紛發展自己的IT開發隊伍，以適應業務快速發展、快速創新的需求。他表示，最近幾年，中國金融企業才開始自建IT系統以應對安全需求。

誕生于移動互聯網、云計算變革之下的互聯網金融公司兼具金融和互聯網的雙重身份，其安全系統更是脆弱。

一位來自傳統銀行的互聯網金融公司高層人士入職后第一件事情就是深度研究其網絡架構，并多次在公司高層會議上強調把云和服務器放在第三方平臺是極不安全的，力薦公司高層應向傳統銀行學習，自建服務器。

該公司另一高層向《財經》記者坦言，對于一個剛剛起步的創業公司來說，這是不可能的，“現在能做的是在安全和效率中間平衡折中，到了一定規模之后，才有可能加強安全”?；ヂ摼W金融公司普遍無力在網絡安全上投資重金。

為P2P公司搭建IT系統服務的技術服務提供商中科柏誠董事長王德敬告訴《財經》記者，出于成本考量，絕大部分互聯網金融公司偏愛成本更低的公有云平臺，其數據普遍被暴露在云環境之中，所有的數據備份和安全防護基本依賴于云平臺公司，這與傳統金融行業利用封閉的物理設備實現護城河一般的嚴密數據保護不可同日而語。

一位資深IT技術人士為《財經》記者算了一筆賬：以一個只需要一臺最初級服務器和基本網絡架構的初創互聯網公司為例，自己部署服務器成本大約為每月3000元左右，但如果使用阿里云的公有云服務平臺，每月只需百元左右。

這與銀行在IT系統上的巨額投資幾乎是天地之別。傳統銀行在IT上的投入巨大，一般是其年度利潤的10%到15%，只有這樣，才能保證IT系統能支撐龐大業務和用戶的發展。

同樣受限于成本，在公有云平臺提供基本的災備手段之外，目前絕大部分P2P平臺幾乎都沒有基本的災備系統。

不規范的業務上線操作也進一步放大了安全缺陷。多位互聯網金融從業人士告訴《財經》記者，市場競爭異常激烈，業務部門非常著急要上線一些業務的時候，往往會打破規范，在整個上線流程沒有建立，或者還沒有完成開發、測試的時候，業務就直接了。

互聯網金融企業的管理層其實十分清楚存在的安全缺陷。這些安全缺陷就像達摩克利斯之劍，時刻存在危險。

小微互聯網金融公司在黑客的攻擊面前防護能力普遍弱小，容易造成恐慌和非正常死亡。統計數據顯示，在2013年和2014年，有超過100家網貸平臺因黑客的攻擊而宣布關門。絕大部分網貸平臺遭遇過黑客攻擊，被迫關閉服務器、暫時停止服務。

“金融風險的一個特點是滯后性，早期跑得越快，系統搭得就越淺，倒的機會也越大。”大數據風控公司神州融聯合創始人黃海珈說。

最受安全制約的互聯網金融行業尚且如此，其他中小型垂直互聯網創業公司的安全意識和安全架構部署更是漏洞百出。公有云平臺創業公司七?？萍伎偛脜喂鹑A告訴《財經》記者，互聯網公司普遍不具備安全意識，大部分小公司很少主動了解平臺的安全機制，更加看重平臺的遷移能力和系統運行能力。

多位接受《財經》記者采訪的互聯網IT安全人士也均認為，除了BAT，中國絕大部分互聯網公司的網絡架構均不甚完善，安全漏洞和風險巨大。

國家計算機病毒應急處理中心在今年3月的調查數據顯示，2014年，中國31.3%的用戶遭遇過個人信息泄露。

感染計算機病毒的比例為63.7%，比2013年增長了8.8%；移動終端的病毒感染比例為31.5%，比2013年增長了5.2%。無論是傳統PC還是移動終端，安全事件和病毒感染率都呈現出了上升的態勢。 攻擊

一家網游虛擬物品交易平臺的創始人在考察了多個公有云平臺后發現，沒有一家的安全機制令他滿意。

網游虛擬物品交易是一個競爭激烈、市場空間極大的高利潤市場，在殘酷的市場競爭之下，這家網游虛擬物品交易平臺正沉淪于競爭對手的惡意流量攻擊中不可自拔。

流量攻擊必然降低用戶體驗。上述平臺創始人透露，他的平臺每天遇到的流量攻擊在幾十個G到幾十個T之間，而他的方式除了將數據服務器分布放在不同數據中心，引流導流，目前沒有其他更好的辦法。

網宿科技副總裁劉洪濤告訴《財經》記者，按照經驗值，互聯網公司遭遇流量攻擊的頻度與規模整體上呈相反的變化趨勢。也就是說，越大規模的攻擊發生的頻率也越低。

一般的互聯網公司一兩年可能遭遇一次大規模（大于100Gbps）的DoS攻擊（Denial of Service的簡稱，即拒絕服務，其目的是使計算機或網絡無法提供正常的服務），中等規模的DoS攻擊（20-100Gbps）會頻繁一些，約一季度至半年發生一次；而小規模的DoS攻擊可能一個月出現一次或多次。

一家游戲公司CTO告訴《財經》記者，游戲行業服務類型嚴重同質化，雖然不能從技術上溯源攻擊者，但用流量攻擊來打擊競爭對手的事情確實較為常見。

如果說流量攻擊是一個惡意商業行為，可以通過一定手段來遏制和規范，那么互聯網時代開放的網絡架構和平臺帶來的網絡安全風險則常令普通互聯網創業公司束手無策。

傳統的電信運營商和IT行業通常比較依賴于國外大公司提供的整體解決方案，比如IBM等公司提供的小型機等。互聯網公司則更加喜歡前沿的開源技術。阿里曾經在內部發起 “去IOE運動”，消除公司產品對IBM、Oracle、EMC重型基礎設施的依賴。而更新的互聯網公司則自一開始就不會與這些重型基礎設施沾邊。很多互聯網創業公司的產品環境沒有采用任何商業軟件，完全基于開源的軟件系統和框架來搭建。

開源平臺比想象中更加脆弱，而且其一旦受到攻擊，會波及眾多平臺上的公司。

2014年，波及全球數以千萬計服務器的“心臟流血”事件震驚了全球IT業。全世界網站服務器中有三分之二都采用OpenSSL開源軟件，而針對該軟件的“心臟流血”漏洞則幫助黑客獲得打開服務器的密鑰，監視服務器的數據和流量。“心臟流血”波及范圍很廣，包括雅虎在內的，Alexa排名在前百萬超過40%的網站數據被泄露。

萬物互聯的風險亦在顯現。

2014年9月，一款可以感染路由器、恒溫器、烘干機等許多物聯網設備的惡意軟件，組成了1.2萬至1.5萬臺的大型僵尸網絡，在亞洲和美國實施了各種形式的DDoS攻擊。攻擊流量峰值高達215G，每秒1.5億個數據包。這亦是迄今為止針對物聯網領域最大的一次惡意攻擊。

物聯網設備存在諸多因設備制造商急于聯網，從而忽略了安全問題的嚴重風險。包括隱私泄露、弱密碼、非加密通訊，以及網頁操作等漏洞。而企業網絡與員工自帶的個人設備又極易發生交叉感染。如果沒有新的安全模式來應對這一風險，那么未來物聯網安全的嚴重性將超出人們想象。 再造

前南方電網、中國電信和思科資深技術專家徐建鋒告訴《財經》記者，安全包括物理設備、網絡、系統和應用四大層面。其中，物理設備和網絡層面一般不會發生安全問題，一旦發生就是大事，例如，2012年因骨干網設備故障發生的中國互聯網大面積斷網事件。

在云計算技術和云服務平臺越來越成為互聯網公司技術架構核心的今天，后端的系統和前端的終端應用安全問題越來越凸顯。邏輯很簡單――越開放，參與的人越多，安全問題也越多。

支付寶癱瘓事件是一個典型的后端系統安全問題。支付寶相關技術人員告訴《財經》記者，癱瘓事件發生后，支付寶技術團隊確定無法在短時內修復被挖斷的光纜，決定進行機房容災應急預案。為了保證用戶資金數據不出現任何問題，支付寶技術團隊采取了手工而不是自動切換方式――進行內部數據核對，在發現沒有影響的情況下才對外開放，這也直接造成支付寶在兩個小時之后才恢復運轉，沒有實現“無縫切換”的容災設計初衷。

這是支付寶自運營以來首次遭遇真實的整體機房突然中斷故障。從外界來看，這次事故顯示，支付寶的“異地多活”備份系統架構雖然不同于傳統金融行業的“兩地三中心”容災機制，但也基本經受住了考驗，在光纜未修復的情況下，快速恢復了服務，這在互聯網公司中已經處于頂尖水平。

這套基于云架構的備份容災系統，并非沒有缺陷。上述支付寶技術人士告訴《財經》記者，系統架構還有提升點、改進點，未來改造的方向是在遇到同類突發故障時能夠提升切換速度。

上述支付寶技術人士坦言，在本次突發故障以前，支付寶技術團隊考慮到網絡完全中斷的極端情形進行了定期演練，但未對網絡擁塞情形進行充分演練。

這也許是為什么支付寶沒有能夠實現“用戶無感知”的災備切換能力設計初衷的原因――傳統金融和運營商每年大大小小的演練有數百次，而且，現實情況與演練還是存在差異的。

事件發生后，支付寶技術團隊細化了應急制度及流程、完善容災切換應急預案與支撐系統的建設，制定了月度演練規則。

外界也有質疑，阿里巴巴“去IOE”、“由硬變軟”的數據中心架構轉變令網絡負載存在隱患，導致業務連續性面臨新挑戰。2013年，阿里巴巴宣布“去IOE”戰略，去掉IBM的小型機、Oracle數據庫、EMC存儲設備，代之以自己在開源軟件基礎上開發的系統。傳統IT的數據中心，IBM小型機、Oracle數據庫和EMC存儲設備往往是標配，缺一不可。

開源軟件跟商業產品的重要區別在于，開源軟件只有基本一個框架，不成熟，需要自己去打磨，出了問題沒有廠商技術支持。而IOE好比是4S店，收費高但服務全面。

面對這種質疑，支付寶相關技術人士認為，國產軟件能力已經比過去增強不少，并且更能適應互聯網海量數據和業務方面的特點。

阿里巴巴的一位前架構師基本認同這個觀點。他認為，癱瘓事件對于支付寶而言就是摔了一跤，最容易出問題的不是阿里巴巴這樣的技術實力雄厚的大公司，也不是體量太小的初創小公司，而是中型公司?！按笮凸炯夹g實力強，小公司被攻擊的機會少；而中型互聯網公司既沒有特別牛的技術團隊，出現漏洞和被攻擊的機會又遠大于小公司。”

5月29日，攜程網發生了長達12小時的宕機事件。攜程在事后簡單的聲明稱，確認此次事件是由于員工錯誤操作，刪除了生產服務器上的執行代碼導致。

這并非攜程發生的第一次安全事故。去年3月，攜程就被爆出泄露用戶信用卡CVV信息事件。攜程安全支付日志在多處網站可隨意下載，導致大量用戶銀行卡信息泄露（包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin）。

多位接受《財經》記者采訪的專業技術人士認為，相對于支付寶癱瘓，攜程的安全問題十分低級嚴重。一家美國安全廠商技術高層人士指出，類似泄露用戶銀行卡信息和程序員誤操作刪除信息這樣嚴重且低級的錯誤，如果在美國，這家公司將面臨嚴厲的法律訴訟，乃至關門歇業。

如果出現問題，災備是唯一的挽救辦法。但與早已被標準化的傳統行業災備方案相比，互聯網公司分類太多，情況復雜，難以形成統一的行業標準。

IT災難恢復公司萬國數據副總裁汪琪告訴《財經》記者，災備不出實際效益，一千塊錢的投入可能只做一塊錢的事情，所以絕大部分互聯網公司只做最基礎的災備措施。

例如，一些服務器放在公有云平臺上的小型互聯網公司，一般在公有云平臺提供的數據備份之外，自己是否再進行數據備份，是實時備份還是有限備份，都因企業的資金實力和安全意識而不同。

萬國數據為互聯網公司提供的一項日常業務是計算合適的災備投資方案。汪琪告訴《財經》記者，由于云計算和云服務的普及性，互聯網公司的數據一般不會丟失，區別在于是業務不中斷，還是中斷時間的長和短。企業要算賬，中斷1個小時或者12個小時造成的經濟損失會是多少，然后根據災備的成本，選擇合適的災備方案。

按照攜程一季度財報公布的數據，攜程宕機的損失為平均每小時106.48萬美元。按照宕機12小時算，初步估算攜程損失超過千萬美元。

萬國數據的一份研究報告數據顯示，53%的中國公司會因系統故障導致業務中斷，而在日本這一數字則只有28%。

至于那些完全沒有災備意識的公司，則很有可能在一次打擊之下便被迫退出市場。

汪琪認為，互聯網行業很難制定一個統一的災備標準，但根據其業務屬性，可以參考傳統行業的災備標準部署災備方案，亟須改變“唯成本論”的現狀。

事實上，不同類型的互聯網公司對網絡架構和安全性能的需求其實各有不同。互聯網金融公司需要私有云來保護用戶賬戶核心信息；網游和電商公司需要穩定的帶寬和架構保證用戶體驗；社交平臺則強調開放特性之下的全面安全。

在終端和應用層面，移動互聯網和云計算的普及也令安全面臨全新挑戰。我國移動互聯網用戶已經超過8億，移動終端設備越來越多樣，這也意味著管理起來將更加困難。

移動終端受功耗等限制，無法像個人計算機那樣內置功能強大的防火墻。安卓移動操作系統盡管已經使用了針對應用軟件的簽名系統，但黑客仍然能使用匿名的數字證書來簽署他們的病毒并發放。

為了保障系統和終端層面的最大安全，Facebook在2011年成立了一個名為“漏洞獎勵”項目，該項目通過現金獎勵的方式酬謝那些為公司發現安全漏洞的人士。2014年，Facebook通過這個項目找到了17011個漏洞，比2013年上漲了13%。谷歌也有相關的漏洞發現獎勵機制。

從最終結果來看，這種方式十分有效，但在中國幾乎沒有類似實踐。 爭議

水能載舟，亦能覆舟。

從2013年開始，中國公有云服務開始進入實質性的落地階段。2014年上半年，中國公有云服務市場整體規模達到3.27億美元，全年預期將達7.17億美元，同比2013年增長46.7%。有研究預測分析表明，2015年至2018年，公有云服務市場將持續高速增長態勢，年均復合增長率將達到33.2%。

未來，包括互聯網公司和需要互聯網化的傳統公司，也許所有公司都將跑在云上。

開放的公有云平臺大大降低了企業的安全成本。微軟近期的一份用戶調查報告顯示，在過去三年間，使用了云服務的企業與未使用云服務的企業相比，安全支出降低了5倍之多。

報告稱，安全方面的收獲是云服務平均每周可減少18個小時的安全管理時間。這是因為大部分的安全管理是由云服務提供商進行的?！半m然云計算不能取消企業內部對補丁管理的需要，但安全管理的需要會大大減少。”

完全把安全依賴于公有云平臺，顯然并不明智。

360副總裁譚曉生在近期舉行的云計算大會上表示，開放的網絡架構令互聯網公司可能被攻擊的點增多了，由于云計算技術尚未成熟，年輕的虛擬化系統、云計算管理平臺比傳統系統存在更多漏洞，更加脆弱。

一方面，公有云平臺良莠不齊，此外，公有云平臺也有可能受到攻擊，這就好比把自己家的鑰匙交給第三方，安全系數大大降低。

為了保障安全，一些對系統安全要求較高的互聯網公司往往采取雙重或多重安全保障的方式，例如，七牛公有云平臺上一家為大型商場提供視頻監控的互聯網公司，在七牛的云安全的基礎上，又在芯片層面做了加密機制。

另一些漸成氣候、規模成型的互聯網金融公司則開始拒絕公有云。一位知名互聯網金融公司安全總監告訴《財經》記者，他所在的這家公司只有在開發測試的環境下使用公有云平臺，正式的生產環境則砸下大筆資金，自建數據庫。

他向《財經》記者強調：“我們想做規劃者，不想做救火隊員。前期不投入，后期背黑鍋。”

阿里巴巴也在快速轉身，在涉及用戶賬戶的核心數據安全上，向傳統銀行看齊。

6月25日，籌備已久的阿里巴巴旗下的浙江網商銀行將正式上線。網商銀行技術總監唐家才告訴《財經》記者，這雖然是一家完全運行在互聯網上的新型銀行，但在網絡架構上還是采用了私有云系統，建了自己的機房，機房外有多層防火墻，“這一是為了迎合監管要求，二確實是出于對儲戶資金安全的考慮”。

在核心系統和數據的安全防護上，網商銀行走了傳統銀行的道路。但唐家才向《財經》記者強調，這并不意味著公有云不安全，“無論是公有云、私有云還是混合云，結合自身情況選擇一套合適的云搭配方案才是最重要的”。

IBM中國區的一位高層人士此前亦向《財經》記者表示，IBM一向做大型行業和企業的生意，但針對中小型企業的公有云市場潛力無限，是未來值得著力的焦點之一。

“風險不在于開放，而在于你是否有能力開放?！鄙鲜鯥BM高層人士強調。

接受《財經》記者采訪的多位互聯網人士表示，互聯網技術將與安全問題如影隨形，每一次問題的出現都將是一次新的發展機遇，構筑在云之上的未來移動互聯網系統將越來越健壯。 倒逼立法

中國的移動互聯網用戶規模、業務模式已經跑在全球浪潮之巔，但對安全的敬畏和研究還處于學習階段。

現時的互聯網公司還裸奔在安全體系之外，新興的“工業4.0”、“互聯網+”浪潮又將更多的傳統公司推向互聯網，在互聯網業態發生巨變的關口，政府應該如何建立相應的互聯網安全體系？

中國電子學會理事長、陜西省人民政府省長婁勤儉認為，面對中國經濟全球化、網絡化趨勢，既要提高被動防御能力，也要抓制度建設。

他建議，在制度層面，決策層需要加快信息安全立法進程，推進法律法規和數據開放保護制度措施，加強侵犯隱私的懲戒力度，國家、企業建立安全預警平臺，及時識別網絡安全的重大風險。

還應建立國家信息安全等級保護制度，建立云計算、大數據環境下的信息安全認證審查機制和安全評估體系，開展定級備案和評測等工作，加強安全風險分析，及時有效處置威脅信息安全的突發事件。

資深互聯網法律專家林華則認為，對安全的監管和立法分為兩種：一種監管是為了加強國家控制，一種監管是為了增加公眾安全。而他覺得中國目前只做了前一種。

支付寶和攜程事件備受質疑的一點在于，事件發生以后，二者都沒有及時向外界詳細披露技術故障的前因后果、產生了什么影響、未來改進方向等。這與亞馬遜、微軟、谷歌等大型國際互聯網公司的成熟做法相差甚遠。詳細及時向外界公開信息，其核心出發點在于，需要給用戶信心，披露得越詳細，給社會的想象和爭議空間越小。

此外，這也是規避在美國法律體系中已經十分成熟的“集體訴訟”風險。在歐美等發達國家，一旦有互聯網公司出現網絡故障或安全事故導致用戶權益受損，消費者往往選擇通過集體訴訟的方式保護權益。

近兩年來，阿里巴巴、聯想、聚美優品、蘭亭集勢等互聯網公司都在美國遭遇過集體訴訟。美國的大型互聯網公司也普遍遭遇過集體訴訟。近期，一樁針對雅虎非法攔截由非雅虎郵箱發送至雅虎郵箱用戶的郵件內容的集體訴訟被裁決。

裁決稱，自2011年10月2日以來，凡是曾經向雅虎郵箱用戶發送過或收到其發出的電子郵件的消費者，根據美國《聯邦儲存信息保護法》（SCA）有關涉嫌侵犯隱私的規定，均可作為原告提起集體訴訟。初步估計，有集體訴訟資格的用戶將超過百萬。

在美國，集體訴訟可以較低成本獲得較大賠償，也能使訴訟者得到更為全面的解決辦法，更是倒逼互聯網公司主動從根源上重視網絡安全、尊重用戶數據、主動改善用戶體驗的最佳方式。