新媒體時(shí)代的網(wǎng)絡(luò)安全發(fā)展趨勢(shì)

摘? 要：本文分析了新媒體應(yīng)用面臨的安全問題，解讀新等級(jí)保護(hù)標(biāo)準(zhǔn)中以“一個(gè)中心三重防護(hù)”為主線的體系化方案設(shè)計(jì)，并融入了最新的安全理念與思路，提出“身份零信任、業(yè)務(wù)流安全”的新網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)思路。

關(guān)鍵詞：新媒體;網(wǎng)絡(luò)安全;等級(jí)保護(hù);零信任;流安全

中圖分類號(hào)：TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

本文著錄格式：翟勝軍.新媒體時(shí)代的網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)——身份零信任，業(yè)務(wù)流安全[J].中國(guó)傳媒科技，2020，01（01）：7-9.

1.背景：媒體全面信息化，安全影響更加大

互聯(lián)網(wǎng)興起推動(dòng)了新媒體的空前繁榮。一是用戶的體驗(yàn)好了，編輯表現(xiàn)的手法更多了;二是信息發(fā)布渠道多了，三屏合一，線上線下互動(dòng);三是新聞的速度更快了，隨著智能手機(jī)的普及，人人都成為“記者”，新聞行業(yè)進(jìn)入到實(shí)時(shí)推送的時(shí)代……總之，新媒體時(shí)代正在悄然走進(jìn)我們工作、生活的方方面面。

媒體信息化，是離不開互聯(lián)網(wǎng)的。近幾年，層出不窮的網(wǎng)絡(luò)安全事件，不僅針對(duì)性攻擊越來越多，而且隨著媒體網(wǎng)絡(luò)擴(kuò)散速度明顯加快，影響力越來越大。

1.1網(wǎng)絡(luò)勒索正在發(fā)展為網(wǎng)絡(luò)黑勢(shì)力

2017年5月風(fēng)靡世界的WannaCry病毒不僅橫掃世界，而且因?yàn)椴捎妹绹?guó)國(guó)標(biāo)加密手段，難以破解，更麻煩的是，它采用比特幣進(jìn)行勒索交易，讓勒索者能夠輕松逃避法律制裁，一條灰色產(chǎn)業(yè)鏈已經(jīng)完整，勒索開始成為網(wǎng)絡(luò)社會(huì)中的噩夢(mèng)……勒索不僅針對(duì)個(gè)人，而且針對(duì)企業(yè)、政府、社會(huì)服務(wù)機(jī)構(gòu)。2018年8月，臺(tái)積電生產(chǎn)線上的控制電腦被加密勒索，只能清盤重裝，導(dǎo)致工廠流水線大面積停工。2019年5月，美國(guó)巴爾的摩市政府的大量電腦被加密勒索，造成房產(chǎn)交易、稅務(wù)、市政繳費(fèi)等平臺(tái)癱瘓。他們共同的特點(diǎn)都是“入侵+勒索+比特幣”。

1.2敏感信息泄露影響到社會(huì)的安定

我國(guó)《網(wǎng)絡(luò)安全法》明確了個(gè)人信息保護(hù)，歐洲的GDPR對(duì)泄漏個(gè)人隱私處罰極其嚴(yán)重，但都擋不住信息泄漏事件的前赴后繼……敏感信息的泄漏究竟能造成多大的惡果呢？2016年8月，國(guó)內(nèi)某省考試網(wǎng)站被黑客入侵，泄漏考生信息，徐玉玉在大學(xué)報(bào)到途中被電話詐騙后，意外猝死，國(guó)內(nèi)對(duì)個(gè)人信息泄露引發(fā)社會(huì)性關(guān)注。2016年3月，競(jìng)選美國(guó)總統(tǒng)的希拉里團(tuán)隊(duì)遭到郵件釣魚，私人郵件信息被公布，競(jìng)選工作遭到意外的沉重打擊。2018年Facebook公司的數(shù)據(jù)合作公司被引爆有意引導(dǎo)公眾輿論，造成整個(gè)社會(huì)對(duì)社交平臺(tái)的恐慌……小到影視明星的人設(shè)崩塌，大到社會(huì)輿論的誤導(dǎo)，信息泄露、信息誤導(dǎo)，信息內(nèi)容安全所造成的社會(huì)影響是難以估量的。

信息化技術(shù)發(fā)展助力新媒體行業(yè)，在信息流動(dòng)越來越便捷，用戶體驗(yàn)越來越好的同時(shí)，更加需要讓新媒體為社會(huì)發(fā)展而服務(wù)，傳遞知識(shí)，傳承文化，傳播正能量，即新媒體的內(nèi)容，傳播的方式，傳播的對(duì)象產(chǎn)生出大量的安全新需求，這應(yīng)該引起各級(jí)管理者的足夠重視。

2.對(duì)策：安全上升到國(guó)家戰(zhàn)略高度，等級(jí)保護(hù)落實(shí)是工作抓手

網(wǎng)絡(luò)安全作為國(guó)家安全的重要組成部分，一直以來都得到國(guó)家領(lǐng)導(dǎo)的高度重視，2014年我國(guó)成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，習(xí)近平同志親任組長(zhǎng)。2017年6月《網(wǎng)絡(luò)安全法》正式實(shí)施，規(guī)定了我國(guó)網(wǎng)絡(luò)安全實(shí)行等級(jí)保護(hù)制度。2019年12月，新的等級(jí)保護(hù)標(biāo)準(zhǔn)（等保2.0）實(shí)施。網(wǎng)絡(luò)安全的建設(shè)與管理，開始有法可依，有規(guī)可查。

2.1構(gòu)建用戶自己的安全能力

安全建設(shè)不能只為了應(yīng)付檢查，而是要發(fā)揮其保障的效果，黑客入侵的時(shí)候能夠及時(shí)發(fā)現(xiàn)并阻斷它，內(nèi)部人違規(guī)操作時(shí)能夠甄別并舉證用戶自己的安全能力，需要從兩個(gè)方面考慮：

2.1.1網(wǎng)絡(luò)安全方案設(shè)計(jì)需要體系化

新等級(jí)保護(hù)標(biāo)準(zhǔn)強(qiáng)調(diào)了“三重防護(hù)一個(gè)中心”的體系化設(shè)計(jì)思路，可以分為空間維度的縱深、多重防護(hù)體系，與時(shí)間維度的多維、協(xié)同防御體系?！毒W(wǎng)絡(luò)安全法》中要求“三同步”原則：安全與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)。又提出了更高的要求：一方面是要求業(yè)務(wù)系統(tǒng)在設(shè)計(jì)與開發(fā)時(shí)，就需要考慮安全問題，比如用戶登錄應(yīng)該認(rèn)證、重要操作應(yīng)該審計(jì)、敏感信息應(yīng)該加密等等。開發(fā)中引用的大量開源代碼，也應(yīng)該經(jīng)過安全檢測(cè)。提升業(yè)務(wù)系統(tǒng)自身的安全性，自己強(qiáng)壯了，自然抵御外部攻擊的能力就加強(qiáng)了，這也稱為“內(nèi)生安全”。另一方面是要求系統(tǒng)運(yùn)營(yíng)時(shí)，注重安全措施的落地與效果，比如安全策略要部署到位，安全告警要有技術(shù)人員分析，發(fā)現(xiàn)問題有人去追蹤溯源，堵住漏洞，避免以后再被利用。

2.1.2網(wǎng)絡(luò)安全建設(shè)需要分步走

網(wǎng)絡(luò)安全建設(shè)的目標(biāo)是在對(duì)抗中取得決勝的結(jié)果，持續(xù)性對(duì)抗的安全能力是關(guān)鍵。網(wǎng)絡(luò)安全建設(shè)就是在構(gòu)建安全對(duì)抗的能力，這包括三個(gè)要素：人、工具、流程。人是對(duì)抗的主體，人對(duì)抗需要工具，工作需要有一定的方法。在構(gòu)建安全能力時(shí)，一般分為三個(gè)階段：一是“知己”，了解網(wǎng)絡(luò)資產(chǎn)，即合規(guī)的基礎(chǔ)安全能力，搭建安全組織，部署基礎(chǔ)措施，制定應(yīng)急流程。二是“知彼”，提升發(fā)現(xiàn)能力，構(gòu)建以大數(shù)據(jù)為核心的分析溯源能力，能夠及時(shí)發(fā)現(xiàn)攻擊者，才能夠落實(shí)阻斷、恢復(fù)等工作。三是“應(yīng)變”，提升動(dòng)態(tài)調(diào)整的能力，即構(gòu)建以威脅情報(bào)為中心的持續(xù)對(duì)抗能力。攻防雙方都是善變的，及時(shí)依據(jù)變化動(dòng)態(tài)地調(diào)整自己的策略，才能爭(zhēng)取對(duì)抗中的主動(dòng)。

2.2身份零信任，業(yè)務(wù)流安全

隨著云計(jì)算、移動(dòng)互聯(lián)等新技術(shù)的廣泛運(yùn)用，新的業(yè)務(wù)模式越來越多。不僅用戶可以移動(dòng)、漫游，而且服務(wù)器也變成虛擬機(jī)，可以動(dòng)態(tài)地漂移。網(wǎng)絡(luò)結(jié)構(gòu)變了，網(wǎng)絡(luò)邊界模糊，業(yè)務(wù)之間的數(shù)據(jù)共享越來越多了，安全防護(hù)就更加難了。如何讓業(yè)務(wù)的安全策略始終保持一致呢？新等級(jí)保護(hù)標(biāo)準(zhǔn)在完善安全防護(hù)體系的同時(shí)，也引進(jìn)了大量最新的安全技術(shù)與理念。

2.2.1采用“零信任”技術(shù)建立用戶連接

零信任是Google公司最先提出的“去邊界”安全防護(hù)思想，關(guān)鍵技術(shù)有三點(diǎn)：一是不僅確認(rèn)用戶的身份，還要確認(rèn)用戶使用的終端設(shè)備;二是動(dòng)態(tài)評(píng)估用戶的可信程度，如登錄位置、連接方式、上網(wǎng)習(xí)慣，動(dòng)態(tài)決定給用戶訪問的授權(quán)權(quán)限，若有敏感操作時(shí)，需要提升鑒別的級(jí)別;三是在用戶與服務(wù)器之間建立一條可信的安全通道，保障用戶能夠安全地訪問到業(yè)務(wù)服務(wù)器。

2.2.2采用“流安全”技術(shù)保障業(yè)務(wù)的安全策略落實(shí)到位

為了讓終端找到“漂移”的服務(wù)器，可以識(shí)別用戶的業(yè)務(wù)流量，通過“導(dǎo)流”的方式，進(jìn)入到我們預(yù)先設(shè)定好的安全措施環(huán)節(jié)進(jìn)行清洗與檢查，即業(yè)務(wù)流量數(shù)據(jù)包的路由不再依據(jù)傳統(tǒng)TCP/IP協(xié)議的“目的轉(zhuǎn)發(fā)”，而是按照用戶定義的安全策略被引導(dǎo)進(jìn)入相應(yīng)的安全措施中進(jìn)行安全處理，再送給服務(wù)器。比如，郵件的流量需要送給防垃圾郵件處理，網(wǎng)站的流量需要經(jīng)過WAF的過濾。

3.小結(jié)：安全意識(shí)是前提，安全效果靠實(shí)戰(zhàn)

網(wǎng)絡(luò)安全歸根結(jié)底是人與人之間的對(duì)抗，網(wǎng)絡(luò)安全需要網(wǎng)絡(luò)上所有用戶的共同維護(hù)，因此，安全意識(shí)的普及就成為網(wǎng)絡(luò)安全體系最終發(fā)揮作用的前提。另外，網(wǎng)絡(luò)安全的策略是動(dòng)態(tài)的，檢驗(yàn)我們防護(hù)體系效果的最好方法是不斷地進(jìn)行演習(xí)，在實(shí)戰(zhàn)中完善安全策略，檢驗(yàn)應(yīng)急預(yù)案效率，提升團(tuán)隊(duì)安全能力。

[1]GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[S].2019（5）：10發(fā)布.

[2]GB/T 25070-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》[S].2019（5）：10發(fā)布.

[3]沈昌祥，張煥國(guó)，王懷民.可信計(jì)算的研究與發(fā)展[J].中國(guó)科學(xué)：信息科學(xué)，2010（40）：130-166.

[4]郭啟全.加快落實(shí)信息安全等級(jí)保護(hù)整改建設(shè)工作[J].信息安全與通信保密，2010（5）.

[4]翟勝軍.三網(wǎng)融合面臨的網(wǎng)絡(luò)安全問題和解決思路[J].信息安全與通信保密，2011（2）.

[5]Evan Gilman，Doug Barth.零信任網(wǎng)絡(luò)——在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)[M].2019（8）中文翻譯版.

[6]翟勝軍.數(shù)據(jù)驅(qū)動(dòng)安全架構(gòu)升級(jí)——“花瓶”模型迎來V5.0[E].Blog.51cto.com，2017（5）：4.

[7]翟勝軍.談?wù)剬?duì)滲透性測(cè)試服務(wù)效果的度量[J].信息保密學(xué)術(shù)會(huì)議，2012（8）.

作者簡(jiǎn)介：翟勝軍，男，漢族，奇安信科技集團(tuán)首席安全專家，研究方向：網(wǎng)絡(luò)安全。