李鑫
【摘要】? ? 本文通過(guò)對(duì)新形勢(shì)下我們所面臨的網(wǎng)絡(luò)安全問(wèn)題和風(fēng)險(xiǎn)分析,結(jié)合本人實(shí)際工作經(jīng)驗(yàn),提出了網(wǎng)絡(luò)風(fēng)險(xiǎn)隱患防范的解決思路和辦法,同時(shí)對(duì)網(wǎng)絡(luò)安全體系建設(shè)提出了建議。
【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 挑戰(zhàn)? ? ?戰(zhàn)略發(fā)展
一、貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略發(fā)展的相關(guān)政策需要
網(wǎng)絡(luò)空間安全已經(jīng)與海、陸、空、天安全并列成為全球五大空間安全。我們貌似和平很久,但戰(zhàn)爭(zhēng)從未遠(yuǎn)離,只是形式不同,我們必須用作戰(zhàn)的視角看待網(wǎng)絡(luò)空間安全。
國(guó)家層面對(duì)網(wǎng)絡(luò)安全的重視程度也大大增強(qiáng)。2016年4月習(xí)近平總書(shū)記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出:應(yīng)加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)。2016年10月習(xí)近平總書(shū)記再次強(qiáng)調(diào)實(shí)施網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略。2017年6月網(wǎng)絡(luò)安全法正式實(shí)施。2017年7月關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)中提出國(guó)家行業(yè)主管或監(jiān)管部門(mén)應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。2019年5月13日等保2.0發(fā)布。
“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”,工業(yè)基礎(chǔ)設(shè)施、工業(yè)控制系統(tǒng)作為國(guó)家實(shí)施制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的重要保障,面臨嚴(yán)重威脅。近年來(lái),隨著中國(guó)制造全面推進(jìn),工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展,我國(guó)工控安全面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復(fù)雜多樣等新挑戰(zhàn)。隨著技術(shù)的發(fā)展,完全威脅也發(fā)生了很大變化,具有高隱蔽性、高目的性、高危害性特點(diǎn)。網(wǎng)絡(luò)攻擊自動(dòng)化程度和速度提升,攻擊工具越來(lái)越復(fù)雜的,0day漏洞披露越來(lái)越快,傳統(tǒng)安全設(shè)備滲透率持續(xù)飆升,越來(lái)越不對(duì)稱的威脅,新型網(wǎng)絡(luò)場(chǎng)景安全事件逐漸增加,對(duì)基礎(chǔ)設(shè)施的威脅越來(lái)越大。
二、必須用作戰(zhàn)的思維對(duì)待網(wǎng)絡(luò)安全
網(wǎng)絡(luò)戰(zhàn)因成本低、效果好、烈度可控成為了戰(zhàn)爭(zhēng)首選,網(wǎng)絡(luò)戰(zhàn)本質(zhì)就是無(wú)論武器還是目標(biāo)都是網(wǎng)絡(luò)本身,以軟/硬件設(shè)備為武器,漏洞為彈藥,態(tài)勢(shì)感知平臺(tái)、情報(bào)作為指揮,安全服務(wù)則充當(dāng)人的角色,網(wǎng)絡(luò)戰(zhàn)已逐漸成為大國(guó)博弈的重要手段。
2015年12月烏克蘭電力遭遇黑客攻擊;2016年7月,希拉里“郵件門(mén)”事件;2017年5月12日全球遭遇勒索蠕蟲(chóng)攻擊;2018年8月3日,臺(tái)積電三座十二吋晶圓廠生產(chǎn)線停擺。
2019年,日本制造企業(yè)Hoya感染挖礦病毒被迫停產(chǎn)三天,其中生產(chǎn)控制的主機(jī)服務(wù)器被病毒入侵后,導(dǎo)致用于管理工廠訂單和生產(chǎn)的軟件無(wú)法正常運(yùn)行,然后病毒繼續(xù)在工廠蔓延,感染了網(wǎng)絡(luò)中的100多個(gè)終端設(shè)備。
2020年5月以來(lái),臺(tái)灣石油、汽油和天然氣公司CPC公司及其競(jìng)爭(zhēng)對(duì)手臺(tái)塑石化公司(FPCC)遭受勒索軟件攻擊,導(dǎo)致用戶無(wú)法正常支付。網(wǎng)絡(luò)空間安全形式日益嚴(yán)峻。
越來(lái)越多樣化的網(wǎng)絡(luò)攻擊手法,網(wǎng)站篡改、勒索病毒、DDOS攻擊、網(wǎng)站釣魚(yú)攻擊、ART攻擊等,已經(jīng)嚴(yán)重影響到國(guó)計(jì)民生,層出不窮的網(wǎng)絡(luò)詐騙,網(wǎng)站入侵事件影響惡劣,信息泄露連續(xù)五年創(chuàng)歷史記錄,且不分行業(yè)與領(lǐng)域,成為全球科技始終無(wú)法避免的“自然災(zāi)害”。加密貨幣的空前爆發(fā)帶來(lái)的商業(yè)利益,吸引了大量的網(wǎng)絡(luò)攻擊。勒索軟件持續(xù)產(chǎn)生嚴(yán)重危害,走向常態(tài)化、長(zhǎng)期化。拒絕服務(wù)攻擊的規(guī)模不斷放大,已經(jīng)出現(xiàn)萬(wàn)兆級(jí)別的攻擊,各種攻擊手法層出不窮,在未來(lái)可以預(yù)見(jiàn)出現(xiàn)更大規(guī)模的攻擊。電子郵件欺詐帶來(lái)的損失史無(wú)前例,累計(jì)已達(dá)120億美元。
未來(lái)大國(guó)間科技競(jìng)爭(zhēng)是常態(tài),網(wǎng)絡(luò)戰(zhàn)也會(huì)是長(zhǎng)期和常態(tài),而網(wǎng)絡(luò)攻擊的背后往往是黑客組織甚至是網(wǎng)絡(luò)部隊(duì),網(wǎng)絡(luò)戰(zhàn)從網(wǎng)絡(luò)空間向經(jīng)濟(jì)、社會(huì)、國(guó)防、外交等全域交織滲透,我國(guó)加強(qiáng)網(wǎng)絡(luò)戰(zhàn)應(yīng)對(duì)刻不容緩,一是我們需要轉(zhuǎn)變防御思想,建立“敵人在內(nèi)”的防御前提;二是加快建立國(guó)家級(jí)的網(wǎng)絡(luò)空間安全防護(hù)系統(tǒng);三是要常態(tài)化、制度化開(kāi)展網(wǎng)絡(luò)攻防演練。
三、加強(qiáng)我國(guó)信息網(wǎng)絡(luò)安全,做好安全風(fēng)險(xiǎn)的防范
2020年以來(lái),面對(duì)突如其來(lái)并且持續(xù)的新冠肺炎疫情,互聯(lián)網(wǎng)對(duì)打贏疫情防控阻擊戰(zhàn)起到關(guān)鍵作用。疫情期間,自國(guó)家推出“防疫健康碼”以來(lái),累計(jì)使用次數(shù)已超過(guò)400億人次,使得全國(guó)絕大部分地區(qū)實(shí)現(xiàn)了“一碼通行”,大數(shù)據(jù)在疫情防控和復(fù)工復(fù)產(chǎn)中作用越來(lái)越明顯。據(jù)第47次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告截止2020年12月底,我國(guó)網(wǎng)民規(guī)模接近10億,其中,農(nóng)村網(wǎng)民規(guī)模為3.09億,農(nóng)村地區(qū)互聯(lián)網(wǎng)普及率為55.9%,網(wǎng)絡(luò)扶貧成效顯著。在線交易,在線支付,在線服務(wù)水平全球領(lǐng)先。
面對(duì)嚴(yán)峻的形勢(shì),做好安全風(fēng)險(xiǎn)的防范是必不可少的。安全風(fēng)險(xiǎn)是指網(wǎng)絡(luò)設(shè)計(jì)、應(yīng)用軟件、硬件設(shè)施在設(shè)計(jì)上存在的缺陷或管理員安全運(yùn)維不規(guī)范或日常操作不當(dāng)引入新的安全隱患,這些缺陷或隱患被不法分子利用,通過(guò)網(wǎng)絡(luò)植入木馬、病毒、冒充“合法身份”等方式來(lái)攻擊或控制服務(wù)器,竊取服務(wù)器中的重要數(shù)據(jù)對(duì)系統(tǒng)造成不可挽回的破壞。常見(jiàn)的安全風(fēng)險(xiǎn)包括軟硬件漏洞、第三方信任風(fēng)險(xiǎn)、網(wǎng)絡(luò)結(jié)構(gòu)性缺陷、安全管理風(fēng)險(xiǎn)、設(shè)備配置風(fēng)險(xiǎn)等。
面對(duì)這些復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題,僅通過(guò)部署防火墻、入侵防御、防病毒等安全產(chǎn)品是不能很好解決的,還需要結(jié)合合適的安全體系和并要考慮合適的安全產(chǎn)品(安全技術(shù))的組合,使用人、組織按約定的安全流程(安全管理)規(guī)范操作,才盡可能少引入安全漏洞或隱患,減少安全事件發(fā)生。
3.1 加強(qiáng)國(guó)產(chǎn)網(wǎng)信關(guān)鍵核心技術(shù)
以美國(guó)為首的發(fā)達(dá)國(guó)家在信息化領(lǐng)域核心軟硬件技術(shù)方面擁有壟斷地位,使得我們國(guó)家常受制于人,實(shí)體名單、軟硬件限購(gòu)等 “卡脖子”事件屢見(jiàn)不鮮,我國(guó)的網(wǎng)絡(luò)安全面臨前所未有的挑戰(zhàn)。我們必須加快推進(jìn)自主創(chuàng)新,構(gòu)建安全可控的國(guó)產(chǎn)技術(shù)體系,才能避免受制于人,為網(wǎng)絡(luò)安全和國(guó)家利益提供有力保障。對(duì)國(guó)家重點(diǎn)需求相關(guān)的關(guān)鍵核心技術(shù)中的重大科學(xué)問(wèn)題給予長(zhǎng)期支持,尤其是支持芯片、操作系統(tǒng)等重大領(lǐng)域的自主研發(fā),推動(dòng)關(guān)鍵核心技術(shù)取得突破。
3.2 提高公民的網(wǎng)絡(luò)安全意識(shí)
著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,我國(guó)使用手機(jī)的網(wǎng)民數(shù)量極速增加,截至2021年6月我國(guó)手機(jī)網(wǎng)民規(guī)模已超過(guò)10億,這也導(dǎo)致中國(guó)大部分公民都直接面對(duì)網(wǎng)絡(luò)安全方面的威脅。如果互聯(lián)網(wǎng)用戶都能夠重視網(wǎng)絡(luò)安全、信息安全,提高網(wǎng)絡(luò)安全保護(hù)意識(shí),那樣國(guó)家的網(wǎng)絡(luò)安全才有基礎(chǔ),才能保障國(guó)家的網(wǎng)絡(luò)安全。因此,不僅政府部門(mén)要大力宣傳、各級(jí)單位要組織學(xué)習(xí),同時(shí)公民對(duì)網(wǎng)絡(luò)安全方面認(rèn)識(shí)要不斷加強(qiáng)提升、具備良好的網(wǎng)絡(luò)安全意識(shí),進(jìn)而提升公民對(duì)網(wǎng)絡(luò)犯罪行為、網(wǎng)絡(luò)不良信息等識(shí)別判斷能力,把我國(guó)的信息網(wǎng)絡(luò)安全提升到更高的層次。
當(dāng)前我國(guó)網(wǎng)絡(luò)信息安全相關(guān)人才還存在很大缺口,相關(guān)人才培養(yǎng)的數(shù)量遠(yuǎn)遠(yuǎn)滿足不了社會(huì)需求,目前每年網(wǎng)絡(luò)安全學(xué)歷人員數(shù)量不足1.5萬(wàn),已培養(yǎng)的信息安全專業(yè)人才總量不足10萬(wàn),目前人才缺口仍有140萬(wàn)。人才問(wèn)題已經(jīng)成為當(dāng)前制約網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的主要瓶頸。因此要加大相關(guān)人才的培養(yǎng)力度, 彌補(bǔ)相關(guān)人才的缺口,構(gòu)建完備的網(wǎng)絡(luò)信息安全人才培養(yǎng)體系。
3.3 發(fā)現(xiàn)安全風(fēng)險(xiǎn)做好風(fēng)險(xiǎn)評(píng)估
隨著2020年5月13日網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布,很多單位也開(kāi)始紛紛注意到國(guó)家對(duì)于網(wǎng)絡(luò)安全保護(hù)的重視。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估分析,一般包括資產(chǎn)識(shí)別、脆弱性識(shí)別和威脅識(shí)別。
通過(guò)資產(chǎn)識(shí)別、脆弱性識(shí)別和威脅識(shí)別得出安全現(xiàn)狀分析,得出相關(guān)評(píng)估結(jié)果,然后通過(guò)物理環(huán)境評(píng)估、系統(tǒng)網(wǎng)絡(luò)評(píng)估、主機(jī)系統(tǒng)評(píng)估、應(yīng)用系統(tǒng)評(píng)估、數(shù)據(jù)安全備份及恢復(fù)評(píng)估等內(nèi)容,并進(jìn)行關(guān)聯(lián)分析。
網(wǎng)絡(luò)安全是整體的而不是割裂的,網(wǎng)絡(luò)安全是動(dòng)態(tài)的而不是靜態(tài)的,網(wǎng)絡(luò)安全是開(kāi)放的而不是封閉的,網(wǎng)絡(luò)安全是相對(duì)的而不是絕對(duì)的,網(wǎng)絡(luò)安全是共同的而不是孤立的。脆弱性永遠(yuǎn)存在,突破防御只是時(shí)間問(wèn)題,脆弱性安全相對(duì)被動(dòng),結(jié)構(gòu)性安全防患于未然。動(dòng)態(tài)的結(jié)構(gòu)化安全防護(hù)需要持續(xù)的專業(yè)安全服務(wù)做支撐。
3.4 做好安全加固應(yīng)對(duì)運(yùn)維風(fēng)險(xiǎn)
根據(jù)筆者多年在信息中心的工作經(jīng)驗(yàn),在軟硬件系統(tǒng)日常運(yùn)維中也存在巨大的風(fēng)險(xiǎn)。運(yùn)維過(guò)程中要有安全策略的制定或核查制度,避免由于安全配置不合理或不完整、系統(tǒng)安全配置變更不及時(shí)帶來(lái)的風(fēng)險(xiǎn)。
因此運(yùn)維人員要定期對(duì)系統(tǒng)進(jìn)行安全基線核查,查找操作系統(tǒng)層面的安全配置隱患、安全配置風(fēng)險(xiǎn),完成后給出詳細(xì)的安全基線核查報(bào)告,根據(jù)報(bào)告中的修復(fù)建議進(jìn)行整改?;€核查的內(nèi)容主要是安全配置檢測(cè),包括但不限于賬號(hào)、口令、授權(quán)、日志、IP通信等方面內(nèi)容,反映對(duì)系統(tǒng)自身的安全脆弱性評(píng)估。網(wǎng)絡(luò)管理員或系統(tǒng)用戶日常工作中沒(méi)有落實(shí)安全管理組織的建設(shè)或安全管理制度的執(zhí)行等,從而引入的安全管理風(fēng)險(xiǎn),比如安全意識(shí)不到位,隨意使用安全性未知移動(dòng)介質(zhì),隨意瀏覽、下載安全性未知的文件,被人利用社工攻擊泄露敏感信息等。
嚴(yán)控第三方和已方人員對(duì)敏感數(shù)據(jù)或敏感服務(wù)器的非常操作,部署數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)(運(yùn)維審計(jì)),杜絕或限定敏感業(yè)務(wù)數(shù)據(jù)或服務(wù)器的非常訪問(wèn),做到所有業(yè)務(wù)操作有據(jù)可查,事后可追溯,減少第三方人員非正常操作造成的數(shù)據(jù)泄露,甚至竊取販賣。
發(fā)現(xiàn)問(wèn)題之后更重要的是如何解決這些問(wèn)題,為了更好地抵御可能的漏洞攻擊風(fēng)險(xiǎn),建議從以下方面進(jìn)行安全加固。
安全能力規(guī)劃:系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維,全程同步考慮信息安全能力建設(shè)和能力提升。
代碼安全開(kāi)發(fā):組織安全工發(fā)培訓(xùn),制定安全開(kāi)發(fā)規(guī)范,提高代碼開(kāi)發(fā)安全質(zhì)量。
勤打漏洞補(bǔ)?。河嗛啓?quán)威機(jī)構(gòu)的安全資訊,重點(diǎn)關(guān)注涉及的軟件/組件/框架的漏洞預(yù)警通告,及時(shí)根據(jù)提示做好緩解措施。
部署安全設(shè)備:部署必要的檢測(cè)、防御設(shè)備,如防火墻、IPS、IDS、應(yīng)用防火墻、EDR、殺毒軟件、APT等。
設(shè)備與管理平臺(tái)自身安全:及時(shí)更新版本、特征庫(kù)升級(jí)、補(bǔ)丁更新。
3.5 關(guān)口前移
“關(guān)口前移”是對(duì)落實(shí)網(wǎng)絡(luò)安全防護(hù)的方法提出的重要要求,落實(shí)“關(guān)口前移”,就是要將安全防護(hù)能力更加靠近問(wèn)題的本源。
實(shí)現(xiàn)安全防護(hù)“關(guān)口前移,防患于未然”,關(guān)鍵要做到安全能力“點(diǎn)”、“線”、“面”的結(jié)合:
一是能在前端源頭的“點(diǎn)”解決的問(wèn)題,盡量不放到后端,貼近問(wèn)題本源,不同層次的安全解決不同隱患,縮短安全防護(hù)的響應(yīng)時(shí)間,拉開(kāi)安全防護(hù)的空間縱深。
二是結(jié)合用戶業(yè)務(wù)鏈的整體戰(zhàn)略發(fā)展視角的“線”,對(duì)攻擊鏈與防護(hù)鏈進(jìn)行綜合分析,確保防御能力與實(shí)際情況緊密結(jié)合。
三是需要從網(wǎng)絡(luò)與信息安全的頂層規(guī)劃與建設(shè)的“面”入手,在網(wǎng)絡(luò)規(guī)劃建設(shè)的早期階段就落實(shí)好將安全防護(hù),并將專業(yè)安全服務(wù)、網(wǎng)絡(luò)安全態(tài)勢(shì)感知等主動(dòng)防護(hù)機(jī)制融入網(wǎng)絡(luò)安全建設(shè)中,從而實(shí)現(xiàn)“關(guān)口前移,防患于未然”。
3.6 體系化的防御
網(wǎng)絡(luò)空間安全產(chǎn)業(yè)所面臨的挑戰(zhàn),需要以體系化的防御應(yīng)對(duì)體系化的攻擊。具體措施有:加強(qiáng)網(wǎng)絡(luò)安全防范、終端安全加固,減少危險(xiǎn)上網(wǎng),做好數(shù)據(jù)備份,關(guān)閉高危端口和加強(qiáng)安全監(jiān)測(cè)等。
以“動(dòng)態(tài)防御,主動(dòng)防御,縱深防御,精準(zhǔn)防護(hù),整體防護(hù),聯(lián)防聯(lián)控”為新舉措,構(gòu)建網(wǎng)絡(luò)安全綜合防控系統(tǒng),深入推進(jìn)等保和關(guān)保的積極實(shí)踐。
參? 考? 文? 獻(xiàn)
[1] 李慎之,豐詩(shī)朵,路鵬,方穎.新形勢(shì)下,態(tài)勢(shì)感知面臨的挑戰(zhàn)及應(yīng)對(duì)研究[J].通信世界,2021(08):20-22.
[2] 肖晨卉.信息時(shí)代“突發(fā)性網(wǎng)絡(luò)攻擊”的安全挑戰(zhàn)與應(yīng)對(duì)[J].情報(bào)雜志,2021,40(07):74-79.