近期網(wǎng)絡(luò)安全態(tài)勢(shì)及網(wǎng)絡(luò)安全防護(hù)理念研究

◆柯一川

（福建省泉州市疾病預(yù)防控制中心 福建 362000）

近期網(wǎng)絡(luò)安全態(tài)勢(shì)及網(wǎng)絡(luò)安全防護(hù)理念研究

◆柯一川

（福建省泉州市疾病預(yù)防控制中心 福建 362000）

網(wǎng)絡(luò)安全事件的發(fā)生造成了政治、經(jīng)濟(jì)、社會(huì)的巨大影響，給人們的生產(chǎn)、生活造成重大損失，網(wǎng)絡(luò)安全關(guān)系到每個(gè)人的日常生活，也引起了社會(huì)的廣泛關(guān)注。如何在事前建立網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)知、事中對(duì)網(wǎng)絡(luò)安全進(jìn)行持續(xù)監(jiān)測(cè)和有效防御、事后檢測(cè)安全事件并快速響應(yīng)，這是一個(gè)當(dāng)前亟待解決的重要課題。

網(wǎng)絡(luò)安全；態(tài)勢(shì)；防護(hù)

0 前言

隨著社會(huì)的發(fā)展，科技的進(jìn)步，人類的生產(chǎn)生活方式發(fā)生了之前難以想象的改變。微信的廣泛應(yīng)用改變了人們的通訊方式，智能手機(jī)的普及和各種應(yīng)用軟件的開發(fā)使得人們對(duì)互聯(lián)網(wǎng)的依賴更為緊密了。購物用淘寶、上京東，吃飯叫外賣、手機(jī)訂餐，共享租房、共享單車，手機(jī)訂票等等。只要有一部能上網(wǎng)的手機(jī)，衣、食、住、行都能解決，連錢包都不用帶了。但任何事物都有兩面性，互聯(lián)網(wǎng)的應(yīng)用在給人們帶來方便的同時(shí)，也隱藏著巨大的安全風(fēng)險(xiǎn)。我國(guó)更是在互聯(lián)網(wǎng)應(yīng)用上取得了飛速的發(fā)展，甚至很多應(yīng)用只有在中國(guó)才得到了廣泛的接受，我們走在世界的前面。在這種情況下，我國(guó)的網(wǎng)絡(luò)安全形勢(shì)也就更為嚴(yán)峻了。

網(wǎng)絡(luò)安全事件的發(fā)生造成了政治、經(jīng)濟(jì)、社會(huì)的巨大影響，給人們的生產(chǎn)、生活造成重大損失，網(wǎng)絡(luò)安全關(guān)系到每個(gè)人的日常生活，也引起了社會(huì)的廣泛關(guān)注。

1 近期我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)的特點(diǎn)

1.1 欺詐勒索軟件在互聯(lián)網(wǎng)上肆虐

移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量持續(xù)高速上漲且具有明顯趨利性。比如在2017年5月12日大面積爆發(fā)的勒索病毒，它影響遍及全球100多個(gè)國(guó)家，超10萬臺(tái)機(jī)器。英國(guó)醫(yī)療系統(tǒng)、俄羅斯電信公司甚至是國(guó)內(nèi)的中石油公司都已成為受害者，清華北大等知名高校、多家能源企業(yè)、政府機(jī)構(gòu)也頻頻中招，甚至被勒索支付高額贖金才能解密恢復(fù)文件，對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。其實(shí)這款病毒來頭很大，源頭竟來自美國(guó)國(guó)家安全局使用的部分攻擊工具，其中包含了微軟操作系統(tǒng)的一個(gè)漏洞（代號(hào)是永恒之藍(lán)），原本的準(zhǔn)軍方武器，落入了黑色產(chǎn)業(yè)鏈的手上，并把它制作成為勒索病毒。“沒有網(wǎng)絡(luò)安全，就沒有國(guó)家安全”，以互聯(lián)網(wǎng)為核心的網(wǎng)絡(luò)空間已成為繼陸、海、空、天之后的第五大戰(zhàn)略空間。我們國(guó)家應(yīng)該盡快開發(fā)并使用自主的操作系統(tǒng)，核心技術(shù)受制于人始終是最大的安全隱患。那些美國(guó)國(guó)家安全局的攻擊工具并沒有全部露出水面，隨時(shí)可能爆發(fā)象WannaCry這樣的病毒。

1.2 高級(jí)持續(xù)性威脅常態(tài)化，我國(guó)面臨的攻擊威脅尤為嚴(yán)重

據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（簡(jiǎn)稱“CNCERT”）監(jiān)測(cè)發(fā)現(xiàn)，2015年我國(guó)境內(nèi)近2.5萬個(gè)網(wǎng)站被篡改，其中被篡改的政府網(wǎng)站有898個(gè)。從網(wǎng)頁篡改的方式來看，我國(guó)被植入暗鏈的網(wǎng)站占全部被篡改網(wǎng)站的比例高達(dá)83%。

1.3 網(wǎng)站數(shù)據(jù)和個(gè)人信息泄露帶來的危害不斷擴(kuò)大

大量用戶個(gè)人信息被竊取，發(fā)生了多起利用個(gè)人信息實(shí)施的精準(zhǔn)網(wǎng)絡(luò)詐騙。連在網(wǎng)絡(luò)安全技術(shù)最為發(fā)達(dá)的美國(guó)，也發(fā)生了個(gè)人信息被黑客竊取的安全事件。美國(guó)征信公司伊奎法克斯9月7日發(fā)布聲明說，由于此前公司文件遭遇非授權(quán)訪問，約有 1.43億美國(guó)消費(fèi)者信息或已泄露。聲明說，遭到非授權(quán)訪問的個(gè)人信息包括客戶姓名、生日、地址、社會(huì)安全號(hào)、駕駛證號(hào)等。個(gè)人數(shù)據(jù)的泄露途徑可以是直接遭受黑客攻擊、也可能是因?yàn)榭尚湃尉W(wǎng)站數(shù)據(jù)泄露，以及個(gè)人數(shù)據(jù)使用不當(dāng)?shù)取＞W(wǎng)絡(luò)安全已經(jīng)關(guān)系到每個(gè)人的切身利益，也直接影響到我們的生活，相信大家都接收到過許多垃圾短信，垃圾郵件，騷擾電話等，個(gè)人信息在當(dāng)前的互聯(lián)網(wǎng)絡(luò)上有被黑的極大風(fēng)險(xiǎn)，泄密仿佛不可避免。

1.4 針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全攻擊日益增多，多起重要工控系統(tǒng)安全事件應(yīng)引起重視

2017年歐美百座電站遭到“蜻蜓”等黑客攻擊，烏克蘭2015和2016年電網(wǎng)都曾被黑客攻擊導(dǎo)致停電。

1.5 大量聯(lián)網(wǎng)智能設(shè)備遭惡意程序攻擊形成僵尸網(wǎng)絡(luò)

DDoS（Distributed Denial of Service）即分布式拒絕服務(wù)攻擊，指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)（智能設(shè)備）聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，造成合法用戶無法對(duì)網(wǎng)絡(luò)資源的正常訪問。拒絕服務(wù)攻擊問題一直找不到太好的解決方法，因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，阻止拒絕服務(wù)攻擊需要防護(hù)一方耗用大量的帶寬及大量資源對(duì)攻擊方進(jìn)行清洗，而攻擊一方利用各種被控制的智能設(shè)備，成本很低。拒絕服務(wù)攻擊成為了攻擊者的終極手法。

2 新形勢(shì)下網(wǎng)絡(luò)安全防護(hù)措施

隨著網(wǎng)絡(luò)的發(fā)展，數(shù)字化程度不斷加深，傳統(tǒng)的防火墻、防病毒、入侵檢測(cè)等被動(dòng)片面的安全防護(hù)機(jī)制，已無法應(yīng)對(duì)新形勢(shì)下網(wǎng)絡(luò)攻擊威脅多樣化、復(fù)雜化、綜合化的安全狀況。而應(yīng)該采取事前預(yù)知、事中防御、事后檢測(cè)并響應(yīng)的綜合的網(wǎng)絡(luò)安全防護(hù)措施。

2.1 事前預(yù)知

現(xiàn)有的安全研究集中在使用基于機(jī)器學(xué)習(xí)的多種主動(dòng)防御機(jī)制來保護(hù)系統(tǒng)/組織免受這類威脅。然而由于現(xiàn)有主動(dòng)防御機(jī)制的本質(zhì)依舊是檢測(cè)存在的攻擊威脅，因此即便報(bào)警采取應(yīng)急措施，實(shí)際的損失也已經(jīng)不可避免。因此如果能應(yīng)用大數(shù)據(jù)分析的技術(shù)，對(duì)由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)當(dāng)前網(wǎng)絡(luò)狀態(tài)和變化趨勢(shì)進(jìn)行分析，就有可能在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示并預(yù)測(cè)出未來的趨勢(shì)。基于安全態(tài)勢(shì)的網(wǎng)絡(luò)安全事件預(yù)測(cè)方法，能夠從網(wǎng)絡(luò)外部的可觀測(cè)信息，對(duì)可能發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行預(yù)測(cè)。

2.2 事中防御

IT業(yè)務(wù)變得越來越復(fù)雜，系統(tǒng)的安全邊界也變得模糊起來。信息時(shí)代黑客技術(shù)的發(fā)展可以說是日新月異，黑客高手云集。對(duì)一個(gè)系統(tǒng)來說，出現(xiàn)漏洞是不可避免的。業(yè)務(wù)越復(fù)雜，也就使得網(wǎng)絡(luò)攻擊方式越復(fù)雜、越隱蔽，攻擊的手段隨著黑客技術(shù)的發(fā)展也變得越來越高明。網(wǎng)絡(luò)應(yīng)用越來越廣泛，可攻擊目標(biāo)也就越來越多。這使得傳統(tǒng)的靜態(tài)防御變得失效了。傳統(tǒng)的防御主要是設(shè)置網(wǎng)絡(luò)防火墻，監(jiān)測(cè)端口和流量、設(shè)置防病毒、入侵檢測(cè)系統(tǒng)等方法。以隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)為基礎(chǔ)，通過監(jiān)測(cè)IP及端口、用戶安全認(rèn)證等方式進(jìn)行防護(hù)，入侵檢測(cè)也主要是基于靜態(tài)網(wǎng)絡(luò)特征的攻擊防護(hù)手段。這種基于信任原則構(gòu)建的安全框架，已無法對(duì)繞過防御的黑客攻擊進(jìn)行事中監(jiān)控了。當(dāng)前的網(wǎng)絡(luò)安全監(jiān)測(cè)應(yīng)該是持續(xù)監(jiān)測(cè)。如果說防火墻和入侵檢測(cè)系統(tǒng)等產(chǎn)品和服務(wù)可以通過隔離的手段減少被攻擊面、提升攻擊門檻、攔截攻擊動(dòng)作，那持續(xù)監(jiān)測(cè)則是發(fā)現(xiàn)那些逃過網(wǎng)絡(luò)防御設(shè)備的“漏網(wǎng)之魚”，持續(xù)監(jiān)測(cè)可以時(shí)時(shí)假設(shè)系統(tǒng)處于被攻擊狀態(tài)，主動(dòng)檢測(cè)潛在的威脅，減少可能的損失。但這也意味著在事中防御的投資上，應(yīng)該大大提高持續(xù)監(jiān)測(cè)能力的投資比例。

2.3 事后檢測(cè)并響應(yīng)

威脅被監(jiān)測(cè)分析出來后，做好事件應(yīng)急處置以增強(qiáng)自身運(yùn)營(yíng)安全和威脅應(yīng)對(duì)處置能力非常有必要。漏洞越及時(shí)被發(fā)現(xiàn)，被利用的可能性也就更小，世界上不存在不可能被黑的系統(tǒng)，快速響應(yīng)可以使損失減小到最小。

網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)應(yīng)該要按照事先制定好的安全計(jì)劃，進(jìn)行系統(tǒng)備份、病毒檢測(cè)、后門檢測(cè)、清除病毒或后門、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。事后的響應(yīng)可能發(fā)現(xiàn)事前計(jì)劃的不足，從而進(jìn)一步完善安全計(jì)劃。對(duì)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的目前狀況及存在的問題，現(xiàn)在還沒有非常有針對(duì)性的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工具，在發(fā)生網(wǎng)絡(luò)入侵、病毒爆發(fā)、現(xiàn)有網(wǎng)絡(luò)安全防御體系被突破、防毒軟件被病毒所劫殺或?qū)Σ《静蛔鳛闀r(shí)，這種工具可以即時(shí)實(shí)施遠(yuǎn)程或本地網(wǎng)絡(luò)連接，完成阻擊入侵、查殺病毒、恢復(fù)系統(tǒng)的任務(wù)。網(wǎng)絡(luò)安全事后檢測(cè)并響應(yīng)的目標(biāo)仍然任重而道遠(yuǎn)。

3 結(jié)語

如何在事前建立網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)知、事中對(duì)網(wǎng)絡(luò)安全進(jìn)行待續(xù)監(jiān)測(cè)和有效防御、事后檢測(cè)安全事件并快速響應(yīng)，這是一個(gè)當(dāng)前亟待解決的重要課題。互聯(lián)網(wǎng)應(yīng)用以令人難以想象的速度發(fā)展，網(wǎng)絡(luò)安全已經(jīng)影響了每個(gè)人的生活。重視網(wǎng)絡(luò)安全，提高網(wǎng)絡(luò)安全意識(shí)，更新網(wǎng)絡(luò)安全理念，只是我們邁出的第一步。