五大策略應對網絡安全威脅

文/譚振華 王興偉

當前及未來的網絡安全

當前，網絡安全威脅錯綜復雜。網絡犯罪分子攻擊手段日益翻新、愈加狡猾，利用相對簡單的 IT 工具和云服務對互聯網造成了空前的混亂。就全球范圍內發生的安全事件來看，數據泄露、漏洞攻擊、勒索病毒等事件發生頻發，造成的損失愈加嚴重。過去八年里，數據泄露導致了全球71億人的身份信息遭到暴露；電子郵件惡意軟件的比例顯著上升，2016年已達到1/131；勒索軟件檢測數量在 2016 年增長 36%，平均贖金從 2015 年的 294 美元升至 2016 年的1077 美元。2017 年 7 月，國家互聯網應急中心(CNCERT)發布的互聯網安全威脅報告顯示，境內感染網絡病毒的終端數為近182萬個，木馬或僵尸網絡控制服務器IP總數為8,627個，境內被篡改。

總體來說，未來五年的網絡安全威脅趨勢將主要有如下三方面的新變化：

1.從技術發展來講，安全威脅勢必與人工智能結合。由于人工智能的快速發展，網絡安全威脅行為將深入結合機器學習、類人行為、分布式合作等人工智能技術對人類生產生活產生攻擊與威脅，其威脅范圍將更加廣泛、技術變種將更智能發展。

2.從威脅對象來講，網絡基礎設施與金融系統可能成為重點。從這幾年來看，無論是木馬、病毒搜集個人身份信息的威脅行為，還是通過攻擊基礎設施、數據平臺的個人隱私泄漏，黑客的主要目標都是直接的黑產利益。由于技術水平的提高，未來網絡基礎設施與金融系統恐成重點攻擊對象。

3.從網絡終端來講，面向智能家居、移動智能終端的威脅概率會提高。當前基于物聯網的智能家居設備的安全防護能力不足，漏洞修復服務與實時性欠缺，很容易成為攻擊者的目標，基于物聯網設備發動的類似DDoS攻擊規模恐將擴大。而手機等移動智能終端防護水平尚停留在傳統模式，且廣大智能終端用戶的安全意識缺乏，使得攻擊者有機可乘。

東北大學

高校的網絡安全特點

盡管如此，魔高一尺、道高一丈，在摸清傳統安全威脅與當前安全威脅趨勢的基礎上，只要做好了根本性的防護措施，就可以大大降低安全威脅的風險值。高校網絡作為網絡空間的組成部分，其主要特點是用戶集中、流量較大、用網行為具有一定的規律性。作為高校的科研工作者，對高校信息化環境下的網絡安全工作提出幾點建議。

第一，在意識層面，加強網絡安全法教育。最近幾年，各類互聯網應用尤其是移動互聯網應用已深入到廣大師生的工作、學習與生活。加強面向師生的網絡安全法律法規教育、防護技能教育、實用工具教育、法治案例宣傳、知識競賽等，對提高高校網絡安全使用、傳播、獲取以及個人隱私保護，將起到重要作用。只有加強意識教育，才能從根上起到網絡安全整體防范效應。

第二，在邊界防護安全方面，加強主干風險控制。高校網絡邊界接入威脅主要包括路由破壞、未授權訪問、信息竊聽、拒絕服務攻擊、針對路由器和交換機等邊界網絡設備的網絡攻擊、病毒傳播、蠕蟲分發等行為。高校經常面對海量的SYN Flood、ACK Flooding、UDP Flood、ICMP Flood、(M)Stream Flood等攻擊產生的大量垃圾數據包，大量占用網絡帶寬，造成邊界路由器和核心交換機等網絡設備的有效數據轉發能力下降，甚至核心路由和交換機因負荷過載而造成轉發延遲增大和數據包丟包率上升。此類問題的重要解決方式，是加強邊界接入的風險控制，需要不斷升級邊界核心防火墻的風險防控能力，為校園網絡安全生態提供基本保障。

第三，在校園信息系統安全方面，加強集中安全防護體系部署。當前，各高校大都已經歷了十余年的信息化系統建設，形成了若干信息系統，形成了若干信息孤島。由于更新維護不及時，各類信息孤島其軟件架構、數據庫、應用程序均遺留了大量安全漏洞，給黑客攻擊留下了多渠道探索空間。而分布式部署網絡安全設備帶來成本高、成效低、維護質量差的場面。當務之急，高校需加強信息系統集成工程，在基礎設施、數據訪問、應用體系上進行一體化改造，加強集中式的網絡安全防護體系，對校園信息化系統尤其是財務系統、資產系統、學工系統、人事系統、科研系統、教務系統進行集中分類防護，以確保校園信息系統的訪問安全。

第四，校園虛擬化云服務方面，加強宿主機防控手段。校園虛擬化云服務為集中式信息化建設提供了便利手段，虛擬化技術本質上生成一個和真實系統行為一樣的虛擬機器，與真實操作系統一樣，同樣存在軟件漏洞與系統漏洞，宿主機的安全問題同樣需要得到重視。一直以來無論虛擬化廠商或安全廠商都將安全的關注點放在虛擬機系統和應用層面，而由于宿主機系統本身也都是基于Windows或Linux系統進行底層重建，因此宿主機不可避免地會面對此類漏洞和風險問題，一旦宿主機的安全防護被忽略，黑客可以直接攻破虛擬機，從而造成虛擬機逃逸。所以，宿主機的安全問題是虛擬化安全的根基。加強宿主機安全防控手段的主要方式是在管理體系上進行統一的標準化安全要求，在技術體系上形成分布防控體系。

第五，在數據防護層面，加強隱私泄密風險防控。當前，傳統的防病毒軟件可以在一定程度上解決已知病毒、木馬的威脅，但各類APT攻擊在網絡滲透上具有典型的持續性和隱蔽性，在滲透到數據中心內部后會長期蟄伏并不斷收集信息，對校園數據安全形成了極大威脅。加強數據泄漏風險防控的主要手段需要從云存儲加密體系、多數據平臺訪問控制體系、多威脅場景的蜜罐防護體系進行多維考慮。

綜上，在網絡安全威脅行為不斷變化、升級的情況下，應進一步大力加強網絡安全宣傳教育，并在技術上、策略上加強風險防控。