中國社會團體信息化建設網絡安全問題研究綜述

黃子祥

摘 要：光陰似箭，互聯網極大程度地推動了社會進步，信息革命發展浪潮我們每個人身處其中，感同身受。現今網絡安全作為與大數據、云計算、物聯網、人工智能同級別的課題受到了IT業界前所未有的關注。本文對網絡安全問題進行了相關的文獻調研，并結合本單位的角度看待時下網絡安全事業，希望能夠對相關領域的工作及工程技術人員起到參考作用。

關鍵詞：網絡安全;網絡態勢感知;軟件安全;惡意軟件

引言：

2019年是國家舉辦網絡安全周的第六個年頭，也是網絡安全行業受到民眾與政府的高度關注的一年。習近平總書記提出信息化建設與網絡安全要相輔相成，安全和發展要共同推進，民眾對網絡安全的認識也逐漸增強，普遍認識到網絡安全宣傳即網絡安全普法。在過去，傳統網絡安全是指硬件設備、存儲數據等實體以及涉密信息的安全防護和網絡病毒防治管理，泄密責任著重于各運營商、門戶網站、各企業和單位，個人網絡安全防護級別也僅限于信息、支付或財產安全;在未來，隨著移動通訊5G等技術的商用，網絡傳輸速率更快、延時更小、范圍內可聯網單位更多，進入傳感設備可根據網絡協議實現萬物互聯，聯網行為可根據區塊鏈技術變得真實可信不可篡改的時代，風險可擴展至人身安全，責任可回溯追至個人。毫不夸張地說，在未來網絡安全出了問題，足以影響國家治理和社會民生。

一）網絡安全研究發展的歷程

網絡安全的理論研究自信息網絡誕生之日起就已經開始，隨著通信技術更新換代和網絡規模普及，程序應用呈指數級增長，尤其是在物理連接網絡之上所構建的隨機動態訪問關系，使得網絡安全問題的研究極為復雜。

1.1960年以前

在上世紀60年代以前，人們針對網絡安全問題的研究熱點是：面對破壞如何建立一個絕對安全的系統，減少設計上的漏洞來保證系統的保密性、完整性及可用性等要求，這可以視為網絡安全研究的第一階段。

2.1970-1980年代

入侵檢測起源于美國學者安德森的技術研究報告，之后的研究大體上可以分為異常檢測和誤用檢測兩類，目前大部分科研機構和商業IDS機房也是基于這兩類技術，入侵檢測技術能在網絡攻擊發生時給出預警信息來保證網絡安全，但其對繞墻隱秘攻擊、多步復合攻擊等無能為力，這樣的被動防御技術在檢測實時性上也差強人意。

3.1980-1990年代

90年代后源于黑客技術的發展，網絡安全研究關注重點從被動防御轉到主動分析，其意圖是在網絡攻擊發生之前進行整體化安全評價，制定防御策略或保證網絡遭受破壞的情形下仍能提供預定的服務功能，也伴隨著病毒軟件對可生存性研究的深入。

4.2000年至今

網絡態勢感知（Cyber Situation Awareness，CSA）的概念最早在軍事領域被提出。1999年，美國空軍通信與信息中心的巴斯（Bass）首次提出了網絡態勢感知的概念，這在一定程度上奠定了網絡安全研究發展方向。公開資料顯示，目前各個國家都將網絡安全上升到了國家戰略層面，從各國公開的網絡安全策略中可以看出雖然各國在對網絡安全的理解、所實施的策略上有所不同，但是各國都意識到了需要行動起來保護關鍵信息和相關的基礎設施，同時更需要研究新的方法和技術來實現網絡安全態勢預測智能化。

二）網絡安全行業發展的重點方向

隨著互聯網基礎設施的不斷發展和新應用的不斷涌現使得網絡規模逐漸擴大，拓撲結構日益復雜，網絡安全管理難度不斷增加，為了應對日益復雜、隱蔽的網絡威脅，各種檢測技術相繼出現。今年以來，國內網絡安全行業也舉辦了多次大會，例如北京“2019第七屆網絡安全大會”、無錫“2019中國網絡安全等級保護和關鍵信息基礎設施保護大會”、 以及即將在長沙召開的“2019網絡安全&智能制造大會”等。然而在目前眾所周知網絡安全問題尤為重要的新形勢下各主體要如何選用網絡安全產品需要參照和理解一些網絡安全技術原理。

1.網絡態勢感知

態勢感知是從全局視角提升對安全威脅的發現識別、理解分析、響應處置風險的一種功能，態勢感知系統依托大數據、移動應用等新技術，能夠提前發現攻擊活動，便于管理者進行決策與行動。網絡走紅的議題“為什么黑客不敢攻擊支付寶”以及馬云所講的“殺手根本進不了五百公里以內”的風趣豪言就是指阿里云的網絡態勢感知系統。

現將一家中型企業作為介紹對象，該企業的網絡拓撲如圖2所示。該企業其通過電信的專用線路與外網連接，10是一臺Web服務器，對外提供公司宣傳網站和產品演示的功能;140是可以外網訪問的日志服務器;15是公司的數據庫服務器，同時運行著SQL Server、Oracle兩大關系型數據庫及一個非關系型數據庫MongoDB;16是測試服務器，公司已經交付及正在研發的產品都在測試服務器上有一個最新版本的部署;11是內部開發服務器，公司所有源代碼及重要的項目方案、過程資料等都在此服務器上;公司有一個百人左右的開發團隊，因開發技術不同主要分為兩類，58代表采用.Net研發的技術團隊，59代表采用Java研發的技術團隊，經要素采集、模型表示、求解分析和態勢預測反饋可視化結果來進行分析決策。

狹義地理解網絡態勢感知可將其視為一個數學模型，通過數學語言對計算機網絡系統安全各變量進行最簡單、最直觀地數學表達，網絡態勢感知形式化建模除了數學建模還有生物啟發模型等。以數學建模為例，分為五個連續的處理階段如圖3所示

2.軟件安全

互聯網大量功能和網絡應用本質上都是由軟件實現的，大量軟件蓬勃發展滿足了各行業生產生活需求的同時也存在隱患。惡意軟件種類繁多，如木馬、病毒、蠕蟲、間諜軟件、廣告軟件、勒索軟件、跟蹤軟件等，早期惡意軟件的概念主要局限于計算機病毒等，但近年來，隨著網絡平臺的發展和網絡攻擊的多樣性，惡意軟件的概念已經超越了傳統的狹義概念.惡意軟件常常利用對抗技術來逃避反病毒軟件和分析人員的檢測和分析，以延長存活時間，獲取更大的利益。

1.惡意軟件的危害

由于移動互聯網融合了傳統的互聯網和電信網，惡意軟件除了管理軟件信息外，還能獲取用戶短信、IEMI等重要隱私資源.因此，出現了如偽造電話或短信、惡意扣費等攻擊行為; 很多惡意移動應用的開發模式、發布模式和軟件生態密切相關。例如互聯網服務的應用常常提供第三方庫和通用接口，移動應用的開發以重打包等方式開發，惡意廣告、跟蹤軟件隨之產生惡意軟件還可以利用缺陷收集個人隱私信息等。

2.軟件漏洞

當前的軟件系統，無論是代碼規模、功能組成，還是涉及的技術均越來越復雜，其帶來的直接結果就是從軟件的需求分析、概要設計、詳細設計到具體的編碼實現，均無法做到全面的安全性論證，不可避免地會在結構、功能和代碼等不同層面存在可能被惡意攻擊者利用的漏洞。自 20世紀 70 年代美國南加州大學發起 PA研究計劃以來，人們提出了各種各樣軟件漏洞挖掘的方法。目前，除了具有豐富領域經驗知識的專家、黑客仍然依靠手工代碼分析以及軟件逆向調試的方式挖掘漏洞以外，出現了基于源代碼、補丁對比、模糊測試以及代碼特征挖掘等技術思路的漏洞挖掘方法，這些方法正在軟件安全研究工作中發揮著重要作用。

3.軟件安全機制

為了主動防御惡意軟件的攻擊、預防軟件漏洞被利用，研究人員通過設計多種安全機制來提高整個軟件體系應對安全攻擊的能力.主要技術思路包括三個方面：通過設計軟件行為管控機制，規范不受信軟件的行為來規避惡意軟件的攻擊;通過提高軟件的自身安全性，來提升軟件應對攻擊的能力;設計終端用戶可感可控可知的安全機制，來提高用戶對軟件的安全管理能力。

三）保險業與網絡安全

中國的保險業有上百家中大型企業，信息技術是發展各渠道承保、理賠、及綜合管理業務的重要手段。以湖南為例，湖南保險業就有近百家保險公司，數百家保險專業中介機構，逾六千家保險兼業代理機構，其中由協會所搭建的信息平臺有12個，所管理的保單信息、公民信息、車輛信息及從業人員信息以數千萬計，這些關鍵信息與基礎設施的保護離不開網絡安全。

1、認識層面

協會商會作為掌握著行業關鍵信息的機構其管理者首先要建立與時俱進的網絡觀與網絡安全危機意識，面對網絡安全風險，要加強和規范網絡安全信息的匯集和分析，要定期通報網絡安全風險事件與年度典型案例，汲取經驗教訓。各信息平臺建設發展固然重要，但安全應作為發展的前提條件，沒有安全不提發展。

2.制度建設方面

協會商會、各中大型企業要做好網絡安全工作須建立配套制度。2019年，為加強網絡安全工作，湖南省保險行業協會一是貫徹落實有關國家法規要求，采取有關技術措施與綠色通道，為公安機關、國家安全機關依法維護國家安全、偵察犯罪提供支持和保障。二是明確了協會領導干部的網絡安全工作責任，建立和落實了網絡安全責任制。三是講網絡安全問題納入了協會議事環節，任何信息平臺的搭建與更新都需要建立在網絡安全保護的前提下。四是加大了對網絡安全工作的人力、財力、物力支持，確保現有信息平臺安全加固工作的保障力度。五是按年度統籌開展網絡安全檢查，將現有網絡和信息系統的檢查結果報送至上級單位與網監部門。六是本年度開展了三次網絡安全宣傳教育，同時關注網絡安全技術產業的發展。

3.技術層面

2019年我單位對待網絡安全風險事件一直保持著高度警惕，對業內與社會各類網絡安全風險事件及時開展風險評估，做到了關口前移，防范于未然。在具體的技術操作層面，一是將遷移上云的信息平臺配備了更高安全級別的主機防御（IPS）、網站應用防御（WAF）和云防火墻（VFW），并為網站申請了SSL證書認證。二是做好了相關平臺的應用配置改造支持HTTPS安全通道訪問。三是對涉及個人隱私信息進行了安全加固，實現數據庫層級的加密和解密，保障了數據安全。四是做好了相關信息平臺的安全定級、備案工作。

四）未來面臨的挑戰與發展趨勢

目前協會雖作為無大財力支持的私營非營利機構也已將絕大部分涉及公眾隱私的信息平臺用上了云安全和較高安全等級的配置，隨著未來國產化網絡安全產業發展壯大與技術完善，網絡安全的費用標準將越來越低，但仍將面臨如下挑戰：

1.攻擊手段仍在發展

近年來，由利益驅動的攻擊行為日益普遍，攻擊者的手段呈現多樣化、工具化和分工協作的特征，使得原本就處于被動態勢的安全防護方難以應對.如何在知識和數據的支撐下發展主動、智能的安全技術體系，是擺在網絡安全科研人員面前的艱巨任務。

2.交通事故安全

從特定角度來說，隨著物聯網、大數據、自動駕駛等相關前沿科技發展，黑客或恐怖分子通過網絡遠程操控、制造交通事故等惡性刑事案件已經可以從電影鏡頭搬到現實，至少從技術細節上已經并不困難，網絡安全事業的未來必然作為事關廣大人民群眾工作生活的重大戰略課題擺在國家有關部門面前。結合保險業，網絡安全相關保險產品也值得研發。

3.網絡安全等級保護工作任重道遠

根據《信息安全等級保護管理辦法》規定，各信息系統的安全等級保護理應根據信息系統的重要程度，信息系統遭到破壞后的危害程度進行等級確定，其執行等級保護的企業由當地公安部門推薦，但可供選擇的機構不多，存在壟斷嫌疑。

五）結語

本文參照相關文獻，介紹了網絡安全研究發展的歷程，引用國內較新的網絡安全基本概念和核心方法，從社會團體的信息化建設角度淺析了時下熱門的網絡態勢感知、軟件安全問題并介紹了我單位的相關工作。簡而言之，在我們日常生活和工作中為確保數據與隱私安全，還是要定期修改電腦、移動設備的各級賬號權限各類密碼，不要輕信和點擊陌生鏈接和應用，警惕網絡安全事件。

參考文獻：

[1] 軟件與網絡安全研究綜述 [中國科學院-信息工程研究所-網絡測評技術重點實驗室、復旦大學-軟件學院]

[2] 網絡安全態勢感知分析框架與實現方法比較 [西安大學、聯易軟件有限公司].- 李 艷、王純子、黃光球