新形勢下網絡安全的挑戰與應對策略

李鑫

【摘要】? ? 本文通過對新形勢下我們所面臨的網絡安全問題和風險分析，結合本人實際工作經驗，提出了網絡風險隱患防范的解決思路和辦法，同時對網絡安全體系建設提出了建議。

【關鍵詞】? ? 網絡安全? ? 挑戰? ? ?戰略發展

一、貫徹落實國家網絡安全戰略發展的相關政策需要

網絡空間安全已經與海、陸、空、天安全并列成為全球五大空間安全。我們貌似和平很久，但戰爭從未遠離，只是形式不同，我們必須用作戰的視角看待網絡空間安全。

國家層面對網絡安全的重視程度也大大增強。2016年4月習近平總書記在網絡安全和信息化工作座談會上指出：應加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢。2016年10月習近平總書記再次強調實施網絡強國戰略。2017年6月網絡安全法正式實施。2017年7月關鍵信息基礎設施安全保護條例（征求意見稿）中提出國家行業主管或監管部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警和信息通報制度。2019年5月13日等保2.0發布。

“沒有網絡安全就沒有國家安全”，工業基礎設施、工業控制系統作為國家實施制造強國和網絡強國戰略的重要保障，面臨嚴重威脅。近年來，隨著中國制造全面推進，工業數字化、網絡化、智能化加快發展，我國工控安全面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復雜多樣等新挑戰。隨著技術的發展，完全威脅也發生了很大變化，具有高隱蔽性、高目的性、高危害性特點。網絡攻擊自動化程度和速度提升，攻擊工具越來越復雜的，0day漏洞披露越來越快，傳統安全設備滲透率持續飆升，越來越不對稱的威脅，新型網絡場景安全事件逐漸增加，對基礎設施的威脅越來越大。

二、必須用作戰的思維對待網絡安全

網絡戰因成本低、效果好、烈度可控成為了戰爭首選，網絡戰本質就是無論武器還是目標都是網絡本身，以軟/硬件設備為武器，漏洞為彈藥，態勢感知平臺、情報作為指揮，安全服務則充當人的角色，網絡戰已逐漸成為大國博弈的重要手段。

2015年12月烏克蘭電力遭遇黑客攻擊;2016年7月，希拉里“郵件門”事件;2017年5月12日全球遭遇勒索蠕蟲攻擊;2018年8月3日，臺積電三座十二吋晶圓廠生產線停擺。

2019年，日本制造企業Hoya感染挖礦病毒被迫停產三天，其中生產控制的主機服務器被病毒入侵后，導致用于管理工廠訂單和生產的軟件無法正常運行，然后病毒繼續在工廠蔓延，感染了網絡中的100多個終端設備。

2020年5月以來，臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司（FPCC）遭受勒索軟件攻擊，導致用戶無法正常支付。網絡空間安全形式日益嚴峻。

越來越多樣化的網絡攻擊手法，網站篡改、勒索病毒、DDOS攻擊、網站釣魚攻擊、ART攻擊等，已經嚴重影響到國計民生，層出不窮的網絡詐騙，網站入侵事件影響惡劣，信息泄露連續五年創歷史記錄，且不分行業與領域，成為全球科技始終無法避免的“自然災害”。加密貨幣的空前爆發帶來的商業利益，吸引了大量的網絡攻擊。勒索軟件持續產生嚴重危害，走向常態化、長期化。拒絕服務攻擊的規模不斷放大，已經出現萬兆級別的攻擊，各種攻擊手法層出不窮，在未來可以預見出現更大規模的攻擊。電子郵件欺詐帶來的損失史無前例，累計已達120億美元。

未來大國間科技競爭是常態，網絡戰也會是長期和常態，而網絡攻擊的背后往往是黑客組織甚至是網絡部隊，網絡戰從網絡空間向經濟、社會、國防、外交等全域交織滲透，我國加強網絡戰應對刻不容緩，一是我們需要轉變防御思想，建立“敵人在內”的防御前提;二是加快建立國家級的網絡空間安全防護系統;三是要常態化、制度化開展網絡攻防演練。

三、加強我國信息網絡安全，做好安全風險的防范

2020年以來，面對突如其來并且持續的新冠肺炎疫情，互聯網對打贏疫情防控阻擊戰起到關鍵作用。疫情期間，自國家推出“防疫健康碼”以來，累計使用次數已超過400億人次，使得全國絕大部分地區實現了“一碼通行”，大數據在疫情防控和復工復產中作用越來越明顯。據第47次中國互聯網絡發展狀況統計報告截止2020年12月底，我國網民規模接近10億，其中，農村網民規模為3.09億，農村地區互聯網普及率為55.9%，網絡扶貧成效顯著。在線交易，在線支付，在線服務水平全球領先。

面對嚴峻的形勢，做好安全風險的防范是必不可少的。安全風險是指網絡設計、應用軟件、硬件設施在設計上存在的缺陷或管理員安全運維不規范或日常操作不當引入新的安全隱患，這些缺陷或隱患被不法分子利用，通過網絡植入木馬、病毒、冒充“合法身份”等方式來攻擊或控制服務器，竊取服務器中的重要數據對系統造成不可挽回的破壞。常見的安全風險包括軟硬件漏洞、第三方信任風險、網絡結構性缺陷、安全管理風險、設備配置風險等。

面對這些復雜的網絡安全問題，僅通過部署防火墻、入侵防御、防病毒等安全產品是不能很好解決的，還需要結合合適的安全體系和并要考慮合適的安全產品（安全技術）的組合，使用人、組織按約定的安全流程（安全管理）規范操作，才盡可能少引入安全漏洞或隱患，減少安全事件發生。

3.1 加強國產網信關鍵核心技術

以美國為首的發達國家在信息化領域核心軟硬件技術方面擁有壟斷地位，使得我們國家常受制于人，實體名單、軟硬件限購等 “卡脖子”事件屢見不鮮，我國的網絡安全面臨前所未有的挑戰。我們必須加快推進自主創新，構建安全可控的國產技術體系，才能避免受制于人，為網絡安全和國家利益提供有力保障。對國家重點需求相關的關鍵核心技術中的重大科學問題給予長期支持，尤其是支持芯片、操作系統等重大領域的自主研發，推動關鍵核心技術取得突破。

3.2 提高公民的網絡安全意識

著移動互聯網的快速發展，我國使用手機的網民數量極速增加，截至2021年6月我國手機網民規模已超過10億，這也導致中國大部分公民都直接面對網絡安全方面的威脅。如果互聯網用戶都能夠重視網絡安全、信息安全，提高網絡安全保護意識，那樣國家的網絡安全才有基礎，才能保障國家的網絡安全。因此，不僅政府部門要大力宣傳、各級單位要組織學習，同時公民對網絡安全方面認識要不斷加強提升、具備良好的網絡安全意識，進而提升公民對網絡犯罪行為、網絡不良信息等識別判斷能力，把我國的信息網絡安全提升到更高的層次。

當前我國網絡信息安全相關人才還存在很大缺口，相關人才培養的數量遠遠滿足不了社會需求，目前每年網絡安全學歷人員數量不足1.5萬，已培養的信息安全專業人才總量不足10萬，目前人才缺口仍有140萬。人才問題已經成為當前制約網絡安全產業發展的主要瓶頸。因此要加大相關人才的培養力度， 彌補相關人才的缺口，構建完備的網絡信息安全人才培養體系。

3.3 發現安全風險做好風險評估

隨著2020年5月13日網絡安全等級保護制度2.0標準正式發布，很多單位也開始紛紛注意到國家對于網絡安全保護的重視。網絡安全風險評估分析，一般包括資產識別、脆弱性識別和威脅識別。

通過資產識別、脆弱性識別和威脅識別得出安全現狀分析，得出相關評估結果，然后通過物理環境評估、系統網絡評估、主機系統評估、應用系統評估、數據安全備份及恢復評估等內容，并進行關聯分析。

網絡安全是整體的而不是割裂的，網絡安全是動態的而不是靜態的，網絡安全是開放的而不是封閉的，網絡安全是相對的而不是絕對的，網絡安全是共同的而不是孤立的。脆弱性永遠存在，突破防御只是時間問題，脆弱性安全相對被動，結構性安全防患于未然。動態的結構化安全防護需要持續的專業安全服務做支撐。

3.4 做好安全加固應對運維風險

根據筆者多年在信息中心的工作經驗，在軟硬件系統日常運維中也存在巨大的風險。運維過程中要有安全策略的制定或核查制度，避免由于安全配置不合理或不完整、系統安全配置變更不及時帶來的風險。

因此運維人員要定期對系統進行安全基線核查，查找操作系統層面的安全配置隱患、安全配置風險，完成后給出詳細的安全基線核查報告，根據報告中的修復建議進行整改?；€核查的內容主要是安全配置檢測，包括但不限于賬號、口令、授權、日志、IP通信等方面內容，反映對系統自身的安全脆弱性評估。網絡管理員或系統用戶日常工作中沒有落實安全管理組織的建設或安全管理制度的執行等，從而引入的安全管理風險，比如安全意識不到位，隨意使用安全性未知移動介質，隨意瀏覽、下載安全性未知的文件，被人利用社工攻擊泄露敏感信息等。

嚴控第三方和已方人員對敏感數據或敏感服務器的非常操作，部署數據庫審計、堡壘機（運維審計），杜絕或限定敏感業務數據或服務器的非常訪問，做到所有業務操作有據可查，事后可追溯，減少第三方人員非正常操作造成的數據泄露，甚至竊取販賣。

發現問題之后更重要的是如何解決這些問題，為了更好地抵御可能的漏洞攻擊風險，建議從以下方面進行安全加固。

安全能力規劃：系統規劃、建設、運維，全程同步考慮信息安全能力建設和能力提升。

代碼安全開發：組織安全工發培訓，制定安全開發規范，提高代碼開發安全質量。

勤打漏洞補丁：訂閱權威機構的安全資訊，重點關注涉及的軟件/組件/框架的漏洞預警通告，及時根據提示做好緩解措施。

部署安全設備：部署必要的檢測、防御設備，如防火墻、IPS、IDS、應用防火墻、EDR、殺毒軟件、APT等。

設備與管理平臺自身安全：及時更新版本、特征庫升級、補丁更新。

3.5 關口前移

“關口前移”是對落實網絡安全防護的方法提出的重要要求，落實“關口前移”，就是要將安全防護能力更加靠近問題的本源。

實現安全防護“關口前移，防患于未然”，關鍵要做到安全能力“點”、“線”、“面”的結合：

一是能在前端源頭的“點”解決的問題，盡量不放到后端，貼近問題本源，不同層次的安全解決不同隱患，縮短安全防護的響應時間，拉開安全防護的空間縱深。

二是結合用戶業務鏈的整體戰略發展視角的“線”，對攻擊鏈與防護鏈進行綜合分析，確保防御能力與實際情況緊密結合。

三是需要從網絡與信息安全的頂層規劃與建設的“面”入手，在網絡規劃建設的早期階段就落實好將安全防護，并將專業安全服務、網絡安全態勢感知等主動防護機制融入網絡安全建設中，從而實現“關口前移，防患于未然”。

3.6 體系化的防御

網絡空間安全產業所面臨的挑戰，需要以體系化的防御應對體系化的攻擊。具體措施有：加強網絡安全防范、終端安全加固，減少危險上網，做好數據備份，關閉高危端口和加強安全監測等。

以“動態防御，主動防御，縱深防御，精準防護，整體防護，聯防聯控”為新舉措，構建網絡安全綜合防控系統，深入推進等保和關保的積極實踐。

參? 考? 文? 獻

[1] 李慎之，豐詩朵，路鵬，方穎.新形勢下，態勢感知面臨的挑戰及應對研究[J].通信世界，2021（08）：20-22.

[2] 肖晨卉.信息時代“突發性網絡攻擊”的安全挑戰與應對[J].情報雜志，2021，40（07）：74-79.