• 行业新闻 | 2019-09-02

    每个网络安全专家都应该知道这12件事

    正所谓 “知己知彼,百战不殆”,想要赢一场漂亮的胜仗,一定要对自身和对手都具备非常充分地了解。以下就是所有安全专业人士都应该了解的一些基础问题。  如今,很少有职业需要紧随 IT 安全的变化速度而做出改变。据统计,IT 从业者每年平均会遭遇 5000 到 7000 个新的软件漏洞,去年这一数字更是飙升到了惊人的 16,555 个。这就相当于每天,日复一日,年复一年地在你的安全防御系统中都会爆发 13 - 45 个新的漏洞。这就是组织 IT 环境每年面临数以千万计的恶意软件威胁的原因,也是攻击者不断进行攻击尝试的原因所在。 在这种持续不断的威胁中,仅仅是单一的漏洞就可能会破坏组织的业务,让其遭受声誉和收入的双重损失,甚至直接面临破产倒闭的结局。 这并不是说你的 IT 团队无法成功反击。当然可以,而且也会实现。 以下是每个计算机安全专业人员想要成功应对网络攻击都应该知道的 12 件事: 1. 了解对手的动机 你无法在不了解对手是谁以及他们为什么针对你实施攻击的情况下成功地反击敌人。所有攻击者都有自己的动机和目标,这两件事决定了他们所做的一切以及他们的具体实践方式。 如今,威胁你的黑客大多都有着明确的动机(纯粹出于好奇的除外)。这些攻击大致可分为以下类别:  经济动机  民族主义国家支持/网络战  企业间谍活动  黑客行为主义者  资源盗取  在多人游戏中作弊 如今的攻击者每次攻击的方式和动机都是不一样的。了解他们的动机对于应对攻击而言是至关重要的一步。了解攻击者为何以及如何实现破解,是确定你的网络究竟属于哪个目标类型的最佳方法,同时,这也可能提供如何击败对手的线索。 2. 恶意软件的类型 恶意软件有三种主要类型:计算机病毒、特洛伊木马以及蠕虫。任何恶意软件程序都是这些类型中的一个或多个的混合体。  计算机病毒 计算机病毒是 “指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。其必须满足两个条件: 1)它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中; 2)它必须能自我复制。例如,它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。  特洛伊木马 特洛伊木马指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的,但事实上是恶意的),是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓 “隐蔽性” 是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,也难以确定其具体位置;所谓 “非授权性” 是指一旦控制端与服务端连接后,控制端将窃取到服务端的很多操作权限,如修改文件,修改注册表,控制鼠标,键盘,窃取信息等等。 特洛伊木马与病毒的重大区别是特洛伊木马不具传染性,它并不能像病毒那样复制自身,也并不 “刻意” 地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。  蠕虫 蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。 了解这些恶意软件的基本类别非常重要,这样当你检测出恶意软件程序时,你就可以一同对最有可能的入侵场景进行解析。这不仅可以帮助你了解在何处查找恶意软件程序的来源,而且可以了解它可能会进一步传播的位置。 3. 根本漏洞类型 每年,IT 安全专业人员都面临着数千个新的软件漏洞和数百万个不同的恶意软件程序,但只有 12 种根本漏洞会让这些软件漏洞和恶意软件程序攻击你的设备。了解这些根本原因,你就可以阻止黑客攻击和恶意软件。以下是十二种根本漏洞: 1)零日攻击——又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与漏洞曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性; 2) 未修补的软件——研究表明,未修补的漏洞是大多数数据泄露的根源。未修补的软件或未更新的软件可能是主要的IT安全风险。如果您不更新软件,则会让您容易受到攻击者攻击。一旦(安全)更新可用于软件包,攻击者就会针对尚未更新的软件包。在现实中,许多公司并不总是立即更新他们的浏览器,即使这附带了很大的风险; 3) 恶意软件——指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制。恶意软件由多种威胁组成,会不断弹出,需要采取多种方法和技术来进行反病毒保护; 4) 社交工程学——社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推销诈骗等,都运用到社会工程学的方法; 5) 密码攻击——尝试获取或解密用户的密码以供非法使用。黑客可以在密码攻击中使用破解程序,字典攻击和密码嗅探器; 6) 窃听/MITM(中间人攻击)——一种 “间接” 的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为 “中间人”。在网络安全方面,MITM 攻击的使用是很广泛的,曾经猖獗一时的 SMB 会话劫持、DNS 欺骗等技术都是典型的 MITM 攻击手段; 7) 数据泄露——数据泄露是一种安全事件,其中敏感,受保护或机密数据被未经授权的个人复制,传输,查看,窃取或使用。数据泄露可能涉及财务信息,如信用卡或银行详细信息,个人健康信息 (PHI),个人身份信息 (PII),公司的商业秘密或知识产权; 8) 配置错误——如果组件由于不安全的配置选项而容易受到攻击,则可能会发生安全性错误配置漏洞。这些漏洞通常是由于不安全的默认配置,缺乏文档的默认配置或可选配置的文档记录不良而导致的。这可能包括未能在 Web 服务器上设置有用的安全标头,以及忘记禁用可授予攻击者管理访问权限的默认平台功能; 9) 拒绝服务——攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击; 10) 内部人士/合伙人/顾问/供应商/第三方——这是一种内部威胁,是指前员工或现员工,有权限访问组织的网络系统,数据等信息的承包商或业务合作伙伴有意或无意的利用这种机会来窃取机密,破坏组织网络系统的完整性或可用性; 11) 用户错误——同样属于一种内部威胁; 12) 物理访问——指的是人们物理访问计算机系统的能力。通过对办公室的物理访问,知识渊博的攻击者将很快能够找到访问该组织的计算机系统和网络所需的信息; 你可能对每个类别都不陌生,但这并不意味着一切是容易实现的。 4. 密码学和数据保护 数字密码学是一门艺术,它可以使信息安全免受未经授权的访问和修改。每个 IT 安全专业人员都应该学习加密技术的基础知识,其中包括非对称加密、对称加密、散列,以及密钥分发和保护等。 数据保护需要大量的加密技术。而数据的完整性保护还要求以合法方式收集和使用数据,保护隐私内容免受未经授权的访问,同时确保安全备份有能力防止恶意篡改并实现可用性。 如今,法律对于数据保护的要求正变得越来越严格,例如欧盟《通用数据保护条例》(GDPR) 的推出。作为 IT 安全从业者,你必须跟上量子计算机的进程,并充分了解其破解现代公钥加密的能力。在接下来的 10 年或更短时间内,你可能需要被迫将自己习惯的公钥密码(例如RSA、Diffie-Hellman等)全部转换为叫做 “抗量子” (post-quantum) 密码的密码术。全世界都在为此做准备,包括美国国家标准与技术研究院 (NIST)。所以,不要告诉我,你还没有意识到这一即将发生的巨大变化。 5. 网络和网络数据包分析 其实,识别团队中真正优秀的 IT 安全专业人员并不难,观察他们是否能够对网络数据包进行分析即可。真正优秀的 IT 安全专业人员应该能够熟练地使用网络基础知识,例如协议、端口编号、网络地址、OSI 模型层、路由器和交换机之间的区别,并且能够读取和理解网络包内所有不同字段的实际用途。 总而言之,理解网络数据包分析是为了真正了解网络和使用它们的计算机。 6. 基础性常规防御 几乎每台计算机都有常规的基础防御机制,优秀的IT专业人员会尽可能地考虑和应用这些方法来实现最佳的保护效果。以下是计算机安全的 “标准”,具体包括:  补丁管理  终端用户培训  防火墙  杀毒软件  安全配置  加密/解密  身份验证机制  入侵检测  日志记录 理解和使用这些常规性的IT基础安全防御机制是每位IT安全专业人员必备的技能。但除了简单地了解其功能之外,还要弄清楚其擅长执行哪些任务以及缺乏哪些保护能力等。 7. 认证基础知识 安全专业人员都知道,身份验证不仅仅是输入有效密码或满足双因素 ID 测试的过程。它还涉及更多细节。身份验证从为任何命名空间提供唯一有效身份标签的过程开始,例如电子邮件地址、用户主体名称或登录名。 认证的本质,是提供仅由有效身份持有者及其认证数据库/服务所知的一个或多个 “秘密” 信息的过程。当有效身份证持有者输入正确的身份验证因素时,即证明通过身份验证的用户是该身份的有效持有者。然后,在成功进行身份验证之后,尝试访问受保护资源将由称为授权的安全管理器进行检查。所有登录和访问尝试应记录到日志文件中。 与安全领域的其他所有事物一样,身份认证也正在不断发展完善。其中一个较新的概念,同时也是我认为最有可能保留的概念之一是持续性用户身份认证,在这种认证机制中,记录用户执行的所有操作都会根据已建立的模式不断重新评估。 8. 移动威胁 如今,全球的移动设备数量已经超过了全球人口总数,而且大多数人习惯通过移动设备获取大部分日常信息。鉴于人类的移动通信能力只可能不断提高,因此IT安全专业人员需要认真对待移动设备、移动威胁以及移动安全性等问题。目前最主要的移动威胁包括:  移动恶意软件  间谍软件  数据或凭证窃取  图片窃取  勒索软件  网络钓鱼攻击  不安全的无线网络 对于大多数移动威胁来说,威胁移动设备或计算机没有太大区别。但是,两者间还是存在一些不同之处的,你需要知道它是什么。任何不熟悉移动设备细节的IT专业人员都应该尽快开始了解。 9. 云计算安全 流行问答:有哪四个因素使得云计算安全性比传统网络更复杂? 每位IT专业人员都应该能够轻松通过这项测试。 其答案是:  缺乏控制能力  始终暴露在互联网上  多租户(共享服务/服务器)模式  虚拟化/容器化/微服务 有趣的是,云所真正代表的实际是 “其他人的计算机”,以及由此带来的一切风险。传统的企业管理员无法控制用于在云中存储敏感数据和服务用户的服务器、服务和基础设施。因此,你必须寄希望于云服务供应商,相信他们的安全团队正在履行其职责。云基础架构几乎都是多租户模式,通过虚拟化和最新兴起的微服务及容器化开发而来,因此我们很难将不同客户的数据区分开来。一些人认为,这样做有助于使安全性更容易实现,但每一项开发通常都会使基础设施更加复杂,而复杂性和安全性通常存在相互冲突的关系。 10. 事件记录 年复一年,安全研究表明,最易被忽视的安全事件其实一直存在于日志文件中。你所要做的就是查看事件记录。良好的事件日志系统是具有价值的,优秀的 IT 专业人员应该知道如何设置以及何时进行查询。 以下是事件记录的基本执行步骤,每个 IT 安全专业人员都应该熟练掌握:  政策  配置  事件日志收集  规范化  索引  存储  相关性  基线  警报  报告 11. 事件响应 最终,每个 IT 环境可能都会遭遇安全防御失败的状况。不知何故,黑客或者由此创建的恶意软件总能找到可乘之机,随之而来的就是严重的负面后果。因此,一位优秀的 IT 专业人员需要对此准备就绪,并制定事件响应计划,该计划最好能够立即付诸实施。良好的事件响应至关重要,这可能最终决定着我们的企业形象甚至商业生命能否延续。事件响应的基础包括:  及时有效地做出响应  限制伤害范围  进行取证分析  识别威胁  沟通  限制后续伤害  承认经验教训 12. 威胁教育和沟通 沟通是一项重要的 IT 安全专业技能。但是,不能简单地依靠员工自己的个性和魅力,因为沟通是通过各种方法进行的,其中包括:面对面交谈、书面文档、电子邮件、在线学习模块、新闻通讯、测试和模拟网络钓鱼。 针对组织的最可能、最重要的威胁和风险  安全政策  数据保护  如何以及何时报告可疑的安全事件

  • 行业新闻 | 2019-08-20

    安全分析:一切都与数据有关

    日益激增的安全数据推动了对数据建模,数据管理和数据规范的需求。 过去五年来,安全数据收集、处理和分析已经实现了爆炸式增长。实际上,最近通过 ESG 对安全分析的研究发现,28% 的受访组织声称他们收集、处理和分析的安全数据明显多于两年前;而在同一时间段内,另外 49% 的组织正在收集、处理和分析更多的数据。 那么究竟是什么类型的数据呢?凡是你能说的出的,包括网络元数据、端点活动数据、威胁情报、DNS(域名系统)/ DHCP(动态主机配置协议)、业务应用数据等等。除此之外,我们也不要忘记来自 IaaS(基础设施即服务)、PaaS(平台即服务)和 SaaS(软件即服务)的安全数据的冲击。 安全数据大规模增长的衍生物 安全数据的大规模增长带来了许多后果,主要包括以下几个方面: 1. 需要更好的安全数据建模和管理 根据 SAS software 的调查数据显示,花在数据分析上的大约 80% 的时间都是用于数据建模和管理的。随着网络安全数据量的增长,我注意到了这方面的趋势。组织正在花费更多的时间来确定要收集什么数据、需要什么数据格式、在哪里以及如何路由数据、数据重复删除、数据压缩、数据加密、数据存储等问题。 基于日益增长的数据管理需求现状,ESG 的安全运营和分析平台体系结构 (SOAPA) 由一个通用的分布式数据管理层来支持,该层旨在为所有安全数据提供这些类型的数据管理服务。由于大多数组织都在逐步采用  SOAPA,所以应该尽早考虑安全分析数据模型。简单来说,就是考虑一下您想要完成什么,然后返回到所需的数据源。 2. 寻求数据合成,丰富和情境化 所有的安全数据元素都可以彼此关联,但是说起来容易做起来难。在过去,许多组织依赖安全人员和电子表格来关联由不同分析工具生成的安全事件和警报。当网络流量分析 (NTA) 工具检测到可疑流量时,分析人员就会抓取源IP地址,调查 DHCP 服务器的 IP 租用历史,弄清楚涉及到哪个设备,然后挖掘由该设备发出的历史日志文件。 考虑到这些手动任务的低效性,我们已经看到市场对于点对点分析工具集成以及像 SOAPA 这样的架构集成表现出了更大的需求。行为分析——诸如用户和实体行为分析 (UEBA)——正通过一系列嵌套机器学习 (ML) 算法抽取多个同时发生的安全数据事件,来显示一些数据综合的前景。没错,行为分析是一项正在进行的工作,但对于最近看到的一些创新之举和进步我还是感到十分鼓舞。 3. 高性能的要求 大型组织正在监控数以万计的系统,这些系统每秒会生成超过 20,000 个事件,而且每天会收集数 TB 的数据。面对如此庞大的数据量,组织需要高效的数据管道和正确的网络、服务器以及存储基础设施,才能够实时地移动、处理和分析这些数据。为了满足实时数据管道的需求,我看到了 “Kafka 实现消息总线”的广泛应用。不要忘记,我们需要足够的马力来查询 TB 到 PB 的历史安全数据,以便进行事件响应和回溯性调查。这种需求导致了基于开源(如ELK stack、Hadoop等)和商业产品的安全数据湖的激增。 4. AI 好消息是,所有这些数据为数据科学家提供了充分的机会,来创建和测试数据模型,开发 ML 算法,并对其进行高精度调整。但坏消息是,我们刚刚开始联合数据科学家和安全专业人士,以开发用于安全分析的 AI 技术。先进的首席信息安全官们具有现实的态度。他们的希望是 AI / ML 可以通过提供更多背景证据,增加风险评分环境等来提高个人安全警报的准确性。换句话说,AI / ML 充当智能防御层,而不是独立的“安全分析全知神”。 5. 基于云计算的安全分析 毫无疑问,许多组织正在质疑,将大量资源仅用于收集、处理和存储 TB 级甚至 PB 级的安全数据作为现代安全数据分析需求的先决条件是否明智。使用大规模的、可扩展的基于云的资源不是更容易实现该目的吗?根据我对市场的观察,答案是肯定的。IBM 和 Splunk 报告称,其基于云的 SIEM 增长势头强劲。SumoLogic声称拥有超过 2000 名客户,而谷歌 (Chronicle Backstory) 和微软 (Azure Sentinel) 则是基于云的安全分析领域的新亮点。期待亚马逊也能加入到该行列中。随着安全数据的不断增长,将安全分析 “提升并转移” 至云端的势头只会越来越猛。 著名科技作家 Geoffrey Moore 曾说过,“如果没有大数据分析,公司就会变得又瞎又聋,像高速公路上的鹿一样在网上游荡。” 虽然 Moore 谈论的只是网络早期阶段的现象,但这句话却同样适用于安全分析。没错,组织可以通过强大的安全分析极大地提高其降低风险、检测/响应威胁以及自动化安全操作的能力。然而,想要实现这些成果,首席信息安全官们必须从一开始就对安全数据建模、管道和管理进行充分的规划和努力。

  • 行业新闻 | 2019-07-10

    网络安全专家担忧卫星和空间系统

    因此网络安全和政策专家担心卫星系统的相对不安全性会让这些设施受到攻击。非盈利智库组织英国皇家国际事务研究所(又称查塔姆研究所)的高级研究员 Beyza Unal 在其发表的一篇文章中警告道,依赖太空系统和民用卫星基础设施意味着在动荡时期更容易受到攻击,在和平时期则会助长间谍活动。 这些警告是在越来越多的国家加强太空行动的背景下提出的。曾经只是美国和俄罗斯之间比赛现在已经发生了变化。今年1月,中国将一艘月球车送上月球,并于 2016 年将一颗量子卫星送入轨道。欧洲航天局已向火星发射探测器,并将一个引力波探测器送入太空。日本发射了一枚探测器,成功降落在一颗近地小行星上,并打算带回一些样本。现在有十几个国家已经具备了一定程度的太空能力,并向太空发射了卫星。例如美国军方依靠卫星为导弹和炸弹提供导引。查塔姆研究所报告称在 2003 年,英国在伊拉克的军事行动中,68% 的军火都是通过卫星或卫星提供的情报进行的导航。 从历史上看,卫星系统在过去十年中只是偶尔受到攻击。例如,美中经济与安全审查委员会在 2011 年提交给国会的报告中就提出:近年来,两颗美国政府卫星受到的干扰明显与其控制设施受到的网络攻击相一致。报告称,2007 年 10 月至 2008 年 10 月期间,两颗分别被确认为 Landsat-7 和 Terra EOS AM-1 的卫星都经历了两次干扰,持续时间共计 35 分钟。这些干扰与对其卫星陆基系统的攻击是一致的,但当时没有发现确凿的证据。 美国外交关系委员会(Council on Foreign Relations)网络安全高级助理David Fidler表示: 在查塔姆研究所发布的报告中,Unal 指出虽然北约拥有一些地面设施和部件,但是他们没有自己的卫星,而是从成员国的卫星上获取信息。针对此类基础设施的典型攻击包括 “五个D”——破坏(Disrupt)、否认(Deny)、降级(Degrade)、欺骗(Deceive)和摧毁(Destory)。报告指出除了网络攻击外,卫星存在的漏洞还可能破坏成员国对北约提供的情报的信心,对行动的根本理由产生质疑,并可能会破坏成员国之间的关系。 “基本方法是专注于降低风险框架,并将其应用于供应链、命令、控制和通信系统。值得注意的是北约使用了层层安全措施来保护这些系统。因此即使攻击者能够攻破系统中的某个节点,他们也不一定能够渗透到关键节点。” “在某种程度上,总会存在一些担忧。他们正在寻找能够使运营商在信息流减少时保持运转的方法。”

  • 行业新闻 | 2019-07-01

    《网络安全法》落地两周年回顾

    在《中华人民共和国网络安全法》(以下简称《网络安全法》)出台前,我国专门用于规范互联网安全的法律仅有三部:《电子签名法》《全国人民代表大会常务委员会关于网络信息保护的决定》及《全国人民代表大会常务委员会关于维护互联网安全的决定》,而与网络安全相关的法律更多地散见于其他法律、行政法规、部门规章、司法解释、规范性文件或政策性文件之中。 关键词:网络完全威胁 ,网络安全法 ,网络安全 法律就是秩序,有好的法律才有好的秩序——亚里士多德 在《中华人民共和国网络安全法》(以下简称《网络安全法》)出台前,我国专门用于规范互联网安全的法律仅有三部:《电子签名法》《全国人民代表大会常务委员会关于网络信息保护的决定》及《全国人民代表大会常务委员会关于维护互联网安全的决定》,而与网络安全相关的法律更多地散见于其他法律、行政法规、部门规章、司法解释、规范性文件或政策性文件之中。 不难看出,整体上我国关于互联网安全的立法存在法律位阶低、缺乏系统完善的法律规范两大问题。乌尔比安曾说过,“法是权威的,但并不是永恒的”。这句名言可以说最为贴合网络安全领域面临的挑战。随着网络技术发展的日新月异,其中一部分法律内容陈旧,已不再适应当前的形势。 《网络安全法》是我国第一部全面规范网络空间安全管理问题的基础性法律。它的出台顺应了网络安全发展法制化路线,填补了我国在网络安全方面的法律空白,对我国网络安全发展有着重要的意义,也是国际网络安全的重要组成部分。从实践角度看,它从各个层面推动了国家关键信息基础设施和数据安全体系的建设,满足了当下迫切的安全需求,为我国网络空间安全治理取得巨大突破提供了法律高度的强大助力。 距2017年6月1日《网络安全法》正式施行已过去两周年,这两年里在《网络安全法》框架下抵制的网络违法犯罪事件,进行网络空间安全行动有哪些?对未来我国如何贯彻和坚持依法治网、依法办网、依法上网,进一步营造清朗的网络空间,有哪些可以进一步探索和深入的空间? 《网络安全法》回顾 中国工程院院士李建成教授指出,“网络安全建设,应当以法律为根,技术为基。”《网络安全法》是在吸取国内外立法经验的基础上,经过两次公开征集意见,人大常委会三次审议之后完成的。尽管立法过程历时较短,但其中不乏制度亮点。 (一) 明确监管机制 《网络安全法》中对网络安全监管机制有了一个系统完整的规定,明确网络安全监管责任主体、监管责任权限及监管主体法律责任: 以法律形式确定网络安全监管机制,强化对互联网市场的监管。改变过去不制定专门的网络安全监管法律规范,仅将其纳入相关法律、行政法规和部门规章中的“渗透式”模式; 明确政府监管机构的职权范围,规定在国家网信部门的统筹协调下,公安部门、国务院电信部门等相关部门在各自权限范围内负责监管工作,同时将网络相关行业组织纳入到监管主体中来,兼具“自上而下”及“自下而上”的监管模式,解决了无明确立法依据导致实际工作中多存在互相推诿、协作不利、效率低下的现象; 强调监管主体的法律责任,避免监管部门工作人员出现玩忽职守、滥用职权、徇私舞弊的情况。 (二) 通过立法推进网络实名制 网络实名制是指政府机关、网络服务提供者要求网络服务使用者在接受网络服务之前进行真实身份信息认证的一种网络管理规则,简而言之具体操作上是“前台可匿名,后台需实名”,旨在营造良好的网络环境。 2012年12月28日,全国人民代表大会常务委员会通过《加强网络信息保护的决定》,这是我国第一部规定网络实名制的法律性质文件。 2013年9月1日,工信部发布的《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》正式施行,规定手机用户实名制,为网络实名制认证奠定基础。 2014年8月7日,网信办发布《即时通信工具公众信息服务发展管理暂行规定》,规定即时通信工具服务使用者应当通过真实身份信息认证后注册账号,以此“试水”。 2015年3月1日,网信办发布《互联网用户账号名称管理规定》,将原先“即时通信工具服务使用者”扩大到“互联网信息服务使用者”,这也是我国网络实名制真正落实的第一步。 从上述发展历程来看,网络实名制存在立法等级低的问题.网络实名制是以公民身份制度为依托建立的“网络身份证”,理应比照规定现行身份制度的立法层级,而《网络安全法》的出台恰好有力地解决了这一问题。 (三) 明确定义关键信息基础设施 国际上关于此领域存在两个类似的概念,即关键基础设施和关键信息基础设施。 各国对关键基础设施有着基本的共识,主要包括两大特征:一是该设施为国家正常运转提供必不可少的支持;二是一旦遭到破坏,会对国家安全、社会稳定、公众健康和安全造成严重的影响。 而如何界定关键信息基础设施,各国则存在着较大的分歧。随着网络信息技术的迅速发展,越来越多的基础设施逐步接入互联网,关键信息基础设施这一概念所涵盖的范围也不断扩大。现今两者的概念边界逐渐模糊,经常交错适用,可理解为从传统安全和网络安全两大不同的领域来界定同一保护对象。 我国《网络安全法》延续了国际上的惯常做法,采用了“关键信息基础设施”这一概念。同时,在经过两次公开征集意见后,改变了最初采用的“列举式”定义,而以“列举式”与“概括式”相结合的方式来界定关键信息基础设施。这种定义方式既突出了“关键信息基础设施”的本质,同时也列举出“关键信息基础设施”较常见的类型,以便实践中更具操作性。 (四) 严格规定跨境数据流动规则 《网络安全法》规定,关键信息基础设施的运营者在我国境内运营过程中所收集和产生的重要数据和个人信息,不得在境外储存。确因业务需要向境外流动的,应当先接受相应的安全评估。 在《网络安全法(草案)》公开征集意见时,这条规定曾引起了包括美国商会等46家来自世界不同地区的国际企业团体联名抵制,认为该条规则增加了贸易壁垒。实际上,欧盟和美国基于优先考虑不同的群体利益,形成了两种不同的保护规则。 欧盟将保护消费者放在首要位置,而通过个人数据保护立法规定个人数据权; 美国在世界互联网企业前十位中占据六席,故将保护产业利益放在核心地位,仅对敏感的个人数据单独立法。 各个国家会根据自身的经济、社会情况选择不同的跨境数据流动规则,我国的互联网行业正处于蓬勃发展的阶段,在世界互联网企业前十位中占据四席,互联网产品和服务要求迅速、创新、用户量大,如果给企业太多的规则限制,将会降低企业创新的积极性,慢慢失去竞争力,最终导致合规不利于发展、不利于安全的结果发生。但是某些涉及国计民生、公共利益的数据无限制地向境外转移可能危及国家安全。 因此,《网络安全法》对此采取了一种非常谨慎的态度,仅规定关键信息基础设施运营者收集和产生的数据向境外转移时需要进行安全评估,但并未指明“安全评估”是“国际安全”“产业安全”“个人数据安全”或三者的集合,保持了规范性和灵活性的平衡。 案例摘选 我国面临的网络完全威胁态势,无论来自内部还是外部在这两年里也发生了明显的变化,比如攻击手段越来越隐蔽,攻击手法越来越复杂,独狼式的网络攻击迅速转向团伙化的分工形式,网络攻击的效率大大提升,尤其是攻击篡改、植入后门、数据窃取等危害互联网网站安全的行为呈现快速增长趋势,网络安全形势始终处于不容乐观情景之中: 据CNCERT抽样监测发现,2019年前4个月我境内被篡改的网站8,213个,同比增长48.8%;被植入后门的网站10,010个,同比增长22.5%。同时,近期发现由于运营者安全配置不当,很多数据库直接暴露在互联网上,导致大量用户个人信息泄露。造成这些事件很大原因是一些互联网网站运营者网络安全意识不强,特别是中小网站安全管理和防护能力较低,缺乏有效安全保障措施,成为网络攻击的重点目标和主要入口。 除了网络犯罪组织发起的恶意攻击之外,国内企业因对用户个人隐私处理不当、安全防护能力薄弱导致数据泄露事件等,触犯《网络安全法》而遭到处罚的事件越来愈多,互联网领域是重灾区。一方面是监管和执法部门有法可依后对于安全事件的处理更加科学和迅速,也能够严格起来。另一方面也反映出企业对于《网络安全法》重视程度不够,在个人隐私保护十分薄弱的国内大环境下存在抱团违法的侥幸思想,也有部分企业碍于安全投入的占比从无到有再到较高的水平,资源跟不上导致事件频发而遭到处罚。此外针对企业的黑灰产产业链越来越成熟,针对个人用户的违法APP花样百出,这也是我国网络安全形势既严峻且复杂的原因。 本章节摘选了国家监管机构、研究机构、专业媒体等渠道发布的典型执法案例,可以看到国家是依法治网、化解网络风险的意愿和能力都是十分强大的,《网络安全法》适用对象应当应以为戒,加强自身的合规能力,免于业务因违法而限于停滞。 国家网信办要求8家网站限期整 2019年5月28日,国家网信办对8家知名互联网网站年检限期整改网站进行检查。 其中某网站整改后,相关管理规章制度建设和人员等仍不符合互联网新闻信息服务许可设立条件,不予通过本次年检,责令其继续进行针对性整改。另一网站不再提供互联网新闻信息服务,依法注销其互联网新闻信息服务许可。 对应《网络安全法》条例: 第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。 9款App涉黄被国家网信办清理关停 2019年4月16日,针对即时通信工具传播违法违规信息、匿名注册、欺诈诱骗、为线下违法违规活动提供平台服务等行业乱象,国家网信办近日启动即时通信工具专项整治工作,从应用展现、服务导向、商业模式、注册机制、信息内容、群组管理等方面,对各类即时通信工具进行深入巡查和测试。9款即时通信工具因为传播淫秽色情信息,或为招嫖卖淫、售卖淫秽色情音视频等提供推广和平台服务,近日被国家网信办清理关停。 对应《网络安全法》条例: 第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 因其传播导向不良信息,网信办约谈某知名新闻网站 2019年4月16日,国家网信办指导北京市网信办针对末知名新闻网对用户发布违法违规信息未尽到审查义务,持续传播炒作导向错误、低俗色情、虚假不实等违法有害信息的严重问题约谈该企业负责人。 对应《网络安全法》条例: 第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。 新浪微博因违法信息被网信办约谈整改 2018年1月27日,国家互联网信息办公室指导北京市互联网信息办公室针对新浪微博对用户发布违法违规信息未尽到审查义务,持续传播炒作导向错误、低俗色情、民族歧视等违法违规有害信息 的严重问题约谈该企业负责人,责令其立即自查自 纠,全面深入整改。新浪微博随即对问题突出的热捜榜、热门话题榜等版块采取下线一周等整改措施。整改后的热捜榜、热门 话题榜等不但增加了正能量的“新时代”板块,同时对热搜榜内容也进行了整改,娱乐话题比例被大幅降低,增加了民生和社会热点事件。与此同时,正能量营销成为了新趋势。 对应《网络安全法》条例: 第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。 三家网络科技公司被工信部约谈 2018年1月11日,针对近期媒体报道相关手机应用软件存在侵犯用户个人隐私的问题,工业和信息化部信息通信管理局约谈了三家知名网络科技公司。三家企业表示,将按照监管部门要求,对相关服务进行全面排查,加强内部管理,完善产品设计,举一反三,认真整改。今后将继续严格遵守相关法律法规和工信部有关规定,进一步规范用户个人信息收集使用行为。 对应《网络安全法》条例: 第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 支付宝“年度账单”默认勾选服务协议被约谈 2018年1月,支付宝年度账单被部分网友质疑,年度账单中用极小的字体默认勾选“同意《芝麻服务协议》”,侵犯了消费者的权益。2018年1 月6曰,国家互联网信息办公室网络安全协调局约谈 了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人,要求切实采取有效措施, 防止类似事件再次发生。蚂蚁金服有关负责人表示,将对支付宝平台全面排查,进行专项整顿,进一步完善平台治理机制。2019年1月发布的支付宝年度账单中新增的查看账单前的身份检验功能、账单内容一键隐藏功能以及取消分享账单功能等,获得了网友好评。 对应《网络安全法》条例: 第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 新三板上市公司被查涉侵犯公民个人信息案:累计传输数据4000G 2017 年 7 月 8 日,山东破获一起特大侵犯公民个人信息案,共抓获犯罪嫌疑人 57 名,打掉涉案公司 11 家,查获公民信息数据 4000 GB、数百亿条。其中,国内知名大数据公司、新三板上市公司“数据堂”涉案。8 个月内,涉案企业日均传输公民个人信息 1 亿 3 千万余条,累计传输数据压缩后约为 4000GB 左右,公民个人信息达数百亿条,数据量巨大。此外,据办案人员表示,该案涉案的 11 家公司中,三家公司涉嫌单位犯罪,甚至有 4 名博士生、博士后涉案。 对应《网络安全法》条例: 第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 主要行政监管行动 2017年、2018年两次隐私条款专项工作 隐私条款集中反映了网络运营者对《网络安全法》及相关法律法规在个人信息保护和网络安全管理制度的遵守和落实程度,成为行政执法部门的重要监管点。 在2017年的首次隐私条款专项工作中,由国家网信办、工信部、公安部、信安标委等四部门组成的专家工作组于8月24日对包括:京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图等10款网络产品和服务隐私条款在隐私条款内容、展示方式和征得用户同意方式等方面进行评审。9月24日,隐私条款专项工作评审结果公布,微信、淘宝等获评审专家组好评,此外个别产品有待完善。 而在2018年9月5日启动的第二次隐私条款专项工作中,以信安标委为主的专家工作组对40款网络产品和服务的隐私条款进行了评审,其中涉及2017年隐私条款专项工作中的10款产品,以及出行旅游、生活服务、影视娱乐、工具资讯和网络支付5大类等30款新产品。工作组专家指出,今年的专项工作较去年相比,评审对象数量明显增多,首次采用工作按产品类别进行评审,专家评审从面对面转变为背靠背,评审要点也更加细化完善。目前,专项工作的具体成果仍有待公布。 工信部关于电信和互联网企业网络安全的执法检查及网络安全日常监督信息公开 2018年8月13日,工信部向地方通信管理局及相关企事业单位下发《关于开展2018年电信和互联网行业网络安全检查工作的通知》,要求地方部门及企事业单位配合调查,通过定级备案、自查整改、开展抽查等方式,重点关注依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构等网络运行单位建设与运营的网络和系统在落实《网络安全法》等相关规定及可能存在的网络安全风险隐患等情形,并于10月31日前向部网络安全管理局上报检查工作总结报告。目前,各地方部门已按要求进行区域自查并汇总,有待工信部网络安全管理局正式推出整体总结报告。 与此同时,工信部网络安全管理局自2018年起,定期在官网上公开每季度网络安全威胁态势分析与工作综述。总结目前已公开的信息数据,可以发现目前用户数据泄露、网络安全防护漏洞、平台运营故障等网络安全及个人信息安全事件仍旧频发。对此,主管机关加大网络安全执法监督,推进网络安全试点示范项目工作,并通过举办网络安全应急演练、开展移动恶意程序专项治理工作等,实际推动整改进程。 “剑网2018”专项行动启动,对网络转载、短视频、动漫等重点领域开展版权专项整治 2018年7月,国家版权局、国家网信办、工信部、公安部联合开展打击网络侵权盗版“剑网2018”专项行动,将短视频版权专项整治作为专项行动的重点任务,并将短视频平台企业列为专项行动重点监管对象,着力强化对短视频企业的版权监管。 9月14日,针对重点短视频平台企业在专项整治中的自查自纠情况和存在的突出版权问题,国家版权局在京约谈了抖音短视频、快手、美拍、秒拍等15家重点短视频平台企业。下一阶段,国家版权局将重点打击短视频领域侵权盗版行为,规范短视频平台企业经营行为,强化版权保护行业自律,推动相关权利人组织与短视频企业建立版权保护合作机制。 结语 碍于水平与篇幅,本文仅对《网络安全法》本身和两年里的执法案例进行了管中窥豹,不过也可以初步感知,这两年里发生的执法行动存在着以下显著的发展特征: 关注的法律问题层面:执法案例更加集中于个人信息保护、用户信息发布管理层面,高度关注网络用户个人信息安全及网络环境净化; 执法主体层面:工信部(及其地方所属的通信管理局)以及各级网信办参与执法行动的活跃度提升; 执法对象层面:除了一直属于监管重点的科技公司外,网络直播平台、电商平台、即时通讯平台等受监管关注的频度不断提升,执法对象涉及领域不断拓宽; 处罚措施层面:除了常规的约谈及督促整改以外,整改要求不断细化,处罚措施趋于多样化,包括出现高额罚款、产品下架、服务平台限期停止服务等。 互联网是一个迅速变化的领域,要断言五年后它是一个什么样的状态几乎不可能,这点对于立法者来说也是如此,所以《网络安全法》也会随着形势的变化而不断修订和发展。今后关于网络安全保护的具体实施办法必将有更多的规范性文件和指引,企业须及时解读新规内容,对企业的网络安全保护管理制度进行更新,使其符合主管部门的要求。 来源:freebuf

  • 行业新闻 | 2019-06-26

    围观 | 一文get电力行业工控系统安全防护策略

    摘要 电力系统的安全稳定运行关系着整个社会的稳定和经济发展,为适应全球能源互联网的发展需求,对保障电力工控系统信息安全提出了更高的要求。本文针对电网调度自动化系统的安全需求,从工控终端设备的角度提出了安全防护策略,构建终端底层密码服务、改造基于VxWorks的SSL安全接入、建设终端自身系统安全防护,从而解决电网调度自动化系统加密传输及系统环境的安全防护整体化,构建工控系统安全可信环境,实现电力工控系统物理、网络、终端和数据的多角度、全方面保护。 关键词:电力工控系统;安全防护;SSL协议;VxWorks 1  前言 随着电力行业与信息化技术的深度融合以及全球能源互联网快速发展需求,电力工业控制系统获得了前所未有的飞速发展,成为电力行业关键基础设施的重要组成部分。电力工业控制系统主要包括电力企业用于生产、调度、经营、管理的各个业务应用系统,其中有数据采集及监控系统、配网自动化系统、继电保护和故障录波信息系统、电能量计量系统、电力市场交易系统、变电站综合自动化系统等。虽然目前电力工控系统的安全防护技术措施可以有效阻止传统互联网病毒的入侵与传播,但是随着电力行业智能化、互动化发展和网络攻击技术演进的多重影响下,电力工控系统安全正面临着新的挑战,如果出现特殊情况,后果将不堪设想,直接对能源系统等造成重大影响。 2  电力工控系统安全防护现状 我国目前工业控制系统信息安全研究尚处于处于起步阶段,工业控制系统尚不完善,不同行业安全防护能力良莠不齐,潜在的安全风险相当大。电力行业工业控制领域信息安全防护建设积累了一些经验,电力信息监控于数据采集安全防护体系以自主可控的原则,采用信息隔离与交换、纵向加密认证等多项安全防护技术,建立了多项电力工控系统信息安全技术规范和标准,包括工业控制系统信息安全的标准体系架构、工业控制系统信息安全的管理指南、工业控制系统信息安全的测评、风险评估标准、工业控制系统信息安全的防护指南,保证关键系统的安全自主可控,总结形成了“安全分区、网络专用、横向隔离、纵向认证”的信息安全防护策略,建立了多技术层面的防护体系,做到了物理、网络、终端和数据的多角度、全方面保护。 3  安全防护策略需求分析 为解决电网调度自动化系统的安全防护问题,满足身份认证、数据加密及保证数据完整性保护策略要求,并同时实现访问控制、数据交换等其他功能,通过建立工控系统防护策略布置可信安全访问网关,建立安全访问区域,实现终端注册、角色访问控制、应用程序管理等功能,支持身份验证、SSL安全访问、访问控制、加密传输和数据交换、IP代理、统一监控等,实现终端设备安全访问控制全过程监控。 3.1 工控系统安全防护功能需求 (1)访问控制:使用基于用户角色的访问控制机制确保信息机密性的基本技术手段。通过基于角色的访问控制机制指导合法用户根据业务需求合理使用数据。 (2)接入控制:确保仅有指定的设备和应用程序才可以连接到系统,并防止非法节点和应用程序访问系统。 (3)数据加密:保证信息机密性的核必技术手段,在数据共享和存储过程中,工控系统防护策略使用密码技术,以确保在各种恶意攻击或操作错误下数据不会被公开。 (4)数据完整性:为了防止系统连接到远程安全监控终端时的威胁,防止上传的集中数据被任意修改改,在传输过程中使用对称数据加密以及MAC保护方式,保护信息的完整性和重要业务数据的完整性。 (5)系统安全管理:保证系统自身、环境以及运行的安全性。 (6)安全存储:保证RTU设备中保存数据的安全性。 (7)安全审计:审计手段作用在于威慑和取证,这是前面各种控制手段的有益补充。 3.2 工控系统安全防护策略总体设计 工控系统安全防护策略主要包括了工控系统终端底层密码服务构建、基于VxWorks的SSL安全接入改造、终端自身系统安全防护建设和系统全程业务安全流程四个方面的需求。 (1)终端底层密码服务构建 主要通过终端嵌入式安全芯片、安全密码算法、及底层密码服务,为整个终端提供底层密码安全服务,其主要功能包括终端设备的数据完整性校验、终端安全加固以及为业务安全控制、综合访问控制、安全管理、事后审计、数据存储安全和访问安全的安全功能提供基础的密码服务等。 (2)基于VxWorks的SSL安全接入改造 用基于数字证书的身份认证,使得接入应用系统的设备是通过认证的设备,使用者也是获得授权的用户。同时在终端采集数据时进行加密,在应用网关处进行数据解密,保证进入配电系统的数据安全。终端安全接入服务层在终端通过已建立的加密隧道来确保数据传输的安全,保证经过安全接入区的数据均实现了认证加密。 (3)终端自身系统安全防护建设 主要是实现设备所需的为业务应用安全控制、访问控制、安全管理、事后审计、数据安全存储等安全功能。通过设备自身系统安全防护的建设,提升系统的整体安全性。终端自身系统安全防护子系统组成示意图如图1所示。 图1 终端自身系统安全防护子系统组成示意图 (4)系统全程业务安全流程 通过实现SSL远程安全接入、配置管理维护等业务安全流程,从而提升系统的整体安全性。 4  安全防护策略实现 端底层密码服务子系统中的安全总片选型和安全算法子模块实现是终端安全改造的基础;证书管理模块和SSL安全接入模块联合起来实现终端设备SSL安全接入的安全改造;终端自身系统安全防护子系统中的权限管理子模块、系统安全营理子模块、安全存储子模块和安全审计子模块是终端自身系统安全防护的安全保障,应用协议安全检查子模块实现业务应用数据的安全检查。工控系统防护策略总体体系架构如图2所示。 图2 工控系统防护策略总体体系架构 4.1 终端底层密码服务实现 在安全算法子模块实现时采用基于安全遊片的SM2算法的签名认证,使安全巧片成为终端设备"信任根";实现基于安全硬件的对称算法加解密运算,用于保证通信数据的机密性。在安全算法子模块实现中,通过调用安全芯片的COS指令,实现签名认证及数据加解密等功能,包括公私钥对导入、签名验证、公钥加解密、数据加解密、摘要运算等操作。 4.2基于VxWorks的SSL安全接入实现 (1)证书管理 证书管理模块实现了基于SM2算法的证书管理,包括读写设备证书、验证服务器证书的合法性、证书解析等。 (2)SSL安全通信与接入 SSL化安全通信模块基于SM2证书,实现了SSL化密钥协商功能,联合证书认证、安全芯片的对称算法加解密,即可实现SSL认证与SSL加密传输等功能。为了实现安全接入的功能,需要实现Socket通信管理、证书管理、密码运算、SSL安全通信协议等子模块。SSL安全接入实现架构如图3所示。 图3 SSL安全接入实现架构 4.3 终端自身系统安全防护实现 (1)权限管理子模块 在权限管理模块中,访问安全STRU的使用者分为两类,系统维护管理员与被授权使用者。 (2)系统安全管理子模块 该子模块的两个主要功能:完整性检查与自诊断功能。 (3)应用协议安全检查子模块 应用协议安全检查子模块用于检查应用协议的数据格式、传输格式、时间校准是否满足协议规约。 (4)安全存储子模块 为了实现敏感数据的安全存储,使用安全芯片对敏感数据(如配置文件、审计日志等)加密存储。 (5)安全审计子模块 该模块实现对安全STRU设备的设备操作与设备访问的事件缓存、审计,并支持报警功能,实现可配置的故障或事件通知功能。

  • 行业新闻 | 2019-06-11

    面对攻击,如何拧紧工控系统的网络“安全阀”

    传统工业已经迈向智能工业,以数字化和信息化为核心的工业自动化系统日益成熟。伴随互联互通趋势的发展,工业控制系统背后隐藏的网络安全问题也逐渐显现并引起广泛关注。工控系统网络安全现状如何?又将如何有效拧紧工控系统的网络“安全阀”...... 关键词:修复漏洞 ,网络安全 ,工业控制系统 【导读】传统工业已经迈向智能工业,以数字化和信息化为核心的工业自动化系统日益成熟。伴随互联互通趋势的发展,工业控制系统背后隐藏的网络安全问题也逐渐显现并引起广泛关注。工控系统网络安全现状如何?又将如何有效拧紧工控系统的网络“安全阀”...... 一个正在高速运转的生产中心,突然计算机网络系统宕机,几十亿的设备同时陷入瘫痪,数家工厂陷入混乱,带来极具严重的运营挑战与数额巨大的经济损失…… 这或许已不是一个骇人听闻的生产事故,这正是全球的工业控制系统都在恐惧的网络攻击。 伴随如火如荼的数字化转型浪潮的发展,这个被称为“关键生产设施和基础设施运行的‘神经中枢’的工业控制系统”也迎来前所未来的网络安全挑战。一些国家级组织或个人开始通过对工业设施和工业系统进行网络攻击,以谋求达成政治诉求或经济目的。 全球工控系统安全形式严峻  多数攻击带有军事战争目的 据新华社经参研究院和360安全大脑共同发布的《关键企业保障网络安全的形势与挑战》报告中显示,在针对企业的攻击中,攻击者重点关注的领域依次是:通信网络、电子电器、海洋与港口、能源化工、交通运输、航空航天和网络安全,疑似攻击目标的企业以网络运维、工程建设和制造业企业居多。在针对政府机构和事业单位的攻击中,攻击者重点关注的领域依次是:涉外机构、海洋、教育、国土与地质、农业、水利和通信网络。 这些领域正是涉及国计民生的重要行业,一旦遭受攻击,不仅带来经济上的重创,它还会带来更为广泛的社会问题、政治问题。 国家信息技术安全研究中心曹岳也曾公开表示,和互联网攻击相比,从攻击目标来看,针对工控系统的攻击具有明显的军事和政治目的,尤其涉及国计民生的电力、铁路、民航等关键基础设施,以及那些在遭受攻击后能造成较大社会影响的系统往往成为主要攻击目标。 而今年3月份委内瑞拉电力系统遭到全国大面积的断网事件正是对以上结论最真实的写照。从3月7日开始,委内瑞拉遭到多达5轮的网络攻击,全国23个州中的18个州停电,社会一度陷入混乱不堪的局势中。委内瑞拉总统马杜罗直接发声明,指责这次停电是美国针对委内瑞拉导演的一场“军事战争”。 如何守护关键命脉  保证工控系统安全 工业控制系统的网络安全问题,涉及经济、政治、军事、社会稳定等诸多关系国家安全命脉的方面。尤其当下工控系统的网路攻击还呈现出定向攻击精准性提升迅速、技术手段复杂化专业化、攻击行为组织化等诸多显著特征。如何守护好它,变得至关重要,也成为一重要课题。本文整理了一些安全建议,助力保护工控系统安全。 01 转变思维观念,走出工控网络安全的误区 即使已经逐步意识到工控系统遭遇网络攻击的破坏力之大,但仍有很多企业依赖于过时的安全理念:他们认为工控自动化系统没有和互联网连接,所以足够安全;认为工控网络安装了防火墙,就能够抵抗外界威胁;还认为黑客无法理解SCADA/DCS/PLC;最后,更有一些企业存在侥幸心理,认为他们的设备不会成为黑客攻击的目标。 人是网络安全的核心,所以,守护关键命脉安全的第一道防线,就应从人以及人的思维观念中着手,走出既往的网络安全误区,建立顶层设计,将工控系统的网络安全上升到最高级。 02 加强网络安全漏洞管理,降低攻击风险 多数工业系统在设计之初是封闭的“单机系统”,没有考虑联网需求,而随着“互联网+工业”的推进,以及IoT技术的下沉与演进,那些原本就没有防护软件保护的工控系统和设备在物联网的冲击下,极易受到漏洞轻而易举的袭击。据报道,82%的工业固件漏洞为中高危风险。 因此,应建立漏洞管理全流程监督处罚制度,制定覆盖网络安全漏洞的发现、审核、披露、通报、修复、追责等全流程管理细则,强制要求漏洞必须及时修复,并对漏洞修复时间以及违规处罚措施予以明确规定。 此外,还应建立监督检查机制,及时发现未及时修复漏洞的行为,追究相关单位和责任人的责任。 03 加强技术能力,构建网络安全防护体系 在这里,智库建议分三步走: 第一,构建网络边界防护,实现逻辑隔离。 第二,构建工业级和通用级结合的综合安全防护体系。这里包括构建工业防火墙和工业级协议的数据审计和异常监测系统,加强对危及系统网络安全因素做出智能预警分析的能力,为工业网络信息安全故障及时排查、分析并提供可靠的依据。 第三,基于可信计算构建移动存储介质的管控体系。 04 多方协同联动,织牢织密“工控安全网” 诸多工控系统是关系国计民生的重要命脉,同时工控攻击也越来越走向组织化、国家化。所以,加强国家政府与网络安全企业的合作,建立协同联动的防护系统,重点保证关键基础设施的安全也变得尤为重要。

  • 行业新闻 | 2019-05-20

    量子投研 | 工业互联网行业深度研究报告

    第一节  工业互联网介绍 一、概念 工业互联网不是“工业的互联网”,而是“工业互联的网”,是指连接万千工业设备的平台,是IoT面向工业领域的一个分类。 工业互联网的官方定义:工业互联网是链接工业全系统、全产业链、全价值链,支撑工业智能化发展的关键基础设施,是新一代信息技术与制造业深度融合所形成的新兴业态和应用模式,是互联网从消费领域向生产领域、从虚拟经济向实体经济拓展的核心载体。 二、发展和现状 (一)全球工业互联网的起源和发展 2012年,美国通用电气GE公司提出了工业互联网的概念,希望通过工业设备与IT相融合,目标是组合高性能设备、低成本传感器、互联网、大数据收集及分析技术等要素,大幅提高现有产业的效率并创造新产业。在2012年11月,GE发布的《工业互联网——打破智慧与机器的边界》报告中,重点讨论了“旋转设备”, “旋转设备”包含全球的43,000台商用喷气机发动机、全球62,500个发电厂中的12,000个大型旋转设备和至少200,000小型旋转设备、机车行业的超过220万个旋转设备、炼油厂中的4,500个大型旋转系统以及52,000台CT扫描仪等,并于2013年推出工业互联网平台——Predix。 GE工业互联网业务发展概括起来共分为三个步骤:GE For GE、GE For Customers、GE For World。第一步,公司自己为了减少不必要的影响航空公司正常运营的维护成本(GE For GE),而在出厂的每台航空发动机上安装了各种传感器,监测发动机运行状态;第二步,在采集了足够多的数据后,通过大数据分析技术为航空公司提供运维管理、运力保证、运营优化和财务计划的整套解决方案,即GE For Customers;第三步,GE已经从自身企业的“纵向集成”、面向产品生命周期的“端到端集成”,转变为基于生态的“横向集成”,即GE For World,并希望能就此“重新定义制造业”。但由于每一个行业属性不同,差异较大,GE Predix的骤然转变,不能很好的兼容各个行业的差异,并忽略了“旋转设备”的初衷,使得GE Predix 业务发展速度和规模不达预期,导致财务上持续亏损,GE不得不将其从上市公司公司剥离,作为非上市公司继续征战工业互联网。 继GE推出工业互联网之后,IBM、西门子、NEC等巨头开始重点布局该领域,搭建自己的工业互联网平台。西门子与GE技术路径迥然不同,其倾向于在深耕专业领域的基础之上,借助IT与网络技术为客户打造数字化解决方案,而非像GE那样,将主要精力用于打造适用于所有领域的通用系统平台上。2016年4月,西门子推出了基于云的开放式物联网操作系统MindSphere。 美国创业公司UPTAKE,是2014年成立的物联网公司,Uptake的创始人是BradKeywell和EricLefkofsky,其中Lefkofsky曾是美国团购鼻祖Groupon的早期投资人兼董事长,机械大亨Caterpillar是UPTAKE的早期用户,2015年估值超10亿美金,被福布斯评为“2015年最热创业公司”, 2016年收入超过1亿美金, 2017年融资1.17亿美金,估值达到了23亿美金。 (二)中国工业互联网的发展和现状 2008年金融危机波及全球,中国经济受到很大的影响,2008-2009年中国工业增加值增速开始大幅放缓;2010-2011年在“四万亿”刺激下,工业增加值迎来短暂的“春天”但是很快就开始持续下行,近三年来增速大致维持在在6%上下小幅波动。中国制造业发展速度放缓,进入瓶颈期,急需转型升级,推动信息化与工业化深度融合,为产业发展提供新动力。 随着我国经济发展逐渐进入新常态,原本依靠人口红利进行规模扩张的粗放发展模式难以为继。过去我国制造业发展高度依赖人口红利,以低廉的劳动力压低制造成本从而获得大量订单。随着老龄化进程的加剧,中国15岁及以上就业人口占劳动人口比重不断下降(2005年、2015年分年龄男女人口结构,以及预测2025年、2035年份年龄男女人口结构图如下图所示),用工成本不断上升,人口红利正在逐渐消失。长远来看,人力成本将继续提高,企业依靠信息化、自动化技术,降低生产成本意义重大。 新一代信息技术和制造业的第一次深度融合,产生了工业互联网,其对于当下中国制造业意义重大。 2017年11月,国务院印发《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,将我国工业互联网的发展分为三个阶段。 1、到2025年,覆盖各地区、各行业的工业互联网网络基础设施基本建成,工业互联网标识解析体系不断健全并规模化推广,基本形成具备国际竞争力的基础设施和产业体系。 2、到2035年,建成国际领先的工业互联网网络基础设施和平台,工业互联网全面深度应用并在优势行业形成创新引领能力,重点领域实现国际领先。 3、到本世纪中叶,工业互联网创新发展能力、技术产业体系以及融合应用等全面达到国际先进水平,综合实力进入世界前列。 在中国,来自不同行业的行业巨头都加入了工业互联网的角逐。 其一是传统的生产制造企业,以三一树根互联,航天云网、海尔数字科技、徐工信息、美的美云智数等企业为代表。 2017年2月,工业互联网峰会上,树根互联技术有限公司以“机器驱动世界”为主题,发布了其工业互联网平台- 根云(RootCloud)。作为面向工业企业的物联网应用与开发平台,根云提供了从硬件接入、大数据分析到金融服务的端到端解决方案。 2017年4月,汉诺威工业博览会海尔现场展出了一条互联工厂示范线,并向全球发布了COSMOPlat工业互联网平台,是用户驱动来实现大规模定制的平台。用户可以全流程参与产品交互、设计、采购、制造、物流、体验和迭代升级等环节。 2017年6月,航天云网推出了工业互联网平台INDICS,在IaaS层自建数据中心,在PaaS层提供工业PaaS服务,以及面向开发者的公共服务组件库和200多种API接口,支持各类工业应用快速开发与迭代。 无独有偶,美的美云智数也将自己定位为工业互联网解决方案提供商。此外,36天“闪电”登录A股市场的工业富联更是将自己打造成“工业互联网第一股”。 其二是互联网企业。以阿里为代表,2017年3月,阿里云发布ET工业大脑平台,通过数据、算法对传统的工业生产线进行智能化改造,ET工业大脑在协鑫的工厂里,通过分析上千个参数,来优化光伏切片的精密工艺。 其三是IT企业。用友、浪潮、华为为代表的IT企业也不甘落后,2017年8月,用友面向智能制造推出“精智”用友工业互联网平台,从PaaS和SaaS发力,与底层硬件伙伴合作,通过打通生产现场人、物、设备与信息系统,助推企业智能制造转型;浪潮于2017年推出M81工业互联网平台,以云和数为核心,从数据采集层、云支撑平台层、大数据处理与应用开发平台层、应用服务层四个层面,提供IaaS、PaaS、SaaS一体化工业互联网服务,助力企业数字化转型。 截止2019年4月,根据不完全统计,中国国内至少涌现出了269个工业互联网平台,工业互联网发展势头迅猛。但国内不少平台在核心能力与生态建设上与国际巨头存在着较大的差距。 第二节  工业互联网行业分析 一、所属行业和法规 (一)行业监管体制 1、行业监管体制及主管部门 所属行业的主管部门主要为工信部。工信部主要负责研究拟定信息化发展战略、方针政策和总体规划;拟定本行业的法律、法规,发布行政规章;组织制订行业的产业政策、产业规划,组织制订行业的技术政策、体制和标准等,并对行业的发展方向进行宏观调控。 2、行业协会及其他组织 行业协会为工业互联网产业联盟,联盟是在工业和信息化部的指导下,2016年2月1日由工业、信息通信业、互联网等领域百余家单位共同发起成立工业互联网产业联盟。 (二)行业主要法规及政策 2015年发布《国务院关于积极推进“互联网 +”行动的指导意见》提出推动互联网与制造业融合,提升制造业数字化、网络化、智能化水平,加强产业链协作,发展基于互联网的协同制造新模式。 2016年出台《关于深化制造业与互联网融合发展的指导意见》,提出充分释放“互联网+”的力量,改造提升传统动能,培育新的经济增长点,加快推动“中国制造”提质增效升级,实现从工业大国向工业强国迈进。 2017年,国务院正式发布《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,提出增强工业互联网产业供给能力,持续提升我国工业互联网发展水平,深入推进“互联网+”,形成实体经济与网络相互促进、同步提升的良好格局。 2018年5月,工业和信息化部关于印发《工业互联网APP培育工程实施方案(2018-2020年)》,到2020年,培育30万个面向特定行业、特定场景的工业APP,全面覆盖研发设计、生产制造、运营维护和经营管理等制造业关键业务环节的重点需求。 2018年6月,工业和信息化部印发了《工业互联网发展行动计划(2018-2020年)》和《工业互联网专项工作组2018年工作计划》,到 2020 年底,初步建成工业互联网基础设施和产业体系。 2018年7月,工业和信息化部印发了《工业互联网平台建设及推广指南》和《工业互联网平台评价方法》。指南提出,到2020年,培育10家左右的跨行业跨领域工业互联网平台和一批面向特定行业、特定区域的企业级工业互联网平台。 2018年12月,工业和信息化部关于印发《工业互联网网络建设及推广指南》,旨在加快建立工业互联网平台体系,加速工业互联网平台推广。 二、工业互联网产业链 工业互联网产业链较长,上游通过智能硬件实现工业设备数据的收集;中游为工业互联网平台;下游为工业企业客户,任何单一层次或企业无法实现产业链通吃。 (一)上游 硬件设备。上游设备厂和软件商主要是提供平台所需要的智能硬件设备和软件,支持数据采集、存储、分析和开发。需要的硬件设备主要包括各类传感器、工业级芯片、 控制器、智能网关、智能机床、工业机器人。 (二)中游 工业互联网平台。从架构看,工业互联网分为边缘层、IaaS 层、PaaS 层和 SaaS 层。具体如下。 1、边缘层(即工业大数据采集过程)是工业互联网发展的基础。 2、IaaS 层主要解决的是数据存储和云计算,涉及到的设备如服务器、存储器等。 3、PaaS 层提供各种开发和分发应用 的解决方案,如虚拟服务器和操作系统。 4、SaaS 层主要是各种场景应用型方案,如工业 APP 等。 工业互联网平台中代表性的公司,见下图所示。 综上,工业互联网产业发展涉及多个层次、不同领域的多类主体。云计算、数据管理、数据分析、数据采集与集成、边缘计算五类专业技术型企业为平台构建提供技术支撑。装备与自动化、工业制造、信息通信技术、工业软件四大领域内领先企业加快平台PaaS层的布局。垂直领域用户和第三方开发者通过应用部署与创新不断为平台注入新的价值。 (三)下游 典型应用场景的工业企业。当前最有潜力上云的工业设备企业包括五类:一是高耗能设备,如炼铁高炉、工业锅炉等设备;二是通用动力设备,如柴油发动机、大中型电机、大型空压机等设备;三是新能源设备,如风电、光伏等设备;四是高价值设备,如工程机械、数控机床、燃气轮机等设备;五是仪器仪表等专用设备,如智能水表和智能燃气表等。 三、工业物联网市场容量 根据全球第二大咨询公司MarketsandMarkets最新调查报告显示,2018年全球工业物联网市场规模约640亿美元(中国大约266亿美金,2018-2023年每年增速15.5%),预计将在2023年成长至914亿美元,2018年-2023年的五年间复合年成长率(CAGR)为7.39%。 四、工业互联网平台竞争现状 (一)工业互联网平台参与企业种类 工业互联网平台企业主要有以下四类: 一是装备与自动化企业,从自身核心产品能力出发构建平台,如 GE、西门子、ABB、和利时等。 二是生产制造企业,将自身数字化转型经验以平台为载体对外提供服务,如三一重工(树根互联)、海尔(COSMOPlat)、航天科工(航天云网)等。 三是工业软件企业,借助平台的数据汇聚与处理能力,提升软件性能,拓展服务边界,如 PTC、SAP、Oracle、用友等。 四是信息技术企业,发挥IT技术优势将已有平台向制造领域延伸,如 IBM、微软、华为、思科等。详见下表所示。 序号 企业类型 企业名称 平台名称 1 装备与自动化企业 GE Predix 2 装备与自动化企业 ABB Ability 3 装备与自动化企业 西门子 MindSphere 4 装备与自动化企业 和利时 Hia Cloud 5 生产制造企业 树根互联 根云 6 生产制造企业 海尔集团 COSMOPlat 7 生产制造企业 航天科工 INDICS 8 生产制造企业 徐工集团 Xrea 10 生产制造企业 富士康 BEACON 11 工业软件企业 PTC Thingworx 12 工业软件企业 SAP Leonardo 13 工业软件企业 Oracle Oracle 云 14 工业软件企业 索为 SYSWARE 15 信息技术企业 阿里 ET工业大脑 16 信息技术企业 用友 精智 17 信息技术企业 IBM IBM云 18 信息技术企业 微软 Azure 19 信息技术企业 华为 智造云 20 信息技术企业 思科 思科云 (二)工业互联网平台的业务模式 综合考虑目前工业互联网平台的几种业务模式,业务范围由小至大,大致可分为三类。 第一类,工业物联网平台(IIOT,Industrial Internet of Things)。以设备联网、数据分析和应用开发为核心,特点是 PaaS层均为独立开发,开发少数通用的SaaS层应用。例如国外著名的GE Predix,PTC Thingworx,国内的树根互联等。主要构建工厂、客户、开发者的生态,目的是要打造一个通用化的类似手机生态中安卓或者IOS类似的平台,也是最具野心的模式。 第二类,工业互联网平台。在工业物联网平台基础上,将工厂各种相关运营、管理的云服务都纳入进来,实现了产品全生命周期运维的上云化。富士康BEACON是此类的代表,生态中增加了企业上下游各种合作伙伴,首要是服务企业自身业务。 第三类,综合性工业互联网平台。在工业互联网平台基础上,增加了工业B2B对接、产品个性化定制等功能,构建工厂和用户、不同企业间基于网络的大生态。航天云网、海尔数字COSMOPlat等属于这种,对于这种平台商业模式创新占比更大。 无论是什么性质的平台,平台型企业最大的优势是汇聚了大量的数据,未来是数据的时代,有了数据便有了变现数据价值的可能。 第三节  工业互联网投资策略与风险分析 一、投资策略 (一)谨慎看待工业互联网IaaS层的创业和投资 放眼全球,IaaS层市场格局基本形成,几乎全被大公司垄断,在国外基本是亚马逊AWS、微软和Google的天下,在中国市场也差不多被阿里云、中国电信、腾讯云、金山云几家巨头瓜分,云计算服务也确如几年前所说的那样,像用水、用电一样提供给众多企业,国内外巨头通过集中采购,使其的价格更便宜、反应更迅速,服务更优质,虽然近年出现了个别的数据丢失事件,但用户的习惯已逐步养成,创业公司难以在价格和服务方面提供更具有竞争力的服务,除非创业企业具备独特的资源或者技术优势,这个领域不属于创业的好方向,对于寻找投资机会也更加难,私有化部署可能还有少些机会。 (二)看好工业互联网平台型头部公司 目前,平台公司基本上出身于装备与自动化企业、生产制造企业、工业软件企业、和信息技术企业,身后“大树”可以为平台公司提供草根创业公司难以企及的市场、行业知识、资金等方面的资源,使得平台公司推出的平台在推出时,就已经是一个历经大量数据训练的平台,可以直接复制到其他客户,为客户提供商业价值,如果单凭几位创始人的教育和职业经历,从技术上完成一个完整PaaS平台的开发和持续迭代,并在市场上获得龙头客户的青睐,几乎不可能。我们认为,未来在工业领域平台型企业想要占有一席之地,有几点不可或缺:其一,平台应该有明确的定位,鉴于GE的经验,全行业全品类通用型平台的搭建还为时尚早,特定或同类别的行业解决解决方案,是现阶段开拓市场的有效途径;其二,具有独立的数据获取能力,有数据才能变现,未来一定是数据为王。其三,具备相当的行业知识,服务好平台中的客户,让客户付费的同时真正获得价值。其四,稳定可持续的盈利模式,不依赖于政府的政策或者补贴。其五,平台需要能同时保持一定的独立性和客观性,有利于其在产业类横向拓展。 (三)重点关注工业互联网SaaS层的创业 SaaS层的创业方向众多,每个行业客户的痛点也大多不同,且亟需解决,市场需求巨大。SaaS层的初期投入也不会像PaaS层创业那么巨大,每一个客户也都可以快速形成收入,所以公司在细分领域知识的深度尤为关键,未来对于资深的行业专家个人无论创业或者知识变现都是很好的机会,未来工业互联网类似IOS和安卓的生态一旦形成,SaaS层的创业机会将一直持续数十年甚至更久,和手机APP服务个人消费者类似,SaaS APP服务于企业客户。 (四)工业互联网行业在质疑中前行,趋势不容置疑 工业互联网是制造业变革与数字经济发展实现历史性交汇的产物,无论从全球乃至国内对于传统制造业产业升级带来的效应明显,虽然目前市场仍处于客户教育阶段,但是价值已初步显现,主要分为几个方面,其一是直接大大减少客户在维保方面的费用支出,其二是使用大数据和人工智能技术对物联设备进行能源优化和健康管理等,其三,为客户提供全天候、全路径设备运行转态,其四、对设备故障进行事前预判,大大减少设备运行的中断时间,其五是在为银行、保险等金融机构提供技术支持,。大趋势不容置疑。 二、风险分析 (一)制造业基础设施建设水平参差不齐 当前,我国制造业企业的信息化和自动化建设水平参差不齐。有的停留在自动化阶段、有的停留在信息化阶段,在谈工业互联网时其实还有很多铺垫的工作要做。另外,工业网络标准、技术等标准很多,做到互通仍需时间。 (二)政府政策对行业的影响 2018年至今的工业互联网“热”和中央和地方政府的政策和资金补贴支持密不可分,据测算,中央和地方每年补贴总金额预计在1300亿左右,部分种子客户的获得和政府补贴有关,未来政府降低或者停止补贴,可能会影响工业上云客户的持续使用意愿,继而对工业互联网产业链中的企业的业绩造成较大影响。 (三)发生数据安全事件对行业的影响 2018年某云计算服务商出现了数据丢失事件,虽然后来得以解决,但是对广大客户使用云服务的信心产生了影响,未来若发生较大或者多次数据安全事件,势必会影响整个行业上云的发展。 附录 参考文献 1、2017年工业互联网平台白皮书工业互联网联盟 2、GE折戟工业互联网的启示 新华网客户端赵敏 朱铎先 3、初创企业一举成为独角兽 Uptake的秘诀是什么中国智能制造网 4、中国制造新力量智能制造之先进制造研究报告 亿欧 崔粲 5、我国工业互联网的发展分为三个阶段,国家政策大力扶持 电子发烧友 来源:杨威 梅术强 陈俊希 (文章来源:鼎兴量子微信公众平台)

  • 行业新闻 | 2019-05-20

    网络靶场:网络安全练兵场

    2019年5月2日,美国总统特朗普签署了一项总统行政令,包括通过新总统杯网络安全竞赛来促进政府内部的网络安全工作;鼓励政府广泛采用网络安全劳动力框架来识别、招聘、开发和保留网络安全人才,该行政命令旨在填补美国所面临的网络安全技能人才缺口,更好地支持国防和关键基础设施所依赖的网络系统。4月24日,美国东部时间周三晚上10点左右,美军未经宣布切断最大军事基地布拉格堡的电源,测试基础设施遭到网络攻击下的真实反应。俄罗斯也于2019年2月通过包含“断网测试”内容的法案,应对西方国家发起网络战的威胁,备战网络空间危急时刻。网络空间风起云涌,网络安全已经成为大国博弈的重要战场,网络空间成为国家继陆、海、空、天四个疆域之后的国家安全第五疆域,新国家安全法首次明确网络空间主权纳入战略疆域,网络安全人才需求出现指数级增长。 网络攻击肆虐发展,各式各样的攻击流量跨越国界影响着每一台互联网设备,网络空间安全已经上升成为国家安全战略的重要组成部分,网络安全人才建设不断提出新的要求,网络空间的攻防演练开始受到各方的重视,网络靶场应运而生。网络靶场概念最初由美国在军事领域提出,靶场提供仿真虚拟环境来模拟真实的网络空间攻防实战,提升网络安全威胁响应实战能力,确保网络及信息安全。2008年,美国启动“国家网络靶场”项目,明确提出“国家网络靶场”是国家网络安全计划的一部分。随后英国也正式启动国家级网络实验场,还将实验场的部分靶场与美国“国家网络靶场”联网,建立了联合网络靶场,进行网络作战的全球演练。此外,日本、加拿大和北约等相继建立了自己的网络靶场,欧洲防务署专门批准了网络攻防测试靶场的建设计划。我国也十分重视网络靶场的建设,网络靶场,已成为网络强国的基础标配。 网络靶场概念提出的初期,网络靶场主要服务于国家机关,但随着技术的普及提升,出现了不少高效能的网络靶场产品,越来越多的企业和机构也开始建立和使用网络靶场促进自身网络的安全,这些行业包括通信、能源、交通、金融以及网络安全测评等。 一、网络靶场是网络空间安全需求的必然产物 1、基础设施安全受到严重威胁 2006年至2010年,著名的震网病毒曾经入侵伊朗核工厂长达五年之久,严重破坏了伊朗核计划。美国和以色列在“震网”病毒的合作,开启了将网络攻击损害现实世界的先河。2019年2月7日下午5点,委内瑞拉因向全国提供80%电力的古里水电站疑遭到网络攻击蓄意破坏,造成全国23个州中的21个州停电,引起严重的社会动荡。 随着关键基础设施系统越来越多地与互联网连接,网络攻击对物理基础设施的风险与影响与日骤增。网络攻击对关键基础设施的破坏不仅会造成“灾难性故障”,更有甚至者会引起社会动荡不安,造成政局不稳,这些损坏往往需要耗费大量的人力财力进行灾后恢复,而且难度很大。关键基础设施网络安全保障已成为网络空间防御的主战场。 2、企业网络安全面临威胁 2017年5月12日爆发的永恒之蓝(WannaCrypt)作为荼毒全球的重量级病毒,当时至少有150个国家、30万名用户中招,造成损失达80亿美元,影响到了金融、能源、医疗等众多行业,给社会和民生安全造成了严重的危机。 世界顶级互联网公司Facebook同样因为网络攻击不胜其扰,2018 年3月,被曝出 5000 万用户个人数据被剑桥数据分析机构利用, 9月份,又爆出安全系统的漏洞遭到黑客攻击,导致 3000 万用户信息暴露;年末,又一个软件漏洞,让 6800 万用户的私人照片面临泄露的风险。一年间,因为网络安全问题, Facebook 声誉与股价齐跌, 2018 年全年下跌 25.7%。还有调查显示,那些没有被成功拦截的网络攻击,会让60%的遭受攻击的中小企业六个月内倒闭。数据统计触目惊心,后果也让人难以承受,因此,从知名大企业到中小企业,确保网络安全都至关重要,迫在眉睫。 3、企业安全运维与应急响应对网络靶场需求迫切 业务网络是企业信息系统运行的基础,业务网络一旦依赖的某种原因中断,所有信息业务服务将无法进行,因此通信运营商、金融等行业的企业对网络安全有极高的要求,确保企业业务服务连续性、数据的安全性,提升企业的网络安全运维能力和应急响应水平至关重要。但是如果在真实系统环境中进行安全运维能力测试及应急响应模拟演练,可能会使业务安全遭受重大威胁,因此,企业对在高仿真环境下进行安全运维测试和应急响应演练有迫切需求,网络靶场可为此提供很好的解决方案。 4、军队、公安等特种行业缺少真实的综合演练环境 早在上世纪90年代,美国就最先提出了“网络战”的概念,并逐步将国家间网络空间对抗公开化、合法化,美国对伊朗实施“震网”病毒攻击时,实际上已经开启了网络攻击的新时代。网络空间对抗已由单纯的互联网发展到了泛在网络空间,攻击方式也向着复杂攻击方向发展,网络攻防的仿真模拟已成为各军事强国保护国家网络空间安全、训练网络战士的一种重要方式。然而军队、公安等特种行业到目前为止仍然缺少成体系的、规范的网络空间仿真训练系统。这些问题制约了网络空间作战模拟训练水平和实战能力的提升。 5、网络安全工具及设备缺少有效的测试床 信息安全测评中心、各网络安全产品生产企业、特种任务执行单位承担着各类系统及安全工具和设备的信息安全风险测试和评估任务,是项极富挑战性的工作。基于风险评估的测试、安全态势评估与测试、信息安全脆弱性评估等研究,多局限于评估的特定方面,缺少与安全实践的结合,由于信息安全攻击的破坏性和不可控性,直接在真实环境下进行信息安全分析测试可能会对系统造成破坏。 6、科研创新及网安实战人才培养的迫切需求 各类网络安全科研及教育培训机构,对网络靶场有迫切的需求。科研创新工作中需要:重复复现典型网络拓扑以及各类存在弱点的应用环境,针对性研究网络攻防对策;在高仿真环境中验证研发产品及工具的性能及可用性;构建业务系统高仿真环境,评估各类网络攻击可能对业务系统造成的影响。网络安全教育培训需要网络靶场提供高仿真培训环境,包含安全运维、渗透测试、攻防工具开发、漏洞挖掘与利用、安全编码与代码审计、应急响应与取证等网络安全实战培训体系,全方位提升网络安全人才攻防实战能力。 综上所述,如今网络空间安全被高度重视,但仍有许多问题难以克服:网络攻击可能导致关键基础设施崩溃和企业安全风险,造成重大经济损失及社会安全风险;企业网络信息系统关系到企业的正常连续运营,难以在真实系统中进行测试及应急响应演练;信息安全系统及安全工具和设备的测试缺少真实的测试环境;军队、公安等特种行业也由于缺少贴合实际的综合演练环境,导致任务执行风险不可控。这些都需要依赖模拟真实网络信息系统环境的仿真实验系统—网络靶场,构建网络靶场是应对上述威胁的有效途径。网络靶场提供虚拟环境来模拟真实的网络空间攻防对抗,有效提升网络空间安全防护能力。 二、网络靶场的典型应用实践 网络靶场经历了实体物理网络靶场、小型虚拟化靶场及大规模可拓展虚实结合靶场等几个重要发展阶段。网络靶场主要应用环境包括: l模拟重大安全事件爆发,训练应急响应和处置能力。 l构建真实的对抗演练环境,让演练成果贴合实际业务。 l仿真关键信息基础设施,进行持续的安全检测。 l提供专业的测试环境,在真实网络中开展测试。 l网络安全人员专业培训与测评,实际场景训练、测试、认证专业能力。 1、美国“网络风暴”系列演习 由美国国土安全部牵头组织,自2006年持续开展两年一度的“网络风暴”演习,模拟针对重点行业的网络危机,以发生过的真实事件仿真为基础进行演练。从“网络风暴I”到“网络风暴VI”,随着威胁形势不断发生变化,演习重点逐步转移到在多领域响应严重的网络事件,演习规模也不断扩大,到“网络风暴VI”,已发展到包括联邦政府部门、各个行业的信息共享和分析中心、州、国际政府伙伴以及私营合作伙伴(如关键基础设施类企业以及高科技企业)等各行业1000余人参与演习,是美国同类型最大规模的网络安全演习。 在2008年3月,“网络风暴II”演习结束后,2008年5月1日,美国美国国防高级研究计划局(DARPA)发布公告正式开展国家网络靶场(NCR)项目研发。NCR将为美国国防部模拟真实的网路攻防作战提供虚拟环境,针对敌对电子攻击和网络攻击等电子作战手段进行实验。 每一次“网络风暴”演练都紧跟网络安全形势的演变,聚焦各类新型网络攻击样式;通过每一次演练,美国的网络安全技战术水平不断进步,网络对抗能力、网络安全战备和应急处置能力都有明显提升;通过演练,检验了联邦政府、州、地区、国际组织以及私营组织之间的协同应急处置能力,评估了信息共享能力以及美国国家网络事件响应计划(NCIRP)指导事件响应的效果。每一次“网络风暴”演习都是美国厉兵秣马备战网络空间战争的练兵场。 2、北约“锁盾”网络安全演习 2019年4月9日-12日,全球最大规模的网络安全演习北约“锁盾-2019”实战演习在爱沙尼亚展开,包括法国、捷克、瑞典等23个国家的1200名网络安全专家以“红蓝对抗”形式守护虚拟国家Berylia。演习模拟Berylia国家大选期间,国家网络服务系统遭到严重网络协同攻击,国家电网、4G通信系统等多个重要基础设施被破坏,参加演习的人员分组扮演攻击和防御角色。演习网络是为演习特别定制的网络靶场,包括一系列服务和平台,既有军用的,也有民用的。 北约“锁盾”演习始于2010年,每年的演习都有明确的目标,设定特定的场景,参演队伍扮演不同的网络攻防角色,每年演习中靶场构建的网络业务系统以及和国家安全息息相关的网络信息系统都在不断地提升和完善。演习打造的网络靶场为参与演习的各国网络安全专家提供了真实而且安全的训练环境,是各国安全专家挑战对手、挑战自我的绝佳实践机会。通过网络安全演习,各国网络安全专家提高了保护国家信息系统及重要基础设施系统的能力,同时评估大规模网络攻击对各类民用和军用网络系统造成的影响,以及危机处理过程中评估、协调、合作、恢复等应急响应能力。 3、“强网”拟态防御挑战赛,测试自主可控网络安全理论及产品性能 2018年5月首届“强网”拟态防御国际精英挑战赛就是网络靶场在网络安全产品测评方面一个典型应用,网络空间拟态防御(Cyber Mimic Defense,CMD)是邬江兴院士团队首创的主动防御理论,为应对网络空间中不同领域相关应用层次上基于未知漏洞、后门、病毒或木马等未知威胁,提供了具有普适创新意义的防御理论和方法。 为了验证拟态DNS、拟态WEB服务等最新科研成果是否能经得住考验,真实拟态防御设备与网络靶场虚拟环境相结合构建网络平台,举办了首届“强网”拟态防御国际精英挑战赛,赛事采用“白盒与黑盒对比测试、外部突破与注入组合实施”的创新比赛机制,邀请国内外网络安全领域顶尖白帽黑客战队参赛,在接近真实的网络场景中,观测整体拟态防御网络在遭受黑客攻击时的实际表现,对拟态防御进行全方位、高强度的安全检验。最终比赛中没有任何战队突破拟态防御,这次比赛是对拟态防御理论工程实现进行的一次“众测”验证,充分体现了我国在网信技术领域自主创新能力。今年5月,“强网”拟态防御国际精英挑战赛将在南京再次展开角逐。 4、赛博地球杯工业互联网网络靶场 工业互联网变革进程突飞猛进,技术融合带来更加高效生产力的同时,多种接入方式也增加了安全隐患。为建立工业互联网多层次安全保障体系,提升“设备安全、控制安全、网络安全、平台安全、数据安全”的工作要求,建设攻防兼备的工业互联网安全体系,以由我国自主研发的国防工业网络靶场“电科龙云”为基础,搭建工业互联网真实场景,涵盖国家核心能源、国防等重要基础设施,并融入云安全防御等,构建了工业互联网主题的“赛博地球网络靶场”。 “赛博地球网络靶场”设计源于真实应用与实践,吸纳了多次国内外大型工控安全事件的背景原因分析,充分体现了目前工业互联网的脆弱性和后果的复杂、严峻性。“赛博地球网络靶场”的建设,参训人员可以挑战真实工业互联网环境,清晰了解工业互联网的安全现状,实现实战演练技术与防御能力双重提升,促进了产业界网络安全升级,推动了网络安全人才与产业界互相促进融合,为打造良性发展的安全产业新生态起到了重要的推进作用。 三、网络靶场--网络空间安全可控的“练兵场” 面临日益泛滥的网络空间安全威胁,全球都在构建可控环境中进行有效模拟的网络“练兵场”—网络靶场。基于网络靶场各种模式的演习,是直面网络安全风险,应对未来第五疆域战争居安思危、防范于未然的明智做法。 1、感知网络安全风险,提升应急响应能力 通过网络靶场了解和发掘网络体系的脆弱性,并积极寻求对策,使政府、军队、各关键基础设施运营企业等各职能部门能够在复杂、激烈的网络对抗环境下敏锐感知网络安全威胁,迅速形成民事和军事应急响应能力,加强各部门之间的协调、合作,共同应对网络安全攻击,大力提升网络安全事件的应急响应和快速恢复能力。高仿真网络靶场已经成为当今基础设施防护、核心业务系统安全性评测、攻防对抗训练、新技术验证、风险评估不可缺少的基石,是支撑网络空间安全、网络武器试验、攻防对抗演练和网络风险评估的重要手段。 2、实战仿真、安全可控,强化安全防护机制 网络靶场用于网络安全模拟演练、研发以及测试,能够实现在有限的空间内仿真模拟大规模网络攻防行为,演练过程环境可控、风险可控、成果可控,整体行动安全可控、可复盘重演,便于数据采集分析以及安全风险评估和方案决策。 在网络安全防护领域,网络靶场可支持关键信息基础设施及防护演练、核心业务系统安全性评测等应用场景;在网络空间综合演练环节,网络靶场可以支撑基于真实场景的大规模战术级对抗演练、实战攻击任务基础环境快速构建等应用环境;在决策评估阶段,网络靶场可以实现基于真实场景的网络空间武器装备评测、大规模战略联合作战演练、城市级信息基础设施协同安全演练等应用,评估验证安全防护策略的可行性,检测安全防护系统存在的问题,有效指导安全防护的设计和部署,实现网络安全防护的最优配置。 3、网络安全领域的“练兵场” 网络空间对抗已由单纯的互联网发展到了泛在网络空间,攻击方式也向着复杂攻击方向发展。网络靶场也正向着虚实结合网络仿真、场景化网络行为模拟、多层次隔离的安全管控体系等方向发展。随着网络攻击、网络恐怖主义等安全威胁形势日趋复杂严峻,国家级以及国家间的网络安全演练也更为频繁,网络攻防的仿真模拟已成为各领域防范网络安全风险、各军事强国训练网络战士的重要方式。 网络靶场方兴未艾,网络空间战场仿真、红蓝军对抗、导调监控、态势展示等诸多模式,让人如置身“硝烟四起”的真实网络空间攻防作战环境。通过网络攻防演练锤炼网络战的实战能力,网络靶场已成为网络安全人才磨砺网络安全技能的“全功能练兵场”,为培养高水平网络攻防人才提供技术支撑,为国家的网络安全决策提供依据。 (文章来源:战略前言技术微信公众号)

  • 行业新闻 | 2019-05-10

    网络安全:等保2.0落地在即,触发五百亿新增市场

    据公安部十一局七处处长祝国邦:《网络安全等级保护技术》2.0版本将于5月13日发布。相比等保1.0只针对网络和信息系统,等保2.0把云计算、大数据、物联网等新业态也纳入了监管,并把监管对象从体制内拓展到了全社会,覆盖技术更全面,监管范围更广,更有法(《中华人民共和国网络安全法》)可依。 从业绩角度,等保1.0带动了网络安全厂商的第一轮快速增长,等保2.0相关的业务,尤其是前期测评、自查等咨询业务自2017年起已经开展,已经对安全厂商带来业绩上的贡献。 从技术迭代角度,等保2.0更加关注云计算、大数据、物联网、人工智能等新的技术领域的安全措施,我们预计将带来态势感知、SOC等主动防御市场的快速发展。 ▌初识“等级保护” Q1:什么是等级保护? Q2:等级保护包括哪些流程? Q3:安全保护等级如何划分? 总结来说,信息系统涉及到工作秘密、敏感信息的,信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统,建议定到三级,其他系统定到二级。另外,涉及到国家安全的,特别是全国性的系统定为四级。 等保工作是一个持续性工作,等保测评也是周期性工作。根据等保2.0最新要求,第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。 根据智研咨询2015年公布的数据显示,政府、电信以及金融领域分别占据我国信息安全行业下游需求的前三位,合计占比59.3%,是需要进行等保测评的重点领域。另外由于能源行业的政策特殊性,也是进行等保测评的重点行业。 网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法。 等级保护2.0的时代特征是要确保关键信息基础设施安全,新标准具有三个特点: 第二,通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范; 假定安全投入占it投入比重2%(下限),仅等保2.0带来的行业每年增量市场在550亿以上,长期看将带来网安行业市场规模数量级的扩容,而传统网安企业级市场目前不到350亿。 等级保护2.0较1.0相比,主要变化体现在等级保护工作内容扩展、保护对象扩展、保护力度提升这几个方面。从工作内容上来比较,除了满足等保1.0时代定级、备案、建设整改、等级测评和监督检查五个规定动作以外,把风险评估、安全监测、通报预警、案事件调查等方面的工作都纳入到等级保护的范围之内。 总体控制要求,以三级为例控制数量从290个点,调整为231个点。这些诸多细粒度的变化,从制度层面给用户带来了一次知识更新的要求,同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。 2007年《信息安全等级保护管理办法》的发布,标志着等保1.0时代正式开启。随后等级保护系列配套政策密集出台,推动信息安全行业景气度快速提升。 ▌网络安全行业龙头估值有望修复到历史中枢 2、行业加速拐点确定:等保2.0将从新用户、新系统和新行业、新产品和新模式三个维度带来增量,假定安全投入占it投入比重2%(下限),仅等保2.0带来的行业每年增量市场在550亿以上,而传统网安企业级市场目前不到350亿,弹性足够,新业务放量将带动传统公司进入加速增长轨道。 4、板块逻辑向网战逻辑延伸,行业需求有望升级:传统网安投入主要在合规性需求领域,随着类似委内瑞拉电网攻击等事件的发酵,向网战升级的加密、身份认证与识别、态势感知、安全运营等有望爆发,关键信息基础设施安全保护条例的出台有望推动这些需求落地。 ▌等保2.0,将催生网络安全新需求 1)由于第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业,为符合等保2.0时代国家网络安全等级保护政策的新要求,将进一步加大信息安全产品和服务的投入。 报告数据来源:华创证券、东方财富、东吴证券 (文章来源:乐晴智库精选微信公众号)

  • 行业新闻 | 2019-04-17

    CNCERT发布《2018年我国互联网网络安全态势报告》

    当前,网络安全威胁日益突出,网络安全风险不断向政治、经济、文化、社会、生态、国防等领域传导渗透,各国加强网络安全监管,持续出台网络安全政策法规。2018年,在中央网络安全和信息化委员会(原“中央网络安全和信息化领导小组”)的统一领导下,我国进一步加强网络安全和信息化管理工作,各行业主管部门协同推进网络安全治理。国家互联网应急中心(以下简称“CNCERT”)持续加强我国互联网网络安全监测,开展我国互联网宏观网络安全态势评估,网络安全事件监测、协调处置和预警通报工作,取得了显著成效。CNCERT依托我国宏观安全监测数据,结合网络安全威胁治理实践成果,在本报告中重点对2018年我国互联网网络安全状况进行了分析和总结,并对2019年的网络安全趋势进行预测。 以下是该报告全文,敬请阅读。 一、2018年我国互联网网络安全状况 2018年,我国进一步健全网络安全法律体系,完善网络安全管理体制机制,持续加强公共互联网网络安全监测和治理,构建互联网发展安全基础,构筑网民安全上网环境,特别是在党政机关和重要行业方面,网络安全应急响应能力不断提升,恶意程序感染、网页篡改、网站后门等传统的安全问题得到有效控制。全年未发生大规模病毒爆发、大规模网络瘫痪的重大事件,但关键信息基础设施、云平台等面临的安全风险仍较为突出,APT攻击、数据泄露、分布式拒绝服务攻击(以下简称“DDoS攻击”)等问题也较为严重。 (一)我国网络安全法律法规政策保障体系逐步健全 自我国《网络安全法》于2017年6月1日正式实施以来,我国网络安全相关法律法规及配套制度逐步健全,逐渐形成综合法律、监管规定、行业与技术标准的综合化、规范化体系,我国网络安全工作法律保障体系不断完善,网络安全执法力度持续加强。2018年,全国人大常委会发布《十三届全国人大常委会立法规划》,包含个人信息保护、数据安全、密码等方面。党中央、国务院各部门相继发力,网络安全方面法规、规章、司法解释等陆续发布或实施。《网络安全等级保护条例》已向社会公开征求意见,《公安机关互联网安全监督检查规定》、《关于加强跨境金融网络与信息服务管理的通知》、《区块链信息服务管理规定》、《关于加强政府网站域名管理的通知》等加强网络安全执法或强化相关领域网络安全的文件发布。 (二)我国互联网网络安全威胁治理取得新成效 我国互联网网络安全环境经过多年的持续治理效果显著,网络安全环境得到明显改善。特别是党中央加强了对网络安全和信息化工作的统一领导,党政机关和重要行业加强网络安全防护措施,针对党政机关和重要行业的木马僵尸恶意程序、网站安全、安全漏洞等传统网络安全事件大幅减少。2018年,CNCERT协调处置网络安全事件约10.6万起,其中网页仿冒事件最多,其次是安全漏洞、恶意程序、网页篡改、网站后门、DDoS攻击等事件。CNCERT持续组织开展计算机恶意程序常态化打击工作,2018年成功关闭772个控制规模较大的僵尸网络,成功切断了黑客对境内约390万台感染主机的控制。据抽样监测,在政府网站安全方面,遭植入后门的我国政府网站数量平均减少了46.5%,遭篡改网站数量平均减少了16.4%,显示我国政府网站的安全情况有所好转。在主管部门指导下,CNCERT联合基础电信企业、云服务商等持续开展DDoS攻击资源专项治理工作,从源头上遏制了DDoS攻击行为,有效降低了来自我国境内的攻击流量。据CNCERT抽样监测,2018年境内发起DDoS攻击的活跃控制端数量同比下降46%、被控端数量同比下降37%;境内反射服务器、跨域伪造流量来源路由器、本地伪造流量来源路由器等可利用的攻击资源消亡速度加快、新增率降低。根据外部报告,我国境内僵尸网络控制端数量在全球的排名从前三名降至第十名 ,DDoS活跃反射源下降了60% ①。 (三)勒索软件对重要行业关键信息基础设施威胁加剧 2018年勒索软件攻击事件频发,变种数量不断攀升,给个人用户和企业用户带来严重损失。2018年,CNCERT捕获勒索软件近14万个,全年总体呈现增长趋势,特别在下半年,伴随“勒索软件即服务”产业的兴起,活跃勒索软件数量呈现快速增长势头,且更新频率和威胁广度都大幅度增加,例如勒索软件GandCrab全年出现了约19个版本,一直快速更新迭代。勒索软件传播手段多样,利用影响范围广的漏洞进行快速传播是当前主要方式之一,例如勒索软件Lucky通过综合利用弱口令漏洞、Window SMB漏洞、Apache Struts 2漏洞、JBoss漏洞、Weblogic漏洞等进行快速攻击传播。2018年,重要行业关键信息基础设施逐渐成为勒索软件的重点攻击目标,其中,政府、医疗、教育、研究机构、制造业等是受到勒索软件攻击较严重行业。例如GlobeImposter、GandCrab等勒索软件变种攻击了我国多家医疗机构,导致医院信息系统运行受到严重影响。 (四)越来越多的APT攻击行为被披露 2018年,全球专业网络安全机构发布了各类高级威胁研究报告478份,同比增长了约3.6倍,其中我国12个研究机构发布报告80份,这些报告涉及已被确认的APT攻击组织包括APT28、Lazarus、Group 123、海莲花、MuddyWater等53个,攻击目标主要分布在中东、亚太、美洲和欧洲地区,总体呈现出地缘政治紧密相关的特性,受攻击的领域主要包括军队国防、政府、金融、外交和能源等。值得注意的是,医疗、传媒、电信等国家服务性行业领域也正面临越来越多的APT攻击风险。② APT攻击组织采用的攻击手法主要以鱼叉邮件攻击、水坑攻击、网络流量劫持或中间人攻击等,其频繁利用公开或开源的攻击框架和工具,并综合利用多种技术以实现攻击,或规避与历史攻击手法的重合。 (五)云平台成为发生网络攻击的重灾区 根据CNCERT监测数据,虽然国内主流云平台使用的IP地址数量仅占我国境内全部IP地址数量的7.7%,但云平台已成为发生网络攻击的重灾区,在各类型网络安全事件数量中,云平台上的DDoS攻击次数、被植入后门的网站数量、被篡改网站数量均占比超过50%。同时,国内主流云平台上承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的53.7%,木马和僵尸网络恶意程序控制端IP地址数量占境内全部恶意程序控制端IP地址数量的59%,表明攻击者经常利用云平台来发起网络攻击。分析原因,云平台成为网络攻击的重要目标是因为大量系统部署到云上,涉及国计民生、企业运营的数据和用户个人信息,成为攻击者攫取经济利益的目标。从云平台上发出的攻击增多是因为云服务使用存在便捷性、可靠性、低成本、高带宽和高性能等特性,且云网络流量的复杂性有利于攻击者隐藏真实身份,攻击者更多的利用云平台设备作为跳板机或控制端发起网络攻击。此外,云平台用户对其部署在云平台上系统的网络安全防护重视不足,导致其系统可能面临更大的网络安全风险。因此,云服务商和云用户都应加大对网络安全的重视和投入,分工协作提升网络安全防范能力。云服务商应提供基础性的网络安全防护措施并保障云平台安全运行,全面提高云平台的安全性和可控性。云用户对部署在云平台上的系统承担主体责任,需全面落实系统的网络安全防护要求。 (六)拒绝服务攻击频次下降但峰值流量持续攀升 DDoS攻击是难以防范的网络攻击手段之一,攻击手段和强度不断更新,并逐步形成了“DDoS即服务”的互联网黑色产业服务,普遍用于行业恶意竞争、敲诈勒索等网络犯罪。得益于我国网络空间环境治理取得的有效成果,经过对DDoS攻击资源的专项治理,我国境内拒绝服务攻击频次总体呈现下降趋势。根据第三方分析报告,2018年我国境内全年DDoS攻击次数同比下降超过20%,特别是反射攻击较去年减少了80% 。③CNCERT抽样监测发现,2018年我国境内峰值流量超过Tbps级的DDoS攻击次数较往年增加较多,达68起。其中,2018年12月浙江省某IP地址遭DDoS攻击的峰值流量达1.27Tbps。 (七)针对工业控制系统的定向性攻击趋势明显 2018年,针对特定工业系统的攻击越来越多,并多与传统攻击手段结合,针对国家工业控制系统的攻击日益呈现出定向性特点。恶意软件Trisis利用施耐德Triconex安全仪表控制系统零日漏洞,攻击了中东某石油天然气工厂,致其工厂停运。分析发现,Trisis完整的文件库通过五种不同的编程语言构建,因其定向性的特点,仅能在其攻击的同款工业设备上测试才能完全了解该恶意软件。2018年中期,恶意软件GreyEnergy被捕获,主要针对运行数据采集与监视控制系统(SCADA)软件和服务器的工业控制系统工作站,具有模块化架构,功能可进一步扩展,可进行后门访问、窃取文件、抓取屏幕截图、记录敲击键和窃取凭据等操作。2018年CNCERT抽样监测发现,我国境内联网工业设备、系统、平台等遭受恶意嗅探、网络攻击的次数显著提高,虽未发生重大安全事件,但需提高警惕,引起重视。 (八)虚假和仿冒移动应用增多且成为网络诈骗新渠道 近年来,随着互联网与经济、生活的深度捆绑交织,通过互联网对网民实施远程非接触式诈骗手段不断翻新,先后出现了“网络投资”、“网络交友”、“网购返利”等新型网络诈骗手段。随着我国移动互联网技术的快速发展和应用普及,2018年通过移动应用实施网络诈骗的事件尤为突出,如大量虚假的“贷款APP”并无真实贷款业务,仅用于诈骗分子骗取用户的隐私信息和钱财。CNCERT抽样监测发现,在此类虚假的“贷款APP”上提交姓名、身份证照片、个人资产证明、银行账户、地址等个人隐私信息的用户超过150万人,大量受害用户向诈骗分子支付了上万元的所谓“担保费”、“手续费”费用,经济利益受到实质损害。此外,CNCERT还发现,具有与正版软件相似图标或名字的仿冒APP数量呈上升趋势。2018年,CNCERT通过自主监测和投诉举报方式共捕获新增金融行业移动互联网仿冒APP 样本838个,同比增长了近3.5倍,达近年新高。这些仿冒APP通常采用“蹭热度”的方式来传播和诱惑用户下载并安装,可能会造成用户通讯录和短信内容等个人隐私信息泄露,或在未经用户允许的情况下私自下载恶意软件,造成恶意扣费等危害。 (九)数据安全问题引起前所未有的关注 2018年3月,Facebook公司被爆出大规模数据泄露,且这些泄露的数据被恶意利用,引起国内外普遍关注。2018年,我国也发生了包括十几亿条快递公司的用户信息、2.4亿条某连锁酒店入住信息、900万条某网站用户数据信息、某求职网站用户个人求职简历等数据泄露事件,这些泄露数据包含了大量的个人隐私信息,如姓名、地址、银行卡号、身份证号、联系电话、家庭成员等,给我国网民人身安全、财产安全带来了安全隐患。2018年5月25日,欧盟颁布执行史上最严的个人数据保护条例《通用数据保护条例》(GDPR),掀起了国内外的广泛讨论,该法案重点保护的是自然人的“个人数据”,例如姓名、地址、电子邮件地址、电话号码、生日、银行账户、汽车牌照、IP地址以及cookies等。根据定义,该法案监管收集个人数据的行为,包括所有形式的网络追踪。GDPR实施三天后,Facebook和谷歌等美国企业成为GDPR法案下第一批被告,这不仅给业界敲响了警钟,也督促更多企业投入精力保护数据安全尤其是个人隐私数据安全。 二、2019年网络安全趋势预测 结合2018年我国网络安全状况,以及5G、IPv6、区块链等新技术的发展和应用,CNCERT预测2019年网络安全趋势主要如下: (一)有特殊目的针对性更强的网络攻击越来越多 目前,网络攻击者发起网络攻击的针对性越来越强,有特殊目的的攻击行动频发。近年来,有攻击团伙长期以我国政府部门、事业单位、科研院所的网站为主要目标实施网页篡改,境外攻击团伙持续对我政府部门网站实施DDoS攻击。网络安全事件与社会活动紧密结合趋势明显,网络攻击事件高发。 (二)国家关键信息基础设施保护受到普遍关注 作为事关国家安全、社会稳定和经济发展的战略资源,国家关键信息基础设施保护的工作尤为重要。当前,应用广泛的基础软硬件安全漏洞不断被披露、具有特殊目的的黑客组织不断对我国关键信息基础设施实施网络攻击,我国关键信息基础设施面临的安全风险不断加大。2018年,APT攻击活动持续活跃,我国多个重要行业遭受攻击。随着关键信息基础设施承载的信息价值越来越大,针对国家关键信息基础设施的网络攻击将会愈演愈烈。 (三)个人信息和重要数据泄露危害更加严重 2018年Facebook信息泄露事件让我们重新审视个人信息和重要数据的泄露可能引发的危害,信息泄露不仅侵犯网民个人利益,甚至可能对国家政治安全造成影响。2018年我国境内发生了多起个人信息和重要数据泄露事件,犯罪分子利用大数据等技术手段,整合获得的各类数据,可形成对用户的多维度精准画像,所产生的危害将更为严重。 (四)5G、IPv6等新技术广泛应用带来的安全问题值得关注 目前,我国5G、IPv6规模部署和试用工作逐步推进,关于5G、IPv6自身的安全问题以及衍生的安全问题值得关注。5G技术的应用代表着增强的移动宽带、海量的机器通信以及超高可靠低时延的通信,与IPv6技术应用共同发展,将真正实现让万物互联,互联网上承载的信息将更为丰富,物联网将大规模发展。但重要数据泄露、物联网设备安全问题目前尚未得到有效解决,物联网设备被大规模利用发起网络攻击的问题也将更加突出。同时,区块链技术也受到国内外广泛关注并快速应用,从数字货币到智能合约,并逐步向文化娱乐、社会管理、物联网等多个领域延伸。随着区块链应用的范围和深度逐渐扩大,数字货币被盗、智能合约、钱包和挖矿软件漏洞等安全问题将会更加凸显。 附录:2018年我国互联网网络安全监测数据分析 一、恶意程序 (一)计算机恶意程序捕获情况 2018年,CNCERT全年捕获计算机恶意程序样本数量超过1亿个,涉及计算机恶意程序家族51万余个,较2017年增加8,132个。全年计算机恶意程序传播次数 日均达500万余次。按照计算机恶意程序传播来源统计,位于境外的主要是来自美国、加拿大和俄罗斯等国家和地区,来自境外的具体分布如图1所示。位于境内的主要是位于陕西省、浙江省和河南省等省份。按照受恶意程序攻击的IP统计,我国境内受计算机恶意程序攻击的IP地址约5,946万个,约占我国IP总数的17.5%,这些受攻击的IP地址主要集中在江苏省、山东省、浙江省、广东省等地区,2018年我国受计算机恶意程序攻击的IP分布情况如图2所示。 图1 2018年计算机恶意代码传播源位于境外分布情况 图2 2018年我国受计算机恶意代码攻击的IP分布情况 (二)计算机恶意程序用户感染情况 据CNCERT抽样监测,2018年,我国境内感染计算机恶意程序的主机数量约655万台,同比下降47.8%,如图3所示。位于境外的约4.9万个计算机恶意程序控制服务器控制了我国境内约526万台主机,就控制服务器所属国家来看,位于美国、日本和德国的控制服务器数量分列前三位,分别是约14,752个、6,551个和2,166个;就所控制我国境内主机数量来看,位于美国、中国香港和法国的控制服务器控制规模分列前三位,分别控制了我国境内约334万、48万和33万台主机。 图3 境内感染计算机恶意程序主机数量变化 我国境内感染计算机恶意程序主机数量地区分布来看,主要分布在广东省(占我国境内感染数量的10.9%)、江苏省(占9.9%)、浙江省(占9.4%)等省份,但从我国境内各地区感染计算机恶意程序主机数量所占本地区活跃IP地址数量比例来看,河南省、江苏省和广西壮族自治区分列前三位,如图4所示。在监测发现的因感染计算机恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量达3,710个,规模在10万台以上的僵尸网络数量达36个,如图5所示。为有效控制计算机恶意程序感染主机引发的危害,2018年,CNCERT组织基础电信企业、域名服务机构等成功关闭772个控制规模较大的僵尸网络。根据第三方统计报告,位于我国境内的僵尸网络控制端数量在全球的排名情况以及在全球控制端总数量的占比均呈现下降趋势④。 图4 我国各地区感染计算机恶意程序主机数量占本地区活跃IP地址数量比例 图5 2018年僵尸网络的规模分布 (三)移动互联网恶意程序 目前,随着移动互联网技术快速发展,我国移动互联网网民数量突破8.17亿(占我国网民总数量的98.6%)⑤,金融服务、生活服务、支付业务等全面向移动互联网应用迁移。但窃取用户信息、发送垃圾信息、推送广告和欺诈信息等危害移动互联网正常运行的恶意行为在不断侵犯广大移动用户的合法利益。2018年,CNCERT通过自主捕获和厂商交换获得移动互联网恶意程序数量283万余个,同比增长11.7%,尽管近三年来增长速度有所放缓,但仍保持高速增长趋势,如图6所示。通过对恶意程序的恶意行为统计发现,排名前三的分别为流氓行为类、资费消耗类和信息窃取类 ,占比分别为45.8%、24.3%和14.9%,如图7所示。为有效防范移动互联网恶意程序的危害,严格控制移动互联网恶意程序传播途径,连续6年以来,CNCERT联合应用商店、云平台等服务平台持续加强对移动互联网恶意程序的发现和下架力度,以保障移动互联网健康有序发展。2018年,CNCERT累计协调国内314家提供移动应用程序下载服务的平台,下架3517个移动互联网恶意程序。 图6 2010年至2018年移动互联网恶意程序捕获数量走势 图7 2018年移动互联网恶意程序数量按行为属性统计 (四)联网智能设备恶意程序 据CNCERT监测发现,目前活跃在智能联网设备上的恶意程序家族主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori、StolenBots、VPN-Filter等。这些恶意程序及其变种产生的主要危害包括用户信息和设备数据泄露、硬件设备遭控制和破坏、被用于DDoS攻击或其他恶意攻击行为、攻击路由器等网络设备窃取用户上网数据等。CNCERT抽样监测发现,2018年,联网智能设备恶意程序控制服务器IP地址约2.3万个,位于境外的IP地址占比约87.5%;被控联网智能设备IP地址约446.8万个,位于境内的IP地址占比约34.6%,其中山东、浙江、河南、江苏等地被控联网智能设备IP地址数量均超过10万个;控制联网智能设备且控制规模在1,000台以上的僵尸网络有363个,其中,控制规模在1万台以上的僵尸网络19个,5万台以上的8个,如表1所示。 表1 2018年联网智能设备僵尸网络控制规模统计情况 二、安全漏洞 (一)安全漏洞收录情况 2014年以来,国家信息安全漏洞共享平台(CNVD) 收录安全漏洞数量年平均增长率为15.0%,其中,2018年收录安全漏洞数量同比减少了11.0%,共计14,201个,高危漏洞收录数量为4,898个(占34.5%),同比减少12.8%,但近年来“零日”漏洞 收录数量持续走高,2018年收录的安全漏洞数量中,“零日”漏洞收录数量占比37.9%,高达5,381个,同比增长39.6%,如图8所示。安全漏洞主要涵盖Google、Microsoft、IBM、Oracle、Cisco、Foxit、Apple、Adobe等厂商产品,如表2所示。按影响对象分类统计,收录漏洞中应用程序漏洞占57.8%,Web应用漏洞占18.7%,操作系统漏洞占10.6%,网络设备(如路由器、交换机等)漏洞占9.5%,安全产品(如防火墙、入侵检测系统等)漏洞占2.4%,数据库漏洞占1.0%,如图9所示。 图8 2013年至2018年CNVD收录安全漏洞数量对比 表2 2018年CNVD收录漏洞涉及厂商情况统计 图9 2018年CNVD收录漏洞按影响对象类型分类统计 2018年,CNVD继续推进移动互联网、电信行业、工业控制系统和电子政务4类子漏洞库的建设工作,分别新增收录安全漏洞数量1,150个(占全年收录数量的8.1%)、720个(占5.1%)、461个(占3.2%)和171个(占1.2%),如图10所示。其中工业控制系统子漏洞库收录数量持续攀升,较2017年增长了22.6%。CNVD全年通报涉及政府机构、重要信息系统等关键信息基础设施安全漏洞事件约2.1万起,同比下降23.6%。 图10 2013年至2018年CNVD子漏洞库收录情况对比 2018年,应用广泛的软硬件漏洞被披露,修复难度很大,给我国网络安全带来严峻挑战,包括计算机中央处理器(CPU)芯片爆出Meltdown漏洞 和Spectre漏洞 ,影响了1995年以后生产的所有Intel、AMD、ARM等CPU芯片,同时影响了各主流云服务平台及Windows、Linux、MacOS、Android等主流操作系统。随后,Oracle Weblogic server、Cisco Smart Install等在我国使用广泛的软件产品也相继爆出存在严重安全漏洞。 (二)联网智能设备安全漏洞 2018年,CNVD收录的安全漏洞中关于联网智能设备安全漏洞有2,244个,同比增长8.0%。这些安全漏洞涉及的类型主要包括设备信息泄露、权限绕过、远程代码执行、弱口令等;涉及的设备类型主要包括家用路由器、网络摄像头等。 三、拒绝服务攻击 2018年,CNCERT抽样监测发现我国境内峰值超过10Gbps的大流量分布式拒绝服务攻击(DDoS攻击)事件数量平均每月超过4,000起,超过60%的攻击事件为僵尸网络控制发起。僵尸网络主要偏好发动TCP SYN FLOOD和UDP FLOOD攻击,在线攻击平台主要偏好发送UDP Amplification FLOOD攻击。 (一)攻击资源情况 2018年,CNCERT对全年用于发起DDoS攻击的攻击资源进行了持续分析,发现用于发起DDoS攻击的C&C控制服务器 数量共2,108台,总肉鸡 数量约144万台,反射攻击服务器约197万台,受攻击目标IP地址数量约9万个,这些攻击目标主要分布在色情、博彩等互联网地下黑产方面以及文化体育和娱乐领域,此外还包括运营商IDC、金融、教育、政府机构等。 (二)攻击团伙情况 2018年,CNCERT共监测发现利用僵尸网络进行攻击的DDoS攻击团伙50个。从全年来看,与DDoS攻击事件数量、C&C控制服务器数量一样,攻击团伙数量在2018年8月达到最高峰。其中,控制肉鸡数量较大的较活跃攻击团伙有16个,涉及C&C控制服务器有358个,攻击目标有2.8万个,如表3所示。为进一步分析这16个团伙的关系情况,通过对全年攻击活动进行分析,发现不同攻击团伙之间相互较为独立,同一攻击团伙的攻击目标非常集中,不同攻击团伙间的攻击目标重合度较小。 表3 2018年活跃攻击团伙基本信息表 四、网站安全 2018年,CNCERT加强了对网站攻击资源的分析工作,发现绝大多数网站攻击行为由少量的活跃攻击资源 发起,对我国网站安全影响较大。根据这些攻击资源之间的关联关系,可将其划分为不同的“攻击团伙”所掌握。这些“攻击团伙”不断更换其掌握的大量攻击资源,长期攻击并控制着大量安全防护能力薄弱的网站。通过挖掘和研判“攻击团伙”对受攻击网站的具体操作行为,CNCERT发现这些攻击多带有黑帽SEO 、网页篡改等典型黑产利益意图,并使用流行的攻击工具对网站开展批量化、长期化控制。随着对网站面临安全风险的深入分析,CNCERT掌握了大量的攻击者特征及攻击手法,能为我国做好网站安全管理提出更有针对性、更有效的防范建议。 (一)网页仿冒 2018年,CNCERT自主监测发现约5.3万个针对我国境内网站的仿冒页面,页面数量较2017年增长了7.2%。其中,仿冒政务类网站数量明显上升,占比高达25.2%,经分析,这些仿冒页面主要被用于短期内提高其域名的搜索引擎排名,从而快速转化为经济利益。为有效防范网页仿冒引发的危害,CNCERT重点针对金融行业、电信行业网上营业厅的仿冒页面进行处置,全年共协调处置仿冒页面3.5万余个。从承载仿冒页面IP地址归属情况来看,绝大多数位于境外,主要分布在美国和中国香港,如图11所示。 图11 2018年承载仿冒页面IP地址和仿冒页面数量分布 (二)网站后门 1. 我国境内被植入后门情况 2018年,CNCERT监测发现境内外约1.6万个IP地址对我国境内约2.4万个网站植入后门。近三年来,我国境内被植入后门的网站数量持续保持下降趋势,2018年的数量较2017年下降了19.3%。其中,约有1.4万个(占全部IP地址总数的90.9%)境外IP地址对境内约1.7万个网站植入后门,位于美国的IP地址最多,占境外IP地址总数的23.2%,其次是位于中国香港和俄罗斯的IP地址,如图12所示。从控制我国境内网站总数来看,位于中国香港的IP地址控制我国境内网站数量最多,有3,994个,其次是位于美国和俄罗斯的IP地址,分别控制了我国境内3,607个和2,011个网站。 图12 2018年境外向我国境内网站植入后门IP地址所属国家或地区TOP10 2. 网站后门“攻击团伙”情况 2018年,CNCERT监测发现,攻击活跃在 10 天以上的网站“攻击团伙”有 777 个,全年活跃的“攻击团伙”13 个,如图所示。“攻击团伙”中使用过的攻击 IP地址数量大于 100个 的有 22 个,攻击网站数量超过 100 个的“攻击团伙”有 61 个。从“攻击团伙”的攻击活跃天数来看,少数攻击团伙能够保持持续活跃,如图13所示。多数“攻击团伙”的活跃天数较短,无法形成对被入侵网站服务器的持久化控制;少量值得关注的“攻击团伙”具有长时间持续攻击的特点,持续对其入侵的多个网站服务器实现长期控制。 图13 不同活跃天数的“攻击团伙”数量统计 (三)网页篡改 2018年,CNCERT监测发现我国境内遭篡改的网站有7,049个,较2017年的约2万个有大幅的下降,下降了64.9%,其中被篡改的政府网站有216个,较2017年的618个减少65.0%,如图14所示。从网页遭篡改的方式来看,被植入暗链的网站占全部被篡改网站的比例为56.9%,占比呈现持续缩小趋势。从境内被篡改网页的顶级域名分布来看,“.com”、“.net”和“.gov.cn”占比分列前三位,分别占总数的66.3%、7.7%和3.1%,占比分布情况与2017年无明显变化。 图14 2013年至2018年我国境内被篡改网站数量情况 五、工业互联网安全 (一)工业网络产品安全检测情况 为贯彻《网络安全法》并落实对网络关键设备和网络安全专用产品的安全管理规定,确保入网设备的网络安全防护水平,安全入网检测工作已得到关键信息基础设施运营者的重视。CNCERT自主研发了工业互联网安全测试平台Acheron,在2017年获得了ISAsecure权威认证 。2018年,CNCERT使用该平台,对主流工控设备和网络安全专用产品进行了安全入网抽检,并对电力二次设备进行了专项安全测试。在所涉及35个国内外主流厂商的87个型号产品中共发现232个高危漏洞,可能产生的风险包括拒绝服务攻击、远程命令执行、信息泄露等,如图15所示。利用这些漏洞,攻击者可使工控设备宕机,甚至获取设备控制权限,可能对其他工业网络设备发起攻击。CNCERT还分析发现,在电力设备测试中发现部分漏洞呈现同源性特征,经分析因大多数电力设备厂商在实现IEC 61850协议(电力系统最重要的通信协议之一)时都采用了美国SISCO公司的第三方开发套件,显示了较严重的产品供应链安全风险。 图15 2018年工业网络产品安全检测中发现的高危漏洞类型分布 (二)联网工业设备和工业云平台暴露情况 2018年,CNCERT不断升级监测手段,扩大监测范围,进一步加强了针对联网工业设备和工业云平台的网络安全问题跟踪,全年累计发现境外对我国暴露工业资产的恶意嗅探事件约4,451万起,较2017年数量暴增约17倍;发现我国境内暴露的联网工业设备数量共计6,020个,涉及西门子、韦益可自控、罗克韦尔等37家国内外知名厂商产品,如图16所示,这些联网设备的厂商、型号、版本、参数等信息遭恶意嗅探。另外,CNCERT发现具有一定规模的工业云平台30多家,业务涉及能源、金融、物流、智能制造、智慧城市等方面,并监测发现根云、航天云网、COSMOPlat、OneNET、OceanConnect等大型工业云平台持续遭受漏洞利用、拒绝服务、暴力破解等网络攻击,工业云平台正逐渐成为网络攻击的重点目标。 图16 2018年发现的联网工业设备厂商分布情况 (三)重点行业远程巡检情况 电力、石化等重点行业的生产监控管理系统因存在网络配置疏漏等问题,可能会直接暴露在互联网上,一旦遭受网络攻击,影响巨大。为评估重要行业联网工业监控管理系统的网络安全风险情况,2018年CNCERT对电力、城市公用工程、石油天然气三个行业开展了远程安全巡检工作,发现电力行业暴露相关监控管理系统532个,涉及政府监管、电企管理、用电管理和云平台4大类;城市公用工程行业暴露相关监控管理系统1,015个,涉及供水、供暖和燃气3大类;石油天然气行业暴露相关监控管理系统298个,涉及油气开采、油气运输、油气存储、油品销售、化工生产和政府监管6大类,如图17所示。同时,CNCERT分析发现,电力、城市公用工程和石油天然气三个行业的联网监控管理系统均存在高危漏洞隐患,各自占监控管理系统的比例为10%、28%和35%,且部分暴露的监控管理系统存在遭境外恶意嗅探、网络攻击的情况。 图17 2018年发现的重点行业联网监控管理系统分类 六、互联网金融安全 为实现对我国互联网金融平台网络安全总体态势的宏观监测,CNCERT发挥技术优势,建设了国家互联网金融风险分析技术平台网络安全监测功能,对我国互联网金融相关网站、移动APP等的安全风险进行监测。2018年,CNCERT支撑相关部门,就北京地区275家网贷机构运营的275个网贷平台网站、192个移动APP进行网络安全检查,并对其提交的落实网络安全工作的材料进行审核,以作为这些网贷机构能够获得网贷备案的必要条件。 (一)互联网金融网站安全情况 2018年,CNCERT发现互联网金融网站的高危漏洞1,700个,其中XSS跨站脚本类型漏洞占比最多有782个(占比46.0%);其次是SQL注入漏洞476个(占比28.0%)和远程代码执行漏洞85个(占比5.0%),如图18所示。近年来,随着互联网金融行业的发展,互联网金融平台运营者的网络安全意识有所提升,互联网金融平台的网络安全防护能力有所加强,特别是规模较大的平台,但仍有部分平台安全防护能力不足,安全隐患较多,CNCERT监测发现高危互联网金融网站330个,其中部分平台存在的高危漏洞数量超过10项。 图18 互联网金融网站高危漏洞分布情况 (二)互联网金融APP安全情况 在移动互联网技术发展和应用普及的背景下,用户通过互联网金融APP进行投融资的活动愈加频繁,绝大多数的互联网金融平台通过移动APP开展业务,且有部分平台仅通过移动APP开展业务。2018年,CNCERT对430个互联网金融APP进行检测,发现安全漏洞1,005个,其中高危漏洞240个,明文数据传输漏洞数量最多有50个(占高危漏洞数量的20.8%),其次是网页视图(Webview)明文存储密码漏洞有48个(占20.0%)和源代码反编译漏洞有31个(占12.9%),如图19所示。这些安全漏洞可能威胁交易授权和数据保护,存在数据泄露风险,其中部分安全漏洞影响应用程序的文件保护,不能有效阻止应用程序被逆向或者反编译,进而使应用暴露出多种安全风险。 图19 互联网金融移动APP高危漏洞分布情况 (三)区块链系统安全情况 伴随互联网金融的发展,攻击者攻击互联网金融平台牟利的手段不断升级,并融合了金融业务特征,出现“互联网+金融”式攻击,尤其是在区块链数字货币等业务领域表现得更为明显。首先,区块链系统往往自带金融属性,直接运行数字货币等资产;其次,区块链相关代码多为开源,容易暴露风险;第三,区块链系统在对等网络环境中运行,网络中的节点防护能力有限;第四,用户自行保管私钥,一旦丢失或盗取无法找回;第五,相关业务平台发展时间短,系统安全防护经验和手段不完善、全面性和强度不足。2018年3月,虚拟数字货币交易平台“币安”遭攻击。攻击者盗取用户在该平台的交易接口密钥,通过自动化交易大幅拉升“维尔币(VIA)”的价格。攻击者提前在币安埋下VIA的高价卖单,利用其巨额涨幅获取暴利。同时黑客通过散播攻击的消息,导致短时间市场出现恐慌,市场价格大幅下跌,黑客也可在其他交易平台通过瞬时做空的形式获利;这种攻击方式通过盗取用户信息恶意操纵行情变化获利,方式新颖,防范难度大。 报告中引用的第三方数据: ①③④相关数据来源于 卡巴斯基全球DDoS攻击趋势报告(2015.Q1-2018.Q4) 中国电信云堤、绿盟科技联合发布的《2018DDoS攻击态势报告》 阿里云《2018年DDoS攻击全态势:战胜第一波攻击成“抗D” 关键》 ②相关信息来源于 360威胁情报中心《全球高级持续性威胁(APT)2018年报告》 ⑤相关数据来源于 中国互联网络信息中心发布的第43次《中国互联网络发展状况统计报告》 (来源:国家互联网应急中心CNCERT微信公众号)  

  • 扫一扫 关注青青草网站微信公众号
    服务热线:025-8660 3700 版权所有©青青草网站|青青草在线视频|极品视觉盛宴|青青草科技股份有限公司2009-2019 保留一切权利 苏ICP备12069441号