文/譚振華 王興偉

當(dāng)前及未來的網(wǎng)絡(luò)安全

當(dāng)前，網(wǎng)絡(luò)安全威脅錯綜復(fù)雜。網(wǎng)絡(luò)犯罪分子攻擊手段日益翻新、愈加狡猾，利用相對簡單的 IT 工具和云服務(wù)對互聯(lián)網(wǎng)造成了空前的混亂。就全球范圍內(nèi)發(fā)生的安全事件來看，數(shù)據(jù)泄露、漏洞攻擊、勒索病毒等事件發(fā)生頻發(fā)，造成的損失愈加嚴(yán)重。過去八年里，數(shù)據(jù)泄露導(dǎo)致了全球71億人的身份信息遭到暴露；電子郵件惡意軟件的比例顯著上升，2016年已達(dá)到1/131；勒索軟件檢測數(shù)量在 2016 年增長 36%，平均贖金從 2015 年的 294 美元升至 2016 年的1077 美元。2017 年 7 月，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的互聯(lián)網(wǎng)安全威脅報告顯示，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近182萬個，木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP總數(shù)為8,627個，境內(nèi)被篡改。

總體來說，未來五年的網(wǎng)絡(luò)安全威脅趨勢將主要有如下三方面的新變化：

1.從技術(shù)發(fā)展來講，安全威脅勢必與人工智能結(jié)合。由于人工智能的快速發(fā)展，網(wǎng)絡(luò)安全威脅行為將深入結(jié)合機(jī)器學(xué)習(xí)、類人行為、分布式合作等人工智能技術(shù)對人類生產(chǎn)生活產(chǎn)生攻擊與威脅，其威脅范圍將更加廣泛、技術(shù)變種將更智能發(fā)展。

2.從威脅對象來講，網(wǎng)絡(luò)基礎(chǔ)設(shè)施與金融系統(tǒng)可能成為重點。從這幾年來看，無論是木馬、病毒搜集個人身份信息的威脅行為，還是通過攻擊基礎(chǔ)設(shè)施、數(shù)據(jù)平臺的個人隱私泄漏，黑客的主要目標(biāo)都是直接的黑產(chǎn)利益。由于技術(shù)水平的提高，未來網(wǎng)絡(luò)基礎(chǔ)設(shè)施與金融系統(tǒng)恐成重點攻擊對象。

3.從網(wǎng)絡(luò)終端來講，面向智能家居、移動智能終端的威脅概率會提高。當(dāng)前基于物聯(lián)網(wǎng)的智能家居設(shè)備的安全防護(hù)能力不足，漏洞修復(fù)服務(wù)與實時性欠缺，很容易成為攻擊者的目標(biāo)，基于物聯(lián)網(wǎng)設(shè)備發(fā)動的類似DDoS攻擊規(guī)?？謱U(kuò)大。而手機(jī)等移動智能終端防護(hù)水平尚停留在傳統(tǒng)模式，且廣大智能終端用戶的安全意識缺乏，使得攻擊者有機(jī)可乘。

東北大學(xué)

高校的網(wǎng)絡(luò)安全特點

盡管如此，魔高一尺、道高一丈，在摸清傳統(tǒng)安全威脅與當(dāng)前安全威脅趨勢的基礎(chǔ)上，只要做好了根本性的防護(hù)措施，就可以大大降低安全威脅的風(fēng)險值。高校網(wǎng)絡(luò)作為網(wǎng)絡(luò)空間的組成部分，其主要特點是用戶集中、流量較大、用網(wǎng)行為具有一定的規(guī)律性。作為高校的科研工作者，對高校信息化環(huán)境下的網(wǎng)絡(luò)安全工作提出幾點建議。

第一，在意識層面，加強(qiáng)網(wǎng)絡(luò)安全法教育。最近幾年，各類互聯(lián)網(wǎng)應(yīng)用尤其是移動互聯(lián)網(wǎng)應(yīng)用已深入到廣大師生的工作、學(xué)習(xí)與生活。加強(qiáng)面向師生的網(wǎng)絡(luò)安全法律法規(guī)教育、防護(hù)技能教育、實用工具教育、法治案例宣傳、知識競賽等，對提高高校網(wǎng)絡(luò)安全使用、傳播、獲取以及個人隱私保護(hù)，將起到重要作用。只有加強(qiáng)意識教育，才能從根上起到網(wǎng)絡(luò)安全整體防范效應(yīng)。

第二，在邊界防護(hù)安全方面，加強(qiáng)主干風(fēng)險控制。高校網(wǎng)絡(luò)邊界接入威脅主要包括路由破壞、未授權(quán)訪問、信息竊聽、拒絕服務(wù)攻擊、針對路由器和交換機(jī)等邊界網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)攻擊、病毒傳播、蠕蟲分發(fā)等行為。高校經(jīng)常面對海量的SYN Flood、ACK Flooding、UDP Flood、ICMP Flood、(M)Stream Flood等攻擊產(chǎn)生的大量垃圾數(shù)據(jù)包，大量占用網(wǎng)絡(luò)帶寬，造成邊界路由器和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備的有效數(shù)據(jù)轉(zhuǎn)發(fā)能力下降，甚至核心路由和交換機(jī)因負(fù)荷過載而造成轉(zhuǎn)發(fā)延遲增大和數(shù)據(jù)包丟包率上升。此類問題的重要解決方式，是加強(qiáng)邊界接入的風(fēng)險控制，需要不斷升級邊界核心防火墻的風(fēng)險防控能力，為校園網(wǎng)絡(luò)安全生態(tài)提供基本保障。

第三，在校園信息系統(tǒng)安全方面，加強(qiáng)集中安全防護(hù)體系部署。當(dāng)前，各高校大都已經(jīng)歷了十余年的信息化系統(tǒng)建設(shè)，形成了若干信息系統(tǒng)，形成了若干信息孤島。由于更新維護(hù)不及時，各類信息孤島其軟件架構(gòu)、數(shù)據(jù)庫、應(yīng)用程序均遺留了大量安全漏洞，給黑客攻擊留下了多渠道探索空間。而分布式部署網(wǎng)絡(luò)安全設(shè)備帶來成本高、成效低、維護(hù)質(zhì)量差的場面。當(dāng)務(wù)之急，高校需加強(qiáng)信息系統(tǒng)集成工程，在基礎(chǔ)設(shè)施、數(shù)據(jù)訪問、應(yīng)用體系上進(jìn)行一體化改造，加強(qiáng)集中式的網(wǎng)絡(luò)安全防護(hù)體系，對校園信息化系統(tǒng)尤其是財務(wù)系統(tǒng)、資產(chǎn)系統(tǒng)、學(xué)工系統(tǒng)、人事系統(tǒng)、科研系統(tǒng)、教務(wù)系統(tǒng)進(jìn)行集中分類防護(hù)，以確保校園信息系統(tǒng)的訪問安全。

第四，校園虛擬化云服務(wù)方面，加強(qiáng)宿主機(jī)防控手段。校園虛擬化云服務(wù)為集中式信息化建設(shè)提供了便利手段，虛擬化技術(shù)本質(zhì)上生成一個和真實系統(tǒng)行為一樣的虛擬機(jī)器，與真實操作系統(tǒng)一樣，同樣存在軟件漏洞與系統(tǒng)漏洞，宿主機(jī)的安全問題同樣需要得到重視。一直以來無論虛擬化廠商或安全廠商都將安全的關(guān)注點放在虛擬機(jī)系統(tǒng)和應(yīng)用層面，而由于宿主機(jī)系統(tǒng)本身也都是基于Windows或Linux系統(tǒng)進(jìn)行底層重建，因此宿主機(jī)不可避免地會面對此類漏洞和風(fēng)險問題，一旦宿主機(jī)的安全防護(hù)被忽略，黑客可以直接攻破虛擬機(jī)，從而造成虛擬機(jī)逃逸。所以，宿主機(jī)的安全問題是虛擬化安全的根基。加強(qiáng)宿主機(jī)安全防控手段的主要方式是在管理體系上進(jìn)行統(tǒng)一的標(biāo)準(zhǔn)化安全要求，在技術(shù)體系上形成分布防控體系。

第五，在數(shù)據(jù)防護(hù)層面，加強(qiáng)隱私泄密風(fēng)險防控。當(dāng)前，傳統(tǒng)的防病毒軟件可以在一定程度上解決已知病毒、木馬的威脅，但各類APT攻擊在網(wǎng)絡(luò)滲透上具有典型的持續(xù)性和隱蔽性，在滲透到數(shù)據(jù)中心內(nèi)部后會長期蟄伏并不斷收集信息，對校園數(shù)據(jù)安全形成了極大威脅。加強(qiáng)數(shù)據(jù)泄漏風(fēng)險防控的主要手段需要從云存儲加密體系、多數(shù)據(jù)平臺訪問控制體系、多威脅場景的蜜罐防護(hù)體系進(jìn)行多維考慮。

綜上，在網(wǎng)絡(luò)安全威脅行為不斷變化、升級的情況下，應(yīng)進(jìn)一步大力加強(qiáng)網(wǎng)絡(luò)安全宣傳教育，并在技術(shù)上、策略上加強(qiáng)風(fēng)險防控。