李鑫

【摘要】? ? 本文通過對新形勢下我們所面臨的網(wǎng)絡(luò)安全問題和風(fēng)險(xiǎn)分析，結(jié)合本人實(shí)際工作經(jīng)驗(yàn)，提出了網(wǎng)絡(luò)風(fēng)險(xiǎn)隱患防范的解決思路和辦法，同時(shí)對網(wǎng)絡(luò)安全體系建設(shè)提出了建議。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 挑戰(zhàn)? ? ?戰(zhàn)略發(fā)展

一、貫徹落實(shí)國家網(wǎng)絡(luò)安全戰(zhàn)略發(fā)展的相關(guān)政策需要

網(wǎng)絡(luò)空間安全已經(jīng)與海、陸、空、天安全并列成為全球五大空間安全。我們貌似和平很久，但戰(zhàn)爭從未遠(yuǎn)離，只是形式不同，我們必須用作戰(zhàn)的視角看待網(wǎng)絡(luò)空間安全。

國家層面對網(wǎng)絡(luò)安全的重視程度也大大增強(qiáng)。2016年4月習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上指出：應(yīng)加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢。2016年10月習(xí)近平總書記再次強(qiáng)調(diào)實(shí)施網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略。2017年6月網(wǎng)絡(luò)安全法正式實(shí)施。2017年7月關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）中提出國家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度。2019年5月13日等保2.0發(fā)布。

“沒有網(wǎng)絡(luò)安全就沒有國家安全”，工業(yè)基礎(chǔ)設(shè)施、工業(yè)控制系統(tǒng)作為國家實(shí)施制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的重要保障，面臨嚴(yán)重威脅。近年來，隨著中國制造全面推進(jìn)，工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展，我國工控安全面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復(fù)雜多樣等新挑戰(zhàn)。隨著技術(shù)的發(fā)展，完全威脅也發(fā)生了很大變化，具有高隱蔽性、高目的性、高危害性特點(diǎn)。網(wǎng)絡(luò)攻擊自動化程度和速度提升，攻擊工具越來越復(fù)雜的，0day漏洞披露越來越快，傳統(tǒng)安全設(shè)備滲透率持續(xù)飆升，越來越不對稱的威脅，新型網(wǎng)絡(luò)場景安全事件逐漸增加，對基礎(chǔ)設(shè)施的威脅越來越大。

二、必須用作戰(zhàn)的思維對待網(wǎng)絡(luò)安全

網(wǎng)絡(luò)戰(zhàn)因成本低、效果好、烈度可控成為了戰(zhàn)爭首選，網(wǎng)絡(luò)戰(zhàn)本質(zhì)就是無論武器還是目標(biāo)都是網(wǎng)絡(luò)本身，以軟/硬件設(shè)備為武器，漏洞為彈藥，態(tài)勢感知平臺、情報(bào)作為指揮，安全服務(wù)則充當(dāng)人的角色，網(wǎng)絡(luò)戰(zhàn)已逐漸成為大國博弈的重要手段。

2015年12月烏克蘭電力遭遇黑客攻擊;2016年7月，希拉里“郵件門”事件;2017年5月12日全球遭遇勒索蠕蟲攻擊;2018年8月3日，臺積電三座十二吋晶圓廠生產(chǎn)線停擺。

2019年，日本制造企業(yè)Hoya感染挖礦病毒被迫停產(chǎn)三天，其中生產(chǎn)控制的主機(jī)服務(wù)器被病毒入侵后，導(dǎo)致用于管理工廠訂單和生產(chǎn)的軟件無法正常運(yùn)行，然后病毒繼續(xù)在工廠蔓延，感染了網(wǎng)絡(luò)中的100多個終端設(shè)備。

2020年5月以來，臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司（FPCC）遭受勒索軟件攻擊，導(dǎo)致用戶無法正常支付。網(wǎng)絡(luò)空間安全形式日益嚴(yán)峻。

越來越多樣化的網(wǎng)絡(luò)攻擊手法，網(wǎng)站篡改、勒索病毒、DDOS攻擊、網(wǎng)站釣魚攻擊、ART攻擊等，已經(jīng)嚴(yán)重影響到國計(jì)民生，層出不窮的網(wǎng)絡(luò)詐騙，網(wǎng)站入侵事件影響惡劣，信息泄露連續(xù)五年創(chuàng)歷史記錄，且不分行業(yè)與領(lǐng)域，成為全球科技始終無法避免的“自然災(zāi)害”。加密貨幣的空前爆發(fā)帶來的商業(yè)利益，吸引了大量的網(wǎng)絡(luò)攻擊。勒索軟件持續(xù)產(chǎn)生嚴(yán)重危害，走向常態(tài)化、長期化。拒絕服務(wù)攻擊的規(guī)模不斷放大，已經(jīng)出現(xiàn)萬兆級別的攻擊，各種攻擊手法層出不窮，在未來可以預(yù)見出現(xiàn)更大規(guī)模的攻擊。電子郵件欺詐帶來的損失史無前例，累計(jì)已達(dá)120億美元。

未來大國間科技競爭是常態(tài)，網(wǎng)絡(luò)戰(zhàn)也會是長期和常態(tài)，而網(wǎng)絡(luò)攻擊的背后往往是黑客組織甚至是網(wǎng)絡(luò)部隊(duì)，網(wǎng)絡(luò)戰(zhàn)從網(wǎng)絡(luò)空間向經(jīng)濟(jì)、社會、國防、外交等全域交織滲透，我國加強(qiáng)網(wǎng)絡(luò)戰(zhàn)應(yīng)對刻不容緩，一是我們需要轉(zhuǎn)變防御思想，建立“敵人在內(nèi)”的防御前提;二是加快建立國家級的網(wǎng)絡(luò)空間安全防護(hù)系統(tǒng);三是要常態(tài)化、制度化開展網(wǎng)絡(luò)攻防演練。

三、加強(qiáng)我國信息網(wǎng)絡(luò)安全，做好安全風(fēng)險(xiǎn)的防范

2020年以來，面對突如其來并且持續(xù)的新冠肺炎疫情，互聯(lián)網(wǎng)對打贏疫情防控阻擊戰(zhàn)起到關(guān)鍵作用。疫情期間，自國家推出“防疫健康碼”以來，累計(jì)使用次數(shù)已超過400億人次，使得全國絕大部分地區(qū)實(shí)現(xiàn)了“一碼通行”，大數(shù)據(jù)在疫情防控和復(fù)工復(fù)產(chǎn)中作用越來越明顯。據(jù)第47次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告截止2020年12月底，我國網(wǎng)民規(guī)模接近10億，其中，農(nóng)村網(wǎng)民規(guī)模為3.09億，農(nóng)村地區(qū)互聯(lián)網(wǎng)普及率為55.9%，網(wǎng)絡(luò)扶貧成效顯著。在線交易，在線支付，在線服務(wù)水平全球領(lǐng)先。

面對嚴(yán)峻的形勢，做好安全風(fēng)險(xiǎn)的防范是必不可少的。安全風(fēng)險(xiǎn)是指網(wǎng)絡(luò)設(shè)計(jì)、應(yīng)用軟件、硬件設(shè)施在設(shè)計(jì)上存在的缺陷或管理員安全運(yùn)維不規(guī)范或日常操作不當(dāng)引入新的安全隱患，這些缺陷或隱患被不法分子利用，通過網(wǎng)絡(luò)植入木馬、病毒、冒充“合法身份”等方式來攻擊或控制服務(wù)器，竊取服務(wù)器中的重要數(shù)據(jù)對系統(tǒng)造成不可挽回的破壞。常見的安全風(fēng)險(xiǎn)包括軟硬件漏洞、第三方信任風(fēng)險(xiǎn)、網(wǎng)絡(luò)結(jié)構(gòu)性缺陷、安全管理風(fēng)險(xiǎn)、設(shè)備配置風(fēng)險(xiǎn)等。

面對這些復(fù)雜的網(wǎng)絡(luò)安全問題，僅通過部署防火墻、入侵防御、防病毒等安全產(chǎn)品是不能很好解決的，還需要結(jié)合合適的安全體系和并要考慮合適的安全產(chǎn)品（安全技術(shù)）的組合，使用人、組織按約定的安全流程（安全管理）規(guī)范操作，才盡可能少引入安全漏洞或隱患，減少安全事件發(fā)生。

3.1 加強(qiáng)國產(chǎn)網(wǎng)信關(guān)鍵核心技術(shù)

以美國為首的發(fā)達(dá)國家在信息化領(lǐng)域核心軟硬件技術(shù)方面擁有壟斷地位，使得我們國家常受制于人，實(shí)體名單、軟硬件限購等 “卡脖子”事件屢見不鮮，我國的網(wǎng)絡(luò)安全面臨前所未有的挑戰(zhàn)。我們必須加快推進(jìn)自主創(chuàng)新，構(gòu)建安全可控的國產(chǎn)技術(shù)體系，才能避免受制于人，為網(wǎng)絡(luò)安全和國家利益提供有力保障。對國家重點(diǎn)需求相關(guān)的關(guān)鍵核心技術(shù)中的重大科學(xué)問題給予長期支持，尤其是支持芯片、操作系統(tǒng)等重大領(lǐng)域的自主研發(fā)，推動關(guān)鍵核心技術(shù)取得突破。

3.2 提高公民的網(wǎng)絡(luò)安全意識

著移動互聯(lián)網(wǎng)的快速發(fā)展，我國使用手機(jī)的網(wǎng)民數(shù)量極速增加，截至2021年6月我國手機(jī)網(wǎng)民規(guī)模已超過10億，這也導(dǎo)致中國大部分公民都直接面對網(wǎng)絡(luò)安全方面的威脅。如果互聯(lián)網(wǎng)用戶都能夠重視網(wǎng)絡(luò)安全、信息安全，提高網(wǎng)絡(luò)安全保護(hù)意識，那樣國家的網(wǎng)絡(luò)安全才有基礎(chǔ)，才能保障國家的網(wǎng)絡(luò)安全。因此，不僅政府部門要大力宣傳、各級單位要組織學(xué)習(xí)，同時(shí)公民對網(wǎng)絡(luò)安全方面認(rèn)識要不斷加強(qiáng)提升、具備良好的網(wǎng)絡(luò)安全意識，進(jìn)而提升公民對網(wǎng)絡(luò)犯罪行為、網(wǎng)絡(luò)不良信息等識別判斷能力，把我國的信息網(wǎng)絡(luò)安全提升到更高的層次。

當(dāng)前我國網(wǎng)絡(luò)信息安全相關(guān)人才還存在很大缺口，相關(guān)人才培養(yǎng)的數(shù)量遠(yuǎn)遠(yuǎn)滿足不了社會需求，目前每年網(wǎng)絡(luò)安全學(xué)歷人員數(shù)量不足1.5萬，已培養(yǎng)的信息安全專業(yè)人才總量不足10萬，目前人才缺口仍有140萬。人才問題已經(jīng)成為當(dāng)前制約網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的主要瓶頸。因此要加大相關(guān)人才的培養(yǎng)力度， 彌補(bǔ)相關(guān)人才的缺口，構(gòu)建完備的網(wǎng)絡(luò)信息安全人才培養(yǎng)體系。

3.3 發(fā)現(xiàn)安全風(fēng)險(xiǎn)做好風(fēng)險(xiǎn)評估

隨著2020年5月13日網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布，很多單位也開始紛紛注意到國家對于網(wǎng)絡(luò)安全保護(hù)的重視。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估分析，一般包括資產(chǎn)識別、脆弱性識別和威脅識別。

通過資產(chǎn)識別、脆弱性識別和威脅識別得出安全現(xiàn)狀分析，得出相關(guān)評估結(jié)果，然后通過物理環(huán)境評估、系統(tǒng)網(wǎng)絡(luò)評估、主機(jī)系統(tǒng)評估、應(yīng)用系統(tǒng)評估、數(shù)據(jù)安全備份及恢復(fù)評估等內(nèi)容，并進(jìn)行關(guān)聯(lián)分析。

網(wǎng)絡(luò)安全是整體的而不是割裂的，網(wǎng)絡(luò)安全是動態(tài)的而不是靜態(tài)的，網(wǎng)絡(luò)安全是開放的而不是封閉的，網(wǎng)絡(luò)安全是相對的而不是絕對的，網(wǎng)絡(luò)安全是共同的而不是孤立的。脆弱性永遠(yuǎn)存在，突破防御只是時(shí)間問題，脆弱性安全相對被動，結(jié)構(gòu)性安全防患于未然。動態(tài)的結(jié)構(gòu)化安全防護(hù)需要持續(xù)的專業(yè)安全服務(wù)做支撐。

3.4 做好安全加固應(yīng)對運(yùn)維風(fēng)險(xiǎn)

根據(jù)筆者多年在信息中心的工作經(jīng)驗(yàn)，在軟硬件系統(tǒng)日常運(yùn)維中也存在巨大的風(fēng)險(xiǎn)。運(yùn)維過程中要有安全策略的制定或核查制度，避免由于安全配置不合理或不完整、系統(tǒng)安全配置變更不及時(shí)帶來的風(fēng)險(xiǎn)。

因此運(yùn)維人員要定期對系統(tǒng)進(jìn)行安全基線核查，查找操作系統(tǒng)層面的安全配置隱患、安全配置風(fēng)險(xiǎn)，完成后給出詳細(xì)的安全基線核查報(bào)告，根據(jù)報(bào)告中的修復(fù)建議進(jìn)行整改。基線核查的內(nèi)容主要是安全配置檢測，包括但不限于賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映對系統(tǒng)自身的安全脆弱性評估。網(wǎng)絡(luò)管理員或系統(tǒng)用戶日常工作中沒有落實(shí)安全管理組織的建設(shè)或安全管理制度的執(zhí)行等，從而引入的安全管理風(fēng)險(xiǎn)，比如安全意識不到位，隨意使用安全性未知移動介質(zhì)，隨意瀏覽、下載安全性未知的文件，被人利用社工攻擊泄露敏感信息等。

嚴(yán)控第三方和已方人員對敏感數(shù)據(jù)或敏感服務(wù)器的非常操作，部署數(shù)據(jù)庫審計(jì)、堡壘機(jī)（運(yùn)維審計(jì)），杜絕或限定敏感業(yè)務(wù)數(shù)據(jù)或服務(wù)器的非常訪問，做到所有業(yè)務(wù)操作有據(jù)可查，事后可追溯，減少第三方人員非正常操作造成的數(shù)據(jù)泄露，甚至竊取販賣。

發(fā)現(xiàn)問題之后更重要的是如何解決這些問題，為了更好地抵御可能的漏洞攻擊風(fēng)險(xiǎn)，建議從以下方面進(jìn)行安全加固。

安全能力規(guī)劃：系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維，全程同步考慮信息安全能力建設(shè)和能力提升。

代碼安全開發(fā)：組織安全工發(fā)培訓(xùn)，制定安全開發(fā)規(guī)范，提高代碼開發(fā)安全質(zhì)量。

勤打漏洞補(bǔ)丁：訂閱權(quán)威機(jī)構(gòu)的安全資訊，重點(diǎn)關(guān)注涉及的軟件/組件/框架的漏洞預(yù)警通告，及時(shí)根據(jù)提示做好緩解措施。

部署安全設(shè)備：部署必要的檢測、防御設(shè)備，如防火墻、IPS、IDS、應(yīng)用防火墻、EDR、殺毒軟件、APT等。

設(shè)備與管理平臺自身安全：及時(shí)更新版本、特征庫升級、補(bǔ)丁更新。

3.5 關(guān)口前移

“關(guān)口前移”是對落實(shí)網(wǎng)絡(luò)安全防護(hù)的方法提出的重要要求，落實(shí)“關(guān)口前移”，就是要將安全防護(hù)能力更加靠近問題的本源。

實(shí)現(xiàn)安全防護(hù)“關(guān)口前移，防患于未然”，關(guān)鍵要做到安全能力“點(diǎn)”、“線”、“面”的結(jié)合：

一是能在前端源頭的“點(diǎn)”解決的問題，盡量不放到后端，貼近問題本源，不同層次的安全解決不同隱患，縮短安全防護(hù)的響應(yīng)時(shí)間，拉開安全防護(hù)的空間縱深。

二是結(jié)合用戶業(yè)務(wù)鏈的整體戰(zhàn)略發(fā)展視角的“線”，對攻擊鏈與防護(hù)鏈進(jìn)行綜合分析，確保防御能力與實(shí)際情況緊密結(jié)合。

三是需要從網(wǎng)絡(luò)與信息安全的頂層規(guī)劃與建設(shè)的“面”入手，在網(wǎng)絡(luò)規(guī)劃建設(shè)的早期階段就落實(shí)好將安全防護(hù)，并將專業(yè)安全服務(wù)、網(wǎng)絡(luò)安全態(tài)勢感知等主動防護(hù)機(jī)制融入網(wǎng)絡(luò)安全建設(shè)中，從而實(shí)現(xiàn)“關(guān)口前移，防患于未然”。

3.6 體系化的防御

網(wǎng)絡(luò)空間安全產(chǎn)業(yè)所面臨的挑戰(zhàn)，需要以體系化的防御應(yīng)對體系化的攻擊。具體措施有：加強(qiáng)網(wǎng)絡(luò)安全防范、終端安全加固，減少危險(xiǎn)上網(wǎng)，做好數(shù)據(jù)備份，關(guān)閉高危端口和加強(qiáng)安全監(jiān)測等。

以“動態(tài)防御，主動防御，縱深防御，精準(zhǔn)防護(hù)，整體防護(hù)，聯(lián)防聯(lián)控”為新舉措，構(gòu)建網(wǎng)絡(luò)安全綜合防控系統(tǒng)，深入推進(jìn)等保和關(guān)保的積極實(shí)踐。

參? 考? 文? 獻(xiàn)

[1] 李慎之，豐詩朵，路鵬，方穎.新形勢下，態(tài)勢感知面臨的挑戰(zhàn)及應(yīng)對研究[J].通信世界，2021（08）：20-22.

[2] 肖晨卉.信息時(shí)代“突發(fā)性網(wǎng)絡(luò)攻擊”的安全挑戰(zhàn)與應(yīng)對[J].情報(bào)雜志，2021，40（07）：74-79.