楊海
(國家計算機網絡應急技術處理協(xié)調中心貴州分中心,貴州貴陽 550001)
當前,網絡安全問題已深入影響著經濟社會發(fā)展、人民生產生活,成為影響國家安全的重要問題之一,是當今世界各國均面臨的重大問題和風險挑戰(zhàn)。我國對網絡安全問題高度重視,已出臺相關一系列的法律法規(guī)和政策文件,加強對網絡安全問題的監(jiān)督和管理。然而,網絡攻擊事件依然時有發(fā)生,尤其是針對政府機關、金融機構、重要基礎設施等重點目標的攻擊,給國家安全穩(wěn)定帶來了不小的威脅,網絡安全應急管理工作面臨巨大挑戰(zhàn)。作為網絡安全應急管理工作的重要組成部分,網絡安全應急管理科技支撐體系建設與適應當前網絡安全應急管理的發(fā)展需求還有一定的差距。
近些年,我國的網絡安全應急管理科技支撐建設已經取得了長足的進展,《網絡安全法》專章對監(jiān)測預警與應急處置提出了明確要求,《國家網絡空間安全戰(zhàn)略》明確了對完善網絡安全監(jiān)測預警和網絡安全重大事件應急處置機制的要求,《網絡空間國際合作戰(zhàn)略》也提出要推動加強各國在預警防范、應急響應、技術創(chuàng)新、標準規(guī)范、信息共享等方面合作[1]。將網絡安全應急響應能力建設提升到了新的高度。
在關鍵性技術研究方面,我國一直致力于網絡安全的研究和技術攻關。例如,已經研發(fā)出了一些核心技術,如面向高速網絡的入侵檢測、攻擊防御系統(tǒng)和基于大數據的網絡安全威脅情報分析平臺等,這些技術都可以用于應對網絡安全事件的應急處理。此外,我國還積極推進新一代網絡技術的研究和發(fā)展,比如IPv6、5G、物聯(lián)網等,這些新技術也可以為網絡安全應急管理提供更好的支撐。
在政策法規(guī)制定方面,《網絡安全法》第二章“網絡安全支持與促進”中規(guī)定,國家建立和完善網絡安全標準體系,扶持重點網絡安全技術產業(yè)和項目,支持網絡安全技術的研究與應用,鼓勵有關企業(yè)、機構開展網絡安全認證、檢測和風險評估等安全服務,支持網絡安全相關教育與培訓等。通過法律的規(guī)定和要求,促進了網絡安全技術的研究與應用,為健全網絡安全應急管理科技支撐體系提供了法律保障和政策支持。
在應急隊伍建設方面,近年來,國家計算機網絡應急技術處理協(xié)調中心成功處置爆發(fā)的wannacry 勒索軟件病毒、重要單位DDoS 攻擊事件,及時做好網絡安全預警工作,發(fā)布如“魔盜”竊密木馬、Mirai 變種Miori 僵尸網絡、Fodcha 僵尸網絡、BlackMoon 僵尸網絡等大規(guī)模傳播的風險,以及各類重要信息漏洞風險,反映出我國擁有的應急隊伍已經在應對突發(fā)網絡安全事件中發(fā)揮了重要作用[2]。
在標準規(guī)范制定方面,全國信息安全標準化技術委員會(TC260)積極組織開展應急響應相關標準制定工作,發(fā)布了《信息安全事件管理第一部分:事件管理原理》(GB/T 20985.1-2017)、《信息安全應急響應計劃規(guī)范》(GB/T 24363-2009)、《信息系統(tǒng)災難恢復規(guī)范》(GB/T 20988-2007)等標準。國家計算機網絡應急技術處理協(xié)調中心主導或參與制定了如《網絡安全事件描述和交換格式》《信息安全漏洞管理規(guī)范》《安全漏洞分類》《網絡與信息安全應急處理服務資質評估方法》《網絡安全應急處理小組建設指南》等多項國標和行標[3]。這些標準的制定和發(fā)布為我國開展網絡安全事件應急處置工作夯實了基礎,為提高網絡安全應急處置的能力水平發(fā)揮著重要作用。
隨著移動互聯(lián)網、工業(yè)控制系統(tǒng)、人工智能、云計算、大數據、物聯(lián)網等新應用新技術的普遍應用,以及在網絡空間領域國際競爭的愈發(fā)激烈,產生了許多新型網絡安全問題,如何適應網絡安全事件的發(fā)展,做好網絡安全應急管理科技支撐體系建設,需要應對以下新問題。
近年來,以不斷演變、變種的勒索病毒為例的新型網絡安全事件不斷出現,已成為目前最活躍、影響最直接的安全威脅。網絡黑客往往可以直接利用網絡上曝出的“武器庫”等專業(yè)整合類工具,大大降低了網絡攻擊的門檻,不僅可以從互聯(lián)網端直接使用工具攻破系統(tǒng),甚至可以采用“跳板”攻擊至業(yè)務網、內網等多類網絡環(huán)境造成嚴重危害。同時,新一代技術的快速演進,如5G、區(qū)塊鏈、IPv6等新技術廣泛運用于車聯(lián)網、物聯(lián)網等領域,人工智能領域的快速興起發(fā)展,如通過ChatGPT 可以更加自動化地編寫病毒、木馬程序,更加隱蔽地植入惡意代碼等。面對這樣的新常態(tài),已出現傳統(tǒng)網絡安全應急經驗跟不上新技術發(fā)展的情況,相應的網絡安全應急管理科技支撐建設也面臨同樣的問題。
網絡安全應急工作的重點任務之一是發(fā)現和修補系統(tǒng)平臺的安全漏洞。當一個漏洞被公開后,漏洞的補丁研發(fā)者和攻擊工具的研發(fā)者需要與時間“賽跑”,很多漏洞的攻擊利用工具會先于或同步于補丁研發(fā)出來。據國外安全服務機構rapid7公司《2021年度漏洞情報報告》指出,黑客在2021 年利用軟件漏洞的速度要快得多,平均利用時間從2020 年的42 天減少到現在的12 天,黑客組織利用漏洞時間減少了71%。主要原因一方面是安全漏洞的數量不斷增多,補天漏洞響應平臺發(fā)布的《2022年補天漏洞響應平臺年度分析報告》顯示,2022年全年,補天平臺共收錄白帽子報告的全國各類網站安全漏洞約16.8 萬個,較2021 年的14.6 萬個增長約15%。另一方面是利用漏洞進行攻擊的獲利性更高,近年來遭受攻擊的案例中,常見的有勒索病毒軟件、釣魚木馬等事件,具有較高的非法牟利價值。
一是攻擊手段更加多樣化。隨著網絡攻擊技術的不斷發(fā)展,攻擊手段變得越來越多樣化。從最初的簡單的病毒攻擊、DDoS 攻擊,到現在的APT 攻擊、0day 漏洞攻擊等,攻擊手段越來越復雜,難以通過傳統(tǒng)的防御技術進行防范[4]。二是靶向性更強。網絡攻擊者的攻擊目標越來越明確,攻擊更加有針對性。攻擊者不再是隨意地攻擊某個組織或個人,而是對目標進行全面?zhèn)刹楹头治?,精準地選擇攻擊目標,攻擊效果更加顯著。三是可持續(xù)性更高。網絡攻擊者可以利用僵尸網絡、后門程序等技術實現攻擊的持續(xù)性,對目標進行長期攻擊,獲取目標網絡的更多信息,并利用目標網絡實施更大規(guī)模的攻擊。四是隱蔽性更強。攻擊者在攻擊時更注重隱蔽性,往往使用一些隱蔽的攻擊手段,如植入木馬程序、修改日志記錄等,以避免被發(fā)現。這使得網絡安全應急管理的任務變得更加困難,需要更加高效的技術手段來識別和防范攻擊。五是影響范圍更廣。網絡攻擊的影響范圍也越來越廣泛,不再局限于單個組織或個人,而是可以跨越國界和地域。
關鍵信息基礎設施是保障人民生活生產、經濟社會發(fā)展甚至國家安全的重要基礎設施。通常具有的有以下幾個方面顯著特點。從包含數據的方面來說,涉及數據量大、數據種類多、涉及人群多等;從使用的技術方面來說,其信息化水平高、使用技術多、網絡拓撲結構和服務器節(jié)點復雜等;從遭受攻擊造成后果的方面來說,影響范圍廣、造成損失重、敏感性高、社會關注度大等。如:伊朗的核電站曾遭受“震網”病毒攻擊,影響了核電站幾年的正常工作運行;波蘭的羅茲市發(fā)生過因遭到網絡攻擊,導致有軌電車系統(tǒng)被控制,發(fā)生人員受傷、列車脫軌的事件;美國科洛尼爾管道運輸公司油管道系統(tǒng)被植入勒索病毒,不得已暫停服務,導致部分地區(qū)汽油、柴油等燃料供應受到影響,并使美國宣布進入緊急狀態(tài)。許多案例表明,關鍵信息基礎設施已成為網絡攻擊的重點,一旦遭到攻擊,不僅影響面廣,而且破壞程度大,導致網絡安全應急工作更加困難。
一是重要性認識不足。建設和完善網絡安全應急管理科技支撐體系是應對網絡空間威脅的重要保障,部分單位和主要負責人對這項工作的重要性認識不足,沒有將體系建設上升到戰(zhàn)略認識的高度上。主體責任意識不強,存在一定的僥幸心理,缺乏對網絡安全應急工作的危機意識,對完善科技支撐體系建設,提高網絡安全應急能力,遏制和防范重大網絡安全事件發(fā)生的積極性不高。二是專業(yè)隊伍建設不足。網絡安全領域專業(yè)隊伍的建設和配備存在不足,一些單位沒有配備專職人員,有的雖然配置了專職人員,但技術力量有限,不能深入發(fā)現其他網絡安全風險隱患,導致網絡安全事件接連發(fā)生。安全服務大多依賴第三方服務機構,缺乏獨立、自主的專業(yè)能力。三是政策法規(guī)配套細則還不夠完善。目前,我國在網絡安全應急管理領域法律法規(guī)的配套細則尚需完善,同時因網絡安全領域技術和威脅變化迅速,配套政策法規(guī)的制定和完善往往落后于實際需求,這就給科技支撐體系建設帶來了困難和挑戰(zhàn)。四是資源分配不合理。一些經濟欠發(fā)達地區(qū)或者一些基礎設施建設不完善的地區(qū),往往缺乏相關的網絡安全基礎設施和專業(yè)人才,難以滿足網絡安全應急管理科技支撐體系建設的需要。一些地區(qū)雖然具備資源條件,但不同程度的存在“重發(fā)展、輕安全”思維,將網絡安全工作地投入放在次要位置,導致網絡安全應急管理科技支撐體系建設滯后。
圍繞應對當前網絡安全應急管理工作所面臨的新形勢和新挑戰(zhàn),以應急管理理論為指導,結合應急管理事前、事發(fā)、事中、事后四個階段的不同任務內容,在分析存在問題及原因的基礎上,對加強網絡安全應急管理科技支撐體系建設提出以下五個方面的對策建議。
一是加強網絡安全應急管理科技理論研究。要構建完善的理論框架,深入研究網絡安全威脅和漏洞,探索網絡安全應急管理技術體系,加強網絡安全應急管理標準化研究,推動國際標準和國家標準的協(xié)調和統(tǒng)一。二是加強網絡安全應急管理專業(yè)技術人才隊伍建設。建立多元化的人才選拔機制,建立完善的培訓機制和體系,營造良好的工作氛圍和發(fā)展環(huán)境,推動行業(yè)和學界合作,實現人才資源共享和優(yōu)勢互補。三是加強網絡安全應急管理科技核心技術攻關。制定網絡安全應急管理科技核心技術攻關計劃,加強網絡安全應急管理的本質、原理、方法和手段的基礎研究,實現網絡安全科技自主可控,促進技術成果向實際應用落地。
一是加強網絡安全應急管理綜合保障能力建設。掌握網絡資產底數,了解網絡中所有的設備和軟件以及這些設備和軟件的所有信息,包括類型、名稱、數量、用途、IP 地址、操作系統(tǒng)、配置文件等??纱罱ňW絡安全演練綜合平臺,檢驗網絡安全防御和應急響應的有效性和可靠性,發(fā)現存在的薄弱環(huán)節(jié)并及時修復。建立安全培訓與教育機制,培養(yǎng)干部職工的安全意識和安全素養(yǎng),減少安全風險的出現。建立安全技術資料庫,進一步提升團隊整體的技術水平。二是加強網絡安全風險評估能力建設。建立適用的風險評估方法和模型,通過采用定量分析、定性分析、威脅建模等方法,構建可用于不同類型網絡安全風險的評估模型。加強風險情報收集和分析能力,通過建立與安全情報相關的內外部信息交換機制,建立風險情報分析系統(tǒng),加強風險隱患的發(fā)現能力。加強數據分析和應用能力,借助人工智能等技術手段,對安全風險隱患數據進行分析,提高數據的價值和應用效果。加強安全風險應對方案制定,針對不同類型的網絡安全風險,制定相應的應對方案,提高網絡安全風險的應對能力水平[5]。
一是加強網絡安全監(jiān)測預警系統(tǒng)建設。運用先進的技術手段。如運用大數據、人工智能等對網絡安全事件進行實時監(jiān)測和分析,發(fā)現網絡安全威脅的趨勢和特點,提高網絡安全事件的預測準確性和預警及時性。要建立完善的數據源,健全包括網絡日志、入侵檢測、安全設備等多個方面的數據來源渠道,綜合考慮數據的來源渠道、數據的精準度、數據的實時性等因素,確保獲取的數據能夠提供有效的支持。要做好系統(tǒng)集成和部署,強化系統(tǒng)的可靠性、穩(wěn)定性、安全性,提升系統(tǒng)的擴展性和兼容性,確保系統(tǒng)能夠穩(wěn)定運行。要實現數據可視化,提高對網絡安全事件的認識和理解,為管理決策提供直觀的數據支撐。二是完善網絡安全事件預警的信息報告與發(fā)布體系。加強信息收集與整合,包括對網絡安全事件的相關數據、信息、資料等進行收集和整合,確保信息的真實性、準確性和完整性。加強信息研判與分析,分析得出網絡安全事件的發(fā)生趨勢和規(guī)律,進而預測和預警網絡安全事件的發(fā)生發(fā)展。加強信息報告與發(fā)布,依據信息的緊急程度和重要性,確定信息報告的發(fā)布途徑和方式。要加強信息驗證與反饋,核實信息來源,多個渠道印證,如果驗證后發(fā)現信息不實要及時予以糾正,避免因信息錯誤而導致的不必要的損失。加強信息存儲與管理,保障數據的安全性和可靠性,確保信息不被泄露或丟失。
一是構建網絡安全突發(fā)事件應急指揮平臺。應急指揮平臺應該具備靈活的響應能力,能夠根據不同的突發(fā)事件類型和程度,自適應調整應急響應方案和處理方法。應具備可靠性,包括可靠的通信網絡、數據傳輸、系統(tǒng)存儲和備份等,以保證指揮決策和處置工作的順利進行。應具備高效性,包括快速的信息處理和分析、高效的指揮決策和響應、快速的處置能力等,以最大程度地降低損失和影響。應具備設計合理的指揮組織結構和決策處置流程,要明確主體工作內容和責任邊界,提高應急響應和處置工作的效率。二是加強決策指揮人才和專家隊伍建設。要加強決策指揮人員的實踐經驗積累,包括在實際網絡安全應急決策和處置工作中、應急演練中,加強對決策指揮人員的指導和培訓,增加知識和技能儲備,提高決策指揮人員和專家隊伍在緊急情況下的協(xié)同配合能力。三是加強網絡安全應急技術支撐隊伍建設。建立完善的網絡安全應急管理體系、明確網絡安全應急技術支撐隊伍的職責和任務、劃定工作范圍、規(guī)范工作程序等,提高網絡安全應急技術支撐隊伍的協(xié)同配合能力和工作效率,以更加高效的方式處理網絡安全突發(fā)事件。建立完善的技術裝備和資源保障,確保網絡安全應急技術支撐隊伍能夠在應急響應過程中有效運作。
一是加強網絡安全受災損失快速評估和恢復科技指導。要加強網絡安全受災損失快速評估的理論研究,建立網絡安全恢復指南和標準,加強網絡安全受災損失快速評估和恢復科技指導隊伍的建設,為涉事單位在網絡安全受災損失快速評估和恢復過程中提供技術指導和支持。二是加強網絡安全攻擊溯源和結果分析。運用攻擊溯源技術,提高網絡安全攻擊的檢測和追蹤能力,對網絡攻擊的來源和原因進行深入分析,為事后的安全事件調查提供重要的線索和證據。通過分析網絡攻擊的整體過程,及時發(fā)現和堵塞安全風險漏洞,調整安全技術策略和安全管理措施,增強信息系統(tǒng)的安全防御能力,提升防護的整體水平。
網絡安全應急管理科技支撐體系建設是一項綜合性、長期性的工作,體系化建設不僅需要在體制、機制、法治建設協(xié)同發(fā)力,還需要運用科學技術圍繞事件應急的各階段開展支撐,本文所提建議和應對策略,希望能夠為科學指導網絡安全應急管理科技支撐體系建設提供參考。