近期網絡安全態勢及網絡安全防護理念研究

◆柯一川

（福建省泉州市疾病預防控制中心 福建 362000）

近期網絡安全態勢及網絡安全防護理念研究

◆柯一川

（福建省泉州市疾病預防控制中心 福建 362000）

網絡安全事件的發生造成了政治、經濟、社會的巨大影響，給人們的生產、生活造成重大損失，網絡安全關系到每個人的日常生活，也引起了社會的廣泛關注。如何在事前建立網絡安全態勢預知、事中對網絡安全進行持續監測和有效防御、事后檢測安全事件并快速響應，這是一個當前亟待解決的重要課題。

網絡安全；態勢；防護

0 前言

隨著社會的發展，科技的進步，人類的生產生活方式發生了之前難以想象的改變。微信的廣泛應用改變了人們的通訊方式，智能手機的普及和各種應用軟件的開發使得人們對互聯網的依賴更為緊密了。購物用淘寶、上京東，吃飯叫外賣、手機訂餐，共享租房、共享單車，手機訂票等等。只要有一部能上網的手機，衣、食、住、行都能解決，連錢包都不用帶了。但任何事物都有兩面性，互聯網的應用在給人們帶來方便的同時，也隱藏著巨大的安全風險。我國更是在互聯網應用上取得了飛速的發展，甚至很多應用只有在中國才得到了廣泛的接受，我們走在世界的前面。在這種情況下，我國的網絡安全形勢也就更為嚴峻了。

網絡安全事件的發生造成了政治、經濟、社會的巨大影響，給人們的生產、生活造成重大損失，網絡安全關系到每個人的日常生活，也引起了社會的廣泛關注。

1 近期我國互聯網網絡安全形勢的特點

1.1 欺詐勒索軟件在互聯網上肆虐

移動互聯網惡意程序數量持續高速上漲且具有明顯趨利性。比如在2017年5月12日大面積爆發的勒索病毒，它影響遍及全球100多個國家，超10萬臺機器。英國醫療系統、俄羅斯電信公司甚至是國內的中石油公司都已成為受害者，清華北大等知名高校、多家能源企業、政府機構也頻頻中招，甚至被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。其實這款病毒來頭很大，源頭竟來自美國國家安全局使用的部分攻擊工具，其中包含了微軟操作系統的一個漏洞（代號是永恒之藍），原本的準軍方武器，落入了黑色產業鏈的手上，并把它制作成為勒索病毒。“沒有網絡安全，就沒有國家安全”，以互聯網為核心的網絡空間已成為繼陸、海、空、天之后的第五大戰略空間。我們國家應該盡快開發并使用自主的操作系統，核心技術受制于人始終是最大的安全隱患。那些美國國家安全局的攻擊工具并沒有全部露出水面，隨時可能爆發象WannaCry這樣的病毒。

1.2 高級持續性威脅常態化，我國面臨的攻擊威脅尤為嚴重

據國家互聯網應急中心（簡稱“CNCERT”）監測發現，2015年我國境內近2.5萬個網站被篡改，其中被篡改的政府網站有898個。從網頁篡改的方式來看，我國被植入暗鏈的網站占全部被篡改網站的比例高達83%。

1.3 網站數據和個人信息泄露帶來的危害不斷擴大

大量用戶個人信息被竊取，發生了多起利用個人信息實施的精準網絡詐騙。連在網絡安全技術最為發達的美國，也發生了個人信息被黑客竊取的安全事件。美國征信公司伊奎法克斯9月7日發布聲明說，由于此前公司文件遭遇非授權訪問，約有 1.43億美國消費者信息或已泄露。聲明說，遭到非授權訪問的個人信息包括客戶姓名、生日、地址、社會安全號、駕駛證號等。個人數據的泄露途徑可以是直接遭受黑客攻擊、也可能是因為可信任網站數據泄露，以及個人數據使用不當等。網絡安全已經關系到每個人的切身利益，也直接影響到我們的生活，相信大家都接收到過許多垃圾短信，垃圾郵件，騷擾電話等，個人信息在當前的互聯網絡上有被黑的極大風險，泄密仿佛不可避免。

1.4 針對工業控制系統的網絡安全攻擊日益增多，多起重要工控系統安全事件應引起重視

2017年歐美百座電站遭到“蜻蜓”等黑客攻擊，烏克蘭2015和2016年電網都曾被黑客攻擊導致停電。

1.5 大量聯網智能設備遭惡意程序攻擊形成僵尸網絡

DDoS（Distributed Denial of Service）即分布式拒絕服務攻擊，指借助于客戶/服務器技術，將多個計算機（智能設備）聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，造成合法用戶無法對網絡資源的正常訪問。拒絕服務攻擊問題一直找不到太好的解決方法，因為這是由于網絡協議本身的安全缺陷造成的，阻止拒絕服務攻擊需要防護一方耗用大量的帶寬及大量資源對攻擊方進行清洗，而攻擊一方利用各種被控制的智能設備，成本很低。拒絕服務攻擊成為了攻擊者的終極手法。

2 新形勢下網絡安全防護措施

隨著網絡的發展，數字化程度不斷加深，傳統的防火墻、防病毒、入侵檢測等被動片面的安全防護機制，已無法應對新形勢下網絡攻擊威脅多樣化、復雜化、綜合化的安全狀況。而應該采取事前預知、事中防御、事后檢測并響應的綜合的網絡安全防護措施。

2.1 事前預知

現有的安全研究集中在使用基于機器學習的多種主動防御機制來保護系統/組織免受這類威脅。然而由于現有主動防御機制的本質依舊是檢測存在的攻擊威脅，因此即便報警采取應急措施，實際的損失也已經不可避免。因此如果能應用大數據分析的技術，對由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個當前網絡狀態和變化趨勢進行分析，就有可能在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示并預測出未來的趨勢。基于安全態勢的網絡安全事件預測方法，能夠從網絡外部的可觀測信息，對可能發生的網絡安全事件進行預測。

2.2 事中防御

IT業務變得越來越復雜，系統的安全邊界也變得模糊起來。信息時代黑客技術的發展可以說是日新月異，黑客高手云集。對一個系統來說，出現漏洞是不可避免的。業務越復雜，也就使得網絡攻擊方式越復雜、越隱蔽，攻擊的手段隨著黑客技術的發展也變得越來越高明。網絡應用越來越廣泛，可攻擊目標也就越來越多。這使得傳統的靜態防御變得失效了。傳統的防御主要是設置網絡防火墻，監測端口和流量、設置防病毒、入侵檢測系統等方法。以隔離內部網絡和外部網絡為基礎，通過監測IP及端口、用戶安全認證等方式進行防護，入侵檢測也主要是基于靜態網絡特征的攻擊防護手段。這種基于信任原則構建的安全框架，已無法對繞過防御的黑客攻擊進行事中監控了。當前的網絡安全監測應該是持續監測。如果說防火墻和入侵檢測系統等產品和服務可以通過隔離的手段減少被攻擊面、提升攻擊門檻、攔截攻擊動作，那持續監測則是發現那些逃過網絡防御設備的“漏網之魚”，持續監測可以時時假設系統處于被攻擊狀態，主動檢測潛在的威脅，減少可能的損失。但這也意味著在事中防御的投資上，應該大大提高持續監測能力的投資比例。

2.3 事后檢測并響應

威脅被監測分析出來后，做好事件應急處置以增強自身運營安全和威脅應對處置能力非常有必要。漏洞越及時被發現，被利用的可能性也就更小，世界上不存在不可能被黑的系統，快速響應可以使損失減小到最小。

網絡安全事件應急響應應該要按照事先制定好的安全計劃，進行系統備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。事后的響應可能發現事前計劃的不足，從而進一步完善安全計劃。對于網絡安全應急響應的目前狀況及存在的問題，現在還沒有非常有針對性的網絡安全應急響應工具，在發生網絡入侵、病毒爆發、現有網絡安全防御體系被突破、防毒軟件被病毒所劫殺或對病毒不作為時，這種工具可以即時實施遠程或本地網絡連接，完成阻擊入侵、查殺病毒、恢復系統的任務。網絡安全事后檢測并響應的目標仍然任重而道遠。

3 結語

如何在事前建立網絡安全態勢預知、事中對網絡安全進行待續監測和有效防御、事后檢測安全事件并快速響應，這是一個當前亟待解決的重要課題。互聯網應用以令人難以想象的速度發展，網絡安全已經影響了每個人的生活。重視網絡安全，提高網絡安全意識，更新網絡安全理念，只是我們邁出的第一步。