中國社會(huì)團(tuán)體信息化建設(shè)網(wǎng)絡(luò)安全問題研究綜述

黃子祥

摘 要：光陰似箭，互聯(lián)網(wǎng)極大程度地推動(dòng)了社會(huì)進(jìn)步，信息革命發(fā)展浪潮我們每個(gè)人身處其中，感同身受。現(xiàn)今網(wǎng)絡(luò)安全作為與大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能同級(jí)別的課題受到了IT業(yè)界前所未有的關(guān)注。本文對(duì)網(wǎng)絡(luò)安全問題進(jìn)行了相關(guān)的文獻(xiàn)調(diào)研，并結(jié)合本單位的角度看待時(shí)下網(wǎng)絡(luò)安全事業(yè)，希望能夠?qū)ο嚓P(guān)領(lǐng)域的工作及工程技術(shù)人員起到參考作用。

關(guān)鍵詞：網(wǎng)絡(luò)安全;網(wǎng)絡(luò)態(tài)勢感知;軟件安全;惡意軟件

引言：

2019年是國家舉辦網(wǎng)絡(luò)安全周的第六個(gè)年頭，也是網(wǎng)絡(luò)安全行業(yè)受到民眾與政府的高度關(guān)注的一年。習(xí)近平總書記提出信息化建設(shè)與網(wǎng)絡(luò)安全要相輔相成，安全和發(fā)展要共同推進(jìn)，民眾對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)也逐漸增強(qiáng)，普遍認(rèn)識(shí)到網(wǎng)絡(luò)安全宣傳即網(wǎng)絡(luò)安全普法。在過去，傳統(tǒng)網(wǎng)絡(luò)安全是指硬件設(shè)備、存儲(chǔ)數(shù)據(jù)等實(shí)體以及涉密信息的安全防護(hù)和網(wǎng)絡(luò)病毒防治管理，泄密責(zé)任著重于各運(yùn)營商、門戶網(wǎng)站、各企業(yè)和單位，個(gè)人網(wǎng)絡(luò)安全防護(hù)級(jí)別也僅限于信息、支付或財(cái)產(chǎn)安全;在未來，隨著移動(dòng)通訊5G等技術(shù)的商用，網(wǎng)絡(luò)傳輸速率更快、延時(shí)更小、范圍內(nèi)可聯(lián)網(wǎng)單位更多，進(jìn)入傳感設(shè)備可根據(jù)網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)萬物互聯(lián)，聯(lián)網(wǎng)行為可根據(jù)區(qū)塊鏈技術(shù)變得真實(shí)可信不可篡改的時(shí)代，風(fēng)險(xiǎn)可擴(kuò)展至人身安全，責(zé)任可回溯追至個(gè)人。毫不夸張地說，在未來網(wǎng)絡(luò)安全出了問題，足以影響國家治理和社會(huì)民生。

一）網(wǎng)絡(luò)安全研究發(fā)展的歷程

網(wǎng)絡(luò)安全的理論研究自信息網(wǎng)絡(luò)誕生之日起就已經(jīng)開始，隨著通信技術(shù)更新?lián)Q代和網(wǎng)絡(luò)規(guī)模普及，程序應(yīng)用呈指數(shù)級(jí)增長，尤其是在物理連接網(wǎng)絡(luò)之上所構(gòu)建的隨機(jī)動(dòng)態(tài)訪問關(guān)系，使得網(wǎng)絡(luò)安全問題的研究極為復(fù)雜。

1.1960年以前

在上世紀(jì)60年代以前，人們針對(duì)網(wǎng)絡(luò)安全問題的研究熱點(diǎn)是：面對(duì)破壞如何建立一個(gè)絕對(duì)安全的系統(tǒng)，減少設(shè)計(jì)上的漏洞來保證系統(tǒng)的保密性、完整性及可用性等要求，這可以視為網(wǎng)絡(luò)安全研究的第一階段。

2.1970-1980年代

入侵檢測起源于美國學(xué)者安德森的技術(shù)研究報(bào)告，之后的研究大體上可以分為異常檢測和誤用檢測兩類，目前大部分科研機(jī)構(gòu)和商業(yè)IDS機(jī)房也是基于這兩類技術(shù)，入侵檢測技術(shù)能在網(wǎng)絡(luò)攻擊發(fā)生時(shí)給出預(yù)警信息來保證網(wǎng)絡(luò)安全，但其對(duì)繞墻隱秘攻擊、多步復(fù)合攻擊等無能為力，這樣的被動(dòng)防御技術(shù)在檢測實(shí)時(shí)性上也差強(qiáng)人意。

3.1980-1990年代

90年代后源于黑客技術(shù)的發(fā)展，網(wǎng)絡(luò)安全研究關(guān)注重點(diǎn)從被動(dòng)防御轉(zhuǎn)到主動(dòng)分析，其意圖是在網(wǎng)絡(luò)攻擊發(fā)生之前進(jìn)行整體化安全評(píng)價(jià)，制定防御策略或保證網(wǎng)絡(luò)遭受破壞的情形下仍能提供預(yù)定的服務(wù)功能，也伴隨著病毒軟件對(duì)可生存性研究的深入。

4.2000年至今

網(wǎng)絡(luò)態(tài)勢感知（Cyber Situation Awareness，CSA）的概念最早在軍事領(lǐng)域被提出。1999年，美國空軍通信與信息中心的巴斯（Bass）首次提出了網(wǎng)絡(luò)態(tài)勢感知的概念，這在一定程度上奠定了網(wǎng)絡(luò)安全研究發(fā)展方向。公開資料顯示，目前各個(gè)國家都將網(wǎng)絡(luò)安全上升到了國家戰(zhàn)略層面，從各國公開的網(wǎng)絡(luò)安全策略中可以看出雖然各國在對(duì)網(wǎng)絡(luò)安全的理解、所實(shí)施的策略上有所不同，但是各國都意識(shí)到了需要行動(dòng)起來保護(hù)關(guān)鍵信息和相關(guān)的基礎(chǔ)設(shè)施，同時(shí)更需要研究新的方法和技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢預(yù)測智能化。

二）網(wǎng)絡(luò)安全行業(yè)發(fā)展的重點(diǎn)方向

隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷發(fā)展和新應(yīng)用的不斷涌現(xiàn)使得網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，拓?fù)浣Y(jié)構(gòu)日益復(fù)雜，網(wǎng)絡(luò)安全管理難度不斷增加，為了應(yīng)對(duì)日益復(fù)雜、隱蔽的網(wǎng)絡(luò)威脅，各種檢測技術(shù)相繼出現(xiàn)。今年以來，國內(nèi)網(wǎng)絡(luò)安全行業(yè)也舉辦了多次大會(huì)，例如北京“2019第七屆網(wǎng)絡(luò)安全大會(huì)”、無錫“2019中國網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)大會(huì)”、 以及即將在長沙召開的“2019網(wǎng)絡(luò)安全&智能制造大會(huì)”等。然而在目前眾所周知網(wǎng)絡(luò)安全問題尤為重要的新形勢下各主體要如何選用網(wǎng)絡(luò)安全產(chǎn)品需要參照和理解一些網(wǎng)絡(luò)安全技術(shù)原理。

1.網(wǎng)絡(luò)態(tài)勢感知

態(tài)勢感知是從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置風(fēng)險(xiǎn)的一種功能，態(tài)勢感知系統(tǒng)依托大數(shù)據(jù)、移動(dòng)應(yīng)用等新技術(shù)，能夠提前發(fā)現(xiàn)攻擊活動(dòng)，便于管理者進(jìn)行決策與行動(dòng)。網(wǎng)絡(luò)走紅的議題“為什么黑客不敢攻擊支付寶”以及馬云所講的“殺手根本進(jìn)不了五百公里以內(nèi)”的風(fēng)趣豪言就是指阿里云的網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)。

現(xiàn)將一家中型企業(yè)作為介紹對(duì)象，該企業(yè)的網(wǎng)絡(luò)拓?fù)淙鐖D2所示。該企業(yè)其通過電信的專用線路與外網(wǎng)連接，10是一臺(tái)Web服務(wù)器，對(duì)外提供公司宣傳網(wǎng)站和產(chǎn)品演示的功能;140是可以外網(wǎng)訪問的日志服務(wù)器;15是公司的數(shù)據(jù)庫服務(wù)器，同時(shí)運(yùn)行著SQL Server、Oracle兩大關(guān)系型數(shù)據(jù)庫及一個(gè)非關(guān)系型數(shù)據(jù)庫MongoDB;16是測試服務(wù)器，公司已經(jīng)交付及正在研發(fā)的產(chǎn)品都在測試服務(wù)器上有一個(gè)最新版本的部署;11是內(nèi)部開發(fā)服務(wù)器，公司所有源代碼及重要的項(xiàng)目方案、過程資料等都在此服務(wù)器上;公司有一個(gè)百人左右的開發(fā)團(tuán)隊(duì)，因開發(fā)技術(shù)不同主要分為兩類，58代表采用.Net研發(fā)的技術(shù)團(tuán)隊(duì)，59代表采用Java研發(fā)的技術(shù)團(tuán)隊(duì)，經(jīng)要素采集、模型表示、求解分析和態(tài)勢預(yù)測反饋可視化結(jié)果來進(jìn)行分析決策。

狹義地理解網(wǎng)絡(luò)態(tài)勢感知可將其視為一個(gè)數(shù)學(xué)模型，通過數(shù)學(xué)語言對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全各變量進(jìn)行最簡單、最直觀地?cái)?shù)學(xué)表達(dá)，網(wǎng)絡(luò)態(tài)勢感知形式化建模除了數(shù)學(xué)建模還有生物啟發(fā)模型等。以數(shù)學(xué)建模為例，分為五個(gè)連續(xù)的處理階段如圖3所示

2.軟件安全

互聯(lián)網(wǎng)大量功能和網(wǎng)絡(luò)應(yīng)用本質(zhì)上都是由軟件實(shí)現(xiàn)的，大量軟件蓬勃發(fā)展?jié)M足了各行業(yè)生產(chǎn)生活需求的同時(shí)也存在隱患。惡意軟件種類繁多，如木馬、病毒、蠕蟲、間諜軟件、廣告軟件、勒索軟件、跟蹤軟件等，早期惡意軟件的概念主要局限于計(jì)算機(jī)病毒等，但近年來，隨著網(wǎng)絡(luò)平臺(tái)的發(fā)展和網(wǎng)絡(luò)攻擊的多樣性，惡意軟件的概念已經(jīng)超越了傳統(tǒng)的狹義概念.惡意軟件常常利用對(duì)抗技術(shù)來逃避反病毒軟件和分析人員的檢測和分析，以延長存活時(shí)間，獲取更大的利益。

1.惡意軟件的危害

由于移動(dòng)互聯(lián)網(wǎng)融合了傳統(tǒng)的互聯(lián)網(wǎng)和電信網(wǎng)，惡意軟件除了管理軟件信息外，還能獲取用戶短信、IEMI等重要隱私資源.因此，出現(xiàn)了如偽造電話或短信、惡意扣費(fèi)等攻擊行為; 很多惡意移動(dòng)應(yīng)用的開發(fā)模式、發(fā)布模式和軟件生態(tài)密切相關(guān)。例如互聯(lián)網(wǎng)服務(wù)的應(yīng)用常常提供第三方庫和通用接口，移動(dòng)應(yīng)用的開發(fā)以重打包等方式開發(fā)，惡意廣告、跟蹤軟件隨之產(chǎn)生惡意軟件還可以利用缺陷收集個(gè)人隱私信息等。

2.軟件漏洞

當(dāng)前的軟件系統(tǒng)，無論是代碼規(guī)模、功能組成，還是涉及的技術(shù)均越來越復(fù)雜，其帶來的直接結(jié)果就是從軟件的需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)到具體的編碼實(shí)現(xiàn)，均無法做到全面的安全性論證，不可避免地會(huì)在結(jié)構(gòu)、功能和代碼等不同層面存在可能被惡意攻擊者利用的漏洞。自 20世紀(jì) 70 年代美國南加州大學(xué)發(fā)起 PA研究計(jì)劃以來，人們提出了各種各樣軟件漏洞挖掘的方法。目前，除了具有豐富領(lǐng)域經(jīng)驗(yàn)知識(shí)的專家、黑客仍然依靠手工代碼分析以及軟件逆向調(diào)試的方式挖掘漏洞以外，出現(xiàn)了基于源代碼、補(bǔ)丁對(duì)比、模糊測試以及代碼特征挖掘等技術(shù)思路的漏洞挖掘方法，這些方法正在軟件安全研究工作中發(fā)揮著重要作用。

3.軟件安全機(jī)制

為了主動(dòng)防御惡意軟件的攻擊、預(yù)防軟件漏洞被利用，研究人員通過設(shè)計(jì)多種安全機(jī)制來提高整個(gè)軟件體系應(yīng)對(duì)安全攻擊的能力.主要技術(shù)思路包括三個(gè)方面：通過設(shè)計(jì)軟件行為管控機(jī)制，規(guī)范不受信軟件的行為來規(guī)避惡意軟件的攻擊;通過提高軟件的自身安全性，來提升軟件應(yīng)對(duì)攻擊的能力;設(shè)計(jì)終端用戶可感可控可知的安全機(jī)制，來提高用戶對(duì)軟件的安全管理能力。

三）保險(xiǎn)業(yè)與網(wǎng)絡(luò)安全

中國的保險(xiǎn)業(yè)有上百家中大型企業(yè)，信息技術(shù)是發(fā)展各渠道承保、理賠、及綜合管理業(yè)務(wù)的重要手段。以湖南為例，湖南保險(xiǎn)業(yè)就有近百家保險(xiǎn)公司，數(shù)百家保險(xiǎn)專業(yè)中介機(jī)構(gòu)，逾六千家保險(xiǎn)兼業(yè)代理機(jī)構(gòu)，其中由協(xié)會(huì)所搭建的信息平臺(tái)有12個(gè)，所管理的保單信息、公民信息、車輛信息及從業(yè)人員信息以數(shù)千萬計(jì)，這些關(guān)鍵信息與基礎(chǔ)設(shè)施的保護(hù)離不開網(wǎng)絡(luò)安全。

1、認(rèn)識(shí)層面

協(xié)會(huì)商會(huì)作為掌握著行業(yè)關(guān)鍵信息的機(jī)構(gòu)其管理者首先要建立與時(shí)俱進(jìn)的網(wǎng)絡(luò)觀與網(wǎng)絡(luò)安全危機(jī)意識(shí)，面對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，要加強(qiáng)和規(guī)范網(wǎng)絡(luò)安全信息的匯集和分析，要定期通報(bào)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)事件與年度典型案例，汲取經(jīng)驗(yàn)教訓(xùn)。各信息平臺(tái)建設(shè)發(fā)展固然重要，但安全應(yīng)作為發(fā)展的前提條件，沒有安全不提發(fā)展。

2.制度建設(shè)方面

協(xié)會(huì)商會(huì)、各中大型企業(yè)要做好網(wǎng)絡(luò)安全工作須建立配套制度。2019年，為加強(qiáng)網(wǎng)絡(luò)安全工作，湖南省保險(xiǎn)行業(yè)協(xié)會(huì)一是貫徹落實(shí)有關(guān)國家法規(guī)要求，采取有關(guān)技術(shù)措施與綠色通道，為公安機(jī)關(guān)、國家安全機(jī)關(guān)依法維護(hù)國家安全、偵察犯罪提供支持和保障。二是明確了協(xié)會(huì)領(lǐng)導(dǎo)干部的網(wǎng)絡(luò)安全工作責(zé)任，建立和落實(shí)了網(wǎng)絡(luò)安全責(zé)任制。三是講網(wǎng)絡(luò)安全問題納入了協(xié)會(huì)議事環(huán)節(jié)，任何信息平臺(tái)的搭建與更新都需要建立在網(wǎng)絡(luò)安全保護(hù)的前提下。四是加大了對(duì)網(wǎng)絡(luò)安全工作的人力、財(cái)力、物力支持，確保現(xiàn)有信息平臺(tái)安全加固工作的保障力度。五是按年度統(tǒng)籌開展網(wǎng)絡(luò)安全檢查，將現(xiàn)有網(wǎng)絡(luò)和信息系統(tǒng)的檢查結(jié)果報(bào)送至上級(jí)單位與網(wǎng)監(jiān)部門。六是本年度開展了三次網(wǎng)絡(luò)安全宣傳教育，同時(shí)關(guān)注網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)的發(fā)展。

3.技術(shù)層面

2019年我單位對(duì)待網(wǎng)絡(luò)安全風(fēng)險(xiǎn)事件一直保持著高度警惕，對(duì)業(yè)內(nèi)與社會(huì)各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)事件及時(shí)開展風(fēng)險(xiǎn)評(píng)估，做到了關(guān)口前移，防范于未然。在具體的技術(shù)操作層面，一是將遷移上云的信息平臺(tái)配備了更高安全級(jí)別的主機(jī)防御（IPS）、網(wǎng)站應(yīng)用防御（WAF）和云防火墻（VFW），并為網(wǎng)站申請(qǐng)了SSL證書認(rèn)證。二是做好了相關(guān)平臺(tái)的應(yīng)用配置改造支持HTTPS安全通道訪問。三是對(duì)涉及個(gè)人隱私信息進(jìn)行了安全加固，實(shí)現(xiàn)數(shù)據(jù)庫層級(jí)的加密和解密，保障了數(shù)據(jù)安全。四是做好了相關(guān)信息平臺(tái)的安全定級(jí)、備案工作。

四）未來面臨的挑戰(zhàn)與發(fā)展趨勢

目前協(xié)會(huì)雖作為無大財(cái)力支持的私營非營利機(jī)構(gòu)也已將絕大部分涉及公眾隱私的信息平臺(tái)用上了云安全和較高安全等級(jí)的配置，隨著未來國產(chǎn)化網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展壯大與技術(shù)完善，網(wǎng)絡(luò)安全的費(fèi)用標(biāo)準(zhǔn)將越來越低，但仍將面臨如下挑戰(zhàn)：

1.攻擊手段仍在發(fā)展

近年來，由利益驅(qū)動(dòng)的攻擊行為日益普遍，攻擊者的手段呈現(xiàn)多樣化、工具化和分工協(xié)作的特征，使得原本就處于被動(dòng)態(tài)勢的安全防護(hù)方難以應(yīng)對(duì).如何在知識(shí)和數(shù)據(jù)的支撐下發(fā)展主動(dòng)、智能的安全技術(shù)體系，是擺在網(wǎng)絡(luò)安全科研人員面前的艱巨任務(wù)。

2.交通事故安全

從特定角度來說，隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、自動(dòng)駕駛等相關(guān)前沿科技發(fā)展，黑客或恐怖分子通過網(wǎng)絡(luò)遠(yuǎn)程操控、制造交通事故等惡性刑事案件已經(jīng)可以從電影鏡頭搬到現(xiàn)實(shí)，至少從技術(shù)細(xì)節(jié)上已經(jīng)并不困難，網(wǎng)絡(luò)安全事業(yè)的未來必然作為事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略課題擺在國家有關(guān)部門面前。結(jié)合保險(xiǎn)業(yè)，網(wǎng)絡(luò)安全相關(guān)保險(xiǎn)產(chǎn)品也值得研發(fā)。

3.網(wǎng)絡(luò)安全等級(jí)保護(hù)工作任重道遠(yuǎn)

根據(jù)《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，各信息系統(tǒng)的安全等級(jí)保護(hù)理應(yīng)根據(jù)信息系統(tǒng)的重要程度，信息系統(tǒng)遭到破壞后的危害程度進(jìn)行等級(jí)確定，其執(zhí)行等級(jí)保護(hù)的企業(yè)由當(dāng)?shù)毓膊块T推薦，但可供選擇的機(jī)構(gòu)不多，存在壟斷嫌疑。

五）結(jié)語

本文參照相關(guān)文獻(xiàn)，介紹了網(wǎng)絡(luò)安全研究發(fā)展的歷程，引用國內(nèi)較新的網(wǎng)絡(luò)安全基本概念和核心方法，從社會(huì)團(tuán)體的信息化建設(shè)角度淺析了時(shí)下熱門的網(wǎng)絡(luò)態(tài)勢感知、軟件安全問題并介紹了我單位的相關(guān)工作。簡而言之，在我們?nèi)粘Ｉ詈凸ぷ髦袨榇_保數(shù)據(jù)與隱私安全，還是要定期修改電腦、移動(dòng)設(shè)備的各級(jí)賬號(hào)權(quán)限各類密碼，不要輕信和點(diǎn)擊陌生鏈接和應(yīng)用，警惕網(wǎng)絡(luò)安全事件。

參考文獻(xiàn)：

[1] 軟件與網(wǎng)絡(luò)安全研究綜述 [中國科學(xué)院-信息工程研究所-網(wǎng)絡(luò)測評(píng)技術(shù)重點(diǎn)實(shí)驗(yàn)室、復(fù)旦大學(xué)-軟件學(xué)院]

[2] 網(wǎng)絡(luò)安全態(tài)勢感知分析框架與實(shí)現(xiàn)方法比較 [西安大學(xué)、聯(lián)易軟件有限公司].- 李 艷、王純子、黃光球