近期网络安全态势及网络安全防护理念研究

2017-03-10柯一川

网络安全技术与应用 2017年12期

关键词：个人信息网络安全病毒

◆柯一川

（福建省泉州市疾病预防控制中心福建 362000）

近期网络安全态势及网络安全防护理念研究

◆柯一川

（福建省泉州市疾病预防控制中心福建 362000）

网络安全事件的发生造成了政治、经济、社会的巨大影响，给人们的生产、生活造成重大损失，网络安全关系到每个人的日常生活，也引起了社会的广泛关注。如何在事前建立网络安全态势预知、事中对网络安全进行持续监测和有效防御、事后检测安全事件并快速响应，这是一个当前亟待解决的重要课题。

网络安全；态势；防护

0 前言

随着社会的发展，科技的进步，人类的生产生活方式发生了之前难以想象的改变。微信的广泛应用改变了人们的通讯方式，智能手机的普及和各种应用软件的开发使得人们对互联网的依赖更为紧密了。购物用淘宝、上京东，吃饭叫外卖、手机订餐，共享租房、共享单车，手机订票等等。只要有一部能上网的手机，衣、食、住、行都能解决，连钱包都不用带了。但任何事物都有两面性，互联网的应用在给人们带来方便的同时，也隐藏着巨大的安全风险。我国更是在互联网应用上取得了飞速的发展，甚至很多应用只有在中国才得到了广泛的接受，我们走在世界的前面。在这种情况下，我国的网络安全形势也就更为严峻了。

网络安全事件的发生造成了政治、经济、社会的巨大影响，给人们的生产、生活造成重大损失，网络安全关系到每个人的日常生活，也引起了社会的广泛关注。

1 近期我国互联网网络安全形势的特点

1.1 欺诈勒索软件在互联网上肆虐

移动互联网恶意程序数量持续高速上涨且具有明显趋利性。比如在2017年5月12日大面积爆发的勒索病毒，它影响遍及全球100多个国家，超10万台机器。英国医疗系统、俄罗斯电信公司甚至是国内的中石油公司都已成为受害者，清华北大等知名高校、多家能源企业、政府机构也频频中招，甚至被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。其实这款病毒来头很大，源头竟来自美国国家安全局使用的部分攻击工具，其中包含了微软操作系统的一个漏洞（代号是永恒之蓝），原本的准军方武器，落入了黑色产业链的手上，并把它制作成为勒索病毒。“没有网络安全，就没有国家安全”，以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间。我们国家应该尽快开发并使用自主的操作系统，核心技术受制于人始终是最大的安全隐患。那些美国国家安全局的攻击工具并没有全部露出水面，随时可能爆发象WannaCry这样的病毒。

1.2 高级持续性威胁常态化，我国面临的攻击威胁尤为严重

据国家互联网应急中心（简称“CNCERT”）监测发现，2015年我国境内近2.5万个网站被篡改，其中被篡改的政府网站有898个。从网页篡改的方式来看，我国被植入暗链的网站占全部被篡改网站的比例高达83%。

1.3 网站数据和个人信息泄露带来的危害不断扩大

大量用户个人信息被窃取，发生了多起利用个人信息实施的精准网络诈骗。连在网络安全技术最为发达的美国，也发生了个人信息被黑客窃取的安全事件。美国征信公司伊奎法克斯9月7日发布声明说，由于此前公司文件遭遇非授权访问，约有 1.43亿美国消费者信息或已泄露。声明说，遭到非授权访问的个人信息包括客户姓名、生日、地址、社会安全号、驾驶证号等。个人数据的泄露途径可以是直接遭受黑客攻击、也可能是因为可信任网站数据泄露，以及个人数据使用不当等。网络安全已经关系到每个人的切身利益，也直接影响到我们的生活，相信大家都接收到过许多垃圾短信，垃圾邮件，骚扰电话等，个人信息在当前的互联网络上有被黑的极大风险，泄密仿佛不可避免。

1.4 针对工业控制系统的网络安全攻击日益增多，多起重要工控系统安全事件应引起重视

2017年欧美百座电站遭到“蜻蜓”等黑客攻击，乌克兰2015和2016年电网都曾被黑客攻击导致停电。

1.5 大量联网智能设备遭恶意程序攻击形成僵尸网络

DDoS（Distributed Denial of Service）即分布式拒绝服务攻击，指借助于客户/服务器技术，将多个计算机（智能设备）联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，造成合法用户无法对网络资源的正常访问。拒绝服务攻击问题一直找不到太好的解决方法，因为这是由于网络协议本身的安全缺陷造成的，阻止拒绝服务攻击需要防护一方耗用大量的带宽及大量资源对攻击方进行清洗，而攻击一方利用各种被控制的智能设备，成本很低。拒绝服务攻击成为了攻击者的终极手法。

2 新形势下网络安全防护措施

随着网络的发展，数字化程度不断加深，传统的防火墙、防病毒、入侵检测等被动片面的安全防护机制，已无法应对新形势下网络攻击威胁多样化、复杂化、综合化的安全状况。而应该采取事前预知、事中防御、事后检测并响应的综合的网络安全防护措施。

2.1 事前预知

现有的安全研究集中在使用基于机器学习的多种主动防御机制来保护系统/组织免受这类威胁。然而由于现有主动防御机制的本质依旧是检测存在的攻击威胁，因此即便报警采取应急措施，实际的损失也已经不可避免。因此如果能应用大数据分析的技术，对由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个当前网络状态和变化趋势进行分析，就有可能在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示并预测出未来的趋势。基于安全态势的网络安全事件预测方法，能够从网络外部的可观测信息，对可能发生的网络安全事件进行预测。

2.2 事中防御

IT业务变得越来越复杂，系统的安全边界也变得模糊起来。信息时代黑客技术的发展可以说是日新月异，黑客高手云集。对一个系统来说，出现漏洞是不可避免的。业务越复杂，也就使得网络攻击方式越复杂、越隐蔽，攻击的手段随着黑客技术的发展也变得越来越高明。网络应用越来越广泛，可攻击目标也就越来越多。这使得传统的静态防御变得失效了。传统的防御主要是设置网络防火墙，监测端口和流量、设置防病毒、入侵检测系统等方法。以隔离内部网络和外部网络为基础，通过监测IP及端口、用户安全认证等方式进行防护，入侵检测也主要是基于静态网络特征的攻击防护手段。这种基于信任原则构建的安全框架，已无法对绕过防御的黑客攻击进行事中监控了。当前的网络安全监测应该是持续监测。如果说防火墙和入侵检测系统等产品和服务可以通过隔离的手段减少被攻击面、提升攻击门槛、拦截攻击动作，那持续监测则是发现那些逃过网络防御设备的“漏网之鱼”，持续监测可以时时假设系统处于被攻击状态，主动检测潜在的威胁，减少可能的损失。但这也意味着在事中防御的投资上，应该大大提高持续监测能力的投资比例。

2.3 事后检测并响应

威胁被监测分析出来后，做好事件应急处置以增强自身运营安全和威胁应对处置能力非常有必要。漏洞越及时被发现，被利用的可能性也就更小，世界上不存在不可能被黑的系统，快速响应可以使损失减小到最小。

网络安全事件应急响应应该要按照事先制定好的安全计划，进行系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。事后的响应可能发现事前计划的不足，从而进一步完善安全计划。对于网络安全应急响应的目前状况及存在的问题，现在还没有非常有针对性的网络安全应急响应工具，在发生网络入侵、病毒爆发、现有网络安全防御体系被突破、防毒软件被病毒所劫杀或对病毒不作为时，这种工具可以即时实施远程或本地网络连接，完成阻击入侵、查杀病毒、恢复系统的任务。网络安全事后检测并响应的目标仍然任重而道远。