新形势下网络安全的挑战与应对策略

2021-02-26李鑫

中国新通信 2021年22期

关键词：战略发展挑战网络安全

李鑫

【摘要】本文通过对新形势下我们所面临的网络安全问题和风险分析，结合本人实际工作经验，提出了网络风险隐患防范的解决思路和办法，同时对网络安全体系建设提出了建议。

【关键词】网络安全挑战战略发展

一、贯彻落实国家网络安全战略发展的相关政策需要

网络空间安全已经与海、陆、空、天安全并列成为全球五大空间安全。我们貌似和平很久，但战争从未远离，只是形式不同，我们必须用作战的视角看待网络空间安全。

国家层面对网络安全的重视程度也大大增强。2016年4月习近平总书记在网络安全和信息化工作座谈会上指出：应加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势。2016年10月习近平总书记再次强调实施网络强国战略。2017年6月网络安全法正式实施。2017年7月关键信息基础设施安全保护条例（征求意见稿）中提出国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度。2019年5月13日等保2.0发布。

“没有网络安全就没有国家安全”，工业基础设施、工业控制系统作为国家实施制造强国和网络强国战略的重要保障，面临严重威胁。近年来，随着中国制造全面推进，工业数字化、网络化、智能化加快发展，我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。随着技术的发展，完全威胁也发生了很大变化，具有高隐蔽性、高目的性、高危害性特点。网络攻击自动化程度和速度提升，攻击工具越来越复杂的，0day漏洞披露越来越快，传统安全设备渗透率持续飙升，越来越不对称的威胁，新型网络场景安全事件逐渐增加，对基础设施的威胁越来越大。

二、必须用作战的思维对待网络安全

网络战因成本低、效果好、烈度可控成为了战争首选，网络战本质就是无论武器还是目标都是网络本身，以软/硬件设备为武器，漏洞为弹药，态势感知平台、情报作为指挥，安全服务则充当人的角色，网络战已逐渐成为大国博弈的重要手段。

2015年12月乌克兰电力遭遇黑客攻击;2016年7月，希拉里“邮件门”事件;2017年5月12日全球遭遇勒索蠕虫攻击;2018年8月3日，台积电三座十二吋晶圆厂生产线停摆。

2019年，日本制造企业Hoya感染挖矿病毒被迫停产三天，其中生产控制的主机服务器被病毒入侵后，导致用于管理工厂订单和生产的软件无法正常运行，然后病毒继续在工厂蔓延，感染了网络中的100多个终端设备。

2020年5月以来，台湾石油、汽油和天然气公司CPC公司及其竞争对手台塑石化公司（FPCC）遭受勒索软件攻击，导致用户无法正常支付。网络空间安全形式日益严峻。

越来越多样化的网络攻击手法，网站篡改、勒索病毒、DDOS攻击、网站钓鱼攻击、ART攻击等，已经严重影响到国计民生，层出不穷的网络诈骗，网站入侵事件影响恶劣，信息泄露连续五年创历史记录，且不分行业与领域，成为全球科技始终无法避免的“自然灾害”。加密货币的空前爆发带来的商业利益，吸引了大量的网络攻击。勒索软件持续产生严重危害，走向常态化、长期化。拒绝服务攻击的规模不断放大，已经出现万兆级别的攻击，各种攻击手法层出不穷，在未来可以预见出现更大规模的攻击。电子邮件欺诈带来的损失史无前例，累计已达120亿美元。

未来大国间科技竞争是常态，网络战也会是长期和常态，而网络攻击的背后往往是黑客组织甚至是网络部队，网络战从网络空间向经济、社会、国防、外交等全域交织渗透，我国加强网络战应对刻不容缓，一是我们需要转变防御思想，建立“敌人在内”的防御前提;二是加快建立国家级的网络空间安全防护系统;三是要常态化、制度化开展网络攻防演练。

三、加强我国信息网络安全，做好安全风险的防范

2020年以来，面对突如其来并且持续的新冠肺炎疫情，互联网对打赢疫情防控阻击战起到关键作用。疫情期间，自国家推出“防疫健康码”以来，累计使用次数已超过400亿人次，使得全国绝大部分地区实现了“一码通行”，大数据在疫情防控和复工复产中作用越来越明显。据第47次中国互联网络发展状况统计报告截止2020年12月底，我国网民规模接近10亿，其中，农村网民规模为3.09亿，农村地区互联网普及率为55.9%，网络扶贫成效显著。在线交易，在线支付，在线服务水平全球领先。

面对严峻的形势，做好安全风险的防范是必不可少的。安全风险是指网络设计、应用软件、硬件设施在设计上存在的缺陷或管理员安全运维不规范或日常操作不当引入新的安全隐患，这些缺陷或隐患被不法分子利用，通过网络植入木马、病毒、冒充“合法身份”等方式来攻击或控制服务器，窃取服务器中的重要数据对系统造成不可挽回的破坏。常见的安全风险包括软硬件漏洞、第三方信任風险、网络结构性缺陷、安全管理风险、设备配置风险等。

面对这些复杂的网络安全问题，仅通过部署防火墙、入侵防御、防病毒等安全产品是不能很好解决的，还需要结合合适的安全体系和并要考虑合适的安全产品（安全技术）的组合，使用人、组织按约定的安全流程（安全管理）规范操作，才尽可能少引入安全漏洞或隐患，减少安全事件发生。

3.1 加强国产网信关键核心技术

以美国为首的发达国家在信息化领域核心软硬件技术方面拥有垄断地位，使得我们国家常受制于人，实体名单、软硬件限购等 “卡脖子”事件屡见不鲜，我国的网络安全面临前所未有的挑战。我们必须加快推进自主创新，构建安全可控的国产技术体系，才能避免受制于人，为网络安全和国家利益提供有力保障。对国家重点需求相关的关键核心技术中的重大科学问题给予长期支持，尤其是支持芯片、操作系统等重大领域的自主研发，推动关键核心技术取得突破。

3.2 提高公民的网络安全意识

着移动互联网的快速发展，我国使用手机的网民数量极速增加，截至2021年6月我国手机网民规模已超过10亿，这也导致中国大部分公民都直接面对网络安全方面的威胁。如果互联网用户都能够重视网络安全、信息安全，提高网络安全保护意识，那样国家的网络安全才有基础，才能保障国家的网络安全。因此，不仅政府部门要大力宣传、各级单位要组织学习，同时公民对网络安全方面认识要不断加强提升、具备良好的网络安全意识，进而提升公民对网络犯罪行为、网络不良信息等识别判断能力，把我国的信息网络安全提升到更高的层次。

当前我国网络信息安全相关人才还存在很大缺口，相关人才培养的数量远远满足不了社会需求，目前每年网络安全学历人员数量不足1.5万，已培养的信息安全专业人才总量不足10万，目前人才缺口仍有140万。人才问题已经成为当前制约网络安全产业发展的主要瓶颈。因此要加大相关人才的培养力度，弥补相关人才的缺口，构建完备的网络信息安全人才培养体系。

3.3 发现安全风险做好风险评估

随着2020年5月13日网络安全等级保护制度2.0标准正式发布，很多单位也开始纷纷注意到国家对于网络安全保护的重视。网络安全风险评估分析，一般包括资产识别、脆弱性识别和威胁识别。

通过资产识别、脆弱性识别和威胁识别得出安全现状分析，得出相关评估结果，然后通过物理环境评估、系统网络评估、主机系统评估、应用系统评估、数据安全备份及恢复评估等内容，并进行关联分析。

网络安全是整体的而不是割裂的，网络安全是动态的而不是静态的，网络安全是开放的而不是封闭的，网络安全是相对的而不是绝对的，网络安全是共同的而不是孤立的。脆弱性永远存在，突破防御只是时间问题，脆弱性安全相对被动，结构性安全防患于未然。动态的结构化安全防护需要持续的专业安全服务做支撑。

3.4 做好安全加固应对运维风险

根据笔者多年在信息中心的工作经验，在软硬件系统日常运维中也存在巨大的风险。运维过程中要有安全策略的制定或核查制度，避免由于安全配置不合理或不完整、系统安全配置变更不及时带来的风险。

因此运维人员要定期对系统进行安全基线核查，查找操作系统层面的安全配置隐患、安全配置风险，完成后给出详细的安全基线核查报告，根据报告中的修复建议进行整改。基线核查的内容主要是安全配置检测，包括但不限于账号、口令、授权、日志、IP通信等方面内容，反映对系统自身的安全脆弱性评估。网络管理员或系统用户日常工作中没有落实安全管理组织的建设或安全管理制度的执行等，从而引入的安全管理风险，比如安全意识不到位，随意使用安全性未知移动介质，随意浏览、下载安全性未知的文件，被人利用社工攻击泄露敏感信息等。

严控第三方和已方人员对敏感数据或敏感服务器的非常操作，部署数据库审计、堡垒机（运维审计），杜绝或限定敏感业务数据或服务器的非常访问，做到所有业务操作有据可查，事后可追溯，减少第三方人员非正常操作造成的数据泄露，甚至窃取贩卖。

发现问题之后更重要的是如何解决这些问题，为了更好地抵御可能的漏洞攻击风险，建议从以下方面进行安全加固。

安全能力规划：系统规划、建设、运维，全程同步考虑信息安全能力建设和能力提升。

代码安全开发：组织安全工发培训，制定安全开发规范，提高代码开发安全质量。

勤打漏洞补丁：订阅权威机构的安全资讯，重点关注涉及的软件/组件/框架的漏洞预警通告，及时根据提示做好缓解措施。

部署安全设备：部署必要的检测、防御设备，如防火墙、IPS、IDS、应用防火墙、EDR、杀毒软件、APT等。

设备与管理平台自身安全：及时更新版本、特征库升级、补丁更新。

3.5 关口前移

“关口前移”是对落实网络安全防护的方法提出的重要要求，落实“关口前移”，就是要将安全防护能力更加靠近问题的本源。

实现安全防护“关口前移，防患于未然”，关键要做到安全能力“点”、“线”、“面”的结合：

一是能在前端源头的“点”解决的问题，尽量不放到后端，贴近问题本源，不同层次的安全解决不同隐患，缩短安全防护的响应时间，拉开安全防护的空间纵深。

二是结合用户业务链的整体战略发展视角的“线”，对攻击链与防护链进行综合分析，确保防御能力与实际情况紧密结合。