网络,让我们的生活更加便利,同时,也向我们提出了严峻挑战。也许一条短信、一个链接、一个漏洞,就能导致财产受损、工作瘫痪、信息“裸奔”……而巨大的风险,往往就隐藏在一“键”之间。
刚刚过去的天津市网络安全技术高峰论坛,让网络安全再次成为热议的焦点。如何提升网络安全防护能力,筑牢网络安全屏障,守护“指尖上的安全”,就成为一个亟待解决的重大课题。
您可能不知道,当我们看到一些免费WIFI就“蹭网”时,很可能个人信息就会被窃取;当我们扫码骑车时,很可能就会登录钓鱼网站;当我们不小心下载了山寨APP后,很可能就被植入了木马病毒;当我们在火车站、机场用手机快速充电设备充电时,很可能会把一些恶意程序安装到了手机里。
这并非危言耸听,大数据时代,网络安全不仅关系到每个人,还关系到每个企业、每个国家。近年来,网络安全事件频发:“WannaCry”敲诈勒索病毒在全球爆发,波及150多个国家和地区及30多万网民,损失高达500多亿人民币;大胖子黑客KimDotcom翻出了被希拉里删除的邮件,导致FBI重新调查邮件门事件;美国遭遇史上最大规模DDoS攻击,东海岸网站集体瘫痪;雅虎5亿用户资料被窃取,堪称史上最大规模互联网信息泄露事件;美国FBI和英国伦敦警察厅的工作通话录音,被黑客集团Anonymous公之于众……
在“一切皆可编程,万物均要互联”的时代,随着移动互联网和物联网的普及,云计算、大数据的快速发展,互联网安全日益成为全球性的共同难题。
2017年6月2日—7月4日,网络安全社会评议工作组在全市开展了一项“网络安全社会评议工作”的调查,分别从网络安全意识、网络应用安全、网络信息安全、个人信息安全、未成年人网络安全、电信诈骗等方面,展示了本市市民对安全形势的感知情况。中国网络空间安全协会网络治理与国际合作工作委员会秘书长谢永江教授对《天津网络安全社会评议报告》一一进行了解读。
七成市民不轻易蹭网
61%的被调查者对网络安全知识仅为一般接触或了解较少,还有5%的被调查者对网络安全知识完全不了解;但网民的上网环境安全意识比较强,70%的被调查者对上网环境有安全意识,不轻易蹭网。53%的被调查者对信息采集的关注不够,表明网民的网络隐私意识不高。
展开全文
网络购物高居市民担心榜首
对于网络应用的安全性,市民感觉最不安全的是网络购物,其次为网络即时通信、网络支付、网络视频、云盘存储、电子邮件。这些应用都与公民隐私和个人信息相关,给网民更多的不安全感。
近半市民关注网络欺凌
调查显示,超过半数的被调查者对于网络谣言、网络诈骗、网络色情、网络诽谤等非法信息普遍感到不安。值得注意的是,有48%的被调查者关注网络欺凌安全问题,说明网络欺凌问题越来越受重视。
六成市民关注个人信息保护
网民最为关注的前五类个人信息依次为:身份证号码、银行卡号、手机号码、家人信息、现居住地址。这些信息与个人的人身财产安全相关,也是当前个人信息泄露的主要内容,成为网民重点关注对象。
过半市民呼吁保障未成年人上网
66%的市民认为应该出台《未成年人网络保护法》,认为应该设立专门的未成年人网络保护机构和对网络信息采取分级制度的,分别占了59%和54%,应尽快出台《未成年人网络保护条例》、设立专门保护机构。
近七成市民遇到过电信诈骗
调查显示,有69%的被调查者遭遇过电信诈骗,有12%的被调查者遭受损失,说明电信诈骗问题依然严峻,需要加大打击力度;但个体损失数额不大,其中11%的人所遭受的损失在1万元以下。87%的人知道有紧急止付措施,但只有24%的人了解如何紧急止付,因此对紧急止付的防诈骗措施还需要进一步宣传指导。
新特点
500G以上
攻击事件增多
中国互联网协会网络与信息安全工作委员会副秘书长何世平,长期从事网络安全威胁监测、网络安全应急相关工作,他对当前的网络安全形势,总结出三个特点。第一个是频繁发生且规模大:2016年日均1Gbps以上攻击400余起;部分攻击流量规模达10Gbps以上。第二个是方式复杂多样:综合运用DNS、NTP、UPnP、CHARGENT等多种协议,而且防御困难。第三个是包来源以境外为主:因为基础网络持续开展虚假源地址流量整治工作,伪造包难以从境内发出,导致境外攻击的数量呈现上升趋势。
近年来还大量发现了APT攻击(高级持续性攻击)案例。“以前,APT攻击只是企业界和学术界讨论的话题,因为一直没有在我国发现一例APT攻击现象”,360企业安全集团解决方案中心总经理李博介绍,直到2015年3月份,360公布了一份报告,揭示一例发生在我国的APT攻击,通过溯源,发现最早可以追溯到2011年。“这意味着APT一直在攻击我们,只不过是我们没有发现。”李博说。
对于当前的网络安全态势,数据也许更有说服力。《中国互联网站发展状况及其安全报告(2017)》显示,1G以上DDoS攻击事件数量日均452起,下降60%,但500G以上攻击事件明显增多,10G以上攻击事件数量全年持续增长,第四季度日均发生事件数量是第一季度的2.1倍。从攻击目标来看,67%涉及互联网地下黑色产业链。可以说,身处“万物互联”的时代,网络技术就是一把双刃剑,发现一个漏洞,也许就可以阻拦一次疯狂的网络进攻,但若破解一个漏洞,也许就能制造出一个“杀伤力”十足的网络武器。
困局 四大“有限”阻碍发展
网络安全牵一发而动全身,无论我们如何防御,攻击和信息泄漏总是层出不穷,甚至愈演愈烈。相关专家看来,攻防对抗成本太高、安全预测难以精确、防御边界不断扩大、黑产链条“助纣为虐”等问题,成为当前网络安全应急工作面临的最大困局。
产业对抗对称有限
当前,大流量DDoS攻击事件时有发生,导致大量域名无法访问,影响了经济社会发展。这是当前很主流的威胁,大大小小的企业,甚至政府网站都会受到它的威胁。可以说,近年来,一直是网络运营者包括云服务厂商的心头之恨。但之所以防不胜防,与溯源难、防护成本高有极大的关系。
何世平介绍,2013年8月前,伪造源IP的攻击很多,随着工业和信息化部在运营商层面加强对伪造源IP地址的包的过滤治理,2013年8月至2015年8月间,真实地址也就是通过控制大量“肉鸡”(DDoS攻击的核心杀器)发起的攻击占主流,这样为开展技术溯源提供了良好的前提,很多重大案件,如.cn域名被攻击,就是在CNCERT(国家互联网应急中心)的技术协助下告破的。而2015年8月之后,DNS反射放大以及利用NTP、UPnP、CHARGENT等其他协议的反射放大攻击成为主流模式,通常是混杂式的,一些攻击源在境外很难去追溯。
安全场景预判有限
在何世平看来,网络安全事件预测,就好比地震预测。地震可以预测大致的地震带和地壳活跃情况,但很难预测哪一天在什么地方发生了地震。他进一步解释道,在网络安全领域,我们现有的知识范围可以大致预言哪些领域有重大威胁,比如,移动互联网安全、利用漏洞进行勒索软件传播等。但具体到某一次事件,比如,Xcode和XX神器爆发时,在短短几天内,传播次数就可以突破千万次,或经过长时间的潜伏,悄然感染上千万终端。因此,正是因为网络安全热点事件有某种程序上的不可预知性和突然爆发性,使得应急的时效性和提前预防显得尤为重要。但由于我们现有的监测触角和网络数据资源不够,或者对黑客产业的细微活动缺乏精确掌握,仍然很难获知下一次类似“wannacry”的攻击会什么时候发生。
安全对抗防御有限
网络安全防御的难点在于攻与防天然的不对称,防是全体边界,攻只要取一点。何世平说:“就拿2012年4月出现的境外某黑客组织来讲,我们通过大量的攻击案例,已经摸清了其活动规律,事实上对方的攻防技术水平也不是很高,比如,用了很多常见的网站通用软件漏洞、Apache Struts2 远程代码执行漏洞,还有就是网站后台编辑器的漏洞,却一直可以持续攻击。”何世平进一步解释:“放在整个防御的角度,这个攻防边界实在太脆弱,可信息化规模扩大、网络边界扩大之后,就要求整个防御体系的投入成指数增长,这也给防御带来了难度。”
安全技术触角有限
之前2015年底由CNCERT组织进行的一项黑客产业治理专项行动,对于当前在网页篡改事件中占主流的植入黑链情况进行了统计,发现这条产业链上除了黑客入侵网站进行黑链交换外,最主要的资金来源是一些会展、广告、网游、博彩等网站,这些网站管理方给黑产提供资金,“助纣为虐”。“根据现有的法律和技术手段,在黑产治理行动中,我们对于提供资金的网站方只能采用网站未备案的方式进行治理。因此,要斩断黑产链条,除了技术外,还需要法律和多部门的协助参与。”何世平建议道。
破解 为网络安全加一道“安全锁”
网络安全牵一发而动全身。伴随着云计算、大数据、移动互联网等领域的快速发展和应用,信息技术已日益融合到全市人民的生产和生活之中,由此引发的个人信息泄露、关键信息基础设施损毁等网络安全问题不断成为公众关注的焦点。那么,身处日益“透明”的信息时代,我们如何在享受便利的同时,避免安全隐患呢?
建立关键信息基础设施安全保障体系
互联网已经成为驱动产业创新变革的先导力量,能源、电力、通信、交通等领域的关键信息基础设施,成为经济社会运行的神经中枢,因此处理好城市信息化发展与关键信息基础设施安全的关系,是需要各界共同关注和解决的重大命题。
“今年的网络安全宣传周继续了去年的主题——‘网络安全为人民 网络安全靠人民’”,中国信息安全研究院副院长左晓栋说,“由此我们也面临着一个非常重要的课题,就是如何发挥各方面力量,共建关键信息基础设施安全保障体系。”
众所周知,《中华人民共和国网络安全法》已经在今年6月1日起正式实施。其中第三十一条提出,国家要对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。左晓栋进一步介绍,《网络安全法》授权国务院制定关键信息基础设施安全保护办法、确定有关范围。根据工作安排,中央网信办牵头起草了《关键信息基础设施安全保护条例》的初稿,并在网上公开征求了意见。条例从支持与保障、关键基础设施范围划定、关键信息基础设施运营者的保护责任、产品和服务安全、监测预警、应急处置、监测评估等方面提出了一系列制度上的规定。全国人大常委会已经决定实施“一法一决定”的执法检查。“一法”是指《网络安全法》,“一决定”是指《全国人民代表大会常务委员会关于加强网络信息保护的决定》——后者主要涉及个人信息保护的有关要求。其中,在“一法一决定”的检查内容之中,就包含了落实关键信息基础设施保护制度的有关情况。
当然,这只是迈开了第一步,下一步则是如何把工作做全、做细。市委网信办相关负责人表示,天津深入贯彻落实《网络安全法》,强化顶层规划和统筹协调,落实安全防护责任,建立完善一系列相关工作制度,举办“网安中国行”,网络安全警示教育展,全市党政领导干部网络安全教育培训,开展关键信息基础设施网络安全检查,严厉打击网络攻击、网络诈骗等各类网络违法犯罪活动,不断加强网络安全工作,着力提升安全保障能力。
打好核心技术攻坚战
一直以来,互联网领域带来的新问题新挑战层出不穷。无论是从目前来看,还是从长远来看,若想加强网络安全的对抗能力建设,核心技术就是最大的“命门”。要全天候全方位感知网络安全态势,言外之意就是态势感知要时间无限制、空间无死角。若想如此,关键要有技术支撑。
在李博看来,维护网络安全,技术上需要做到三点。
第一个是避损。知己知彼,才能百战不殆。他举例说,“我们去年5月份发现一个攻击,准备在某一天对我们的一些网站进行大范围的渗透和篡改。我们靠一些技术手段,提前十天得知了这个消息,并做了相应的预案。结果到了原定攻击日期,全国只有一家网站沦陷,这就避免了很多损失。”
第二个是止损。有时候攻击发生了,要能够快速发现这个攻击,并及时阻止损失的扩大,就像人被割破了口,要及时止血一样。态势感知对“避损”和“止损”这两个目标实现,有很重要的现实意义。
第三个是定损。损失发生之后,要能够确定损失的范围,界定相应的责任,对整个损失发生的过程进行追踪溯源,然后进行评估和整改。
市委网信办也在积极做好关键信息基础设施安全防护,强化党政机关和金融、能源、交通、水利等重要领域网络安全态势感知,提升技术防护水平。
推进威胁情报信息共享
何世平从现实角度出发,认为维护网络安全,目前最有效的机制和手段还是共享。只有政府部门、关键信息基础设施运营者、科研机构、网络安全服务机构,在综合防御、安全预警、应急响应等方面实现共享,大家才能看得清摸得透黑客威胁的活动规律,从而找准技术进步的目标。
“构建国家级公共服务平台是重点,这是整个社会资源发挥协同效应的关键。”左晓栋呼吁,美国已建立国家关键基础设施数据库、以ISAC和ISAO机制为主的网络威胁迹象信息共享体系、基于信息共享和几个国家级信息分析中心的全天候态势感知体系、网络安全应急响应协调体系等国家级公共服务体系 ,有效增强了政府关键基础设施网络安全防护能力。我国也应积极探索建设国家级公共服务平台的重点方向和有效机制,《网络安全法》和《条例》都对网络安全信息共享、网络安全监测预警和信息通报制度等作出明确要求,相关细则、标准也正加紧研制。“但公共服务体系不限于此,还应考虑到如何推进不同行业间的能力共享、优秀服务队伍遴选等问题。”左晓栋说。
网络安全人才不可或缺
在李博看来,安全需要变革,变革就得聚焦在“数据”两个字上,用数据驱动安全。实际数据驱动的手段是人和技术,而且人的价值更大。安全比商业智能要更复杂,而很多安全问题都是靠安全专家运营出来的,而非靠设备自主发现。“就如刚才所讲,如果设备能发现,那为什么2011就出现的攻击,直到2015年才被发现,这值得我们思考。”李博说。
为了守住人才池,加大网络安全人才培养,市委网信办相关负责人介绍,目前市委网信办正在积极组织推进天津市开展一流网络安全学院建设和一批产学研用网络安全研究院建设工程。通过加强网络安全人才基地建设,培养更多的网络安全人才,带动网络安全产业的发展,为维护网络安全营造有力智力支撑、人才保障和产业发展的良好生态圈。
(来源于“新闻117”客户端)
延伸阅读