曾煒佶 鄧堅 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江西分中心 南昌市 330000

0 前言

當(dāng)今世界，以互聯(lián)網(wǎng)技術(shù)為代表的信息技術(shù)日新月異，對國際政治、經(jīng)濟、文化、社會等領(lǐng)域發(fā)展產(chǎn)生了深遠影響。互聯(lián)網(wǎng)已經(jīng)融入了社會生活的方方面面，極大的影響了國家發(fā)展進程。黨中央提出網(wǎng)絡(luò)強國戰(zhàn)略思想，將其作為我國發(fā)展的重要方向，其中網(wǎng)絡(luò)安全是網(wǎng)絡(luò)強國戰(zhàn)略思想的重要一環(huán)，習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”。網(wǎng)絡(luò)安全是國家發(fā)展的基礎(chǔ)保障，是人民群眾美好生活的重要保證。

近年來，在互聯(lián)網(wǎng)不斷發(fā)展的同時，網(wǎng)絡(luò)安全問題也日益突出。一方面，面向云計算、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新的網(wǎng)絡(luò)業(yè)態(tài)、應(yīng)用模式，網(wǎng)絡(luò)安全的外延極大拓展；另一方面，隨著骨干網(wǎng)絡(luò)建設(shè)不斷推進，移動互聯(lián)網(wǎng)應(yīng)用不斷滲透，傳統(tǒng)的用戶個人信息安全、拒絕服務(wù)攻擊、僵尸網(wǎng)絡(luò)等威脅仍然嚴峻。網(wǎng)絡(luò)空間的安全對抗仍然任重道遠。

1 江西省互聯(lián)網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀

2017年是我國繼續(xù)深化網(wǎng)絡(luò)安全和信息化國家戰(zhàn)略的重要一年。江西省的互聯(lián)網(wǎng)也得到較大發(fā)展，相比2016年，固定互聯(lián)網(wǎng)寬帶用戶數(shù)增長11.89%，移動網(wǎng)用戶增長38.59%，骨干網(wǎng)流量增長34.12%，備案網(wǎng)站增長20.82%。與此同時，江西省網(wǎng)絡(luò)安全態(tài)勢也有了一定變化，主要體現(xiàn)如下：

1.1 網(wǎng)頁篡改和網(wǎng)站漏洞數(shù)量增長趨勢明顯

全省各級黨政機關(guān)、重點行業(yè)、大型企業(yè)等單位的門戶網(wǎng)站及重要信息系統(tǒng)共發(fā)生網(wǎng)頁篡改數(shù)量為568個，同比增長25.39%。網(wǎng)站漏洞數(shù)量為570個，同比增長25.83%。漏洞事件中，以傳統(tǒng)WEB安全漏洞為主，如SQL注入、弱口令、遠程代碼執(zhí)行等。漏洞的主要特點為攻擊難度較低且危害大，入侵者利用簡單的攻擊工具即可實施攻擊。

圖1 2013年～2017年江西省被篡改網(wǎng)站數(shù)量統(tǒng)計

1.2 僵木蠕威脅仍然存在

全省木馬和僵尸程序受控主機的數(shù)量同比下降21.68%，控制端的主機數(shù)量同比上升25.15%。從數(shù)據(jù)上表明，僵木蠕受控主機數(shù)量雖然下降，但是絕對數(shù)量還是較大，且控制主機數(shù)量有上升趨勢，說明抵御僵木蠕的任務(wù)依然艱巨，需要繼續(xù)加大打擊力度，減少木馬、僵尸網(wǎng)絡(luò)控制端、被控端的數(shù)量，凈化網(wǎng)絡(luò)環(huán)境。

圖2 2013年～2017年江西省木馬和僵尸受控主機IP地址數(shù)量統(tǒng)計

1.3 信息泄露問題仍不容忽視

傳統(tǒng)的高危漏洞依然占據(jù)主導(dǎo)地位，如SQL注入、跨站腳本、目錄遍歷、弱口令、遠程代碼執(zhí)行、設(shè)計缺陷等，這些漏洞的存在均可能導(dǎo)致敏感信息泄露。雖然網(wǎng)站管理者對數(shù)據(jù)保護的重視程度日益提升，但在網(wǎng)站數(shù)據(jù)和個人信息利益價值凸顯的背景下，信息泄露事件仍頻繁發(fā)生，尤其在教育機構(gòu)中，教師和學(xué)生的個人隱私信息泄露比較嚴重，一旦被非法分子利用，容易造成嚴重后果。此外，移動互聯(lián)網(wǎng)中隱私竊取惡意程序也是造成用戶信息泄露的一個主要威脅。因此，防止信息泄露、保護個人隱私是值得社會各界高度重視的安全問題。

1.4 移動互聯(lián)網(wǎng)流氓行為類程序占比最大

2017年監(jiān)測發(fā)現(xiàn)的移動互聯(lián)網(wǎng)惡意程序事件中流氓行為占比最大，其次分別為惡意扣費、資費消耗。移動互聯(lián)網(wǎng)惡意程序涉及竊取用戶隱私、詐騙用戶錢財、竊取用戶費用，已經(jīng)成為了地下黑客產(chǎn)業(yè)鏈的重要一環(huán)，需要引起重視。

圖3 移動互聯(lián)網(wǎng)惡意程序數(shù)量類型分布

1.5 政府部門的網(wǎng)站安全態(tài)勢依然比較嚴峻

政府部門的網(wǎng)站關(guān)注度比較高，易成為黑客攻擊的對象。2017年的政府網(wǎng)站安全事件數(shù)量同比增加35.56%，形勢不容樂觀。從趨勢來看，省級、市級政府網(wǎng)站的網(wǎng)絡(luò)安全事件呈現(xiàn)減少或平穩(wěn)的狀態(tài)，縣處級及以下單位網(wǎng)站的政府網(wǎng)絡(luò)安全事件呈上升趨勢。從安全事件的占比來看，省級和市級政府部門的網(wǎng)站安全事件相對較少，反映省級和市級政府部門對安全比較重視。相比之下，縣級及以下的政府部門的網(wǎng)站安全事件相對較多，安全狀況較差。

2 網(wǎng)絡(luò)安全主要難點

2.1 個人信息安全威脅日益嚴重

隨著互聯(lián)網(wǎng)的不斷發(fā)展，用戶個人電子信息保護日益成為一個重要的網(wǎng)絡(luò)安全議題。從江西省2017年發(fā)生的網(wǎng)絡(luò)安全事件，以及全國影響較大的網(wǎng)絡(luò)安全事件看，涉及用戶個人電子信息的安全的網(wǎng)絡(luò)安全事件大致可以分為如下兩類：

一類是由于網(wǎng)站安全防護不到位，存在各種安全漏洞，被黑客入侵后進行“拖庫”，導(dǎo)致網(wǎng)站保存的用戶信息大批量泄漏。此外，黑客還可以使用“拖庫”獲取的數(shù)據(jù)，對其他網(wǎng)站進行“撞庫”，獲取進一步的用戶數(shù)據(jù)。在云計算、大數(shù)據(jù)高速發(fā)展的背景下，這種情況還會不斷擴大化。

圖4 2013年～2017年江西省監(jiān)測發(fā)現(xiàn)網(wǎng)站漏洞數(shù)量統(tǒng)計

另一類是通過移動互聯(lián)網(wǎng)惡意程序，竊取用戶通信錄、短信（含銀行、網(wǎng)購確認短信等）、互聯(lián)網(wǎng)/帳號等信息，攔截交易提醒信息，從而達到竊取用戶信息，騙取用戶錢財?shù)哪康摹?/p>

圖5 江西省移動互聯(lián)網(wǎng)感染惡意程序的用戶數(shù)量月度統(tǒng)計

黑客竊取用戶個人電子信息后，可以利用這些數(shù)據(jù)進行多種違法行為，包括：復(fù)制/盜刷用戶銀行卡、辦理虛假身份的電話/銀行卡、對用戶及其相關(guān)者進行通訊信息詐騙等，極大的危害了用戶個人信息安全。

為解決這些問題，需要互聯(lián)網(wǎng)參與各方共同努力，強化網(wǎng)絡(luò)系統(tǒng)的安全防護，防止網(wǎng)絡(luò)系統(tǒng)被入侵、被破壞；加強對用戶的安全宣傳，提高用戶對移動互聯(lián)網(wǎng)惡意程序的防范意識，保護個人終端安全。

2.2 DDOS攻擊威脅陰魂不散

分布式拒絕服務(wù)攻擊（DDOS）是互聯(lián)網(wǎng)上非常常見的攻擊方式，2017年出現(xiàn)了幾種新趨勢：

一是物聯(lián)網(wǎng)設(shè)備越來越多成為攻擊源。物聯(lián)網(wǎng)(Internet of Things，IoT)是繼計算機、互聯(lián)網(wǎng)之后出現(xiàn)的新型信息產(chǎn)業(yè)，其通過各種類型的IoT智能設(shè)備進行互聯(lián)，提供更透徹的感知、更全面的互聯(lián)互通和更深入的智能化服務(wù)。IoT智能設(shè)備通過軟硬件結(jié)合手段，在傳統(tǒng)硬件設(shè)備的基礎(chǔ)上，加入聯(lián)網(wǎng)模組,使得設(shè)備擁有聯(lián)網(wǎng)和交互的“智能化”功能。大量IoT智能設(shè)備聯(lián)入網(wǎng)絡(luò)，在缺乏安全防護的情況下，無疑為黑客提供了大量可供控制的肉雞，可用于組建僵尸網(wǎng)絡(luò)，發(fā)動大流量DDOS攻擊。較為可悲的是，國內(nèi)很多物聯(lián)網(wǎng)設(shè)備廠商對網(wǎng)絡(luò)安全的意識仍然不到位，沒有意識到自身存在保護設(shè)備安全的責(zé)任。比如筆者進行考察的某智能水表廠，對網(wǎng)絡(luò)安全的認識仍然停留在網(wǎng)絡(luò)運營商應(yīng)防止黑客對其生產(chǎn)的智能水表進行保護的層面，沒有意識到其生產(chǎn)的智能水表亦是一臺接入網(wǎng)絡(luò)的設(shè)備，應(yīng)該存在相應(yīng)的漏洞檢測、補丁升級機制。從監(jiān)測到的僵尸網(wǎng)絡(luò)發(fā)展趨勢看，Mirai、Iotroop等以物聯(lián)網(wǎng)設(shè)備為基礎(chǔ)的大型僵尸網(wǎng)絡(luò)不斷出現(xiàn)，極大的危害了網(wǎng)絡(luò)的正常運行。

二是攻擊方法復(fù)雜化。從應(yīng)用層采取多個攻擊向量聯(lián)合攻擊的攻擊手法開始活躍，這種攻擊方法可以使用較小的攻擊流量，產(chǎn)生較大的攻擊效果，并且較難檢測、防御。另外，一些重大的安全漏洞也帶來超大流量安全攻擊的可能性。比如2018年2月至3月爆發(fā)的memcached反射DDOS攻擊漏洞，流量放大倍數(shù)達到數(shù)萬倍，互聯(lián)網(wǎng)上存在大量存在漏洞的活躍主機（僅江西一省就監(jiān)測發(fā)現(xiàn)1000余IP），使黑客只需要很少的代價就能發(fā)動很大流量的DDOS攻擊（據(jù)CNCERT通報，監(jiān)測到的峰值流量為1.94Tbps，遠高于以往的DDOS攻擊流量記錄）。

2.3 網(wǎng)絡(luò)安全漏洞層出不窮

從數(shù)量上看，漏洞數(shù)量不斷增長，且有加速的趨勢。2017年，各漏洞平臺收錄的網(wǎng)絡(luò)安全漏洞數(shù)較2016年都有較大的增長，比如CVE增長71.00%、NVD增長129.34%、CNVD增長49.38%，且這種增長趨勢在2018年仍在繼續(xù)。

從對網(wǎng)絡(luò)安全影響程度上看，重大漏洞安全事件仍時有發(fā)生。比如2017年4月The Shadow Brokers放出大量“方程式組織”使用的黑客工具，其中所使用的Windows安全漏洞直接被5月爆發(fā)的WannaCry勒索軟件所使用；2018年初爆出的Intel熔斷漏洞，更是對全球主流云服務(wù)廠商造成重大影響。

從攻擊類型上看，新的漏洞威脅網(wǎng)絡(luò)安全。從OWASP公布的2017年10大應(yīng)用層威脅看，新增了XML外部實體（XXE）、不安全的反序列化、不足的日志記錄和監(jiān)控等類型的安全漏洞。由于互聯(lián)網(wǎng)新技術(shù)的不斷普及，開發(fā)模式的不斷完善（比如DevOps、敏捷開發(fā)），在應(yīng)用層的漏洞也日趨多樣。

3 網(wǎng)絡(luò)安全工作建議

3.1 推動《網(wǎng)絡(luò)安全法》的落實

《中華人民共和國網(wǎng)絡(luò)安全法》是我國網(wǎng)絡(luò)安全領(lǐng)域的根本大法，對在我國境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡(luò)，及相應(yīng)網(wǎng)絡(luò)安全監(jiān)督管理進行了規(guī)定?！毒W(wǎng)絡(luò)安全法》從法律層面確立了關(guān)鍵信息基礎(chǔ)設(shè)施保護制度、用戶信息保護制度、網(wǎng)絡(luò)安全監(jiān)測預(yù)警與應(yīng)急處置制度，對監(jiān)管部門、網(wǎng)絡(luò)運營者、用戶個人的全力和義務(wù)進行了規(guī)定。為了保障《網(wǎng)絡(luò)安全法》的權(quán)威，應(yīng)當(dāng)加強網(wǎng)絡(luò)安全執(zhí)法。從過去的網(wǎng)絡(luò)安全數(shù)據(jù)看，仍有很多網(wǎng)絡(luò)運營者不履行國家關(guān)于網(wǎng)絡(luò)安全的要求，不加強自身的網(wǎng)絡(luò)安全防護，不及時修補存在的安全漏洞，不報告網(wǎng)絡(luò)安全事件，不配合開展網(wǎng)絡(luò)安全處置。這就對有關(guān)執(zhí)法部門提出了新的要求，需要全方位的推進《網(wǎng)絡(luò)安全法》執(zhí)法，通過執(zhí)法落實企業(yè)主體責(zé)任，指導(dǎo)督促企業(yè)加強網(wǎng)絡(luò)安全管理，投入物資、人力、技術(shù)，切實提升網(wǎng)絡(luò)安全保障水平。

3.2 建設(shè)統(tǒng)一的安全防護體系

按照《網(wǎng)絡(luò)安全法》第八條，“國務(wù)院電信主管部門、公安部門和其他有關(guān)機關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負責(zé)網(wǎng)絡(luò)安全保護和監(jiān)督管理工作”，工信部與公安部都有各自的網(wǎng)絡(luò)安全防護體系。工信部主要依據(jù)為《通信網(wǎng)絡(luò)安全防護管理辦法》及其相關(guān)通信行業(yè)標準，主要面向電信和互聯(lián)網(wǎng)行業(yè)提出安全防護需求。公安部主要依據(jù)為《信息安全等級保護管理辦法》及相關(guān)配套文件、規(guī)范、標準，主要面向各類信息系統(tǒng)。兩個體系在安全防護的基本方法上是一致的，都包括定級備案、符合性評測、風(fēng)險評估、災(zāi)難備份等環(huán)節(jié)，但在具體技術(shù)標準上，由于側(cè)重點不一而存在一定差異。按照《網(wǎng)絡(luò)安全法》第二十三條，國家推動相關(guān)安全認證和安全結(jié)果互認，避免重復(fù)認證、檢測。通過對工信部、公安部相關(guān)規(guī)范、標準進行融合，對相關(guān)認證機構(gòu)、檢測隊伍進行互認，不斷推進我國安全防護體系完善。

3.3 建立協(xié)同聯(lián)動的網(wǎng)絡(luò)安全治理體系

由于互聯(lián)網(wǎng)全程全網(wǎng)的性質(zhì)，網(wǎng)絡(luò)安全管理不同于傳統(tǒng)管理體系。一是涉及角色多。包括政府部門、網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)安全技術(shù)支撐隊伍、用戶個人等。并且，某一方出現(xiàn)網(wǎng)絡(luò)安全問題，也許對其自身沒有明顯影響，但是對于其他各方可能產(chǎn)生較大危害；二是涉及技術(shù)復(fù)雜。從攻擊手法上說，有網(wǎng)頁篡改、網(wǎng)站仿冒、拒絕服務(wù)攻擊、漏洞后門等等，每年還會不斷推陳出新。從攻擊涉及的網(wǎng)絡(luò)系統(tǒng)類型上說，有骨干網(wǎng)、支撐網(wǎng)、互聯(lián)網(wǎng)應(yīng)用等等；三是技術(shù)力量相對集中又相對分散。相對集中是指越向高層力量越強，越向基層力量越弱。相對分散是指政府部門、網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)安全技術(shù)支撐隊伍各自有各自的技術(shù)手段，相互功能互補，不能相互替代。

所以，網(wǎng)絡(luò)安全管理不是某個部門、某個單位的事，需要從頂層開始設(shè)計，推進協(xié)同聯(lián)動的網(wǎng)絡(luò)安全管理體系，將各單位的網(wǎng)絡(luò)安全技術(shù)手段對接起來，將各單位掌握的網(wǎng)絡(luò)安全信息共享起來，將各單位的網(wǎng)絡(luò)安全技術(shù)隊伍交流起來，橫向到邊、縱向到底的建設(shè)一套完整的網(wǎng)絡(luò)安全管理體系。

3.4 加大對網(wǎng)絡(luò)安全熱點的研究投入

互聯(lián)網(wǎng)發(fā)展不斷推陳出新，新的互聯(lián)網(wǎng)技術(shù)不斷涌現(xiàn)，同時也帶來了新的網(wǎng)絡(luò)安全問題。物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、IPv6、5G、人工智能等技術(shù)的普及和應(yīng)用無不在拓展網(wǎng)絡(luò)安全的外延，提出新的安全防護需求。在這種情況下，需要組織相關(guān)高校、科研院所、網(wǎng)絡(luò)安全企業(yè)加大對新技術(shù)新業(yè)務(wù)新應(yīng)用的網(wǎng)絡(luò)安全風(fēng)險研究，培養(yǎng)網(wǎng)絡(luò)安全人才隊伍，研發(fā)新的網(wǎng)絡(luò)安全技術(shù)工具，促進提高網(wǎng)絡(luò)安全防護水平。

同時，對于傳統(tǒng)互聯(lián)網(wǎng)上的網(wǎng)絡(luò)攻擊、安全漏洞的研究分析也不能忽視，要繼續(xù)加大對僵尸網(wǎng)絡(luò)、惡意域名等黑客攻擊資源的監(jiān)測，防范大規(guī)模網(wǎng)絡(luò)安全風(fēng)險。