新形勢(shì)下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析及對(duì)策建議

◎國(guó)家信息中心 邵國(guó)安

黨的十九大報(bào)告中指出“世界面臨的不穩(wěn)定性不確定性突出，世界經(jīng)濟(jì)增長(zhǎng)動(dòng)能不足，貧富分化日益嚴(yán)重，地區(qū)熱點(diǎn)問(wèn)題此起彼伏，恐怖主義、網(wǎng)絡(luò)安全、重大傳染性疾病、氣候變化等非傳統(tǒng)安全威脅持續(xù)蔓延，人類面臨許多共同挑戰(zhàn)”。網(wǎng)絡(luò)安全已成為全人類共同需要面對(duì)的挑戰(zhàn)，其惡意網(wǎng)絡(luò)攻擊行為已影響人們的工作、學(xué)習(xí)和生活各方面，甚至直接影響到人類的生存?；仡?017年發(fā)生的網(wǎng)絡(luò)安全重大事件，其特征充分反映了網(wǎng)絡(luò)安全防御的復(fù)雜性和全球性。5月12日爆發(fā)的“想哭”（WannaCry）勒索病毒感染150多個(gè)國(guó)家，甚至連物理隔離的專用網(wǎng)絡(luò)也未能幸免。因此，基于對(duì)抗的理念開(kāi)展網(wǎng)絡(luò)安全工作極為重要，而且要從全球的角度來(lái)考慮網(wǎng)絡(luò)安全和安全防護(hù)，我們的對(duì)手是全球的黑客，且具有國(guó)家或組織背景，你或許永遠(yuǎn)都不知道你的網(wǎng)絡(luò)什么時(shí)候、從什么地方遭遇到什么攻擊，你的數(shù)據(jù)被竊取時(shí)，你的對(duì)手也永遠(yuǎn)不會(huì)告訴你，這是一場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng)。因此，僅從自己?jiǎn)挝坏慕嵌葋?lái)做網(wǎng)絡(luò)安全是做不好的，需要整合國(guó)家資源和專業(yè)的隊(duì)伍提供專業(yè)的服務(wù)和信息安全的情報(bào)共享，并具備跟蹤溯源的能力，才能做好網(wǎng)絡(luò)安全，保證國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的安全，于無(wú)聲處捍衛(wèi)國(guó)家安全。

一、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

2017年，稱為“影子中介”（The Shadow Brokers）的神秘黑客組織在網(wǎng)絡(luò)上公開(kāi)拍賣所竊取美國(guó)國(guó)家安全局（NSA）的網(wǎng)絡(luò)入侵和攻擊工具，一旦這些工具流入社會(huì)，可能會(huì)危及數(shù)十億的軟件用戶。與此同時(shí)，“影子中介”披露了美國(guó)政府相關(guān)部門與高科技公司聯(lián)手隱瞞商用網(wǎng)絡(luò)產(chǎn)品中存在的錯(cuò)誤或漏洞，并利用這些錯(cuò)誤或漏洞進(jìn)行情報(bào)搜集，引起了國(guó)際社會(huì)的高度關(guān)注和擔(dān)憂。

1、“寵物”（Petya）勒索病毒變種亦開(kāi)始肆虐，俄羅斯、烏克蘭等歐洲多國(guó)大面積感染。與“想哭”相比，“寵物”病毒變種的傳播速度更快。它不僅利用了美國(guó)國(guó)家安全局“永恒之藍(lán)”（Eternal Blue）等網(wǎng)絡(luò)武器攻擊系統(tǒng)漏洞，而且對(duì)內(nèi)網(wǎng)自動(dòng)滲透。在歐洲國(guó)家重災(zāi)區(qū)，新病毒變種的傳播速度達(dá)到每10分鐘感染5000余臺(tái)電腦，運(yùn)營(yíng)商、石油公司、零售商、機(jī)場(chǎng)、ATM機(jī)等許多企業(yè)和大量公共設(shè)施淪陷，甚至烏克蘭副總理的電腦也未能幸免。

2、2月份，互聯(lián)網(wǎng)基礎(chǔ)服務(wù)商Cloudflare的代理服務(wù)器被發(fā)現(xiàn)緩沖區(qū)溢出缺陷，導(dǎo)致各大知名互聯(lián)網(wǎng)品牌泄露了大量用戶私人會(huì)話密鑰和個(gè)人信息，被稱為“云出血”（Cloudbleed）。這個(gè)安全事件提醒對(duì)云服務(wù)單點(diǎn)故障影響的權(quán)衡，其遭受到網(wǎng)絡(luò)攻擊的破壞性可能會(huì)潛在地危及大面積網(wǎng)絡(luò)及應(yīng)用安全。

3、從3月到8月，維基解密持續(xù)地披露美國(guó)中央情報(bào)局（CIA）21種網(wǎng)絡(luò)入侵工具，被稱之為“墓穴7”（Vault 7），包括惡意軟件、病毒、木馬、零日攻擊、遠(yuǎn)程控制系統(tǒng)和相關(guān)文檔。“墓穴7”也再次引發(fā)了國(guó)際社會(huì)關(guān)于政府發(fā)展網(wǎng)絡(luò)間諜工具的武器化所面臨的網(wǎng)絡(luò)安全問(wèn)題和風(fēng)險(xiǎn)的激烈辯論。

4、6月19日，由于數(shù)據(jù)庫(kù)設(shè)置的錯(cuò)誤，保存在亞馬遜托管服務(wù)器中的美國(guó)1.98億選民的記錄被泄露。數(shù)據(jù)系統(tǒng)配置錯(cuò)誤本身并不是惡意攻擊，但卻是一個(gè)非常關(guān)鍵的和普遍存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

從以上幾個(gè)案例可以看出，由于美國(guó)NSA部分網(wǎng)絡(luò)武器的曝光，給全球安全防護(hù)帶來(lái)極大的挑戰(zhàn)，對(duì)于大多數(shù)網(wǎng)絡(luò)入侵攻擊，其屬性和企圖可能是暫難以獲知。其特征主要表現(xiàn)在感知能力，攻擊者對(duì)目標(biāo)系統(tǒng)內(nèi)部的結(jié)構(gòu)和運(yùn)作具有較為明確的了解；隱蔽能力，可在較長(zhǎng)時(shí)間內(nèi)潛伏于目標(biāo)系統(tǒng)而未被檢測(cè)發(fā)現(xiàn)；作戰(zhàn)能力，可將多個(gè)惡意程序組合起來(lái)進(jìn)行間諜活動(dòng)、竊取數(shù)據(jù)或破壞行動(dòng)；行動(dòng)能力，應(yīng)用特殊類型的計(jì)算機(jī)惡意代碼，可以繞過(guò)網(wǎng)絡(luò)安全防護(hù)技術(shù)。這些能力的提高對(duì)我們?cè)谛滦蝿?shì)下網(wǎng)絡(luò)安全帶來(lái)新的風(fēng)險(xiǎn)，也對(duì)我們的安全防御帶來(lái)新的挑戰(zhàn)。其風(fēng)險(xiǎn)主要表現(xiàn)在以下幾個(gè)方面：

（一）國(guó)家安全與公共安全

在場(chǎng)景、受眾和目的上出現(xiàn)混淆，導(dǎo)致網(wǎng)絡(luò)安全存在嚴(yán)重的顧此失彼，甚至漸行漸遠(yuǎn)而出現(xiàn)偏廢。

1、國(guó)家安全主要涉及的是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施（或小眾），且有不同的業(yè)務(wù)及服務(wù)類型，以及面對(duì)不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和安全威脅。例如，遞進(jìn)持續(xù)性威脅（APT）。

2、傳統(tǒng)的“誰(shuí)使用誰(shuí)負(fù)責(zé)，誰(shuí)管理誰(shuí)負(fù)責(zé)”的條塊劃分安全理念，使網(wǎng)絡(luò)安全被分割成“散點(diǎn)”或“碎片”，而成為“一畝三分地”。

3、目前我們各單位大多數(shù)以網(wǎng)絡(luò)安全事件為驅(qū)動(dòng)力，且大事化小，小事化無(wú)的文化傳統(tǒng)的影響，及以項(xiàng)目或合規(guī)為目的，趨于就事論事，而缺乏全局觀念、理念和行動(dòng)。

4、專業(yè)知識(shí)和技能與網(wǎng)絡(luò)安全實(shí)際需求存在明顯差距，千人一面的同質(zhì)同構(gòu)狀況普遍。

5、相關(guān)政策缺少針對(duì)性、缺乏指導(dǎo)性，且滯后于現(xiàn)實(shí)而不具備與時(shí)俱進(jìn)、與數(shù)俱進(jìn)的可執(zhí)行性。

（二）網(wǎng)絡(luò)入侵和攻擊趨向于武器化

“影子中介”和維基解密的現(xiàn)象在形式上趨向于“泛濫化”，模糊了專業(yè)與業(yè)余的黑客能力之區(qū)別，使網(wǎng)絡(luò)安全的態(tài)勢(shì)更加復(fù)雜。

1、在最近一個(gè)時(shí)期連續(xù)發(fā)生的全球性網(wǎng)絡(luò)安全事件，或多或少都與美國(guó)國(guó)家安全局泄露的“永恒之藍(lán)”和“永恒之石”相關(guān)聯(lián)。

2、據(jù)“影子中介”稱，隸屬于美國(guó)國(guó)家安全局的方程式組織已收買了美國(guó)科技公司，要求在發(fā)現(xiàn)的漏洞被公開(kāi)之前不要打補(bǔ)丁。

3、8月18日，美國(guó)的網(wǎng)絡(luò)司令部被升級(jí)為一級(jí)聯(lián)合作戰(zhàn)司令部，其地位與中央司令部、戰(zhàn)略司令部等美軍主要聯(lián)合作戰(zhàn)司令部同級(jí)。升級(jí)后的網(wǎng)絡(luò)司令部將把網(wǎng)絡(luò)行動(dòng)整合到由單一的指揮官負(fù)責(zé)，從而優(yōu)化對(duì)時(shí)間緊迫網(wǎng)絡(luò)行動(dòng)的指揮和控制。

8月18日，美國(guó)的網(wǎng)絡(luò)司令部被升級(jí)為一級(jí)聯(lián)合作戰(zhàn)司令部

（三）國(guó)家的數(shù)據(jù)主權(quán)和跨境數(shù)據(jù)傳輸

由于對(duì)數(shù)據(jù)作為資產(chǎn)的理念缺乏應(yīng)有的重視及關(guān)注，對(duì)網(wǎng)絡(luò)空間與網(wǎng)絡(luò)安全之間關(guān)系和術(shù)語(yǔ)尚未在理念上形成共識(shí)。某些傳統(tǒng)概念的偏見(jiàn)和慣性，網(wǎng)絡(luò)安全長(zhǎng)期以來(lái)處于“只監(jiān)不控”的狀態(tài)，相關(guān)的法律和政策得不到完善和落實(shí)，直接導(dǎo)致網(wǎng)絡(luò)安全凸顯忽視基礎(chǔ)的倒置狀況，或流于表象、表面的形式。

1、域名作為主權(quán)國(guó)家的戰(zhàn)略資源，長(zhǎng)期處于放任自流而疏于管理，其應(yīng)用行為普遍地存在濫用、誤用及被利用，也被APT利用為指揮和控制及跨境數(shù)據(jù)傳輸?shù)碾[蔽隧道。

2、敏感數(shù)據(jù)在形式上的托管和代管，在實(shí)際上卻是商用、共用和混用的“三不管”（主管部門不管、用戶單位不管、服務(wù)商不管），而部分國(guó)家黨政機(jī)關(guān)和國(guó)家關(guān)鍵基礎(chǔ)設(shè)施單位的工作郵箱大量使用互聯(lián)網(wǎng)郵箱，其郵件服務(wù)器部署到境外。更有甚者，個(gè)別企業(yè)將分配給中國(guó)的IP地址再轉(zhuǎn)賣到美國(guó)、臺(tái)灣或日本等，也給網(wǎng)絡(luò)安全分析帶來(lái)誤判。

3、網(wǎng)絡(luò)安全的方式和方法存在偏差，缺少常態(tài)、持續(xù)的工作機(jī)制，尤其是網(wǎng)絡(luò)采樣和抽樣造成數(shù)據(jù)的不完整、不一致，難以避免誤讀、誤解、誤導(dǎo)。

（四）可能對(duì)全局產(chǎn)生影響的小概率事件

網(wǎng)絡(luò)安全事件本身就是由小概率行為所觸發(fā)，并可能由此形成涌現(xiàn)的影響和難以預(yù)料的后果。

1、國(guó)際大環(huán)境形勢(shì)出現(xiàn)的動(dòng)蕩，直接、間接地反映或轉(zhuǎn)嫁到網(wǎng)絡(luò)安全。例如，朝核問(wèn)題（“神秘的眼鏡蛇”）、伊斯蘭國(guó)（ISIS）的恐怖襲擊行動(dòng)、印度民間組織的網(wǎng)軍等。

2、由于數(shù)據(jù)泄露（含個(gè)人隱私），網(wǎng)絡(luò)攻擊或人為錯(cuò)誤導(dǎo)致大面積斷網(wǎng)，造成對(duì)國(guó)家安全及社會(huì)穩(wěn)定的較大范圍影響。

3、由于網(wǎng)絡(luò)安全事件引發(fā)國(guó)家之間在局部領(lǐng)域的對(duì)抗。

二、2018年網(wǎng)絡(luò)安全總體趨勢(shì)

2018年，網(wǎng)絡(luò)安全的總體趨勢(shì)主要體現(xiàn)在：網(wǎng)絡(luò)安全形勢(shì)較2017年會(huì)更為嚴(yán)峻，傳統(tǒng)安全問(wèn)題因美國(guó)國(guó)家安全局（NSA）網(wǎng)絡(luò)武器庫(kù)的曝光而使防御難度加大，全球性的網(wǎng)絡(luò)攻擊事件會(huì)成為一種新常態(tài)，更因?yàn)樾录夹g(shù)的引入和廣泛使用，如云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等所帶來(lái)的安全挑戰(zhàn)，其技能短缺、人才缺乏等因素，更主要的是我們的理念要從單一、本單位防御、基于設(shè)備靜態(tài)被動(dòng)防護(hù)轉(zhuǎn)向主動(dòng)防御、基于行為的實(shí)時(shí)管控，以及監(jiān)測(cè)和響應(yīng)的轉(zhuǎn)變?yōu)槿旌蛉轿桓兄W(wǎng)絡(luò)安全態(tài)勢(shì)。因此，2018年網(wǎng)絡(luò)安全形勢(shì)發(fā)展的總體態(tài)勢(shì)和挑戰(zhàn)是如何有效地應(yīng)對(duì)動(dòng)態(tài)涌現(xiàn)的“未知”。

（一）網(wǎng)絡(luò)安全的內(nèi)涵及所需的技能在持續(xù)地變化

隨著網(wǎng)絡(luò)安全總體態(tài)勢(shì)的動(dòng)態(tài)變化，需要新的數(shù)據(jù)科學(xué)和數(shù)據(jù)分析的技能。信息化的普及意味著以人為中心的網(wǎng)絡(luò)安全智能化（并非僅僅是自動(dòng)化）不可或缺，也是適應(yīng)網(wǎng)絡(luò)安全形勢(shì)發(fā)展的關(guān)鍵。

（二）云計(jì)算安全成為重要任務(wù)

隨著云計(jì)算環(huán)境的成熟應(yīng)用，它正在成為一個(gè)安全目標(biāo)。數(shù)據(jù)和應(yīng)用的集中，意味著風(fēng)險(xiǎn)也在集中。所面臨的問(wèn)題是：管理邊界的模糊，責(zé)任分工的不明確及對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)監(jiān)控缺位。因此，需要制定私有云和公共云使用的安全指南，并需要對(duì)云安全風(fēng)險(xiǎn)有嚴(yán)格的評(píng)估。

（三）網(wǎng)絡(luò)安全的重點(diǎn)轉(zhuǎn)移為防護(hù)和預(yù)防

由于網(wǎng)絡(luò)入侵和攻擊難以避免，應(yīng)對(duì)網(wǎng)絡(luò)安全威脅更為有效的方法是監(jiān)測(cè)、響應(yīng)、修復(fù)及評(píng)估，對(duì)安全事件的處置并形成閉環(huán)，且由此逐步提升預(yù)防網(wǎng)絡(luò)安全威脅的能力。

（四）網(wǎng)絡(luò)安全威脅信息共享

由于信息在數(shù)據(jù)中分布的不均勻性，采集數(shù)據(jù)的不完整性，安全理念的落后，獲取數(shù)據(jù)能力的不一致性及技術(shù)的不對(duì)稱性，是造成網(wǎng)絡(luò)安全被動(dòng)的主要原因，要加強(qiáng)網(wǎng)絡(luò)安全威脅信息共享。

三、對(duì)國(guó)家網(wǎng)絡(luò)安全工作的建議

網(wǎng)絡(luò)安全（Cybersecurity）是網(wǎng)絡(luò)空間（Cyberspace）的包容性術(shù)語(yǔ)，對(duì)其含義本身的共同理解是一個(gè)重大挑戰(zhàn)。健全網(wǎng)絡(luò)安全的自主可控（保密性）、安全可信（一致性）、高效應(yīng)用（可用性）是一項(xiàng)長(zhǎng)期、艱巨、多元的任務(wù)。

1、從網(wǎng)絡(luò)空間同屬于人類命運(yùn)共同體的范疇，到網(wǎng)絡(luò)安全是主權(quán)歸屬問(wèn)題、數(shù)據(jù)和信息是國(guó)家資產(chǎn)問(wèn)題，通過(guò)對(duì)理念探討的共識(shí)，制定行之有效的策略、政策、法規(guī)，并指導(dǎo)貫徹和落實(shí)。

2、通過(guò)試點(diǎn)示范，自上而下地構(gòu)建網(wǎng)絡(luò)安全的縱深和整體的關(guān)聯(lián)協(xié)同體系，推動(dòng)網(wǎng)絡(luò)安全信息共享、分析和積累，態(tài)勢(shì)感知應(yīng)強(qiáng)化重在認(rèn)知“缺失了什么”，而不是“領(lǐng)先了什么”。

3、切實(shí)注重和加強(qiáng)人才培養(yǎng)和專業(yè)團(tuán)隊(duì)的建設(shè)，從“智慧源于對(duì)術(shù)語(yǔ)的定義”開(kāi)始，尤其強(qiáng)調(diào)開(kāi)放包容和最佳實(shí)踐。必須注意到，掌握對(duì)話、對(duì)弈、對(duì)抗的“不對(duì)稱”制高點(diǎn)，首先需要改變目前在理念、知識(shí)和能力上與現(xiàn)實(shí)發(fā)展之間存在的差距和短板，即“不對(duì)稱”的挑戰(zhàn)。