2016年网络新信息技术领域安全扫描 作者:中国信息安全杂志

 重要信息系统:高度重视保障工作   安全态势依然严峻

2016年是国家“十三五”规划的开局之年,对于通信、金融、电力等国家重要行业而言,也是面向网络强国目标的信息通信基础设施发展建设的起飞加速之年。各行业密切跟踪国际信息化和信息安全发展动态,紧密围绕国家信息化和信息安全发展战略,实施了一系列安全措施和举措,逐步提升了信息安全防护水平。

基础电信企业持续推进供给侧改革,网络质量不断提高,用户结构持续优化,数据业务快速发展,行业呈现健康发展态势。根据国家发展政策及行业发展形势,中国移动、中国电信和中国联通三大电信运营商纷纷发布了转型升级新战略,致力于成为领先的综合智能信息服务运营商,着力推进网络智能化、业务生态化、运营智慧化。

电力行业按照国家能源局的总体工作部署,进一步加强信息安全等级保护和电力监控系统风险评估工作,不断提高电力行业网络安全防护能力。各单位按照国家能源局信息安全等级保护及电力监控系统风险评估的要求,从网络安全管理和技术两方面着手,不断加大工作力度,在网络安全责任制落实、网络安全策略和安全体系规划、网络安全管理制度建设、网络安全技术措施落实、信息系统运行实施监测、应急预案制定及演练、信息系统的备份和网络安全资金投入等方面都有了显著的提高。

银行业发展呈困难与机遇并存状态。互联网+、互联网金融的迅猛发展,冲击着银行业发展环境,经营压力日益严峻。但同时,银行业出现了国际化发展的新机遇。亚投行成立、“一带一路”开辟新市场、人民币国际化,均有利于国内银行业以改革开放发展成果为后盾,以人民币业务为切入点,来拓展广阔的国际市场。银行业转型与创新发展,也给银行业信息安全提出了严峻挑战。在“互联网+”日益发展的背景下,信息泄露和滥用问题越来越严峻,现有银行内部安全意识、网络技术和管理体制等各方面已不足以全面抵抗高等级的信息安全威胁和攻击。

我国政府一直高度重视国家基础信息网络和重要信息系统的信息安全保障工作,2016年举措不断。但随着行业新技术新应用的引入、业务多元化的实现以及信息化工业化的不断融合,信息系统复杂性带来的安全隐患和攻击方式的多样性、隐秘性使得国家基础信息网络和重要信息系统信息安全形势依然严峻。当前,敏感数据泄漏事件频发,新型漏洞层出不穷,业务安全隐患突出,行业风险闭环管控机制不完善,预警应急效能不足,安全保障工作滞后于新技术应用,核心要害部位依赖国外,这些问题仍需要认真重视并加以解决。

  电子政务:发展初具规模   安全仍是制约

电子政务是政治信息化的重要表现,已成为世界各国优先发展的战略目标。2016年,我国电子政务从1.0时代的信息公开、2.0时代的公众互动、3.0时代的平台化服务进入了4.0时代的智慧政府阶段。4.0时代的电子政务发展以政务服务平台为基础、数据开放平台为手段、公共服务普惠化为主要内容,实现智慧政府的最终目标。同时,移动技术应用推动公共服务效率大幅提高,大数据技术应用加强统筹协调与信息共享,以物联网、云计算、智慧城市为代表的智能化技术应用促进政务管理决策更加精确合理。

政府治理思路的创新及信息技术的发展为中国电子政务的发展提供了有利的环境,“十三五”的关键历史阶段为电子政务发展提供了广阔的空间,党中央、国务院为信息化和电子政务发展提供一系列制度红利,国家经济社会发展为电子政务提供了良好的现实基础和社会氛围。当前我国电子政务的服务水平、服务技术与服务覆盖范围已经有了显著变化。在“互联网+”的时代,电子政务发展作为国家战略及网信安全重点建设领域,创新政府便民利民的工作方式,优化行政资源配置,提高行政效率,为我国传统的行政服务模式注入了新的活力。

2016我国电子政务发展有以下特点:新技术在电子政务建设中发挥重要作用,移动电子政务成标配。很多政府网站在改版的同时建立了政务微信和政务微博,甚至开发了响应的移动应用,公众可利用手机、PAD等智能终端办理事务,获取个性化资源和政务消息,及时了解政府部门的重大政策、重要决策以及工作进度。

政府数据开放成趋势,大数据技术为电子政务增添新应用。如气象数据为理性救灾指明道路、旅游大数据助推经济发展、交通大数据预警拥堵、教育大数据提高毕业率等现象均是大数据技术在电子政务领域已经落地一些应用案例和实践。

电子政务云平台初建规模,信息安全审查工作紧密进行。多个政府部门开始积极探索采用云计算来满足电子政务和公共服务需求。洛阳“智慧旅游平台”、杭州“电子政务云”、浙江省水利厅“台风发布系统”、南京市政府“桌面云平台”等均取得了良好的应用效果和成本节约。2016年,中央网信办还公布了首批通过电子政务云安全审查的政务云名单。

2016年,各级政务部门的信息安全保障能力都稳步提高,互联网企业切入电子政务服务竞争格局,安全服务能力日趋拓展。但我国电子政务发展中仍存在一些严峻挑战和亟待解决的问题,尤其是关键技术和信息安全问题仍然对电子政务发展形成较大制约,影响了电子政务在我国的推广应用。当前存在的主要问题是安全防护能力参差不齐,网信工作开展意识不强,以及政务数据逐步开放,信息安全隐患逐渐严重。

  云计算:积极构建云生态   开源技术促安全

2016年,在《国务院关于促进云计算创新发展培育信息产业新业态的意见》、《关于积极推进“互联网+”行动的指导意见》、《云计算综合标准化体系建设指南》等利好政策作用下,我国云计算产业得以迅速发展。

从整体上看,公有云服务竞争更加激烈,私有云服务市场需求不断增大,混合云逐渐成为云计算的主流模式。在市场上,一方面以阿里、腾讯为代表的我国云服务提供商纷纷推出全新云品牌理念,并宣布“出海”计划,另一方面,国外Amazon、IBM等国外云服务提供商开始全力冲击国内市场。2016年,国内云服务商的一个重要动态是主动构建云服务的生态系统,以联盟的方式协同攻关,为企业、政府提供一站式服务,并呈现出向金融等传统行业渗透的积极态势。同时,开源技术生态成为云计算技术发展的重要力量,使得安全可靠的云计算产品和解决方案在各领域得以应用。

2016年云计算安全面临着新的安全挑战,安全态势不容乐观。总体上,安全威胁有逐渐增强的趋势,安全防护技术也同步在提高。在云安全威胁方面,云安全联盟列出2016年的“十二大云安全威胁”包括,数据泄露、凭证被盗和身份验证如同虚设、界面和API被黑、系统漏洞利用、账户劫持、恶意内部人士、APT(高级持续性威胁)寄生虫、永久的数据丢失、调查不足、云服务滥用、拒绝服务(DoS)攻击、共享技术,共享危险等。

在云安全防御技术方面,云安全纵深防御体系开始显现,并成为云安全防御方法的主要趋势。纵深防御体系能大大增强信息安全的防护能力,其有两个主要特性,一是多点联动防御,即将安全环节协同作战、互补不足,带来了更好的防御效果;二是入侵容忍技术,即使攻击者突破了某层隔离防线,但是,其仍难以有进一步的破坏行为。

云上的安全设备虚拟化是另外一个重要的云安全趋势。当前,部分云安全企业将安全软件由硬件盒子抽出,利用不同的虚拟化技术,形成了满足不同云安全需求的安全设备单元。但和硬件安全设备相比,安全设备虚拟化增加了攻击平面、降低了可信边界,因此,为避免带来新的威胁,需要谨慎管理虚拟化安全设备。

此外,当前我国云计算领域安全形势仍存在以下问题:云计算安全监管及指导的政策规范等覆盖范围及深度尚待加强深化;国外云平台存在的后门或漏洞对我国网络空间安全带来重大挑战;云计算和区块链等新技术的融合发展将使安全变得更加错综复杂,隐患重重;云计算自身防护架构及体系尚不完善,面临安全威胁增多增强,弱点频出。为此,还需加强云计算政策指导及监管力度,完善监管体系;加强云计算源代码审查工作,排后门防隐患;加强推动云风险评估,主动掌控云风险并实现云风险感知。

  物联网:进入规模化发展   安全与发展差距加大

2016年全球物联网生态系统加速构建,正从概念炒作阶段进入实质性推进和规模化落地的新阶段。美国、欧盟、日本、韩国等世界主要经济体都提出了基于本经济体的物联网发展规划,把物联网视为增强综合国力和发展动力的战略重点。物联网作为我国战略性新兴产业之一,2016年逐渐从政府推动转向市场主导,国务院及相关部委陆续出台了多项产业政策促进物联网产业的发展。

目前,中国已有28个省市将物联网作为新兴产业发展重点之一,在无锡、重庆、杭州、福建等地建设国家级物联网产业基地,形成环渤海、长三角、泛珠三角以及中西部地区等区域物联网产业集聚发展的格局,物联网产业规模达到7500亿元。

随着物联网新型应用的大范围推广使用,物联网的安全问题日益暴露,逐渐引起各国重视,但国内在安全保障方面仍显滞后。在物联网安全保障方面,我国早在2012年、2013年就分别提出了《国务院关于大力推进信息化发展和切实保障信息安全的若干意见国发〔2012〕23号》、《国务院关于推进物联网有序健康发展的指导意见》等相关意见,明确提出“要加强物联网重大应用和系统的安全测评、风险评估和安全防护工作,保障物联网重大基础设施、重要业务系统和重点领域应用的安全可控”等工作,但是在落实方面相较于国外还有一定的差距。在物联网信息安全标准研制工作中,我国近两年有3项自主创新的物联网安全关键技术纳入了国际标准体系,从一定程度上改变了我国物联网领域核心技术受制于人的局面。

由于物联网与云计算、大数据、移动互联网等前沿技术的融合应用,使物联网面临的安全问题相比传统IT系统更加多元化、复杂化,物联网正成为网络攻击的新平台、信息窃取的新战场。在智能交通、智能家居、智能可穿戴等领域,各种新型攻击层出不穷,物联网安全已成为黑客关注的焦点。今年9月,针对物联网僵尸网络的恶意代码Mirai源码在互联网上公开,导致物联网设备被感染的风险持续增加,利用物联网僵尸网络进行DDoS攻击的事件接连发生,呈大规模上涨趋势,目前已导致美国、德国等多地发生大范围网络故障事件。

物联网系统先天缺乏安全防范,技术漏洞普遍存在。生产厂商“重发展轻安全”、“先发展后安全”的现象突出。安全与发展出现越来越大的差距,将会制约物联网的整体发展进度。同时,国内物联网产业链复杂且发展不均衡,大多数物联网产品的核心技术受控于国外,我国仍处于全球产业链下游,安全隐患不容小觑。

  移动互联网:移动设备安全问题凸显   移动支付成为主要目标

2016年,我国移动互联网发展突飞猛进。根据中国互联网信息中心(CNNIC)在2016年8月3日发布的《第38次中国互联网络发展状况统计报告》显示,截至2016年6月,中国网民规模达7.10亿,手机网民规模为6.56亿,占比提高至92.5%,而单一使用手机上网的网民数量约为1.74亿,占网民总数的24.5%。据中国信息通信研究院《移动智能终端暨智能硬件白皮书(2016)》显示,全球移动互联网流量进入泽字节(ZB)时代,移动互联网用户数32亿,增速趋近自然人口增速,其预计至2020年,移动流量年复合增长大于45%,移动端数据量将增长8倍。

5G技术快速发展,我国华为公司主推的Polar Code方案,成为5G控制信道eMBB场景编码方案,在国际5G标准中占有重要地位。

随着移动社交媒体、移动购物平台、移动支付的不断完善和发展,不同行业之间的跨界融合趋势日益明显,移动生态圈逐渐形成,人们的生活进入“移动互联网+”时代。

“移动互联网+”时代,面临前所未有的安全挑战。移动设备安全问题凸显,iOS平台和安卓平台都陆续爆出了多个影响数亿台设备的安全漏洞,根据CNNVD数据统计,截至2016年9月,安卓平台爆出的高危安全漏洞数量已超过200个。泄露窃密性攻击步入“高发期”,今年以来,陆续爆发了多起大量用户隐私数据泄露的事件,大量黑产利用泄露的用户隐私数据进行更加精细化的渗透和攻击,很多正规的移动APP及相关系统中都存在着敏感数据明文传输、明文存储用户隐私等安全问题。同时,在我国移动支付迅速增长的同时,移动支付类应用及相关系统成为攻击者的主要攻击目标。今年以来,部分手机银行客户端被爆出存在安全绕过漏洞,攻击者可利用该漏洞绕过安全保护机制,直接查询甚至修改任意用户账户的银行卡详细信息。

黑客开始实施针对无线通信基础设施的攻击,WIFI安全问题突出。勒索、色情、赌博、广告等恶意软件不断成熟,恐怖分子和恐怖组织也纷纷涉足移动互联网。同时,随着APP加固技术的发展,移动恶意软件也纷纷采用加固技术以抵抗反病毒软件的分析,这使得移动恶意软件更难被发现和查杀。更多的移动恶意软件开始利用系统或者应用软件漏洞进行植入,并使用商业级代码保护技术以躲过反病毒软件的查杀,给反病毒工作带来了更大的困难。

大数据:明确作为国家战略   积极应对数据安全

2016年,数据泄露事件频繁发生,我国政府积极出台相关政策及应对措施,为大数据的可持续发展创造了良好条件, 在大数据的社会认知、政策环境优化、产业发展等方面取得积极进展。

在国家层面,我国正式将大数据提升至国家战略层面,各部委进一步加强政策引导。2016年3月,《中华人民共和国国民经济和社会发展第十三个五年规划纲要》发布,提出“实施国家大数据战略”,明确要把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快完善大数据产业链。习近平总书记在网络强国会议上的讲话,明确提出了建设国家大数据中心的任务。国土资源部、国家发改委、交通运输部、工信部等各部委也陆续出台和实施与大数据相关的政策文件。

在地方政府层面,我国各省市结合各自需求特色发展。2016年,北京、上海、山东等20多个省、自治区、直辖市发布了大数据相关发展规划,超过20个部门制定了大数据业务应用相关文件,以对接国家发展战略。

在技术标准层面,我国大数据标准进一步完善,并开始在国际上崭露头角。2016年,全国信息技术标准化技术委员会(TC28)大数据标准工作组发布了《大数据标准化白皮书 V2.0》,阐述了大数据标准体系框架的研究工作。全国信息技术标准化技术委员会还设立了大数据安全特别工作组,负责和组织大数据安全标准体系和大数据安全相关标准的研制工作。

在产业层面,我国大数据产业发展呈现聚集雏形,产业规模保持高速增长趋势。到目前为止,全国各地已建成和在建的大数据产业园已达到100多个。据国家发改委预测,未来5年我国大数据产业规模年均增长率将会超过50%,到2020年我国的数据总量将会超过8000亿PB(数据单位),占全球数据总量的比例达到20%,届时我国将成为世界第一数据资源大国和全球的数据中心。

在安全层面,数据泄露事件层频繁发生,我国政府积极出台相关政策及应对措施。从隐私的角度来看,大数据时代把网络大众带入到了一种开放透明的“裸奔”时代,2016年数据泄露事件频繁发生。面对大数据安全这一普遍性问题,面对大数据安全这一普遍问题,我国政府积极出台相关政策及应对措施。2016年3月,十二届全国人大四次会议表决通过的《关于国民经济和社会发展第十三个五年规划纲要》提出要实施国家大数据战略,必须强化信息安全保障。此外,全国人大常委会、工信部、公安部等也都在加快构建大数据安全网络,相继出台了《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等法规以及多部涉及数据保护的部门规章,发布了国家和行业的网络个人信息保护相关标准,并开展了以数据安全为重点的安全防护检查。

智慧城市:仍处探索阶段   安全未成体系

2016年,全球越来越多的国家加入了智慧城市建设的热潮。在我国,智慧城市也已成为国内信息化建设的潮流,当前我国有超过300个城市提出要进行智慧城市建设。

智慧城市中传感感知、通信传输、应用服务、智能分析处理等诸多层面安全风险和脆弱性日益凸显,使得智慧城市的可持续发展面临严峻的安全威胁。国家发改委、网信办等联合编制的首个国家智慧城市评价指标体系即将出台,597个智慧城市试点将面临国家部委的首次评价检验。其中,网络安全是该评价指标体系中的一级指标之一。预计到2020年,建成一批特色鲜明的智慧城市,聚集和辐射带动作用大幅增强,综合竞争优势明显提高,在保障和改善民生服务、创新社会管理、维护网络安全等方面取得显著成效。

我国多数城市还处于智慧城市建设的一个探索阶段,云计算、大数据、物联网、人工智能等新兴技术在智慧城市建设中已经得到初步应用,但智慧城市作为多应用、多行业、复杂系统组成的综合体,多个应用系统之间存在信息共享、交互。而智慧城市建设存在顶层设计缺乏、技术标准不统一、数据整合共享难,智能基础设施建设落后、社会公众获得感不突出等问题。因此,严格意义上讲,很多“智慧城市”其实还处于数字城市、信息化城市的发展水平,距离“智慧”还有很长的路要走。

当前我国智慧城市的建设主要面临以下安全风险:智慧城市已初步整合各领域资源,民生领域信息安全风险加剧;新兴技术得到初步应用,城市大数据安全成为重中之重;移动终端和智能应用接入智慧网络,但也聚集了新型信息安全威胁。同时,核心技术的缺失,数据安全防护工作未成体系,智能应用本身的安全问题都是潜在的安全隐患。

未来我国智慧城市需从碎片化走向系统融合,跨区域、跨领域协作将成趋势。智慧城市评价工作也将逐步开展,技术应用、业务开展将被充分摸底。智慧城市的标准体系逐步建立,覆盖新技术、新应用、新业务。为此,传统的局部防御和应用级安全已经无法适应智慧城市建设安全保障的要求,应从智慧城市业务系统的概念设计、建设实施到后期运维等各个环节充分保障智慧城市建设的信息安全,形成智慧城市建设信息安全保障的完整闭环。

工业控制系统:全评估和标准制定加速   全保障滞后产业发展

2016年,随着“中国制造2025”计划的推进和实施,关键基础设施的部分工控系统在逐步和互联网进行连接,大幅度地扩大了关键基础设施的网络边界,使得其工控系统面临着来自于互联网的各种网络安全威胁。工控系统已经成为国内外黑客组织、信息安全研究组织、情治机构、恐怖组织等的攻击目标,导致工控系统信息安全事件频发。

国外针对基础设施的安全评估已形成常态机制,我国工业控制系统信息安全检查已加速开展。2016年6月中央网信办发布关于开展关键信息基础设施网络安全检查的通知,组织多部门针对全国关键信息基础设施进行网络安全检查,工控系统的信息安全也纳入检查范畴,其中包括重点省市石油、交通等行业的工业控制系统网络安全检查。2016年10月工信部下发了关于印发《工业控制系统信息安全防护指南》的通知,提出地方工业和信息化主管部门根据工信部统筹安排,指导本行政区域内的工业企业制定工控安全防护实时方案。

2016年,我国多项工控信息安全标准开始陆续出台,为行业自查及安全检查和测评提供有力支撑。2016年8月全国信息安全标准化技术委员会发布了GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》。同时,一系列工控安全相关标准也正在加快推进,覆盖了工控安全相关防护产品技术要求、工控风险评估、工控安全管理、工控信息安全分级、工业控制系统安全控制应用等。

我国工业控制安全防护产品的产业化正在迅速发展,国内工业控制安全防护产品的产业化正在迅速落地,产品包括工控防火墙、主机白名单、工控安全审计及异常检测、工控漏洞挖掘及扫描、工控堡垒机、安全隔离网关、安全加密网关、可信计算安全平台、工控安全管理平台、远程认证装置等。这些产品已在部分企业进行局部试点应用,但是由于工业控制系统的特殊性,导致用户对工控安全防护产品的部署应用较为谨慎,并未大规模部署推广。

当前,工控领域还存在诸多隐患,需要高度重视。首先,国家的推动与行业的实施存在断层,工控信息安全的落地存在明显滞后。其次,工控系统人员安全意识问题仍没有引起足够重视,管理漏洞仍旧是诱发工控安全事件的主要先决条件之一。再次,新增工控漏洞持续增长,中高危漏洞占比高,基本覆盖主流工控产品,涉及石油、电力、交通、制造等国家基础设施领域。同时,工控系统的新型攻击手段隐蔽性更强,恶意代码已从传统工控信息网络层面下沉到工控控制网络层面。

 

2017-01-23 09:41
来源:中国信息安全杂志(2017.1)
热门推荐更多
热点新闻更多