《一、前言》

一、前言

随着信息技术的不断发展进步,网络安全面临的问题增多,企业对安全的重视程度逐渐增加,应 急响应工作显得举足轻重。新时期网络安全应急的 定位已发生了变化,应急的范围不仅仅包括网络,同时也有重要的信息内容。随着威胁的不断演化, 网络安全应急也面临着考验。

从总体上看,网络安全事件的处置分为包括国 家级政府、国家级非政府和地方级非政府在内的三 个层面。下层安全应急体系例如各家安全厂商的应 急响应中心,互联网公司、电商的应急响应中心纷 纷建立。即便如此,新一代网络安全威胁的传播速 度很快,攻击面很广,其威胁覆盖面已超乎我们的 想象,移动电话、个人电脑、网站、应用、社交媒 体无一幸免。突发事件的发生给应急工作带来巨大 的困难与考验。

进入 21 世纪,网络安全这一问题变得更加突出。 如 2000 年雅虎网站的大规模拒绝服务攻击,2001 年的红色代码事件,2001 年全球根域名服务器遭到 大规模拒绝服务攻击,2003 年的 SQL Slammer 蠕虫 病毒,2004 年的震荡波 ,2006 年的熊猫烧香病毒, 2010 年的震网事件 [1],2015 年利用 Cobalt Strike 平 台的 APT-TOCS[2] 事件、Hacking-Team 数据泄露事件、 Biige 等商业手机木马利用事件,以及 2016 年日趋 活跃的勒索软件的出现,使信息安全事件种类越来 越多,呈现出如下特点。

《(一)攻击组织化、趋利化》

(一)攻击组织化、趋利化

网络攻击不仅仅是单个黑客的炫技行为,也体 现为许多有组织的以获取经济利益为目的的商业行 为。其攻击行为的实施都有清晰分工,攻击组织化 大大增强了攻击者对各类网站和信息系统的攻击能 力,而目标趋利化则使得攻击所造成的危害进一步 加大。

《(二)攻击方法推陈出新》

(二)攻击方法推陈出新

传统攻击通常采用 rootkit、感染式病毒等方式, 而如今网络攻击的新思路、新技术、新方法不断出 现,如网络钓鱼、社会工程、网页挂马、0day 漏洞、 重定向等攻击。不断出现的种种新的攻击方法也增 加了网络与信息安全事件原因分析和技术处置的难 度。

《(三)攻击技术工具化、平台化》

(三)攻击技术工具化、平台化

纵观全球,传统意义的高级持续性威胁(APT) 攻击更多地让人联想到精干的作业团队、用于攻击 的基础设施、0day 漏洞挖掘小组以及恶意代码的编写小组等。但 APT-TOCS 事件攻击者依托自动化 攻击测试平台 Cobalt Strike 实现了对目标主机进行 远程控制的能力,用一种新的方式为一些技术能力 和资源相对有限的国家和组织提供一种新的示范选 择。这种方式降低了攻击的成本,而这种高度“模 式化”的攻击也会让攻击缺少鲜明的基因特点,从 而更难追溯,应急工作更难有效执行。

《(四)攻击目标范围广泛化》

(四)攻击目标范围广泛化

除传统的网站、信息系统外,域名系统等互联 网基础设施、邮件系统、工业控制系统、个人终端、 智能手机、无线网络等都已经成为网络攻击的目标。 这两年,除了熟悉的漏洞 Windows、Linux 和其他 类 Unix 系统、iOS、Android 等操作系统及其应用 软件漏洞外,安全威胁在小到智能汽车、智能家居、 智能穿戴,大到智慧城市都无所不在。

《二、应急响应的管理现状与存在问题》

二、应急响应的管理现状与存在问题

多年来,信息化发展已经深入到政府管理、企 业运作、群众生活等方面,成为支撑社会正常运转 的重要基础。当作为基础设施的信息系统出现故障 时,将会直接影响正常的社会管理和服务。

《(一)复杂的国内外环境》

(一)复杂的国内外环境

当今世界正发生着复杂深刻的变化。国际金融 危机深层次影响继续显现,世界经济缓慢复苏、发 展分化,国际投资贸易格局和多边投资贸易规则酝 酿深刻调整,各国面临的发展问题依然严峻。我国 “一带一路”顶层战略充分依靠与有关国家既有的 双多边机制 [3],借助既有的、行之有效的区域合作 平台,积极发展与沿线国家的经济合作伙伴关系。

国际经济贸易战略交叉,互联网应用水平增高, 使各国在合作的同时也体现出激烈的国际竞争与网 络力量的博弈。

《(二)核心技术和设备的缺失》

(二)核心技术和设备的缺失

国内网络与信息系统包括重要部门的信息系 统使用国外技术和产品的比率居高不下,技术水 平与基础设施供应不能很好匹配,与大国还有差 距。如美国具备强大的技术力量,包括监控硬件 生产、制造,操作系统、芯片在世界范围内的占有率,其所具备的强大的信息获取能力是其他国家 无法比拟的。

《(三)信息安全保障工作比较落后》

(三)信息安全保障工作比较落后

我国信息安全整体水平还相对比较落后,各级 地方政府虽然已经开始认识到信息安全的重要性, 但在具体工作的实施过程中仍存在问题,如应急响 应工作的开展相对滞后,很多单位未能较好地落实 国家要求,人才与投资显现出不足等问题。国家 计算机网络应急技术处理协调中心(CNCERT/CC) 自主监测的数据显示,2015 年已发现 10.5 万余个 木马和僵尸网络控制端,控制了我国境内 1 978 万 余台主机,抽样监测的恶意程序转发的用户邮件数 量超过 66 万封 [2],个人信息泄露事件频发,网络 设备安全漏洞风险较大,并有增加趋势。

2014 年,我国成立了中央网络安全和信息化领 导小组,统筹协调涉及各个领域的网络安全和信息 化重大问题。国务院重组了国家互联网信息办公室, 授权其负责全国互联网信息内容管理工作,并负责 监督管理执法。2016 年 4 月 19 日,中共中央总书 记习近平召开网络安全和信息化座谈会探讨网络安 全措施与办法 [4],强调在“十三五”开局之年网络 安全和信息化工作是“十三五”时期的重头戏;在 考察东北老工业基地期间,他来到了哈尔滨本地网 络安全企业安天科技股份有限公司,突显了国家对 于网络安全方面的重视。

纵观网络安全形势,去年由网络攻击引发的数 据泄露依旧猖獗。信息泄露的背后已经形成一条完 整的利益链,这些用户信息或被用于团伙诈骗、钓 鱼,或被用于精准营销。因恶意代码导致的信息泄 露事件中,极为值得反思的是 XcodeGhost 事件 [5], 截至 2015 年 9 月 20 日,各方累计发现已确认共 692 种 APP 曾受到污染,受影响的包括微信、滴滴、 网易云音乐等流行应用 [6]。这次事件采用了非官方 供应链污染的方式,反映了我国互联网厂商研发存 在缺陷和安全意识薄弱的现状。

从我国现阶段来看,信息安全突发事件应急管 理工作取得了一定的进展,但从总体来看,应急预 案不够完善,在实际应用上,缺乏实用性和可操作 性。除了中国外,世界上网络大国或网络发达国家 都制定了网络安全国家战略 [7]。各国网络安全战略 之所以如此密集地出台,主要是因为随着互联网的迅速发展和普及,各国政府、关键基础设施、企业 和公民均严重依赖于网络的可靠功能;网络安全出 现问题,将严重危及政府和企业的运转,极大影响 公众的社会生活,可以说网络安全是一国繁荣发展 的“生命线”。因此,合理建立信息安全突发事件 的应急响应体系,实现有限投入下最大程度地降低 信息安全突发事件的负面影响,就成为一个迫切需 要解决的问题。

我国在互联网网络安全应急保障体系方面,已 经初步形成了在工业和信息化部互联网应急工作办 公室领导下,以 CNCERT/CC 为核心、以各种互联 网骨干网运营企业为依托、以应急服务支撑单位为 后援的国家级网络安全应急处理体系 [8]

随着我国经济的发展,在信息安全的法律法规 方面,我国已经进行了初步尝试,但相对发达国家 来讲距离还不小。互联网的复杂性和跨地域性决定 了网络安全事件的应急处置应该是多个部门和单位 协同的过程,这便要求各主管部门和应急机构要不 断整合各自的优势,最终形成合力,并根据各部门 在应急响应中所发挥的作用,确定一个应急响应牵 头部门,负责统一指导整个应急响应工作,以改变 目前各自为政的局面。不规范的网络行为,是造成 网络风险最重要的因素。然而,仅仅依靠打击网上 犯罪和违法行为来解决问题也是远远不够的,要充 分做到网络安全监管的关口前移,发挥行政管理措 施的职能。目前整个网络安全应急响应工作仍存在 诸多问题,如应急响应的时间滞后性问题,应急响 应工作有效落实的问题,应急计划操作性不强、部 门联动性差、应急培训演练次数不足、应急技术 人员的专业性不足、过分依赖国家应急平台等问 题 [9,10]。

《三、传统领域的应急内容参考》

三、传统领域的应急内容参考

传统领域的应急体系包括企业安全生产事故应 急体系、公共灾害安全事故应急体系、公共卫生领 域传统安全事件应急体系等,各领域均已建立起相 应的法律法规和相关工作技术,并取得了一定的技 术创新。传统领域的安全是真实环境下的国家公共 基础设施应急体系建设的安全,而网络安全方面的 防范重点表现为计算机病毒与黑客犯罪。网络安全 除了保护设备与系统安全外,要保护数据安全。网络安全与其他领域安全均要做到在应急事件来临时 快速、高效、全面的响应。从针对传统领域应急体 系的建设中,总结出网络安全应急在组织机制、指 挥体系以及救援队伍方面需要借鉴之处,为从高位 (国家机构)、中位 [ 互联网数据中心(IDC)、内 容分发网络机构(CDN)、电商、行业主管 ] 到低 位(网民)三方面建立网络安全应急体系提供指导。 网络安全应急体系建设过程中需要考虑以下几个方 面——组织体系:需要建立国家层面的安全应急指 挥部门和应急管理部门,在各省市、自治区及地方 区域建立相应的应急机构;指挥体系:需要建立各 级应急指挥系统、通信指挥系统;建立监测和预防 预警系统;建立信息共享机制、事件上报机制、通 报机制;建立专业的应急队伍:国家队、省级队和 各单位建立应急队伍,并加强演练和培训。四大应 急体系差异分析情况见表 1。

《表 1》

表 1  四大应急体系差异分析

 

《四、采取的措施》

四、采取的措施

综上所述,当今网络安全形势严峻,网络威胁 发展迅速,应急响应工作面临重大考验。互联网网 络安全应急保障体系在稳步建设的同时仍存在许多问 题,通过应急响应工作的加强与改善来解决网络安 全问题成为行之有效的服务手段之一,并具有一定 的迫切性。

针对新时期的网络安全应急工作,因其定位已 发生变化,应急的对象也在不断扩充,需要调动体 系的力量,多方联动及时消除隐患,从体制和机制等方面来进行保证,防止产生巨大的恶劣影响。具 体包括以下几方面内容。

《(一)坚持战时协助攻防、急时快速掌控、平时侧 重服务的应急方针》

(一)坚持战时协助攻防、急时快速掌控、平时侧 重服务的应急方针

战时协助攻防:网络应急工作应该以保障军事 网络安全运行为核心,协助我国军事网络部队进行 网络战的方案制定等,必要时可以切断公共互联网 网络。急时快速掌控:在发生大规模网络攻击事件 时,能够在最短时间内控制事件的扩散,掌握事件 的发展动态,准确判断事件的影响范围,制定应急 响应措施,将损失降低到最小。平时侧重服务:应 急响应的平时工作是保障互联网的安全运行,及时 应对一般性网络安全事件。

《(二)在应急处理中开展体系化对抗》

(二)在应急处理中开展体系化对抗

从法制、机制、人员、资金、技术等多个层面 建立立体对抗体系,用国家机器去完成网络应急。 应急的目标不局限于把境外有害言论的源头挖出 来,而是震慑一大批有企图的人,从而达到降低宏 观指数的目的。

《(三)明确危害网络信息安全的责任和义务》

(三)明确危害网络信息安全的责任和义务

现实空间的每个主体都具有各自的权利与义 务,同样,网络空间也如此,每个主体都为维护所 处空间的正常运行而努力。每个网络主体有权要求 国家提供一个正常、安全的网域空间,同时也有义 务来维护其安全。

在网络信息安全立法中,必须对危害国家和 公共网络安全的行为明确法律责任,为追究违法者 创造法律条件。一是对于违法行为,应当相应地 规定其民事责任、行政责任和刑事责任,明确各 自的责任界限;二是要解决好民事责任、行政责 任和刑事责任之间的衔接问题,对于尚不构成犯 罪的违法行为,应当依法承担民事责任或行政责 任;三是建立移送制度,对于危害性较大且已经 构成犯罪的行为,应依法移送司法机关追究刑事责 任,避免“以罚代刑”;四是所有网络运营商都有 维护用户信息安全的义务,这些义务主体在未履行 保护网络信息安全义务时,应当承担相应的法律 责任。

《(四)完备网络安全组织体制,强化应急救援体系》

(四)完备网络安全组织体制,强化应急救援体系

建议成立专门机构,作为中央政府应对特别重 大突发公共事件的应急指挥机构,统一指导、协调 和督促网络基础设施应急、公共基础设施信息系统 应急、网络内容管理应急等网络安全应急工作,建 立不同网络、系统、部门之间应急处理的联动机制, 对分散在各部门的网络安全应急管理职能适当加以 整合。

《(五)机制上落实应急处理主体的行政执行能力和 执法权》

(五)机制上落实应急处理主体的行政执行能力和 执法权

第一,强制要求网站拥有者配备安全人员、安 全设备。安全人员如首席安全官(CFO)等需具备 相关资历,在相关安全应急培训组织进行过专业培 训,并可提供其能力的官方证明材料。

第二,将“gov”和“edu”等国字头网站做统 一托管,将流量数据大集中,便于进行安全检测。

《(六)将事后应急向事前和事中应急转变》

(六)将事后应急向事前和事中应急转变

第一,平时发出探针,发现异常就针对关键目 标监控,对来源 IP 分析,通过运营商查询通联日志, 有针对性地搭建蜜罐,当攻击者攻击蜜罐时,不仅 可以记录下详细的攻击过程,还有希望伺机利用漏 洞来反制。

第二,不仅是网络设备,QQ、淘宝、乌云等 常用应用要进行监测,收集数据,尽可能地发现非 正常现象,从中找出攻击者的某些可识别信息、资 金链等,并及时将信息共享。

《(七)定期开展国家级网络安全应急演练》

(七)定期开展国家级网络安全应急演练

互联网是一个高度军民融合的环境,一方面要 坚持军民共建共享,另一方面要统筹平战需求。为 了实现“战时协助攻防,平时侧重服务,急时快速 掌控”的目标,需要加强应急演练,保证网络空间 安全体系处于应急态时可以高效运转,形成科学有 效、反应迅速的应急工作机制,保障重要信息系统 的稳定运行。需要成立国家级和省市级的网络安全 应急演练工作组,制定网络安全的规章制度;组织 安全排查,及时消除网络安全隐患;组织制定并实 施各级网络安全事故应急预案,能够及时、准确地 报告网络安全事故。

《五、结语》

五、结语

本文详细介绍了在互联网大背景下网络安全形 势的严峻性与应急响应工作的重要性,分析了威胁 的主要来源与其攻击方式所呈现的特点,总结了当 前网络应急工作的管理现状与存在的问题,并列举 了所要采取的措施。与以往的网络威胁相比,当前 网络攻击方法正不断推陈出新,应急响应工作更应 随时做出调整与完善,以应对各种威胁。