2022年6月1日是《網(wǎng)絡(luò)安全法》正式施行五周年。作為我國互聯(lián)網(wǎng)領(lǐng)域第一部專門法律,《網(wǎng)絡(luò)安全法》為構(gòu)建網(wǎng)絡(luò)安全法律法規(guī)體系提供了基礎(chǔ)性依據(jù)。
繼《網(wǎng)絡(luò)安全法》實(shí)施后,《數(shù)據(jù)安全法》《個人信息保護(hù)法》等法律法規(guī)陸續(xù)出臺,網(wǎng)絡(luò)安全法治化進(jìn)程不斷演進(jìn),構(gòu)筑了一張新時代的網(wǎng)絡(luò)安全防護(hù)網(wǎng)。
為何近幾年業(yè)界格外重視網(wǎng)絡(luò)空間安全?政策、法規(guī)的相繼出臺在網(wǎng)絡(luò)安全領(lǐng)域產(chǎn)生了怎樣的影響?目前維護(hù)網(wǎng)絡(luò)安全行之有效的手段主要有哪些?針對上述問題,記者與業(yè)內(nèi)人士進(jìn)行了交流。
構(gòu)筑網(wǎng)絡(luò)安全防線勢在必行
談到網(wǎng)絡(luò)安全的重要性,遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司技術(shù)副總裁方偉表示,“在現(xiàn)代國家安全觀的理論體系下,網(wǎng)絡(luò)安全是國家安全16個基本面中的一個,而且是非常重要的一個。隨著各產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的快速推進(jìn),網(wǎng)絡(luò)安全已經(jīng)成為各大領(lǐng)域安全的基礎(chǔ)保障,關(guān)系著社會運(yùn)行、科學(xué)研究、生產(chǎn)制造和人民生活等方方面面。”
對于企業(yè)而言,隨著數(shù)字化轉(zhuǎn)型駛?cè)搿翱燔嚨馈保瑓f(xié)同辦公模式逐漸普及,既有安全策略在新模式下的適配性風(fēng)險(xiǎn)也隨之增加。Fortinet 北亞區(qū)首席技術(shù)顧問譚杰認(rèn)為,數(shù)字化轉(zhuǎn)型的加速,業(yè)務(wù)與互聯(lián)網(wǎng)的融合,將海量傳統(tǒng)資產(chǎn)及生產(chǎn)過程數(shù)字化。IT資產(chǎn)價值、安全風(fēng)險(xiǎn)及潛在損失都在迅速提高,必然要求對安全理念、管理規(guī)范、技術(shù)能力等進(jìn)行規(guī)范和重構(gòu)。
艾媒咨詢數(shù)據(jù)顯示,2021年中國協(xié)同辦公市場規(guī)模達(dá)264.2億元,預(yù)計(jì)2021-2023年,中國協(xié)同辦公行業(yè)將保持每年10%以上的增長率,2023年的市場規(guī)模將達(dá)330.1億元。“海量遠(yuǎn)程辦公要求使得無數(shù)非IT部門工作人員都直接暴露在信息安全風(fēng)險(xiǎn)面前,也對網(wǎng)絡(luò)信息安全提出了更高的要求。”譚杰說。
而從具體行業(yè)角度來看,方偉強(qiáng)調(diào),金融、交通、能源、電信等關(guān)基行業(yè),以及互聯(lián)網(wǎng)、電商、物流等平臺企業(yè),都需要重點(diǎn)關(guān)注網(wǎng)絡(luò)安全。
以金融業(yè)為例,由于行業(yè)相關(guān)數(shù)據(jù)的高敏感性和高價值性,全面保障數(shù)據(jù)安全和個人信息權(quán)益成為金融行業(yè)數(shù)據(jù)治理的新內(nèi)核。2021年12月,由中國人民銀行科技司司長李偉主編的《金融科技發(fā)展規(guī)劃(2022-2025年)》提出,全面加強(qiáng)數(shù)據(jù)能力建設(shè),在保障安全和隱私前提下推動數(shù)據(jù)有序共享與綜合應(yīng)用,充分激活數(shù)據(jù)要素潛能,有力提升金融服務(wù)質(zhì)效。
對此,亞信安全首席研發(fā)官吳湘寧表示,“如今互聯(lián)網(wǎng)每天新增的惡意代碼和惡意網(wǎng)頁都在數(shù)十萬量級,還出現(xiàn)了威脅巨大的勒索軟件新型病毒,嚴(yán)重威脅著金融用戶的網(wǎng)絡(luò)安全。與此同時,針對‘外部安全堡壘’建設(shè)通常較為完善的金融系統(tǒng),高級黑客往往借助釣魚郵件、水坑攻擊、勒索病毒等結(jié)合社會工程學(xué)發(fā)動APT攻擊,從內(nèi)部瓦解金融系統(tǒng)堅(jiān)實(shí)的安全堡壘。”
“在這種安全攻防信息持續(xù)不對等的情況下,金融系統(tǒng)一旦被攻破,波及范圍和損失都是巨大的。為此,我國密集發(fā)布了一系列金融規(guī)范和標(biāo)準(zhǔn),以及《網(wǎng)絡(luò)安全法》、‘等級保護(hù)’中的具體法規(guī)條款,都反復(fù)強(qiáng)調(diào)了人員、制度、防治、容災(zāi)、預(yù)警機(jī)制、應(yīng)急預(yù)案、應(yīng)急處置等詳細(xì)要求。這些監(jiān)管政策不但需要金融機(jī)構(gòu)敬畏、守住底線,更是金融企業(yè)品牌、可信度的有力體現(xiàn),也是網(wǎng)絡(luò)安全技術(shù)持續(xù)演化的目標(biāo)。”吳湘寧說。
網(wǎng)絡(luò)安全防護(hù)仍有“頑疾”
基于這樣的背景,《網(wǎng)絡(luò)安全法》等一系列法規(guī)的出臺也有了重要的現(xiàn)實(shí)意義和時代價值。吳湘寧告訴記者,“相關(guān)法律法規(guī)規(guī)章的落地,對于我國網(wǎng)絡(luò)空間安全建設(shè)整體起到了非常大的推動作用,切實(shí)提升了關(guān)鍵信息基礎(chǔ)設(shè)施等重點(diǎn)領(lǐng)域、重點(diǎn)目標(biāo)的安全保障能力,網(wǎng)絡(luò)安全態(tài)勢感知、網(wǎng)絡(luò)攻擊追蹤溯源、監(jiān)測預(yù)警等技術(shù)得到了持續(xù)創(chuàng)新和補(bǔ)充,實(shí)戰(zhàn)演練能力也得到了大力加強(qiáng)。”
譚杰也表示,“一方面,政策法規(guī)的相繼出臺,指明了安全建設(shè)的原則和方向;另一方面,業(yè)務(wù)與網(wǎng)絡(luò)的融合,對安全提出了更加專業(yè)化、精細(xì)化的要求。‘合規(guī)’‘業(yè)務(wù)’雙輪驅(qū)動,使企業(yè)機(jī)構(gòu)對安全建設(shè)的重視和投入大大提高,網(wǎng)絡(luò)安全體系的規(guī)范性和全面性也有很大提升。”
IDC發(fā)布的數(shù)據(jù)顯示,2021年中國網(wǎng)絡(luò)安全相關(guān)支出有望達(dá)到102.6億美元。預(yù)計(jì)到2025年,中國網(wǎng)絡(luò)安全支出規(guī)模將達(dá)214.6億美元。在2021-2025的五年預(yù)測期內(nèi),中國網(wǎng)絡(luò)安全相關(guān)支出將以20.5%的年復(fù)合增長率增長,增速位列全球第一。可以看出,行業(yè)正在加速入局,并在網(wǎng)絡(luò)安全領(lǐng)域持續(xù)加碼。
更重要的是,相關(guān)部門也在積極部署,加快構(gòu)建網(wǎng)絡(luò)安全保障體系。工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺上線運(yùn)行;工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理制度建立;工業(yè)互聯(lián)網(wǎng)安全技術(shù)監(jiān)測體系累計(jì)覆蓋165個重點(diǎn)工業(yè)互聯(lián)網(wǎng)平臺;車聯(lián)網(wǎng)卡實(shí)名登記管理全面實(shí)施……
雖然網(wǎng)絡(luò)安全“防護(hù)網(wǎng)”越織越牢,但值得關(guān)注的是,業(yè)界還有一系列“頑疾”亟待解決。“部分單位業(yè)務(wù)遷移緩慢,老舊系統(tǒng)帶病運(yùn)行,存在較大安全隱患;部分行業(yè)對熱點(diǎn)漏洞跟蹤不及時,響應(yīng)緩慢,給攻擊者留下了可乘之機(jī);供應(yīng)鏈安全風(fēng)險(xiǎn)難以排除,風(fēng)險(xiǎn)點(diǎn)多,管理困難,需要各個環(huán)節(jié)高度協(xié)同;大眾網(wǎng)絡(luò)安全意識仍然較低,弱口令現(xiàn)象普遍,個人信息保護(hù)不足,需持續(xù)引導(dǎo)……”方偉舉例稱,這些都是需要行業(yè)繼續(xù)努力去解決的問題。
此外,吳湘寧表示,勒索病毒仍被視為全球最大網(wǎng)絡(luò)威脅之一。根據(jù)威瑞森《2021 年數(shù)據(jù)泄露調(diào)查報(bào)告》,勒索軟件攻擊頻率在去年翻了一番,占全部網(wǎng)絡(luò)安全事件的10%。據(jù)亞信安全的研究數(shù)據(jù),2021年亞信安全共攔截勒索病毒58,412次,在數(shù)量增長的同時,其攻擊手段、目標(biāo)和平臺也在不斷升級,特別是“勒索軟件即服務(wù)”(RaaS)市場的發(fā)展,高級黑客將自己的專業(yè)知識售賣給犯罪分子,使得勒索攻擊的門檻越來越低。
據(jù)吳湘寧介紹,“雙重勒索”攻擊也是網(wǎng)絡(luò)犯罪分子用得越來越多的一種策略。攻擊者加密目標(biāo)系統(tǒng)數(shù)據(jù)之前會先竊取數(shù)據(jù),這樣一來,即便受害者有備份數(shù)據(jù),勒索軟件仍然可以用泄露數(shù)據(jù)作威脅要求其支付贖金。同時,“雙重”勒索還帶來了“點(diǎn)名羞辱”的新威脅。
根據(jù)調(diào)查數(shù)據(jù)顯示,在收到的勒索軟件攻擊企業(yè)和公共部門機(jī)構(gòu)的100,101份報(bào)告中,其中11.6%是由竊取和公布數(shù)據(jù)的犯罪團(tuán)伙發(fā)起的“點(diǎn)名羞辱”式攻擊,這無疑讓受害者承受更大的數(shù)據(jù)泄露壓力,同時使得受害者被迫支付贖金的可能性大幅提高。
通過分析一些案例,亞信安全技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn),一些APT攻擊會披上勒索軟件的外套,作為探路的手段,或者逃跑的“煙霧彈”,甚至是作為攻擊結(jié)束后毀滅蹤跡的方法,幫助掩蓋和抹去更嚴(yán)重攻擊的證據(jù)。“例如某些工具表面看似勒索軟件,會加密數(shù)據(jù)、發(fā)布勒索通知以及索要贖金,但實(shí)際上,這些軟件會悄悄刪除端點(diǎn)上的數(shù)據(jù),同時讓防御者相信數(shù)據(jù)丟失的原因是勒索軟件的隨機(jī)攻擊。”吳湘寧說。
網(wǎng)絡(luò)空間新生態(tài)未來可期
事實(shí)上,如今對于網(wǎng)絡(luò)安全攻防雙方而言,一邊是“摩拳擦掌”,另一邊也同樣“躍躍欲試”,雙方的博弈日趨激烈。對此,譚杰坦言,“企業(yè)往往希望追求一勞永逸的‘黑科技’,但在網(wǎng)絡(luò)安全建設(shè)中,它是不存在的。網(wǎng)絡(luò)與安全的融合、體系化安全才是網(wǎng)絡(luò)安全的堅(jiān)實(shí)基礎(chǔ)。”
因此,譚杰建議,企業(yè)應(yīng)將安全能力融入到網(wǎng)絡(luò)及應(yīng)用的每一個環(huán)節(jié)中,包括終端、有線及無線局域網(wǎng)、網(wǎng)絡(luò)邊界、廣域網(wǎng)、數(shù)據(jù)中心(私有云)、公有云、業(yè)務(wù)應(yīng)用等。所有環(huán)節(jié)都應(yīng)具備信息可視化、安全分析、動態(tài)管控處置的能力,杜絕漏洞或短板。
譚杰同時強(qiáng)調(diào),“安全產(chǎn)品技術(shù)應(yīng)避免碎片化,孤立的單點(diǎn)技術(shù)的疊加并非真正的安全解決方案。各個產(chǎn)品和技術(shù)間應(yīng)具備強(qiáng)大的交互能力,包括信息情報(bào)交換、聯(lián)動響應(yīng)等,從而交織成一張零信任、智能化、自動化的安全網(wǎng)絡(luò)。”
方偉進(jìn)一步表示,從技術(shù)手段而言,企業(yè)要做到精準(zhǔn)檢測、精確防御,既要保證風(fēng)險(xiǎn)發(fā)現(xiàn)的全面性,又要保證威脅判定的準(zhǔn)確性,同時還要做到細(xì)粒度的靈活處置,因此機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析和業(yè)務(wù)建模等手段需要運(yùn)用到網(wǎng)絡(luò)安全實(shí)踐當(dāng)中。
而從安全建設(shè)而言,方偉建議,“企業(yè)首先要摸清家底,清晰掌握單位自身的網(wǎng)絡(luò)資產(chǎn);其次要加強(qiáng)備案和管控,保證網(wǎng)絡(luò)安全責(zé)任到人,業(yè)務(wù)管理有流程可依;然后做到立體化的安全防護(hù)和自動化的安全運(yùn)營,采用主動檢測和被動監(jiān)測相結(jié)合的手段來提升風(fēng)險(xiǎn)發(fā)現(xiàn)和防護(hù);最后還要做好應(yīng)急響應(yīng),提升各個安全能力的協(xié)同配合能力,做到聯(lián)防聯(lián)控。”
“從國家層面上看,我們需要加快提升應(yīng)對規(guī)模化攻擊的防御能力,實(shí)現(xiàn)全網(wǎng)安全態(tài)勢的全面分析和綜合展現(xiàn),為構(gòu)建和完善國家級安全防護(hù)體系奠定基礎(chǔ)。”方偉說。
近年來,我國網(wǎng)絡(luò)安全頂層設(shè)計(jì)加速構(gòu)建,網(wǎng)絡(luò)安全政策體系日臻完善。據(jù)不完全統(tǒng)計(jì),截至2021年6月底,我國已出臺關(guān)于網(wǎng)絡(luò)信息安全與數(shù)據(jù)合規(guī)的法律、行政法規(guī)等二百多部,形成了覆蓋網(wǎng)絡(luò)安全等級保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)安全管理、個人信息保護(hù)等領(lǐng)域的網(wǎng)絡(luò)安全法律法規(guī)體系。
在健全完善的法律法規(guī)、豐富多樣的應(yīng)用實(shí)踐、成熟可用的技術(shù)等多方生態(tài)催化下,我國網(wǎng)絡(luò)空間環(huán)境也將不斷優(yōu)化,為數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展構(gòu)筑堅(jiān)實(shí)的底座。
