網絡裝置安全打響“攻防戰”

在全新的移動互聯和大資料時代，網絡安全變得越來越重要。網絡裝置作為網際網路中的關鍵網元，其安全态勢從微觀的角度反映了整體的網絡安全态勢，沒有網絡裝置的安全就沒有網絡安全。

現狀：受攻擊者“青睐” 安全形勢嚴峻

近年來，網絡安全事件頻發，暴露出大量的網絡裝置相關安全問題，網絡裝置的安全逐漸走入人們的視線。網絡裝置的日益普及和其在網絡中的特殊地位，導緻其安全問題日益引人注目。

——漏洞和後門帶來巨大威脅

網絡裝置的漏洞和後門問題，是導緻出現遠端控制、拒絕服務、流量劫持等安全問題的重要原因之一。CNCERT《2015年中國網際網路網絡安全報告》顯示，電信行業漏洞庫收錄漏洞數量為657個，其中網絡裝置（如路由器、交換機等）漏洞占54.3%，可見網絡裝置的漏洞風險較高。2015年12月美國網絡裝置制造商Juniper的路由器、交換機和防火牆暴露出遠端控制的後門，攻擊者可通過SSH等方式以超級管理者身份遠端登入裝置，獲得裝置的完全控制權。網絡裝置存在漏洞和後門可能導緻嚴重後果，包括攻擊者直接将裝置下線使業務和網絡中斷，或者将經過裝置的流量重定向到指定點，截獲流量中攜帶的使用者敏感資訊等。

——大型攻擊事件“青睐”網絡裝置

從網際網路時代到移動互聯時代，網絡接入方式移動化，配套的網絡裝置越來越普及。對于網絡攻擊者來說，市場保有量越大的産品，攻擊獲得的收益越大，數量巨大的網絡裝置也是以逐漸走入了網絡攻擊者的視線。2015年聖誕節，黑客組織Lizard Squad發起大規模DDoS攻擊使得微軟的Xbox線上平台和索尼PSN癱瘓。該組織所使用的攻擊軟體名為Lizard Stresser，它主要利用被感染的家用路由器的網絡帶寬流量發起對目标的攻擊。2016年10月，美國網絡技術提供商Dyn遭受了超大規模DDoS攻擊（流量可能超過1000G/s）而無法提供DNS解析服務，包括Twitter、Netflix、亞馬遜、Airbnb、PayPal等主要的網絡服務中斷。調查發現此次攻擊是通過名為Mirai的惡意軟體控制了大量的安防攝像頭、網絡路由器等裝置，并利用這些裝置發起DDoS攻擊。類似的攻擊事件表明基于網絡裝置的大型網絡攻擊對網絡安全的威脅在日益增加。

——網絡裝置逐漸成為攻防“戰場”

網絡安全攻防大會是展示安全研究人員技術能力的重要平台，從最近幾年的發展趨勢來看，攻防技術的熱點逐漸從Windows作業系統、資料庫軟體系統、手機作業系統擴散到網絡裝置上。在2015年舉辦的極棒（GeekPwn）安全大會上，獲得最高獎的9個項目中，有4個與網絡裝置相關，其中3個是針對智能路由器的攻擊技術，1個是針對攝像頭的。路由器等網絡裝置作為家庭使用者的網絡出入口和城域網的轉發裝置，在整個網絡中有着非常重要的地位，大量的安全研究人員對相關攻防技術展開研究。

應對：三分靠技術 七分靠管理

客觀來看，網絡裝置相關安全事件頻出，背後有着複雜的原因。技術上的缺陷固然不可忽視，但更多的還是由于管理方面的不足所緻。

從技術上來看，缺陷主要是指漏洞、後門、安全功能缺失等問題。對于安全漏洞等技術上的問題，業界通常會有相應的解決方案，例如通過關閉服務規避或更新軟體修複漏洞等，但現實卻是大量的裝置使用方并沒有及時采用這些方案和措施，因而導緻網絡裝置被利用和攻擊。

從管理上來看，不足則包括多個方面：一是網絡裝置安全防護意識不足，認為網絡裝置不易出現安全問題或不會産生嚴重後果；二是配套制度的制定和實施有待完善，在人員配備、安全教育訓練、權限配置設定等方面需要出台針對性的制度和措施；三是不夠重視配置安全，裝置常以預設配置或弱安全配置上線。

為了快速有效地提升網絡裝置安全，除了完善網絡裝置在安全管理方面存在的不足外，還可以同時在一定程度上規避技術上的缺陷，有效提升裝置運作安全性。為降低網絡裝置的安全風險，針對漏洞、後門、DDoS攻擊等安全問題實作動态、持續、有效防護，需要從安全意識、安全制度和安全配置等方面進行針對性的完善和提升。

——增強網絡裝置安全防護意識是基礎

針對網絡裝置的安全防護，首先要增強安全防護意識，充分認識到網絡裝置的安全重要性。例如，裝置使用方需要了解如果發生攻擊事件，可能導緻的嚴重後果是什麼；可能的攻擊路徑有哪些，如何防範和監測；出現安全問題時如何快速響應。增強安全防護意識還要求裝置使用方持續關注所用網絡裝置的安全威脅情報，出現新的漏洞時要及時跟進，了解臨時防護措施，實作動态的、持續的安全防護。

——制定并實施合理的網絡裝置安全管理制度是關鍵

俗話說“安全三分靠技術，七分靠管理”，網絡裝置也不例外。制定并實施合理的網絡裝置安全管理制度，是實作網絡裝置安全防護的有效手段。在裝置使用方的安全管理制度中，不可忽視對網絡裝置的安全管理。例如在人員方面，需要配置專業的管理人員，對相關人員定期進行安全意識和技能教育訓練；在裝置管理權限方面，嚴格限制配置修改權限，實作分級分權管理，具備差異化的密碼要求以及密碼嚴格保密要求等。

——持續保障配置安全是核心

網絡裝置的安全問題大部分源于安全配置的缺乏。對政府部門網站系統的漏洞跟蹤監測的結果顯示，2015年12月政府部門網站系統漏洞隔月修複率僅為52.7%，而涉及網絡基礎設施的漏洞隔月修複率為81.3%，漏洞修複這類配置安全問題仍然是導緻網絡安全風險的重要原因。網絡裝置的安全配置可重點從以下四個方面入手：一是配置嚴格的遠端通路控制，限制通路路徑；二是關閉無用的對外服務，遵循“最小夠用”原則；三是配置日志審計和日志備份，實作有效審計和溯源；四是定期檢查軟體版本，及時修複已知漏洞，安全更新。

*

《網絡安全法》指出國家要對關鍵資訊基礎設施實行重點保護，網絡裝置作為關鍵資訊基礎設施中的基本組成單元，其重要地位自然不言而喻。攻擊者早已意識到對網絡裝置發起攻擊能夠起到“四兩撥千斤”的作用，因而相關的攻擊事件愈演愈烈。在全新的移動網際網路和大資料時代，每一個參與者都應當對網絡裝置的安全建立全面的認識和足夠的重視，及時了解網絡裝置安全的新态勢，共同創造和維護安全的網絡環境。

本文轉自d1net（轉載）