南方财經全媒體集團記者 吳立洋 21世紀經濟報道記者 蔡姝越 實習生仇雙 北京,上海報道
編者按:
網絡安全,既是企業數字化轉型的基礎保障,亦是數字經濟行穩緻遠的必備條件。
近一年來,《個人資訊保護法》正式實施,《網絡産品安全漏洞管理規定》《網絡安全審查辦法》《資料出境安全評估辦法》等政策法規相繼落地,大陸網絡安全監管架構正不斷完善。
但另一方面,Apache Log4j2元件中存在嚴重安全漏洞、勒索攻擊與DDoS等網絡攻擊愈演愈烈,網絡安全挑戰仍然存在。随着大衆日常生活與網絡空間的結合愈加緊密,網絡安全對于大陸社會治理、經濟發展和人民的生命财産安全。
南方财經·21世紀經濟報道合規科技研究院長期聚焦數字經濟發展背景下新業态網絡安全問題,結合産業實際發展需求,在2022年網絡安全宣傳周正式舉辦之際,特推出“新業态新安全”系列深度專題報道,聚焦數字經濟新業态發展背景下,網絡安全攻防的形勢與變化,從制度建設和技術應用兩大方向出發,探讨如何為數字時代網絡安全保駕護航。
這是專題報道的第一篇,我們從數字經濟發展的地基——數字基礎設施層面出發,分析政府、企業、社會組織等在使用為其提供數字化轉型關鍵支撐的基礎設施時,存在哪些安全建設層面的欠缺與不足,進而探讨如何建構整體安全架構,保障數字基礎設施平穩運作。
近年來,社會數字化轉型持續深入,一方面,各類新型智能裝置和軟體應用愈加嵌入人們生産生活的方方面面,另一方面,社會各界對于數字基礎設施的需求也在不斷提升。
2022年4月召開的中央财經委員會第十一次會議中提到,要“加快新型基礎設施建設”“加強資訊、科技、物流等産業更新基礎設施建設,布局建設新一代超算、雲計算、人工智能平台、寬帶基礎網絡等設施,推進重大科技基礎設施布局建設”。
多位專家在接受21世紀經濟報道記者采訪時指出,數字基礎設施建設不僅需要提升其對産業數字化轉型更新的承載能力,更需夯實網絡安全與資料安全基礎,保證數字經濟運作于安全底座之上。
去年9月,《關鍵資訊基礎設施安全保護條例》正式施行,對關鍵資訊基礎設施的安全要求和各方主體責任進一步落實,為關鍵基礎設施保護工作提供了法治保障。
随着産業數字化與數字産業化發展步入深水區,數字基礎設施的底層支撐作用愈發顯著,作為經濟社會運作的神經中樞,數字基礎設施不僅關乎數字産業鍊安全,更與社會整體平穩運作息息相關,因而愈加受到各方關注。
嚴峻的安全形勢
伴随着新型數字基礎設施對傳統基礎設施進行更新與賦能,其在促進經濟社會整體數字化轉型的同時,也使得原本大多局限于網絡空間中的安全問題蔓延到現實社會中,數字化安全基底亟待進一步築牢。
“支撐企業數字化轉型的數字平台所用到的5G、雲計算、資料中心、人工智能、物聯網、區塊鍊等技術都算得上數字基礎設施。”民間網際網路安全組織“網絡尖刀”創始人曲子龍在接受南方财經全媒體記者采訪時表示,數字化轉型後,各類核心的資料從原本的零散資料、離線資料、甚至紙質資料都雲端化彙總到數字平台,一旦被黑客攻破或者釋放勒索病毒勒索,不但失去了所有商業秘密,還将面臨法律風險。
以影響頗廣的勒索攻擊事件“永恒之藍”為例,2017年上半年,某網際網路黑産團隊利用Windows系統中存在的“SMB漏洞”擷取了系統最高權限制作的勒索病毒,對全球數個國家的高校校内網、企業内網和政府機構專網發動勒索攻擊,緻使多個國家政府機構、銀行、電力系統、通訊系統、能源企業、機場等重要基礎設施運作受到影響。
“永恒之藍”及其後續事件,使得衆多數字化轉型程序中的政府和企業開始重新評估網絡安全在數字基礎設施建設中的關鍵作用。彼時,剛剛引入數字化戰略的集裝箱貨運巨頭馬士基的IT和通信系統,就遭到持續兩周受到黑客的幹擾,全球76個港口和近800艘船隻被影響,導緻其直接損失3億美元。
“永恒之藍”等安全事件頻發,令網際網路黑産團隊意識到,衆多關乎民生基礎和企業生産的關鍵基礎設施缺乏基本的網絡安全防護,且其本身承載的功能和蘊含的資訊又極為重要,許多不法分子因而“趁虛而入”。
以醫療機構為例,由于醫療行業的IT系統普遍混用或通用行業特定的硬體與網絡協定,其安全往往難以得到全面保護,又因為醫療需要面對社會大衆,和網際網路的結合更加緊密,也使其成為黑客眼中易于突破的重點對象。
2021年1月,美國佛蒙特州一家醫療服務提供商遭到網絡攻擊,導緻電子健康記錄系統延遲推出,并造成數百萬美元的收入損失;10月,加拿大數省衛生網絡遭到網絡攻擊癱瘓,數千人的醫療預約被取消;11月,德國醫療軟體巨頭Medatixx遭到勒索攻擊,多家醫療機構的内部 IT 系統遭到影響,營運系統被迫癱瘓……
今年8月,在南法蘭西林中心醫院 (CHSF) 遭到勒索軟體攻擊後,為應對愈演愈烈的安全威脅,法國數字轉型與電信部和衛生部承諾将向法國國家網絡機構 ANSSI 提供總計 2000 萬歐元的資金支援,以改善法國衛生行業的網絡保護狀況。
北京漢華飛天信安科技有限公司總經理彭根在接受記者采訪時表示,一方面,很多傳統行業在運用數字基礎設施進行數字化改造過程中,以為使用了内網,沒有連結網際網路的外圍部分就能絕對安全,但實際上實體隔離并不能完全保證安全性,硬體互動、檔案傳輸、人員流動都可能帶來安全威脅;另一方面,很多傳統行業需要具備專業知識技能的網絡安全人員來對基礎設施安全進行日常維護,相關崗位的人員缺口問題需要得到重視。
安全建設需與技術發展同步
近年來,伴随着雲計算、人工智能、區塊鍊等技術的高速發展,自後端應用到基礎設施建設往往內建了大量前沿技術,但在早期的技術應用過程中,很多潛在的安全問題常常沒有得到及時發現或妥善處理。但随着數字化轉型步入深水區,安全“補課”成為很多企業和社會組織必須經曆的過程。
以目前的“上雲”趨勢為例,借助雲計算和網際網路服務商提供的雲平台,很多企業群組織實作了線上智能化的營運管理與資源整合,極大提升了經營效率。
但上雲并不意味着轉移至雲基礎設施部分的系統安全即可高枕無憂。曲子龍表示,部分企業在購買雲廠商提供的雲服務時可能産生一種誤解,認為購買了雲環境後,雲資産的安全就會由雲廠商來保障,不再需要安全人員也不需要再聘請第三方安全公司為之提供安全服務。
實際上,雲安全一直都需要通過多端互動合作來解決,雲廠商通常隻負責雲的基礎設施安全,而運作在雲上的應用及資料則需要客戶自己進行保障。
曲子龍指出,雲廠商提供的雲掃描服務其實隻是一個基于規則的基礎性安全檢測,可以對正常的基線、SQL注入、XSS、敏感目錄、更新檔問題等進行檢查,但涉及到業務邏輯漏洞、需要使用者登入狀态才能互動的資料安全等問題,雲廠商的安全掃描往往難以覆寫,而這恰恰是最容易發生安全問題的地方。
“很多企業認為在防火牆上設定規則就能攔住黑客,因而不願意去修補業務上的漏洞。實際上,防火牆這種‘替身安全’的方式隻是應急的臨時補充方案。”曲子龍表示,一旦防火牆自身出現了安全漏洞,進而被攻擊者繞過,那企業雲資産将會完整地暴露于攻擊者面前。
事實上,由于數字技術本身的複雜性,很多針對數字基礎設施的攻擊并往往不單依靠某一種簡單的攻擊方式,而是一系列攻擊的組合。
上海某網安公司内部人士向記者表示,以針對銀行的攻擊為例,黑客在攻破系統的同時,還會通過多次故意輸錯密碼等方式觸發系統禁止原号主登入,借助多session(任務)并發的系統延緩攻擊被處理的時間。
“一種系統保護使用者資料安全的手段,在某種情況下也可能作為攻擊方惡意設定的‘牆’。”該網絡安全人士指出,目前網絡攻擊手段複雜化的一個顯著特征,是在入侵系統、竊取資料的同時,還要盡可能阻止使用者無法快速正常恢複和使用資料。
彭根則表示,早期為了把業務跑通,許多數字化新技術在基礎設施領域應用時,對安全方面的考慮都有所欠缺,在數字基礎設施技術功能持續複雜化,承載數字經濟發展作用愈加顯著的背景下,需要結合實際需求對其安全防護功能進行全面更新。
建構多層級防護架構
多位專家與網絡安全行業人士在接受記者采訪時表示,數字基礎設施安全建設需要兼顧需求與發展,科學規劃不同層級、不同類型基礎設施安全防護要求,結合數字化發展趨勢和安全攻防形勢建構防護架構。
彭根指出,在建構基礎設施防護體系的過程中,除了配備防火牆、堡壘機等傳統網絡安全裝置,更重要的是根據該設施實際承擔的業務需要,配備好對應的防護政策,進而滿足網絡安全“等保”要求。
所謂的“等保”要求,即是指網絡安全等級保護,早在1994年國務院釋出的《中華人民共和國計算機資訊系統安全保護條例》中,就明确提出要對計算機資訊系統實行安全等級保護。而在2016年通過的《網絡安全法》中,則正式以法律條文的形式對“國家實行網絡安全等級保護制度”加以明确。
值得注意的是,很多企業出于成本和業務規劃方面的考慮,也在嘗試自建數字基礎設施,但由于缺乏相關軟硬體系統搭建經驗,其在進行安全機制建設時難以對預算、重點防護環節等進行合理規劃。
曲子龍指出,部分企業群組織自行購買伺服器搭建運作環境、資料庫,但隻是接入網絡或托管到IDC機房就算完成基礎設施建設,甚至在采購中,都可能因過于看重成本效益和業務參數,忽略技術及硬體問題。
他進一步表示,由于資産數量的增加,安全威脅的攻擊面也随之擴大,在日常運維過程中,由于運維人員能力的參差不齊,任何如更新檔更新的及時性、基線配置問題、安全産品應用等方面的工作疏忽,都可能極大提升數字基礎設施的安全風險。“輕則當機導緻業務無法正常運轉、重則資料丢失、損壞、甚至可能會出現不可逆的實體硬體損壞導緻資料無法使用的問題。”曲子龍說。
對此,《關鍵資訊基礎設施安全保護條例》中也特别指出,關鍵資訊基礎設施營運者需“在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網絡安全事件,防範網絡攻擊和違法犯罪活動”。
彭根表示,無論是企業、社會組織還是政府部門,對數字化基礎設施的使用不能止步于僅滿足正常運作需要,更應按照相關規定明确裝置所處的網絡安全等級,結合自身業務和《關鍵資訊基礎設施安全保護條例》等法律法規要求,對開放端口、伺服器權限等安全機制提前做好規劃。
更多内容請下載下傳21财經APP
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)