/ 中存储网

2015我国信息安全趋势和任务展望

2015-03-03 10:35:28 来源:中存储

2014年,中共中央网络安全和信息化领导小组成立,由此掀起了信息安全的热潮。在已经来临的2015年,无论是政策导向还是技术演进,我们都不得不关注信息安全的发展趋势,明确我们的任务。

2014年岁末,据国外媒体报道,索尼影业遭到黑客攻击,公司办公室内的所有电脑均无法操作。索尼创建的十多个Twitter营销账号似乎也遭到了攻击,不停发送内容相同的消息。

据称,黑客们已经从索尼影业获得了大量敏感文件,其中一些文件在打包压缩后被发送到了互联网上。此次攻击影响了索尼影业的日常办公。有报道称,索尼影业的员工们无法发送电子邮件,无法使用电脑,甚至无法接听电话。一名索尼影业的员工对国外媒体表示,他们处于完全瘫痪的状态中……

信息安全是永远的话题。攻击对象在变化,攻击方式在变化,攻击技术在变化,唯一不变的,就是对恶意攻击的坚决抵抗和不妥协。

2014年2月27日,中共中央网络安全和信息化领导小组第一次会议召开。中央网络安全和信息化领导小组的成立,被认为是中国开始高度重视信息安全,希望在信息安全领域有所作为的标志性事件。

由此,中国的信息安全热潮被掀起。驻足回首,我们看到,在已经走过的2014年,信息安全市场正在逐渐成长;登高远眺,我们又会发现,在已经到来的2015年,信息安全领域将呈现更多的变化,值得关注。

威胁质变

互联网正在改变世界。同样,它也在改变人们对信息安全的认知。

互联网、移动互联网、物联网的不断演进,颠覆了人们的生活方式。然而对于攻击者而言,万物互联同样意味着可攻击的目标增多,攻击方法在创新,“攻击面”在迅速扩大,相对应的信息安全防御链条则越来越长,防御思想也在不断进化,信息安全防御面临很大的创新压力。

360公司副总裁曲晓东认为,从索尼影业被攻击等近期频发的一系列安全事件看,现在的安全威胁已经发生了“质”的变化。

“攻击者不再是某些个体,而是有组织的团队;攻击也不再是漫无目的行为,而是瞄准了特定目标;攻击也不再是为了炫耀技术,而是为了潜伏并窃取有价值的信息;攻击者从利用已知的工具和漏洞发展到越来越多地利用未知工具、零日漏洞甚至社会工程学等综合性手段。”曲晓东告诉记者。

持类似观点的,还有山石网科产品市场总监贾彬。他表示,像索尼这样的大型企业,一定拥有比较完备的信息安全防护措施和手段,但是仍然无法避免被攻陷。这就说明,恶意攻击正在升级,给企业的安全防护带来了更大的挑战。

“真正可怕的是,‘攻’进步了,‘防’却没有跟上。”曲晓东说。

启明星辰首席战略官潘柱廷告诉记者,木马、病毒、钓鱼等常见的攻击方式仍然有效,而诸如DDoS等蔓延式的攻击也很难防范,伴随网络带宽的进一步增加,2015年甚至可能会出现1TB流量的DDoS攻击。更为重要的是,APT攻击呈现出泛化的趋势,出于商业竞争的目的,它将更多地出现在企业之间。

不可否认,无论是防病毒还是防攻击,无论是已知威胁检测还是未知威胁检测,安全似乎一直处于后知后觉的状态——发现威胁、分析威胁、形成具体的或通用的特征规则,然后才能对这个威胁进行防御。所以,在面对复杂、未知、定向攻击等高等级安全威胁时,传统安全的防护方式频频失手,缓不救急。

曲晓东认为,以前的信息安全重点强调的是边界安全,在网络的边界上设一些网关类的安全产品,像防火墙、IPS、IDS等。通过这些人为设置的“墙”把攻击挡在企业网络的外围,让它无法进入企业内部。然而随着互联网的发展,企业要想设置并充分利用这堵“墙”越来越困难。

员工的手机、平板电脑等个人终端设备在办公时可以连接到企业的网络,到机场就可以连接到机场的网络,如果这台终端在公共网络中感染了病毒和木马,再回到企业内网时,那么病毒和木马的攻击就有可能不经过企业边界的安全设备而进入企业内网。

其实,万物互联远不止智能手机可以随时随地接入网络这样简单。大量可联网智能设备的涌现,以及原先封闭的、与互联网物理隔离的工业控制系统逐渐采用通用协议接入互联网,都存在着巨大的安全风险。

“我们把这种现象叫‘边界模糊’或者‘边界消失’,这对传统的企业安全提出了严峻的挑战。如果企业的边界模糊了或者边界消失了,那么部署在企业网络边界的‘墙’就形同虚设。”曲晓东说。

潘柱廷指出,如何保障工业控制系统安全对用户和厂商都是个挑战。对于安全厂商而言,由于工业控制系统的封闭和不通用,使防护方案的研发成本极高。而且,工业控制系统很容易成为高级威胁的攻击目标,因为它一旦出现安全问题,将有可能酿成严重的事故。

“毫无疑问,高级威胁将成为未来安全事件的主流。”曲晓东判断。

智能应对

道高一尺,魔高一丈。在信息安全的攻防大战中,双方此消彼长的较量从来没有停止。如果安全威胁真的发生了质变,那么我们的安全防御体系应该如何应变呢?

潘柱廷给出的答案是大数据。

“哪个安全厂商率先掌握了大数据技术,哪个厂商就掌握了技术不对称的优势。”潘柱廷告诉记者,在攻防类安全实践中,核心任务就是威胁检测。防护一方的首要工作就是检测出威胁,只有将威胁及时、顺利地检测出来,才能让后续的防御工作有效进行。如果能够在企业网络中尽可能多地采集数据,把更多的异常数据纳入到检测的范围,并通过大数据技术进行分析,无疑会大大增加威胁检测的成功率。

当然,应用大数据技术完美实现威胁检测可以说是一个美好的愿景。但是,它需要解决的新问题就是如何把在企业网络中采集到的海量的、多维数据进行有效分析,从而提取有价值的信息。近年来,山石网科一直在强调智能安全的理念。在记者看来,所谓智能,必然要和大数据技术紧密联系在一起,以有效的大数据分析作为基础,才能实现真正的智能。

贾彬介绍,相对于基于特征匹配的传统威胁检测方式,新的智能安全应该是基于网络行为分析的。这是因为,攻击者会采取不同的攻击方式、不同的工具、不同的木马变种,特别是一些高等级的攻击者会针对攻击目标定制开发攻击工具,让攻击过程变得更加隐蔽,难以察觉。然而,任何一个网络攻击都会具有扫描、植入、传输等相对固定的攻击行为。对企业而言,如果防护系统能够对企业的正常业务行为进行学习,从而在日常监控中发现与正常业务行为不匹配的异常行为,就能更加高效地发现威胁。

曲晓东则强调,面对如今的IT环境,单纯依靠封堵的方法已经很难抵御网络攻击。除了大数据技术之外,为了应对企业边界模糊或边界消失带来的安全挑战,需要采用“云+端+边界”的立体化解决方案,只有“云+端+边界联动”的综合立体防御体系才能帮助企业灵活、快速、最大限度地减少来自高级安全威胁的影响和损失。

安全协作

“现在,为了利益最大化,攻击方都能够联合起来。那么,作为保护企业信息安全的中坚力量,安全厂商为什么不能联合起来呢?”潘柱廷发出呼吁。

事实上,面对升级的安全威胁,除了创新的安全防御技术和策略,还有重要的一点就是协作。通常,为了保证对技术的足够投入和专业性,安全厂商往往只专注于信息安全的某一个或某几个领域,而且往往专注的安全厂商也更容易获得用户的信赖。但是,信息安全防御的链条越来越长,已经鲜有厂商能够提供覆盖全链条的安全防御解决方案,这时,安全协作就显得更加重要。

“在美国,安全厂商之间的协作司空见惯,一家很小的厂商都可以共享到大厂商的安全数据。”潘柱廷表示,厂商协作首先要落地的是安全数据的共享。目前,启明星辰已经开始和国内其他知名安全厂商进行安全数据共享,这对研究攻击行为,保障企业信息安全具有重要的意义。“此外,针对DDoS这样的攻击,我们也在呼吁成立‘反DDoS’联盟。因为这种攻击从用户的角度很难防御,如果通过某种联盟的形式,可以从攻击发起端进行限制,将很大程度上改善目前对抗DDoS攻击的局面。”潘柱廷说。

“在国内信息安全产业链条中,大厂商之间的合作较少,同时充满了低水平、同质化的竞争,从而形成利润率低、技术水平低的恶性循环。360公司进入企业信息安全领域,给产业带来了新技术、充裕的资金、开发用户体验更好产品的能力。”曲晓东认为,360公司进入企业信息安全市场后,与其他安全厂商进行了一系列合作和整合,给整个产业带来了新的机遇,也造成了鲶鱼效应。

本土力量崛起

显然,在信息安全产业中,政策和合规性是比较强的驱动力。

在过去的2014年,中共中央网络安全和信息化领导小组成立、首届世界互联网大会召开、首届国家网络安全宣传周启动……一系列事件让中国的企业和个人用户深切感到了信息安全的重要性,安全意识得到提升。信息安全已经深入到国家治理、企业经营和百姓的日常生活中,并且与国家安全息息相关。在信息安全和自主可控的呼声下,本土安全厂商正在迎来巨大的发展机遇,并茁壮成长。

工业和信息化部中国电子信息产业发展研究院信息安全研究所所长刘权告诉记者,据他们统计,中国整体安全产业规模在2014年达到了550亿元左右,同比增长约26%。

贾彬介绍,2014年山石网科在很多方面取得了重大突破。“随着用户信息安全意识的提升和对信息安全认知的成熟,他们在采购信息安全产品的时候从看重性价比逐渐过渡到更加看重产品的品质。这就给山石网科带来了更多的市场机会。”贾彬告诉记者,山石网科已经成为金融等行业用户在信息安全领域替换国外产品的首要选择之一。同时他预计,在2015年,山石网科在政府、金融等领域的业绩还将有大幅增长,甚至会翻番。就在记者截稿时,中国电信2014年IP网络安全设备集采结果全部出炉,山石网科凭借防火墙、防病毒、内容过滤等功能,以及高性能、高可靠等特性,成功中标该集采防火墙标段的全部四个标的。

360公司的成绩则更加有目共睹。“360漏洞实验室被誉为东半球最强大的白帽子军团。目前,360已经成为全世界报告软件漏洞数量最多的安全软件公司之一,在这方面超过很多国外知名安全厂商。从2009年到2014年,360公司共63次因挖掘并协助修复漏洞获得微软官方公开致谢,漏洞挖掘与专业防护技术在世界中居于领先地位。”曲晓东说。

可以说,360公司把互联网公司的产品设计理念和创新方式带入了信息安全领域。他们对国外新兴安全厂商Splunk、FireEye、Bit9等进行了跟踪和深入研究,进行了安全技术和安全产品的创新。曲晓东介绍,“360天眼”目前已经是一款非常成熟的产品,它是360公司针对企业用户推出的带有大数据功能的边界安全产品,可以提供全面的定向攻击、APT攻击检测与分析方案,专注于高级威胁的发现,能够对各种已知和未知威胁进行不同维度、不同攻击阶段、不同攻击技术的立体化检测,并且利用大数据、威胁情报及可视化分析等多种先进技术,回溯攻击过程、分析攻击技术和其影响范围,确定攻击目的。曲晓东认为“360天眼”是解决当前企业面临的主流安全威胁的卓有成效的安全工具。

“基于‘云+端+边界’的企业安全立体防护理念,我们还推出了针对桌面端和移动端的安全产品‘360天擎’和‘360天机’,它们成为优秀的企业终端管控系统,在政府、电力、航空、能源、金融等领域均已经有用户在使用。”曲晓东说。

政策制定提速

就在中共中央网络安全和信息化领导小组第一次会议召开的两周之前,美国政府发布了由美国国家标准技术研究所(NIST)制定的《关键基础设施网络安全框架》。这是棱镜门事件后,美国政府首次出台国家级信息安全指导规范,也是奥巴马政府2013年启动保护关键基础设施信息安全战略以来的第一个基础性框架文件。

政策是信息安全产业绕不开的话题,因为信息安全不仅是技术问题,更是产业问题。在中国信息安全产业蓬勃发展之际,我们应当看到我们与美国等科技和网络安全强国的差距,加快步伐,这也是我们的任务。

“要应对美国等西方国家的信息安全政策,我们就应该有更多的动作,尽快制定相应的政策,从政策层面上达到攻守平衡。”潘柱廷向记者表示。

中共中央网络安全和信息化领导小组的成立给予了信息安全最高的组织和机构保障,从而有效推动了信息安全的政策和法治建设。刘权向记者介绍,2014年,中共中央网络安全和信息化领导小组办公室召开专题会议讨论网络立法问题,全国人大也将《网络安全法》列入立法工作计划。2015年,我国网络安全法治建设进程将显著加快。他预测,在网络安全立法方面,首先会加快修订原有法律,例如,在刑法修订中增加关于网络恐怖主义的相关规定;修订互联网信息服务管理办法,针对新应用建立有效的信息内容管控手段。其次,围绕关键信息基础设施保护、跨境数据流动、信息技术产品和服务供应链安全等一系列重大问题,全国人大和相关单位将开展更深入的研究,《网络安全法》将取得阶段性成果。再次,中共中央网络安全和信息化领导小组办公室等机构将加快推进网络安全审查等法律制度建设。

“美国已经建立了《经济间谍法》、《计算机欺诈与滥用法》等法律构成的相对完备的反网络窃密法律体系,相比而言,我国在此领域的法律建设还相对落后,难以对类似起诉形成反制。此外,由于近两年网络安全形势飞速变化,新威胁层出不穷,信息数据的跨境流动、移动互联网时代网络数据和隐私保护、高级可持续性威胁背景下重要信息系统保护、政府信息安全管理、信息技术产品的安全审查、网络犯罪电子证据取证程序等方面都需要立法进行规范。”刘权告诉记者。

当然,信息安全包含了信息系统安全、网络基础设施安全、内容安全等诸多方面,在哪些领域迫切需要网络安全年立法,以及如何通过立法加以规范,仍然需要明确。

链接 2015年网络安全十大趋势

1月15日,中国电子信息产业发展研究院发布了“2015年网络安全十大趋势”。

一、网络空间国际军备竞赛加剧

随着网络安全威胁日益常态化、复杂化和高级化,各国加快网络空间军事力量建设,网络空间军备竞赛加剧,2015年这一趋势将更为显著。一是西方国家继续建立或增设网络部队。美国2014年《防务评估报告》首次明确网络部队的建设目标,俄罗斯、以色列、日本等都在扩大网络部队规模。二是各国加强网络武器和新型网络对抗技术研发。三是各国加强网络战演习。据欧盟网络与信息安全委员会(ENISA)报告,各国开展网络演习的频率大幅提高。四是美国等西方国家通过北约组织加快构建网络军事同盟,以实现集体防御。

二、发生有组织的大规模网络攻击

黑客组织、网络犯罪团体,甚至某些国家成为网络攻击的“新玩家”,针对政府部门,以及国防、金融、能源、航天、运输等重要行业的企业和机构,实施大规模、持续性的网络攻击行动,窃取敏感信息数据、瘫痪或摧毁重要目标。2015年这种有组织的大规模网络攻击将更普遍发生。一是美国更多的网络监控和网络攻击行为将遭到曝光,多个国家加快发展网络攻击能力。二是出于政治目的的黑客行动主义将更加泛滥。三是受经济利益驱使,网络犯罪团体将针对有价值目标开展更密集的网络攻击,攻击行为发生频率越来越高。

三、移动互联网安全事件增加

移动互联网安全问题将更加突出。一是针对安卓设备的网络攻击持续增加。有机构预测,2015年针对安卓设备的恶意软件数量将是2014年的2倍。二是移动支付将可能成为网络攻击的新目标,通过挖掘系统漏洞、制造网上银行病毒等,网络犯罪分子可能获取金融敏感信息或劫持账户。三是BYOD(自带移动设备)的兴起将带来更多针对企业或机构内部网络的攻击。

四、智能互联设备成为网络攻击的新目标

智能互联设备给用户带来更丰富的体验,但对黑客也具有无限的诱惑性,黑客将可能利用这些设备进行更复杂、更严重的破坏。已有安全研究者利用智能汽车、医疗可穿戴设备的安全漏洞实现对设备的远程控制,对设备使用者人身安全构成威胁。2015年针对物联网的攻击可能成为现实,攻击者可能对家庭路由器、智能电视和互联汽车等发起攻击,以获取敏感信息数据、采取进一步破坏行动,但大规模攻击还不会出现。

五、工业控制系统的安全风险加大

高级可持续性攻击的目标正在从传统的IT系统,转向石油、天然气、航空运输等行业的工业控制系统。近几年大量的实际案例中,这种趋势越来越明显。2015年,工业控制系统的安全风险持续加大,美国、欧盟等都在采取措施加强关键领域控制系统安全保护。而在我国,80%的关键系统都使用了相同的控制系统,由于依赖国外组件、安全意识低、持续接入互联网等原因,更容易受到攻击。

六、发生大规模信息泄露事件

近年来,全球大规模数据泄露事件频发。2015年大规模信息泄露事件可能再次甚至多次发生,掌握大量个人信息的政府机构、大型零售企业、金融机构、移动应用服务提供商成为信息窃取的重要目标。

七、网络安全事件造成更大损失

网络安全事件带来的经济损失越来越严重。据美国战略和国际问题研究中心报告,网络犯罪每年给全球带来高达4450亿美元的经济损失。2015年,随着网络威胁更为复杂、高级,网络安全事件将带来更大损失。一是针对关键信息基础设施的网络攻击一旦成功,将带来不可估量的影响,能够导致化工厂爆炸、火车碰撞、大面积停电等重大安全事故。二是黑客攻击手段和工具将更为强大,将可对更为复杂的信息系统实施网络攻击,从而造成更大影响和损失。三是随着智能互联设备成为网络攻击的新目标,网络安全事件将不仅造成经济损失,还可能危害设备使用者人身安全。

八、网络空间国际话语权的争夺更加激烈

2015年,围绕互联网关键资源治理、网络空间国际规则等问题,各国在网络空间国际话语权的争夺将更加激烈。一是在互联网关键资源治理上,仍然存在“国家主导”和“利益相关方主导”的治理模式之争,国际社会将积极推进互联网资源管理权的变革,以改变美国等少数国家掌控互联网关键资源的局面。二是各国对网络空间规则制定主导权的争夺将更加激烈。网络空间尚缺乏一套完善的网络空间国际规则,以美国为首的西方国家,以及俄罗斯和中国等都推出了网络空间国际规则的设想,但尚未形成共识。在这样的背景下,谁掌握了制定“游戏规则”的权利,谁就掌握了网络空间话语权和制高点,可以预见未来的争夺将更加激烈。

九、我国信息安全产业高速发展

在一系列利好政策的刺激下,2015年我国信息安全产业将高速增长。一方面,信息安全等IT企业加快并购整合,针对网络安全威胁加强技术研发,推出更加智能的信息安全设备和服务。另一方面,面对愈演愈烈的网络攻击和网络犯罪,政府、金融、能源等重要行业的信息安全需求大幅增长,带动市场的快速发展。预计,2015年信息安全产业增长率将达到30%。

十、我国网络安全立法取得新进展

2015年,我国网络安全法治建设进程将显著加快。一是适应网络安全形势需要加快修订原有法律,例如,在刑法修订中增加关于网络恐怖主义的相关规定;修订互联网信息服务管理办法,针对新应用建立有效的信息内容管控手段。二是围绕关键信息基础设施保护、跨境数据流动、信息技术产品和服务供应链安全等一系列重大问题,全国人大和相关单位开展更深入的研究,《网络安全法》取得阶段性成果。三是中共中央网络安全和信息化领导小组办公室等加快推进网络安全审查等法律制度建设。