2017年網路安全技術領域新趨勢
移動互聯網:快速發展使其成為最易受攻擊系統
移動互聯網不斷強化與傳統產業加快融合
據Zenith Media研究顯示,2017年移動互聯網流量占互聯網流量的比例達75%。全球移動互聯網收入達7000億美元,主要增長來自移動商務、移動應用、企業移動性應用、廣告和可穿戴業務。
隨著互聯網+和移動通信技術的不斷發展,「移動互聯網+」與交通、教育、金融、傳媒、營銷、氣象等各行各業展開深度融合,形成各行各業新的產業生態。移動數據流量成為移動互聯網上網的主流方式,到2020年流量將增長1000倍。我國「十三五」規劃綱要明確,積極推進第五代移動通信(5G)和超寬頻關鍵技術研究,啟動5G商用。同時,5G時代迎來「中國標準」。
移動互聯網安全漏洞百出
目前iOS和安卓系統佔據移動互聯網操作系統90%以上的份額。iOS目前面臨最大的安全風險來自於iOS系統漏洞。據國家信息安全漏洞庫(CNNVD)數據統計,截至2017年11月30日,iOS系統共收錄了624個系統漏洞,其中2017年115個,信息泄露和許可權許可訪問控制為漏洞最多的類型。
安卓系統面臨的情況同樣不容樂觀,據CNNVD數據統計,截至2017年11月30日,安卓系統共收錄了1082個系統漏洞,其中2017年540個,許可權許可訪問控制和信息泄露同樣為漏洞最多的類型。
2017年,安卓平台用戶成為更主要的攻擊對象。據《中國移動互聯網發展狀況及其安全報告(2017)》顯示,移動互聯網惡意程序主要針對安卓平台,共有2053450個,佔99.9%以上。2017年流氓行為類的惡意程序數量仍居首位,惡意扣費類和資費消耗類分列第二、三位。同時,針對安卓手機用戶的勒索木馬病毒也開始在國內網路出現。
移動互聯網通信安全不容忽視
實例表明,移動通信網路已是最易受攻擊的系統之一。4G網路安全問題的首要特點是網路規模不斷擴大;其二是高新通訊技術的應用,使安全隱患增加;其三是多樣化,移動通訊設備和計算機是應用4G網路最廣泛最頻繁的終端設備,隨著二者的無線移動,由於自身的儲存力減弱,病毒、木馬、惡意代碼便會不經意地傳入無線應用當中,從而入侵終端設備。
2017年移動互聯網安全主要安全事件集中在隱私竊取、網路詐騙尤其是金融詐騙、網路謠言方面,其他還有網路色情、暴力、賭博、販毒、殺人,甚至器官販賣、恐怖主義、跨國犯罪等。
2018年趨勢預測及對策建議
2018年,移動互聯網與新技術深度融合,可能成為新藍海。隨著移動帶寬技術的迅速提升,更多的感測設備、移動終端隨時隨地接入網路,加之雲計算、物聯網、AI、區塊鏈等技術的帶動,移動互聯網也逐漸步入大數據和智能化時代。
2018年,預計會出現針對移動設備的更高端的APT惡意軟體。銀行木馬和移動勒索軟體將成為移動系統的主要威脅,且安卓手機操作系統將成為網路犯罪分子的優選目標。2018年移動互聯網安全建議從以下四方面加強:重頂層設計,加強移動互聯網安全法律法規、標準體系建設;提升移動互聯網安全技術水平,加強安全防護和保障能力建設;拓展國際合作空間,積极參与全球移動互聯網治理;加強移動互聯網海量應用軟體風險管控,增強網路管理能力。
物聯網:保障體系發展滯後於產業發展
物聯網信息安全總體形勢不容樂觀
2017年,針對物聯網的攻擊數量不斷增長,攻擊範圍和規模逐步擴大。物聯網安全事件頻繁發生,安全事件所涉及的行業領域較之前明顯增多。
物聯網終端設備的安全漏洞呈現快速增長的趨勢,成為制約物聯網發展的關鍵問題之一。據CNNVD數據統計,2017年度物聯網漏洞數量達637個,較2016年增長了56%。受影響設備類型呈多樣化特點,不僅包括傳統的物聯網終端,智能鎖、投影儀、玩具等新型物聯網設備的安全漏洞也日漸凸顯。
2017年物聯網終端設備主要包括以下類型的安全漏洞:授權問題、命令注入、操作系統命令注入、路徑遍歷、資源管理錯誤、信任管理、跨站請求偽造、輸入驗證、跨站腳本、許可權許可和訪問控制、信息泄露、緩衝區溢出等13種漏洞類型,占漏洞總數的75%。
物聯網逐漸成為攻擊者的主要攻擊目標
物聯網安全保障體系的發展滯後於物聯網產業的發展,越來越多的攻擊者將攻擊目標轉向了物聯網。自2015年開始,在各類世界頂級的黑帽大會和黑客大會上,智能家電、智能門鎖、智能監控、智能網聯汽車、機器人等物聯網智能終端頻繁被曝出安全漏洞,部分物聯網設備開發廠商的安全研發能力和研發水平不高,研發人員的安全研發的意識不夠,導致物聯網設備存在諸多安全隱患,安全漏洞種類繁多、易於攻破。海量物聯網終端的部署,隨之產生的大量用戶數據價值在不斷增加,這些數據將在雲端進行處理和存儲,如何保障物聯網系統中雲端存儲數據的隱私也是物聯網系統安全保障的重要任務之一。物聯網的體系結構複雜、物聯網網路、應用、終端等種類的多樣化使得物聯網的攻擊面不斷擴大,攻擊形式多樣化,造成的危害範圍更廣。同時,物聯網終端設備的海量規模導致攻擊者的攻擊效應規模放大。隨著人工智慧技術的發展,物聯網終端設備呈現智能化趨勢,但這也會導致攻擊的效果放大。物聯網全產業鏈的多領域性導致安全體系建設面臨較大困難,物聯網產業鏈上的每一個環節都有自身的信息安全體系,因而針對物聯網應用重新制定安全體系的建設需要每一個環節的調整和磨合。
2018年趨勢預測及對策建議
2018年,利用殭屍網路對物聯網實施的網路攻擊將愈演愈烈;勒索軟體等惡意軟體對物聯網的危害將逐步顯現;物聯網骨幹網和接入網新協議的安全性可能成為新的失效點;物聯網隱私泄露將導致「黑產」更加泛濫。
為保障物聯網產業健康穩定發展,我國應持續推進物聯網安全工作,從政府、企業、科研、教育部門,以及用戶角度多方協同並進,加速建成物聯網安全保障體系。為此,要做到監管落實物聯網安全方案,加快推進物聯網安全標準制定;物聯網廠商增強生產安全意識,協同保障產業鏈安全環節;行業加快建立可信第三方認證機制;加大物聯網安全課題投入,加速培養物聯網安全人才;最後要培養公民信息安全意識,鼓勵用戶規範設備使用。
工業控制系統安全:進入深水區 特種攻擊逐漸成熟
工業控制信息安全問題進入深水區
2017年,工業控制系統安全漏洞劇增、高級持續性威脅、工業網路病毒等焦點問題依然凸顯。根據CNNVD工控漏洞專庫的數據統計,截至2017年10月公開漏洞所涉及的工業控制系統廠商仍然以國內外著名的工業控制系統廠商為主,西門子、Sap、施耐德電氣、研華科技、羅克韋爾佔據漏洞數排行榜的前五名。2017年主流工控設備漏洞數量佔比與2016年相比呈增長趨勢,且漏洞數量增長驚人。這表明攻擊者主要攻擊在市場上佔有率高、影響範圍廣的品牌設備,所以仍需加強對主流工控設備的安全管控和防護力度。國內外工控安全事件層出不窮,針對國家關鍵基礎設施工控系統的網路攻擊日益呈現出了定向性、組織性和持續性,一定程度上還體現出為國家行為,且攻擊正在進入一個新的階段,由探索性上升到破壞性。
工控安全主要風險來自於五個方面:新技術、新業態、新模式在工業系統中的不斷融合應用,伴隨而來的風險隱患越來越多;工控網路測繪技術門檻低,工控設備直連大量存在,安全風險堪憂;傳統攻擊在工控系統中日益多樣化的同時,工控特種攻擊已逐漸成熟;工控內網安全防護不完善,易出現「一點突破、全線失守」的情況,一旦感染惡意軟體,應急難實施,恢復時間長,國外廠商依託自身技術的先進性,將安全捆綁到工控系統整體方案中,對我國工控安全的可管可控帶來嚴峻挑戰。
2018年趨勢預測與對策建議
如何將傳統的信息安全防護技術改進應用到工業互聯網安全是一項緊迫而又長期的任務,需要國家統一規劃,各部門分步實施,通力合作。工控防護邊界的擴大,使得工業大數據監測與態勢感知在工控安全防護體系中被提升到了一個新的高度。同時工控安全大賽如火如荼,促進了工控安全能力的提升及人才的培養。
2018年,工控特種攻擊將愈發成熟,並與傳統攻擊手段結合,可能成為黑客組織的重要網路武器。其次,政策標準將推動我國重要行業工控系統安全防護的實施落地。與此同時,工控風險評估及安全測評將全面展開。
針對上述工控系統安全的風險和隱患,提出三點對策建議:建立縱深防禦體系,形成態勢監測及風險預警機制;加強工控系統信息安全管理和測評,形成長效機制;促進工控安全與信息安全的跨界融合。
大數據:核心技術安全可控是重要風險
我國大數據發展過程中存在的安全問題與風險
首先是國家層面制定體系化的大數據法規建設規劃和實施計劃規劃不足,傳統的個人信息保護法面臨新的挑戰,個人權益難以保障。二是大數據產業生態逐步細分,以數據價值為核心,對大數據產業生態中的基礎支撐層、融合應用層、數據服務層等三層從數據流的角度進一步細分為數據採集商、大數據分析商、技術平台商、數據交易商和監管機構等,各角色在開展業務過程中都存在安全風險。三是核心技術仍基於開源產品或和國外廠商合作,難以安全可控,安全風險持續聚集。四是數據安全已成為關注焦點,內部威脅導致數據泄露形勢嚴重,大數據系統成為新的勒索目標,個人信息被過度採集和分析,安全形勢日趨嚴峻。五是數據開放和共享受「權利屬性」、「財富屬性」、數據確權缺失等多重製約,阻礙戰略實施落地。
同時,大數據雙面效應持續彰顯,既保安全又有風險。大數據技術已廣泛應用於網路安全、公眾安全等跟人民生命密切相關的行業,取得了良好的效果。但是,敵對勢力和攻擊者也能利用大數據技術逃避網路防護機制、竊取保密信息等。
2018年趨勢預測及對策建議
目前,我國重點行業和領域基本上是使用開源產品和基於開源產品進行二次封裝後的產品,技術核心都是國外產品,因此,基於大數據核心技術不能安全可控而持續聚集的安全風險將是我國大數據安全發展面臨的重大安全風險之一。其次,數據被勒索、竊取和丟失等風險持續增加,數據安全形勢將更加嚴峻。再次,人工智慧應用快速發展,帶來新的技術挑戰。最後,我國跟數據相關的權利人的權利和義務不確定,缺乏法律依據,難以保障相關方的權利,將制約我國數據開放共享的順利開展。
為此,提出四方面對策:摸清安全現狀,做到「心中有底、手中有招」;完善政策法規,做到「科學立法、嚴格執法」;研發核心技術,做到「自主創新、安全可控」;創新人才機制,積極培育大數據技術和應用創新型人才,做到「體制新穎、人才濟濟」。
區塊鏈:技術尚未成熟 新型風險顯現
區塊鏈技術金融先行
近年來,區塊鏈技術得到了廣泛的關注和認可,其具備去中心化、可追溯、不可篡改和可編程等特性。當前基於區塊鏈技術的大部分業務應用系統尚處於開發、驗證和實驗測試階段,預計未來幾年將如雨後春筍般湧現。目前,區塊鏈技術正吸引著金融、證券、保險等領域以及供應鏈、知識產權保護、合同存證、審計、捐款追蹤、積分管理等應用場景的廣泛關注,已在多個行業或組織內容開展研發測試,甚至已上線運行,特別是金融行業。其他行業包括證券、保險、供應鏈(物流)等也有相關研發實例。
2018趨勢分析和建議
區塊鏈作為新興技術正在同傳統技術發生強烈碰撞階段,試圖顛覆傳統的網路信任基礎。網路空間公有鏈(數字貨幣等)區塊鏈系統正受到各國政府和監管機構的強烈關注,其已經對國家安全,特別是金融安全、公共安全等層面構成實質性的威脅。隨著區塊鏈技術的發展,預計不久其安全風險問題將不斷爆出。
區塊鏈存在的主要安全風險有:國外公有區塊鏈系統及其外圍應用對我國金融安全存在一定影響,應持續關注其對我金融安全的隱患分析和排查。此外,區塊鏈外圍應用很多均不是去中心化的,應避免誤解造成使用或操作風險,排除誤認識帶來的隱患,例如礦池或礦場組織、數字貨幣的交易所、在線錢包等。
區塊鏈技術涉及多種密碼演算法,對密碼學技術的依賴程度非常高。密碼學演算法對相於區塊鏈的作用的重要性就像是CPU、操作系統對於計算機。如果設計的密碼演算法本身存在漏洞或後門,對區塊鏈系統將是致命的,潛在風險巨大,影響不可估量。此外,數字資產或價值的安全存儲存在隱患。為了安全應用區塊鏈技術,提供安全的便利的密鑰保護機制至關重要。
針對上述情況分析,我們提出以下對策和建議:應加強對公有區塊鏈的監管和監測,包括公有鏈外圍挖礦、交易所等的監管和監測,跟蹤社區動態、安全事件情況等,及時處置;開展區塊鏈技術安全風險評估評測,及時掌握區塊鏈安全機制和安全動態,為制定相關政策指導提供依據;加大區塊鏈特別是數字貨幣等的風險教育和宣傳,提高風險安全意識。
(本文刊登於《中國信息安全》雜誌2018年第1期,由中國信息安全測評中心隱患分析處、系統評估處和大數據安全處供稿)
更多信息安全資訊
請關注公眾號!
TAG:中國信息安全 |