专题 | 2017年网络安全技术领域新趋势

2018-02-05


  移动互联网:快速发展使其成为最易受攻击系统

移动互联网不断强化与传统产业加快融合

据Zenith Media研究显示,2017年移动互联网流量占互联网流量的比例达75%。全球移动互联网收入达7000亿美元,主要增长来自移动商务、移动应用、企业移动性应用、广告和可穿戴业务。

随着互联网+和移动通信技术的不断发展,“移动互联网+”与交通、教育、金融、传媒、营销、气象等各行各业展开深度融合,形成各行各业新的产业生态。移动数据流量成为移动互联网上网的主流方式,到2020年流量将增长1000倍。我国“十三五”规划纲要明确,积极推进第五代移动通信(5G)和超宽带关键技术研究,启动5G商用。同时,5G时代迎来“中国标准”。

移动互联网安全漏洞百出

目前iOS和安卓系统占据移动互联网操作系统90%以上的份额。iOS目前面临最大的安全风险来自于iOS系统漏洞。据国家信息安全漏洞库(CNNVD)数据统计,截至2017年11月30日,iOS系统共收录了624个系统漏洞,其中2017年115个,信息泄露和权限许可访问控制为漏洞最多的类型。

安卓系统面临的情况同样不容乐观,据CNNVD数据统计,截至2017年11月30日,安卓系统共收录了1082个系统漏洞,其中2017年540个,权限许可访问控制和信息泄露同样为漏洞最多的类型。

2017年,安卓平台用户成为更主要的攻击对象。据《中国移动互联网发展状况及其安全报告(2017)》显示,移动互联网恶意程序主要针对安卓平台,共有2053450个,占99.9%以上。2017年流氓行为类的恶意程序数量仍居首位,恶意扣费类和资费消耗类分列第二、三位。同时,针对安卓手机用户的勒索木马病毒也开始在国内网络出现。

移动互联网通信安全不容忽视

实例表明,移动通信网络已是最易受攻击的系统之一。4G网络安全问题的首要特点是网络规模不断扩大;其二是高新通讯技术的应用,使安全隐患增加;其三是多样化,移动通讯设备和计算机是应用4G网络最广泛最频繁的终端设备,随着二者的无线移动,由于自身的储存力减弱,病毒、木马、恶意代码便会不经意地传入无线应用当中,从而入侵终端设备。

2017年移动互联网安全主要安全事件集中在隐私窃取、网络诈骗尤其是金融诈骗、网络谣言方面,其他还有网络色情、暴力、赌博、贩毒、杀人,甚至器官贩卖、恐怖主义、跨国犯罪等。

2018年趋势预测及对策建议

2018年,移动互联网与新技术深度融合,可能成为新蓝海。随着移动带宽技术的迅速提升,更多的传感设备、移动终端随时随地接入网络,加之云计算、物联网、AI、区块链等技术的带动,移动互联网也逐渐步入大数据和智能化时代。

2018年,预计会出现针对移动设备的更高端的APT恶意软件。银行木马和移动勒索软件将成为移动系统的主要威胁,且安卓手机操作系统将成为网络犯罪分子的优选目标。2018年移动互联网安全建议从以下四方面加强:重顶层设计,加强移动互联网安全法律法规、标准体系建设;提升移动互联网安全技术水平,加强安全防护和保障能力建设;拓展国际合作空间,积极参与全球移动互联网治理;加强移动互联网海量应用软件风险管控,增强网络管理能力。

  物联网:保障体系发展滞后于产业发展

物联网信息安全总体形势不容乐观

2017年,针对物联网的攻击数量不断增长,攻击范围和规模逐步扩大。物联网安全事件频繁发生,安全事件所涉及的行业领域较之前明显增多。

物联网终端设备的安全漏洞呈现快速增长的趋势,成为制约物联网发展的关键问题之一。据CNNVD数据统计,2017年度物联网漏洞数量达637个,较2016年增长了56%。受影响设备类型呈多样化特点,不仅包括传统的物联网终端,智能锁、投影仪、玩具等新型物联网设备的安全漏洞也日渐凸显。

2017年物联网终端设备主要包括以下类型的安全漏洞:授权问题、命令注入、操作系统命令注入、路径遍历、资源管理错误、信任管理、跨站请求伪造、输入验证、跨站脚本、权限许可和访问控制、信息泄露、缓冲区溢出等13种漏洞类型,占漏洞总数的75%。

物联网逐渐成为攻击者的主要攻击目标

物联网安全保障体系的发展滞后于物联网产业的发展,越来越多的攻击者将攻击目标转向了物联网。自2015年开始,在各类世界顶级的黑帽大会和黑客大会上,智能家电、智能门锁、智能监控、智能网联汽车、机器人等物联网智能终端频繁被曝出安全漏洞,部分物联网设备开发厂商的安全研发能力和研发水平不高,研发人员的安全研发的意识不够,导致物联网设备存在诸多安全隐患,安全漏洞种类繁多、易于攻破。海量物联网终端的部署,随之产生的大量用户数据价值在不断增加,这些数据将在云端进行处理和存储,如何保障物联网系统中云端存储数据的隐私也是物联网系统安全保障的重要任务之一。物联网的体系结构复杂、物联网网络、应用、终端等种类的多样化使得物联网的攻击面不断扩大,攻击形式多样化,造成的危害范围更广。同时,物联网终端设备的海量规模导致攻击者的攻击效应规模放大。随着人工智能技术的发展,物联网终端设备呈现智能化趋势,但这也会导致攻击的效果放大。物联网全产业链的多领域性导致安全体系建设面临较大困难,物联网产业链上的每一个环节都有自身的信息安全体系,因而针对物联网应用重新制定安全体系的建设需要每一个环节的调整和磨合。

2018年趋势预测及对策建议

2018年,利用僵尸网络对物联网实施的网络攻击将愈演愈烈;勒索软件等恶意软件对物联网的危害将逐步显现;物联网骨干网和接入网新协议的安全性可能成为新的失效点;物联网隐私泄露将导致“黑产”更加泛滥。

为保障物联网产业健康稳定发展,我国应持续推进物联网安全工作,从政府、企业、科研、教育部门,以及用户角度多方协同并进,加速建成物联网安全保障体系。为此,要做到监管落实物联网安全方案,加快推进物联网安全标准制定;物联网厂商增强生产安全意识,协同保障产业链安全环节;行业加快建立可信第三方认证机制;加大物联网安全课题投入,加速培养物联网安全人才;最后要培养公民信息安全意识,鼓励用户规范设备使用。

  工业控制系统安全:进入深水区 特种攻击逐渐成熟

工业控制信息安全问题进入深水区

2017年,工业控制系统安全漏洞剧增、高级持续性威胁、工业网络病毒等焦点问题依然凸显。根据CNNVD工控漏洞专库的数据统计,截至2017年10月公开漏洞所涉及的工业控制系统厂商仍然以国内外著名的工业控制系统厂商为主,西门子、Sap、施耐德电气、研华科技、罗克韦尔占据漏洞数排行榜的前五名。2017年主流工控设备漏洞数量占比与2016年相比呈增长趋势,且漏洞数量增长惊人。这表明攻击者主要攻击在市场上占有率高、影响范围广的品牌设备,所以仍需加强对主流工控设备的安全管控和防护力度。国内外工控安全事件层出不穷,针对国家关键基础设施工控系统的网络攻击日益呈现出了定向性、组织性和持续性,一定程度上还体现出为国家行为,且攻击正在进入一个新的阶段,由探索性上升到破坏性。

工控安全主要风险来自于五个方面:新技术、新业态、新模式在工业系统中的不断融合应用,伴随而来的风险隐患越来越多;工控网络测绘技术门槛低,工控设备直连大量存在,安全风险堪忧;传统攻击在工控系统中日益多样化的同时,工控特种攻击已逐渐成熟;工控内网安全防护不完善,易出现“一点突破、全线失守”的情况,一旦感染恶意软件,应急难实施,恢复时间长,国外厂商依托自身技术的先进性,将安全捆绑到工控系统整体方案中,对我国工控安全的可管可控带来严峻挑战。

2018年趋势预测与对策建议

如何将传统的信息安全防护技术改进应用到工业互联网安全是一项紧迫而又长期的任务,需要国家统一规划,各部门分步实施,通力合作。工控防护边界的扩大,使得工业大数据监测与态势感知在工控安全防护体系中被提升到了一个新的高度。同时工控安全大赛如火如荼,促进了工控安全能力的提升及人才的培养。

2018年,工控特种攻击将愈发成熟,并与传统攻击手段结合,可能成为黑客组织的重要网络武器。其次,政策标准将推动我国重要行业工控系统安全防护的实施落地。与此同时,工控风险评估及安全测评将全面展开。

针对上述工控系统安全的风险和隐患,提出三点对策建议:建立纵深防御体系,形成态势监测及风险预警机制;加强工控系统信息安全管理和测评,形成长效机制;促进工控安全与信息安全的跨界融合。

  大数据:核心技术安全可控是重要风险

我国大数据发展过程中存在的安全问题与风险

首先是国家层面制定体系化的大数据法规建设规划和实施计划规划不足,传统的个人信息保护法面临新的挑战,个人权益难以保障。二是大数据产业生态逐步细分,以数据价值为核心,对大数据产业生态中的基础支撑层、融合应用层、数据服务层等三层从数据流的角度进一步细分为数据采集商、大数据分析商、技术平台商、数据交易商和监管机构等,各角色在开展业务过程中都存在安全风险。三是核心技术仍基于开源产品或和国外厂商合作,难以安全可控,安全风险持续聚集。四是数据安全已成为关注焦点,内部威胁导致数据泄露形势严重,大数据系统成为新的勒索目标,个人信息被过度采集和分析,安全形势日趋严峻。五是数据开放和共享受“权利属性”、“财富属性”、数据确权缺失等多重制约,阻碍战略实施落地。

同时,大数据双面效应持续彰显,既保安全又有风险。大数据技术已广泛应用于网络安全、公众安全等跟人民生命密切相关的行业,取得了良好的效果。但是,敌对势力和攻击者也能利用大数据技术逃避网络防护机制、窃取保密信息等。

2018年趋势预测及对策建议

目前,我国重点行业和领域基本上是使用开源产品和基于开源产品进行二次封装后的产品,技术核心都是国外产品,因此,基于大数据核心技术不能安全可控而持续聚集的安全风险将是我国大数据安全发展面临的重大安全风险之一。其次,数据被勒索、窃取和丢失等风险持续增加,数据安全形势将更加严峻。再次,人工智能应用快速发展,带来新的技术挑战。最后,我国跟数据相关的权利人的权利和义务不确定,缺乏法律依据,难以保障相关方的权利,将制约我国数据开放共享的顺利开展。

为此,提出四方面对策:摸清安全现状,做到“心中有底、手中有招”;完善政策法规,做到“科学立法、严格执法”;研发核心技术,做到“自主创新、安全可控”;创新人才机制,积极培育大数据技术和应用创新型人才,做到“体制新颖、人才济济”。

  区块链:技术尚未成熟 新型风险显现

区块链技术金融先行

近年来,区块链技术得到了广泛的关注和认可,其具备去中心化、可追溯、不可篡改和可编程等特性。当前基于区块链技术的大部分业务应用系统尚处于开发、验证和实验测试阶段,预计未来几年将如雨后春笋般涌现。目前,区块链技术正吸引着金融、证券、保险等领域以及供应链、知识产权保护、合同存证、审计、捐款追踪、积分管理等应用场景的广泛关注,已在多个行业或组织内容开展研发测试,甚至已上线运行,特别是金融行业。其他行业包括证券、保险、供应链(物流)等也有相关研发实例。

2018趋势分析和建议

区块链作为新兴技术正在同传统技术发生强烈碰撞阶段,试图颠覆传统的网络信任基础。网络空间公有链(数字货币等)区块链系统正受到各国政府和监管机构的强烈关注,其已经对国家安全,特别是金融安全、公共安全等层面构成实质性的威胁。随着区块链技术的发展,预计不久其安全风险问题将不断爆出。

区块链存在的主要安全风险有:国外公有区块链系统及其外围应用对我国金融安全存在一定影响,应持续关注其对我金融安全的隐患分析和排查。此外,区块链外围应用很多均不是去中心化的,应避免误解造成使用或操作风险,排除误认识带来的隐患,例如矿池或矿场组织、数字货币的交易所、在线钱包等。

区块链技术涉及多种密码算法,对密码学技术的依赖程度非常高。密码学算法对相于区块链的作用的重要性就像是CPU、操作系统对于计算机。如果设计的密码算法本身存在漏洞或后门,对区块链系统将是致命的,潜在风险巨大,影响不可估量。此外,数字资产或价值的安全存储存在隐患。为了安全应用区块链技术,提供安全的便利的密钥保护机制至关重要。

针对上述情况分析,我们提出以下对策和建议:应加强对公有区块链的监管和监测,包括公有链外围挖矿、交易所等的监管和监测,跟踪社区动态、安全事件情况等,及时处置;开展区块链技术安全风险评估评测,及时掌握区块链安全机制和安全动态,为制定相关政策指导提供依据;加大区块链特别是数字货币等的风险教育和宣传,提高风险安全意识。

来源于《中国信息安全》杂志

来源地址:http://mp.weixin.qq.com/s/PjVbz-nFbsiXkwnY8HTgyg