一、明确关键基础设施信息系统的范围做到应急响应与保障工作有的放矢
早期,关键基础设施信息系统的划定范围主要是指电信网络基础设施及重要信息系统的联网系统。2013年6月“斯诺登事件”的爆出,引起了全球的普遍关注,网络安全工作的重要性也凸显出来。2014年2月27日中央网络安全和信息化领导小组第一次会议召开,提出努力将我国建成为网络强国,并提出没有网络安全就没有国家安全,将网络安全上升到国家安全的高度。2016年11月7日,全国人大常通过了《网络安全法》,根据相关定义,可以明确关键基础设施信息系统除了早期所指的电信网和重要信息系统外,还应包括广播电视传输等基础信息网络、提供社会公共服务的信息系统、军事网络和设区的市级以上国家机关等政务网络、用户数量众多的网络服务提供者所有或者管理的网络和系统等。
二、掌握目前我国关键基础设施信息系统的安全状况做到应急响应与保障工作事半功倍
根据国家互联网应急中心(以下简称“CNCERT”)监测发现,我国关键基础设施信息系统面临的网络安全威胁情况依然严重,并逐渐成为黑客进行网络攻击的重要对象。一是事件型漏洞数量持续增多。2016年上半年,国家信息安全漏洞共享平台(以下简称“CNVD”)共收录安全漏洞3939个,包括Squid服务器拒绝服务漏洞、Apache Struts2远程代码执行漏洞、全志科技ARM系统Root权限口令漏洞、Windows WPAD权限提升漏洞OpenSSL加密算法破解漏洞、思科ASA software IKE密钥交换协议缓冲区溢出漏洞、飞塔防火墙SSH认证漏洞等多个涉及基础软件的高危漏洞。基础软件广泛用在我国基础应用和通用软硬件产品中,若不及时修复,容易被批量利用,造成严重危害。CNCERT通报的安全漏洞事件统计发现,涉及重要行业、政府部门等关键基础设施信息系统的高危漏洞事件持续增多,仅今年上半年就通报了事件型漏洞约1.5万起,同比2015年上半年增长了44.4%。二是发现大量恶意程序感染事件。2016年上半年,抽样监测发现我国境内感染木马僵尸网络的主机为约833万台。随着我国持续加大木马僵尸网络监测和治理力度,大量僵尸网络控制服务器向境外迁移,抽样监测发现境外约2.4万个控制服务器控制了我国境内约796万台主机。另外,今年上半年共向重要部门通报木马病毒感染事件36起,引起相关部门的普遍关注,要求立即开展应急处置和技术排查,及时消除隐患。三是网站安全问题突出。2016年上半年,我国境内被篡改网站数量约1.2万个,其中被篡改的重要部门数量为318个。特别的,一个名为“反共黑客”的黑客组织自2012年以来,利用网络安全漏洞持续对我国重要部门网站进行网页篡改攻击,仅今年上半年已攻击篡改了60多个网站。此外,黑客倾向于通过隐蔽的危害更大的后门程序,获得经济利益和窃取网站内存储的信息。监测到境内约5万个网站被植入后门,其中涉及重要部门有1570个。
三、全面了解关键基础设施信息系统面临的主要风险做到应急响应与保障工作有备无患
笔者认为互联网上的“攻防”博弈发展到现阶段,黑客发起网络攻击不再是简单的炫耀技术,也不再是单纯的攻击个人用户设备使其无法正常运行,而是发起大规模威胁或者有国家支持背景以破坏关键基础设施信息系统正常运行或开展窃取信息等为目的。2010震网病毒事件、2013年斯诺登事件、2015年乌克兰停电事件、2016年中国台湾第一银行ATM提款机自动吐钞事件等重大网络安全事件,让我们一次次真实地意识到网络安全威胁的产生的严重后果,也让我们一次次对我国关键基础设施信息系统面临的安全威胁进行反思。我们认识到,我国网络基础设施信息系统仍存在较多漏洞风险,针对重要信息系统、基础应用和通用软硬件漏洞的攻击利用活跃,漏洞风险向传统领域、智能终端领域泛化演进;域名系统面临严峻的拒绝服务攻击,针对重要网站的域名解析篡改攻击频发;网络攻击威胁日益向工业互联网领域渗透,已发现我国部分地址感染专门针对工业控制系统的恶意程序事件;网站数据和个人信息泄露现象依然严重,移动应用程序成为数据泄露的新主体。
四、总结实践经验创造应急响应和保障工作新思路
CNCERT作为我国网络安全应急体系核心机构,围绕网络安全应急响应工作,形成了一套完整的包括事件发现、预警通报、应急处置、测试评估,覆盖事前、事中、事后全过程的应急响应和保障工作流程。但是,随着近年来国家级、有组织的高强度网络攻击事件不断被发现和曝光,对开展关键基础设施网络安全应急响应提出了更高的要求。
第一,加快构建国家级应急响应和保障体系,有效应对网络攻击事件。加强网络安全应急响应和保障工作的顶层设计,继续建立健全跨部门、跨行业、跨地域的网络安全应急响应和保障协作机制,实现各部门网络安全资源的对接,在各负其责的基础上,实现国家全局网络安全能力的协同联动和专业支撑,有效应对国家级、有组织的网络攻击行为。
第二,加大网络安全工作投入,提高网络安全防护意识。相关行业、企业和政府部门,加大在网络设备和技术研发方面的投入,强化安全防护和管理,提高自身应对网络安全新风险的能力,以减少技术不断发展引起的网络安全隐患。同时,各单位应进一步加强对网络安全的重视程度和安全意识,全面落实安全组织、安全制度和技术防范措施,建立和完善安全防范机制,建立完备的应急响应预案,定期排查安全管理和技术实施环节的隐患和漏洞,确保关键基础设施信息系统的安全。
第三,加强网络安全技术手段建设,提高对网络攻击主体追溯能力。针对恶意程序、APT 攻击以及互联网新技术新业务引发的新问题、新风险,应加强实现网络安全技术手段的研究和建设,要进一步提高对网络攻击的威胁监测、全局感知、预警防护、应急处置、协同联动等能力;同时,要进一步提高对网络攻击的追踪溯源能力,对正在发生的网络攻击行为,能够准确判断网络攻击来源、目标和真实意图,提取数据线索,还原攻击场景,并找到攻击源头,从而形成一定的震慑力。
第四,提高核心设备国产化水平,加快完善网络信息安全审查制度。加强网络关键设备和核心技术的研发和推广,提高关键基础设施信息系统中联网设备软硬件的国产化水平,提升软硬件产品和服务的自主可控能力。在较长一段时间内,我国各部门仍然不可避免地要使用国外主流网络设备和互联网服务,建议加强对联网系统的安全防护检查和动态监测能力,提高对系统漏洞的发现能力,及时修复安全漏洞,确保联网系统的安全可靠运行。同时,建议尽快完善网络信息安全审查制度框架,明确信息产品的审查范围和审查内容,对相关信息产品,根据产品的来源、可靠性、可监督性和安全性进行审查。