本文刊载于《中国科学院院刊》2021年第10期专题:科技与社会,原文标题《网络空间安全面临的寻衅与对策》
冯登国 连一峰
中国科学院软件研究所
当前环球网络空间安全形势持续演化,外部环境日趋严厉,网络安全问题时候影响着政治、经济、军事、文化、科技等各个领域。为了有效戒备重大网络威胁,节制网络空间自主权和话语权,我们须要复苏认识网络空间面临的安全寻衅,落实关键信息根本举动步伐安全保护哀求,重点加强数据安全和供应链安全保障能力,建立健全国家网络空间安全保障体系。
信息技能已经成为驱动和保障国家经济培植与社会发展的强力引擎,在能源、交通、金融、电信、制造、教诲、文化等各个领域发挥着重要浸染。国际社会间的互助、竞争和博弈也逐步拓展到网络空间,网络空间逐渐发展成为与陆、海、空、天并列的第五维空间领域,对国家安全产生了深远影响。
美国等西方发达国家频繁炒作“中国网络威胁论”,但实际上作为拥有最强大网络武器库、最前辈网络根本举动步伐的国家,美国一贯依赖其强大的网络攻击能力,对包括中国在内的多个国家持续进行网络攻击;部分西方发达国家利用网络空间的信息不对称和技能门槛,推动网络霸权和数据霸权,进一步加剧信息壁垒和数字鸿沟,从而攫取政治利益和经济利益。与此同时,境内外敌对势力、高等持续性威胁(APT)组织、黑客组织每时每刻都在考试测验对我国的关键信息根本举动步伐、大数据平台和主要信息系统进行数据盗取、入侵渗透和攻击毁坏;利用互联网络履行的隐私盗取、网络诱骗、敲诈打单、恶意植入等网络违法犯罪活动也十分专横獗。这些毁坏活动既阻碍了网络空间的发展,也给经济运行、社会发展和国家安全带来了严重威胁。
我国高度重视网络空间安全问题。2017 年 6 月 1日,《中华公民共和国网络安全法》正式履行。这是我国第一部全面规范网络空间安全管理方面问题的根本性法律。2021 年 6 月 10 日,全国公民代表大会常务委员会审议通过《中华公民共和国数据安全法》,自2021 年 9 月 1 日起施行,目的是规范数据处理活动,保障数据安全,促进数据开拓利用,保护个人、组织的合法权柄,掩护国家主权、安全和发展利益。国家网络安全职能部门依据法律和规章制度,采纳了一系列掩护网络空间安全的重大举措,包括保护关键信息根本举动步伐、加强网络文化培植、打击网络胆怯和违法犯罪、完善网络管理体系、提升网络空间防护能力、加强网络空间国际互助等。通过订定发布标准规范、开展专项整治行动、组织网络攻防实战演习训练、履行专项检讨和督导等,有效提升了各行业单位和社会"大众年夜众的安全意识,磨炼了针对重大网络安全事宜的监测创造和应急处置能力,增强了安全保护弹性和攻防对抗能力,培养了一批演习有素的网络安全专业人才,初步建立了针对关键信息根本举动步伐和主要信息系统的安全保障体系。
当前,国际海内形势纷繁繁芜,环球网络空间安全态势持续演化,外部环境日趋严厉,我国在经济转型和社会发展方面也面临困难和压力,须要我们复苏地认识到网络空间所面临的安全寻衅,并制订有针对性的应对策略。
1
寻衅
针对网络空间主导权的争夺日益激烈
传统意义上网络威胁的内涵是指通过技能手段,利用目标工具的漏洞、毛病或薄弱点,采纳探测、渗透、入侵、提权、盗取、修改等办法,毁坏目标工具的机密性、完全性、可用性等安全属性。例如,入侵数据库以造孽获取个人数据和敏感信息,向用户终端植入木马病毒以达到远程掌握目的,或是发动大规模谢绝做事攻击造成网络运用做事中断。
当前,网络空间面临的威胁已不仅仅是上述针对网络与信息系统自身的攻击毁坏。由于网络空间在社会层面的根本性支撑浸染,利用网络空间节制政治、经济、军事、文化、社会舆论等方面的话语权,从而为组织间乃至国家间的竞争对抗供应做事,已经成为国际社会的普遍做法。传统的针对网络和信息系统的毁坏活动已经发展为通过掌握网络空间,使其成为开展对抗竞争、获取政治或经济利益的主要工具和手段。近年来,国际社会频发的种族冲突、地域纷争和意识形态对抗,多次验证了网络空间已经成为节制国际社会主导权,展现国家综合实力的主要表示。
例如,长期以来,美国凭借其在技能创新、家当引领与规则制订等方面的上风,持续掌控网络空间主导权。随着国际力量格局变革,网络空间的争夺加剧,给美国网络空间主导权带来前所未有的寻衅。美国政府从调度理念、强化实力上风和钻营制度性权力 3 个维度动手,不断探索巩固与强化网络空间主导权的新举措。近年来,美国政府针对我国高科技领域陆续出台的一系列限定、打压政策,目的也是为了保持美国长期以来在信息技能领域的上风,把控环球网络空间的话语权,其干系动向对网络空间未来发展与力量格局均将带来深远影响。
因此,我们必须要节制网络空间发展的主动权,打破和节制网络核心技能,坚持自主创新和开放领悟 ,全力保障网络安全。
跨领域、跨空间的渗透攻击频发
由于网络空间与物理空间、社会空间的逐步领悟,攻击武器和攻击办法繁芜多样,攻击组织常常会利用跨网跨域的手段履行渗透,躲避网络空间原有的安全防护方法。例如,通过社会工程预测破解主要信息系统的账号与口令,利用地理定位信息履行物理层接入攻击,或者采取敲诈手段造孽获取主要信息系统的访问权限等。
针对电力、能源、交通、金融等关键根本举动步伐的攻击活动一旦成功,将极大影响干系行业的正常运行。网络空间的攻击毁坏可以迅速蔓延到物理空间和社会空间,影响经济运行,造成社会职能瘫痪,乃至毁坏国家安全。个中,电力和能源系统是遭受网络攻击的“重灾区”。2015 年 12 月,乌克兰电网被黑客攻击瘫痪,造成大范围的供电中断。攻击者具备高度的组织化并且拥有丰富的资源支持,有数据表明超过 27 家变电站系统在这次攻击中被毁坏。2021 年 5 月,美国大型成品油管道系统运营商科洛尼尔管道运输公司因黑客通过造孽软件掌握其电脑系统,不得不临时关闭设备。科洛尼尔管道运输公司表示,这次网络打击包含了打单软件攻击。针对本次事宜,美国景象政策实验室研究教授艾米·迈尔斯·贾菲表示:“这不仅是一条输油管道,而可以说是已经靠近美国根本举动步伐的大动脉了。”
由此可见,网络威胁早已打破了传统网络空间的时空限定,在威胁办法、攻击手腕、影响范围和灾害性后果等方面,都已经扩展到了现实的物理空间和社会空间,成为跨领域、跨空间的综合性威胁成分。
精准打击与大范围毁坏紧密结合
网络空间对抗各方在各自计策的统一指挥下,综合利用多种资源、多种战术、多种武器装备来履行对抗,既须要能够对大范围战术目标进行毁坏的攻击工具(如能够传染对方大量设备造成系统瘫痪的蠕虫病毒),也须要能够重点打破计策目标的分外手段(如针对对方核心设备的特种木马病毒)。残酷的网络空间对抗将时候面临对方利用精准打击和大范围毁坏紧密结合的实沙场景。因此,掩护网络空间安全须要有效应对不同类型的攻击手段和战术。
大范围毁坏性攻击紧张利用关键信息根本举动步伐软硬件设备的同构性毛病。打算机软硬件设备由于基于相同或相似的打算架构,安全漏洞具有极强的扩散和辐射效应。例如,Struts 2 作为阿帕奇(Apache)软件项目的环球广域网(web)框架,被浩瀚商业网站开拓者所利用。当 Struts 2 存在安全漏洞时,所有基于该框架开拓的网站运用(包括有名的互联网站和电子商务平台)都面临严重的安全威胁。攻击者可以利用漏洞得到网站的掌握权限,恶意修改网站内容或植入后门程序。因此,网络攻击武器可以打破传统武器在地域和空间方面的限定,在极短韶光内借助互联网络达到在同构设备间快速蔓延并造成大规模毁坏的攻击效果。
精准打击则紧张针对特定领域、特定装备、特定举动步伐,利用零日漏洞、特种木马病毒等手段履行毁坏,以期精准入侵并掌握目标系统举动步伐,达到直击对方症结,掌握对方核心目标的效果。近年来,除了工控设备和物联网(IoT)设备以外,针对安全设备的攻击毁坏也逐渐成为趋势。由于安全设备常日拥有较高的系统权限,一旦被打破将会造成灾害性后果。安全防护设备如果自身存在设计毛病、安全漏洞或管理不善,不但起不到有效的保护浸染,乃至会成为网络空间攻防对抗的关键薄弱点。目前,这一问题已经引起干系部门和主要行业的高度重视。
2
对策
当现代界,一场新的全方位综合国力竞争正在环球展开。能不能适应和引领互联网发展,成为决定大国兴衰的一个关键。天下各大国均把信息化作为国家计策重点和优先发展方向,环绕网络空间发展主导权、制网权的争夺日趋激烈,天下权力图谱因信息化而被重新绘制,互联网成为影响天下的主要力量。谁节制了互联网,谁就把握住了时期主动权;谁轻视互联网,谁就会被时期所抛弃。
为了做好网络空间安全保障事情,节制网络空间的主动权和话语权,掩护网络安全,急迫须要我们采纳有效的应对策略和方法。
借鉴新冠肺炎疫情防控理念,织密网络空间保护网
2020 年初以来,面对突如其来席卷环球的新冠肺炎疫情,我国充分发挥系统编制机制上风,采纳了层层任务落实、严格管控高危职员、加强社区管理、保持社交间隔、培养个人卫生习气、推广疫苗接种等一系列有力方法,在取得良好防控成效的同时,担保了国民经济的稳步、康健发展。这次成功的抗疫行动,让我们看到了社会主义系统编制的上风,也为网络空间安全事情供应了新的启迪。生物病毒是人类共同的仇敌,网络威胁是网络空间共同的对手。网络威胁在威胁办法、毁坏力、传播性、易感群体等方面呈现出诸多与生物病毒相似的特性。针对生物病毒的防控手段对网络空间的安全戒备事情有着重要的借鉴意义。以范例的网络病毒为例,可以通过开展以下事情实现有效防控。
1
建立网络安全态势感知能力
在第一韶光准确、敏锐地感知尚处于低级传播阶段却具备巨大潜在威胁的网络病毒,实现网络病毒的早期预警,提晨安排戒备掌握方法。
2
借鉴生物领域对人群的分类,划分网络主机种别
环绕网络病毒的传染和传播问题,将网络主机划分为已传染主机(确诊病例)、疑似传染主机(疑似病例)、暗藏传染主机(无症状传染者)、易感主机(密切打仗者)、免疫主机(疫苗接种者)等类型。
3
针对不同类型的主机,分类采纳方法
分类采纳断网(封闭治疗)、网络隔离(社区隔离)、补丁安装(接种疫苗)、系统加固(提高抵抗力)等手段,实现源头抑制和分类管控策略,将网络病毒的传播范围限定在尽可能小的区域内,有效阻断网络病毒的传播渠道。
犹如疫情防控一样,在当今万物互联的时期,纯粹采纳原有伶仃的、封闭的安全保护方法,无法知足网络信息系统的互联互通需求。必须通过压实各级任务、落实制度哀求、提升重点目标戒备水平、监测感知重大网络威胁、提高应急相应效率、履行可信打算技能方法等一系列“组合拳”,多管齐下织密网络空间保护网,从而提高网络信息系统在面对网络威胁时的戒备能力、应对能力和生存能力。
依托技能手段,打造关键信息根本举动步伐安全堡垒
我国高度重视关键信息根本举动步伐安全保护事情。关键信息根本举动步伐是我国经济社会运行的神经中枢,是网络安全保护的重中之重,是构建国家网络空间安全保障体系的倔强堡垒。加强关键信息根本举动步伐安全保护,对付掩护国家安全、保障经济社会康健发展、掩护公民群众根本利益意义重大。
针对国家关键信息根本举动步伐面临的网络空间威胁,干系部门组织制订了《关键信息根本举动步伐安全保护条例》,对涉及国计民生的关键信息根本举动步伐保护范围作出规定,明确提出各方的安全职责和哀求。关键信息根本举动步伐保护是在落实网络安全等级保护制度的根本上,突出保护重点,强化保护方法,紧张事情内容包括以下 3 点。
1
组织认定关键信息根本举动步伐
重点针对公共通信和信息做事、能源、交通、水利、金融、公共做事、电子政务、国防科技工业等主要行业和领域,节制关键信息根本举动步伐底数。
2
明确关键信息根本举动步伐安全保护事情的职能分工
包括公安部门、电信主管部门、关键信息根本举动步伐安全保护事情部门和运营者,做到职责清晰。
3
落实关键信息根本举动步伐重点防护方法
针对关键信息根本举动步伐的网络威胁有别于通用威胁。攻击者可以利用零日漏洞,专项开拓新型的恶意代码,绕过关键信息根本举动步伐原有的网络安全防护方法并成功履行攻击。在这种情形下,依赖于攻击特色匹配的传统防护方法将会失落效,必须依托以人工智能为代表的新型网络安全技能,通过对系统运行和网络运用做事的机器学习与剖析建模,创造有别于正常访问的数据流量和操作行为,及时识别出重大网络威胁和攻击企图,从而不断提升关键信息根本举动步伐的纵深防御和主动防御能力。
加强重点研发,支撑数据安全保护事情
数字经济为公民群众供应便利的同时,利用数据侵害公民群众合法权柄的问题日益突出。《数据安全法》贯彻落实总体国家安全不雅观,聚焦数据安全领域的风险隐患,是掩护公民群众合法权柄的客不雅观须要,让公民群众在数字化发展中得到更多幸福感、安全感;该法的颁布履行也是促进数字经济康健发展的主要举措,通过促进数据依法合理有效利用,充分发挥数据的根本资源浸染和创新引擎浸染。《数据安全法》是国家大数据计策中至关主要的法制根本,也是数据安全保障和数字经济发展领域的主要基石。贯彻落实《数据安全法》,须要加强数据安全保护关键技能的研发事情,重点内容包括以下 4 个方面。
1
数据安全隐患主动探测技能
基于漏洞挖掘和渗透测试技能方法,研究通过算法破译、协议漏洞、系统入侵、侧信道攻击等办法对数据安全隐患进行探查,主动创造数据采集、汇聚、存储、处理、剖析、共享、利用等各个环节存在的安全隐患。
2
高强度算法与轻量级密码运用相结合的数据保护技能
网络空间覆盖生产生活的方方面面,不同的运用领域在安全保护的强度、资源和便利性方面存在较大差异。因此,须要根据运用领域的实际需求,采纳高强度和轻量级相结合的密码算法及运用配置。例如,针对大数据平台、云打算平台、工业掌握系统、移动支付等高敏感数据的运用处景,采取高强度密码算法和安全协议保护数据存储及通信过程;而针对网络社交、媒体娱乐、普通商品交易等非敏感数据的运用处景,则通过利用轻量级密码算法,担保在受限的打算资源及存储资源条件下,供应足够强度的保护能力,在安全能力与资源投入方面取得更好的平衡。
3
支持隐私保护的数据安全分享技能
数据分享是大数据时期永恒的话题。电子商务、协同办公、网络安全防护等各个领域均须要对海量数据进行剖析挖掘。如何在实现高效分享的同时,担保数据源中包含的隐私内容不被泄露和恶意利用,是当前数据安全领域亟待办理的技能问题。鉴于区块链技能具备去中央化和账户匿名性的特点,研究职员提出了基于区块链构建网络安全威胁数据共享模型,利用区块链的回溯能力实现对网络攻击链的追溯还原,从而为网络安全大数据运用环境下的隐私保护供应了新的技能思路。
4
面向数据交易的安全监管支撑技能
作为新型的交易商品,数据交易的代价评估、支付办法和交付渠道与传统的实物类商品交易存在较大差异,须要针对其交易过程的各个环节开展网络安全监管,特殊是数据类商品是否存在隐私透露、造孽交易、信息敲诈等违法行为。针对这一问题,须要针对交易方身份认证、内容合规性审查、可信溯源、交易标记、支付安全等关键技能进行攻关,促进数据的合法合规利用,实现数据交易与经济运行和社会流利的深度领悟。
大数据时期,数据安全问题关系到国民经济发展和社会稳定,关系到国家安全。在现有法律法规的根本上,须要我们综合利用技能手段、管理制度、保障机制等方面的方法,掩护数据全生命周期安全,实现国家网络空间安全保障体系的重点保护。
补齐家当短板,提升供应链安全保障水平
信息技能设备举动步伐常日包含繁芜的供应链关系。以通用的打算存储做事器为例,机箱、电源、处理器、内存、硬盘、主板、显卡、光电模块、操作系统、数据库管理系统、运用软件等可能均由不同的原始厂商生产,各种设备举动步伐组成的系统也是由多个技能做事厂商供应系统集成和后期运维管理。供应链中任何一个环节涌现漏洞、毛病或存在恶意设置的“后门”,都将会对设备举动步伐乃至全体系统的安全带来致命影响。
近年来,环绕芯片制造、5G 通信、精密仪器、高端装备制造等高科技领域,西方发达国家对我国采纳了一系列限定和打压政策。这再一次让我们复苏地认识到,加强供应链安全管理,以担保关键信息根本举动步伐和网络信息系统的安全可信,是掩护网络空间安全乃至国家安全的必要条件。因此,须要我们从以下 2 个维度开展事情。
1
加快推进安全可信工程,扩展工程覆盖范围
从芯片、操作系统、数据库、网络安全产品,逐步扩展到板卡、主机、工业掌握设备、嵌入式设备、便携设备、仪器仪表等信息技能各个细分领域,全面开展自主研发和安全可信升级替代,建立完善的、自主可控的信息技能领域供应链,以避免在关键环节受制于人。
2
加强对信息技能产品和系统的供应链的管理
从产品和系统的设计、生产、调试、安装、支配、运维、技能做事等各个环节加强管控,力争从源头办理网络空间的安全隐患,有效戒备和化解供应链带来的网络安全风险,补齐国家网络空间安全保障体系的防护短板。
3
总 结
随着网络信息技能的迅猛发展和广泛运用,特殊是我国国民经济和社会信息化培植进程的全面加快,网络已经成为实现国家稳定、经济繁荣和社会进步的关键根本举动步伐。同时必须看到,境内外敌对势力针对我国网络空间的攻击毁坏、胆怯活动和利用信息网络进行的反动宣扬活动日益专横獗,严重危害我国国家安全,影响我国信息化培植的康健发展。网络安全是我们当前面临的新的综合性寻衅。它不仅仅是网络本身的安全,而是关涉到国家安全和社会稳定,是国家安全在网络空间中的详细表示。当前,我国面临着繁芜多变的国际形势,网络安全问题时候影响着政治、经济、军事、文化、科技等各个领域。
为了应对日益严厉的国际网络安全形势,有效戒备敌对势力针对我国的网络攻击和渗透,必须节制网络空间自主权和主导权。因此,须要从政策、法律、技能、制度、系统编制、机制、标准等各个方面多管齐下,织密网络空间保护网,落实关键信息根本举动步伐保护制度,重点加强数据安全和供应链安全保障能力,建立起国家网络空间的安全樊篱,为新时期中国特色社会主义培植和发展保驾护航。
冯登国 中国科学院院士,中国科学院软件研究所研究员。长期从事网络与信息安全研究事情。曾任国家“863”操持信息安全技能主题专家组组长,国家“973”操持项目首席科学家,国家信息化专家咨询委员会委员等。揭橥论文 200 余篇,主持研制国际和国家标准 20 多项,荣获国家科技进步奖一等奖、国家技能发明奖二等奖等多项褒奖。
连一峰 中国科学院软件研究所研究员。中国网络安全审查技能与认证中央 IT 产品信息安全认证专业技能委员会副主任委员,信息安全等级保护关键技能国家工程实验室专家委员会委员,贵州省大数据及网络安全专家委员会委员。主持国家自然科学基金、国家重点研发操持等 20 余项主要科技项目。揭橥论文 60 余篇,出版专译著 4 部,发明专利 17 项,国家技能标准 4 项。
文章源自:冯登国,连一峰.网络空间安全面临的寻衅与对策.中国科学院院刊,2021,36(10):1239-1245.
DOI: 10.16418/j.issn.1000-3045.20210813004
