國家保密局網(wǎng)站>>保密科技

新形勢下網(wǎng)絡設備安全態(tài)勢分析

2018年12月29日    來源:國家保密科技測評中心【字體: 打印

1網(wǎng)絡設備安全態(tài)勢分析

近年來,網(wǎng)絡及技術的演進持續(xù)影響網(wǎng)絡設備,使設備呈現(xiàn)虛擬化、軟件化、類型多樣化、功能融合化等趨勢。同時,各國接連發(fā)布網(wǎng)絡安全相關法律法規(guī)及新的監(jiān)管政策,加強對網(wǎng)絡及網(wǎng)絡設備的安全管理力度,對網(wǎng)絡設備安全的發(fā)展趨勢形成較大影響。

1.1新技術以及新應用不斷影響設備形態(tài)和功能

5G、AI、SDN等技術催生新的設備類型和功能。隨著5G技術的發(fā)展和成熟,會產(chǎn)生大量5G基站、5G終端、5G核心網(wǎng)設備等新型設備;隨著人工智能(AI)技術的廣泛應用,已經(jīng)產(chǎn)生了大量的智能音箱、智能家庭網(wǎng)關等智能設備;隨著軟件定義網(wǎng)絡(SDN)相關技術的發(fā)展出現(xiàn)了白盒交換機、網(wǎng)絡控制器等新型設備;網(wǎng)絡功能虛擬化(NFV)技術則催生了大量軟件形態(tài)的網(wǎng)絡設備,包括虛擬路由器、虛擬防火墻等。物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新網(wǎng)絡形態(tài)和應用場景提出新的設備功能需求。物聯(lián)網(wǎng)、智慧城市等應用場景提出了NB-IoT、智慧路燈、智慧井蓋等新的功能需求;工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展使工控交換機、工控防火墻等設備出現(xiàn)在工業(yè)控制系統(tǒng)網(wǎng)絡中;車聯(lián)網(wǎng)應用場景下,出現(xiàn)了車載以太網(wǎng)設備、V2X路側(cè)設備以及各種傳感器等新形態(tài)的網(wǎng)絡產(chǎn)品;智能家居應用場景下,智能路由器、融合網(wǎng)關設備、智能插座、智能電視逐步走入千家萬戶。

1.2網(wǎng)絡安全監(jiān)管新趨勢對設備安全形成較大影響

《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)已經(jīng)于2017年6月1日起實施,與設備安全相關的配套制度也在不斷完善,如網(wǎng)絡關鍵設備與網(wǎng)絡安全產(chǎn)品安全認證與安全檢測制度。目前已經(jīng)明確了設備和產(chǎn)品目錄以及實施安全認證和安全檢測的機構,相關國家標準尚待制定和完善。關于《網(wǎng)絡安全法》中提出的網(wǎng)絡安全審查,主管部門發(fā)布了《網(wǎng)絡產(chǎn)品和服務安全審查辦法(試行)》。關于數(shù)據(jù)出境安全方面,發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》。此外,《中華人民共和國密碼法》《個人信息保護法》等網(wǎng)絡安全相關法律已經(jīng)提上了立法研究日程。

歐盟、美國等聚焦個人信息保護,對涉及個人信息的網(wǎng)絡設備及其提供方提出新的監(jiān)管要求。歐盟《通用數(shù)據(jù)保護條例》(GDPR)于2018年5月生效,并強制執(zhí)行。GDPR被稱為“史上最嚴”的數(shù)據(jù)保護法律法規(guī),企業(yè)如違反GDPR條例的相關要求,處罰措施非常嚴厲,輕者,處以1000萬歐元或者上一年度全球營業(yè)收入的2%,兩者取其高;重者處以2000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%,兩者取其高。美國(加州)2018年6月通過并簽署了《2018加州消費者隱私法案》,法案定于2020年1月1日生效,被稱為“全美最嚴”網(wǎng)絡隱私保護法。該法案要求掌握超過5萬人信息的公司必須允許用戶查閱自己被收集的數(shù)據(jù)、要求刪除數(shù)據(jù)以及選擇不將數(shù)據(jù)出售給第三方。

2網(wǎng)絡設備安全威脅分析

2.1網(wǎng)絡攻擊趨于技術底層化和規(guī)�;�

從網(wǎng)絡攻擊的發(fā)展趨勢來看,網(wǎng)絡攻擊范圍和目標不斷擴大,采用的技術手段不斷升級,產(chǎn)生的后果從破壞網(wǎng)絡設施到影響國家政權。網(wǎng)絡安全攻擊最早針對個體的服務器或局域網(wǎng),現(xiàn)在已有大量全球化規(guī)模的DDoS攻擊網(wǎng)絡,攻擊目標也遍布世界各國。從攻擊事件的性質(zhì)上看,網(wǎng)絡攻擊已經(jīng)從單純的破壞進化到獲取經(jīng)濟利益、國家情報甚至顛覆政權,F(xiàn)acebook公司泄露個人信息,這些包含個人信息的數(shù)據(jù)被分析利用導致影響美國大選就是一個典型的案例。

分析近年來的重大網(wǎng)絡安全事件,均顯示網(wǎng)絡設備在網(wǎng)絡安全攻防體系中的戰(zhàn)略地位十分重要。2013年,斯諾登披露的“棱鏡

計劃”表明核心路由器等網(wǎng)絡設備是實施網(wǎng)絡監(jiān)聽的重要攻擊目標。2015年9月國外安全公司FireEye發(fā)現(xiàn)針對路由器的植入式后門,涉及Cisco1841l/Cisco2811/Cisco3825路由器及其他常見型號。這個后門被命名為SYNKnock,可能是因為后門的網(wǎng)絡控制功能(CnC)會通過一個特殊的TCPSYN包來觸發(fā)。在烏克蘭、菲律賓、墨西哥和印度這4個國家中至少有14個類似的植入后門在傳播。2016年,美國和德國接連發(fā)生大規(guī)模斷網(wǎng)事件,安全研究人員發(fā)現(xiàn)是由Mirai僵尸網(wǎng)絡通過物聯(lián)網(wǎng)(IoT)設備如網(wǎng)絡攝像頭、路由器、DVR、恒溫器等展開一系列攻擊導致的。

2017年至2018年,Intel公司接連被披露部分CPU產(chǎn)品存在安全漏洞,攻擊者可利用漏洞實施攻擊,獲取核心內(nèi)存里存儲的敏感內(nèi)容,比如訪問到設備的內(nèi)存數(shù)據(jù),包括用戶賬號密碼、應用程序文件、文件緩存等。由此可見,網(wǎng)絡攻擊不再聚焦在應用層,類似CPU等更加底層的組件也成為網(wǎng)絡攻擊者的目標。

2.2網(wǎng)絡設備安全問題持續(xù)增長

中國信息通信研究院泰爾實驗室NDVD統(tǒng)計數(shù)據(jù)顯示,網(wǎng)絡設備漏洞數(shù)量近年來增長迅速。究其原因,一方面是從2009年開始,移動互聯(lián)網(wǎng)迅猛發(fā)展,網(wǎng)民數(shù)量也激增,幾乎每個家庭都接入寬帶互聯(lián)網(wǎng),家用路由器等網(wǎng)絡設備數(shù)量飛速增長;另一方面是網(wǎng)絡設備與通用IT設備存在顯著差異,網(wǎng)絡設備的使用周期長,自身安全防護能力弱,軟件更新頻次低,漏洞等遺留問題多,且安全問題易被忽略等,導致攻擊者對網(wǎng)絡設備攻擊的技術難點降低、收益增高,由此對其關注度逐步提升。

2.3設備安全標準滯后于技術和市場

網(wǎng)絡設備安全標準與新技術發(fā)展和市場需求存在明顯滯后,路由器、交換機、服務器等網(wǎng)絡關鍵設備現(xiàn)行部分安全標準已經(jīng)超過10年未更新,難以及時覆蓋新的設備類型以及新的安全技術和安全功能特性,與網(wǎng)絡攻防技術的飛速發(fā)展相比,標準更新滯后,原有標準對設備安全要求偏低,導致設備整體安全水平不高。

近年來,針對物聯(lián)網(wǎng)設備安全的攻擊頻發(fā),包括前文提到的美國和德國接連發(fā)生的大規(guī)模斷網(wǎng)事件,均與網(wǎng)關路由設備、攝像機等物聯(lián)網(wǎng)設備相關,但目前尚無相關安全標準。

3網(wǎng)絡設備安全發(fā)展面臨的機會分析

3.1網(wǎng)絡安全產(chǎn)業(yè)迎來大力發(fā)展契機

習近平總書記在2018年4月講話中提出,“積極發(fā)展網(wǎng)絡安全產(chǎn)業(yè),做到關口前移,防患于未然”。網(wǎng)絡安全產(chǎn)業(yè)發(fā)展被提升到新的高度,中央和地方持續(xù)加大對網(wǎng)絡安全產(chǎn)業(yè)的支持力度。

工信部等四部門于2018年聯(lián)合印發(fā)了《關于加快安全產(chǎn)業(yè)發(fā)展的指導意見》,意見提出,2020年,安全產(chǎn)業(yè)體系基本建立,產(chǎn)業(yè)銷售收入超過萬億元。到2025年,安全產(chǎn)業(yè)成為國民經(jīng)濟新的增長點,部分領域產(chǎn)品技術達到國際領先水平;國家安全產(chǎn)業(yè)示范園區(qū)和國際知名品牌建設成果顯著,初步形成若干世界級先進安全裝備制造集群;安全與應急技術裝備在重點行業(yè)領域得到規(guī)�;瘧�,社會本質(zhì)安全水平顯著提高。我國重點城市加快產(chǎn)業(yè)布局,推動網(wǎng)絡安全產(chǎn)業(yè)集群化。工信部、北京市決定共同打造國家網(wǎng)絡安全產(chǎn)業(yè)園區(qū);武漢市致力于打造網(wǎng)絡安全領域的中國硅谷,正式啟動國家網(wǎng)絡安全人才與創(chuàng)新基地建設;四川省發(fā)布《信息安全產(chǎn)業(yè)發(fā)展工作推進方案》,推動實施“成都國家信息安全產(chǎn)業(yè)基地”的建設。

3.2法律法規(guī)及配套制度向縱深推進

落實《網(wǎng)絡安全法》要求,將設備安全監(jiān)管配套制度向縱深推進,對關系關鍵信息基礎設施安全的少數(shù)關鍵、基礎共性的設備進行重點監(jiān)管,對全面促進網(wǎng)絡設備安全發(fā)展,提升設備安全水平具有積極作用。

針對網(wǎng)絡關鍵設備安全檢測事項,2017年6月,四部委發(fā)布《關于發(fā)布網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄(第一批)》公告,明確路由器、交換機、服務器和PLC設備列入第一批網(wǎng)絡關鍵設備目錄。2018年6月,四部委發(fā)布《關于發(fā)布承擔網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務機構名錄(第一批)的公告》,明確了中國信息安全認證中心、中國泰爾實驗室等承擔安全認證和安全檢測任務的機構名錄。

相關主管部門發(fā)布規(guī)定,落實網(wǎng)絡產(chǎn)品與服務安全審查、關鍵信息基礎設施保護、個人信息和重要數(shù)據(jù)出境、等級保護等方面的要求。主要管理文件包括《網(wǎng)絡產(chǎn)品和服務安全審查辦法(試行)》《關鍵信息基礎設施保護條例(征求意見稿)》《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》《網(wǎng)絡安全等級保護條例(征求意見稿)》等。

3.3團體標準凸顯優(yōu)勢

國家標準和行業(yè)標準在保障網(wǎng)絡安全方面發(fā)揮了重要作用。在當前網(wǎng)絡安全攻防技術發(fā)展迅速,團體標準在適應新技術新產(chǎn)品、匹配市場需求方面凸顯優(yōu)勢,對提升網(wǎng)絡和設備安全水平可形成對國家標準和行業(yè)標準的有效補充。

相關法律法規(guī)文件明確了團體標準的重要性地位�!吨腥A人民共和國標準化法》提出,國家鼓勵社會團體協(xié)調(diào)相關市場主體共同制定滿足市場和創(chuàng)新需要的團體標準,國家鼓勵社會團體、企業(yè)制定高于推薦性標準相關技術要求的團體標準。國務院《深化標準化工作改革方案》提出,要發(fā)展壯大團體標準,鼓勵社會團體發(fā)揮對市場需求反應快速的優(yōu)勢,制定一批滿足市場和創(chuàng)新需要的團體標準,優(yōu)化標準供給結(jié)構,促進新技術、新產(chǎn)業(yè)、新業(yè)態(tài)加快成長。鼓勵在產(chǎn)業(yè)政策制定以及行政管理、政府采購、認證認可、檢驗檢測等工作中使用團體標準。質(zhì)檢總局、國標委《關于培育和發(fā)展團體標準的指導意見》指出,促進標準實施,探索在產(chǎn)業(yè)政策制定以及行政管理、政府采購、認證認可、檢驗檢測等工作中引用團體標準的機制,鼓勵使用具有自主創(chuàng)新技術、具備競爭優(yōu)勢的團體標準。

從制定周期、標準要求、側(cè)重范圍等方面分析,團體標準更適應“短平快”的市場需求。

4展望

在當前形勢下,為提升我國網(wǎng)絡設備安全水平,建議:一是加強主管機構、設備制造商、產(chǎn)業(yè)鏈相關方、使用方、測評機構、研究機構、高校等多方協(xié)作,共同提升設備整體安全水平;二是加強國家標準與團體標準的聯(lián)動,充分結(jié)合二者的優(yōu)勢,更好地為提升設備安全服務;三是加強核心技術研發(fā),廣泛參與到網(wǎng)絡設備的全球產(chǎn)業(yè)鏈中,從單一的核心部件使用方逐步過渡到具備核心部件供應能力。

 

(原載于《保密科學技術》雜志2018年9月刊)   


相关链接