日前,国家发展改革委、工业和信息化部正式下发联合制定的《信息基础设施重大工程建设三年行动方案》,以加快推进我国信息基础设施建设。
根据通知,未来我国将紧紧围绕完善新一代高速光纤网络、加快建设先进移动宽带网、积极构建全球化网络设施、强化应用支撑能力建设4 项重点任务,加快我国信息基础设施优化升级,到2018 年基本建成覆盖城乡、服务便捷、高速畅通、技术先进、安全可控的宽带网络基础设施。
可以预见,未来2年内,我国的信息基础设施将得到全面的优化和升级。360企业安全集团工业互联网安全专家张钊认为,我们在加快信息基础设施的同时,切不可忽视相关安全防护措施,做到安全防护与信息基础设施建设并行,通过各种新型的安全防护手段实现对各类信息基础设施的安全防护。
信息基础设施攻击已成大国博弈工具
在过去一段时间,国际上针对信息关键基础设施的攻击此起彼伏。
2015年底,乌克兰电力部门遭受到恶意代码攻击而导致数小时停电事件,上百万人受到影响。 2016年2月黑客利用SWIFT系统漏洞,致使孟加拉央行8100万美元失窃巨款、6月乌克兰某银行被窃取近1000万美元,年末俄罗斯中央银行遭黑客攻击3100万美元不翼而飞。4月,德国Gundremmingen核电站的计算机系统发现恶意程序,发电厂被迫关闭。10月,美国域名服务器管理服务供应商Dyn遭到美国历史上最大规模DDoS攻击,东海岸网站集体瘫痪。11月,美国旧金山地铁电脑票价系统遭到勒索软件攻击,导致售票系统无法工作。2017年1月,美国候任总统特朗普团队公开承认,俄罗斯黑客曾经入侵并干扰美国大选。
图:美国断网事件覆盖区域示意图
安全专家认为, 针对关键信息基础设施的攻击不断发生,已成为大国之间博弈的工具。这些由国家支持的网络攻击往往会导致网络中断和系统的瘫痪,带来经济损失和生产、业务的中断,不仅影响人民的生活,严重甚至影响到国家的政治活动。
因此,对信息关键基础设施防护的认识需要提升到全新的高度。
关键信息基础设施保护已成法律义务
在2016年11月,第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》(以下简称《安全法》)。随后,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》(以下简称《战略》)。无论是《安全法》还是《战略》都是国家层面对各类网络攻击的战略指导,而其中都大幅笔墨的描述了关键信息基础设施的保障要求,可见其重要程度之高。
其中,《战略》从国家层面为关键信息基础设施下了定义。关键信息基础设施是指关系国家安全、国计民生,一旦数据泄漏、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。这是对关键信息基础设施重要性、关键性的根本共识。《网络安全法》在第三章第二节中规定了关键信息基础设施的运行安全,规定了关键信息基础设施保护的各项义务。
图:《安全法》针对“关键信息基础设施的运行安全”提出9条规定。
《战略》则指出“关键信息基础设施保护是政府、企业和全社会的共同责任”,并详细的提出了关键信息基础设施保障的要务,包括采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。
上海交通大学网络空间安全学院院长、中国互联网安全大会顾问李建华教授在对《网络安全法》与《国家网络空间安全战略》解读分析中表示,习近平总书记在4.19讲话中强调,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。《战略》贯彻习总书记关于关键信息基础设施保护的重要指示精神,明确了关键信息基础设施保护不仅是政府的责任,也是企业和全社会的共同责任,这是对关键信息基础设施保护主题非常全面深刻的认识,为我国进一步做好关键信息基础设施保护工作指明了方向。
国内关键信息基础设施防护存4大不足
经过多年的信息安全发展,国内关键信息基础设施的国家部门、企事业单位,其安全技术支撑比其他组织相对完备、技术能力的配备比较全面,已具备了较高的综合安全实力。但我们由于一些新型安全挑战,目前存在四大不足。
1、APT攻击向关键信息基础设施蔓延,防护存在不足。根据360威胁情报中心的数据,我国是APT攻击的受害国,仅在2015-2016年,360天眼实验室就发现了超过30多个针对我国的网络攻击组织。这些针对我国政府部门、重要企事业和科研机构的攻击,已经造成了数据泄露。这说明,我国在防范APT攻击上仍存在防护能力不足的问题。
2、关键网站响应能力不强,修复时间过长。根据360互联网安全中心发布的数据,根据对2016年补天平台的备案网站漏洞的抽样调查,平均漏洞修复率仅为42.9%;即便是在能够修复漏洞的网站中,仍有近2/3的网站,漏洞修复周期过长,修复很不及时(大于7天)。
3、传统安全防护手段表现不力,需要构建全闭环的安全防护体系。传统的安全产品以配置安全策略规则、碰撞防护的思路为主,由于安全产品类型、厂商和型号、策略众多,在遭受威胁和攻击时,相互之间的识别、防护、检测、预警、响应和处置的协调能力较差,不能形成完整的安全闭环体系。
4、全天候、全方位感知安全态势、信息共享机制,现阶段仍需持续建设和完善。关键基础设施企业要实现习近平总书记”4.19”讲话中提到的,感知网络安全态势是最基本最基础的工作,建立统一高效的网络安全风险报告机制、情报共享机制,当前仍需要持续建设和完善。
数据驱动,纵深防御
针对当前关键信息基础设施的防护不足,360企业安全集团提出了“数据驱动安全”的创新安全理念: 用大数据的手段来解决当前的安全挑战,弥补传统安全手段的不足。
图:360企业安全集团大数据+的安全防护能力
具体来说,针对当前网络攻击日益复杂化,传统安全防护手段却捉襟见肘的现状,360企业安全集团结合大数据+的安全防护理念,依托自身强大的互联网基因和安全防护能力,以安全数据和威胁情报为主线,从“云、网、端”多维角度进行协同联动,为具备关键信息基础设施的企业,打造专业的“全时态纵深防御能力”。
图: 360“全时态纵深防御”方案价值
作为拥有全球最丰富安全大数据的安全企业,360企业安全集团利用自身的安全情报数据资源,形成海量的威胁情报数据源,成为识别、检测、评估网络安全风险和企业未知威胁的大数据基础;同时,也是360为具备关键信息基础设施的国家部门或企业提供“信息共享”的前提。
这些丰富的威胁情报也赋予传统安全设备以“智慧的大脑”,提升安全设备发现和感知未知安全威胁的能力。基于这种丰富的威胁情报,360企业安全集团发布了新一代“威胁情报”驱动的安全防护体系——智慧防火墙、高级威胁感知系统、云监测及云防护系统,实现“云、网、端”的协同联动,做到云端的的“网络安全信息共享”和“识别、防护、检测、预警、响应、处置”的安全闭环,从而为政企用户构筑起纵深防护的防御体系。
更值得一提的是,360利用其领先的安全可视化分析能力,将威胁攻击进行全路径画像,并实现对人眼的视觉可视化和对安全产品的智能防护“可视化”。既能让安全主管对于网络安全态势有一目了然的直观了解,也能让安全专业人员进行现威胁的发现、取证、溯源、拓展。
通过能力的分析,我们发现企业技术基因完全覆盖《战略》对关键信息基础设施的任务要求。360企业安全集团不仅能为具备关键信息基础设施的国家部门或企业提供安全信息共享、网络安全闭环的技术支撑,同时,还能将360企业安全集团云集约化计算环境的安全运行和管理经验、管理制度与客户进行分享和定制。