時間:2023-09-20 18:13:33
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇互聯網網絡安全范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
近日,國家互聯網應急中心(CNCERT)了“2015年我國互聯網網絡安全態勢綜述”(簡稱“2015年態勢綜述”),對2015年我國互聯網網絡安全的總體形勢和主要特點進行了和說明。來自政府機構、重要信息系統運行部門、電信運營企業、域名注冊管理和服務機構、行業協會、互聯網和安全企業、應用商店等53家單位的專家和代表出席了會。
CNCERT監測發現,2015年針對我國域名系統的DDoS攻擊流量進一步增大。2015年4月,我國某重要新聞網站的域名服務器多次遭受DDoS攻擊,峰值流量達8Gbit/s,經分析發現此次攻擊主要為利用NTP協議和UPnP協議進行的反射攻擊,主要攻擊源均來自境外;2015年8月,我國頂級域名系統先后遭受2次大流量DDoS攻擊,峰值流量超過10Gbit/s。2015年發生的多起針對重要域名系統的DDoS攻擊均未對相關系統的域名解析服務造成嚴重影響,反映出我國重要域名系統普遍加強了安全防護措施,抗DDoS攻擊能力顯著提升。
2015年,國家信息安全漏洞共享平臺共收錄工控漏洞125個,發現多個國內外工控廠商的多款產品普遍存在緩沖區溢出、缺乏訪問控制機制、弱口令、目錄遍歷等漏洞風險,可被攻擊者利用實現遠程訪問。這對我國工控安全提出警示,我國工業互聯網也可能面臨著嚴峻的網絡安全威脅。此外,APT攻擊仍然頻繁,針對我國重要信息系統的高強度有組織攻擊威脅形勢嚴峻。
2015年態勢綜述是CNCERT在我國互聯網宏觀安全態勢監測的基礎上,結合日常網絡安全事件應急處置實踐和國內外網絡安全動態編撰而成。它不僅對基礎網絡和關鍵基礎設施設備安全態勢進行了說明,而且對公共互聯網網絡安全環境進行了較為全面和詳細地分析。
整個綜述分析了基礎網絡設備、域名系統、工業互聯網等面臨的威脅,總結了木馬和僵尸網絡、個人信息泄露、移動互聯網惡意程序、拒絕服務攻擊、安全漏洞、網頁仿冒、網頁篡改等網絡安全事件表現出的新特點,最后展望了2016年值得關注的熱點問題:1.將有更多APT攻擊事件被曝光;2.云平臺和大數據的安全防護能力;3.行業合作和國際合作需求繼續加強;4.物聯網智能設備將面臨更多網絡安全威脅;5.精準網絡詐騙和敲詐勒索行為將更加猖獗。
一、我國互聯網網絡安全形勢
(一)基礎網絡防護能力明顯提升,但安全隱患不容忽視。根據工信部組織開展的2011年通信網絡安全防護檢查情況,基礎電信運營企業的網絡安全防護意識和水平較2010年均有所提高,對網絡安全防護工作的重視程度進一步加大,網絡安全防護管理水平明顯提升,對非傳統安全的防護能力顯著增強,網絡安全防護達標率穩步提高,各企業網絡安全防護措施總體達標率為98.78%,較2010年的92.25%、2009年的78.61%呈逐年穩步上升趨勢。
但是,基礎電信運營企業的部分網絡單元仍存在比較高的風險。據抽查結果顯示,域名解析系統(DNS)、移動通信網和IP承載網的網絡單元存在風險的百分比分別為6.8%、17.3%和0.6%。涉及基礎電信運營企業的信息安全漏洞數量較多。據國家信息安全漏洞共享平臺(CNVD)收錄的漏洞統計,2011年發現涉及電信運營企業網絡設備(如路由器、交換機等)的漏洞203個,其中高危漏洞73個;發現直接面向公眾服務的零日DNS漏洞23個, 應用廣泛的域名解析服務器軟件Bind9漏洞7個。涉及基礎電信運營企業的攻擊形勢嚴峻。據國家計算機網絡應急技術處理協調中心(CNCERT)監測,2011年每天發生的分布式拒絕服務攻擊(DDoS)事件中平均約有7%的事件涉及到基礎電信運營企業的域名系統或服務。2011年7月15日域名注冊服務機構三五互聯DNS服務器遭受DDoS攻擊,導致其負責解析的大運會官網域名在部分地區無法解析。8月18日晚和19日晚,新疆某運營商DNS服務器也連續兩次遭到拒絕服務攻擊,造成局部用戶無法正常使用互聯網。
(二)政府網站安全事件顯著減少,網站用戶信息泄漏引發社會高度關注。據CNCERT監測,2011年中國大陸被篡改的政府網站為2807個,比2010年大幅下降39.4%;從CNCERT專門面向國務院部門門戶網站的安全監測結果來看,國務院部門門戶網站存在低級別安全風險的比例從2010年的60%進一步降低為50%。但從整體來看,2011年網站安全情況有一定惡化趨勢。在CNCERT接收的網絡安全事件(不含漏洞)中,網站安全類事件占到61.7%;境內被篡改網站數量為36612個,較2010年增加5.1%;4月-12月被植入網站后門的境內網站為12513個。CNVD接收的漏洞中,涉及網站相關的漏洞占22.7%,較2010年大幅上升,排名由第三位上升至第二位。網站安全問題進一步引發網站用戶信息和數據的安全問題。2011年底, CSDN、天涯等網站發生用戶信息泄露事件引起社會廣泛關注,被公開的疑似泄露數據庫26個,涉及帳號、密碼信息2.78億條,嚴重威脅了互聯網用戶的合法權益和互聯網安全。根據調查和研判發現,我國部分網站的用戶信息仍采用明文的方式存儲,相關漏洞修補不及時,安全防護水平較低。
(三)我國遭受境外的網絡攻擊持續增多。
黑影服務器-僵尸網絡控制端數量排名(2012年3月14日)
麥咖啡
賽門鐵克
賽門鐵克——病毒郵件排名(2011年11月)
賽門鐵克——釣魚網站排名(2011年11月)
賽門鐵克-垃圾郵件數量排名(2011年11月)
索菲斯
索菲斯—垃圾郵件排名
2011年,CNCERT抽樣監測發現,境外有近4.7萬個IP地址作為木馬或僵尸網絡控制服務器參與控制我國境內主機,雖然其數量較2010年的22.1萬大幅降低,但其控制的境內主機數量卻由2010年的近500萬增加至近890萬,呈現大規模化趨勢。其中位于日本(22.8%)、美國(20.4%)和韓國(7.1%)的控制服務器IP數量居前三位,美國繼2009年和2010年兩度位居榜首后,2011年其控制服務器IP數量下降至第二,以9528個IP控制著我國境內近885萬臺主機,控制我國境內主機數仍然高居榜首。在網站安全方面,境外黑客對境內1116個網站實施了網頁篡改;境外11851個IP通過植入后門對境內10593個網站實施遠程控制,其中美國有3328個IP(占28.1%)控制著境內3437個網站,位居第一,源于韓國(占8.0%)和尼日利亞(占5.8%)的IP位居第二、三位;仿冒境內銀行網站的服務器IP有95.8%位于境外,其中美國仍然排名首位——共有481個IP(占72.1%)仿冒了境內2943個銀行網站的站點,中國香港(占17.8%)和韓國(占2.7%)分列二、三位。總體來看,2011年位于美國、日本和韓國的惡意IP地址對我國的威脅最為嚴重。另據工業和信息化部互聯網網絡安全信息通報成員單位報送的數據,2011年在我國實施網頁掛馬、網絡釣魚等不法行為所利用的惡意域名約有65%在境外注冊。此外,CNCERT在2011年還監測并處理多起境外IP對我國網站和系統的拒絕服務攻擊事件。這些情況表明我國面臨的境外網絡攻擊和安全威脅越來越嚴重。
(四)網上銀行面臨的釣魚威脅愈演愈烈。隨著我國網上銀行的蓬勃發展,廣大網銀用戶成為黑客實施網絡攻擊的主要目標。2011年初,全國范圍大面積爆發了假冒中國銀行網銀口令卡升級的騙局,據報道此次事件中有客戶損失超過百萬元。據CNCERT監測,2011年針對網銀用戶名和密碼、網銀口令卡的網銀大盜、Zeus等惡意程序較往年更加活躍, 3月-12月發現針對我國網銀的釣魚網站域名3841個。CNCERT全年共接收網絡釣魚事件舉報5459件,較2010年增長近2.5倍,占總接收事件的35.5%;重點處理網頁釣魚事件1833件,較2010年增長近兩倍。
(五)工業控制系統安全事件呈現增長態勢。繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后,2011年美國伊利諾伊州一家水廠的工業控制系統遭受黑客入侵導致其水泵被燒毀并停止運作,11月Stuxnet病毒轉變為專門竊取工業控制系統信息的Duqu木馬。2011年CNVD收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍,涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。相關企業雖然能夠積極配合CNCERT處置安全漏洞,但在處置過程中部分企業也表現出產品安全開發能力不足的問題。
(六)手機惡意程序現多發態勢。隨著移動互聯網生機勃勃的發展,黑客也將其視為攫取經濟利益的重要目標。2011年CNCERT捕獲移動互聯網惡意程序6249個,較2010年增加超過兩倍。其中,惡意扣費類惡意程序數量最多,為1317個,占21.08%,其次是惡意傳播類、信息竊取類、流氓行為類和遠程控制類。從手機平臺來看,約有60.7%的惡意程序針對Symbian平臺,該比例較2010年有所下降,針對Android平臺的惡意程序較2010年大幅增加,有望迅速超過Symbian平臺。2011年境內約712萬個上網的智能手機曾感染手機惡意程序,嚴重威脅和損害手機用戶的權益。
(七)木馬和僵尸網絡活動越發猖獗。2011年,CNCERT全年共發現近890萬余個境內主機IP地址感染了木馬或僵尸程序,較2010年大幅增加78.5%。其中,感染竊密類木馬的境內主機IP地址為5.6萬余個,國家、企業以及網民的信息安全面臨嚴重威脅。根據工業和信息化部互聯網網絡安全信息通報成員單位報告,2011年截獲的惡意程序樣本數量較2010年增加26.1%,位于較高水平。黑客在瘋狂制造新的惡意程序的同時,也在想方設法逃避監測和打擊,例如,越來越多的黑客采用在境外注冊域名、頻繁更換域名指向IP等手段規避安全機構的監測和處置。
(八)應用軟件漏洞呈現迅猛增長趨勢。2011年,CNVD共收集整理并公開信息安全漏洞5547個,較2010年大幅增加60.9%。其中,高危漏洞有2164個,較2010年增加約2.3倍。在所有漏洞中,涉及各種應用程序的最多,占62.6%,涉及各類網站系統的漏洞位居第二,占22.7%,而涉及各種操作系統的漏洞則排到第三位,占8.8%。除預警外,CNVD還重點協調處置了大量威脅嚴重的漏洞,涵蓋網站內容管理系統、電子郵件系統、工業控制系統、網絡設備、網頁瀏覽器、手機應用軟件等類型以及政務、電信、銀行、民航等重要部門。上述事件暴露了廠商在產品研發階段對安全問題重視不夠,質量控制不嚴格,發生安全事件后應急處置能力薄弱等問題。由于相關產品用戶群體較大,因此一旦某個產品被黑客發現存在漏洞,將導致大量用戶和單位的信息系統面臨威脅。這種規模效應也吸引黑客加強了對軟件和網站漏洞的挖掘和攻擊活動。
(九)DDoS攻擊仍然呈現頻率高、規模大和轉嫁攻擊的特點。2011年,DDoS仍然是影響互聯網安全的主要因素之一,表現出三個特點。一是DDoS攻擊事件發生頻率高,且多采用虛假源IP地址。據CNCERT抽樣監測發現,我國境內日均發生攻擊總流量超過1G的較大規模的DDoS攻擊事件365起。其中,TCP SYN FLOOD和UDP FLOOD等常見虛假源IP地址攻擊事件約占70%,對其溯源和處置難度較大。二是在經濟利益驅使下的有組織的DDoS攻擊規模十分巨大,難以防范。例如2011年針對浙江某游戲網站的攻擊持續了數月,綜合采用了DNS請求攻擊、UDP FLOOD、TCP SYN FLOOD、HTTP請求攻擊等多種方式,攻擊峰值流量達數十個Gbps。三是受攻擊方惡意將流量轉嫁給無辜者的情況屢見不鮮。2011年多家省部級政府網站都遭受過流量轉嫁攻擊,且這些流量轉嫁事件多數是由游戲私服網站爭斗引起。
二、國內網絡安全應對措施
(一)相關互聯網主管部門加大網絡安全行政監管力度,堅決打擊境內網絡攻擊行為。針對工業控制系統安全事件愈發頻繁的情況,工信部在2011年9月專門印發了《關于加強工業控制系統信息安全管理的通知》,對重點領域工業控制系統信息安全管理提出了明確要求。2011年底,工信部印發了《移動互聯網惡意程序監測與處置機制》,開展治理試點,加強能力建設。6月起,工信部組織開展2011年網絡安全防護檢查工作,積極將防護工作向域名服務和增值電信領域延伸。另外還組織通信行業開展網絡安全實戰演練,指導相關單位妥善處置網絡安全應急事件等。公安部門積極開展網絡犯罪打擊行動,破獲了2011年12月底CSDN、天涯社區等數據泄漏案等大量網絡攻擊案件;國家網絡與信息安全信息通報中心積極發揮網絡安全信息共享平臺作用,有力支撐各部門做好網絡安全工作。
(二)通信行業積極行動,采取技術措施凈化公共網絡環境。面對木馬和僵尸程序在網上的橫行和肆虐,在工信部的指導下,2011年CNCERT會同基礎電信運營企業、域名從業機構開展14次木馬和僵尸網絡專項打擊行動,次數比去年增加近一倍。成功處置境內外5078個規模較大的木馬和僵尸網絡控制端和惡意程序傳播源。此外,CNCERT全國各分中心在當地通信管理局的指導下,協調當地基礎電信運營企業分公司合計處置木馬和僵尸網絡控制端6.5萬個、受控端93.9萬個。根據監測,在中國網民數和主機數量大幅增加的背景下,控制端數量相對2010年下降4.6%,專項治理工作取得初步成效。
(三)互聯網企業和安全廠商聯合行動,有效開展網絡安全行業自律。2011年CNVD收集整理并漏洞信息,重點協調國內外知名軟件商處置了53起影響我國政府和重要信息系統部門的高危漏洞。中國反網絡病毒聯盟(ANVA)啟動聯盟內惡意代碼共享和分析平臺試點工作,聯合20余家網絡安全企業、互聯網企業簽訂遵守《移動互聯網惡意程序描述規范》,規范了移動互聯網惡意代碼樣本的認定命名,促進了對其的分析和處置工作。中國互聯網協會于2011年8月組織包括奇虎360和騰訊公司在內的38個單位簽署了《互聯網終端軟件服務行業自律公約》,該公約提倡公平競爭和禁止軟件排斥,一定程度上規范了終端軟件市場的秩序;在部分網站發生用戶信息泄露事件后,中國互聯網協會立即召開了“網站用戶信息保護研討會”,提出安全防范措施建議。
(四)深化網絡安全國際合作,切實推動跨境網絡安全事件有效處理。作為我國互聯網網絡安全應急體系對外合作窗口,2011年CNCERT積極推動“國際合作伙伴計劃”,已與40個國家、79個組織建立了聯系機制,全年共協調國外安全組織處理境內網絡安全事件1033起,協助境外機構處理跨境事件568起。其中包括針對境內的DDoS攻擊、網絡釣魚等網絡安全事件,也包括針對境外蘇格蘭皇家銀行網站、德國郵政銀行網站、美國金融機構Wells Fargo網站、希臘國家銀行網站和韓國農協銀行網站等金融機構,加拿大稅務總局網站、韓國政府網站等政府機構的事件。另外CNCERT再次與微軟公司聯手,繼2010年打擊Waledac僵尸網絡后,2011年又成功清除了Rustock僵尸網絡,積極推動跨境網絡安全事件的處理。2011年,CNCERT圓滿完成了與美國東西方研究所(EWI)開展的為期兩年的中美網絡安全對話機制反垃圾郵件專題研討,并在英國倫敦和我國大連舉辦的國際會議上正式了中文版和英文版的成果報告“抵御垃圾郵件 建立互信機制”,增進了中美雙方在網絡安全問題上的相互了解,為進一步合作打下基礎。
三、2012年值得關注的網絡安全熱點問題
隨著我國互聯網新技術、新應用的快速發展,2012年的網絡安全形勢將更加復雜,尤其需要重點關注如下幾方面問題:
(一)網站安全面臨的形勢可能更加嚴峻,網站中集中存儲的用戶信息將成為黑客竊取的重點。由于很多社交網站、論壇等網站的安全性差,其中存儲的用戶信息極易被竊取,黑客在得手之后會進一步研究利用所竊取的個人信息,結合社會工程學攻擊網上交易等重要系統,可能導致更嚴重的財產損失。
(二)隨著移動互聯網應用的豐富和3G、wifi網絡的快速發展,針對移動互聯網智能終端的惡意程序也將繼續增加,智能終端將成為黑客攻擊的重點目標。由于Android手機用戶群的快速增長和Android應用平臺允許第三方應用的特點,運行Android操作系統的智能移動終端將成為黑客關注的重點。
(三)隨著我國電子商務的普及,網民的理財習慣正逐步向網上交易轉移,針對網上銀行、證券機構和第三方支付的攻擊將急劇增加。針對金融機構的惡意程序將更加專業化、復雜化,可能集網絡釣魚、網銀惡意程序和信息竊取等多種攻擊方式為一體,實施更具威脅的攻擊。
(四)APT 攻擊將更加盛行,網絡竊密風險加大。APT攻擊具有極強的隱蔽能力和針對性,傳統的安全防護系統很難防御。美國等西方發達國家已將APT攻擊列入國家網絡安全防御戰略的重要環節,2012年APT攻擊將更加系統化和成熟化,針對重要和敏感信息的竊取,有可能成為我國政府、企業等重要部門的嚴重威脅。
(五)隨著2012年ICANN正式啟動新通用頂級域名(gTLD)業務,新增的大量gTLD及其多語言域名資源,將給域名濫用者或欺詐者帶來更大的操作空間。
(六)隨著寬帶中國戰略開始實施,國家下一代互聯網啟動商用試點,以及無線城市的大規模推進和云計算大范圍投入應用, IPv6網絡安全、無線網安全和云計算系統及數據安全等方面的問題將會越來越多地呈現出來。
計算機上可以安裝不同廠家不同版本的操作系統,而每個操作系統既然是軟件,就有其存在的漏洞和風險,每個操作系統都有自己的安全機制和保護措施,如操作系統中可以區分用戶口令,設置用戶權限,一個同級別的用戶不允許訪問另一用戶產生的數據等。目前有很多病毒都是專門入侵沒有安裝補丁的操作系統設置的。網絡傳輸安全:網絡傳輸安全指的是信息在網絡中傳輸所面臨的安全隱患,可能會被中途截取、篡改、銷毀等。物理安全:物理安全指的是計算機硬件被損,如被盜、遭雷擊、自然災害、靜電損壞、電磁泄漏等等原因造成的硬件丟失和損壞,導致硬件中存儲的軟件和數據被丟失和損壞。邏輯安全:邏輯安全指的是通過各種技術達到計算機的安全保護,如加密技術、設置口令技術、日志記錄等等。防止黑客攻擊一般都是通過保障邏輯安全來實現的。邏輯安全涉及的方式多種多樣。不同情況采用不同的方式去保證。
2網絡面臨的安全威脅
網絡中面臨的威脅有很多,主要歸結為幾種威脅,如圖2所示。安全意識不強:由于網絡中的用戶計算機水平不一,很多計算機用戶安全意識淡薄,用戶口令選擇不慎,或將自己的帳號密碼隨意告訴他人,與別人共享文件,甚至有些用戶對病毒識別能力不強,直接點擊病毒文件導致自身中毒。配置不當:一般操作系統都是有一定的安全配置的,如果有些安全配置不使用或者配置不當,就比較容易受病毒攻擊,比如沒有設置用戶名密碼的計算機,當黑客入侵時就比較輕而易舉,而如果設置了用戶名密碼,黑客入侵就多了一層難度。還有如防火墻本身起到保護電腦的作用,但是如果防火墻配置不當,就很可能不起保護作用。軟件漏洞:不管是操作系統還是在操作系統上安裝的軟件,都是有漏洞的。這些安裝了各種存在漏洞的軟件和操作系統的計算機一旦聯入互聯網,就有可能被對應的病毒軟件入侵,造成信息泄露或者軟件中毒等。病毒:計算機病毒指的是一段代碼,該代碼一旦執行,可能對計算機造成比較大的破壞,如刪除信息,破壞硬盤,破壞軟件等等,影響計算機軟件和硬件的正常運行。有些計算機病毒還具有傳播性和摧毀性等特征,一旦感染,會影響到計算機的使用。黑客:電腦黑客是處于計算機水平比較高的級別。他們利用系統的安全漏洞非法入侵其他人的計算機系統,有些黑客不破壞用戶計算機的信息和內容,而是借助用戶計算機去運算或者轉而攻擊其他計算機,使得用戶計算機性能下降等等。
3預防網絡安全措施分析
網絡安全主要保護的就是網絡上的資源信息,當機器接上了互聯網后,就會帶來三種風險:資源風險、數據風險和信譽風險。資源風險指的是機器設備風險;數據風險指的是存儲在電腦中的數據信息風險;信譽風險指的是公司、企業的信譽風險。不管是對于個人還是企業,網絡安全需要保護信息的秘密性、完整性和有效性。雖然機器中沒有什么重要的數據,但是侵入者可以隨意的使用你的機器及其資源,如儲存一些資料,進行運算,甚至將其作為一個可以攻擊其它網絡或機器的跳板。需要注意的是,這是黑客的慣用伎倆,狡猾的黑客有不止一個攻擊跳板,且分布不一,有很大程度的欺騙性和隱蔽性。網絡安全的措施有很多,主要分析幾種方式來確保網絡安全。
3.1數據加密技術
數據加密技術指的是將原始數據進行加密,然后再將加密數據進行解密查看的過程。加密技術本質是為了隱藏原始信息內容,使得非法獲取用戶信息的黑客無法知道原始信息內容。加密技術可以很好地保證數據的安全性和完整性,防止機密數據被盜取或者截獲。數據加密技術按照作用不同,主要分為四種技術:密匙管理技術、數據傳輸加密技術、數據存儲技術和鑒別數據完整性技術。密匙管理技術主要指的是如何生產密匙,定期更換密匙規則,定期銷毀密匙,分配保存等方面。數據傳輸技術是對傳輸中的數據流進行加密的技術。數據存儲技術指的是在存儲環節設置的加密措施,如存取權限控制,密文存儲等。鑒別數據完整性技術指的是傳輸過來的數據是否遭到非法篡改或者破壞的技術。
3.2防火墻技術
防火墻技術作為一種網絡安全的工具已發展若干年,隨著Internet的迅猛發展,使得防火墻產品在短短的幾年內異軍突起,很快形成了一個產業。防火墻提供行之有效的網絡安全機制,是網絡安全策略的有機組成部分。它通過控制和監測網絡之間的信息交換和訪問行為實現對網絡安全的有效保障,在內部網與外部網之間實施安全的防范措施。目前,雖然還沒有哪一種安全機制可以完全地確保網絡的安全,但建立自己的防火墻無疑會給自己的網絡帶來很大的好處。防火墻發展至今,無論是技術延伸還是成品指標都有了一定的進步。同時防火墻從實現技術來講,可以分為幾種類型形式,我們將其簡單劃分為包過濾型防火墻(Packet-filteringfirewall)、電路級網關(Circuit-levelgateway)、應用級網關(Application-levelgateway)、狀態監測防火墻(StatefulInspectionFirewall)。
3.3漏洞掃描技術
漏洞掃描技術是通過定期掃描網絡上的計算機,監測是否有安全威脅的技術。它可以掃描出目前局域網中的計算機是否有安全漏洞,并可以將掃描的數據進行分析以供決策。如可以掃描所有局域網中的TCP/IP服務的端口號,記錄主機響應事件,收集特定有用信息,還可以掃描出局域網中的某些計算機已經中毒,不停的往外發送攻擊數據等。
3.4訪問控制策略
訪問控制策略很多情況中運用,如操作系統的用戶訪問權限控制,如數據庫中的用戶權限控制等。它是網絡安全防范和保護的主要策略之一,處于比較重要的地位。多級訪問控制的設定可以增加入侵難度,還可以通過設置最小口令長度、口令失敗次數等方式控制非法用戶進入計算機。
4結束語
物聯網是互聯網技術和射頻識別(RFID)技術二者相互融合的產物,并隨著互聯網和移動網絡融合的深入和擴大,可以為廣大用戶提供更加深入、更具移動特性的服務體系和網絡體系。物聯網采用的接入手段為無線城域網(wiMax)、無線局域網(wiFi)、移動通信網絡(包括4G網絡、3G網絡、2G等),終端選用專用終端、便攜式計算機、個人數字助理(PDA)、手機等,通過無線應用協議(WAP)來使用訪問互聯網業務。物聯網安全威脅主要包括業務安全威脅、網絡安全威脅、終端安全威脅。通過無線信道在空中傳輸物聯網信息數據,很容易被非法篡改或截獲。非法終端也很有可能在進入無線通信網絡時,以假冒的身份來開展各種破壞活動。即便是合法身身份的終端也很有可能對各種互聯網資源進行越權訪問。業務層面的安全威脅包括傳播不良信息、垃圾信息的泛濫、拒絕服務攻擊、非法訪問數據、非法訪問業務等。
2物聯網面對的安全問題
對于傳統的網絡而言,業務層的安全與網絡層的安全二者是完全獨立的,但是物聯網則不同,它具有自己的特殊性。由于物聯網是在現有的互聯網技術基礎上集成了應用平臺和感知網絡而形成的,互聯網給物聯網提供了許多可以借鑒的安全機制,如加密機制、認證機制等,但是值得注意的是,應該按照物聯網的特征來適當地補充、調整這些安全機制。物聯網面對的安全問題主要體現在以下四個方面。
2.1RFID系統安全問題
RFID射頻識別技術獲得數據的方式是通過射頻信號來對目標對象進行自動識別,無需人工干預就可以自動識別多個標簽和高速運動物體,操作較為簡單、方便,是一種典型非接觸式的自動識別技術。黑客對于RFID系統的攻擊主要是破解、截獲物聯網的標簽信息。攻擊者獲得標簽信息之后,通常就會利用偽造等方式來非授權使用RFID系統。目前國內外IT界大多都是通過加密標簽信息的方式來保護RFID的安全。但是值得注意的是,這種方式仍然存在著安全漏洞,不能讓人完全放心。RFID芯片若沒有得到有效保護或者設計不良,攻擊者仍然會有很多方法來獲取RFID芯片的數據信息和結構。
2.2物聯網業務的安全問題
因為物聯網節點通常都是采用無人值守的方式,且都是先部署物聯網設備完畢之后,再將網絡連接起來,所以,如何對物聯網設備進行遠程業務信息配置和簽約信息配置就成為了一個值得思考的問題。與此同時,多樣化且數據容量龐大的物聯網平臺必須要有統一且強大的安全管理平臺,不然的話,各式各樣物聯網應用會立即將獨立的物聯網平臺淹沒,中央很容易會將業務平臺與物聯網網絡二者之間的信任關系割裂開來,產生新的安全問題。3.3核心網絡的傳輸與信息安全問題核心網絡所具備的安全保護能力相對較為完整,但是由于物聯網節點都是以集群方式存在,且數量龐大,這樣一來,就很容易使得大量的物聯網終端設備數據同時發送而造成網絡擁塞,從而產生拒絕服務攻擊。與此同時,目前物聯網網絡的安全架構往往都是基于人的通信角度來進行設計的,并不是從人機交互性的角度出發,這樣就將物聯網設備間的邏輯關系進行剖裂。
2.4黑客很容易竊取和干擾物聯網信息的傳輸
由于在很多場合,物聯網的傳輸方式都是依靠無線傳輸,而無線傳輸若沒有適當地加以保護,那么很容易被黑客所竊取和干擾,這樣一來,就會對物聯網網絡的安全造成很大的影響。與此同時,物聯網能夠取代人來完成一些機械重復、危險、復雜的工作,因此,物聯網設備很多都是設置在無人監控的地方,黑客可以通過遠程操作更換物聯網設備的軟硬件,或者直接破壞設備,給物聯網設備的本地安全造成很大的威脅。
3物聯網網絡安全防護措施
3.1物聯網的業務認證機制
傳統的互聯網認證技術是要對不同層次進行明確的區分,網絡層的認證和業務層的認證完全分開,相互獨立,業務層的認證只負責鑒別業務層的身份,而網絡層的認證就只負責鑒別網絡層的身份。但是物聯網則完全不同,它將網絡通信和業務應用緊緊綁定在一起。但是值得值得注意的,無論物聯網技術發展到何種程度,網絡層的認證都是不可或缺的,而業務層的認證則可有可無,它可以根據和業務的安全敏感程度和誰來提供業務信息來進行設計。例如,當由運營商來提供物聯網的業務,那么就完全不需要進行業務層認證,而只需要利用網絡層認證結果即可。而若是由第三方來提供物聯網的業務,而不是由運營商來提供,那么就可以不需要考慮網絡層的認證,只需發起獨立的業務認證即可。當業務是金融類、個人信息類敏感業務,則必須采取更高級別的安全保護,而在這種情況下,就必須進行相應業務層的認證。而當業務只是氣溫采集、位置定位燈普通業務時,就可以不再需要業務層的認證,網絡認證即可。
3.2物聯網中的加密機制
逐跳加密是傳統的網絡層加密機制,即在發送信息數據的過程中,轉發到節點和傳輸的過程采取密文方式,而信息在接收端和發送端之間則采取明文。但是眾所周知,物聯網的業務使用和網絡連接是緊密結合,這樣一來,就面臨著是選擇端到端加密,還是選擇逐跳加密。逐跳加密只是在網絡層進行,且不需要對所有信息數據都加密,只需要對那些受保護的鏈接加密即可,因此,可以在所有的業務中都適用,也就是說,能夠在在統一的物聯網業務平臺上對所有不同的業務進行安全管理,這樣一來,就有效地保證了逐跳加密的可擴展性好、低成本、高效率、低時延的特點。但是值得注意的是,逐跳加密需要對信息數據在各傳送節點上進行解密,因此,各個節點都很有可能會對被加密消息的明文進行實時解讀,安全隱患較大,各傳送節點的可信任度必須很高才行。而端到端的加密方式則不同,它選擇不同的安全策略主要是按照業務類型的不同來選擇的,低安全要求的業務不提供或者只提供低安全等級的保護,高安全要求的業務才會提供高安全等級的保護。但是端到端的加密方式有個致命的確定,那就是不能保護消息的目的地址,不能對被傳輸消息數據的終點與源點進行掩蓋,很容易遭到惡意攻擊。綜上所述,對于高安全需求的業務,最佳的選擇是采用端到端的加密方式;對于低安全需求的業務,則可以先選擇逐跳加密的保護方式。
3.3加強物聯網網絡防火墻的控制
目前物聯網網絡上常采用的防火墻技術主要是過濾防火墻、防火墻。如新毒霸悟空2013免費殺毒軟件下載安裝后可電腦和手機雙平臺殺毒,金山毒霸2013悟空正式版下載安裝后不僅可以查殺電腦中的病毒木馬,還能查殺手機中的病毒木馬,防止惡意扣費。新毒霸2013悟空采用金山云啟發引擎,速度遙遙領先于傳統殺毒軟件。金山殺毒2013新毒霸悟空永久免費殺毒軟件比金山毒霸2012獵豹免費殺毒軟件的查殺速度更快,金山毒霸2013悟空正式版擁有30核云查殺引擎,查殺運行在云端,不占用內存,不影響電腦速度,金山毒霸2013官方下載安裝后全面保護您的電腦安全。它擁有全球最先進的云查殺引擎,金山毒霸2012官方免
費下載安裝后擁有超強的病毒分析和查殺能力,已實現全新病毒99秒內快速鑒別,且只有10兆左右的安裝包和10兆不到的內存占用,還擁有10秒以內的安裝速度,金山毒霸2013官方免費下載最新版相比金山毒霸2012官方免費下載版本查殺速度有很大的提升,金山殺毒軟件讓您的電腦徹底遠離卡機、死機問題。 3.4政府應該加強對物聯網信息安全研發的支持
物聯網已日益成為現代工業社會的基礎,政府應該與IT商聯手,共同支持一批物聯網信息安全領域的研發項目,以期盡快為物聯網的發展創造更好的網絡安全環境。例如德國政府就于近日開展了一系列物聯網信息安全研發,以此來鞏固德國作為世界最安全經濟體的地位。此次實施的研發項目以物聯網中的嵌入式信息系統安全、數據傳輸及編碼過程安全為重點,采用產學研合作的形式進行,如卡爾斯魯爾的Wibu-SystemsAG公司牽頭的“嵌入式操作系統的集成化保護”項目,將研發能保障開放的互聯網環境下嵌入式操作系統安全可靠運行的新型信息系統硬件結構;Furtwangen科技大學協調的項目“虛擬-現實系統通用多形態安全解決方案”,致力于研發物聯網中惡意攻擊和遠程操控行為的識別和應對技術方案;弗朗霍夫學會海因利,!希-赫茨研究所牽頭的項目“物聯網高效安全編碼技術”,研究重點為物聯網數據無線傳遞過程的高效安全編碼及加密技術方案。德國聯邦教研部、聯邦內政部將投入科研經費約800萬歐元。
關鍵詞:校園網絡;安全隱患;對策
中圖分類號:TP39318文獻標識碼:A文章編號:1674-120X(2016)17-0094-02收稿日期:2016-05-04
作者簡介:楊帆(1982―),男,江蘇常州人,常州旅游商貿高等職業技術學校講師,安保科長,研究方向:網絡安全。
一、引言
“互聯網+”指的是互聯網與各個傳統行業之間的結合,將互聯網技術融合入社會各領域中。[1]為了緊緊把握現代化創新發展的趨勢,在“互聯網+”這個新型背景下,校園網絡逐漸在高校中興起。校園網絡促使高校的教學模式進行了一次變革,信息技術的運用使高校內部資源共享的目標得以實現。學生們可以運用校園網絡進行自主創新學習,并能夠通過校園網絡查閱一些資料,從而在一定程度上豐富自己的知識。但校園網絡正受到一定的沖擊,其遭遇的安全威脅也在不斷增多,這些不利因素將有害于校網網絡的使用,亟待相關人員采取科學合理的措施來消除這些影響。
二、高校校園網絡的安全問題分析
1網絡自身存在著安全漏洞
互聯網最先出現在人們的生活中時,其用戶規模非常小,這致使設計人員在規劃時沒有在意網絡安全方面的問題,使得互聯網中含有比較多的安全漏洞。各種相關的硬件設備在出廠前可能沒有按照要求進行檢測就被運用于網絡體系中,這不可避免會對校園網絡造成無法挽回的損失。雖然部分系統內部里面設置有安全防護機制,但是由于相關操作人員的能力有限,對互聯網技術的理解還不夠透徹,致使這些機制無法得到有效運用,最終會對網絡體系造成一定干擾。
2內部使用者的威脅
高校校園網絡因為主要是供內部人員們進行使用,故對外界人員設置了比較多的限制手段,而輕忽了內部管理方面的防護工作,使得校園網絡內部的安全屏障非常薄弱,易受到內部人員的攻擊而導致網絡出現故障。同時,學生們對網絡的了解不夠到位,他們往往忽略了病毒可能帶來的危害,沒有及時開展清理工作,最終將病毒傳入校園網絡之中,許多主要數據也會因此被損毀,校園網絡體系也將受到各種類型病毒的沖擊。
3管理制度不完善和安全意識淡薄
高校內部網絡維護工作人員沒有嚴格按照規定要求定期對網絡進行檢查,使得網絡內部的問題不能及時發現,故無法采取有效措施來解決這些安全漏洞。部分高校在建立校園網絡時沒能徹底落實監控管理制度,部分維護人員抱著僥幸心理,在進行維護工作時非常隨意并常常謊報數據,長期以后,校園網絡的問題會越積越多。
由于一些老師和學生沒有經過有關校園網安全的教育,使得他們的安全意識不夠強烈,因而會為校園網絡引入一系列不良成分。
4軟件的漏洞
一般來說,軟件的復雜程度與其漏洞的多少之間具有密不可分的聯系,如果該軟件的內部規模越龐大且非常煩瑣,則其不可避免會遭受更多的安全威脅,系統內部的破綻相對來說也會愈加偏多。高校校園網絡作為一種區域性的網絡,所包含的數據非常龐大,涉及的軟件種類繁多,故其內部不可避免會存在著一系列安全漏洞。這種現象致使校園網絡更易受到各種不良沖擊,通過大量的數據分析可知,聊天、視頻、游戲和辦公等相關軟件因其良好的適應性而被大家廣泛運用,由于使用過于頻繁使得這些軟件的安全隱患數目較多,更易被不法分子利用起來對校園網絡發起攻擊。同時,操作系統在設計完成后仍隱含著一些安全隱患,導致操作系統經常被各種有害因素干擾,這也嚴重影響了網絡的安全。
三、高校校園網絡安全的對策
針對上述高校校園網絡中存在的問題,高校網絡管理人員要盡可能采取一系列措施來進行改善,以免對校園網絡造成破壞性影響。
1強化網絡安全管理制度建設
要想確保校園網絡能夠安全運行,各個學校有必要結合自身的實際狀況來展開一系列優化完善工作。學校在運用校園網絡的同時也需擬定相關安全管理體系,以此來推動校園網絡平穩運行。為防止高校內部人員可能帶來的安全威脅,學校可以有針對性地制訂一系列處罰章程以及相關行為規范要求,從而在一定程度上緩解高校校園網絡的安全壓力,并盡最大可能地減少網絡中所存在的安全漏洞。在規劃嚴格的制度的同時也不能忽視相關物理防護基礎設備的安置工作,因為這些物理防護工程對安全管理制度的落實起著較佳的輔助效果。
2加強對用戶的教育和培訓,提升管理人員的技術水平
高水平的網絡管理人員往往會通過設置權限與口令以及相關安全設備來保障校園網的安全。[2]校園網的安全不僅需要管理人員的維護處理,還要求其內部使用人員能夠合理地運用網絡。故非常有必要對這些使用者展開一系列培訓活動,通過這種模式來不斷提高他們的安全意識,使他們能夠按照安全要求來使用校園網。管理人員的技術水平高低對校園網的安全管理有著很大的影響,高水平管理人員往往會提前做好重要數據的備份工作,以防止數據在校園網遭遇威脅時被消除,且他們的工作效率普遍較高,在發現問題時能夠迅速進行維護修復,故學校要努力爭取讓管理人員不斷提高其技術水平。
3加強系統檢測,及時修復漏洞
校園網監控站要定期對整個體系進行掃描檢測,以便能夠及時發現潛在的威脅,從而及時采取一系列措施來完善。各高校網絡中心建立操作系統補丁服務器,提供用戶補丁的下載、升級更新服務,使他們可以及時修復漏洞。
4做好高校校園網絡系統的安全風險評估
校園網絡由于用戶數量多且內部結構相對來說較為復雜,使得其時時刻刻均會受到一些有害因素影響,從而無法確保校園網系統的安全。故需要針對這種狀況來采取一系列有效措施,以使校園網絡能夠安全平穩地運行。相關工作人員可以通過合理評估校園網絡體系中所存在的風險,從而對校園網絡的安全漏洞有一定的了解,在把握了安全影響因素的基礎上,管理人員有能力去采取一系列補救措施來阻止惡意人士所進行的網絡攻擊。通過觀察發現,風險評估不是靜態不變的,其開展過程具有明顯的周期性,故評估人員非常有必要對校園網絡系統進行長時間的評價和估量。
伴隨著校園網規模的不斷變大,校園網使用人員數目也在飛速增長中,其安全問題日益突顯,學校管理人員需要加大力度關注這些問題。要想提供師生們安全的網絡環境,管理人員要盡最大努力來維護校園網絡體系,不斷清除網絡中存在的不安因素。同時,相關使用人員也有責任去保障校園網絡安全運行,不斷提高自身的安全意識,并科學合理運用網絡,以免對校園網造成不必要的危害。
參考文獻:
一、當前網絡信息安全現狀
我國當前網絡信息安全現狀反映在如下幾個方面:
(1)公眾網絡安全防范意識不高。出現這種情況的原因有,一部分人對網絡信息安全方面的知識了解甚少,不關心也不在乎發生在網絡上的信息安全事件;也有一部分人對當前網絡信息安全盲目的樂觀自信,缺乏客觀實際的了解。
(2)手機惡意軟件、釣魚/假冒網站、個人信息泄露的安全事件比例升高。移動互聯網的應用和普及,加速了手機應用等移動端軟件產業的快速發展,帶來了巨大市場利益,從而開發出的手機軟件也層出不窮,魚目混雜,致使用戶難以辨認手機軟件的安全性。用戶在沒有安裝安全監測軟件的情況下,很容易被手機惡意軟件通過騙取流量、亂發廣告以及亂扣費等形式影響。
(3)黑客攻擊減少但更具針對性。針對普通用戶的黑客攻擊減少但其針對國家政府網站,金融機構、科研院校頻繁,對國家安全層面構成重大威。根據國家互聯網應急中心提供的案例顯示,中國網站遭境外攻擊主要體現在兩個方面,一是網站被境外入侵篡改;二是網站被境外入侵并安裝插門。
二、信息網絡安全應對措施
針對目前的局勢,可從以下兩個方面來積極改善:
(1)加快開發自主可控國產設備,減少對國外產品依賴。目前,互聯網關鍵匯集渠道都在服務器,全球共有13臺根服務器,而12臺都在美國,意味著信息的周轉都要經過美國。此外,信息的正常運行的設備大部分都來自美國的主流軟硬件廠商,因而用戶在使用過程中,信息很容易被監聽、過濾。因此,要大力改善信息安全技術自主創新,鼓勵有實力的企業介入開發周期長、資金回收慢的信息安全基礎產品,依托高校、科研機構和自主創新平臺,加大核心技術的投入,通過企業間相互支持,協同壯大,加快主機系統在美關鍵應用領域替代國外同類系統。
(2)加快網絡和信息安全建設。網絡信息安全建設涉及到多方面的管理、技術與法律問題。可以從出臺相應的網絡安全戰略、積極研發關鍵技術,以及建立健全法律法規等方面來考慮。網絡安全戰略是對整個國家網絡安全的一個總體指導與規劃,具有重要的意義,而技術則是避免網絡安全事件侵襲的關鍵和重要保障,互聯網發展已進入新的階段,變得更加復雜及多元化,意味著舊的的技術已不在適應需要,積極研發關鍵技術也是大勢所趨。總之只有在網絡安全戰略的指導下,在新技術的支撐與保障下,通過健全的法律約束,網絡安全事件才能從源頭上減少和避免。
三、結論
[關鍵詞] 互聯網;計算機;網絡安全
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 01. 101
[中圖分類號] TP393.08 [文獻標識碼] A [文章編號] 1673 - 0194(2017)01- 0177- 02
1 互聯網時代背景下計算機網絡安全的重要性
伴隨著我國經濟的不斷增長以及社會的不斷發展,在新時期的社會市場環境中,先進的科學技術開始產生同時也深深地影響著現代人的生活方式,計算機技術的發展以及網絡的普及使得傳統的溝通方式開始發生變化,人們的人際交往方式中逐漸出現了論壇以及微博這樣新型的信息溝通平臺,并且隨著社會的變革這種信息平臺被大眾廣泛接受,可以說互聯網時代已經到來并且在人們的生活中發揮著重要的作用。例如,互聯網被應用在了政府的政治活動中,相較于以往互聯網為政府工作帶來了較大的便利,不僅僅是可以提升其日常的工作效率同時還可以增加政府與廣大公眾之間的交流,促進政府工作的有效開展,進而形成良好的政府網絡公關最大化的實現聽民意從而促進政府能夠全心全意為人民服務。
2 計算機網絡安全現狀
2.1 硬件缺陷
對于計算機網絡來說,在運行中最不可缺少的就是硬件,它是計算機運行的根本,然而,現有計算機網絡卻存在嚴重的硬件缺陷問題,很容易出現網絡信息失竊等情況。在眾多的硬件缺陷中,最嚴重的莫過于電子輻射泄露,一旦發生這種情況,存儲在計算機中的重要信息都會丟失,這也是計算機網絡中最難解決的問題。此外,信息資源通信部分還存在安全隱患,特別是各種用于傳輸信息的線路很容易被非法分子截取,進而引起信息泄露與丟失。
2.2 操作系統不健全
計算機是否安全與網絡有直接關系,用戶在使用計算機的過程中,需要利用操作系統連接網絡,并進行相應操作,如果操作系統不健全就會給計算機安全帶來威脅,如果操作系統內核技術過于落后,面對復雜的網絡環境,很容易出現操作失誤的情況,進而引發網絡安全危機。所以,一定要重視計算機操作系統的維護,及時修補系統漏洞。
2.3 軟件把控存在問題
通過研究計算機網絡安全問題得知,由于軟件把控存在問題的事件數不勝數,其主要原因是相關工作人員并沒有重視軟件把控,使得軟件市場十分混亂,部分設計本身存在缺陷的軟件也被不明所以的用戶安裝使用,這樣一來,就給計算機網絡安全帶來巨大威脅,所以,相關工作人員與部門應重視對軟件的把控,認真檢查所有軟件,只有這樣才能減少安全事件的發生,確保財產不受損失。
3 互聯網時代背景下計算機網絡安全防護策略
3.1 保證網絡系統服務平臺的安全性
保證網絡系統服務平臺的安全性,對其進行安全防護,并且充分發揮出網絡安全系統的實際功用,使用網絡安全系統在網絡環境中創建起一個相對來說比較安全的防護體系,這樣的措施對于網絡環境的安全情況也起著十分重要的作用。對于計算機網絡安全而言,網絡系統服務平臺的正常穩定工作,是保證網絡安全的一個重要環節,對網絡系統軟件進行使用,掃描計算機系統以及信息程序。及時的發現在計算機網絡中所存在的安全漏洞,并且對其進行修補,不僅如此,還需要相關的管理人員,對網絡環境中的總網絡終端展開最終限制,唯有如此,才能夠在一定程度上對計算機網絡安全進行更好的保護。
3.2 合理設定計算機網絡的安全密鑰
想要更好的保證計算機網絡的安全性,需要合理設定計算機網絡的安全密鑰也就是對加密系統進行更為科學合理的設置,充分發揮出計算機網絡安全加密系統的本身功用,能夠在一定程度上保證重要信息在計算機中的安全性,在一定程度上加強了計算機網絡的使用穩定性以及安全性。然而,計算機網絡的加密系統的使用與常規下的密碼存在著一定的差異,二者并不是單獨存在,而是共同組成了計算機密碼系統,保證了計算機網絡的安全、穩定運行。通常情況下,大部分的計算機系統采用的都是WEP2型加密技術,這樣的加密技術具有128位數設置的電腦密鑰,通過這樣的加密技術能夠更為科學有效地預防沒有經過授權的非法用戶對使用者的計算機進行監聽,在一定程度上降低了黑客攻擊者進入的可行性,令計算機網絡環境變得更為的安全。
3.3 制定相關的計算機網絡安全體制
要想保證對計算機網絡技術的安全應用,就應該增加服務終端硬件平臺安全性能的提高,這就需要用戶建立一定的相關安全意識,減少不必要的硬件接入,提高無線網絡的接入識別能力,通過增加對服務終端硬件的溫度、電流、電壓來對電路進行檢測,有效的防止物理手段對服務終端硬件進行攻擊,并采用混合式的網絡訪問增加對計算機網絡技術的遠程監控。對于目前發展中的計算機網絡技術,有效的建立相對安全計算機網絡機制對計算機網絡技術的發展是至關重要的,這就需要國家相關部門重視對計算機網絡技術系統發展的進行監制,建立健全的監督機制,為我國計算機網絡技術的發展提供相對安全的發展環境。在計算機網絡安全防護措施上的創新,能夠促使我國的計算機網絡技術相對獨立的發展,降低對國外網絡通信安全技術的依賴,為促進我國計算機網絡技術的安全發展做出巨大貢獻。
4 結 語
當前人類已經進入到了科技經濟時代和信息經濟時代,在原有傳統互聯網的基礎上,移動互聯網的形式不斷覆蓋著人們的日常生活以及企業的運營和生產,移動互聯網的來勢洶涌,改變了以往傳統互聯網的傳播模式。以此,在這樣的背景下,人們對信息的關注度和頻率變得更加快速,互聯網時代背景下的計算機網絡安全研究也變得越來越重要。
關鍵詞:互聯網+ 工業控制系統 網絡安全
中圖分類號:TU746 文獻標識碼:A 文章編號:1007-9416(2016)11-0206-01
隨著信息技術的發展,所有的傳統產業都在受到影響,它使得整個傳統產業可以實現遠程的智能化管理和控制,就像一個人有了神經系統。傳統產業同網絡信息技術的融合就構成了物聯網、車聯網、工業互聯網等一系列概念,不過這些概念的核心在于網絡互連。在網絡互連的大趨勢下,工業控制系統的互連也就成為必然要發生的趨勢。
1 “互聯網+”時代下工業控制系統的網絡安全問題
網絡互連的優勢在于能夠顯著提升生產力,增強創新力,降低工業原材料以及生產能源的損耗,推動產業模式高效變革。但是,網絡互連也帶來了安全問題,由于互聯而引發各種各樣的網絡安全問題,工業控制系統不斷遭遇著來自內部和外部的各類網絡病毒的進攻。今天,工業控制系統受到的網絡攻擊已經變成我們國家所遭受的最危險的安全挑戰之一。
工業控制系統最初設計的目的在于實現各類實時控制功能,并沒能想到有關安全的問題。今天,這些都暴露在網絡上,這給它們所控制的例如像重要基礎設備,關鍵系統等都造成了大量的危險和隱患。近年來,工業控制系統的網絡安全問題多次出現,因為工業控制系統的安全觸及國家經濟和人民生活,如果受到損害,將會造成非常嚴重的后果。
比如,澳大利亞污水處理廠發生的安全問題,導致了大量的污水還沒有經過凈化就被直接排到了大自然中,引發了十分嚴重的環境污染。德國的一家鋼鐵廠曾經受到一次網絡黑客入侵,其侵入了鋼鐵廠的熔爐控制系統,導致了熔爐控制系統停止工作一整天,據估計,這一天的經濟損失就超過了1.5億美元。伊朗布什爾核電站遭受的黑客攻擊導致其部分離心機損壞,發生放射性物質外泄,危害甚至達到了當年的切爾諾貝利核電站事故,直接造成了伊朗的戰略核計劃后退了兩整年。中東能源產業受到的網絡病毒攻擊,造成了許多的重要信息外泄,有可能引發大規模的網絡攻擊。
大家可以看到,世界上的許多國家都已經將網絡安全當作國家安全的一個關鍵環節,而工業控制系統的網絡安全又是其中最為重要的。首先,在國家與國家的競爭中,獲得了他國的重要基礎設施工業控制系統的關鍵信息,在各國的網絡空間競爭中就會占得先機。其次,國際上出現的像恐怖組織、極端勢力等在內的非國家行為體,不斷試圖利用正在發展的工業控制系統的網絡安全隱患來達到他們不可告人的目的。隨著網絡技術的發展及其與生俱來的開放性特點,造成攻擊難度以及代價不斷下降,工業控制系統已逐步變成今天各類非法組織、個人等網絡攻擊的首要目標,而這就給我們國家的安全帶來了非常大的威脅。
2 工業控制系統在線監測能力的建設
面對“互聯網+”時代下工業控制系統網絡安全問題給我們國家的安全帶來了威脅,我們需要掌握有哪些工業控制系統運行在互聯網中,有哪些產業、哪些區域的工業控制系統運行在互聯網中,而且這些運行在互聯網中的工業控制系統到底有怎樣的威脅?所以,工業控制系統在線監測能力的建設也就變成了當務之急。
為了解決網絡安全問題帶來的威脅,各國都特別重視工業控制系統的在線監測能力。2008年開始,美國國土安全部建立ProjectShine項目,查詢在互聯網上互聯的所有工業控制系統設施及重要信息基礎設備,到2012年為止,已匯集了世界范圍內的220多萬條數據。不只美國,比如英國,也都發展了本國的工業控制系統查詢設施來了解和查找本國以及別的國家的重要基礎設備。
2013年初,我國工業和信息化部電子科學技術情報研究所逐步進行關鍵控制系統在線查詢監測工作,開始構建起關鍵控制系統在線監測平臺,對互聯在網絡上的關鍵工業控制系統實施安全監測以及危險警示工作,到今天已經開始形成了對關鍵工業控制系統的在線監測能力。在查詢我國關鍵工業控制系統基礎設施的前提下,工業和信息化部電子科學技術情報研究所還自主開發了關鍵工業控制系統在線監測預警平臺,研發了工業控制系統的在線搜索系統。通過不斷查詢網絡信息,判斷出與工業控制系統網絡指紋特征相符合的IP,查詢運行在互聯網上的關鍵工業控制系統的基本信息。為了未來進一步的開展工作,還開發了與平臺配套的硬件化設備。當前,在線監測預警平臺監測的設施包括:工業控制設施:PLC、DCS、RTU等等;智能設備:如當前智慧城市中使用的視頻監控設備等。
經過近些年來的工作,監測平臺取得了部分階段性的成果。到今天平臺已經搜尋了十余類重要工控專用協議以及工控專有的網絡端口;獲得了國內外工業控制系統及設施的基礎情況、分布概況以及發展方向;增強了我國對關鍵工業控制系統網絡安全問題的預警能力;推動重要基礎設施運行企業增強工業控制系統網絡安全防護能力;為工業控制系統網絡安全監測以及預警提供重要保障。
3 結語
“互聯網+”時代下,信息技術的發展推動了傳統產業的創新和提升,但是,隨之也帶來了工業控制系統的網絡安全問題,因此,我們必須將工業控制系統在線監測能力的建設及完善提上議事日程,為我們國家的安全提供保障。
參考文獻
[1]陳月華,馮偉.“互聯網+”時代工業控制系統面臨新挑戰[J].中國科技投資,2015(16):48-51.
[2]王德吉.“互聯網+”時代的“工業4.0”信息安全探索與實踐[J].自動化博覽,2015(z2).
互聯網保險發展迅猛
中國保險行業協會數據顯示,2014年中國互聯網渠道保費收入達858.9億元,同比增長195%。互聯網渠道保費收入占總保費收入的比例由2013年的1.7%增長至4.2%,對全行業保費增長的貢獻率達到18.9%,同比提高8.2個百分點。2011年,在中國經營互聯網保險業務的保險公司有28家,到了2014年就達到了85家,其中中資公司58家、外資公司27家。從2011到2014年,不僅經營互聯網保險業務的保險公司增加了兩倍多,互聯網渠道保費規模更是提升了26倍。
互聯網保險業務的經營者不僅是“觸網”的傳統保險機構,還有一些專業互聯網保險公司。繼2013年中國首家專業互聯網保險公司眾安保險成立后,今年又多了三家專業互聯網保險公司。今年5月,保監會批準籌建易安財產保險股份有限公司、安心財產保險有限責任公司和泰康在線財產保險股份有限公司三家互聯網保險公司,陸續下發了牌照。這三家公司獲批的經營范圍主要包括貨運險、信用保證保險、意外險、健康險、家財險、企財險等。
網絡安全問題獲關注
保險行業天生是一個與風險打交道的行業,而隨著互聯網保險的快速發展,網絡安全已經成為保險行業本身所要面對和應對的一個風險。行業監管者已經認識到了網絡安全對互聯網保險持久健康發展的重要性,在《辦法》中花了大段筆墨來明確相關監管要求。
目前我國經營互聯網保險業務的85家公司中,有69家公司建立了自營網絡平臺,有68家公司與第三方電子商務平臺開展了深度合作,其中52家公司同時利用自營網絡平臺、第三方網絡平臺開展業務。《辦法》將開展互聯網保險業務的網絡平臺分為保險機構自營網絡平臺與第三方網絡平臺兩種,分別就網絡安全保障提出了具體要求。《辦法》要求自營網絡平臺要“具有支持互聯網保險業務運營的信息管理系統,實現與保險機構核心業務系統的無縫實時對接,并確保與保險機構內部其他應用系統的有效隔離,避免信息安全風險在保險機構內外部傳遞與蔓延”,此外還要“具有完善的防火墻、入侵檢測、數據加密以及災難恢復等互聯網信息安全管理體系”。而針對第三方網絡平臺,《辦法》則要求“具有安全可靠的互聯網運營系統和信息安全管理體系,實現與保險機構應用系統的有效隔離,避免信息安全風險在保險機構內外部傳遞與蔓延”。
此外,《辦法》第十七條還提到“保險機構應加強業務數據的安全管理,采取防火墻隔離、數據備份、故障恢復等技術手段,確保與互聯網保險業務有關的交易數據和信息的安全、真實、準確、完整”,“保險機構應防范假冒網站、APP 應用等針對互聯網保險的違法犯罪活動,檢查網頁上對外鏈接的可靠性,開辟專門渠道接受公眾舉報,發現問題后應立即采取防范措施,并及時向保監會報告”。
加強客戶信息保護
