论文部分内容阅读
摘 要:光阴似箭,互联网极大程度地推动了社会进步,信息革命发展浪潮我们每个人身处其中,感同身受。现今网络安全作为与大数据、云计算、物联网、人工智能同级别的课题受到了IT业界前所未有的关注。本文对网络安全问题进行了相关的文献调研,并结合本单位的角度看待时下网络安全事业,希望能够对相关领域的工作及工程技术人员起到参考作用。
关键词:网络安全;网络态势感知;软件安全;恶意软件
引言:
2019年是国家举办网络安全周的第六个年头,也是网络安全行业受到民众与政府的高度关注的一年。习近平总书记提出信息化建设与网络安全要相辅相成,安全和发展要共同推进,民众对网络安全的认识也逐渐增强,普遍认识到网络安全宣传即网络安全普法。在过去,传统网络安全是指硬件设备、存储数据等实体以及涉密信息的安全防护和网络病毒防治管理,泄密责任着重于各运营商、门户网站、各企业和单位,个人网络安全防护级别也仅限于信息、支付或财产安全;在未来,随着移动通讯5G等技术的商用,网络传输速率更快、延时更小、范围内可联网单位更多,进入传感设备可根据网络协议实现万物互联,联网行为可根据区块链技术变得真实可信不可篡改的时代,风险可扩展至人身安全,责任可回溯追至个人。毫不夸张地说,在未来网络安全出了问题,足以影响国家治理和社会民生。
一)网络安全研究发展的历程
网络安全的理论研究自信息网络诞生之日起就已经开始,随着通信技术更新换代和网络规模普及,程序应用呈指数级增长,尤其是在物理连接网络之上所构建的随机动态访问关系,使得网络安全问题的研究极为复杂。
1.1960年以前
在上世纪60年代以前,人们针对网络安全问题的研究热点是:面对破坏如何建立一个绝对安全的系统,减少设计上的漏洞来保证系统的保密性、完整性及可用性等要求,这可以视为网络安全研究的第一阶段。
2.1970-1980年代
入侵检测起源于美国学者安德森的技术研究报告,之后的研究大体上可以分为异常检测和误用检测两类,目前大部分科研机构和商业IDS机房也是基于这两类技术,入侵检测技术能在网络攻击发生时给出预警信息来保证网络安全,但其对绕墙隐秘攻击、多步复合攻击等无能为力,这样的被动防御技术在检测实时性上也差强人意。
3.1980-1990年代
90年代后源于黑客技术的发展,网络安全研究关注重点从被动防御转到主动分析,其意图是在网络攻击发生之前进行整体化安全评价,制定防御策略或保证网络遭受破坏的情形下仍能提供预定的服务功能,也伴随着病毒软件对可生存性研究的深入。
4.2000年至今
网络态势感知(Cyber Situation Awareness,CSA)的概念最早在军事领域被提出。1999年,美国空军通信与信息中心的巴斯(Bass)首次提出了网络态势感知的概念,这在一定程度上奠定了网络安全研究发展方向。公开资料显示,目前各个国家都将网络安全上升到了国家战略层面,从各国公开的网络安全策略中可以看出虽然各国在对网络安全的理解、所实施的策略上有所不同,但是各国都意识到了需要行动起来保护关键信息和相关的基础设施,同时更需要研究新的方法和技术来实现网络安全态势预测智能化。
二)網络安全行业发展的重点方向
随着互联网基础设施的不断发展和新应用的不断涌现使得网络规模逐渐扩大,拓扑结构日益复杂,网络安全管理难度不断增加,为了应对日益复杂、隐蔽的网络威胁,各种检测技术相继出现。今年以来,国内网络安全行业也举办了多次大会,例如北京“2019第七届网络安全大会”、无锡“2019中国网络安全等级保护和关键信息基础设施保护大会”、 以及即将在长沙召开的“2019网络安全&智能制造大会”等。然而在目前众所周知网络安全问题尤为重要的新形势下各主体要如何选用网络安全产品需要参照和理解一些网络安全技术原理。
1.网络态势感知
态势感知是从全局视角提升对安全威胁的发现识别、理解分析、响应处置风险的一种功能,态势感知系统依托大数据、移动应用等新技术,能够提前发现攻击活动,便于管理者进行决策与行动。网络走红的议题“为什么黑客不敢攻击支付宝”以及马云所讲的“杀手根本进不了五百公里以内”的风趣豪言就是指阿里云的网络态势感知系统。
现将一家中型企业作为介绍对象,该企业的网络拓扑如图2所示。该企业其通过电信的专用线路与外网连接,10是一台Web服务器,对外提供公司宣传网站和产品演示的功能;140是可以外网访问的日志服务器;15是公司的数据库服务器,同时运行着SQL Server、Oracle两大关系型数据库及一个非关系型数据库MongoDB;16是测试服务器,公司已经交付及正在研发的产品都在测试服务器上有一个最新版本的部署;11是内部开发服务器,公司所有源代码及重要的项目方案、过程资料等都在此服务器上;公司有一个百人左右的开发团队,因开发技术不同主要分为两类,58代表采用.Net研发的技术团队,59代表采用Java研发的技术团队,经要素采集、模型表示、求解分析和态势预测反馈可视化结果来进行分析决策。
狭义地理解网络态势感知可将其视为一个数学模型,通过数学语言对计算机网络系统安全各变量进行最简单、最直观地数学表达,网络态势感知形式化建模除了数学建模还有生物启发模型等。以数学建模为例,分为五个连续的处理阶段如图3所示
2.软件安全
互联网大量功能和网络应用本质上都是由软件实现的,大量软件蓬勃发展满足了各行业生产生活需求的同时也存在隐患。恶意软件种类繁多,如木马、病毒、蠕虫、间谍软件、广告软件、勒索软件、跟踪软件等,早期恶意软件的概念主要局限于计算机病毒等,但近年来,随着网络平台的发展和网络攻击的多样性,恶意软件的概念已经超越了传统的狭义概念.恶意软件常常利用对抗技术来逃避反病毒软件和分析人员的检测和分析,以延长存活时间,获取更大的利益。 1.恶意软件的危害
由于移动互联网融合了传统的互联网和电信网,恶意软件除了管理软件信息外,还能获取用户短信、IEMI等重要隐私资源.因此,出现了如伪造电话或短信、恶意扣费等攻击行为; 很多恶意移动应用的开发模式、发布模式和软件生态密切相关。例如互联网服务的应用常常提供第三方库和通用接口,移动应用的开发以重打包等方式开发,恶意广告、跟踪软件随之产生恶意软件还可以利用缺陷收集个人隐私信息等。
2.软件漏洞
当前的软件系统,无论是代码规模、功能组成,还是涉及的技术均越来越复杂,其带来的直接结果就是从软件的需求分析、概要设计、详细设计到具体的编码实现,均无法做到全面的安全性论证,不可避免地会在结构、功能和代码等不同层面存在可能被恶意攻击者利用的漏洞。自 20世纪 70 年代美国南加州大学发起 PA研究计划以来,人们提出了各种各样软件漏洞挖掘的方法。目前,除了具有丰富领域经验知识的专家、黑客仍然依靠手工代码分析以及软件逆向调试的方式挖掘漏洞以外,出现了基于源代码、补丁对比、模糊测试以及代码特征挖掘等技术思路的漏洞挖掘方法,这些方法正在软件安全研究工作中发挥着重要作用。
3.软件安全机制
为了主动防御恶意软件的攻击、预防软件漏洞被利用,研究人员通过设计多种安全机制来提高整个软件体系应对安全攻击的能力.主要技术思路包括三个方面:通过设计软件行为管控机制,规范不受信软件的行为来规避恶意软件的攻击;通过提高软件的自身安全性,来提升软件应对攻击的能力;设计终端用户可感可控可知的安全机制,来提高用户对软件的安全管理能力。
三)保险业与网络安全
中国的保险业有上百家中大型企业,信息技术是发展各渠道承保、理赔、及综合管理业务的重要手段。以湖南为例,湖南保险业就有近百家保险公司,数百家保险专业中介机构,逾六千家保险兼业代理机构,其中由协会所搭建的信息平台有12个,所管理的保单信息、公民信息、车辆信息及从业人员信息以数千万计,这些关键信息与基础设施的保护离不开网络安全。
1、认识层面
协会商会作为掌握着行业关键信息的机构其管理者首先要建立与时俱进的网络观与网络安全危机意识,面对网络安全风险,要加强和规范网络安全信息的汇集和分析,要定期通报网络安全风险事件与年度典型案例,汲取经验教训。各信息平台建设发展固然重要,但安全应作为发展的前提条件,没有安全不提发展。
2.制度建设方面
协会商会、各中大型企业要做好网络安全工作须建立配套制度。2019年,为加强网络安全工作,湖南省保险行业协会一是贯彻落实有关国家法规要求,采取有关技术措施与绿色通道,为公安机关、国家安全机关依法维护国家安全、侦察犯罪提供支持和保障。二是明确了协会领导干部的网络安全工作责任,建立和落实了网络安全责任制。三是讲网络安全问题纳入了协会议事环节,任何信息平台的搭建与更新都需要建立在网络安全保护的前提下。四是加大了对网络安全工作的人力、财力、物力支持,确保现有信息平台安全加固工作的保障力度。五是按年度统筹开展网络安全检查,将现有网络和信息系统的检查结果报送至上级单位与网监部门。六是本年度开展了三次网络安全宣传教育,同时关注网络安全技术产业的发展。
3.技术层面
2019年我单位对待网络安全风险事件一直保持着高度警惕,对业内与社会各类网络安全风险事件及时开展风险评估,做到了关口前移,防范于未然。在具体的技术操作层面,一是将迁移上云的信息平台配备了更高安全级别的主机防御(IPS)、网站应用防御(WAF)和云防火墙(VFW),并为网站申请了SSL证书认证。二是做好了相关平台的应用配置改造支持HTTPS安全通道访问。三是对涉及个人隐私信息进行了安全加固,实现数据库层级的加密和解密,保障了数据安全。四是做好了相关信息平台的安全定级、备案工作。
四)未来面临的挑战与发展趋势
目前协会虽作为无大财力支持的私营非营利机构也已将绝大部分涉及公众隐私的信息平台用上了云安全和较高安全等级的配置,随着未来国产化网络安全产业发展壮大与技术完善,网络安全的费用标准将越来越低,但仍将面临如下挑战:
1.攻击手段仍在发展
近年来,由利益驱动的攻击行为日益普遍,攻击者的手段呈现多样化、工具化和分工协作的特征,使得原本就处于被动态势的安全防护方难以应对.如何在知识和数据的支撑下发展主动、智能的安全技术体系,是摆在网络安全科研人员面前的艰巨任务。
2.交通事故安全
从特定角度来说,随着物联网、大数据、自动驾驶等相关前沿科技发展,黑客或恐怖分子通过网络远程操控、制造交通事故等恶性刑事案件已经可以从电影镜头搬到现实,至少从技术细节上已经并不困难,网络安全事业的未来必然作为事关广大人民群眾工作生活的重大战略课题摆在国家有关部门面前。结合保险业,网络安全相关保险产品也值得研发。
3.网络安全等级保护工作任重道远
根据《信息安全等级保护管理办法》规定,各信息系统的安全等级保护理应根据信息系统的重要程度,信息系统遭到破坏后的危害程度进行等级确定,其执行等级保护的企业由当地公安部门推荐,但可供选择的机构不多,存在垄断嫌疑。
五)结语
本文参照相关文献,介绍了网络安全研究发展的历程,引用国内较新的网络安全基本概念和核心方法,从社会团体的信息化建设角度浅析了时下热门的网络态势感知、软件安全问题并介绍了我单位的相关工作。简而言之,在我们日常生活和工作中为确保数据与隐私安全,还是要定期修改电脑、移动设备的各级账号权限各类密码,不要轻信和点击陌生链接和应用,警惕网络安全事件。
参考文献:
[1] 软件与网络安全研究综述 [中国科学院-信息工程研究所-网络测评技术重点实验室、复旦大学-软件学院]
[2] 网络安全态势感知分析框架与实现方法比较 [西安大学、联易软件有限公司].- 李 艳、王纯子、黄光球
关键词:网络安全;网络态势感知;软件安全;恶意软件
引言:
2019年是国家举办网络安全周的第六个年头,也是网络安全行业受到民众与政府的高度关注的一年。习近平总书记提出信息化建设与网络安全要相辅相成,安全和发展要共同推进,民众对网络安全的认识也逐渐增强,普遍认识到网络安全宣传即网络安全普法。在过去,传统网络安全是指硬件设备、存储数据等实体以及涉密信息的安全防护和网络病毒防治管理,泄密责任着重于各运营商、门户网站、各企业和单位,个人网络安全防护级别也仅限于信息、支付或财产安全;在未来,随着移动通讯5G等技术的商用,网络传输速率更快、延时更小、范围内可联网单位更多,进入传感设备可根据网络协议实现万物互联,联网行为可根据区块链技术变得真实可信不可篡改的时代,风险可扩展至人身安全,责任可回溯追至个人。毫不夸张地说,在未来网络安全出了问题,足以影响国家治理和社会民生。
一)网络安全研究发展的历程
网络安全的理论研究自信息网络诞生之日起就已经开始,随着通信技术更新换代和网络规模普及,程序应用呈指数级增长,尤其是在物理连接网络之上所构建的随机动态访问关系,使得网络安全问题的研究极为复杂。
1.1960年以前
在上世纪60年代以前,人们针对网络安全问题的研究热点是:面对破坏如何建立一个绝对安全的系统,减少设计上的漏洞来保证系统的保密性、完整性及可用性等要求,这可以视为网络安全研究的第一阶段。
2.1970-1980年代
入侵检测起源于美国学者安德森的技术研究报告,之后的研究大体上可以分为异常检测和误用检测两类,目前大部分科研机构和商业IDS机房也是基于这两类技术,入侵检测技术能在网络攻击发生时给出预警信息来保证网络安全,但其对绕墙隐秘攻击、多步复合攻击等无能为力,这样的被动防御技术在检测实时性上也差强人意。
3.1980-1990年代
90年代后源于黑客技术的发展,网络安全研究关注重点从被动防御转到主动分析,其意图是在网络攻击发生之前进行整体化安全评价,制定防御策略或保证网络遭受破坏的情形下仍能提供预定的服务功能,也伴随着病毒软件对可生存性研究的深入。
4.2000年至今
网络态势感知(Cyber Situation Awareness,CSA)的概念最早在军事领域被提出。1999年,美国空军通信与信息中心的巴斯(Bass)首次提出了网络态势感知的概念,这在一定程度上奠定了网络安全研究发展方向。公开资料显示,目前各个国家都将网络安全上升到了国家战略层面,从各国公开的网络安全策略中可以看出虽然各国在对网络安全的理解、所实施的策略上有所不同,但是各国都意识到了需要行动起来保护关键信息和相关的基础设施,同时更需要研究新的方法和技术来实现网络安全态势预测智能化。
二)網络安全行业发展的重点方向
随着互联网基础设施的不断发展和新应用的不断涌现使得网络规模逐渐扩大,拓扑结构日益复杂,网络安全管理难度不断增加,为了应对日益复杂、隐蔽的网络威胁,各种检测技术相继出现。今年以来,国内网络安全行业也举办了多次大会,例如北京“2019第七届网络安全大会”、无锡“2019中国网络安全等级保护和关键信息基础设施保护大会”、 以及即将在长沙召开的“2019网络安全&智能制造大会”等。然而在目前众所周知网络安全问题尤为重要的新形势下各主体要如何选用网络安全产品需要参照和理解一些网络安全技术原理。
1.网络态势感知
态势感知是从全局视角提升对安全威胁的发现识别、理解分析、响应处置风险的一种功能,态势感知系统依托大数据、移动应用等新技术,能够提前发现攻击活动,便于管理者进行决策与行动。网络走红的议题“为什么黑客不敢攻击支付宝”以及马云所讲的“杀手根本进不了五百公里以内”的风趣豪言就是指阿里云的网络态势感知系统。
现将一家中型企业作为介绍对象,该企业的网络拓扑如图2所示。该企业其通过电信的专用线路与外网连接,10是一台Web服务器,对外提供公司宣传网站和产品演示的功能;140是可以外网访问的日志服务器;15是公司的数据库服务器,同时运行着SQL Server、Oracle两大关系型数据库及一个非关系型数据库MongoDB;16是测试服务器,公司已经交付及正在研发的产品都在测试服务器上有一个最新版本的部署;11是内部开发服务器,公司所有源代码及重要的项目方案、过程资料等都在此服务器上;公司有一个百人左右的开发团队,因开发技术不同主要分为两类,58代表采用.Net研发的技术团队,59代表采用Java研发的技术团队,经要素采集、模型表示、求解分析和态势预测反馈可视化结果来进行分析决策。
狭义地理解网络态势感知可将其视为一个数学模型,通过数学语言对计算机网络系统安全各变量进行最简单、最直观地数学表达,网络态势感知形式化建模除了数学建模还有生物启发模型等。以数学建模为例,分为五个连续的处理阶段如图3所示
2.软件安全
互联网大量功能和网络应用本质上都是由软件实现的,大量软件蓬勃发展满足了各行业生产生活需求的同时也存在隐患。恶意软件种类繁多,如木马、病毒、蠕虫、间谍软件、广告软件、勒索软件、跟踪软件等,早期恶意软件的概念主要局限于计算机病毒等,但近年来,随着网络平台的发展和网络攻击的多样性,恶意软件的概念已经超越了传统的狭义概念.恶意软件常常利用对抗技术来逃避反病毒软件和分析人员的检测和分析,以延长存活时间,获取更大的利益。 1.恶意软件的危害
由于移动互联网融合了传统的互联网和电信网,恶意软件除了管理软件信息外,还能获取用户短信、IEMI等重要隐私资源.因此,出现了如伪造电话或短信、恶意扣费等攻击行为; 很多恶意移动应用的开发模式、发布模式和软件生态密切相关。例如互联网服务的应用常常提供第三方库和通用接口,移动应用的开发以重打包等方式开发,恶意广告、跟踪软件随之产生恶意软件还可以利用缺陷收集个人隐私信息等。
2.软件漏洞
当前的软件系统,无论是代码规模、功能组成,还是涉及的技术均越来越复杂,其带来的直接结果就是从软件的需求分析、概要设计、详细设计到具体的编码实现,均无法做到全面的安全性论证,不可避免地会在结构、功能和代码等不同层面存在可能被恶意攻击者利用的漏洞。自 20世纪 70 年代美国南加州大学发起 PA研究计划以来,人们提出了各种各样软件漏洞挖掘的方法。目前,除了具有丰富领域经验知识的专家、黑客仍然依靠手工代码分析以及软件逆向调试的方式挖掘漏洞以外,出现了基于源代码、补丁对比、模糊测试以及代码特征挖掘等技术思路的漏洞挖掘方法,这些方法正在软件安全研究工作中发挥着重要作用。
3.软件安全机制
为了主动防御恶意软件的攻击、预防软件漏洞被利用,研究人员通过设计多种安全机制来提高整个软件体系应对安全攻击的能力.主要技术思路包括三个方面:通过设计软件行为管控机制,规范不受信软件的行为来规避恶意软件的攻击;通过提高软件的自身安全性,来提升软件应对攻击的能力;设计终端用户可感可控可知的安全机制,来提高用户对软件的安全管理能力。
三)保险业与网络安全
中国的保险业有上百家中大型企业,信息技术是发展各渠道承保、理赔、及综合管理业务的重要手段。以湖南为例,湖南保险业就有近百家保险公司,数百家保险专业中介机构,逾六千家保险兼业代理机构,其中由协会所搭建的信息平台有12个,所管理的保单信息、公民信息、车辆信息及从业人员信息以数千万计,这些关键信息与基础设施的保护离不开网络安全。
1、认识层面
协会商会作为掌握着行业关键信息的机构其管理者首先要建立与时俱进的网络观与网络安全危机意识,面对网络安全风险,要加强和规范网络安全信息的汇集和分析,要定期通报网络安全风险事件与年度典型案例,汲取经验教训。各信息平台建设发展固然重要,但安全应作为发展的前提条件,没有安全不提发展。
2.制度建设方面
协会商会、各中大型企业要做好网络安全工作须建立配套制度。2019年,为加强网络安全工作,湖南省保险行业协会一是贯彻落实有关国家法规要求,采取有关技术措施与绿色通道,为公安机关、国家安全机关依法维护国家安全、侦察犯罪提供支持和保障。二是明确了协会领导干部的网络安全工作责任,建立和落实了网络安全责任制。三是讲网络安全问题纳入了协会议事环节,任何信息平台的搭建与更新都需要建立在网络安全保护的前提下。四是加大了对网络安全工作的人力、财力、物力支持,确保现有信息平台安全加固工作的保障力度。五是按年度统筹开展网络安全检查,将现有网络和信息系统的检查结果报送至上级单位与网监部门。六是本年度开展了三次网络安全宣传教育,同时关注网络安全技术产业的发展。
3.技术层面
2019年我单位对待网络安全风险事件一直保持着高度警惕,对业内与社会各类网络安全风险事件及时开展风险评估,做到了关口前移,防范于未然。在具体的技术操作层面,一是将迁移上云的信息平台配备了更高安全级别的主机防御(IPS)、网站应用防御(WAF)和云防火墙(VFW),并为网站申请了SSL证书认证。二是做好了相关平台的应用配置改造支持HTTPS安全通道访问。三是对涉及个人隐私信息进行了安全加固,实现数据库层级的加密和解密,保障了数据安全。四是做好了相关信息平台的安全定级、备案工作。
四)未来面临的挑战与发展趋势
目前协会虽作为无大财力支持的私营非营利机构也已将绝大部分涉及公众隐私的信息平台用上了云安全和较高安全等级的配置,随着未来国产化网络安全产业发展壮大与技术完善,网络安全的费用标准将越来越低,但仍将面临如下挑战:
1.攻击手段仍在发展
近年来,由利益驱动的攻击行为日益普遍,攻击者的手段呈现多样化、工具化和分工协作的特征,使得原本就处于被动态势的安全防护方难以应对.如何在知识和数据的支撑下发展主动、智能的安全技术体系,是摆在网络安全科研人员面前的艰巨任务。
2.交通事故安全
从特定角度来说,随着物联网、大数据、自动驾驶等相关前沿科技发展,黑客或恐怖分子通过网络远程操控、制造交通事故等恶性刑事案件已经可以从电影镜头搬到现实,至少从技术细节上已经并不困难,网络安全事业的未来必然作为事关广大人民群眾工作生活的重大战略课题摆在国家有关部门面前。结合保险业,网络安全相关保险产品也值得研发。
3.网络安全等级保护工作任重道远
根据《信息安全等级保护管理办法》规定,各信息系统的安全等级保护理应根据信息系统的重要程度,信息系统遭到破坏后的危害程度进行等级确定,其执行等级保护的企业由当地公安部门推荐,但可供选择的机构不多,存在垄断嫌疑。
五)结语
本文参照相关文献,介绍了网络安全研究发展的历程,引用国内较新的网络安全基本概念和核心方法,从社会团体的信息化建设角度浅析了时下热门的网络态势感知、软件安全问题并介绍了我单位的相关工作。简而言之,在我们日常生活和工作中为确保数据与隐私安全,还是要定期修改电脑、移动设备的各级账号权限各类密码,不要轻信和点击陌生链接和应用,警惕网络安全事件。
参考文献:
[1] 软件与网络安全研究综述 [中国科学院-信息工程研究所-网络测评技术重点实验室、复旦大学-软件学院]
[2] 网络安全态势感知分析框架与实现方法比较 [西安大学、联易软件有限公司].- 李 艳、王纯子、黄光球