1. 2019年全國兩會關於網路信息安全提案分析與解讀
眾所周知,網路已經變成人們生活中不可缺少的事物,也許就在此時,你剛剛刷完朋友圈,正在用電腦或者手機瀏覽我們的文章,但是,我們在享受網路帶給我們的便利的同時,卻也往往忽視了網路對我們的威脅。隨著大數據時代的到來,網路安全正變得越來越重要。在兩會期間,啟明星辰信息技術股份有限公司的CEO嚴望佳女士給出了以下三個方面提案:
2018年全國兩會提案匯總
2018兩會 政府工作報告 (全文) 2018兩會 教育改革 2018兩會 房產稅 兩會2018 醫療改革就醫 2018兩會 中國要干這60件大事 2018兩會 房價趨勢 兩會2018 事業單位改革 2018兩會 養老金上調漲工資 個稅改革 2018兩會 教師工資
一、信息安全——保證電子政務雲有效實施
有兩個詞語在近些年頻頻被提及,那就是雲計算和大數據。在各行各業,雲計算和大數據都起到了重要的作用,它們為我們帶來了一個跨時代的變化。雲的推廣與應用,也為電子政務開辟了一條新的道路。電子政務雲的建設關鍵點便是信息安全是否能夠有效得到保證。我國現在電子政務雲面臨的問題有三,首先是法律法規和標准不健全;其次是虛擬化及多租戶的安全威脅;最後是應用與數據集中帶來的威脅。
法律方面,沒有相關法規管理就會導致有許多隱患的存在;技術方面,雲計算又和傳統IT有不小的區別,我國發展的並不完善,在介面平台環境都資源方面仍處在一個欠缺的狀態;而雲計算和大數據將資源集中整合之後帶來的風險也會對安全造成威脅。總之這幾方面對電子政務雲的管理、產品、技術都提出了更大的挑戰。我們應該建立完整的一套標准,從上到下規劃好每一步,避免數據的泄露。同時政府應多鼓勵引導廠商和企業的合作,建立良好的環境,從而形成了一個完成的安全體系,從內到外保證信息安全的可靠性。對於雲廠商而言,還應該從自身出發,加強系統的安全可靠性,從最根本出發,解決安全隱患。
二、自主改變——安全信息掌控在手
我國的安全信息化產業正在迅速發展,產品體系也正在逐步完善,向著集成系統化發展。隨著網路安全和信息化產業的開放,產品生命周期短,安全泄露等一系列問題也隨之而來。現在使用的晶元,操作系統,軟體等產品,核心內容還是掌握在外資手中,因為政治,市場等原因,這個問題就顯得尤為重要。如果國家再不對安全系統加以重視,沒有完善的系統制度,那麼就無法有效的防範供應鏈風險,我們將面臨巨大的挑戰。
對重要信息技術產品和服務進行網路安全審查有利於完善我國網路安全審查制度。但如果審查內容還停留在技術層面上,也會有威脅存在。所以要進行全方位審查,才能保證信息安全自主可控。如果每一個供應商都能夠向網路安全審查備案機構提供供應鏈上下游環節的情況,整個供應鏈就能夠做到一環一環的透明化清晰,通過透明達到掌握和可控。劃分詳細的關鍵基礎設施、敏感部門、政府機構范圍;建立詳細的透明供應鏈登記名錄;在關鍵基礎設施、敏感部門、政府機構中規范采購行為,通過上述三點的操作全面貫徹下去,相信可以有效的控制在供應鏈環節對於信息安全的可控性。
三、明確領導——推動安全信息體系可靠發展
我國目前的信息安全保障體系建設大多是在等保、分保制度基礎上,滿足合規性即可,也不注重以效果為導向,導致信息安全保障體系還停留在一個相對來說比較低的層次。如果整體行業在低等級中循環往復,那麼安全保障能力肯定無法得到有效的提升。這時就需要國家站出來成立一個新的體系來打破這種長期不變的體系。
首席信息安全官職位的設立是為了更細化分工,從更專業和明確責任的角度來對安全體系負責。而在關鍵基礎設施、敏感部門、政府機構等推行首席信息安全官制度是希望基於用戶的視角起到一個引導推動的作用,促進廠商的發展,使我國的安全產業形成良好的生態環境。當然實行這個制度還需要對任職人員進行嚴格的考核,以保證首席信息安全官的專業性。
總而言之,建立一個全面的網路安全體系,對於國家企業和個人都有非常重大的意義。相信在不久的將來,通過各種網路安全制度的建立以及行業的整合,可以確保所有人的用戶權利得到保障。 ;
2. 什麼事護網行動
是一場網路安全攻防演練,是針對全國范圍的真實網路目標為對象的實戰攻防活動。各大企事業單位、部屬機關,大型企業(不限於互聯網),一般持續時間為三周。
在未來,護網行動將會進一步擴大,同樣網路安全人才的缺口會進一步擴大。
護網行動經驗分享
防扣分技巧:非所屬資產被扣分一定要上訴;若攻擊方提供的報告是內網資產,要求證明是我方資產;保持嚴謹態度,無確鑿證據絕不承認。
加分技巧:關注文件沙箱告警日誌,分析樣本;關注高危漏洞告警,例如反序列化,注入類漏洞,系統層獲取許可權類漏洞;對攻擊信息收集充分的可以聯系裁判組進行仲裁。
防護建議:善用IP封禁,境外IP一律封禁;加強內網防護;專職樣本分析人員;漏洞利用攻擊和木馬攻擊是避免失分;英文釣魚郵件不得分。
內外部溝通:報告上報內容:源IP事件類型,流量分析(全流量),有樣本需分析樣本並附上樣本,切忌只截設備告警圖;內部溝通以微信為主,避免流程限制時效。
紅隊攻擊方式
web攻擊、主機攻擊、已知漏洞、敏感文件、口令爆破。
由公安部組織包括國家信息安全隊伍、軍隊、科研機構、測評機構、 安全公司等共百餘支隊伍,數百人組成。
攻擊方式:在確保防守方靶心系統安全的前提下(如禁用DDoS類攻擊),不限制攻擊路徑,模擬可能使用的任意方法,以提權控制業務、獲取數據為最終目的!但攻擊過程受到監控。
藍隊防守方式
1、極端防守策略
全下線:非重要業務系統全部下線;目標系統階段性下線;
狂封IP:瘋狂封IP (C段)寧可錯殺1000,不能放過1個;
邊緣化:核心業務僅保留最核心的功能且僅上報邊緣系統。
2、積極防守策略
策略收緊常態化:聯系現有設備的廠商將現有的安全設備策略進行調整,將訪問控制策略收緊,資料庫、系統組件等進行加固。
減少攻擊暴露面:暴露在互聯網上的資產,並於能在互聯網中查到的現網信息進行清除。
各種口令復雜化:不論是操作系統、業務入口,還是資料庫、中間件,甚至於主機,凡是需要口令認證的都將口令復雜化設置。
核心業務白名單:將核心業務系統及重要業務系統做好初始化的工作,記錄業務正常產生的流量,實施白名單策略。
主機系統打補丁:對業務系統做基線核查,將不符合標準的項進行整改,並對業務系統做漏洞檢查,並對找出的脆弱想進行整改。
3. 網路安全發展前景
網路安全技術發展前景還是非常好的,因為以後的工作或者是以後的任何的東西都是依託網路來進行的,比如現在的物聯網或者是人工智慧方面都是依託網路來進行的,所以相關的保護還是比較重要的,需要一個安全保護來進行防禦所以項目的行業來說,還是比較缺少相應的比較厲害的人才的。
4. 什麼是網路安全,為何要注重網路安全
沒有網路安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。要樹立正確的網路安全觀,加強信息基礎設施網路安全防護,加強網路安全信息統籌機制、手段、平台建設,加強網路安全事件應急指揮能力建設,積極發展網路安全產業,做到關口前移,防患於未然。
01 網路安全是什麼?
網路安全,是指通過採取必要措施,防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網路處於穩定可靠運行的狀態,以及保障網路數據的完整性、保密性、可用性的能力。
2020年4月《 第45次中國互聯網路發展狀況統計報告》顯示,我國網民規模突破9億
新華社發 勾建山 作
02 網路安全為何重要?
當今時代,網路安全和信息化對一個國家很多領域都是牽一發而動全身的,網路安全已是國家安全的重要組成部分。沒有網路安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。從世界范圍看,網路安全威脅和風險日益突出,並向政治、經濟、文化、社會、生態、國防等領域傳導滲透。網路安全已經成為我國面臨的最復雜、最現實、最嚴峻的非傳統安全問題之一。
03 當前我國網路安全總體形勢如何?
隨著網路信息技術與應用的不斷演進,互聯網已成為整個經濟社會發展升級的重要驅動,同時帶來的風險挑戰也不斷增大,網路空間威脅日益增多。通過依法開展網路空間治理,我國網路空間日漸清朗,網路安全頂層設計不斷完善,網路安全綜合治理能力水平不斷提升。當前,我國各類網路違法犯罪時有發生,數據安全和侵犯個人隱私問題、關鍵信息基礎設施安全防護問題日益凸顯,高強度網路攻擊愈加明顯。
《2019年我國互聯網網路安全態勢綜述》顯示,2019年我國網路安全比較突出的問題主要表現在:分布式拒絕服務攻擊高發頻發且攻擊組織性與目的性更加凸顯;高級持續性威脅攻擊逐步向各重要行業領域滲透;信息系統面臨的漏洞威脅形勢更加嚴峻;數據安全防護意識依然薄弱;「灰色」應用程序針對重要行業安全威脅更加明顯;網路黑產活動專業化、自動化程度不斷提升;新技術的應用給工業控制系統帶來安全新隱患。
5G 「新基建」 新華社 漫畫
04 如何認識安全與發展的關系?
安全與發展有機統一。發展利益與安全利益是國家核心利益的重要內容。一方面,發展是安全的保障,不可能離開發展談安全;另一方面,安全是發展的前提,不能為了發展罔顧安全,安全和發展要同步推進。古往今來,很多技術都是「雙刃劍」,既可以造福社會、造福人民,也可以被一些人用來損害社會公共利益和民眾利益,因而要正確處理安全和發展的關系。網路安全和信息化是相輔相成的,是一體之兩翼,驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施。
05 如何樹立正確的網路安全觀?
正確樹立網路安全觀,認識當今的網路安全有幾個主要特點:
一是網路安全是整體的而不是割裂的。在信息時代,網路安全對國家安全牽一發而動全身,同許多其他方面的安全都有著密切關系。
二是網路安全是動態的而不是靜態的。網路變得高度關聯、相互依賴,網路安全的威脅來源和攻擊手段不斷變化,需要樹立動態、綜合的防護理念。
三是網路安全是開放的而不是封閉的。只有立足開放環境,加強對外交流、合作、互動、博弈,吸收先進技術,網路安全水平才會不斷提高。
四是網路安全是相對的而不是絕對的。沒有絕對安全,要立足基本國情保安全,避免不計成本追求絕對安全。
五是網路安全是共同的而不是孤立的。網路安全為人民,網路安全靠人民,維護網路安全是全社會共同責任,需要政府、企業、社會組織、廣大網民共同參與,共築網路安全防線。
5. 網路安全未來發展怎麼樣
可以這么說,未來10年都將是網路安全人才就業的黃金期。
咱們通過客觀數據來說話:
這是16年-22年中國網路信息安全市場規模的分析及預測,可以看出網路安全產業經濟每年都在高速增長,市場潛力巨大。
整個行業還處於一片藍海!
怎麼樣,是不是吃了一顆定心丸。網路安全行業算是冷門行業里的熱門行業,未來也將會越來越熱門。
6. 網路安全未來發展怎麼樣
網路安全未來的發展趨勢是非常良好的,而且也易趨完善和安全化。
所以平時對於這個專業的學習,一定要注意多跟老師溝通,掌握正確的學習方法和系統的學習方式,才可以達到理想的學習效果,平時想要多跟別人學習溝通,以下幾點需要掌握。
1、學會傾聽。更多的傾聽會讓自己接受到更多容易忽略的信息,什麼時候該說,什麼時候多說,最好是多聽少說,這樣能減少自己犯錯的幾率,還能使自己顯得更有內涵和深度。
2、謙虛的態度。說話的遣詞造句應把自己放在謙虛的角度,不能太自信,更不能自大,不然隨時會影響工作中的人際關系和工作效率。遇到事情最好與他人多商討,不要一意孤行。
3、言簡意賅。表達想法和思路應該言簡意賅,簡潔有效的敘述能更好的完成工作的溝通,這是工作能力的表現,准確的表達能夠減少一半以上的工作時間。
4、學習幽默。幽默能夠拉近自己和他人的關系,也能化解很多矛盾,當工作溝通產生理解上的偏差時,幽默能夠改變尷尬的氣氛,是職場中必須掌握的一種技巧。
5、多使用贊美。多贊美他人,才可以顯示自己的魄力。贊美別人的優點,會獲得別人的尊重,同時也讓自己更有學習的動力。
7. 關於電信網路關鍵信息基礎設施保護的思考
文 華為技術有限公司中國區網路安全與用戶隱私保護部 馮運波 李加贊 姚慶天
根據我國《網路安全法》及《關鍵信息基礎設施安全保護條例》,關鍵信息基礎設施是指「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網路設施和信息系統」。其中,電信網路自身是關鍵信息基礎設施,同時又為其他行業的關鍵信息基礎設施提供網路通信和信息服務,在國家經濟、科教、文化以及 社會 管理等方面起到基礎性的支撐作用。電信網路是關鍵信息基礎設施的基礎設施,做好電信網路關鍵信息基礎設施的安全保護尤為重要。
一、電信網路關鍵信息基礎設施的范圍
依據《關鍵信息基礎設施安全保護條例》第 9條,應由通信行業主管部門結合本行業、本領域實際,制定電信行業關鍵信息基礎設施的認定規則。
不同於其他行業的關鍵信息基礎設施,承載話音、數據、消息的電信網路(以 CT 系統為主)與絕大多數其他行業的關鍵信息基礎設施(以 IT 系統為主)不同,電信網路要復雜得多。電信網路會涉及移動接入網路(2G/3G/4G/5G)、固定接入網、傳送網、IP 網、移動核心網、IP 多媒體子系統核心網、網管支撐網、業務支撐網等多個通信網路,任何一個網路被攻擊,都會對承載在電信網上的話音或數據業務造成影響。
在電信行業關鍵信息基礎設施認定方面,美國的《國家關鍵功能集》可以借鑒。2019 年 4 月,美國國土安全部下屬的國家網路安全和基礎設施安全局(CISA)國家風險管理中心發布了《國家關鍵功能集》,將影響國家關鍵功能劃分為供應、分配、管理和連接四個領域。按此分類方式,電信網路屬於連接類。
除了上述電信網路和服務外,支撐網路運營的大量 IT 支撐系統,如業務支撐系統(BSS)、網管支撐系統(OSS),也非常重要,應考慮納入關鍵信息基礎設施范圍。例如,網管系統由於管理著電信網路的網元設備,一旦被入侵,通過網管系統可以控制核心網路,造成網路癱瘓;業務支撐系統(計費)支撐了電信網路運營,保存了用戶數據,一旦被入侵,可能造成用戶敏感信息泄露。
二、電信網路關鍵信息基礎設施的保護目標和方法
電信網路是數字化浪潮的關鍵基礎設施,扮演非常重要的角色,關系國計民生。各國政府高度重視關鍵基礎設施安全保護,紛紛明確關鍵信息基礎設施的保護目標。
2007 年,美國國土安全部(DHS)發布《國土安全國家戰略》,首次指出面對不確定性的挑戰,需要保證國家基礎設施的韌性。2013 年 2 月,奧巴馬簽發了《改進關鍵基礎設施網路安全行政指令》,其首要策略是改善關鍵基礎設施的安全和韌性,並要求美國國家標准與技術研究院(NIST)制定網路安全框架。NIST 於 2018 年 4 月發布的《改進關鍵基礎設施網路安全框架》(CSF)提出,關鍵基礎設施保護要圍繞識別、防護、檢測、響應、恢復環節,建立網路安全框架,管理網路安全風險。NIST CSF圍繞關鍵基礎設施的網路韌性要求,定義了 IPDRR能力框架模型,並引用了 SP800-53 和 ISO27001 等標准。IPDRR能力框架模型包括風險識別(Identify)、安全防禦(Protect)、安全檢測(Detect)、安全響應(Response)和安全恢復(Recovery)五大能力,是這五個能力的首字母。2018 年 5 月,DHS 發布《網路安全戰略》,將「通過加強政府網路和關鍵基礎設施的安全性和韌性,提高國家網路安全風險管理水平」作為核心目標。
2009 年 3 月,歐盟委員會通過法案,要求保護歐洲網路安全和韌性;2016 年 6 月,歐盟議會發布「歐盟網路和信息系統安全指令」(NISDIRECTIVE),牽引歐盟各國關鍵基礎設施國家戰略設計和立法;歐盟成員國以 NIS DIRECTIVE為基礎,參考歐盟網路安全局(ENISA)的建議開發國家網路安全戰略。2016 年,ENISA 承接 NISDIRECTIVE,面向數字服務提供商(DSP)發布安全技術指南,定義 27 個安全技術目標(SO),該SO 系列條款和 ISO 27001/NIST CSF之間互相匹配,關鍵基礎設施的網路韌性成為重要要求。
借鑒國際實踐,我國電信網路關鍵信息基礎設施安全保護的核心目標應該是:保證網路的可用性,確保網路不癱瘓,在受到網路攻擊時,能發現和阻斷攻擊、快速恢復網路服務,實現網路高韌性;同時提升電信網路安全風險管理水平,確保網路數據和用戶數據安全。
我國《關鍵信息基礎設施安全保護條例》第五條和第六條規定:國家對關鍵信息基礎設施實行重點保護,在網路安全等級保護的基礎上,採取技術保護措施和其他必要措施,應對網路安全事件,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。我國《國家網路空間安全戰略》也提出,要著眼識別、防護、檢測、預警、響應、處置等環節,建立實施關鍵信息基礎設施保護制度。
參考 IPDRR 能力框架模型,建立電信網路的資產風險識別(I)、安全防護(P)、安全檢測(D)、安全事件響應和處置(R)和在受攻擊後的恢復(R)能力,應成為實施電信網路關鍵信息基礎設施安全保護的方法論。參考 NIST 發布的 CSF,開展電信網路安全保護,可按照七個步驟開展。一是確定優先順序和范圍,確定電信網路單元的保護目標和優先順序。二是定位,明確需要納入關基保護的相關系統和資產,識別這些系統和資產面臨的威脅及存在的漏洞、風險。三是根據安全現狀,創建當前的安全輪廓。四是評估風險,依據整體風險管理流程或之前的風險管理活動進行風險評估。評估時,需要分析運營環境,判斷是否有網路安全事件發生,並評估事件對組織的影響。五是為未來期望的安全結果創建目標安全輪廓。六是確定當期風險管理結果與期望目標之間的差距,通過分析這些差距,對其進行優先順序排序,然後制定一份優先順序執行行動計劃以消除這些差距。七是執行行動計劃,決定應該執行哪些行動以消除差距。
三、電信網路關鍵信息基礎設施的安全風險評估
做好電信網路的安全保護,首先要全面識別電信網路所包含的資產及其面臨的安全風險,根據風險制定相應的風險消減方案和保護方案。
1. 對不同的電信網路應分別進行安全風險評估
不同電信網路的結構、功能、採用的技術差異很大,面臨的安全風險也不一樣。例如,光傳送網與 5G 核心網(5G Core)所面臨的安全風險有顯著差異。光傳送網設備是數據鏈路層設備,轉發用戶面數據流量,設備分散部署,從用戶面很難攻擊到傳送網設備,面臨的安全風險主要來自管理面;而5G 核心網是 5G 網路的神經中樞,在雲化基礎設施上集中部署,由於 5G 網路能力開放,不僅有來自管理面的風險,也有來自互聯網的風險,一旦被滲透攻擊,影響面極大。再如,5G 無線接入網(5GRAN)和 5G Core 所面臨的安全風險也存在顯著差異。5G RAN 面臨的風險主要來自物理介面攻擊、無線空口乾擾、偽基站及管理面,從現網運維實踐來看,RAN 被滲透的攻擊的案例極其罕見,風險相對較小。5G Core 的雲化、IT 化、服務化(SBA)架構,傳統的 IT 系統的風險也引入到電信網路;網路能力開放、用戶埠功能(UPF)下沉到邊緣等,導致介面增多,暴露面擴大,因此,5G Core 所面臨的安全風險客觀上高於 5G RAN。在電信網路的范圍確定後,運營商應按照不同的網路單元,全面做好每個網路單元的安全風險評估。
2. 做好電信網路三個平面的安全風險評估
電信網路分為三個平面:控制面、管理面和用戶面,對電信網路的安全風險評估,應從三個平面分別入手,分析可能存在的安全風險。
控制面網元之間的通信依賴信令協議,信令協議也存在安全風險。以七號信令(SS7)為例,全球移動通信系統協會(GSMA)在 2015 年公布了存在 SS7 信令存在漏洞,可能導致任意用戶非法位置查詢、簡訊竊取、通話竊聽;如果信令網關解析信令有問題,外部攻擊者可以直接中斷關鍵核心網元。例如,5G 的 UPF 下沉到邊緣園區後,由於 UPF 所處的物理環境不可控,若 UPF 被滲透,則存在通過UPF 的 N4 口攻擊核心網的風險。
電信網路的管理面風險在三個平面中的風險是最高的。例如,歐盟將 5G 管理面管理和編排(MANO)風險列為最高等級。全球電信網路安全事件顯示,電信網路被攻擊的實際案例主要是通過攻擊管理面實現的。雖然運營商在管理面部署了統一安全管理平台解決方案(4A)、堡壘機、安全運營系統(SOC)、多因素認證等安全防護措施,但是,在通信網安全防護檢查中,經常會發現管理面安全域劃分不合理、管控策略不嚴,安全防護措施不到位、遠程接入 VPN 設備及 4A 系統存在漏洞等現象,導致管理面的系統容易被滲透。
電信網路的用戶面傳輸用戶通信數據,電信網元一般只轉發用戶面通信內容,不解析、不存儲用戶數據,在做好終端和互聯網介面防護的情況下,安全風險相對可控。用戶面主要存在的安全風險包括:用戶面信息若未加密,在網路傳輸過程中可能被竊聽;海量用戶終端接入可能導致用戶面流量分布式拒絕服務攻擊(DDoS);用戶面傳輸的內容可能存在惡意信息,例如惡意軟體、電信詐騙信息等;電信網路設備用戶面介面可能遭受來自互聯網的攻擊等。
3. 做好內外部介面的安全風險評估
在開展電信網路安全風險評估時,應從端到端的視角分析網路存在的外部介面和網元之間內部介面的風險,尤其是重點做好外部介面風險評估。以 5G 核心網為例,5G 核心網存在如下外部介面:與 UE 之間的 N1 介面,與基站之間的 N2 介面、與UPF 之間的 N4 介面、與互聯網之間的 N6 介面等,還有漫遊介面、能力開放介面、管理面介面等。每個介面連接不同的安全域,存在不同風險。根據3GPP 協議標準定義,在 5G 非獨立組網(NSA)中,當用戶漫遊到其他網路時,該用戶的鑒權、認證、位置登記,需要在漫遊網路與歸屬網路之間傳遞。漫遊邊界介面用於運營商之間互聯互通,需要經過公網傳輸。因此,這些漫遊介面均為可訪問的公網介面,而這些介面所使用的協議沒有定義認證、加密、完整性保護機制。
4. 做好虛擬化/容器環境的安全風險評估
移動核心網已經雲化,雲化架構相比傳統架構,引入了通用硬體,將網路功能運行在虛擬環境/容器環境中,為運營商帶來低成本的網路和業務的快速部署。虛擬化使近端物理接觸的攻擊變得更加困難,並簡化了攻擊下的災難隔離和災難恢復。網路功能虛擬化(NFV)環境面臨傳統網路未遇到過的新的安全威脅,包括物理資源共享打破物理邊界、虛擬化層大量採用開源和第三方軟體引入大量開源漏洞和風險、分層多廠商集成導致安全定責與安全策略協同更加困難、傳統安全靜態配置策略無自動調整能力導致無法應對遷移擴容等場景。雲化環境中網元可能面臨的典型安全風險包括:通過虛擬網路竊聽或篡改應用層通信內容,攻擊虛擬存儲,非法訪問應用層的用戶數據,篡改鏡像,虛擬機(VM)之間攻擊、通過網路功能虛擬化基礎設施(NFVI)非法攻擊 VM,導致業務不可用等。
5. 做好暴露面資產的安全風險評估
電信網路規模大,涉及的網元多,但是,哪些是互聯網暴露面資產,應首先做好梳理。例如,5G網路中,5G 基站(gNB)、UPF、安全電子支付協議(SEPP)、應用功能(AF)、網路開放功能(NEF)等網元存在與非可信域設備之間的介面,應被視為暴露面資產。暴露面設備容易成為入侵網路的突破口,因此,需重點做好暴露面資產的風險評估和安全加固。
四、對運營商加強電信網路關鍵信息基礎設施安全保護的建議
參考國際上通行的 IPDRR 方法,運營商應根據場景化安全風險,按照事前、事中、事後三個階段,構建電信網路安全防護能力,實現網路高韌性、數據高安全性。
1. 構建電信網路資產、風險識別能力
建設電信網路資產風險管理系統,統一識別和管理電信網路所有的硬體、平台軟體、虛擬 VNF網元、安全關鍵設備及軟體版本,定期開展資產和風險掃描,實現資產和風險可視化。安全關鍵功能設備是實施網路監管和控制的關鍵網元,例如,MANO、虛擬化編排器、運維管理接入堡壘機、位於安全域邊界的防火牆、活動目錄(AD)域控伺服器、運維 VPN 接入網關、審計和監控系統等。安全關鍵功能設備一旦被非法入侵,對電信網路的影響極大,因此,應做好對安全關鍵功能設備資產的識別和並加強技術管控。
2. 建立網路縱深安全防護體系
一是通過劃分網路安全域,實現電信網路分層分域的縱深安全防護。可以將電信網路用戶面、控制面的系統劃分為非信任區、半信任區、信任區三大類安全區域;管理面的網路管理安全域(NMS),其安全信任等級是整個網路中最高的。互聯網第三方應用屬於非信任區;對外暴露的網元(如 5G 的 NEF、UPF)等放在半信任區,核心網控制類網元如接入和移動管理功能(AMF)等和存放用戶認證鑒權網路數據的網元如歸屬簽約用戶伺服器(HSS)、統一數據管理(UDM)等放在信任區進行保護,並對用戶認證鑒權網路數據進行加密等特別的防護。二是加強電信網路對外邊界安全防護,包括互聯網邊界、承載網邊界,基於對邊界的安全風險分析,構建不同的防護方案,部署防火牆、入侵防禦系統(IPS)、抗DDoS 攻擊、信令防護、全流量監測(NTA)等安全防護設備。三是採用防火牆、虛擬防火牆、IPS、虛擬數據中心(VDC)/虛擬私有網路(VPC)隔離,例如通過防火牆(Firewall)可限制大部分非法的網路訪問,IPS 可以基於流量分析發現網路攻擊行為並進行阻斷,VDC 可以實現雲內物理資源級別的隔離,VPC 可以實現虛擬化層級別的隔離。四是在同一個安全域內,採用虛擬區域網(VLAN)、微分段、VPC 隔離,實現網元訪問許可權最小化控制,防止同一安全域內的橫向移動攻擊。五是基於網元間通信矩陣白名單,在電信網路安全域邊界、安全域內實現精細化的異常流量監控、訪問控制等。
3. 構建全面威脅監測能力
在電信網路外部邊界、安全域邊界、安全域內部署網路層威脅感知能力,通過部署深度報文檢測(DPI)類設備,基於網路流量分析發現網路攻擊行為。基於設備商的網元內生安全檢測能力,構建操作系統(OS)入侵、虛擬化逃逸、網元業務面異常檢測、網元運維面異常檢測等安全風險檢測能力。基於流量監測、網元內生安全組件監測、採集電信網元日誌分析等多種方式,構建全面威脅安全態勢感知平台,及時發現各類安全威脅、安全事件和異常行為。
4. 加強電信網路管理面安全風險管控
管理面的風險最高,應重點防護。針對電信網路管理面的風險,應做好管理面網路隔離、運維終端的安全管控、管理員登錄設備的多因素認證和許可權控制、運維操作的安全審計等,防止越權訪問,防止從管理面入侵電信網路,保護用戶數據安全。
5. 構建智能化、自動化的安全事件響應和恢復能力
在網路級縱深安全防護體系基礎上,建立安全運營管控平台,對邊界防護、域間防護、訪問控制列表(ACL)、微分段、VPC 等安全訪問控制策略實施統一編排,基於流量、網元日誌及網元內生組件上報的安全事件開展大數據分析,及時發現入侵行為,並能對攻擊行為自動化響應。
(本文刊登於《中國信息安全》雜志2021年第11期)
8. 網路安全的前景
在信息化的現代,網路安全產業成為保障「新基建」安全的重要基石,我國網路安全行業市場規模一直呈現高速增長態勢。未來,隨著5G網路、人工智慧、大數據等新型網路技術在各個領域的深入開展,其將為網路安全企業的發展提供新的機遇。
隨著科技的進步和社會的發展,網路安全的概念和內涵不斷演進。其發展歷程可分為起源期、萌芽期、成長期和加速期四個時期,分別對應通信加密時代、計算機安全時代、信息安全時代以及網路空間安全時代。
目前網路安全正處於網路空間安全時代的加速期:2014年中央網路安全和信息化領導小組成立後,網路安全法、等保2.0等政策不斷出台,網路安全上升為國家戰略。
與信息安全時代的區別在於網路邊界逐漸模糊或消失,僅憑傳統的邊界安全已不能做到有效防護,防護理念和技術發生深刻改變,主動安全逐漸興起。安全解決方案和安全服務也越來越被重視。
—— 以上數據及分析請參考於前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》
9. 網路安全未來發展怎麼樣
網路安全與執法專業學生主要學習網路安全與執法方面的基本理論和知識,受到相應的專業訓練,具有組織實施信息網路安全保以及互聯網違法信息的監控、信息網路違法犯罪的偵查辦案能力。培養具有良好的科學素質、人文素質和警察基本素質,具備扎實的網路保衛執法的基礎知識、基本技術,經過針對軟體開發技術、網路情報技術、計算機犯罪偵查取證技術和網路監察技術的專門學習與訓練,能在公安機關網路保衛執法部門及相關領域從事與預防網路犯罪、控制網路犯罪和處置網路犯罪相關的執法、教學及研究工作的應用型公安高級專門技術人才。
網路安全與執法專業就業前景:中國人民公安大學網路安全與執法專業前景:(差評)公安大學的就業和專業雖然有關系但是最,最,最重要的是國考的成績。國考分數基本等於一切!尤其從08起更是如此。公安局缺的人才類型多了,他願不願意把編制花在這上面?也許選擇偵查之類比較實用,能吃苦的。(好評)還不錯,我就是這個專業的,平常的內務管理算是比較松,不過具體要看隊長。
這專業就業前景比較好,缺點就是學業相對於其他專業要重,掛科的相對比較多,不過只是相對,比起其他大學要好得多,公大的學習灰常輕松。網路安全與執法專業就業方向:本專業的就業前景較好,畢業生能在公安、檢察、國家安全等部門從事偵查工作、刑事執法工作、預防和控制犯罪以及偵查學教學、科研等方面的工作。
10. 網路安全未來發展趨勢怎麼樣
網路安全態勢緊張,網路安全事件頻發
據國家互聯網應急中心(CNCERT),2019年上半年,CNCERT新增捕獲計算機惡意程序樣本數量約3200萬個,計算機惡意程序傳播次數日均達約998萬次,CNCERT抽樣監測發現,2019年上半年我國境內峰值超過10Gbps的大流量分布式拒絕服務攻擊(DDoS攻擊)事件數量平均每月約4300起,同比增長18%;國家信息安全漏洞共享平台(CNVD)收錄通用型安全漏洞5859個。網站安全方面,2019年上半年,CNCERT自主監測發現約4.6萬個針對我國境內網站的仿冒頁面,境內外約1.4萬個IP地址對我國境內約2.6萬個網站植入後門,同比增長約1.2倍,可見我國網路安全態勢緊張。
網路安全行業的發展短期內是通過頻繁出現的安全事件驅動,短中期離不開國家政策合規,中長期則是通過信息化、雲計算、萬物互聯等基礎架構發展驅動。2020年網路安全領域將進一步迎來網路安全合規政策及安全事件催化,例如自2020年1月1日起施行《中華人民共和國密碼法》,2020年3月1日起施行《網路信息內容生態治理規定》等。2020年作為
「十三五」收官之年,將陸續開始編制網路安全十四五規劃。在各種因素的驅動下,2020年我國網路安全行業將得到進一步發展。
——以上數據來源於前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》。