筑底数字时代网络安全:数字基础设施安全框架亟待完善
南方财经全媒体集团记者 吴立洋 21世纪经济报道记者 蔡姝越 实习生仇双 北京,上海报道
编者按:
网络安全,既是企业数字化转型的基础保障,亦是数字经济行稳致远的必备条件。
近一年来,《个人信息保护法》正式实施,《网络产品安全漏洞管理规定》《网络安全审查办法》《数据出境安全评估办法》等政策法规相继落地,我国网络安全监管框架正不断完善。
但另一方面,Apache Log4j2组件中存在严重安全漏洞、勒索攻击与DDoS等网络攻击愈演愈烈,网络安全挑战仍然存在。随着大众日常生活与网络空间的结合愈加紧密,网络安全对于我国社会治理、经济发展和人民的生命财产安全。
南方财经·21世纪经济报道合规科技研究院长期聚焦数字经济发展背景下新业态网络安全问题,结合产业实际发展需求,在2022年网络安全宣传周正式举办之际,特推出“新业态新安全”系列深度专题报道,聚焦数字经济新业态发展背景下,网络安全攻防的形势与变化,从制度建设和技术应用两大方向出发,探讨如何为数字时代网络安全保驾护航。
这是专题报道的第一篇,我们从数字经济发展的地基——数字基础设施层面出发,分析政府、企业、社会组织等在使用为其提供数字化转型关键支撑的基础设施时,存在哪些安全建设层面的欠缺与不足,进而探讨如何构建整体安全框架,保障数字基础设施平稳运行。
近年来,社会数字化转型持续深入,一方面,各类新型智能设备和软件应用愈加嵌入人们生产生活的方方面面,另一方面,社会各界对于数字基础设施的需求也在不断提升。
2022年4月召开的中央财经委员会第十一次会议中提到,要“加快新型基础设施建设”“加强信息、科技、物流等产业升级基础设施建设,布局建设新一代超算、云计算、人工智能平台、宽带基础网络等设施,推进重大科技基础设施布局建设”。
多位专家在接受21世纪经济报道记者采访时指出,数字基础设施建设不仅需要提升其对产业数字化转型升级的承载能力,更需夯实网络安全与数据安全基础,保证数字经济运行于安全底座之上。
去年9月,《关键信息基础设施安全保护条例》正式施行,对关键信息基础设施的安全要求和各方主体责任进一步落实,为关键基础设施保护工作提供了法治保障。
随着产业数字化与数字产业化发展步入深水区,数字基础设施的底层支撑作用愈发显著,作为经济社会运行的神经中枢,数字基础设施不仅关乎数字产业链安全,更与社会整体平稳运行息息相关,因而愈加受到各方关注。
严峻的安全形势
伴随着新型数字基础设施对传统基础设施进行升级与赋能,其在促进经济社会整体数字化转型的同时,也使得原本大多局限于网络空间中的安全问题蔓延到现实社会中,数字化安全基底亟待进一步筑牢。
“支撑企业数字化转型的数字平台所用到的5G、云计算、数据中心、人工智能、物联网、区块链等技术都算得上数字基础设施。”民间互联网安全组织“网络尖刀”创始人曲子龙在接受南方财经全媒体记者采访时表示,数字化转型后,各类核心的数据从原本的零散数据、离线数据、甚至纸质数据都云端化汇总到数字平台,一旦被黑客攻破或者释放勒索病毒勒索,不但失去了所有商业秘密,还将面临法律风险。
以影响颇广的勒索攻击事件“永恒之蓝”为例,2017年上半年,某互联网黑产团队利用Windows系统中存在的“SMB漏洞”获取了系统最高权限制作的勒索病毒,对全球数个国家的高校校内网、企业内网和政府机构专网发动勒索攻击,致使多个国家政府机构、银行、电力系统、通讯系统、能源企业、机场等重要基础设施运行受到影响。
“永恒之蓝”及其后续事件,使得众多数字化转型进程中的政府和企业开始重新评估网络安全在数字基础设施建设中的关键作用。彼时,刚刚引入数字化战略的集装箱货运巨头马士基的IT和通信系统,就遭到持续两周受到黑客的干扰,全球76个港口和近800艘船只被影响,导致其直接损失3亿美元。
“永恒之蓝”等安全事件频发,令互联网黑产团队意识到,众多关乎民生基础和企业生产的关键基础设施缺乏基本的网络安全防护,且其本身承载的功能和蕴含的信息又极为重要,许多不法分子因而“趁虚而入”。
以医疗机构为例,由于医疗行业的IT系统普遍混用或通用行业特定的硬件与网络协议,其安全往往难以得到全面保护,又因为医疗需要面对社会大众,和互联网的结合更加紧密,也使其成为黑客眼中易于突破的重点对象。
2021年1月,美国佛蒙特州一家医疗服务提供商遭到网络攻击,导致电子健康记录系统延迟推出,并造成数百万美元的收入损失;10月,加拿大数省卫生网络遭到网络攻击瘫痪,数千人的医疗预约被取消;11月,德国医疗软件巨头Medatixx遭到勒索攻击,多家医疗机构的内部 IT 系统遭到影响,运营系统被迫瘫痪……
今年8月,在南法兰西林中心医院 (CHSF) 遭到勒索软件攻击后,为应对愈演愈烈的安全威胁,法国数字转型与电信部和卫生部承诺将向法国国家网络机构 ANSSI 提供总计 2000 万欧元的资金支持,以改善法国卫生行业的网络保护状况。
北京汉华飞天信安科技有限公司总经理彭根在接受记者采访时表示,一方面,很多传统行业在运用数字基础设施进行数字化改造过程中,以为使用了内网,没有链接互联网的外围部分就能绝对安全,但实际上物理隔离并不能完全保证安全性,硬件交互、文件传输、人员流动都可能带来安全威胁;另一方面,很多传统行业需要具备专业知识技能的网络安全人员来对基础设施安全进行日常维护,相关岗位的人员缺口问题需要得到重视。
安全建设需与技术发展同步
近年来,伴随着云计算、人工智能、区块链等技术的高速发展,自后端应用到基础设施建设往往集成了大量前沿技术,但在早期的技术应用过程中,很多潜在的安全问题常常没有得到及时发现或妥善处理。但随着数字化转型步入深水区,安全“补课”成为很多企业和社会组织必须经历的过程。
以当前的“上云”趋势为例,借助云计算和互联网服务商提供的云平台,很多企业和组织实现了线上智能化的运营管理与资源整合,极大提升了经营效率。
但上云并不意味着转移至云基础设施部分的系统安全即可高枕无忧。曲子龙表示,部分企业在购买云厂商提供的云服务时可能产生一种误解,认为购买了云环境后,云资产的安全就会由云厂商来保障,不再需要安全人员也不需要再聘请第三方安全公司为之提供安全服务。
实际上,云安全一直都需要通过多端互动合作来解决,云厂商通常只负责云的基础设施安全,而运行在云上的应用及数据则需要客户自己进行保障。
曲子龙指出,云厂商提供的云扫描服务其实只是一个基于规则的基础性安全检测,可以对常规的基线、SQL注入、XSS、敏感目录、补丁问题等进行检查,但涉及到业务逻辑漏洞、需要用户登录状态才能交互的数据安全等问题,云厂商的安全扫描往往难以覆盖,而这恰恰是最容易发生安全问题的地方。
“很多企业认为在防火墙上设定规则就能拦住黑客,因而不愿意去修补业务上的漏洞。实际上,防火墙这种‘替身安全’的方式只是应急的临时补充方案。”曲子龙表示,一旦防火墙自身出现了安全漏洞,从而被攻击者绕过,那企业云资产将会完整地暴露于攻击者面前。
事实上,由于数字技术本身的复杂性,很多针对数字基础设施的攻击并往往不单依靠某一种简单的攻击方式,而是一系列攻击的组合。
上海某网安公司内部人士向记者表示,以针对银行的攻击为例,黑客在攻破系统的同时,还会通过多次故意输错密码等方式触发系统禁止原号主登录,借助多session(任务)并发的系统延缓攻击被处理的时间。
“一种系统保护用户数据安全的手段,在某种情况下也可能作为攻击方恶意设置的‘墙’。”该网络安全人士指出,当前网络攻击手段复杂化的一个显著特征,是在入侵系统、窃取数据的同时,还要尽可能阻止用户无法快速正常恢复和使用数据。
彭根则表示,早期为了把业务跑通,许多数字化新技术在基础设施领域应用时,对安全方面的考虑都有所欠缺,在数字基础设施技术功能持续复杂化,承载数字经济发展作用愈加显著的背景下,需要结合实际需求对其安全防护功能进行全面升级。
构建多层级防护框架
多位专家与网络安全行业人士在接受记者采访时表示,数字基础设施安全建设需要兼顾需求与发展,科学规划不同层级、不同类型基础设施安全防护要求,结合数字化发展趋势和安全攻防形势构建防护框架。
彭华指出,在构建基础设施防护体系的过程中,除了配备防火墙、堡垒机等传统网络安全设备,更重要的是根据该设施实际承担的业务需要,配备好对应的防护策略,从而满足网络安全“等保”要求。
所谓的“等保”要求,即是指网络安全等级保护,早在1994年国务院发布的《中华人民共和国计算机信息系统安全保护条例》中,就明确提出要对计算机信息系统实行安全等级保护。而在2016年通过的《网络安全法》中,则正式以法律条文的形式对“国家实行网络安全等级保护制度”加以明确。
值得注意的是,很多企业出于成本和业务规划方面的考虑,也在尝试自建数字基础设施,但由于缺乏相关软硬件系统搭建经验,其在进行安全机制建设时难以对预算、重点防护环节等进行合理规划。
曲子龙指出,部分企业和组织自行购买服务器搭建运行环境、数据库,但只是接入网络或托管到IDC机房就算完成基础设施建设,甚至在采购中,都可能因过于看重性价比和业务参数,忽略技术及硬件问题。
他进一步表示,由于资产数量的增加,安全威胁的攻击面也随之扩大,在日常运维过程中,由于运维人员能力的参差不齐,任何如补丁更新的及时性、基线配置问题、安全产品应用等方面的工作疏忽,都可能极大提升数字基础设施的安全风险。“轻则宕机导致业务无法正常运转、重则数据丢失、损坏、甚至可能会出现不可逆的物理硬件损坏导致数据无法使用的问题。”曲子龙说。
对此,《关键信息基础设施安全保护条例》中也特别指出,关键信息基础设施运营者需“在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动”。
彭根表示,无论是企业、社会组织还是政府部门,对数字化基础设施的使用不能止步于仅满足正常运行需要,更应按照相关规定明确设备所处的网络安全等级,结合自身业务和《关键信息基础设施安全保护条例》等法律法规要求,对开放端口、服务器权限等安全机制提前做好规划。
(作者:吴立洋,蔡姝越,实习生仇双 编辑:张雅婷)
与本文知识点相关的文章: