第2章 网络安全应急响应概述
网络安全应急响应是网络安全体系中不可缺少的重要环节。任何网络都存在安全隐患。随着漏洞、病毒、恶意代码等多种网络攻击手段不断升级,网络安全形势依旧复杂多变。虽然很多安全问题可以通过技术和管理的方法进行限制,但没有任何一种安全策略或防护措施能够提供绝对安全的保护。即使采取了严格的网络安全防护措施,仍可能存在难以发现的弱点,使网络安全防护被攻破,从而导致业务中断、数据泄露、系统宕机、网络瘫痪等突发、重大信息安全事件发生,对组织和业务的运行产生直接或间接的负面影响。
为减少信息安全事件对组织和业务的影响,及时应对各类突发的网络安全事件,网络安全应急响应相关概念应运而生。本章主要从网络安全应急响应相关概念、网络安全与信息安全、产生网络安全问题的原因分析三个方面,对网络安全应急响应进行概要描述。
2.1 网络安全应急响应相关概念
认识网络安全应急响应,我们应该首先熟悉一些常用的网络安全应急响应概念、名词和术语。
网络安全:是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全事件:则是指由于自然、人为和软件本身存在缺陷或故障等原因,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。
网络安全应急响应:是指为了应对突发重大网络安全事件所做的准备工作,在事件发生时所采取的应对手段,以及在事件发生后的恢复措施的全过程。
信息系统:由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户构成,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索的系统。
安全策略:是指在某个安全区域内,用于所有与安全相关活动的规则。
安全服务:指提供数据处理和数据传输安全性的一系列措施。
访问控制:按用户身份及其所属的某预定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。
业务影响分析:对信息系统业务功能及相关资产进行分析,评估特定信息安全事件对各类业务功能影响的过程。
2.2 网络安全与信息安全
网络安全更侧重于保护网络环境下的计算机及应用系统的安全,例如通过部署防火墙、入侵检测等硬件设备来实现网络层面的安全防护;通过风险评估、病毒防护等软件系统实现应用层面的安全防护。
信息安全是指为保护信息免受未经授权的访问和使用而采取的措施,是从技术和管理两个方面为信息系统建立的安全防护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。信息安全侧重于计算机数据和信息的安全。
近年来,国内外媒体、学术界对网络安全和信息安全的关系存在两种看法。一种观点认为网络安全包含信息安全。从纯技术角度看,信息安全专业的主要研究内容为密码学,如各种加密算法、公钥基础设施、数字签名、数字证书等,而这些只是保障网络安全的手段之一。而另一种观点则认为,网络安全是信息安全的一部分,信息安全包括网络安全。信息安全从数据的角度进行安全防护。安全防护不仅关注网络层面,更关注应用层面,可以说信息安全更贴近用户的实际需求和想法。此外,信息安全还包括操作系统安全、数据库安全、硬件设备和设施安全、物理安全、人员安全、软件应用安全等方面。
由于网络安全与信息安全两个概念密不可分,且两者的关系目前没有明确的界定,而在实际工作中,网络安全事件和信息安全事件又互为因果、相互交错,难以理清。所以在本书中,为表述方便,我们认同第一种观点,即网络安全包含信息安全,并在后续内容中不进行严格区分。
2.3 产生网络安全问题的原因分析
随着互联网的普及,我们已经全面进入信息化社会。一方面,信息产业和网络技术高速发展,呈现出空前繁荣的景象,另一方面,网络安全事件不断发生,安全形势非常严峻。网络安全事关国家安全和社会稳定,因此必须采取措施确保网络安全。下面我们从技术角度和管理角度来分析网络安全问题产生的原因。
2.3.1 技术方面的原因
1.计算机系统结构安全问题
个人计算机为了降低成本和提高计算效率,可能去掉了许多成熟的安全机制,包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、路由控制机制等。
其中,加密机制对应数据保密性服务。通过对数据进行加密,有效的防止数据在传输过程中被窃取。常用的加密算法有:对称加密算法(如DES算法)和非对称加密算法(如RSA算法)。
数字签名机制对应认证(鉴别)服务。利用数字签名技术可以实施用户身份认证和消息认证。是认证(鉴别)服务的最核心技术。常用的签名算法有:RSA算法和DSA算法。
访问控制机制通过预先设定的规则对用户访问的数据进行限制。
数据完整性机制对应数据完整性服务。完整性作用是为了数据在传输过程中不受到干扰、篡改。通常使用单向加密算法对数据加密,生产唯一验证码,用以校验数据完整性。常用的加密算法有MD5、SHA等。
认证机制对应认证(鉴别)服务。认证的目的在于验证接收方所接收到的数据是否来源于所期望的发送方。通常使用数字签名来进行认证,常用的算法有RSA和DSA算法。
路由控制机制对应访问控制服务。路由控制机制为数据发送方选择安全的网络通讯路径,避免发送方使用不安全的路径发送数据,提供数据安全性。
去除这些安全机制将会导致程序的执行可以不经过认证而被恶意修改。这样,病毒、蠕虫、木马等恶意程序就乘机泛滥,给计算机安全防护带来了巨大的挑战。
2.网络发展的无边界化
网络技术的发展把计算机变成网络中的一个组成部分,在连接上突破了机房的地理隔离,单个节点上的信息通过数据传输扩大到了整个网络。任何人可以制造病毒、木马等恶意程序,并借助网络快速传播到整个网络,从而攻击其它终端。随着网络规模的发展,信息在网络中传播的速度不断加快。渗透进网络中的恶意代码将会快速地对网络中的终端产生危害。尤其是随着云计算、物联网等技术的发展,大量的数据中心网络以及移动智能体组成的网络渗透进工作和生活的方方面面。随着网络发展的无边界化,恶意代码带来的损害可能影响到入网的每个终端。
3.协议安全性难以验证
网络安全协议是营造网络安全环境的基础,是构建安全网络的关键技术。设计并保证网络安全协议的安全性和正确性能够从基础上保证网络安全,避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。然而,网络协议的复杂性使得协议的安全证明和验证变得十分困难。目前人们只能证明和验证部分网络协议,所以网络协议通常无法避免地存在安全缺陷。即使网络协议是正确的,也不能确保百分之百安全。正确的协议在某种条件下,也可以当作网络攻击的工具。例如,攻击者完全可以根据哲学上“量变到质变”的原理,通过发起大量的正常访问,耗尽计算机或网络的资源,从而使计算机瘫痪,这就是拒绝服务攻击的原理。
4.操作系统的安全缺陷
操作系统是计算机最主要的系统软件,是网络安全和信息安全的基础之一。然而,因为操作系统程序过于庞大和复杂(例如,Windows操作系统有上千万行程序),通常难以做到完全正确。如果操作系统的缺陷被攻击者利用,则造成的安全后果难以忽略。
操作系统面临的安全威胁通常包括机密性威胁、完整性威胁、可用性威胁。
其中,信息的机密性是指原始信息的隐藏能力,让原始信息对非授权用户呈现不可见状态。机密性威胁指可能导致机密信息和隐私信息发生泄露的意图、事件、策略、机制、软硬件等。常见的机密性威胁包括窃听(嗅探)、后门(天窗)、间谍软件、隐蔽通道等。
信息的完整性是指系统中所使用的信息与原始信息相比没有发生变化,未遭受偶然或恶意的修改、破坏。完整性威胁通常包括计算机病毒、计算机欺骗等。
可用性指系统能够正常运行或提供必要服务的能力,是系统可靠性的一个重要因素。常见的可用性威胁主要指DoS攻击等。
2.3.2 管理方面的原因
1.风险意识淡薄
网络安全和信息安全风险产生的一个重要原因是人们的安全风险意识淡薄,没有充分重视信息安全的破坏性和灾难性。与传统犯罪不同,以网络攻击为主的网络犯罪每时每刻都在发生,但是除非发现的漏洞或密码被破解,这些网络攻击并不会立刻产生安全威胁。因此容易导致网络安全的假象。
以希拉里的“邮件门”事件为例,按照规定,美国涉密人员严禁通过私人邮箱系统发送公务邮件,时任国务卿的希拉里原本只能在加密网络中通过公务邮箱收发公务邮件,这样做不仅十分麻烦而且非常不方便。希拉里因缺乏网络安全意识,犯了以下两个重大错误:
一是在家中建立了一个私人服务器,同时收发公务邮件,并为图省事一直用这个私人邮箱处理公务直至东窗事发;
二是相信永久删除后就没人能找到被删除的邮件。
因为安全意识淡薄,希拉里最终因为私自处理机密邮件,导致大选落败。除了个人因素之外,管理部门的网络安全意识淡薄,通常表现在大量使用弱口令,系统及应用漏洞频发,关键信息基础设施面临较大安全风险。
2.管理制度欠缺
目前,某些行业或部门信息安全风险管理制度方面存在一定的漏洞。一是部分指导性法规文件并没有强制性,主要还是依靠企业的运营管理为自身的安全负责,这样就导致部分企业并没有对信息安全引起足够的重视,信息安全事件频繁发生;二是组织机制不健全以及相关职能部门权责划分不明确。健全的风险防范组织是网络信息安全的支撑,但是目前某些行业或部门在这方面还存在很大的问题。由于人们对突发事件有一个认识过程,所以主管部门的反应通常滞后于风险的蔓延速度,难以及时、准确地采取行动。目前,我国的信息安全风险处理机制主要还是以政府主导为主,相关企业配合完成,各类机构之间的交流沟通机制还需要很长时间的磨合与调整。
为了能够减少网络安全事件对组织和业务的影响,不断建设和提升应急响应能力显得非常重要。近年来,我国越来越关注网络安全应急响应体系建设,初步建立了应急响应组织机构,形成了一整套应急响应流程,制订了一系列应急响应预案。但面对日益严峻的网络安全形势,当前做法仍有很多不适应、不规范的问题亟待解决。
网络安全应急响应工作是一项系统性、综合性工作,应在国家、地方、行业密切配合、相互协同,社会公众和社会力量的广泛参与的基础上,通过强化网络安全事件应急的体制,机制和法制建设,应急响应技术的提升、人才队伍的建设、应急培训、演练、意识提升活动基础性工作,加快提升网络安全事件预防和应急处置能力。