本文5473字閱讀約需15分鐘
已經持續數月的俄烏網絡戰給世界帶來全新啟示,引發國家及城市網絡安全建設理念的大轉變。
國家、城市基礎設施成為網絡戰的重點“打擊對象”。利用網絡攻擊可以癱瘓對方軍事指揮網絡、破壞交通、能源、電力、金融等基礎設施,甚至能達成不費一槍一彈贏得一場戰爭的目的。面對高密度、高強度的網絡攻擊,我國城市網絡安全同樣不堪一擊。
2022年北京冬奧會以“零事故”交上了網絡安保答卷。作為一場網絡安全“真槍實彈”綜合競技比拼的勝利,北京冬奧網絡安全保障的實戰經驗、技術產品和模式,形成大量的冬奧遺產,對于推動我國網絡空間安全保障能發揮重要作用,也會對以后全球網絡空間安全保障提供可借鑒的中國經驗和中國方案。
一、俄烏網絡戰態勢研判:關基成為攻擊重點
我們長期以來一直認為,網絡攻擊只是民族國家武器庫的一部分,但此次俄烏軍事沖突中,讓我們第一次真正目睹了人類歷史上首次公開、大規模的網絡戰威力。
網絡戰這種無硝煙的戰爭模式,給一個國家、一座城市帶來的破壞,尤其對城市關鍵基礎設施網絡攻擊,已經開始左右地面戰爭的進程、甚至影響著戰局的勝敗。網絡攻擊不僅是獲取情報,而且是癱瘓對方軍事指揮網絡,破壞交通、能源、電力、金融等基礎設施的重要武器,甚至能達成不費一槍一彈贏得一場戰爭的目的。
(一)網絡戰早已“不宣而戰”
烏克蘭從局勢緊張開始時,大量的政府網站就已經癱瘓了,俄羅斯政府網站隨后也連續遇到麻煩。可以說,_在這場軍事沖突開始之前,雙方的網絡戰就已經打響了。
烏克蘭在2022年1月14日,70多個政府網站也遭到了網絡攻擊,導致大部分網站癱瘓。根據調查顯示,烏克蘭的外交部、教育部、農業部、國防部等網站遭到了嚴重的攻擊,很多重要信息遭到泄露,并且黑客囂張的在多個網站上發布“所有烏克蘭的信息已經被公開,數據信息也不可能恢復,你們做好最壞的打算吧”。2022年2月15日,烏克蘭再次遭遇到大規模網絡攻擊,攻擊對象涉及國防部、外交部、文化部和兩個最大的國有銀行等至少10個烏克蘭官方網站,攻擊方式采用的是分布式拒絕服務攻擊。2022年2月24日,烏克蘭國家緊急事務部門稱,因為遭受網絡攻擊威脅,烏克蘭已經切斷互聯網,全國境內無線和有線連接都將受限。與此同時,烏克蘭多次發布網絡招募令,吸引民間黑客加入,抵御和反擊俄方的攻擊。美國政客也借此推波助瀾。
俄羅斯在2月24~25日,俄羅斯國家媒體RT電視臺兩天內有幾個小時網站無法訪問。2月26日早上,克里姆林宮官網、俄羅斯外交部、紅星電視臺等多家俄羅斯網站處于不穩定狀態,部分用戶無法正常打開頁面。
(二)國家、城市基礎設施是網絡戰重點“打擊對象”
網絡戰讓奪取現代戰爭控制權的武器不再只是槍炮和子彈,而更可能是計算機網絡里流動的比特和字節。沒有傳統戰爭的血雨腥風,也沒有地理空間限制,網絡能到達的地方,都可能是戰場。在2022年2月24日,俄羅斯正式向烏克蘭宣戰前,烏克蘭已遭受3個波次的大規模DDoS網絡攻擊,每個波次攻擊的重點也有不同。但總體而言,軍政安全、能源、金融成為主要的目標對象,通過影響政府運行、經濟運行秩序等方式,警示的作用明顯。正式宣戰后,協同傳統作戰力量,根據前期網絡偵查,對烏克蘭數百臺計算機實施數據擦除攻擊。
同時,DDoS攻擊造成大量烏克蘭政府官方網站下線,嚴重干擾烏克蘭政府運作,并導致民眾在戰爭初期對政府信任度下降;數據擦除攻擊導致被攻擊機構的技術和服務被破壞、拒止和降級;信息戰行動利用烏克蘭國家內部現有的分歧,誘導烏克蘭民眾反政府和反西方情緒;互聯網連接破壞攻擊導致政府和民眾通信活動受到極大影響。
二、面對高強度網絡戰,我國城市網絡安全同樣不堪一擊
本次高密度高強度的網絡攻擊,烏克蘭顯然無力應對。我們做個假設:如果我們的大中城市遇到類似強度的網絡戰打擊,上百個關鍵信息基礎設施(涉及政府、金融、運營商、互聯網、能源、交通等)同時發生網絡安全事故,我們今天的網絡安全工作模式能否應對?我們不得不相信,答案是否定的。
目前,站在整體安全的角度,我們的任何一個城市中,網絡安全的能力建設都是分散的,缺乏城市級別的視角統一規劃、設計、實施和運營。一旦遇到網絡戰,必然陷入兵力不足、各自為戰的尷尬境地。當前國內城市普遍存在的一大核心問題是忽視了體現“執行效率”的實戰化安全運營機制,脫離了網絡安全的持續運營,再先進的安全技術產品、再完備的安全管控機制、投入再大建設的網絡安全體系都無法發揮其應有的預期效果。網絡安全不可能一勞永逸,因此需要一個統一的中心作為網絡安全空間治理的抓手,統籌安全防護能力的部署、安全運營平臺的建設、安全運營組織的架構、專業安全人才的培養,提升網絡空間安全治理的效能。
三、從冬奧“零事故”看網絡安全“中國模式”的關基保護經驗
2022年2月20日晚,北京冬奧會隨著冬奧火炬的熄滅落下帷幕。奇安信兌現了自己的承諾,以“零事故”交上了2022年北京冬奧會的網絡安保答卷,這是在面臨緊張的國際局勢、嚴峻的疫情防控、復雜的網絡安全威脅情況下取得的勝利,更是一場網絡安全“真槍實彈”綜合競技比拼的勝利。奧運會是國際盛會,更是實戰化網絡攻防競技場,歷屆奧運會都遭受了網絡攻擊,這類攻擊往往出于政治目的、經濟利益、間諜活動或其他目的訴求,攻擊者的背后往往具備雄厚的資源支持,具備嚴密的組織配合、具備強大的破壞工具,2016年里約奧運會、2018年平昌冬季奧運會都有非常密集的網絡攻擊行動,2020年東京奧運會共遭遇約4.5億次網絡攻擊,東京奧運會官網等網站曾癱瘓1小時。
為做好冬奧網絡安保工作,奇安信打造了全維度管控、全網絡防護、全天候運行、全領域覆蓋、全“兵種”協同、全線索閉環的“六全防護體系”,同時,打破了一直以來由外國網絡技術公司壟斷奧運網絡安全保障的局面。冬奧網絡安全保障的實戰經驗、技術產品和模式,形成大量的冬奧遺產,對于推動我國網絡空間安全保障能發揮重要作用,也會對以后全球網絡空間安全保障提供可借鑒的中國經驗和中國方案。
一是多級多部門聯動、快速響應,標準化、流程化的網絡安保“中國制度”。北京冬奧組委會首創了“1+3”國家級指揮體系,中央網信辦設置總指揮部,公安部、工信部、奧組委設置分指揮部架構對所有場館和涉奧場所和設施的網絡安全事件分析研判。此外,由獨家網絡安全贊助商制度,重大活動和關鍵信息基礎設施網絡安全保護的標準體系、運行體系的建立也屬中國首創。
二是用“中國產品”建設奧運網絡安保體系。以“一中心兩體系”為核心的內生安全系統、“六全”網絡安全保障體系……中國自主研發的網絡安全產品被運用到場館網絡安全等8大防護工程中,12個競賽場館、26個非競賽場館等地的超過萬臺終端都被“中國產品”所保護。
三是具有獨立知識產權的“中國技術”提供關鍵支撐。為應對冬奧期間來自境內外的網絡攻擊,技術體系全部自主攻堅,即項目團隊研發出基于指令執行序列檢測技術的新一代安全引擎天狗,不僅能防護,還能反向追蹤定位攻擊者;首次應用于國家級態勢感知指揮平臺的大禹平臺,綜合解決安全防護、資產管理、數據治理等問題。首次在特大型重保活動中落地內生安全情報解決方案,實現情報生產、實時檢測、分析協同、研判溯源,為網絡安全提供強大支撐。
四是建設最高標準、最嚴要求的網絡安全“中國服務”體系。在各賽事場館信息系統進行7x24小時不間斷的全生命周期保障,建立三道防線自查機制確保自身安全性;聯合數十家中央企業,打造由300名網絡安全專家組成的“央企網絡安全救援隊”,保障國家關鍵信息基礎設施在賽期的安全運行;招募數百名“冬奧網絡安全衛士”,作為冬奧會網絡安全“測試員”和“情報員”,協助查找漏洞。多方合力共同打造網絡安全“中國服務”新標桿。
四、用冬奧網絡安保“中國模式”保障城市關基安全
根據烏克蘭的失敗教訓和北京冬奧會的成功經驗,結合奇安信在長沙等城市網絡安全工作的實踐,牢牢把握網絡安全面臨的新形勢、新任務、新要求,堅持高標準、嚴要求、硬約束,加強城市運行過程中的動態、持續、有效的網絡安全感知能力、管控能力,應急能力、防護能力是提升城市網絡安全“免疫力”的必由之路,我們認為城市級別的網絡安全工作需要建設城市網絡安全運營中心,統一進行網絡安全的規劃、設計、建設和運營工作,才能確保城市的網絡安全。主要工作內容如下。
(一)強化領導、高效管理。
組建“數字城市網絡安全領導工作組”,市領導牽頭,建立全市網絡安全協調推進機制,督導落實全市網絡安全工作責任制,統籌全市網絡安全工作部署,強化全市網絡安全應急協調處置,深化各級部門、機關單位、企事業單位網絡安全管控要求;打造“全層面管控、全網絡防護、全領域覆蓋、全周期保障、全線索閉環、全兵種協同”的“六全”網絡安全防護體系。
(二)體系建設、集約運營
建設數字城市網絡安全運營中心,由一個領導廠商牽頭負責,統一組織工作;搭建城市一體化安全運營組織團隊。工作內容要覆蓋城市中所有關鍵信息基礎設施和對應單位的應用、網絡、終端等信息化資產;構建技術、管理、運營三位一體的網絡安全綜合治理,形成“防御-檢測-響應-預測”的彈性安全防護體系,保障城市網絡安全健康。
(三)統籌規劃、整體管控
建設城市一級、行業二級、政企單位三級的城市三級聯動網絡安全應急指揮與運營中心,實現安全數據和服務資源的統一管理和調度;全面感知城市的整體網絡安全運行狀態、網絡安全態勢、對網絡安全風險進行全面監測預警,為政府、公共服務、關鍵基礎設施等業務安全運行提供一體化網絡安全運營保障。功在“平時”,用在“戰時”,看得到的是作戰效果,看不到的是作戰準備。
從實戰出發,統一設計和部署實戰演習、平戰結合,提供攻擊隊,模擬APT攻擊、漏洞攻擊、釣魚攻擊、內網滲透,不限定攻擊路徑和手段,以不采用破壞性攻擊為底線,以系統提權、控制業務、獲取數據為目標,評估過程模擬入侵殺傷鏈,深入評估北京市整體安全防護的短板。
(四)摸清家底、心中有數
利用安全情報賦能城市安全體系,運用網絡空間信息測繪技術,摸清城市資產家底。周期性開展網絡空間信息測繪,梳理智慧城市完整數字資產清單,多維度統計資產分布信息、多層次展示基本屬性信息、多方位支撐資產管理分析。持續跟蹤資產的數字足跡、資產的變更狀態和軌跡。建立城市網絡空間數字資產圖譜、風險暴露面圖譜,持續漏洞補丁信息研判,夯實城市安全體系基礎。
面向城市的信息資產,利用漏洞情報全生命周期管理方法,開展持續性技術研究與判斷,強化漏洞情報采集手段、深化漏洞情報分析能力、優化漏洞情報預警機制。針對缺乏補丁、無法安裝補丁的資產,研究漏洞緩解措施方法,通過最優方案修復各類信息資產漏洞,鞏固資產基礎安全能力。匯聚多源威脅情報數據,提升城市安全檢測能力。通過多種途徑收集威脅情報,運用大數據技術對威脅情報信息匯總和分析,研判得出高價值威脅情報告警。持續優化和迭代威脅情報信息,全面提升城市網絡安全檢測能力。
(五)實戰檢驗、強化防線
加強攻防對抗筑牢城市安全防線,結合常態化攻防實戰手段,檢驗網絡安全防護成效。開展城市重點行業和部門常態化網絡安全檢查,促使責任單位網絡安全綜合考核,提升責任人對網絡安全重視程度,檢驗網絡安全建設成效。定期組織責任單位實戰化攻防演習和紅藍對抗,以攻擊者視角檢驗責任單位的安全體系有效性、及時性、可靠性。增強惡意攻擊對抗能力,提升安全體系處置水平。通過網絡流量、告警事件的綜合研判,明確網絡安全威脅的攻擊來源、攻擊手段。采用人機結合的方式,分析、挖掘攻擊鏈條,模擬還原網絡攻擊現場,輔助網絡攻擊事件定性。通過統一收集、集中分析的方法,對惡意攻擊工具進行深度挖掘并掌握關鍵信息。匯總攻擊手段和攻擊工具的分析成果,同步至城市網絡安全體系的各級責任單位,提升整體安全體系的處置水平。
強化潛在攻擊者的發現手段,提高網絡安全預警能力。確定需重點關注的攻擊者(組織)名單,持續跟蹤攻擊者(組織)發布的攻擊動態,識別攻擊者常用攻擊手段和攻擊工具,面向潛在高風險資產進行針對性布防,強化網絡安全防控能力。針對潛在攻擊者,對其網絡行為全方位重點監控,利用內部生成、外部采集的情報信息,通過追蹤溯源、攻擊鏈還原手段,完善潛在攻擊者的信息拼圖。
(六)智能分析、精準決策
實現智能決策提高城市安全效能,基于網絡安全數據分析,輔助關鍵決策。采用大數據技術,對不同來源的安全數據進行針對性分析挖掘。實時掌握網絡攻擊情況、攻擊手段、攻擊目標及攻擊結果,精確定位網絡安全隱患、問題、風險等信息。通過持續性的數據收集與比對,形成趨勢性分析結果和合理性決策判斷,為決策者提供借鑒依據。構建信息共享協同能力,促進網絡安全聯防聯控。
建立城市網絡安全信息共享機制,針對重大突發事件、安全事件、應急處置案例等內容,明確網絡安全事件對內、對外發布規則、發布對象、發布范圍、發布內容。構建安全可視化能力,展示城市網絡安全態勢。采用可視化技術和地理空間信息資源,實時對重保資產數據、威脅攻擊數據、安全事件處理數據進行綜合評估,為決策者提供實時預警展示、安全事件展示、管理評價展示、資產態勢展示等多維度、多視角的內容,全方位洞察城市安全態勢。
(七)強化技能、擴充人才
加強網絡安全建設資金的集約化管理與使用,提高網絡安全建設投入,確保資金有效運轉,推動網絡安全實戰化的人才建設和培養體系,推動本地區高校,建設網絡安全專業學科,并于城市網絡安全運營中心緊密合作,共同培養實戰型人才。建設網絡安全展示科普示范體驗基地,利用實體場地資源廣泛開展網絡安全教育、公益活動,提升廣大民眾整體的網絡安全意識和認知水平。
關于作者
張龍 奇安信集團副總裁
京公網安備11000002002064號