智慧城市是基于高度發達的計算機技術、網絡技術而構建的新型城市。它運用物聯網、云計算、大數據、空間地理信息集成、人工智能等一系列新一代信息技術促進城市規劃、建設、管理,以及服務。越來越多的智能家居、智慧醫療、智能交通、智慧社區等應用紛紛落地。
伴隨著“互聯網+”戰略的推進,我國的智慧城市建設正在加快落地的步伐。智慧城市建設的熱潮正在席卷全球,我國的智慧城市試點規模不斷擴大。從目前的應用上看,智慧城市正逐步克服數據在集中化、協同化等方面的技術難題,智慧城市的藍圖已清晰可見,但惡意竊取數據、對設備的惡意攻擊等問題也隨之而來。
國家互聯網應急中心公布的第23期網絡安全信息與動態周報顯示,我國境內感染網絡病毒主機數量達到93.3萬,同比增長19.5%,境內被篡改網站總數3112個,同比增長4.9%……還有其他一些安全機構和安全公司發布的安全報告。從這些安全機構和安全公司發布的安全報告(見文末安全報告)中我們可以看出,在互聯網時代,這些傳統的網絡安全威脅極有可能逐步滲透入智慧城市的建設中。與“互聯網+”相關的信息安全風險也在逐步增加,行之有效的信息安全策略正在逐步受到關注。
智慧城市建設涵蓋的行業眾多,電力、交通、醫療等領域均承載著大量的敏感信息,智慧城市所面臨的網絡安全風險,不再僅僅是信息泄露、信息系統無法使用等問題,而是會對現實世界造成直接的、實質性的、危害生命安全的影響。這些涉及個人、企業、政府的敏感信息一旦泄露,將對公民個人權益、企業商業利益、國家信息安全帶來不可估量的危害。因此,應妥善協調智慧城市發展與敏感信息保護,積極探索新形勢下數據共享與信息保護之間的關系,構建安全、可信的智慧城市健康發展環境。
信息和數據安全引各路英雄競折腰
2016年首都網絡安全日和網絡安全博覽會活動雖然已經落幕,但其展覽內容令人印象深刻,很多案例與大眾自身利益息息相關。不論老幼婦孺,都能夠從中了解一些網絡安全知識,確保日常生活中上網行為安全,不僅如此,很多工控安全產品也成為了本次活動的亮點。此次博覽會期間,組委會還舉辦了政府與網絡安全論壇,該論壇以“積極防御、主動安全”為主題,圍繞政府網絡安全、大數據安全、智慧城市安全、云計算安全等內容,邀請中國工程院院士沈昌祥、倪光南等專家做精彩報告。博覽會除吸引了百度、奇虎360、金山等一大批國內知名互聯網企業參展外,還吸引了眾多在安全領域頗有建樹的企業參展。參展產品涉及個人終端、態勢感知、工控,以及SOC安管平臺等。
作為山西參展企業,山西百信信息技術有限公司在此次展會上發布的產品主要包括兩大系列七款產品:其一是可信計算系列,包括采用TPCM可信PCIe卡的可信安全計算機、采用TCM可信模塊的可信安全計算機和基于固件技術和可信技術的可信安全計算機;其二是安全系列,包括基于龍芯3B1500的安全計算機、基于龍芯3A2000的安全計算機、基于龍芯3B1500的安全服務器,以及和合作伙伴北京安普諾信息技術有限公司共同開發的懸鏡Linux服務器防黑加固平臺。公司技術總監唐道光表示,公司可信與安全系列產品采用自主知識產權芯片和自主知識產權操作系統,結合具有自主知識產權的數據庫和中間件,可滿足政府和企業的等級保護、分級保護信息系統的要求。
而北京匡恩網絡科技有限責任公司則展示了便攜式、可移動的工控安全威脅評估平臺。平臺遵循國際、國家和行業標準,形成了多套具備嚴格理論依據的評估準則;通過多維度的評估分析方式(即威脅分析、資產分析、流量分析),全面滿足工業現場風險評估的需求,高效快捷地發現工控系統中存在的安全隱患,產生工控系統網絡安全風險評估報告,提出有針對性的、系統性的完整解決方案。該平臺可廣泛應用于電力、石化、軌道交通、冶金、煙草、煤炭等重點行業,有效地保障重點行業企業工控系統的安全運行,降低各類風險發生的幾率,提高了工控系統的安全可靠性和工業基礎設施應對網絡攻擊的能力,避免因工控安全事件影響企業安全生產,進而危害國家安全和社會穩定。
此外,筆者還在該博覽會上看到了來自于威努特與東北大學聯合研發的“諦聽”工業網絡空間安全態勢感知平臺。態勢感知平臺能夠持續地監測來自于互聯網的攻擊、系統漏洞、網站安全狀況、僵尸木馬蠕蟲等不安全因素,從而掌握網絡安全隱患和實時了解攻擊態勢,并及時向有關部門預警通報監測到的網絡威脅活動,為追蹤溯源提供線索。而啟明星辰也在此次博覽會期間正式啟動了“泰合安全威脅分析合作計劃”,向在安全威脅分析領域具有獨特優勢的廣大安全廠商開放泰合SOC安管平臺的南向和北向數據接口,其第一批合作伙伴包括烽火臺威脅情報聯盟、諾恒信息、天際友盟和微步在線。
從這次博覽會活動我們可以看出,網絡安全不僅涉及個人生活,而且還涉及國家安全。這已經引起了國家相關機構的重視,并且已經開始了相關的政策制定工作,安全解決方案提供商也躍躍欲試,積極研發。安全業界(政府和安全解決方案供應商)多次進行溝通,研究更有效的網絡安全和信息安全技術,探討如何完善有關網絡安全、信息安全等領域的技術、標準、法規。
時隔一個月,2016中國網絡安全年會和2016中國智慧城市數據安全與產業合作高峰論壇分別在成都和貴陽兩地舉辦。前者主要通過“網絡安全威脅情報”、“網絡安全人才培養”、“個人隱私保護與數據安全”、“移動互聯網安全生態”、“漏洞安全及價值秩序”、“CNCERT-CIE網絡安全學術論壇”等分論壇,交流網絡安全工作新趨勢、新問題、新思路,展示網絡安全研究最新成果,分享網絡安全工作的最佳實踐和挑戰;后者主要圍繞智慧城市數據安全主題,探討大數據時代智慧城市發展的新觀點、新趨勢,以及相關政策、標準、法律規范等,為智慧城市的數據安全出謀劃策,同時為智慧城市數據安全領域新技術、新成果、新產品提供展示平臺。
在中國智慧城市數據安全與產業合作高峰論壇上,亞信安全業務發展總經理童寧提出了“網絡空間平安城市”理念,并強調要將網絡安全防護系統納入到智慧城市管理系統之中。通過列舉國家互聯網應急中心公布的第15期網絡安全信息與動態周報中的一系列數據,童寧表示:“這一連串觸目驚心的數字,暗示著智慧城市建設中存在的巨大危機。例如,通過信息安全漏洞,黑客可能會攻擊交通、水利、電力等基礎設施系統,造成經濟損失、社會秩序混亂乃至威脅國家安全,智慧城市的建設自然會受到影響。”他認為,平安城市不僅僅是指治安管理、災難預警、安全生產、社會監控等城市物理空間安全,同樣也應該指網絡空間的安全性。而目前我國城市級網絡空間安全管理的現狀不容樂觀,其問題突出體現在缺少城市一級的總體安全態勢監控、對公眾網絡安全意識教育投入不夠、網絡安全人員培養體系缺乏、網絡安全管理邊界對象不清晰等。這些問題導致城市網絡安全管理存在著一些漏洞,危險容易乘虛而入。
網絡和信息安全威脅日益復雜
6月15日,卡巴斯基公布了一個全球性的服務器訪問權限販賣黑市。該黑市已販賣超過7萬臺被感染的服務器的訪問權限,其中最低售價僅為6美元。
根據目前掌握的數據顯示,該黑市2014年開始營業,并在2015年快速增長。到2016年5月,該黑市共有來自174個國家的70,624臺服務器在售,由416名不同的銷售商提供。其中,受影響最嚴重的十個國家分別為:巴西、中國、俄羅斯、印度、西班牙、意大利、法國、澳大利亞、南非和馬來西亞。
該黑市是一種典型的新型網絡犯罪黑市。這種黑市組織嚴密,從入門級別的網絡罪犯到APT(高級可持續性威脅)組織都可獲取到快捷、廉價且易于使用的合法機構基礎設施的訪問權限,令網絡犯罪行為更隱蔽,潛伏時間更長。
卡巴斯基實驗室安全專家近期調查了這個專供網絡罪犯購買和販賣被感染服務器訪問權限的全球性論壇。
服務器在智慧城市建設中將被大規模運用,有被攻擊的可能性。常見的對服務器的攻擊形式有兩種APT攻擊,而對網站實施攻擊的手段目前主要為DDoS攻擊。今年5月初,黑客組織“匿名者”向全球央行“宣戰”。希臘塞浦路斯的中央銀行(Centralbank.gov.cy)已經成為這起大戰的首個“犧牲品”,其銀行系統早些時候被DDoS攻擊下線至少35分鐘。
亞信安全技術總經理蔡昇欽指出:“匿名者的攻擊行動往往出于政治性目的,他們通常使用doxes、DNS攻擊、丑化、重定向、DDoS攻擊、數據庫資料泄露等攻擊手段,破壞攻擊目標的網絡及數據。更大的威脅在于,黑客很可能采用緩慢滲透的方式來侵入防護嚴密的目標,這種高級持續性威脅(APT攻擊)不僅防范難度高,而且破壞力更大。”
如果說攻擊服務器是要竊取企業或機關的重要數據的話,那么攻擊個人終端產品的勒索模式則更令人氣憤。黑客可能會選擇中小企業終端設備下手。這種網絡釣魚等欺詐模式出現的頻率越來越高,在線金融威脅正在變得更為多樣,數量也持續增長。卡巴斯基實驗室和B2B International最近進行的一項研究顯示,48%的消費者曾經遭遇過在線欺詐,目的是欺騙用戶,讓用戶泄露自己的敏感信息和金融信息,以此獲利。調查結果顯示,11%的用戶由于遭遇在線攻擊而損失過錢財。
在為期12個月的調查期限內,在受訪者中,幾乎有一半的互聯網用戶都遭遇過金融威脅。這些威脅包括收到可疑的聲稱是來自銀行(22%)的電子郵件或是來自購物網站(15%)的電子郵件,還有要求用戶提供金融數據的可疑網頁(11%)。
遭遇金融威脅后,6%的受調查者表示由于在線欺詐,損失過錢財,還有4%通過金融組織泄露過個人數據,造成過損失,3%的用戶遭遇加密貨幣(例如比特幣)或電子貨幣基金被盜。整體來看,全球用戶中,有11%由于遭遇在線威脅,造成資金被盜。
研究發現,遭遇損失的用戶中,平均損失約為283美元,但是約五分之一(22%)的受損失用戶損失超過1,000美元。遭遇損失的用戶中,只有約一半(54%)采取措施追回了自己的損失,還有約四分之一(23%)的用戶沒有采取任何措施彌補損失。
以上針對服務器的攻擊和網絡勒索等事件僅僅是網絡和信息安全事件中的冰山一角。由于云計算技術將廣泛應用于智慧城市中,而新興的Docker容器技術正在被很多單位應用于自身云平臺建設中,這種容器技術也存在漏洞,并非完全安全可靠。
近期網上曝出多起通過利用Docker Remote API未授權訪問漏洞,獲取代碼或者獲取被攻擊者服務器root權限的安全事件。啟明星辰天鏡脆弱性掃描與管理系統V6.0目前已經支持對該漏洞進行檢測。啟明星辰提出針對此的修復建議:首先,使用TLS進行認證,防止Docker節點的2375端口被未授權訪問;其次,對服務器2375端口進行嚴格的訪問控制,禁止公網地址訪問2375端口,只允許授權的地址對2375端口進行訪問。
威脅形式層出不窮,幾家安全分析機構和安全解決方案提供商近期發布了幾個安全趨勢報告,報告展示了已經出現的和正潛伏在公眾身邊的安全威脅。本文文末節選了部分報告內容供讀者參考。
智慧城市建設成果與問題并存
在2016中國智慧城市數據安全與產業合作高峰論壇上,還發布了由工業和信息化部電子科學技術情報研究所編著的《工業和信息化藍皮書:世界網絡安全發展報告2015—2016》。藍皮書指出,在中國,智慧城市建設工作也正在如火如荼地全面鋪開。截至目前,中國的智慧城市試點已接近300個,成果顯著,但如前文所述,傳統網絡和信息安全威脅正逐步滲透入智慧城市的建設過程中,網絡和信息安全工作亟待全面跟進。
在智慧城市建設中,通常將智慧城市劃分為感知層、通信傳輸層、應用層、智能分析等層面。這幾個層面哪個層面出現問題都有可能造成城市管理混亂,輕則數據泄露,重則事故頻發。智慧城市的安全風險又不同于傳統信息安全風險,每個層面都存在著安全風險。
在感知層面上,可能存在以下三種風險。首先是許多感知設備通常處于無人值守狀態, 不法分子可以直接使用物理手段將其破壞,使得智慧城市信息感知層癱瘓。其次是不法分子可能通過特殊手段獲得感知設備的存儲密碼和感知的數據,破壞感知器,癱瘓感知層,或者竊取數據。最后是通信資源可能耗盡(IP地址不足)、選擇性轉發攻擊、節點干擾攻擊、數據注入或篡改攻擊、蟲洞攻擊、去同步化攻擊、重放攻擊等。任何一種攻擊都會使得智慧城市信息感知層感知設備被控制或無法工作。
在數據傳輸層面上,針對網絡的攻擊更是花樣繁多:有針對接入設備的認證攻擊、有針對系統和服務器的分布式拒絕服務攻擊(DDoS)、有針對網絡入侵檢測系統的攻擊、有針對信息加密的攻擊等。
在應用層面上,存在破壞數據融合的攻擊、篡改數據的重編程攻擊、錯亂定位服務的攻擊等。此外,以往缺乏有效的平臺對智慧城市里的各種終端設備進行統一管理。幸運的是,目前已經有多款云運維管理平臺面世,比如新華三的綠洲平臺,可以為用戶提供云端統一管理。當然,還有一個更重要的問題是,在操作系統層面,缺乏有效的安全策略,這會導致機密信息被泄露、代碼被非法篡改等。除了新華三綠洲平臺外,還有一些運維管理平臺比較重視安全策略,可為客戶提供較為安全的綜合安全管理平臺,比如啟明星辰的SOC安管平臺。
在其他層面上,傳統安全威脅在智慧城市中會被不斷地放大。首先是云服務可能存在漏洞,缺乏完善的安全策略,黑客有機可乘。其次是除了技術不足導致的數據泄露外,還有一些是由于內部人員的惡意泄露行為導致的。
讓智慧城市智慧且安全
目前,我國信息安全標準已經正式發布和在研的有近300項,專門針對智慧城市信息安全的標準目前還有一些在研的包括物聯網安全標準、傳感網安全標準、云安全標準、大數據安全標準等,距離形成完善的智慧城市信息安全標準體系,保障智慧城市基礎設施,提高智慧城市信息安全技術防護和管理水平仍略顯不足。
由于智慧城市信息安全標準的不完善,因此針對智慧城市信息安全的檢測和認證工作尚無法全面開展。針對智慧城市信息安全的檢驗檢測技術、認證認可技術和有效性保障技術與方法相對還有一些缺乏,很多不合安全標準的產品和方案都可投入智慧城市建設中,帶來諸多安全隱患,這或許會導致安全事故的發生。這需要一步步完善,在實踐中改善。
智慧城市的建設是一個復雜的系統工程,對于信息安全保障系統的建設而言,需要以“保護業務的機密性、完整性和可用性”為目標,這包括物聯網接入的鑒別和訪問授權、控制機制;接入訪問的檢測與控制機制;數據的分級標記與分發機制;數據的完整性校驗機制;計算資源的分配與監控機制等。有一些網絡產品解決方案供應商已經提出了一些接入安全解決方案,比如飛塔、銳捷等廠商。
這些信息安全產品需要具備哪些安全技術才能稱之為安全產品?首先,在信息技術產品中,需涉及以下安全技術,其中包括網管安全、服務器安全、路由器安全、交換機安全、網關安全、網絡協議安全、電磁信息產品安全等。其次,還需要專門為增強信息系統的安全性開發安全產品,它們涉及的技術包括身份認證(虹膜身份鑒別、指紋身份鑒別等)、防火墻、入侵檢測、通用安全模塊等專用安全技術。
新技術推動了智慧城市的建設,最為典型的就是云計算技術的使用,特別是各種虛擬化技術的應用給用戶和安全解決方案提供商帶來了新的安全挑戰。尤其是網絡虛擬化,它使得業務流量和網絡設備在物理層面上不再可控,大量的訪問對安全監控平臺的性能要求更為苛刻。當大量數據在網絡上傳播時,一些隱私和機密數據該如何被加密傳輸。這需要云服務提供商和安全解決方案提供商合作為用戶提供創新的安全服務,對信息實施管理,并通過某種授權和控制手段,來限定哪些數據可以在哪些范圍內傳播。
除了技術角度外,從管理角度來看,有必要建立或健全安全管理體系和組織體系,完善安全運行管理機制,明確各職能部門的職責和分工,保障智慧城市的正常運行。此外,作為智慧城市整體規劃的一部分,要加強智慧城市建設過程中相關配套設施的建設,包括智慧城市中政府信息系統、民生和城市公共服務系統,增強其安全防護能力。
當然,智慧城市的信息安全保障,不僅僅是技術和管理層面的問題,還牽扯到立法、公眾意識、技術標準等多個層面。目前,在信息共享、資源整合、標準統一、法規等方面還存在問題,需要進一步研究與探索,有關部門的立法工作也在緊鑼密鼓的展開。例如,近期,由工業和信息化部指導,中國通信企業協會、中國信息通信研究院主辦的中國通信企業協會信息通信法治工作委員會成立大會順利召開,大會探討了在信息化時代,如何完善信息化標準和制訂相關法規的問題。
智慧城市,既要智慧,也要安全。
鏈接 亞信安全2016年第一季度網絡安全威脅報告節選
上文中的一些安全威脅來自于一些第三方機構或安全解決方案提供商的安全報告,某些安全問題在智慧城市建設中仍會存在,并且會由于“蝴蝶效應”被放大,產生不良后果,以下內容節選自《亞信安全2016年第一季度網絡安全威脅報告》,用以引起讀者注關注。
2016年第一季度安全威脅
本季度安全警示:勒索軟件
1.本季度亞信安全病毒碼新增特征約21萬條。截至2016年3月31日病毒碼12.436.60包含病毒特征數約434萬條。
2.本季度亞信安全客戶終端檢測并攔截惡意程序約17,030萬次。
3.本季度亞信安全攔截的惡意URL地址共計306,742次。
本季度熱點話題為勒索軟件病毒。本季度勒索軟件病毒在全球爆發,已經成為威脅企業安全的頭號病毒。給企業帶來巨大災難的同時,卻給攻擊者帶來巨大的收益,因其使用比特幣進行交易,很難追蹤。FBI建議感染勒索軟件的用戶通過支付贖金進行解密,目前來看,即使支付贖金也不一定能保證可以完全恢復被加密的文件。亞信安全提醒用戶,切勿打開來歷不明的電子郵件,運行其附件。
2016年第一季度病毒威脅情況
在2016年第一季度新增病毒種類中,新增數量最大的病毒類型為TROJ(木馬病毒)類型。本季度新增木馬病毒特征共計365,209個,和上季度相比數值略有增加。長期以來,木馬一直是中國地區捕獲數量最大的病毒類型,其占比遠高于其它類型病毒,這是因為此種病毒通常以竊取攻擊目標的賬戶密碼等敏感信息為目的,為病毒制造者帶來巨大經濟回報。
與上一季度相似,在TROJ (木馬病毒)之后,增加數量較多的病毒類型依次為BKDR(后門程序)、TSPY(木馬間諜軟件)、WORM(蠕蟲病毒)、JS(JavaScript病毒)和HT(黑客工具)。本季度新增病毒種類排名無明顯變化。
其中JS(JavaScript病毒)、HTML(HTML及ASP病毒)類型病毒與網頁掛馬有關,網頁掛馬是攻擊者常用攻擊類型。一些正常網站由于自身存在的缺陷漏洞,導致被入侵者掛馬,之后瀏覽被掛馬網頁的訪問者就會在毫不知情的情況下自動下載惡意文件到本地。
以HT_打頭的病毒類型標記為“黑客工具”的檢測類型繼續上榜。網絡黑市上大量工具公開售賣,獲取途徑越發簡單,造成當前這類病毒檢測數量居高不下。對于企業來說,及時為系統和程序打上漏洞補丁、采用強密碼賬戶,都是有效防止外部攻擊的方法。
2016年第一季度Web安全威脅情況
在2016年第一季度的數據中,通過Web傳播的惡意程序中,APK類型的可執行文件占總數的40%,所占比例比上一季度42.5%的占比有所下降。.APK文件類型是通過Web傳播的主要文件類型之一,針對此類文件,我們建議企業用戶在網關處控制特定類型的文件下載。
本季度通過Web傳播的惡意程序中,.EXE文件所占比例居高不下,此外.ZIP類型的文件位居第三位。惡意軟件域名使用.COM、.CN、.NET的域名的站點占總數94.00 %。其中.COM域名的惡意網頁數量最多。
2016年第一季度Web釣魚網站仿冒對象分析
從中國反釣魚聯盟得到的數據:2016年1月至2016年3月處理釣魚網站共計46,562個。2016年2月釣魚網站數量大幅減小,推測是因為春節的原因。3月釣魚網站又大幅增加,在所有釣魚網站中,“支付交易類”和“金融證券類”釣魚網站所占比例最高,占總數的99%以上。其中更以電子商務網站和銀行為仿冒對象的釣魚網站占到絕大部分。第一季度的釣魚網站域名中,主要的域名來自于.COM、.CC、和.TK域名,其占到本季度釣魚網站數量80%以上。
京公網安備 11010502049343號