【IDCC2019】国家互联网数据中心产业技术创新战略联盟杨志国：数据中心网络安全形势及防控措施(3)

高速攻击的手法如图这么多，针对一点，攻破一个突破口再捞里面的东西，攻击手段和逻辑特别的严谨，以窃取核心资料主要目的，不管是钱还是个人机密，所以有一位部里的同志把军事机密带到家里来，一上网先注入一个木马进去，等一上网马上遥控病毒操纵传播，把机密拿走了。攻击的过程和要点，是告诉大家怎么攻击的，是哪个方向，到底核心资产在哪个地方，主机部署在哪儿、网络在哪儿，它很清晰，以多种手段、多个方向进行攻击。    

APT威胁与传统威胁的差异是哪些？传统的机会主义者，APT是全球性网络有组织犯罪，刚才说了黑客公司、黑客个人、国家行为是不一样的，他们攻击对象有军工、电力、石油、交通、金融、文化等。    

中国是APT攻击的组织比较多，中国有38个APT组织，多个省份都有，特别在东南沿海一带，攻击的对象多是政府、金融、能源。所以威胁无处不在，我们企业怎么做好防护措施？攻击者是哪些？攻击手段是哪些、攻击目标是哪些？从国家层面讲就是经济命脉和政治命脉，香港事件很多都是连这些网络。印度这次爆发的大游行，穆迪没办法了就关掉互联网，互联网太厉害了。网络攻击主要来源、方式与目的，可以看到攻击方式、目的是哪些，这是通过国际信息系统审计年会统计的2017年的数字。    

我讲一个典型的钓鱼攻击，水坑攻击，根据目标寻找根据目标寻找网上访问的弱点，现在很多人下载视频网站，下载了就中毒了，所以到现在个人防护是非常重要的，别去访问一些网站，所以我的电脑很少中病毒，因为非法网站不去访问。    

还有典型的分布式拒绝服务的攻击，根据目标，现在有分布式的，大量攻击目标，有些是正常得有些非正常的攻击目标。    

典型的SQL注入攻击，汽车牌照通过光学字符识别变成文本，插入交警的数据库，这个车执行删除命令以后就把车删掉了，通过这个手段把违章记录删掉了。  

网络安全上升至国家主权的高度，原来我们叫做海陆空天安全体系，现在多了一个空间是网络空间，网络空间安全上升为国家五大安全之一，国家已经正式把网络空间的安全上升为国家安全了。    

各国网络安全现状也不是非常好，我认为美国和中国安全受到的威胁是最大的，攻击的也最多，基本上这两个国家受到世界上包括俄罗斯、英国这些大的发达国家受到的攻击也多。魔高一尺道高一丈，我们国家开始制定《安全保护法》，特别是习近平总书记提倡以后，大量的网络安全的制度规范要求全都出台了，也就是说一个公司做网络产品的现在是阳光产业，安全是会永远存在的，所以做网络安全的应该是阳光产业，包括《网络安全法》的施行案例，现在国家网信办抓的很紧，抓的网络安全事件是非常多的，特别现在的大数据公司很多都开始跑路了，有些搞不下去了，因为大量的数据涉及到安全，一查数据是哪儿来的，现在都去买数据，买数据本来就是违法的，都是没有脱敏的数据。    

企业的防护措施；我们怎么办？企业怎么做到攻击者进不去，重要信息拿不到或者保密信息加密看不懂，或者系统和信息改不了，系统工作瘫不成，攻击行为赖不掉，采用“六不”原则管理整个网络系统。    

网络安全问题的成因咱们也知道，成熟期、漏洞期、资产、风险损失，根据侦查、制造、渗透、利用、木马、远程遥控、目标达成七步法我们做相应的防范路径，也就是说以前基本网络风险是很大的，通过采取措施把网络风险降到最小的范围，原来资产网络风险很大，通过采取措施以后把风险降下来，网络上没有风险是不可能的，危险是一直存在的。    

主要威胁的分类，按照20984信息安全风险评估规范分了一些类别，主要类别是哪些上面都告诉你了，包括管理漏洞、技术漏洞和漏洞库应该把它完善。    

网络安全的出发点一个是全面，第二是要深，第三是主动防卫，第四是数据驱动安全。实际上我们做过网络防范以后，光宽还不行还要深，还有安全主动防范很重要。    

具体的安全防范体系有哪些，管理技术，包括数据、应用、主机、网络类型都要照顾到，全方位的安全防护体系，安全组织要建立起来，现在很多单位还没有安全的安全组织，记得有些年成立了银行的“黑客部队”做安全的攻击，中国银行就有个技术安全管理团队有30多人，专门做银行内部网络渗透、网络跟进，对系统漏洞缺陷进行攻击弥补它的方向，包括制度、技术等等。    

这是一个整体的网络安全防护体系整体架构，左边的规范到中间安全技术再到右边的实施，这样建立一个安全管理体系。还有安全等级保护总体架构有哪些，这个大家都学过了，是等保的范围。安全等保主要要求有哪些？从数据安全、应用安全到社会安全、网络安全到管理安全等等全方位的安全，把这些建立起来以后特别是现在云技术的安全，现在到底安全不安全还没有体系出来，现在都注明安全，包括虚拟化的安全应该怎么做也需要讨论一下。    

企业网络安全法实施步骤有哪些，大家可以好好看一下。按照20080信息安全管理体系的要求，包括安全方针、安全组织、人类资产安全、访问控制安全、密码安全等等一系列的是否达到要求，参照SO27001标准做好等级安全防护，这跟国内20080是一样的体系建设。    

建立纵深主动安全防护体系，这个怎么做？防护时间、检测时间、响应时间应该是非常快速的，不能没有检测时间，像蠕虫来了之后大家都不知道，这是什么病毒，国家没有办法没有招术就造成大量的网络事件。这里讲银行的金库安全是什么决定的？还是防护、检测、响应三层次，所以银行金库防护好了，所有的事情都能检测到，第三是响应，根据这三个步骤，银行的安全就是“防护、检测、响应”六个字。    

安全—及时的检测和处理，我们对于所有渗透的事件及时检测到、及时处理这是很关键的，这里有个模型图，根据渗透多少时间发现，成功渗透到数据泄露多长时间，从成功泄露系统到恶意行为被发现，恶意行为发现到处置是多长时间，说的很清楚，及时检测处理，，缩短自由攻击时间，发现以后缩短自由攻击时间是很关键的，不能无限的放大，要缩短它的时间，防止他发现，要增加它的难度提高检测响应的速度，主动的防御。刚才讲纵深、主动的防御体系事前、事中、事后的安排，这个防御最前面的在网络，最高的在数据，这是主动的模型图，主动防御是识别、防护、检测、响应、调查、审计。保护的是数据。什么叫纵深防御？就像打仗一样的图一样，我们做网络防御像部队的纵深防御一样，一定要有个管沉地带，纵深防御的图大家知道，关键一点就是“信息资产”所以前面所有半月层通过5层才能达到“信息资产”，有没有这样的架构体系是很关键的。    

（编辑：ASP站长网）