已经持续数月的俄乌网络战给世界带来全新启示, 引发国家及城市网络安全建设理念的大转变。

国家、城市基础设施成为网络战的重点“打击对象”。利用网络攻击可以瘫痪对方军事指挥网络、破坏交通、能源、电力、金融等基础设施,甚至能达成不费一枪一弹赢得一场战争的目的。面对高密度、高强度的网络攻击, 我国城市网络安全同样不堪一击。

2022年北京冬奥会以“零事故”交上了网络安保答卷。作为一场网络安全“真枪实弹”综合竞技比拼的胜利, 北京冬奥网络安全保障的实战经验、技术产品和模式, 形成大量的冬奥遗产,对于推动我国网络空间安全保障能发挥重要作用,也会对以后全球网络空间安全保障提供可借鉴的中国经验和中国方案。

一、俄乌网络战态势研判:关基成为攻击重点

我们长期以来一直认为,网络攻击只是民族国家武器库的一部分,但此次俄乌军事冲突中,让我们第一次真正目睹了人类历史上首次公开、大规模的网络战威力。

网络战这种无硝烟的战争模式,给一个国家、一座城市带来的破坏,尤其对城市关键基础设施网络攻击, 已经开始左右地面战争的进程、甚至影响着战局的胜败。网络攻击不仅是获取情报,而且是瘫痪对方军事指挥网络,破坏交通、能源、电力、金融等基础设施的重要武器,甚至能达成不费一枪一弹赢得一场战争的目的。

(一) 网络战早已“不宣而战”

乌克兰从局势紧张开始时,大量的政府网站就已经瘫痪了,俄罗斯政府网站随后也连续遇到麻烦。可以说, _在这场军事冲突开始之前,双方的网络战就已经打响了。

乌克兰在2022年1月14日,70多个政府网站也遭到了网络攻击,导致大部分网站瘫痪。根据调查显示,乌克兰的外交部、教育部、农业部、国防部等网站遭到了严重的攻击,很多重要信息遭到泄露,并且黑客嚣张的在多个网站上发布“所有乌克兰的信息已经被公开,数据信息也不可能恢复,你们做好最坏的打算吧”。2022年2月15日,乌克兰再次遭遇到大规模网络攻击, 攻击对象涉及国防部、外交部、文化部和两个最大的国有银行等至少10个乌克兰官方网站,攻击方式采用的是分布式拒绝服务攻击。2022年2月24日,乌克兰国家紧急事务部门称,因为遭受网络攻击威胁,乌克兰已经切断互联网,全国境内无线和有线连接都将受限。与此同时,乌克兰多次发布网络招募令,吸引民间黑客加入, 抵御和反击俄方的攻击。美国政客也借此推波助澜。

俄罗斯在2月24~25日,俄罗斯国家媒体RT电视台两天内有几个小时网站无法访问。2月26日早上,克里姆林宫官网、俄罗斯外交部、红星电视台等多家俄罗斯网站处于不稳定状态,部分用户无法正常打开页面。

(二)国家、城市基础设施是网络战重点“打击对象”

网络战让夺取现代战争控制权的武器不再只是枪炮和子弹,而更可能是计算机网络里流动的比特和字节。没有传统战争的血雨腥风,也没有地理空间限制,网络能到达的地方,都可能是战场。在2022年2月24日, 俄罗斯正式向乌克兰宣战前,乌克兰已遭受3个波次的大规模DDoS网络攻击,每个波次攻击的重点也有不同。但总体而言,军政安全、能源、金融成为主要的目标对象,通过影响政府运行、经济运行秩序等方式,警示的作用明显。正式宣战后,协同传统作战力量,根据前期网络侦查,对乌克兰数百台计算机实施数据擦除攻击。同时,DDoS攻击造成大量乌克兰政府官方网站下线, 严重干扰乌克兰政府运作,并导致民众在战争初期对政府信任度下降;数据擦除攻击导致被攻击机构的技术和服务被破坏、拒止和降级;信息战行动利用乌克兰国家内部现有的分歧,诱导乌克兰民众反政府和反西方情绪;互联网连接破坏攻击导致政府和民众通信活动受到极大影响。

二、面对高强度网络战,我国城市网络安全同样不堪一击

本次高密度高强度的网络攻击,乌克兰显然无力应对。我们做个假设:如果我们的大中城市遇到类似强度的网络战打击,上百个关键信息基础设施(涉及政府、金融、运营商、互联网、能源、交通等)同时发生网络安全事故,我们今天的网络安全工作模式能否应对?我们不得不相信,答案是否定的。

目前,站在整体安全的角度,我们的任何一个城市中,网络安全的能力建设都是分散的,缺乏城市级别的视角统一规划、设计、实施和运营。一旦遇到网络战, 必然陷入兵力不足、各自为战的尴尬境地。当前国内城市普遍存在的一大核心问题是忽视了体现“执行效率” 的实战化安全运营机制,脱离了网络安全的持续运营, 再先进的安全技术产品、再完备的安全管控机制、投入再大建设的网络安全体系都无法发挥其应有的预期效果。网络安全不可能一劳永逸,因此需要一个统一的中心作为网络安全空间治理的抓手,统筹安全防护能力的部署、安全运营平台的建设、安全运营组织的架构、专业安全人才的培养,提升网络空间安全治理的效能。

三、从冬奥“零事故”看网络安全“中国模式”的关基保护经验

2022年2月20日晚,北京冬奥会随着冬奥火炬的熄灭落下帷幕。奇安信兑现了自己的承诺,以“零事故” 交上了2022年北京冬奥会的网络安保答卷,这是在面临紧张的国际局势、严峻的疫情防控、复杂的网络安全威胁情况下取得的胜利,更是一场网络安全“真枪实弹” 综合竞技比拼的胜利。奥运会是国际盛会,更是实战化网络攻防竞技场,历届奥运会都遭受了网络攻击,这类攻击往往出于政治目的、经济利益、间谍活动或其他目的诉求,攻击者的背后往往具备雄厚的资源支持,具备严密的组织配合、具备强大的破坏工具,2016年里约奥运会、2018年平昌冬季奥运会都有非常密集的网络攻击行动,2020年东京奥运会共遭遇约4.5亿次网络攻击, 东京奥运会官网等网站曾瘫痪1小时。为做好冬奥网络安保工作,奇安信打造了全维度管控、全网络防护、全天候运行、全领域覆盖、全“兵种”协同、全线索闭环的“六全防护体系”,同时,打破了一直以来由外国网络技术公司垄断奥运网络安全保障的局面。冬奥网络安全保障的实战经验、技术产品和模式,形成大量的冬奥遗产,对于推动我国网络空间安全保障能发挥重要作用, 也会对以后全球网络空间安全保障提供可借鉴的中国经验和中国方案。

一是多级多部门联动、快速响应,标准化、流程化的网络安保“中国制度”。北京冬奥组委会首创了“1+3” 国家级指挥体系,中央网信办设置总指挥部,公安部、工信部、奥组委设置分指挥部架构对所有场馆和涉奥场所和设施的网络安全事件分析研判。此外,由独家网络安全赞助商制度,重大活动和关键信息基础设施网络安全保护的标准体系、运行体系的建立也属中国首创。

二是用“中国产品”建设奥运网络安保体系。以“一中心两体系”为核心的内生安全系统、“六全”网络安全保障体系……中国自主研发的网络安全产品被运用到场馆网络安全等8大防护工程中,12个竞赛场馆、26个非竞赛场馆等地的超过万台终端都被“中国产品” 所保护。

三是具有独立知识产权的“中国技术”提供关键支撑。为应对冬奥期间来自境内外的网络攻击,技术体系全部自主攻坚,即项目团队研发出基于指令执行序列检测技术的新一代安全引擎天狗,不仅能防护,还能反向追踪定位攻击者;首次应用于国家级态势感知指挥平台的大禹平台,综合解决安全防护、资产管理、数据治理等问题。首次在特大型重保活动中落地内生安全情报解决方案, 实现情报生产、实时检测、分析协同、研判溯源,为网络安全提供强大支撑。

四是建设最高标准、最严要求的网络安全“中国服务” 体系。在各赛事场馆信息系统进行7x24小时不间断的全生命周期保障,建立三道防线自查机制确保自身安全性;联合数十家中央企业,打造由300名网络安全专家组成的“央企网络安全救援队”,保障国家关键信息基础设施在赛期的安全运行;招募数百名“冬奥网络安全卫士”,作为冬奥会网络安全“测试员”和“情报员”, 协助查找漏洞。多方合力共同打造网络安全“中国服务” 新标杆。

四、用冬奥网络安保“中国模式”保障城市关基安全

根据乌克兰的失败教训和北京冬奥会的成功经验, 结合奇安信在长沙等城市网络安全工作的实践,牢牢把握网络安全面临的新形势、新任务、新要求,坚持高标准、严要求、硬约束,加强城市运行过程中的动态、持续、有效的网络安全感知能力、管控能力,应急能力、防护能力是提升城市网络安全“免疫力”的必由之路,我们认为城市级别的网络安全工作需要建设城市网络安全运营中心,统一进行网络安全的规划、设计、建设和运营工作,才能确保城市的网络安全。主要工作内容如下。

(一)强化领导、高效管理。

组建“数字城市网络安全领导工作组”,市领导牵头,建立全市网络安全协调推进机制,督导落实全市网络安全工作责任制,统筹全市网络安全工作部署,强化全市网络安全应急协调处置,深化各级部门、机关单位、企事业单位网络安全管控要求;打造“全层面管控、全网络防护、全领域覆盖、全周期保障、全线索闭环、全兵种协同”的“六全”网络安全防护体系。

(二)体系建设、集约运营

建设数字城市网络安全运营中心,由一个领导厂商牵头负责,统一组织工作;搭建城市一体化安全运营组织团队。工作内容要覆盖城市中所有关键信息基础设施和对应单位的应用、网络、终端等信息化资产;构建技术、管理、运营三位一体的网络安全综合治理,形成“防御-检测-响应-预测”的弹性安全防护体系,保障城市网络安全健康。

(三)统筹规划、整体管控

建设城市一级、行业二级、政企单位三级的城市三级联动网络安全应急指挥与运营中心,实现安全数据和服务资源的统一管理和调度;全面感知城市的整体网络安全运行状态、网络安全态势、对网络安全风险进行全面监测预警,为政府、公共服务、关键基础设施等业务安全运行提供一体化网络安全运营保障。功在“平时”, 用在“战时”,看得到的是作战效果,看不到的是作战准备。从实战出发,统一设计和部署实战演习、平战结合, 提供攻击队,模拟APT攻击、漏洞攻击、钓鱼攻击、内网渗透,不限定攻击路径和手段,以不采用破坏性攻击为底线,以系统提权、控制业务、获取数据为目标,评估过程模拟入侵杀伤链,深入评估北京市整体安全防护的短板。

(四)摸清家底、心中有数

利用安全情报赋能城市安全体系,运用网络空间信息测绘技术,摸清城市资产家底。周期性开展网络空间信息测绘,梳理智慧城市完整数字资产清单,多维度统计资产分布信息、多层次展示基本属性信息、多方位支撑资产管理分析。持续跟踪资产的数字足迹、资产的变更状态和轨迹。建立城市网络空间数字资产图谱、风险暴露面图谱,持续漏洞补丁信息研判,夯实城市安全体系基础。面向城市的信息资产,利用漏洞情报全生命周期管理方法,开展持续性技术研究与判断,强化漏洞情报采集手段、深化漏洞情报分析能力、优化漏洞情报预警机制。针对缺乏补丁、无法安装补丁的资产,研究漏洞缓解措施方法,通过最优方案修复各类信息资产漏洞, 巩固资产基础安全能力。汇聚多源威胁情报数据,提升城市安全检测能力。通过多种途径收集威胁情报,运用大数据技术对威胁情报信息汇总和分析,研判得出高价值威胁情报告警。持续优化和迭代威胁情报信息,全面提升城市网络安全检测能力。

(五)实战检验、强化防线

加强攻防对抗筑牢城市安全防线,结合常态化攻防实战手段,检验网络安全防护成效。开展城市重点行业和部门常态化网络安全检查,促使责任单位网络安全综合考核,提升责任人对网络安全重视程度,检验网络安全建设成效。定期组织责任单位实战化攻防演习和红蓝对抗,以攻击者视角检验责任单位的安全体系有效性、及时性、可靠性。增强恶意攻击对抗能力,提升安全体系处置水平。通过网络流量、告警事件的综合研判,明确网络安全威胁的攻击来源、攻击手段。采用人机结合的方式,分析、挖掘攻击链条,模拟还原网络攻击现场, 辅助网络攻击事件定性。通过统一收集、集中分析的方法,对恶意攻击工具进行深度挖掘并掌握关键信息。汇总攻击手段和攻击工具的分析成果,同步至城市网络安全体系的各级责任单位,提升整体安全体系的处置水平。强化潜在攻击者的发现手段,提高网络安全预警能力。确定需重点关注的攻击者(组织)名单,持续跟踪攻击者(组织)发布的攻击动态,识别攻击者常用攻击手段和攻击工具,面向潜在高风险资产进行针对性布防,强化网络安全防控能力。针对潜在攻击者,对其网络行为全方位重点监控,利用内部生成、外部采集的情报信息, 通过追踪溯源、攻击链还原手段,完善潜在攻击者的信息拼图。

(六)智能分析、精准决策

实现智能决策提高城市安全效能,基于网络安全数据分析,辅助关键决策。采用大数据技术,对不同来源的安全数据进行针对性分析挖掘。实时掌握网络攻击情况、攻击手段、攻击目标及攻击结果,精确定位网络安全隐患、问题、风险等信息。通过持续性的数据收集与比对,形成趋势性分析结果和合理性决策判断,为决策者提供借鉴依据。构建信息共享协同能力,促进网络安全联防联控。建立城市网络安全信息共享机制,针对重大突发事件、安全事件、应急处置案例等内容,明确网络安全事件对内、对外发布规则、发布对象、发布范围、发布内容。构建安全可视化能力,展示城市网络安全态势。采用可视化技术和地理空间信息资源,实时对重保资产数据、威胁攻击数据、安全事件处理数据进行综合评估, 为决策者提供实时预警展示、安全事件展示、管理评价展示、资产态势展示等多维度、多视角的内容,全方位洞察城市安全态势。

(七)强化技能、扩充人才

加强网络安全建设资金的集约化管理与使用,提高网络安全建设投入,确保资金有效运转,推动网络安全实战化的人才建设和培养体系,推动本地区高校,建设网络安全专业学科,并于城市网络安全运营中心紧密合作,共同培养实战型人才。建设网络安全展示科普示范体验基地, 利用实体场地资源广泛开展网络安全教育、公益活动,提升广大民众整体的网络安全意识和认知水平。

关于作者

奇安信集团副总裁 张龙

声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。