1网络设备安全态势分析
近年来,网络及技术的演进持续影响网络设备,使设备呈现虚拟化、软件化、类型多样化、功能融合化等趋势。同时,各国接连发布网络安全相关法律法规及新的监管政策,加强对网络及网络设备的安全管理力度,对网络设备安全的发展趋势形成较大影响。
1.1新技术以及新应用不断影响设备形态和功能
5G、AI、SDN等技术催生新的设备类型和功能。随着5G技术的发展和成熟,会产生大量5G基站、5G终端、5G核心网设备等新型设备;随着篮球比分(AI)技术的广泛应用,已经产生了大量的智能音箱、智能家庭网关等智能设备;随着软件定义网络(SDN)相关技术的发展出现了白盒交换机、网络控制器等新型设备;网络功能虚拟化(NFV)技术则催生了大量软件形态的网络设备,包括虚拟路由器、虚拟防火墙等。物联网、工业互联网、车联网等新网络形态和应用场景提出新的设备功能需求。物联网、智慧城市等应用场景提出了NB-IoT、智慧路灯、智慧井盖等新的功能需求;工业互联网的蓬勃发展使工控交换机、工控防火墙等设备出现在工业控制系统网络中;车联网应用场景下,出现了车载以太网设备、V2X路侧设备以及各种传感器等新形态的网络产品;智能家居应用场景下,智能路由器、融合网关设备、智能插座、智能电视逐步走入千家万户。
1.2网络安全监管新趋势对设备安全形成较大影响
《中华人民共和国网络安全法》(以下简称《网络安全法》)已经于2017年6月1日起实施,与设备安全相关的配套制度也在不断完善,如网络关键设备与网络安全产品安全认证与安全检测制度。目前已经明确了设备和产品目录以及实施安全认证和安全检测的机构,相关国家标准尚待制定和完善。关于《网络安全法》中提出的网络安全审查,主管部门发布了《网络产品和服务安全审查办法(试行)》。关于数据出境安全方面,发布《个人信息和重要数据出境安全评估办法(征求意见稿)》。此外,《中华人民共和国密码法》《个人信息保护法》等网络安全相关法律已经提上了立法研究日程。
欧盟、美国等聚焦个人信息保护,对涉及个人信息的网络设备及其提供方提出新的监管要求。欧盟《通用数据保护条例》(GDPR)于2018年5月生效,并强制执行。GDPR被称为“史上最严”的数据保护法律法规,企业如违反GDPR条例的相关要求,处罚措施非常严厉,轻者,处以1000万欧元或者上一年度全球营业收入的2%,两者取其高;重者处以2000万欧元或者企业上一年度全球营业收入的4%,两者取其高。美国(加州)2018年6月通过并签署了《2018加州消费者隐私法案》,法案定于2020年1月1日生效,被称为“全美最严”网络隐私保护法。该法案要求掌握超过5万人信息的公司必须允许用户查阅自己被收集的数据、要求删除数据以及选择不将数据出售给第三方。
2网络设备安全威胁分析
2.1网络攻击趋于技术底层化和规模化
从网络攻击的发展趋势来看,网络攻击范围和目标不断扩大,采用的技术手段不断升级,产生的后果从破坏网络设施到影响国家政权。网络安全攻击最早针对个体的服务器或局域网,现在已有大量全球化规模的DDoS攻击网络,攻击目标也遍布世界各国。从攻击事件的性质上看,网络攻击已经从单纯的破坏进化到获取经济利益、国家情报甚至颠覆政权,Facebook公司泄露个人信息,这些包含个人信息的数据被分析利用导致影响美国大选就是一个典型的案例。
分析近年来的重大网络安全事件,均显示网络设备在网络安全攻防体系中的战略地位十分重要。2013年,斯诺登披露的“棱镜
计划”表明核心路由器等网络设备是实施网络监听的重要攻击目标。2015年9月国外安全公司FireEye发现针对路由器的植入式后门,涉及Cisco1841l/Cisco2811/Cisco3825路由器及其他常见型号。这个后门被命名为SYNKnock,可能是因为后门的网络控制功能(CnC)会通过一个特殊的TCPSYN包来触发。在乌克兰、菲律宾、墨西哥和印度这4个国家中至少有14个类似的植入后门在传播。2016年,美国和德国接连发生大规模断网事件,安全研究人员发现是由Mirai僵尸网络通过物联网(IoT)设备如网络摄像头、路由器、DVR、恒温器等展开一系列攻击导致的。
2017年至2018年,Intel公司接连被披露部分CPU产品存在安全漏洞,攻击者可利用漏洞实施攻击,获取核心内存里存储的敏感内容,比如访问到设备的内存数据,包括用户账号密码、应用程序文件、文件缓存等。由此可见,网络攻击不再聚焦在应用层,类似CPU等更加底层的组件也成为网络攻击者的目标。
2.2网络设备安全问题持续增长
中国信息通信研究院泰尔实验室NDVD统计数据显示,网络设备漏洞数量近年来增长迅速。究其原因,一方面是从2009年开始,移动互联网迅猛发展,网民数量也激增,几乎每个家庭都接入宽带互联网,家用路由器等网络设备数量飞速增长;另一方面是网络设备与通用IT设备存在显著差异,网络设备的使用周期长,自身安全防护能力弱,软件更新频次低,漏洞等遗留问题多,且安全问题易被忽略等,导致攻击者对网络设备攻击的技术难点降低、收益增高,由此对其关注度逐步提升。
2.3设备安全标准滞后于技术和市场
网络设备安全标准与新技术发展和市场需求存在明显滞后,路由器、交换机、服务器等网络关键设备现行部分安全标准已经超过10年未更新,难以及时覆盖新的设备类型以及新的安全技术和安全功能特性,与网络攻防技术的飞速发展相比,标准更新滞后,原有标准对设备安全要求偏低,导致设备整体安全水平不高。
近年来,针对物联网设备安全的攻击频发,包括前文提到的美国和德国接连发生的大规模断网事件,均与网关路由设备、摄像机等物联网设备相关,但目前尚无相关安全标准。
3网络设备安全发展面临的机会分析
3.1网络安全产业迎来大力发展契机
篮球比分总书记在2018年4月讲话中提出,“积极发展网络安全产业,做到关口前移,防患于未然”。网络安全产业发展被提升到新的高度,中央和地方持续加大对网络安全产业的支持力度。
工信部等四部门于2018年联合印发了《关于加快安全产业发展的指导意见》,意见提出,2020年,安全产业体系基本建立,产业销售收入超过万亿元。到2025年,安全产业成为国民经济新的增长点,部分领域产品技术达到国际领先水平;国家安全产业示范园区和国际知名品牌建设成果显著,初步形成若干世界级先进安全装备制造集群;安全与应急技术装备在重点行业领域得到规模化应用,社会本质安全水平显著提高。我国重点城市加快产业布局,推动网络安全产业集群化。工信部、篮球比分市决定共同打造国家网络安全产业园区;武汉市致力于打造网络安全领域的中国硅谷,正式启动国家网络安全人才与创新基地建设;四川省发布《信息安全产业发展工作推进方案》,推动实施“成都国家信息安全产业基地”的建设。
3.2法律法规及配套制度向纵深推进
落实《网络安全法》要求,将设备安全监管配套制度向纵深推进,对关系关键信息基础设施安全的少数关键、基础共性的设备进行重点监管,对全面促进网络设备安全发展,提升设备安全水平具有积极作用。
针对网络关键设备安全检测事项,2017年6月,四部委发布《关于发布网络关键设备和网络安全专用产品目录(第一批)》公告,明确路由器、交换机、服务器和PLC设备列入第一批网络关键设备目录。2018年6月,四部委发布《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,明确了中国信息安全认证中心、中国泰尔实验室等承担安全认证和安全检测任务的机构名录。
相关主管部门发布规定,落实网络产品与服务安全审查、关键信息基础设施保护、个人信息和重要数据出境、等级保护等方面的要求。主要管理文件包括《网络产品和服务安全审查办法(试行)》《关键信息基础设施保护条例(征求意见稿)》《个人信息和重要数据出境安全评估办法(征求意见稿)》《网络安全等级保护条例(征求意见稿)》等。
3.3团体标准凸显优势
国家标准和行业标准在保障网络安全方面发挥了重要作用。在当前网络安全攻防技术发展迅速,团体标准在适应新技术新产品、匹配市场需求方面凸显优势,对提升网络和设备安全水平可形成对国家标准和行业标准的有效补充。
相关法律法规文件明确了团体标准的重要性地位。《中华人民共和国标准化法》提出,国家鼓励社会团体协调相关市场主体共同制定满足市场和创新需要的团体标准,国家鼓励社会团体、企业制定高于推荐性标准相关技术要求的团体标准。篮球比分《深化标准化工作改革方案》提出,要发展壮大团体标准,鼓励社会团体发挥对市场需求反应快速的优势,制定一批满足市场和创新需要的团体标准,优化标准供给结构,促进新技术、新产业、新业态加快成长。鼓励在产业政策制定以及行政管理、政府采购、认证认可、检验检测等工作中使用团体标准。质检总局、国标委《关于培育和发展团体标准的指导意见》指出,促进标准实施,探索在产业政策制定以及行政管理、政府采购、认证认可、检验检测等工作中引用团体标准的机制,鼓励使用具有自主创新技术、具备竞争优势的团体标准。
从制定周期、标准要求、侧重范围等方面分析,团体标准更适应“短平快”的市场需求。
4展望
在当前形势下,为提升我国网络设备安全水平,建议:一是加强主管机构、设备制造商、产业链相关方、使用方、测评机构、研究机构、高校等多方协作,共同提升设备整体安全水平;二是加强国家标准与团体标准的联动,充分结合二者的优势,更好地为提升设备安全服务;三是加强核心技术研发,广泛参与到网络设备的全球产业链中,从单一的核心部件使用方逐步过渡到具备核心部件供应能力。
(原载于《保密科学技术》杂志2018年9月刊)