2019年12月18-19日,第十四届中国IDC产业年度大典在北京国家会议中心正式召开。作为数据中心云计算产业内知名的盛会以及IDC企业、电信运营商、互联网、金融、政府和厂商等产业上下游的高效沟通平台,与会嘉宾包括政府领导,行业专家和企业代表数千人。 以“智能运维与安全”为主题的分论坛于19日下午举行,国家互联网数据中心产业技术创新战略联盟理事长、原中国银行数据中心副总经理杨志国出席本次会议,并发表了《数据中心网络安全形势及防控措施》主题演讲。
国家互联网数据中心产业技术创新战略联盟理事长、原中国银行数据中心副总经理杨志国
杨志国:各位朋友下午好。
刚刚这一节课去了部队讲过,他讲的时长是两个小时80页PPT,本来我想节俭一下,我原来是当兵海军的,去海军潜艇学院讲培养国家潜艇人员的摇篮,给七八百人讲了一课,讲的大家非常的害怕,互联网的形势,在国家网信办有一个演讲,这一节课还是很有实际效果的。
什么叫互联网?我看一了篇文章,讲的非常的生动,这是一位小学二年级写的文章“什么叫互联网”,写的太好了,我这里问大家,我们国家2018年累计移动互联网的流量是多少GB?大家可以翻度娘,第二个问题是“今年到11月份我们国家移动互联网的流量达到多少GB、增长多少?”
什么叫互联网时代,我们有幸进入了方便快捷的时代,同时进入了疯狂的时代,马云说了一句话说20年互联网从无到有,未来十年互联网是从有到无,这个无是无处不在的无。还有总书记讲的也非常好,没有网络安全就没有国家安全,没有信息化就没有现代化,所以他讲了互联网真正的把世界变成了地球村。
网络安全形势。以前的劫匪和现在的劫匪,现在有非常多的案例,现在网络犯罪成为第一大犯罪,网络就是互联网,未来大量的犯罪都是借助于网络,美国网络犯罪正在超过贩毒成为第一大行业。
典型的案例,黑客只要几秒钟的时间就可以把账面上的现金拿走,5秒钟时间就可以把ATM机偷出来,现在的手段非常厉害。还有2017年台湾被盗八千万。还有一个典型案例SWIFT大案,SWIFT是一个支付系统由美国控制的,按照七步法,七步法就是注入木马病毒盗了八千亿美金。facebook数据泄露要遭两万亿天价的罚单,这两万亿美金的罚单,就是因为泄露了大量的客户信息。特别是2016年9月份网络立案以后美国总统的选举,还有勒索病毒的爆发,什么是勒索病毒?拿钱来就解决问题,不拿钱解决不了。全球30万台电脑受到勒索,中国很多企业就是交钱以后告诉你打开病毒的方法才解决。还有加密勒索软件更厉害了,你破译不了加密病毒。还有“永恒之蓝”这个事情我们知道在2017年,当时我在银行上班的时候,全国30万客户端都遭到入侵,但是我们采取有效措施以后避免了事故对外的不好影响,当时全国所有银行、所有政府机关都遭到永恒之蓝的攻击,这是非常可怕的组织。
勒索病毒攻击的感染过程也是非常厉害的,一步步实现它想达到的所有目标。勒索两个字翻译成中文很有意思叫wannacry,非常厉害。2017年还发生了很多安全事件,魔高一尺道高一丈,这种事情是非常多的,包括2018也年是全球国内和国外非常多事件发生,这些事件发生以后不管是攻击事件还是有组织的攻击事件还是个人显摆破解性的事件太多了,所以叫做“野火烧不尽春风吹又生”,事件非常的厉害,我上周五去讲课的时候部里感觉到非常震惊,不知道网络世界以后这么多犯罪事件发生。但是现在大家知道2017年俄罗斯和格鲁吉亚战争以后就是靠病毒注入到格鲁吉亚的军事系统、通信系统以后造成国家的瘫痪,这是很厉害的。比如伊朗的能源管理系统遭到美国的攻击以后所有的能源都起不来,离心机遭到攻击以后所有的离心机都瘫痪,这样的事情很多,朝鲜注入到韩国银行病毒事件以后造成韩国银行大量资金泄露或者客户信息泄露或者资金被窃取,这种事情是非常多的。安全的形势从黑天鹅到灰犀牛事件,动机是技术化,体系化的,越来越厉害。从传统到现在来讲特别是政治利益驱动,大家知道为什么两国打仗就是政治利益驱动,另外就是利益威胁,网络、移动动态变化、信息泄露风险基本上失控,以前还有风险可控,一个国家攻击网络能失控吗?控制不了,美国要攻击伊朗没有办法。
所以趋势1:攻击从损人不利己向获取利益转变。网络利益病灾发生新的变化趋势,大的是利益化,不管是个人信息泄露还是资金账户的盗取还是组建大量的攻击行为都是为了利益化,利益驱动不得了。我到浙江网信办讲的时候,讲的感到非常可怕。
公民的信息资产报价是多少?每一次都油价格,我的身份证和手机号码,地址应该是买了N遍了,它是否有价值?实际上没有任何价值,很多人说要买房产、贷款不?我说我都不需要,这么多记录。我还特意开玩笑,你开房的记录都查得到,这样太可怕了,所以咱们的信息资产,现在大数据公司要开始查了,是不是规范的,符合国家大数据的方向的。
趋势2:攻击从个人作战向组织犯罪转变;因为现在有利益驱动,八千万的SWIFT大案肯定是有组织犯罪,个人是不可能的,它有很多种部署,包括懂网络、懂病毒的一套人,非常的清晰形成了产业链。攻击形式,攻击能力黑客一般的水平、第三方、异常员工、黑客集团、国家行为,这么多黑客分类,特别可怕的是国家行为,因为国家行为瘫痪一个国家的航空、通信、能源、金融,所有的都能瘫痪到,2016年有一家在香港的银行遭到攻击以后,所有网络堵塞率99.5%,基本上不动了。
趋势3:攻击手段体系化;刚才说的是组织化,组织化是大量采取高速指数型的威胁我们叫做APT攻击,这个攻击很厉害,不停攻击一个对象,以各种手段攻击。2019年网信办和国家公安部搞了一次护网行动大家都知道,我们国家大部分立刻就投降了,这还不是一般的跟进,是不是病毒来了全部参加护网行动,高手攻击这个很厉害。
高速攻击的手法如图这么多,针对一点,攻破一个突破口再捞里面的东西,攻击手段和逻辑特别的严谨,以窃取核心资料主要目的,不管是钱还是个人机密,所以有一位部里的同志把军事机密带到家里来,一上网先注入一个木马进去,等一上网马上遥控病毒操纵传播,把机密拿走了。攻击的过程和要点,是告诉大家怎么攻击的,是哪个方向,到底核心资产在哪个地方,主机部署在哪儿、网络在哪儿,它很清晰,以多种手段、多个方向进行攻击。
APT威胁与传统威胁的差异是哪些?传统的机会主义者,APT是全球性网络有组织犯罪,刚才说了黑客公司、黑客个人、国家行为是不一样的,他们攻击对象有军工、电力、石油、交通、金融、文化等。
中国是APT攻击的组织比较多,中国有38个APT组织,多个省份都有,特别在东南沿海一带,攻击的对象多是政府、金融、能源。所以威胁无处不在,我们企业怎么做好防护措施?攻击者是哪些?攻击手段是哪些、攻击目标是哪些?从国家层面讲就是经济命脉和政治命脉,香港事件很多都是连这些网络。印度这次爆发的大游行,穆迪没办法了就关掉互联网,互联网太厉害了。网络攻击主要来源、方式与目的,可以看到攻击方式、目的是哪些,这是通过国际信息系统审计年会统计的2017年的数字。
我讲一个典型的钓鱼攻击,水坑攻击,根据目标寻找根据目标寻找网上访问的弱点,现在很多人下载视频网站,下载了就中毒了,所以到现在个人防护是非常重要的,别去访问一些网站,所以我的电脑很少中病毒,因为非法网站不去访问。
还有典型的分布式拒绝服务的攻击,根据目标,现在有分布式的,大量攻击目标,有些是正常得有些非正常的攻击目标。
典型的SQL注入攻击,汽车牌照通过光学字符识别变成文本,插入交警的数据库,这个车执行删除命令以后就把车删掉了,通过这个手段把违章记录删掉了。
网络安全上升至国家主权的高度,原来我们叫做海陆空天安全体系,现在多了一个空间是网络空间,网络空间安全上升为国家五大安全之一,国家已经正式把网络空间的安全上升为国家安全了。
各国网络安全现状也不是非常好,我认为美国和中国安全受到的威胁是大的,攻击的也最多,基本上这两个国家受到世界上包括俄罗斯、英国这些大的发达国家受到的攻击也多。魔高一尺道高一丈,我们国家开始制定《安全保护法》,特别是习近平总书记提倡以后,大量的网络安全的制度规范要求全都出台了,也就是说一个公司做网络产品的现在是阳光产业,安全是会永远存在的,所以做网络安全的应该是阳光产业,包括《网络安全法》的施行案例,现在国家网信办抓的很紧,抓的网络安全事件是非常多的,特别现在的大数据公司很多都开始跑路了,有些搞不下去了,因为大量的数据涉及到安全,一查数据是哪儿来的,现在都去买数据,买数据本来就是违法的,都是没有脱敏的数据。
企业的防护措施;我们怎么办?企业怎么做到攻击者进不去,重要信息拿不到或者保密信息加密看不懂,或者系统和信息改不了,系统工作瘫不成,攻击行为赖不掉,采用“六不”原则管理整个网络系统。
网络安全问题的成因咱们也知道,成熟期、漏洞期、资产、风险损失,根据侦查、制造、渗透、利用、木马、远程遥控、目标达成七步法我们做相应的防范路径,也就是说以前基本网络风险是很大的,通过采取措施把网络风险降到最小的范围,原来资产网络风险很大,通过采取措施以后把风险降下来,网络上没有风险是不可能的,危险是一直存在的。
主要威胁的分类,按照20984信息安全风险评估规范分了一些类别,主要类别是哪些上面都告诉你了,包括管理漏洞、技术漏洞和漏洞库应该把它完善。
网络安全的出发点一个是全面,第二是要深,第三是主动防卫,第四是数据驱动安全。实际上我们做过网络防范以后,光宽还不行还要深,还有安全主动防范很重要。
具体的安全防范体系有哪些,管理技术,包括数据、应用、主机、网络类型都要照顾到,全方位的安全防护体系,安全组织要建立起来,现在很多单位还没有安全的安全组织,记得有些年成立了银行的“黑客部队”做安全的攻击,中国银行就有个技术安全管理团队有30多人,专门做银行内部网络渗透、网络跟进,对系统漏洞缺陷进行攻击弥补它的方向,包括制度、技术等等。
这是一个整体的网络安全防护体系整体架构,左边的规范到中间安全技术再到右边的实施,这样建立一个安全管理体系。还有安全等级保护总体架构有哪些,这个大家都学过了,是等保的范围。安全等保主要要求有哪些?从数据安全、应用安全到社会安全、网络安全到管理安全等等全方位的安全,把这些建立起来以后特别是现在云技术的安全,现在到底安全不安全还没有体系出来,现在都注明安全,包括虚拟化的安全应该怎么做也需要讨论一下。
企业网络安全法实施步骤有哪些,大家可以好好看一下。按照20080信息安全管理体系的要求,包括安全方针、安全组织、人类资产安全、访问控制安全、密码安全等等一系列的是否达到要求,参照SO27001标准做好等级安全防护,这跟国内20080是一样的体系建设。
建立纵深主动安全防护体系,这个怎么做?防护时间、检测时间、响应时间应该是非常快速的,不能没有检测时间,像蠕虫来了之后大家都不知道,这是什么病毒,国家没有办法没有招术就造成大量的网络事件。这里讲银行的金库安全是什么决定的?还是防护、检测、响应三层次,所以银行金库防护好了,所有的事情都能检测到,第三是响应,根据这三个步骤,银行的安全就是“防护、检测、响应”六个字。
安全—及时的检测和处理,我们对于所有渗透的事件及时检测到、及时处理这是很关键的,这里有个模型图,根据渗透多少时间发现,成功渗透到数据泄露多长时间,从成功泄露系统到恶意行为被发现,恶意行为发现到处置是多长时间,说的很清楚,及时检测处理,缩短自由攻击时间,发现以后缩短自由攻击时间是很关键的,不能无限的放大,要缩短它的时间,防止他发现,要增加它的难度提高检测响应的速度,主动的防御。刚才讲纵深、主动的防御体系事前、事中、事后的安排,这个防御最前面的在网络,高的在数据,这是主动的模型图,主动防御是识别、防护、检测、响应、调查、审计。保护的是数据。什么叫纵深防御?就像打仗一样的图一样,我们做网络防御像部队的纵深防御一样,一定要有个管沉地带,纵深防御的图大家知道,关键一点就是“信息资产”所以前面所有半月层通过5层才能达到“信息资产”,有没有这样的架构体系是很关键的。
主动防御攻击链全过程监管,所有的地方,从开始攻击都看得到,这个路径是很关键的,看到这个图大家就知道它的攻击是哪些。目标达成以后要根据目标达成的步骤做好整个链路的攻击,哪一步做什么都看得见。它有持续的攻击我就有攻击的监测与分析。
“永恒之蓝”勒索病毒以后整个59天时间,从发现到最终爆发病毒59天时间是很漫长的,证明我们能力不足,包括预测的攻击、加固与隔离、攻击防护、攻击检测、攻击隔离都不足,发现我们国家在应对网络事件时有严重的不足,这次事件以后给我们很大的惊喜。多角度的安全漏洞防范、检测与修复,需求分析、系统设计、开发测试、上线发布。用数据驱动安全,数据是最核心的地方,这个安全是必须要做到的,所以我们保护一点,就是保护数据安全,攻垮了还可以建立起来,但是数据不安全就没有办法了。还有网络安全数据平台我们做了方案,最重要的就是保护数据,以数据为出发点进行相应的策略。
常态化的运营安全,威胁发现、监测分析、联动处置、运维也是分五步做的。现在外部的网络安全动态感知,有些公司现在做的非常不错,这些事件以后,这些公司向国家提供一些动态,网络事件以后他们能够感知到、侦测到这也是不错的。
个人的技巧,大家知道现在是什么形势,现在的黑产有多少呢?现在黑产是160万对20万,网络安全人员有20万人,从事黑产有160万人,整个黑产损失一千亿/年,现在黑客拒绝50万年薪工作,入侵选好系统倒卖车牟利的事件也发生过。所以百度、阿里、腾讯、蚂蚁金服投入的资金都是上亿的,现在企业投入的比较多,反而政府投入的比较少,像美国投资是非常大的,网络安全人才大量缺失,需求单位政府、军队、公安、国家重要部门包括金融、电商、企业等等需要大量人才。还有安全的科学知识,网络空间安全成为国家一级学科,这些以前是没有的。
网络安全通用知识体系比较少,特别是网络安全专家CISSP认证拿的比较少,所以这些关键人才还是比较缺失的。网络安全的主要领域有如图这么多领域,非常多的领域需要安全人才,不管哪个层面都需要大量的安全人才去做。个人计算机网络用户的隐私信息有7个方面,现在在座的同志也有,问你们一个问题,固定电脑里面把共享打开了,打开以后就裸露了,个人信息被窃取的危害,现在所有的信息都可以拿到所以要有良好的操作习惯,这是个人信息保护的方法。
总结,习近平总书记讲没有网络安全就没有国家安全,所以网络安全防护体系是全方位、纵深主动、数据驱动的,这是网络安全三层的防护体系。
热门专题
