智慧城市是基于高度发达的计算机技术、网络技术而构建的新型城市。它运用物联网、云计算、大数据、空间地理信息集成、人工智能等一系列新一代信息技术促进城市规划、建设、管理,以及服务。越来越多的智能家居、智慧医疗、智能交通、智慧社区等应用纷纷落地。
伴随着“互联网+”战略的推进,我国的智慧城市建设正在加快落地的步伐。智慧城市建设的热潮正在席卷全球,我国的智慧城市试点规模不断扩大。从目前的应用上看,智慧城市正逐步克服数据在集中化、协同化等方面的技术难题,智慧城市的蓝图已清晰可见,但恶意窃取数据、对设备的恶意攻击等问题也随之而来。
国家互联网应急中心公布的第23期网络安全信息与动态周报显示,我国境内感染网络病毒主机数量达到93.3万,同比增长19.5%,境内被篡改网站总数3112个,同比增长4.9%……还有其他一些安全机构和安全公司发布的安全报告。从这些安全机构和安全公司发布的安全报告(见文末安全报告)中我们可以看出,在互联网时代,这些传统的网络安全威胁极有可能逐步渗透入智慧城市的建设中。与“互联网+”相关的信息安全风险也在逐步增加,行之有效的信息安全策略正在逐步受到关注。
智慧城市建设涵盖的行业众多,电力、交通、医疗等领域均承载着大量的敏感信息,智慧城市所面临的网络安全风险,不再仅仅是信息泄露、信息系统无法使用等问题,而是会对现实世界造成直接的、实质性的、危害生命安全的影响。这些涉及个人、企业、政府的敏感信息一旦泄露,将对公民个人权益、企业商业利益、国家信息安全带来不可估量的危害。因此,应妥善协调智慧城市发展与敏感信息保护,积极探索新形势下数据共享与信息保护之间的关系,构建安全、可信的智慧城市健康发展环境。
信息和数据安全引各路英雄竞折腰
2016年首都网络安全日和网络安全博览会活动虽然已经落幕,但其展览内容令人印象深刻,很多案例与大众自身利益息息相关。不论老幼妇孺,都能够从中了解一些网络安全知识,确保日常生活中上网行为安全,不仅如此,很多工控安全产品也成为了本次活动的亮点。此次博览会期间,组委会还举办了政府与网络安全论坛,该论坛以“积极防御、主动安全”为主题,围绕政府网络安全、大数据安全、智慧城市安全、云计算安全等内容,邀请中国工程院院士沈昌祥、倪光南等专家做精彩报告。博览会除吸引了百度、奇虎360、金山等一大批国内知名互联网企业参展外,还吸引了众多在安全领域颇有建树的企业参展。参展产品涉及个人终端、态势感知、工控,以及SOC安管平台等。
作为山西参展企业,山西百信信息技术有限公司在此次展会上发布的产品主要包括两大系列七款产品:其一是可信计算系列,包括采用TPCM可信PCIe卡的可信安全计算机、采用TCM可信模块的可信安全计算机和基于固件技术和可信技术的可信安全计算机;其二是安全系列,包括基于龙芯3B1500的安全计算机、基于龙芯3A2000的安全计算机、基于龙芯3B1500的安全服务器,以及和合作伙伴北京安普诺信息技术有限公司共同开发的悬镜Linux服务器防黑加固平台。公司技术总监唐道光表示,公司可信与安全系列产品采用自主知识产权芯片和自主知识产权操作系统,结合具有自主知识产权的数据库和中间件,可满足政府和企业的等级保护、分级保护信息系统的要求。
而北京匡恩网络科技有限责任公司则展示了便携式、可移动的工控安全威胁评估平台。平台遵循国际、国家和行业标准,形成了多套具备严格理论依据的评估准则;通过多维度的评估分析方式(即威胁分析、资产分析、流量分析),全面满足工业现场风险评估的需求,高效快捷地发现工控系统中存在的安全隐患,产生工控系统网络安全风险评估报告,提出有针对性的、系统性的完整解决方案。该平台可广泛应用于电力、石化、轨道交通、冶金、烟草、煤炭等重点行业,有效地保障重点行业企业工控系统的安全运行,降低各类风险发生的几率,提高了工控系统的安全可靠性和工业基础设施应对网络攻击的能力,避免因工控安全事件影响企业安全生产,进而危害国家安全和社会稳定。
此外,笔者还在该博览会上看到了来自于威努特与东北大学联合研发的“谛听”工业网络空间安全态势感知平台。态势感知平台能够持续地监测来自于互联网的攻击、系统漏洞、网站安全状况、僵尸木马蠕虫等不安全因素,从而掌握网络安全隐患和实时了解攻击态势,并及时向有关部门预警通报监测到的网络威胁活动,为追踪溯源提供线索。而启明星辰也在此次博览会期间正式启动了“泰合安全威胁分析合作计划”,向在安全威胁分析领域具有独特优势的广大安全厂商开放泰合SOC安管平台的南向和北向数据接口,其第一批合作伙伴包括烽火台威胁情报联盟、诺恒信息、天际友盟和微步在线。
从这次博览会活动我们可以看出,网络安全不仅涉及个人生活,而且还涉及国家安全。这已经引起了国家相关机构的重视,并且已经开始了相关的政策制定工作,安全解决方案提供商也跃跃欲试,积极研发。安全业界(政府和安全解决方案供应商)多次进行沟通,研究更有效的网络安全和信息安全技术,探讨如何完善有关网络安全、信息安全等领域的技术、标准、法规。
时隔一个月,2016中国网络安全年会和2016中国智慧城市数据安全与产业合作高峰论坛分别在成都和贵阳两地举办。前者主要通过“网络安全威胁情报”、“网络安全人才培养”、“个人隐私保护与数据安全”、“移动互联网安全生态”、“漏洞安全及价值秩序”、“CNCERT-CIE网络安全学术论坛”等分论坛,交流网络安全工作新趋势、新问题、新思路,展示网络安全研究最新成果,分享网络安全工作的最佳实践和挑战;后者主要围绕智慧城市数据安全主题,探讨大数据时代智慧城市发展的新观点、新趋势,以及相关政策、标准、法律规范等,为智慧城市的数据安全出谋划策,同时为智慧城市数据安全领域新技术、新成果、新产品提供展示平台。
在中国智慧城市数据安全与产业合作高峰论坛上,亚信安全业务发展总经理童宁提出了“网络空间平安城市”理念,并强调要将网络安全防护系统纳入到智慧城市管理系统之中。通过列举国家互联网应急中心公布的第15期网络安全信息与动态周报中的一系列数据,童宁表示:“这一连串触目惊心的数字,暗示着智慧城市建设中存在的巨大危机。例如,通过信息安全漏洞,黑客可能会攻击交通、水利、电力等基础设施系统,造成经济损失、社会秩序混乱乃至威胁国家安全,智慧城市的建设自然会受到影响。”他认为,平安城市不仅仅是指治安管理、灾难预警、安全生产、社会监控等城市物理空间安全,同样也应该指网络空间的安全性。而目前我国城市级网络空间安全管理的现状不容乐观,其问题突出体现在缺少城市一级的总体安全态势监控、对公众网络安全意识教育投入不够、网络安全人员培养体系缺乏、网络安全管理边界对象不清晰等。这些问题导致城市网络安全管理存在着一些漏洞,危险容易乘虚而入。
网络和信息安全威胁日益复杂
6月15日,卡巴斯基公布了一个全球性的服务器访问权限贩卖黑市。该黑市已贩卖超过7万台被感染的服务器的访问权限,其中最低售价仅为6美元。
根据目前掌握的数据显示,该黑市2014年开始营业,并在2015年快速增长。到2016年5月,该黑市共有来自174个国家的70,624台服务器在售,由416名不同的销售商提供。其中,受影响最严重的十个国家分别为:巴西、中国、俄罗斯、印度、西班牙、意大利、法国、澳大利亚、南非和马来西亚。
该黑市是一种典型的新型网络犯罪黑市。这种黑市组织严密,从入门级别的网络罪犯到APT(高级可持续性威胁)组织都可获取到快捷、廉价且易于使用的合法机构基础设施的访问权限,令网络犯罪行为更隐蔽,潜伏时间更长。
卡巴斯基实验室安全专家近期调查了这个专供网络罪犯购买和贩卖被感染服务器访问权限的全球性论坛。
服务器在智慧城市建设中将被大规模运用,有被攻击的可能性。常见的对服务器的攻击形式有两种APT攻击,而对网站实施攻击的手段目前主要为DDoS攻击。今年5月初,黑客组织“匿名者”向全球央行“宣战”。希腊塞浦路斯的中央银行(Centralbank.gov.cy)已经成为这起大战的首个“牺牲品”,其银行系统早些时候被DDoS攻击下线至少35分钟。
亚信安全技术总经理蔡昇钦指出:“匿名者的攻击行动往往出于政治性目的,他们通常使用doxes、DNS攻击、丑化、重定向、DDoS攻击、数据库资料泄露等攻击手段,破坏攻击目标的网络及数据。更大的威胁在于,黑客很可能采用缓慢渗透的方式来侵入防护严密的目标,这种高级持续性威胁(APT攻击)不仅防范难度高,而且破坏力更大。”
如果说攻击服务器是要窃取企业或机关的重要数据的话,那么攻击个人终端产品的勒索模式则更令人气愤。黑客可能会选择中小企业终端设备下手。这种网络钓鱼等欺诈模式出现的频率越来越高,在线金融威胁正在变得更为多样,数量也持续增长。卡巴斯基实验室和B2B International最近进行的一项研究显示,48%的消费者曾经遭遇过在线欺诈,目的是欺骗用户,让用户泄露自己的敏感信息和金融信息,以此获利。调查结果显示,11%的用户由于遭遇在线攻击而损失过钱财。
在为期12个月的调查期限内,在受访者中,几乎有一半的互联网用户都遭遇过金融威胁。这些威胁包括收到可疑的声称是来自银行(22%)的电子邮件或是来自购物网站(15%)的电子邮件,还有要求用户提供金融数据的可疑网页(11%)。
遭遇金融威胁后,6%的受调查者表示由于在线欺诈,损失过钱财,还有4%通过金融组织泄露过个人数据,造成过损失,3%的用户遭遇加密货币(例如比特币)或电子货币基金被盗。整体来看,全球用户中,有11%由于遭遇在线威胁,造成资金被盗。
研究发现,遭遇损失的用户中,平均损失约为283美元,但是约五分之一(22%)的受损失用户损失超过1,000美元。遭遇损失的用户中,只有约一半(54%)采取措施追回了自己的损失,还有约四分之一(23%)的用户没有采取任何措施弥补损失。
以上针对服务器的攻击和网络勒索等事件仅仅是网络和信息安全事件中的冰山一角。由于云计算技术将广泛应用于智慧城市中,而新兴的Docker容器技术正在被很多单位应用于自身云平台建设中,这种容器技术也存在漏洞,并非完全安全可靠。
近期网上曝出多起通过利用Docker Remote API未授权访问漏洞,获取代码或者获取被攻击者服务器root权限的安全事件。启明星辰天镜脆弱性扫描与管理系统V6.0目前已经支持对该漏洞进行检测。启明星辰提出针对此的修复建议:首先,使用TLS进行认证,防止Docker节点的2375端口被未授权访问;其次,对服务器2375端口进行严格的访问控制,禁止公网地址访问2375端口,只允许授权的地址对2375端口进行访问。
威胁形式层出不穷,几家安全分析机构和安全解决方案提供商近期发布了几个安全趋势报告,报告展示了已经出现的和正潜伏在公众身边的安全威胁。本文文末节选了部分报告内容供读者参考。
智慧城市建设成果与问题并存
在2016中国智慧城市数据安全与产业合作高峰论坛上,还发布了由工业和信息化部电子科学技术情报研究所编著的《工业和信息化蓝皮书:世界网络安全发展报告2015—2016》。蓝皮书指出,在中国,智慧城市建设工作也正在如火如荼地全面铺开。截至目前,中国的智慧城市试点已接近300个,成果显著,但如前文所述,传统网络和信息安全威胁正逐步渗透入智慧城市的建设过程中,网络和信息安全工作亟待全面跟进。
在智慧城市建设中,通常将智慧城市划分为感知层、通信传输层、应用层、智能分析等层面。这几个层面哪个层面出现问题都有可能造成城市管理混乱,轻则数据泄露,重则事故频发。智慧城市的安全风险又不同于传统信息安全风险,每个层面都存在着安全风险。
在感知层面上,可能存在以下三种风险。首先是许多感知设备通常处于无人值守状态, 不法分子可以直接使用物理手段将其破坏,使得智慧城市信息感知层瘫痪。其次是不法分子可能通过特殊手段获得感知设备的存储密码和感知的数据,破坏感知器,瘫痪感知层,或者窃取数据。最后是通信资源可能耗尽(IP地址不足)、选择性转发攻击、节点干扰攻击、数据注入或篡改攻击、虫洞攻击、去同步化攻击、重放攻击等。任何一种攻击都会使得智慧城市信息感知层感知设备被控制或无法工作。
在数据传输层面上,针对网络的攻击更是花样繁多:有针对接入设备的认证攻击、有针对系统和服务器的分布式拒绝服务攻击(DDoS)、有针对网络入侵检测系统的攻击、有针对信息加密的攻击等。
在应用层面上,存在破坏数据融合的攻击、篡改数据的重编程攻击、错乱定位服务的攻击等。此外,以往缺乏有效的平台对智慧城市里的各种终端设备进行统一管理。幸运的是,目前已经有多款云运维管理平台面世,比如新华三的绿洲平台,可以为用户提供云端统一管理。当然,还有一个更重要的问题是,在操作系统层面,缺乏有效的安全策略,这会导致机密信息被泄露、代码被非法篡改等。除了新华三绿洲平台外,还有一些运维管理平台比较重视安全策略,可为客户提供较为安全的综合安全管理平台,比如启明星辰的SOC安管平台。
在其他层面上,传统安全威胁在智慧城市中会被不断地放大。首先是云服务可能存在漏洞,缺乏完善的安全策略,黑客有机可乘。其次是除了技术不足导致的数据泄露外,还有一些是由于内部人员的恶意泄露行为导致的。
让智慧城市智慧且安全
目前,我国信息安全标准已经正式发布和在研的有近300项,专门针对智慧城市信息安全的标准目前还有一些在研的包括物联网安全标准、传感网安全标准、云安全标准、大数据安全标准等,距离形成完善的智慧城市信息安全标准体系,保障智慧城市基础设施,提高智慧城市信息安全技术防护和管理水平仍略显不足。
由于智慧城市信息安全标准的不完善,因此针对智慧城市信息安全的检测和认证工作尚无法全面开展。针对智慧城市信息安全的检验检测技术、认证认可技术和有效性保障技术与方法相对还有一些缺乏,很多不合安全标准的产品和方案都可投入智慧城市建设中,带来诸多安全隐患,这或许会导致安全事故的发生。这需要一步步完善,在实践中改善。
智慧城市的建设是一个复杂的系统工程,对于信息安全保障系统的建设而言,需要以“保护业务的机密性、完整性和可用性”为目标,这包括物联网接入的鉴别和访问授权、控制机制;接入访问的检测与控制机制;数据的分级标记与分发机制;数据的完整性校验机制;计算资源的分配与监控机制等。有一些网络产品解决方案供应商已经提出了一些接入安全解决方案,比如飞塔、锐捷等厂商。
这些信息安全产品需要具备哪些安全技术才能称之为安全产品?首先,在信息技术产品中,需涉及以下安全技术,其中包括网管安全、服务器安全、路由器安全、交换机安全、网关安全、网络协议安全、电磁信息产品安全等。其次,还需要专门为增强信息系统的安全性开发安全产品,它们涉及的技术包括身份认证(虹膜身份鉴别、指纹身份鉴别等)、防火墙、入侵检测、通用安全模块等专用安全技术。
新技术推动了智慧城市的建设,最为典型的就是云计算技术的使用,特别是各种虚拟化技术的应用给用户和安全解决方案提供商带来了新的安全挑战。尤其是网络虚拟化,它使得业务流量和网络设备在物理层面上不再可控,大量的访问对安全监控平台的性能要求更为苛刻。当大量数据在网络上传播时,一些隐私和机密数据该如何被加密传输。这需要云服务提供商和安全解决方案提供商合作为用户提供创新的安全服务,对信息实施管理,并通过某种授权和控制手段,来限定哪些数据可以在哪些范围内传播。
除了技术角度外,从管理角度来看,有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,保障智慧城市的正常运行。此外,作为智慧城市整体规划的一部分,要加强智慧城市建设过程中相关配套设施的建设,包括智慧城市中政府信息系统、民生和城市公共服务系统,增强其安全防护能力。
当然,智慧城市的信息安全保障,不仅仅是技术和管理层面的问题,还牵扯到立法、公众意识、技术标准等多个层面。目前,在信息共享、资源整合、标准统一、法规等方面还存在问题,需要进一步研究与探索,有关部门的立法工作也在紧锣密鼓的展开。例如,近期,由工业和信息化部指导,中国通信企业协会、中国信息通信研究院主办的中国通信企业协会信息通信法治工作委员会成立大会顺利召开,大会探讨了在信息化时代,如何完善信息化标准和制订相关法规的问题。
智慧城市,既要智慧,也要安全。
链接 亚信安全2016年第一季度网络安全威胁报告节选
上文中的一些安全威胁来自于一些第三方机构或安全解决方案提供商的安全报告,某些安全问题在智慧城市建设中仍会存在,并且会由于“蝴蝶效应”被放大,产生不良后果,以下内容节选自《亚信安全2016年第一季度网络安全威胁报告》,用以引起读者注关注。
2016年第一季度安全威胁
本季度安全警示:勒索软件
1.本季度亚信安全病毒码新增特征约21万条。截至2016年3月31日病毒码12.436.60包含病毒特征数约434万条。
2.本季度亚信安全客户终端检测并拦截恶意程序约17,030万次。
3.本季度亚信安全拦截的恶意URL地址共计306,742次。
本季度热点话题为勒索软件病毒。本季度勒索软件病毒在全球爆发,已经成为威胁企业安全的头号病毒。给企业带来巨大灾难的同时,却给攻击者带来巨大的收益,因其使用比特币进行交易,很难追踪。FBI建议感染勒索软件的用户通过支付赎金进行解密,目前来看,即使支付赎金也不一定能保证可以完全恢复被加密的文件。亚信安全提醒用户,切勿打开来历不明的电子邮件,运行其附件。
2016年第一季度病毒威胁情况
在2016年第一季度新增病毒种类中,新增数量最大的病毒类型为TROJ(木马病毒)类型。本季度新增木马病毒特征共计365,209个,和上季度相比数值略有增加。长期以来,木马一直是中国地区捕获数量最大的病毒类型,其占比远高于其它类型病毒,这是因为此种病毒通常以窃取攻击目标的账户密码等敏感信息为目的,为病毒制造者带来巨大经济回报。
与上一季度相似,在TROJ (木马病毒)之后,增加数量较多的病毒类型依次为BKDR(后门程序)、TSPY(木马间谍软件)、WORM(蠕虫病毒)、JS(JavaScript病毒)和HT(黑客工具)。本季度新增病毒种类排名无明显变化。
其中JS(JavaScript病毒)、HTML(HTML及ASP病毒)类型病毒与网页挂马有关,网页挂马是攻击者常用攻击类型。一些正常网站由于自身存在的缺陷漏洞,导致被入侵者挂马,之后浏览被挂马网页的访问者就会在毫不知情的情况下自动下载恶意文件到本地。
以HT_打头的病毒类型标记为“黑客工具”的检测类型继续上榜。网络黑市上大量工具公开售卖,获取途径越发简单,造成当前这类病毒检测数量居高不下。对于企业来说,及时为系统和程序打上漏洞补丁、采用强密码账户,都是有效防止外部攻击的方法。
2016年第一季度Web安全威胁情况
在2016年第一季度的数据中,通过Web传播的恶意程序中,APK类型的可执行文件占总数的40%,所占比例比上一季度42.5%的占比有所下降。.APK文件类型是通过Web传播的主要文件类型之一,针对此类文件,我们建议企业用户在网关处控制特定类型的文件下载。
本季度通过Web传播的恶意程序中,.EXE文件所占比例居高不下,此外.ZIP类型的文件位居第三位。恶意软件域名使用.COM、.CN、.NET的域名的站点占总数94.00 %。其中.COM域名的恶意网页数量最多。
2016年第一季度Web钓鱼网站仿冒对象分析
从中国反钓鱼联盟得到的数据:2016年1月至2016年3月处理钓鱼网站共计46,562个。2016年2月钓鱼网站数量大幅减小,推测是因为春节的原因。3月钓鱼网站又大幅增加,在所有钓鱼网站中,“支付交易类”和“金融证券类”钓鱼网站所占比例最高,占总数的99%以上。其中更以电子商务网站和银行为仿冒对象的钓鱼网站占到绝大部分。第一季度的钓鱼网站域名中,主要的域名来自于.COM、.CC、和.TK域名,其占到本季度钓鱼网站数量80%以上。
本文转自d1net(转载)
