當前,網(wǎng)絡安全威脅錯綜復雜。網(wǎng)絡犯罪分子攻擊手段日益翻新、愈加狡猾,利用相對簡單的IT工具和云服務對互聯(lián)網(wǎng)造成了空前的混亂。就全球范圍內(nèi)發(fā)生的安全事件來看,數(shù)據(jù)泄露、漏洞攻擊、勒索病毒等事件頻發(fā),造成的損失愈加嚴重。
總體來說,未來五年的網(wǎng)絡安全威脅趨勢將主要有如下三方面的新變化:1.從技術發(fā)展來講,安全威脅勢必與人工智能結(jié)合。2.從威脅對象來講,網(wǎng)絡基礎設施與金融系統(tǒng)可能成為重點。3.從網(wǎng)絡終端來講,面向智能家居、移動智能終端的威脅概率會提高。
高校的網(wǎng)絡安全特點
盡管如此,魔高一尺、道高一丈,在摸清傳統(tǒng)安全威脅與當前安全威脅趨勢的基礎上,只要做好了根本性的防護措施,就可以大大降低安全威脅的風險值。高校網(wǎng)絡作為網(wǎng)絡空間的組成部分,其主要特點是用戶集中、流量較大、用網(wǎng)行為具有一定的規(guī)律性。作為高校的科研工作者,對高校信息化環(huán)境下的網(wǎng)絡安全工作提出幾點建議。
第一,在意識層面,加強網(wǎng)絡安全法教育。最近幾年,各類互聯(lián)網(wǎng)應用尤其是移動互聯(lián)網(wǎng)應用已深入到廣大師生的工作、學習與生活。加強面向師生的網(wǎng)絡安全法律法規(guī)教育、防護技能教育、實用工具教育、法治案例宣傳、知識競賽等,對提高高校網(wǎng)絡安全使用、傳播、獲取以及個人隱私保護,將起到重要作用。只有加強意識教育,才能從根上起到網(wǎng)絡安全整體防范效應。
第二,在邊界防護安全方面,加強主干風險控制。高校網(wǎng)絡邊界接入威脅主要包括路由破壞、未授權訪問、信息竊聽、拒絕服務攻擊、針對路由器和交換機等邊界網(wǎng)絡設備的網(wǎng)絡攻擊、病毒傳播、蠕蟲分發(fā)等行為。高校經(jīng)常面對海量的SYN Flood、ACK Flooding、UDPFlood、ICMP Flood、(M)Stream Flood等攻擊產(chǎn)生的大量垃圾數(shù)據(jù)包,大量占用網(wǎng)絡帶寬,造成邊界路由器和核心交換機等網(wǎng)絡設備的有效數(shù)據(jù)轉(zhuǎn)發(fā)能力下降,甚至核心路由和交換機因負荷過載而造成轉(zhuǎn)發(fā)延遲增大和數(shù)據(jù)包丟包率上升。此類問題的重要解決方式,是加強邊界接入的風險控制,需要不斷升級邊界核心防火墻的風險防控能力,為校園網(wǎng)絡安全生態(tài)提供基本保障。
第三,在校園信息系統(tǒng)安全方面,加強集中安全防護體系部署。當前,各高校大都已經(jīng)歷了十余年的信息化系統(tǒng)建設,形成了若干信息系統(tǒng),形成了若干信息孤島。由于更新維護不及時,各類信息孤島其軟件架構(gòu)、數(shù)據(jù)庫、應用程序均遺留了大量安全漏洞,給黑客攻擊留下了多渠道探索空間。當務之急,高校需加強信息系統(tǒng)集成工程,在基礎設施、數(shù)據(jù)訪問、應用體系上進行一體化改造,加強集中式的網(wǎng)絡安全防護體系,對校園信息化系統(tǒng)尤其是財務系統(tǒng)、資產(chǎn)系統(tǒng)、學工系統(tǒng)、人事系統(tǒng)、科研系統(tǒng)、教務系統(tǒng)進行集中分類防護,以確保校園信息系統(tǒng)的訪問安全。
第四,校園虛擬化云服務方面,加強宿主機防控手段。校園虛擬化云服務為集中式信息化建設提供了便利手段,虛擬化技術本質(zhì)上生成一個和真實系統(tǒng)行為一樣的虛擬機器,與真實操作系統(tǒng)一樣,同樣存在軟件漏洞與系統(tǒng)漏洞,宿主機的安全問題同樣需要得到重視。一直以來無論虛擬化廠商或安全廠商都將安全的關注點放在虛擬機系統(tǒng)和應用層面,而由于宿主機系統(tǒng)本身也都是基于Windows或Linux系統(tǒng)進行底層重建,因此宿主機不可避免地會面對此類漏洞和風險問題,一旦宿主機的安全防護被忽略,黑客可以直接攻破虛擬機,從而造成虛擬機逃逸。所以,宿主機的安全問題是虛擬化安全的根基。加強宿主機安全防控手段的主要方式是在管理體系上進行統(tǒng)一的標準化安全要求,在技術體系上形成分布防控體系。
第五,在數(shù)據(jù)防護層面,加強隱私泄密風險防控。當前,傳統(tǒng)的防病毒軟件可以在一定程度上解決已知病毒、木馬的威脅,但各類APT攻擊在網(wǎng)絡滲透上具有典型的持續(xù)性和隱蔽性,在滲透到數(shù)據(jù)中心內(nèi)部后會長期蟄伏并不斷收集信息,對校園數(shù)據(jù)安全形成了極大威脅。加強數(shù)據(jù)泄漏風險防控的主要手段需要從云存儲加密體系、多數(shù)據(jù)平臺訪問控制體系、多威脅場景的蜜罐防護體系進行多維考慮。
綜上,在網(wǎng)絡安全威脅行為不斷變化、升級的情況下,應進一步大力加強網(wǎng)絡安全宣傳教育,并在技術上、策略上加強風險防控。