企业网络安全生态研究报告.docx-道客多多

资源描述

1、“ 互联网 + ”企业网络安全生态研究报告腾讯安全联合实验室、腾讯网络空间研究中心中国电子技术标准化研究院 2014 0301目录一、 “互联网 +”时代的企业网络安全1 “互联网 +”的时代特征 31）革命： “互联网 +”是新的产业革命 32）机遇： “互联网 +”是企业发展的机遇 43）威胁： “互联网 +”企业发展的威胁是网络安全问题 52 “互联网 +”时代的网络安全观

2、63 “互联网 +”时代的网络安全政策环境 74 “互联网 +”时代的企业网络安全 “VUCA”特性 81）易变性（ Volatility） 92）不确定性（ Uncertainty） 93）复杂性（ Complexity） 94）模糊性（ Ambiguity） 9二、 “互联网 +”企业面临的网络安全挑战1 网络安全威胁不断升级，损失与后果严重 101）移动互联网安全问题日趋增多，个人信息泄漏时有发生 102） APT

3、攻击成为工业控制系统信息安全最大威胁 123）云服务面临信任危机，云安全问题凸显 144）安全漏洞问题依然严峻，软件漏洞成为焦点 152 “互联网 +”企业网络安全外部生态尚需提升 161）网络安全法律法规尚不完善 162）网络安全资源不足、技术手段相对落后 173）关键信息技术产品对国外依赖性 184）网络安全服务体系不健全 193 “互联网 +”企业网络

4、安全自身生态尚不健全 201）网络安全意识的有待提升 202“ 互联网 + ”企业网络安全生态研究报告目录2）网络安全管理制度体系尚不完备 223）网络安全人才依然不足 244）网络安全标准体系仍需完善 254 新技术、新应用带来新的网络安全挑战 261）安全技术与服务加速向云化转型 262）大数据价值倒逼加强数据安全保障 263）智能制造融合迎来网络安

5、全新战场 264）传统 IT 产品的安全漏洞引入其他行业 27三、构建 “互联网 +”时代企业网络安全生态1 “互联网 +”时代企业网络安全生态愿景 281）科学的 “游戏规则 ” 292）明晰的企业生态位 293）开放的共同进化体 294）闭环的生态平衡系统 302 “轻足迹 ”安全管理理念 311）防护手段模块化 312）应急管理扁平化 313）防御机制协同化 314）处理过程快速

6、化 313 如何构建 “互联网 +”时代企业网络安全生态 321）加强法规政策建设，完善网络安全生态顶层设计 322）健全网络安全产业标准体系，构建统一协调的发展模式 333）借助热点加速全产业链融合，提高生态综合防御能力 354）打造健康开放共享交互平台，建立可信可控高效保障机制 385）鼓励不同领域技术碰撞，加快技术带动生态安全升级速度 3

7、93“ 互联网 + ”企业网络安全生态研究报告一、 “互联网 +”时代的企业网络安全1 “互联网 +”的时代特征1）革命： “互联网 +”是新的产业革命李克强总理在 2015 年两会上首次正式提出，把 “互联网 +”列为中国传统企业在互联网时代转型升级的战略。一般意义上， “互联网 +”即是 “互联网与各个传统行业的结合 ”，但这并不是简单的两者相加，而是利用信

8、息通信技术以及互联网平台，让互联网与传统行业进行深度融合，通过对各生产环节的 “触网数据 ”挖掘加工再利用，促进传统行业转型升级，按需求重新分配生产要素，形成统一、高效、可持续的新型发展生态。它代表一种新的社会形态，将互联网的创新成果深度融合于经济、社会各领域之中，提升全社会的创新力和生产力，形成更广泛的

9、以互联网为基础设施和实现工具的经济发展新形态。图 1 “互联网 +”带来新兴业态生成要素初次分配重新分配劳动、技术人才、资本管理、资源传统行业互联网42）机遇： “互联网 +”是企业发展的机遇当前，政务、教育、金融、能源、通信、交通运输、广播电视、医疗卫生、水利、环境等传统行业越来越多地依赖与网络空间的互联，国家关键基础设施逐步实现信息化、智能化，企

10、业的信息化进程迅速加快，对传统产业改造的规模迅速扩大。据工信部统计数据显示，以支撑云计算、大数据、物联网、智慧城市等新技术应用的数据中心（ IDC）资本投入为例， “十二五 ”期间，中国的云计算产业规模飞速发展，年均增长率超过30%， 2015 年已达到约 1500 亿元。业内专家预计，图 2 2009-2014年中国 IDC市场规模（亿元）未来相当一段时期

11、内，中国云计算产业将继续扩张，到 2018 年总规模有望达到 8000 亿元。据第 37 次中国互联网络发展状况统计报告显示， 2015 年，中国企业计算机使用比例、互联网使用比例、固定宽带接入比例相比 2014 年分别上升了 4.8 个、 10.3 个和 8.9 个百分点。越来越多的行业将系统化、集成化的互联网工具应用于生产研发、采购销售、财务管理、客户关系、

12、人力资源等业务流程中，逐步踏上 “互联网 +” 的路途， “转型 ”就意味着巨大的产业发展机会。400 60%372.267.1%300200100049.5%72.840.4%102.2170.8210.823.4%262.524.5%41.8%50%40%20%0.0% 市场规模2009 年 2010 年 2011 年 2012 年 2013 年 2014 年增长率5“ 互联网 + ”企业网络安全生态研究报告1973）威胁： “互联网 +”企业发展的威胁是网络安全问题随着互联网技术

13、和应用与传统的生产流程相渗透，一方面，互联网原有的安全风险不可避免地被引入到传统企业中，另一方面，这些安全风险会关联迭代，以全新的形态出现，并造成始料未及的严重后果。据中国企业互联网应用状况调查显示，截至 2015 年 12 月，全国工业企业互联网使用比例为图 3 我国工业控制网络安全事件统计（图片来源 2015工业控制网

14、络安全态势报告）87.9%，其中制造业的互联网使用比例为 88.1%。从 2015 年我国各个行业成为网络攻击目标的比例来看，工业行业被攻击事件逐年增高，且制造业位居各行业攻击前列。超过 80% 涉及国计民生的关键基础设施，依靠工业控制系统来实现自动化作业，工业控制网络安全事件逐年增加，网络安全问题对传统产业信息化进程的发展

15、形成巨大威胁。350300250257 2452952001501005002012 年 2013 年 2014 年 2015 年62 “互联网 +”时代的网络安全观2016 年 4 月 19 日，习近平总书记在网络安全和信息化工作座谈会上发表了重要讲话，总书记在 “总体国家安全观 ”的基础上，总结了新时期 “网络安全观 ”的五大特点 : 网络安全的整体性、动态性、开放性、相对性、共同性。对 “互联

16、网 +”时代的企业而言，可以从四个方面加以解读：第一、网络安全的边界模糊化，关联性化，影响扩大化；第二，网络安全投入产出的科学化；第三，网络安全防护的动态化与持续化；第四，开放与协作。产业生态对网络安全防护的需求势必需要改变原有的监管和被监管的二维模式，在安全防护技术上开放、互动；在安全防护模式上，政府、

17、企业、专业机构、社会组织共同参与，资源共享，共同构建网络安全生态体系。开放与协作网络安全投入与产出的科学化边界模糊关联性强影响扩大网络安全防护的动态化与持续化“互联网 ” 时代的企业网络安全观图 4“互联网 +”时代的企业网络安全观7“ 互联网 + ”企业网络安全生态研究报告3 “互联网 +”时代的网络安全政策环境我国在 2003 年国家信息化领导小组关于加强信息安全保障工作的意见发布后

18、，提出构筑国家信息安全保障体系。此后十余年间，持续出台了一系列国家和行业的网络安全政策，形成了目前的国家网络安全保障政策基本格局。据不完全统计，截至 2015 年，我国已出台 6 项网络安全相关法规条例，各主管部门出台等级保护、网络安全应急、安全监管等与网络安全直接相关的政策文件达 63 项。发布的政策文件类型 / 时间数量法律条

19、例（ 1994-2015） 6中央办公厅 / 国务院办公厅（ 2006-2015） 7国家发展改革委 / 财政部 / 认监委（ 2004-2012） 7工信部（20 06-2011） 10公安部（ 1997-2011） 14国家商用密码管理局（ 1999-2007） 6人民银行 / 银监会（ 2002-2014） 6政策文件国家税务总局（ 1999-2012） 7表 1 网络安全相关法律条例与政策文件统计政策环境是形成 “互联网 +”时代企业网络安全良好生态的基础。总体来说，随着外部安全形势的严

20、峻和产业内在安全需求的提升，我国网络安全政策已经逐步形成了国家层面保护重点领域；行业层面完善监管制度；企业层面促进开放协作和自律的特征。8网络安全已经上升为国家战略网络安全基础法律加速出台落地网络安全立法框架在迅速的形成网络安全监督管理制度体系逐步完善国家层面，保护重要信息系统和基础网络，对信息技术服务的网络安全审查制度，保护关键信息基础设施产业层面，建立网络安全风险意识，对金融、电力、铁路、民航、石油石化等重要领域中应用的核心技术和产品进行安全检查和风险评估成为新的安全防护模式企业层面的网络安

21、全管理逐步规范政府引导，行业自律，开放协作针对个人隐私保护、安全漏洞资源管理以及恶意竞争等公众比较关注的问题，加强行业管理规范和行业自律准则的制定和实施，规范企业的网络安全行为图 5 网络安全政策环境的新特征4 “互联网 +”时代的企业网络安全 “VUCA”特性在上世纪的九十年代，美国陆军军事学院提出：这个世界是一个动荡、无常、复杂、模糊的世界（简称为 VUCA 世界）， “互联网 +”时代的网络安全具有 VUCA 特性，分

22、区分域的防护理念因为模糊的边界而不再有效，安全威胁与安全事件的后果充满不确定性。目前，中国 “互联网 +”规模越来越大，中国网民规模达 6.88 亿，手机网民规模达 6.20 亿，在线支付用户规模达 4.16 亿，在线教育用户规模达 1.10 亿，互联网医疗用户国模达 1.52 亿，网络预约打车规模达 1.189“ 互联网 + ”企业网络安全生态研究报告亿

23、。中国企业使用互联网的比例为 89.0%，其中， 40.7% 的企业部署了办公自动化（ OA）系统、企业资源计划（ ERP）系统和客户关系管理（ CRM）系统。开展在线销售、在线采购和在线营销的比例分别为 32.6%、 31.5% 和 33.8%。 “互联网 +”正在向政务、医疗、教育、金融、交通等领域迅速渗透和发展。1）易变性（ Volatility）“易变性 ”是变化的本

24、质和动力， “易变性 ”也是由变化驱使和催化产生。 “互联网 +”时代，信息交换的开放性增强、资源共享程度提高，互联网新业务跨行业应用迅速增长，多变的应用需求，必然导致业务变化频繁，与之对应，安全威胁的变化频度也随之增加，由此导致安全防护措施以及安全产业的易变性。2）不确定性（ Uncertainty）不确定性是指缺少预见性 ,

25、尤其是缺乏对意外的预期。用传统的风险评估计算理论， “威胁出现的频率、自身脆弱性严重程度 ”以及由此所决定的 “出现安全事件的可能性 ”和 “安全事件可能造成的损失 ”是确定网络安全风险的计算变量，由于安全防护对象范围的扩大， “互联网 +”时代的威胁脆弱性评估难度已经大大超过对传统网络安全风险评估量化计算。而安全事件出现的

26、可能性，甚至安全事件会以何种形态出现，以及安全事件发生后可能造成的损失都无法预期，由此带来了 “互联网 +”时代的网络安全防护所面对的巨大的不确定性。3）复杂性（ Complexity）从企业本身到整个产业链，传统企业触网后安全问题的复杂性体现在两个方面：一是从虚拟空间直接威胁到实体空间的安全；二是安全风险的关联性和传递

27、性使得威胁存在无限扩大的可能，一旦发生安全事件，会造成不可估量的严重后果。4）模糊性（ Ambiguity）相对传统的网络安全防护理念， “互联网 +”时代的网络安全生态的模糊性体现在以下两个方面：一是万物互联，信息数据的快速自由流动使得原有的网络边界、产业边界变得模糊了；二是安全防护边界模糊了，使得以往采用划分安全域，

28、隔离处置的方法在 “互联网 +”时代找不到安全边界，使传统安全防护面临重大的变革和挑战。10二、 “互联网 +”企业面临的网络安全挑战1 网络安全威胁不断升级，损失与后果严重“互联网 +”威胁情况瞬息万变，不确定性和复杂性急剧增加，攻击边界的模糊使得防范无从下手，近年来发现的高级持续攻击（ APT），更是改变了传统安全攻防态势，使

29、得攻击目标不仅通过病毒袭扰和信息窃取攻击一般商业企业，更对金融、电力、通信等关系国计民生的关键行业进行有组织的破坏，同时通过企业对公民个人数据的窃取、滥用直接影响到个体人身与财产安全， “互联网 +”企业面临的网络威胁日益加剧，所造成的损失日益严重。1）移动互联网安全问题日趋增多，个人信息泄漏时有发生随着移动

30、互联网用户数爆发式增长，主流移动应用商店中恶意程序数量也逐年增加，恶意扣费攻击排在首位。同时，针对安卓平台窃取用户短信、通讯录、微信聊天记录等信息的恶意程序也不断出现。安卓平台感染此类恶意程序后，大量涉及个人隐私的信息被通过邮件发送到指定邮箱。2005年 -2015年移动互联网恶意程序数量走势16000001400000147745012000001000000800000600000702861951059400000200000052 67 110 208 416 1664 6249162981

31、2005 年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 2014 年 2015 年11“ 互联网 + ”企业网络安全生态研究报告Verizon 发布了 2015 年度数据泄露调查报告报告称： 2015 年，全球 61 个国家出现 79790 起数据泄露事件，其中 2122 起已经得到确认。 2015 年 1 月，机锋论坛 2300 万用户数据泄露，包含用户名、邮箱、加密密码

32、在内的用户信息在网上疯传。涉及数据总数多达 4 亿多条，远超此前的 12306 等泄漏事件。 2015 年 10 月，网易的用户数据库疑似泄露，影响数据总共数亿条，泄露信息包括用户名、 MD5 密码、密码提示问题 / 答案 (hash)、注册 IP、生日等。网易邮箱绑定的其他账户也受到波及，如 iPhone 用户的 Apple ID 等。 2015 年 10 月，补天漏洞响应平

33、台爆出中国电信某系统的重大漏洞。通过该漏洞可以查询上亿用户信息，涉及姓名、证件号、余额，并可以进行任意金额充值、销户、换卡等操作。 2015 年 12 月， VTech 研发和生产的教学辅助玩具遭遇了数据泄漏，此次数据泄漏事件泄漏了大约四百八十万家长以及二十万儿童的个人隐私信息。随着时间的推移，受影响的人数还增长至了六

34、百七十多万。2015年移动互联网恶意程序按行为类型分布系统破坏 6.8%恶意传播 7.0%诱骗欺诈 7.2%隐私窃取 8.3%资费消耗 9.7%恶意扣费 23.6%远程遥控 15.1% 流氓行为 22.2%图 6 2015年移动互联网恶意程序概况122） APT 攻击成为工业控制系统信息安全最大威胁随着 “互联网 +”在工业领域的不断发展和深入，工业控制系统（ ICS）面临网络攻击风险不断加大。自 2010 年 “震网 ”（ Stuxet）病毒事件发生，针对工业控制系统的 APT

35、攻击事件不断增多，主要集中在能源行业和关键制造业。未知 27； 9%通讯设施 13； 4%医疗设施 14； 5%政府机构 18； 6%商业设施 3；1%信息技术 6； 2% 农业设施 2； 1% 财务系统 2；1%关键制造业 97； 33%核工业 7； 2%基础工业 2；1%大坝 6； 2% 化学工业 4； 1%运输系统 23； 8% 水处理 25； 8%能源 46； 16%图 7 2015年各行业攻击事件统计 (数据来源 CNVD)13“ 互联网 + ”企业网络安全生态研究报告据 CVE 公开收录的 ICS 漏

36、洞显示，基本枚举的 90% 以上的漏洞都属于中危以上（ CVSS 值大于等于 4.0），这也表明工控系统产品存在严重的安全隐患。低危 10； 9%高危 33； 31%中危 65； 60%图 8 工业行业漏洞威胁级别统计 (数据来源 CNVD)有组织的黑客在工业控制系统开展的 APT 攻击展现了巨大的破坏能力。 2010 年， “震网 ”（ Stuxet）病毒事件。利用 WinCC 系统的漏洞开展攻击，改变了伊朗核原料的浓度，使该国核发展几乎停滞。 2012 年的 “火焰 ”病毒，通过监听网络通讯、截取屏幕

37、信息、记录音频通话、截获键盘信息等手段，收集各类数据信息，不仅袭击了伊朗的相关设施，还影响了整个中东地区。 2014 年， “Havex”病毒袭击欧洲 SCADA 系统。 “Havex”主要通过感染 SCADA 和工控系统中使用的工业控制软件，可以禁用水电大坝，使核电站过载，甚至一个按钮就轻易关闭一个国家的电网。欧洲许多使用和开发工业应用程序和机械设备的公司被发现 “Havex”的植入，并被用于从事工业间谍活动。 2015 年，乌克兰电子部门遭到恶意代

38、码 BlackEnergy（黑色能量）攻击，攻击者入侵了监控管理系统，导致了数小时的停电事故，超过一半的地区和部分伊万诺 - 弗兰科夫斯克地区断电几个小时。1441.0%3）云服务面临信任危机，云安全问题凸显“互联网 +”时代下，云技术发展如火如荼，以云计算、云存储、云通信等新技术为手段，以大数据为基础核心的下一代互联网体系逐步形成。根据调查机构 Gartner 的报告，公共云服务在 2015 年得到 13.5% 的增长，而云服务上的支出将持续增加到 2019 年。 Gartner 还发现 80% 的 I

39、T 组织在未来几年希望增加其在云计算的投资。 2015 年，虚拟化服务器（云主机）的数量第一次超过物理服务器，比例为 52%。物理服务器与虚拟化服务器数量对比59.0%48.0%52.0%物理服务器虚拟化服务器2014 年 2015年图 9 物理服务器与虚拟化服务器数量对比云是 “互联网 +”发展的技术保障，同时，云也是一把双刃剑，云安全问题不处理好，就会成为 “互联网 +”发展的绊脚石。攻击者不断挖掘云平台自身可能存在的安全漏洞，一旦发现漏洞并加

40、以利用，可能导致严重的大规模信息泄露事件发生。据 safenet 调查报告显示，关于云计算问题，有 88.6% 的企业表示最担忧其安全性。据云服务商 UCloud 发布 2015 公有云安全年度报告显示， Web 攻击、暴力破解等漏洞攻击次数相比 2014 年增长超过 40%， 80、 443、 8080、 8000 等端口成为 Web 攻击的重点目标， SQL 注入和 Web 组件漏洞攻击占 3/4 以上， SSH、 HTTP、 RDP、 FTP、 MySQL、 MSSQL 等应用程序则成为暴力破解的选择对象

41、。此外，攻击源呈现全球分布，网络安全形势日益错综复杂。 2013 年 3 月， CloudFlare 公司遭受分布拒绝服务攻击（ DDOS）导致的程序故障，使得 CloudFlare 当日有大约 785000 个客户网站一个小时无法提供网络服务。 2015 年 3 月，微软有两项 Azure 公有云服务中断了 2 个多小时，美国中部客户受到影响。 2015 年 5 月，苹果 iCloud，包括电子邮件在内的 11 项苹果服务中断了 7 个小时，一部分服务完全瘫痪，其他一部分只能缓慢运行。 2015 年 6 月，阿里云用户遭受多次超大流量

42、 DDoS 攻击，攻击峰值接近 300Gbps。15“ 互联网 + ”企业网络安全生态研究报告4）安全漏洞问题依然严峻，软件漏洞成为焦点根据 CNNVD 统计，截至 2015 年 12 月 31 日，CNNVD 收录漏洞总量已达 80300 个，其中 2015 年新增漏洞 7754 个。新增应用软件漏洞达 5142 个，其次为操作系统漏洞，共 1788 个，而硬件漏洞数仅为 65 个。 2015 年，安全公司 Secuni

43、a 的研究团队对来自 263 个软件供应商的 2484 款软件进行漏洞扫描，结果发现总漏洞数量为 16081 个，相比较 2014 年总量增加 2%；相比较 2010 年总量增加 39%。应用软件漏洞成为 “互联网 +”主要的安全威胁。60005000514240003000200010000178875965应用软件操作系统其它硬件图 10 2015年漏洞分布情况智能终端上应用软件的广泛应用，使得软件漏洞大规模爆发，目前，软件漏洞危害已经超

44、过操作系统危害跃居榜首。 2014 年 9 月，已知 Google Play 应用商店的 1400 款 Android 应用程序存在漏洞； 2015 年 5 月，据乌云网提供的数据显示，中国 59 款打车软件存在安全漏洞，其中危害等级为 “高 ”的漏洞达 33 个，占比 55.9% ； 2015 年 9 月，苹果开发工具 Xcode 被植入 XcodeGhost 恶意代码，会自动向编译的 APP 应用注入信息窃取和远程控制功能。经确认，包括微信、网易云音乐、高德地图、滴滴出行、铁路 12306，甚至一些银行的手机应用均受影

45、响。 App Store 上超过 3000 个应用被感染。除去应用软件漏洞外，系统安全漏洞依然是企业面临的主要风险之一。目前，据调查统计，在 61% 的企业中，系统漏洞是主要安全隐患，其比例远高于病毒（ 47%）、数据库受到的威胁（ 46%）等。162 “互联网 +”企业网络安全外部生态尚需提升1）网络安全法律法规尚不完善在 “互联网 +”时代，随着越来越多的传统行业与企业加入到互联网，生态变

46、化更快，生态链条更加繁复，这将使得安全本身更加复杂。美国作为互联网技术及应用的领军国家，在互联网时代的信息安全相关法律体系建设方面也比较完备，已经出台了 49 项联邦法律，主要体现在打击计算机犯罪、保护个人隐私和电子商务安全三个方面。其中，网络安全法案是近年来关于网络安全最重要的法案。而我国仅有国家安全法等 6 项法案，我国网络法治建

47、设迫在眉睫。中美两国互联网相关立法情况6050403020100美国中国图 11 中美两国互联网相关立法数量“互联网 +”连接一切的本质特征使得网络安全的范畴大大超出了原有法律法规所关注的基本面。一方面，现有的信息安全法律条例制定时的环境情况与当前已有巨大的变化，现有法律条例需适时调整，另一方面，尚需在法律层面明确 “互联网 +”各利益相关方在网络安全方面的责任、权利和义务，如在数据安全、隐私保护、打击计算机犯罪、电子商务等很

48、多方面尚无规定，故应明确各方权利义务，确保数据资产归属者的权利义务，减少信息泄露带来的危害，保障个人、行业和国家的数据安全。17“ 互联网 + ”企业网络安全生态研究报告2）网络安全资源不足、技术手段相对落后从某种角度来说，网络安全基础设施的建设、网络安全风险的监测、预警，对安全事件的响应、恢复，对关键核心结点的监督、检查，公共或市场化的安全服务体系等是

49、国家或社会所构筑的网络安全资源体系。目前， 2014 年我国信息安全投资为 34 亿美元，占整个 IT 投资比例不到 3%，且网络安全基础设施主要集中在北京、上海等比较发达的城市。而发达国家信息安全投资比例则占到 IT 投资比例的 10%-20%，美国 2016 年网络安全的预算将达到 140 亿美元的投资规模。454035302520151050 2011 2012 2013 2014 2015图 12 中国信息安全市场投资情况资源体系的建设与有效发挥作用需要过程，在此之间，包括对关键信息基础设施相关的传统行业企业的安全防护资源的组织和利用不充分。监测、预警、响应、恢复等各个环节所需要的信息共享、预警通报，安全事件联动响应与数据备份恢复能力，都需要公共资源库

展开阅读全文