智慧城市的安全之道

沉默術士發表於2017-07-03

智慧城市是基於高度發達的計算機技術、網路技術而構建的新型城市。它運用物聯網、雲端計算、大資料、空間地理資訊整合、人工智慧等一系列新一代資訊科技促進城市規劃、建設、管理,以及服務。越來越多的智慧家居、智慧醫療、智慧交通、智慧社群等應用紛紛落地。

伴隨著“網際網路+”戰略的推進,我國的智慧城市建設正在加快落地的步伐。智慧城市建設的熱潮正在席捲全球,我國的智慧城市試點規模不斷擴大。從目前的應用上看,智慧城市正逐步克服資料在集中化、協同化等方面的技術難題,智慧城市的藍圖已清晰可見,但惡意竊取資料、對裝置的惡意攻擊等問題也隨之而來。

國家網際網路應急中心公佈的第23期網路安全資訊與動態週報顯示,我國境內感染網路病毒主機數量達到93.3萬,同比增長19.5%,境內被篡改網站總數3112個,同比增長4.9%……還有其他一些安全機構和安全公司釋出的安全報告。從這些安全機構和安全公司釋出的安全報告(見文末安全報告)中我們可以看出,在網際網路時代,這些傳統的網路安全威脅極有可能逐步滲透入智慧城市的建設中。與“網際網路+”相關的資訊保安風險也在逐步增加,行之有效的資訊保安策略正在逐步受到關注。

智慧城市建設涵蓋的行業眾多,電力、交通、醫療等領域均承載著大量的敏感資訊,智慧城市所面臨的網路安全風險,不再僅僅是資訊洩露、資訊系統無法使用等問題,而是會對現實世界造成直接的、實質性的、危害生命安全的影響。這些涉及個人、企業、政府的敏感資訊一旦洩露,將對公民個人權益、企業商業利益、國家資訊保安帶來不可估量的危害。因此,應妥善協調智慧城市發展與敏感資訊保護,積極探索新形勢下資料共享與資訊保護之間的關係,構建安全、可信的智慧城市健康發展環境。

  資訊和資料安全引各路英雄競折腰

2016年首都網路安全日和網路安全博覽會活動雖然已經落幕,但其展覽內容令人印象深刻,很多案例與大眾自身利益息息相關。不論老幼婦孺,都能夠從中瞭解一些網路安全知識,確保日常生活中上網行為安全,不僅如此,很多工控安全產品也成為了本次活動的亮點。此次博覽會期間,組委會還舉辦了政府與網路安全論壇,該論壇以“積極防禦、主動安全”為主題,圍繞政府網路安全、大資料安全、智慧城市安全、雲端計算安全等內容,邀請中國工程院院士沈昌祥、倪光南等專家做精彩報告。博覽會除吸引了百度、奇虎360、金山等一大批國內知名網際網路企業參展外,還吸引了眾多在安全領域頗有建樹的企業參展。參展產品涉及個人終端、態勢感知、工控,以及SOC安管平臺等。

作為山西參展企業,山西百信資訊科技有限公司在此次展會上釋出的產品主要包括兩大系列七款產品:其一是可信計算系列,包括採用TPCM可信PCIe卡的可信安全計算機、採用TCM可信模組的可信安全計算機和基於韌體技術和可信技術的可信安全計算機;其二是安全系列,包括基於龍芯3B1500的安全計算機、基於龍芯3A2000的安全計算機、基於龍芯3B1500的安全伺服器,以及和合作夥伴北京安普諾資訊科技有限公司共同開發的懸鏡Linux伺服器防黑加固平臺。公司技術總監唐道光表示,公司可信與安全系列產品採用自主智慧財產權晶片和自主智慧財產權作業系統,結合具有自主智慧財產權的資料庫和中介軟體,可滿足政府和企業的等級保護、分級保護資訊系統的要求。

而北京匡恩網路科技有限責任公司則展示了行動式、可移動的工控安全威脅評估平臺。平臺遵循國際、國家和行業標準,形成了多套具備嚴格理論依據的評估準則;通過多維度的評估分析方式(即威脅分析、資產分析、流量分析),全面滿足工業現場風險評估的需求,高效快捷地發現工控系統中存在的安全隱患,產生工控系統網路安全風險評估報告,提出有針對性的、系統性的完整解決方案。該平臺可廣泛應用於電力、石化、軌道交通、冶金、菸草、煤炭等重點行業,有效地保障重點行業企業工控系統的安全執行,降低各類風險發生的機率,提高了工控系統的安全可靠性和工業基礎設施應對網路攻擊的能力,避免因工控安全事件影響企業安全生產,進而危害國家安全和社會穩定。

此外,筆者還在該博覽會上看到了來自於威努特與東北大學聯合研發的“諦聽”工業網路空間安全態勢感知平臺。態勢感知平臺能夠持續地監測來自於網際網路的攻擊、系統漏洞、網站安全狀況、殭屍木馬蠕蟲等不安全因素,從而掌握網路安全隱患和實時瞭解攻擊態勢,並及時向有關部門預警通報監測到的網路威脅活動,為追蹤溯源提供線索。而啟明星辰也在此次博覽會期間正式啟動了“泰合安全威脅分析合作計劃”,向在安全威脅分析領域具有獨特優勢的廣大安全廠商開放泰合SOC安管平臺的南向和北向資料介面,其第一批合作伙伴包括烽火臺威脅情報聯盟、諾恆資訊、天際友盟和微步線上。

從這次博覽會活動我們可以看出,網路安全不僅涉及個人生活,而且還涉及國家安全。這已經引起了國家相關機構的重視,並且已經開始了相關的政策制定工作,安全解決方案提供商也躍躍欲試,積極研發。安全業界(政府和安全解決方案供應商)多次進行溝通,研究更有效的網路安全和資訊保安技術,探討如何完善有關網路安全、資訊保安等領域的技術、標準、法規。

時隔一個月,2016中國網路安全年會和2016中國智慧城市資料安全與產業合作高峰論壇分別在成都和貴陽兩地舉辦。前者主要通過“網路安全威脅情報”、“網路安全人才培養”、“個人隱私保護與資料安全”、“移動網際網路安全生態”、“漏洞安全及價值秩序”、“CNCERT-CIE網路安全學術論壇”等分論壇,交流網路安全工作新趨勢、新問題、新思路,展示網路安全研究最新成果,分享網路安全工作的最佳實踐和挑戰;後者主要圍繞智慧城市資料安全主題,探討大資料時代智慧城市發展的新觀點、新趨勢,以及相關政策、標準、法律規範等,為智慧城市的資料安全出謀劃策,同時為智慧城市資料安全領域新技術、新成果、新產品提供展示平臺。

在中國智慧城市資料安全與產業合作高峰論壇上,亞信安全業務發展總經理童寧提出了“網路空間平安城市”理念,並強調要將網路安全防護系統納入到智慧城市管理系統之中。通過列舉國家網際網路應急中心公佈的第15期網路安全資訊與動態週報中的一系列資料,童寧表示:“這一連串觸目驚心的數字,暗示著智慧城市建設中存在的巨大危機。例如,通過資訊保安漏洞,黑客可能會攻擊交通、水利、電力等基礎設施系統,造成經濟損失、社會秩序混亂乃至威脅國家安全,智慧城市的建設自然會受到影響。”他認為,平安城市不僅僅是指治安管理、災難預警、安全生產、社會監控等城市物理空間安全,同樣也應該指網路空間的安全性。而目前我國城市級網路空間安全管理的現狀不容樂觀,其問題突出體現在缺少城市一級的總體安全態勢監控、對公眾網路安全意識教育投入不夠、網路安全人員培養體系缺乏、網路安全管理邊界物件不清晰等。這些問題導致城市網路安全管理存在著一些漏洞,危險容易乘虛而入。

網路和資訊保安威脅日益複雜

6月15日,卡巴斯基公佈了一個全球性的伺服器訪問許可權販賣黑市。該黑市已販賣超過7萬臺被感染的伺服器的訪問許可權,其中最低售價僅為6美元。

根據目前掌握的資料顯示,該黑市2014年開始營業,並在2015年快速增長。到2016年5月,該黑市共有來自174個國家的70,624臺伺服器在售,由416名不同的銷售商提供。其中,受影響最嚴重的十個國家分別為:巴西、中國、俄羅斯、印度、西班牙、義大利、法國、澳大利亞、南非和馬來西亞。

該黑市是一種典型的新型網路犯罪黑市。這種黑市組織嚴密,從入門級別的網路罪犯到APT(高階可持續性威脅)組織都可獲取到快捷、廉價且易於使用的合法機構基礎設施的訪問許可權,令網路犯罪行為更隱蔽,潛伏時間更長。

卡巴斯基實驗室安全專家近期調查了這個專供網路罪犯購買和販賣被感染伺服器訪問許可權的全球性論壇。

伺服器在智慧城市建設中將被大規模運用,有被攻擊的可能性。常見的對伺服器的攻擊形式有兩種APT攻擊,而對網站實施攻擊的手段目前主要為DDoS攻擊。今年5月初,黑客組織“匿名者”向全球央行“宣戰”。希臘塞普勒斯的中央銀行(Centralbank.gov.cy)已經成為這起大戰的首個“犧牲品”,其銀行系統早些時候被DDoS攻擊下線至少35分鐘。

亞信安全技術總經理蔡昇欽指出:“匿名者的攻擊行動往往出於政治性目的,他們通常使用doxes、DNS攻擊、醜化、重定向、DDoS攻擊、資料庫資料洩露等攻擊手段,破壞攻擊目標的網路及資料。更大的威脅在於,黑客很可能採用緩慢滲透的方式來侵入防護嚴密的目標,這種高階持續性威脅(APT攻擊)不僅防範難度高,而且破壞力更大。”

如果說攻擊伺服器是要竊取企業或機關的重要資料的話,那麼攻擊個人終端產品的勒索模式則更令人氣憤。黑客可能會選擇中小企業終端裝置下手。這種網路釣魚等欺詐模式出現的頻率越來越高,線上金融威脅正在變得更為多樣,數量也持續增長。卡巴斯基實驗室和B2B International最近進行的一項研究顯示,48%的消費者曾經遭遇過線上欺詐,目的是欺騙使用者,讓使用者洩露自己的敏感資訊和金融資訊,以此獲利。調查結果顯示,11%的使用者由於遭遇線上攻擊而損失過錢財。

在為期12個月的調查期限內,在受訪者中,幾乎有一半的網際網路使用者都遭遇過金融威脅。這些威脅包括收到可疑的聲稱是來自銀行(22%)的電子郵件或是來自購物網站(15%)的電子郵件,還有要求使用者提供金融資料的可疑網頁(11%)。

遭遇金融威脅後,6%的受調查者表示由於線上欺詐,損失過錢財,還有4%通過金融組織洩露過個人資料,造成過損失,3%的使用者遭遇加密貨幣(例如比特幣)或電子貨幣基金被盜。整體來看,全球使用者中,有11%由於遭遇線上威脅,造成資金被盜。

研究發現,遭遇損失的使用者中,平均損失約為283美元,但是約五分之一(22%)的受損失使用者損失超過1,000美元。遭遇損失的使用者中,只有約一半(54%)採取措施追回了自己的損失,還有約四分之一(23%)的使用者沒有采取任何措施彌補損失。

以上針對伺服器的攻擊和網路勒索等事件僅僅是網路和資訊保安事件中的冰山一角。由於雲端計算技術將廣泛應用於智慧城市中,而新興的Docker容器技術正在被很多單位應用於自身雲平臺建設中,這種容器技術也存在漏洞,並非完全安全可靠。

近期網上曝出多起通過利用Docker Remote API未授權訪問漏洞,獲取程式碼或者獲取被攻擊者伺服器root許可權的安全事件。啟明星辰天鏡脆弱性掃描與管理系統V6.0目前已經支援對該漏洞進行檢測。啟明星辰提出針對此的修復建議:首先,使用TLS進行認證,防止Docker節點的2375埠被未授權訪問;其次,對伺服器2375埠進行嚴格的訪問控制,禁止公網地址訪問2375埠,只允許授權的地址對2375埠進行訪問。

威脅形式層出不窮,幾家安全分析機構和安全解決方案提供商近期釋出了幾個安全趨勢報告,報告展示了已經出現的和正潛伏在公眾身邊的安全威脅。本文文末節選了部分報告內容供讀者參考。

智慧城市建設成果與問題並存

在2016中國智慧城市資料安全與產業合作高峰論壇上,還發布了由工業和資訊化部電子科學技術情報研究所編著的《工業和資訊化藍皮書:世界網路安全發展報告2015—2016》。藍皮書指出,在中國,智慧城市建設工作也正在如火如荼地全面鋪開。截至目前,中國的智慧城市試點已接近300個,成果顯著,但如前文所述,傳統網路和資訊保安威脅正逐步滲透入智慧城市的建設過程中,網路和資訊保安工作亟待全面跟進。

在智慧城市建設中,通常將智慧城市劃分為感知層、通訊傳輸層、應用層、智慧分析等層面。這幾個層面哪個層面出現問題都有可能造成城市管理混亂,輕則資料洩露,重則事故頻發。智慧城市的安全風險又不同於傳統資訊保安風險,每個層面都存在著安全風險。

在感知層面上,可能存在以下三種風險。首先是許多感知裝置通常處於無人值守狀態, 不法分子可以直接使用物理手段將其破壞,使得智慧城市資訊感知層癱瘓。其次是不法分子可能通過特殊手段獲得感知裝置的儲存密碼和感知的資料,破壞感知器,癱瘓感知層,或者竊取資料。最後是通訊資源可能耗盡(IP地址不足)、選擇性轉發攻擊、節點干擾攻擊、資料注入或篡改攻擊、蟲洞攻擊、去同步化攻擊、重放攻擊等。任何一種攻擊都會使得智慧城市資訊感知層感知裝置被控制或無法工作。

在資料傳輸層面上,針對網路的攻擊更是花樣繁多:有針對接入裝置的認證攻擊、有針對系統和伺服器的分散式拒絕服務攻擊(DDoS)、有針對網路入侵檢測系統的攻擊、有針對資訊加密的攻擊等。

在應用層面上,存在破壞資料融合的攻擊、篡改資料的重程式設計攻擊、錯亂定位服務的攻擊等。此外,以往缺乏有效的平臺對智慧城市裡的各種終端裝置進行統一管理。幸運的是,目前已經有多款雲運維管理平臺面世,比如新華三的綠洲平臺,可以為使用者提供雲端統一管理。當然,還有一個更重要的問題是,在作業系統層面,缺乏有效的安全策略,這會導致機密資訊被洩露、程式碼被非法篡改等。除了新華三綠洲平臺外,還有一些運維管理平臺比較重視安全策略,可為客戶提供較為安全的綜合安全管理平臺,比如啟明星辰的SOC安管平臺。

在其他層面上,傳統安全威脅在智慧城市中會被不斷地放大。首先是雲服務可能存在漏洞,缺乏完善的安全策略,黑客有機可乘。其次是除了技術不足導致的資料洩露外,還有一些是由於內部人員的惡意洩露行為導致的。

讓智慧城市智慧且安全

目前,我國資訊保安標準已經正式釋出和在研的有近300項,專門針對智慧城市資訊保安的標準目前還有一些在研的包括物聯網安全標準、感測網安全標準、雲安全標準、大資料安全標準等,距離形成完善的智慧城市資訊保安標準體系,保障智慧城市基礎設施,提高智慧城市資訊保安技術防護和管理水平仍略顯不足。

由於智慧城市資訊保安標準的不完善,因此針對智慧城市資訊保安的檢測和認證工作尚無法全面開展。針對智慧城市資訊保安的檢驗檢測技術、認證認可技術和有效性保障技術與方法相對還有一些缺乏,很多不合安全標準的產品和方案都可投入智慧城市建設中,帶來諸多安全隱患,這或許會導致安全事故的發生。這需要一步步完善,在實踐中改善。

智慧城市的建設是一個複雜的系統工程,對於資訊保安保障系統的建設而言,需要以“保護業務的機密性、完整性和可用性”為目標,這包括物聯網接入的鑑別和訪問授權、控制機制;接入訪問的檢測與控制機制;資料的分級標記與分發機制;資料的完整性校驗機制;計算資源的分配與監控機制等。有一些網路產品解決方案供應商已經提出了一些接入安全解決方案,比如飛塔、銳捷等廠商。

這些資訊保安產品需要具備哪些安全技術才能稱之為安全產品?首先,在資訊科技產品中,需涉及以下安全技術,其中包括網管安全、伺服器安全、路由器安全、交換機安全、閘道器安全、網路協議安全、電磁資訊產品安全等。其次,還需要專門為增強資訊系統的安全性開發安全產品,它們涉及的技術包括身份認證(虹膜身份鑑別、指紋身份鑑別等)、防火牆、入侵檢測、通用安全模組等專用安全技術。

新技術推動了智慧城市的建設,最為典型的就是雲端計算技術的使用,特別是各種虛擬化技術的應用給使用者和安全解決方案提供商帶來了新的安全挑戰。尤其是網路虛擬化,它使得業務流量和網路裝置在物理層面上不再可控,大量的訪問對安全監控平臺的效能要求更為苛刻。當大量資料在網路上傳播時,一些隱私和機密資料該如何被加密傳輸。這需要雲服務提供商和安全解決方案提供商合作為使用者提供創新的安全服務,對資訊實施管理,並通過某種授權和控制手段,來限定哪些資料可以在哪些範圍內傳播。

除了技術角度外,從管理角度來看,有必要建立或健全安全管理體系和組織體系,完善安全執行管理機制,明確各職能部門的職責和分工,保障智慧城市的正常執行。此外,作為智慧城市整體規劃的一部分,要加強智慧城市建設過程中相關配套設施的建設,包括智慧城市中政府資訊系統、民生和城市公共服務系統,增強其安全防護能力。

當然,智慧城市的資訊保安保障,不僅僅是技術和管理層面的問題,還牽扯到立法、公眾意識、技術標準等多個層面。目前,在資訊共享、資源整合、標準統一、法規等方面還存在問題,需要進一步研究與探索,有關部門的立法工作也在緊鑼密鼓的展開。例如,近期,由工業和資訊化部指導,中國通訊企業協會、中國資訊通訊研究院主辦的中國通訊企業協會資訊通訊法治工作委員會成立大會順利召開,大會探討了在資訊化時代,如何完善資訊化標準和制訂相關法規的問題。

智慧城市,既要智慧,也要安全。

連結 亞信安全2016年第一季度網路安全威脅報告節選

上文中的一些安全威脅來自於一些第三方機構或安全解決方案提供商的安全報告,某些安全問題在智慧城市建設中仍會存在,並且會由於“蝴蝶效應”被放大,產生不良後果,以下內容節選自《亞信安全2016年第一季度網路安全威脅報告》,用以引起讀者注關注。

  2016年第一季度安全威脅

本季度安全警示:勒索軟體

1.本季度亞信安全病毒碼新增特徵約21萬條。截至2016年3月31日病毒碼12.436.60包含病毒特徵數約434萬條。

2.本季度亞信安全客戶終端檢測並攔截惡意程式約17,030萬次。

3.本季度亞信安全攔截的惡意URL地址共計306,742次。

本季度熱點話題為勒索軟體病毒。本季度勒索軟體病毒在全球爆發,已經成為威脅企業安全的頭號病毒。給企業帶來巨大災難的同時,卻給攻擊者帶來巨大的收益,因其使用比特幣進行交易,很難追蹤。FBI建議感染勒索軟體的使用者通過支付贖金進行解密,目前來看,即使支付贖金也不一定能保證可以完全恢復被加密的檔案。亞信安全提醒使用者,切勿開啟來歷不明的電子郵件,執行其附件。

2016年第一季度病毒威脅情況

在2016年第一季度新增病毒種類中,新增數量最大的病毒型別為TROJ(木馬病毒)型別。本季度新增木馬病毒特徵共計365,209個,和上季度相比數值略有增加。長期以來,木馬一直是中國地區捕獲數量最大的病毒型別,其佔比遠高於其它型別病毒,這是因為此種病毒通常以竊取攻擊目標的賬戶密碼等敏感資訊為目的,為病毒製造者帶來巨大經濟回報。

與上一季度相似,在TROJ (木馬病毒)之後,增加數量較多的病毒型別依次為BKDR(後門程式)、TSPY(木馬間諜軟體)、WORM(蠕蟲病毒)、JS(JavaScript病毒)和HT(黑客工具)。本季度新增病毒種類排名無明顯變化。

其中JS(JavaScript病毒)、HTML(HTML及ASP病毒)型別病毒與網頁掛馬有關,網頁掛馬是攻擊者常用攻擊型別。一些正常網站由於自身存在的缺陷漏洞,導致被入侵者掛馬,之後瀏覽被掛馬網頁的訪問者就會在毫不知情的情況下自動下載惡意檔案到本地。

以HT_打頭的病毒型別標記為“黑客工具”的檢測型別繼續上榜。網路黑市上大量工具公開售賣,獲取途徑越發簡單,造成當前這類病毒檢測數量居高不下。對於企業來說,及時為系統和程式打上漏洞補丁、採用強密碼賬戶,都是有效防止外部攻擊的方法。

2016年第一季度Web安全威脅情況

在2016年第一季度的資料中,通過Web傳播的惡意程式中,APK型別的可執行檔案佔總數的40%,所佔比例比上一季度42.5%的佔比有所下降。.APK檔案型別是通過Web傳播的主要檔案型別之一,針對此類檔案,我們建議企業使用者在閘道器處控制特定型別的檔案下載。

本季度通過Web傳播的惡意程式中,.EXE檔案所佔比例居高不下,此外.ZIP型別的檔案位居第三位。惡意軟體域名使用.COM、.CN、.NET的域名的站點佔總數94.00 %。其中.COM域名的惡意網頁數量最多。

2016年第一季度Web釣魚網站仿冒物件分析

從中國反釣魚聯盟得到的資料:2016年1月至2016年3月處理釣魚網站共計46,562個。2016年2月釣魚網站數量大幅減小,推測是因為春節的原因。3月釣魚網站又大幅增加,在所有釣魚網站中,“支付交易類”和“金融證券類”釣魚網站所佔比例最高,佔總數的99%以上。其中更以電子商務網站和銀行為仿冒物件的釣魚網站佔到絕大部分。第一季度的釣魚網站域名中,主要的域名來自於.COM、.CC、和.TK域名,其佔到本季度釣魚網站數量80%以上。


本文轉自d1net(轉載)


相關文章