您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
關(guān)鍵信息基礎(chǔ)設(shè)施安全十大風(fēng)險(xiǎn)隱患
習(xí)近平總書記指出,“網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗,對(duì)抗的本質(zhì)在攻防兩端能力較量”。網(wǎng)絡(luò)戰(zhàn)不是我們想不想打的問題,而是必須有效應(yīng)對(duì)的問題。為有效應(yīng)對(duì)敵對(duì)勢(shì)力的網(wǎng)絡(luò)戰(zhàn)威脅,保衛(wèi)國(guó)家安全,公安部近年來組織全國(guó)公安機(jī)關(guān)開展了多次攻防演習(xí)。通過演習(xí),發(fā)現(xiàn)了關(guān)鍵信息基礎(chǔ)設(shè)施存在的十大突出風(fēng)險(xiǎn)隱患:
一、互聯(lián)網(wǎng)暴露點(diǎn)過多,非法外聯(lián)問題突出;
二、老舊漏洞不修補(bǔ)、弱口令等低級(jí)問題仍然存在;
三、內(nèi)網(wǎng)缺乏分區(qū)分域隔離,重要數(shù)據(jù)保護(hù)措施不到位;
四、“神經(jīng)中樞”類系統(tǒng)防護(hù)薄弱,系統(tǒng)和網(wǎng)絡(luò)訪問控制機(jī)制不健全;
五、供應(yīng)鏈成為防護(hù)薄弱點(diǎn),也成為黑客攻擊的橋梁;
六、重要信息、敏感信息在互聯(lián)網(wǎng)上泄露的問題嚴(yán)重;
七、基層單位網(wǎng)絡(luò)防守薄弱,可導(dǎo)致“一點(diǎn)突破,全網(wǎng)淪陷”的嚴(yán)重后果;
八、由于網(wǎng)絡(luò)廣泛互連,重點(diǎn)單位難以抵御跨網(wǎng)攻擊威脅;
九、數(shù)據(jù)全生命周期防護(hù)不到位,是網(wǎng)絡(luò)安全的最大短板;
十、網(wǎng)絡(luò)安全綜合防御體系尚未建立完善。
風(fēng)險(xiǎn)隱患具體分析如下:
問題一:大數(shù)據(jù)、云平臺(tái)、物聯(lián)網(wǎng)等安全防護(hù)薄弱,成為重點(diǎn)攻擊目標(biāo)
當(dāng)前,數(shù)據(jù)集中共享、業(yè)務(wù)云化融合、萬物互聯(lián)互通已經(jīng)成為發(fā)展趨勢(shì),也成為黑客關(guān)注的焦點(diǎn),相關(guān)系統(tǒng)被攻擊破壞的事件層出不窮。部分重點(diǎn)單位對(duì)大數(shù)據(jù)、云平臺(tái)、物聯(lián)網(wǎng)安全的重視程度不夠,對(duì)其存在的安全風(fēng)險(xiǎn)認(rèn)識(shí)不清,管理措施薄弱,技術(shù)防護(hù)措施不到位,成為重大風(fēng)險(xiǎn)隱患。許多單位的業(yè)務(wù)數(shù)據(jù)在多個(gè)部門之間傳遞、應(yīng)用,數(shù)據(jù)在存儲(chǔ)、交換、應(yīng)用過程中防范措施不落實(shí),成為攻擊者的重點(diǎn)目標(biāo)。
問題二:互聯(lián)網(wǎng)上的暴露點(diǎn)過多,成為攻擊者的首選攻擊入口
隨著重要行業(yè)部門的正面防護(hù)能力不斷提升,攻擊者越來越多地使用迂回攻擊的手段,通過攻擊防護(hù)薄弱的下屬單位避免正面對(duì)抗,往往能取得突出效果。部分重點(diǎn)單位總部防護(hù)措施完善,但對(duì)全行業(yè)網(wǎng)絡(luò)安全缺乏統(tǒng)籌管理,致使全行業(yè)網(wǎng)絡(luò)暴露面過寬,基層單位防護(hù)措施不到位,漏洞大量存在,成為攻擊者迂回攻擊的突破口。
問題三:內(nèi)網(wǎng)防護(hù)不健全,缺乏縱深防御
一些重要行業(yè)單位重邊界防護(hù)、輕內(nèi)部防御,缺乏分區(qū)分域隔離和域內(nèi)防護(hù)措施,導(dǎo)致防護(hù)措施成為“馬其諾防線”,被輕易繞過。
問題四:核心系統(tǒng)和設(shè)備安全加固手段缺失,缺少精細(xì)防護(hù)措施,極易被攻擊者攻破。
“神經(jīng)中樞”類系統(tǒng)缺乏重點(diǎn)加固,攻擊者可直搗網(wǎng)絡(luò)核心。一些重點(diǎn)單位對(duì)域控系統(tǒng)、殺毒管理后臺(tái)、堡壘機(jī)、身份認(rèn)證系統(tǒng)等“神經(jīng)中樞”重視不夠,沒有采取有效的精細(xì)化防護(hù)措施,可造成“一點(diǎn)被控,全網(wǎng)被控”的嚴(yán)重后果。
問題五:敏感信息泄露嚴(yán)重,成為網(wǎng)絡(luò)攻擊的“情報(bào)源”
一些重點(diǎn)單位的大量建設(shè)運(yùn)維方案、網(wǎng)絡(luò)拓?fù)洹①~號(hào)密碼、系統(tǒng)原始代碼等敏感信息被第三方上傳到共享網(wǎng)站上。攻擊者在境外代碼共享平臺(tái) GitHub及百度網(wǎng)盤等平臺(tái)上獲取一些單位的系統(tǒng)源代碼,通過源代碼篩查,挖掘并利用零日漏洞,攻破內(nèi)網(wǎng),即可獲取重要數(shù)據(jù)資源。敵對(duì)勢(shì)力一旦竊取以上信息,就可以分析掌握我重要部門的發(fā)展動(dòng)向,直擊我關(guān)鍵要害。
問題六:老舊資產(chǎn)、測(cè)試系統(tǒng)清理不及時(shí),成為攻擊的重要跳板
部分單位網(wǎng)絡(luò)資產(chǎn)邊界不清、責(zé)任不明,老舊資產(chǎn)、測(cè)試系統(tǒng)未及時(shí)清理下線,缺乏安全防護(hù)措施,被攻擊利用而無法察覺。
問題七:遠(yuǎn)程辦公和移動(dòng)應(yīng)用防護(hù)能力不強(qiáng),成為攻擊的新渠道
許多重要行業(yè)部門和政府單位為便于業(yè)務(wù)開展,在內(nèi)外網(wǎng)之間部署了大量VPN通道。攻擊者可通過信息搜集、資產(chǎn)測(cè)繪發(fā)現(xiàn)專網(wǎng)的VPN通道,并通過暴力破解、零日漏洞利用等手段,通過VPN進(jìn)入單位內(nèi)網(wǎng);利用目錄訪問、弱口令、任意文件上傳等組合攻擊方式,獲得重要業(yè)務(wù)系統(tǒng)控制權(quán)。一旦系統(tǒng)被攻擊者關(guān)停或清空數(shù)據(jù),就會(huì)造成業(yè)務(wù)癱瘓,嚴(yán)重影響經(jīng)濟(jì)秩序和經(jīng)濟(jì)安全。同時(shí),移動(dòng)App作為信息發(fā)布的重要渠道,其安全性未得到廣泛關(guān)注,極易被逆向、監(jiān)聽。
問題八:供應(yīng)鏈安全管控不力,成為迂回攻擊的重要通道
長(zhǎng)期以來,一些重點(diǎn)單位的網(wǎng)絡(luò)安全防護(hù)工作停留在單點(diǎn)防護(hù)、被動(dòng)防護(hù)上,忽視了網(wǎng)絡(luò)安全的整體性、關(guān)聯(lián)性,使供應(yīng)鏈攻擊成為屢試不爽的攻擊手段。大量提供產(chǎn)品供應(yīng)、安全服務(wù)、域名服務(wù)的供應(yīng)商未落實(shí)安全責(zé)任和安全措施,在產(chǎn)品供應(yīng)、安全服務(wù)、域名服務(wù)等供應(yīng)鏈安全方面問題突出;重要行業(yè)部門對(duì)供應(yīng)商的管理措施缺失,導(dǎo)致供應(yīng)鏈成為攻擊的跳板。
問題九:安全責(zé)任不落實(shí)、漏洞不修補(bǔ)、弱口令等低級(jí)問題長(zhǎng)期存在
網(wǎng)絡(luò)安全工作,技術(shù)和管理要并重。由于一些單位管理不到位、整改不及時(shí),很多漏洞風(fēng)險(xiǎn)被反復(fù)利用,給攻擊者帶來可乘之機(jī)。盡管大部分部委、央企的弱口令、老舊漏洞問題明顯改進(jìn),但地市級(jí)以下等基層單位安全意識(shí)薄弱,安全責(zé)任落實(shí)差,漏洞修補(bǔ)不及時(shí)、弱口令、口令復(fù)用等問題仍普遍存在。同時(shí),基層單位對(duì)網(wǎng)絡(luò)安全重視不夠,防護(hù)措施不到位,成為網(wǎng)絡(luò)攻擊的突破口。
問題十:安全意識(shí)差,操作不規(guī)范,極易遭受社會(huì)工程學(xué)攻擊
除以信息系統(tǒng)為目標(biāo)外,針對(duì)“重點(diǎn)人”的社會(huì)工程學(xué)攻擊手段危害極大,郵件釣魚、身份偽裝、信息套取等方法層出不窮。一些重點(diǎn)單位網(wǎng)絡(luò)安全管理措施不到位,系統(tǒng)管理員安全意識(shí)淡薄,成為黑客的圍獵目標(biāo),被長(zhǎng)期跟蹤、重點(diǎn)盯控而毫無察覺,導(dǎo)致“關(guān)鍵人”丟掉了“關(guān)鍵系統(tǒng)”控制權(quán)。
另外,黑客組織和不法分子采取多種方式,利用多種手段、工具、技術(shù)等進(jìn)行網(wǎng)絡(luò)攻擊:
一是將互聯(lián)網(wǎng)上的暴露點(diǎn)作為首選攻擊入口,從互聯(lián)網(wǎng)側(cè)實(shí)施攻擊;
二是利用老舊漏洞、弱口令、網(wǎng)上泄露的敏感信息等實(shí)施攻擊;
三是采取旁站攻擊、物理設(shè)備攻擊、跨網(wǎng)攻擊、郵箱系統(tǒng)攻擊、集權(quán)類設(shè)備攻擊等手段,實(shí)施入侵攻擊控制;
四是采取零日攻擊、供應(yīng)鏈攻擊、免殺和加密隧道等隱性攻擊、釣魚攻擊、水坑攻擊,以及目標(biāo)單位周邊WiFi攻擊、安全產(chǎn)品和IoT設(shè)備漏洞利用攻擊、核武器級(jí)漏洞利用攻擊、域名污染攻擊等新型攻擊手段,實(shí)施網(wǎng)絡(luò)攻擊、入侵控制、竊密等違法犯罪活動(dòng),給我國(guó)網(wǎng)絡(luò)安全帶來嚴(yán)重威脅和挑戰(zhàn)。
轉(zhuǎn)載自《<關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例><數(shù)據(jù)安全法>和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度 解讀與實(shí)施》一書。
來源:關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟籌