高级持续性网络威胁场景下的我区数字政府建设网络安全防范与思考

高级持续性网络威胁场景下的我区数字政府建设网络安全防范与思考

在全球数字化高速发展的大背景下，高级持续性威胁（Advanced Persistent Threat，以下简称APT）对各种关键信息基础设施造成的威胁日益严重，尤其是针对政府特定目标的有组织的APT攻击持续增多。面对如此严峻的安全形势，如何全面感知APT组织及相应攻击活动，成为数字政府网络安全防护的重中之重。


一、高级持续性威胁（APT）发展态势和研究现状


（一）APT发展态势和攻击特点。高级持续性网络威胁概念中，高级指攻击者具备全面的入侵技巧并且能够针对特定目标开发定制化的漏洞利用工具；持续指攻击者并不是单纯地对系统进行破坏，而是为了完成某项任务进行长期潜伏；威胁指有背景、有计划的攻击团队构成了受攻击目标的真正威胁。故相比于一般的网络攻击，APT具有更强的针对性、隐蔽性、持久性和组织性，同时APT攻击具有强大的影响力和破坏力。例如，2010年震网病毒迟滞了伊朗核计划，2015年乌克兰电网攻击造成大范围停电，2016年APT28和APT29干预了美国总统大选，2019年委内瑞拉、阿根廷、乌拉圭等南美国家遭受APT网络攻击大规模断电断网等。


近年来APT发展态势呈现以下几个特点：一是APT攻击活动更加频繁，攻击数量持续攀升，根据腾讯公布的统计数据，2019年APT攻击数量由2018年的400多起增加到约500起，增幅约20%；二是APT攻击的主要目标依然是政府和军事防务，而金融、能源和通信行业也逐渐成为APT的目标，自发生新冠肺炎疫情以来，围绕COVID-19的攻击成为新的热门；三是攻击手段方面，主要还是利用0day漏洞进行攻击，但利用广域网攻击、供应链攻击和移动终端攻击广泛成为新的手段，同时卡巴斯基、奇安信和腾讯等安全研究机构一致预测未来针对5G和物联网开展攻击将成为新态势。


（二）研究现状。防御APT首要是要感知和发现APT。现有的许多基于网络大数据和人工智能分析的攻击检测技术可以用于检测APT攻击，主要有异常流量检测技术、恶意代码异常检测技术、互联网安全事件挖掘技术和安全事件关联分析技术。异常流量检测技术由于网络流量的海量性限制且APT攻击持续时间非常长，容易对宽时间域内的网络风险及威胁出现漏测的情况；恶意代码异常检测技术克服了传统恶意代码特征匹配检测技术的不足，但针对隐蔽性很强的APT恶意代码检测还存在不足；互联网安全事件挖掘技术需要配合异常流量监测技术和恶意代码异常检测技术一起使用，才能更有效地检测APT攻击；安全事件关联分析技术存在的不足主要有攻击步骤关联分析中建立的攻击模型不够准确，以及关联对象类型仍不够全面。


二、数字政府面临的APT攻击形势日益严峻


根据腾讯发布的《全球高级持续性威胁(APT)2019年研究报告》显示：从行业分布上看，受攻击最多的是政府，占比达到17%，其次是军工行业、金融行业、科研单位；从攻击地域上来看，2019年中国大陆受APT攻击最多的地区为XX和广西。依据这些数据统计不难发现，我区数字政府面临的APT攻击形势尤其严峻。同时，在深入实施大数据战略加快数字广西建设的背景下，数据要素高效配置已成为驱动数字政府建设的内生动力，APT对政务数据的窃取和破坏将严重影响到我区政务部门履行社会治理的职能、损害人民群众和国家的利益、以及损害政府的声誉。网络攻防是敌我斗争的主要阵地和前沿阵地之一，我区数字政府网络安全面临严峻、复杂形势，丝毫不能掉以轻心。


面对严峻的安全形势，我区对数字政府网络安全也开展了大量研究和持续推进各项安全工作，总体上这些工作有效提升了我区数字政府的网络安全防护水平，间接上对防御APT起到了一定作用。具体工作包括：一是健全制度体系和标准规范。我区先后印发《广西政务数据安全管理办法》、《广西政务数据安全保障实施方案》等，并建立了广西数字政府一体安全联动工作联席会议制度，为全面推进数字政府一体安全工作夯实基础。二是加强顶层规划设计。从安全建设、安全防护、安全监测预警、安全分析与处置、安全联动指挥等方面进行规划建设，力争实现数字政府安全风险可见化、安全防御主动化、安全处置和运行自动化的安全目标。三是持续推进安全体系建设。自治区层面，不断完善云网安全防护体系，截至目前，政务云安全资源池、密码资源池、云网安全态势感知平台和灾备体系已建成和投入使用。四是加强督查问效。印发《2020年广西政务数据资源管理与应用改革评估指标》，将安全保障评估指标纳入对各市各部门的年度绩效考核，主要考核基础设施安全、信息系统安全、数据安全等内容。


同时，我区数字政府网络安全防护与管理还存在一些不足。一是网络安全防护基础设施薄弱。自治区各部门安全建设水平参差不齐，市县各部门安全防护设施总体上较弱，例如，根据2019年《关于组织开展广西全区政务外网边界安全专项检查工作的通知》相关工作统计数据显示，14个市级政务外网进行等保三级备案和通过测评的比例仅为50%。二是安全管理政策落地难。当前安全工作依然存在多头管理、责任盲区、缺乏有效评估和督查手段等问题，导致部分安全制度仍停留在纸面上，未能得到落实。三是APT安全技术防护能力不足。APT是网络攻击中最高级别的对抗，一般合规性的网络安全防护系统建设缺乏针对性的APT防御设计，目前市场上也缺乏比较有效的APT检测和防御产品。四是安全专业人才不足，安全领域人才紧缺，且引进较难。


三、对策建议


（一）强化政务部门工作人员网络安全意识。APT攻击在侦查准备阶段，搜集信息往往是在个人用户身上取得突破口，如通过盗版软件、钓鱼邮件、钓鱼网站和基于社会工程学等收集到可利用的弱点进行侵入。通过网络安全宣传、学习和培训提升政务部门工作人员网络安全意识，养成安全使用计算机系统和网络的习惯，能够大大增加APT攻击者的成本，筑牢防控APT攻击的第一道防线。


（二）强化跟踪问效，发挥督查督办利剑作用。建立科学的数字政府网络安全工作评估和绩效考核体系，增强督查督办工作的主动性、系统性、广泛性、针对性和实效性，采取线上查、实地查、随时查、定期查、回头查等多种督查方式，督进展、促整改，树典型、找经验，查问题、提建议，确保安全措施和责任落到实处，切实补齐数字政府网络安全防护的短板，织密全区数字政府安全防护网。


（三）加快提升APT安全技术防护能力。探索研究建立先进的APT检测算法与模型，在现有的云网安全态势感知平台基础上持续完善APT检测系统建设，利用人工智能技术增强APT检测和防御能力。加强与国家计算机网络应急技术处理协调中心、腾讯和奇安信等行业领先机构或企业合作，及时获取最新0day漏洞、APT安全情报和知识等，快速提升我区APT安全技术防护能力。


（四）建立安全专业人才技术队伍。APT攻防最终是攻防双方背后人才的对抗，亟需建立一支专业人才技术队伍。要创建安全专业人才健康成长的环境，重视安全专业人才的培训培养，提升安全专业人才的成长空间和地位待遇等。充分利用各种支持政策制度，倾斜性挖掘和引进安全人才。整合政府部门、企业、高校的人才资源，联合组建技术队伍，营造有利于数字政府网络安全发展的良好氛围。






文章转载网络，只供大家学习交流，版权归属作者，如有侵权请与网站管理员联系。