您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
關鍵信息基礎設施安全十大風險隱患
習近平總書記指出,“網絡安全的本質在對抗,對抗的本質在攻防兩端能力較量”。網絡戰(zhàn)不是我們想不想打的問題,而是必須有效應對的問題。為有效應對敵對勢力的網絡戰(zhàn)威脅,保衛(wèi)國家安全,公安部近年來組織全國公安機關開展了多次攻防演習。通過演習,發(fā)現(xiàn)了關鍵信息基礎設施存在的十大突出風險隱患:
一、互聯(lián)網暴露點過多,非法外聯(lián)問題突出;
二、老舊漏洞不修補、弱口令等低級問題仍然存在;
三、內網缺乏分區(qū)分域隔離,重要數據保護措施不到位;
四、“神經中樞”類系統(tǒng)防護薄弱,系統(tǒng)和網絡訪問控制機制不健全;
五、供應鏈成為防護薄弱點,也成為黑客攻擊的橋梁;
六、重要信息、敏感信息在互聯(lián)網上泄露的問題嚴重;
七、基層單位網絡防守薄弱,可導致“一點突破,全網淪陷”的嚴重后果;
八、由于網絡廣泛互連,重點單位難以抵御跨網攻擊威脅;
九、數據全生命周期防護不到位,是網絡安全的最大短板;
十、網絡安全綜合防御體系尚未建立完善。
風險隱患具體分析如下:
問題一:大數據、云平臺、物聯(lián)網等安全防護薄弱,成為重點攻擊目標
當前,數據集中共享、業(yè)務云化融合、萬物互聯(lián)互通已經成為發(fā)展趨勢,也成為黑客關注的焦點,相關系統(tǒng)被攻擊破壞的事件層出不窮。部分重點單位對大數據、云平臺、物聯(lián)網安全的重視程度不夠,對其存在的安全風險認識不清,管理措施薄弱,技術防護措施不到位,成為重大風險隱患。許多單位的業(yè)務數據在多個部門之間傳遞、應用,數據在存儲、交換、應用過程中防范措施不落實,成為攻擊者的重點目標。
問題二:互聯(lián)網上的暴露點過多,成為攻擊者的首選攻擊入口
隨著重要行業(yè)部門的正面防護能力不斷提升,攻擊者越來越多地使用迂回攻擊的手段,通過攻擊防護薄弱的下屬單位避免正面對抗,往往能取得突出效果。部分重點單位總部防護措施完善,但對全行業(yè)網絡安全缺乏統(tǒng)籌管理,致使全行業(yè)網絡暴露面過寬,基層單位防護措施不到位,漏洞大量存在,成為攻擊者迂回攻擊的突破口。
問題三:內網防護不健全,缺乏縱深防御
一些重要行業(yè)單位重邊界防護、輕內部防御,缺乏分區(qū)分域隔離和域內防護措施,導致防護措施成為“馬其諾防線”,被輕易繞過。
問題四:核心系統(tǒng)和設備安全加固手段缺失,缺少精細防護措施,極易被攻擊者攻破。
“神經中樞”類系統(tǒng)缺乏重點加固,攻擊者可直搗網絡核心。一些重點單位對域控系統(tǒng)、殺毒管理后臺、堡壘機、身份認證系統(tǒng)等“神經中樞”重視不夠,沒有采取有效的精細化防護措施,可造成“一點被控,全網被控”的嚴重后果。
問題五:敏感信息泄露嚴重,成為網絡攻擊的“情報源”
一些重點單位的大量建設運維方案、網絡拓撲、賬號密碼、系統(tǒng)原始代碼等敏感信息被第三方上傳到共享網站上。攻擊者在境外代碼共享平臺 GitHub及百度網盤等平臺上獲取一些單位的系統(tǒng)源代碼,通過源代碼篩查,挖掘并利用零日漏洞,攻破內網,即可獲取重要數據資源。敵對勢力一旦竊取以上信息,就可以分析掌握我重要部門的發(fā)展動向,直擊我關鍵要害。
問題六:老舊資產、測試系統(tǒng)清理不及時,成為攻擊的重要跳板
部分單位網絡資產邊界不清、責任不明,老舊資產、測試系統(tǒng)未及時清理下線,缺乏安全防護措施,被攻擊利用而無法察覺。
問題七:遠程辦公和移動應用防護能力不強,成為攻擊的新渠道
許多重要行業(yè)部門和政府單位為便于業(yè)務開展,在內外網之間部署了大量VPN通道。攻擊者可通過信息搜集、資產測繪發(fā)現(xiàn)專網的VPN通道,并通過暴力破解、零日漏洞利用等手段,通過VPN進入單位內網;利用目錄訪問、弱口令、任意文件上傳等組合攻擊方式,獲得重要業(yè)務系統(tǒng)控制權。一旦系統(tǒng)被攻擊者關停或清空數據,就會造成業(yè)務癱瘓,嚴重影響經濟秩序和經濟安全。同時,移動App作為信息發(fā)布的重要渠道,其安全性未得到廣泛關注,極易被逆向、監(jiān)聽。
問題八:供應鏈安全管控不力,成為迂回攻擊的重要通道
長期以來,一些重點單位的網絡安全防護工作停留在單點防護、被動防護上,忽視了網絡安全的整體性、關聯(lián)性,使供應鏈攻擊成為屢試不爽的攻擊手段。大量提供產品供應、安全服務、域名服務的供應商未落實安全責任和安全措施,在產品供應、安全服務、域名服務等供應鏈安全方面問題突出;重要行業(yè)部門對供應商的管理措施缺失,導致供應鏈成為攻擊的跳板。
問題九:安全責任不落實、漏洞不修補、弱口令等低級問題長期存在
網絡安全工作,技術和管理要并重。由于一些單位管理不到位、整改不及時,很多漏洞風險被反復利用,給攻擊者帶來可乘之機。盡管大部分部委、央企的弱口令、老舊漏洞問題明顯改進,但地市級以下等基層單位安全意識薄弱,安全責任落實差,漏洞修補不及時、弱口令、口令復用等問題仍普遍存在。同時,基層單位對網絡安全重視不夠,防護措施不到位,成為網絡攻擊的突破口。
問題十:安全意識差,操作不規(guī)范,極易遭受社會工程學攻擊
除以信息系統(tǒng)為目標外,針對“重點人”的社會工程學攻擊手段危害極大,郵件釣魚、身份偽裝、信息套取等方法層出不窮。一些重點單位網絡安全管理措施不到位,系統(tǒng)管理員安全意識淡薄,成為黑客的圍獵目標,被長期跟蹤、重點盯控而毫無察覺,導致“關鍵人”丟掉了“關鍵系統(tǒng)”控制權。
另外,黑客組織和不法分子采取多種方式,利用多種手段、工具、技術等進行網絡攻擊:
一是將互聯(lián)網上的暴露點作為首選攻擊入口,從互聯(lián)網側實施攻擊;
二是利用老舊漏洞、弱口令、網上泄露的敏感信息等實施攻擊;
三是采取旁站攻擊、物理設備攻擊、跨網攻擊、郵箱系統(tǒng)攻擊、集權類設備攻擊等手段,實施入侵攻擊控制;
四是采取零日攻擊、供應鏈攻擊、免殺和加密隧道等隱性攻擊、釣魚攻擊、水坑攻擊,以及目標單位周邊WiFi攻擊、安全產品和IoT設備漏洞利用攻擊、核武器級漏洞利用攻擊、域名污染攻擊等新型攻擊手段,實施網絡攻擊、入侵控制、竊密等違法犯罪活動,給我國網絡安全帶來嚴重威脅和挑戰(zhàn)。
轉載自《<關鍵信息基礎設施安全保護條例><數據安全法>和網絡安全等級保護制度 解讀與實施》一書。
來源:關鍵信息基礎設施安全保護聯(lián)盟籌