如果说攻击服务器是要窃取企业或机关的重要数据的话,那么攻击个人终端产品的勒索模式则更令人气愤。黑客可能会选择中小企业终端设备下手。这种网络钓鱼等欺诈模式出现的频率越来越高,在线金融威胁正在变得更为多样,数量也持续增长。卡巴斯基实验室和B2BInternational最近进行的一项研究显示,48%的消费者曾经遭遇过在线欺诈,目的是欺骗用户,让用户泄露自己的敏感信息和金融信息,以此获利。调查结果显示,11%的用户由于遭遇在线攻击而损失过钱财。
在为期12个月的调查期限内,在受访者中,几乎有一半的互联网用户都遭遇过金融威胁。这些威胁包括收到可疑的声称是来自银行(22%)的电子邮件或是来自购物网站(15%)的电子邮件,还有要求用户提供金融数据的可疑网页(11%)。
遭遇金融威胁后,6%的受调查者表示由于在线欺诈,损失过钱财,还有4%通过金融组织泄露过个人数据,造成过损失,3%的用户遭遇加密货币(例如比特币)或电子货币基金被盗。整体来看,全球用户中,有11%由于遭遇在线威胁,造成资金被盗。
研究发现,遭遇损失的用户中,平均损失约为283美元,但是约五分之一(22%)的受损失用户损失超过1,000美元。遭遇损失的用户中,只有约一半(54%)采取措施追回了自己的损失,还有约四分之一(23%)的用户没有采取任何措施弥补损失。
以上针对服务器的攻击和网络勒索等事件仅仅是网络和信息安全事件中的冰山一角。由于云计算技术将广泛应用于智慧城市中,而新兴的Docker容器技术正在被很多单位应用于自身云平台建设中,这种容器技术也存在漏洞,并非完全安全可靠。
近期网上曝出多起通过利用DockerRemoteAPI未授权访问漏洞,获取代码或者获取被攻击者服务器root权限的安全事件。启明星辰天镜脆弱性扫描与管理系统V6.0目前已经支持对该漏洞进行检测。启明星辰提出针对此的修复建议:首先,使用TLS进行认证,防止Docker节点的2375端口被未授权访问;其次,对服务器2375端口进行严格的访问控制,禁止公网地址访问2375端口,只允许授权的地址对2375端口进行访问。
威胁形式层出不穷,几家安全分析机构和安全解决方案提供商近期发布了几个安全趋势报告,报告展示了已经出现的和正潜伏在公众身边的安全威胁。本文文末节选了部分报告内容供读者参考。
智慧城市建设成果与问题并存
在2016中国智慧城市数据安全与产业合作高峰论坛上,还发布了由工业和信息化部电子科学技术情报研究所编著的《工业和信息化蓝皮书:世界网络安全发展报告2015—2016》。蓝皮书指出,在中国,智慧城市建设工作也正在如火如荼地全面铺开。截至目前,中国的智慧城市试点已接近300个,成果显著,但如前文所述,传统网络和信息安全威胁正逐步渗透入智慧城市的建设过程中,网络和信息安全工作亟待全面跟进。
在智慧城市建设中,通常将智慧城市划分为感知层、通信传输层、应用层、智能分析等层面。这几个层面哪个层面出现问题都有可能造成城市管理混乱,轻则数据泄露,重则事故频发。智慧城市的安全风险又不同于传统信息安全风险,每个层面都存在着安全风险。
在感知层面上,可能存在以下三种风险。首先是许多感知设备通常处于无人值守状态,不法分子可以直接使用物理手段将其破坏,使得智慧城市信息感知层瘫痪。其次是不法分子可能通过特殊手段获得感知设备的存储密码和感知的数据,破坏感知器,瘫痪感知层,或者窃取数据。最后是通信资源可能耗尽(IP地址不足)、选择性转发攻击、节点干扰攻击、数据注入或篡改攻击、虫洞攻击、去同步化攻击、重放攻击等。任何一种攻击都会使得智慧城市信息感知层感知设备被控制或无法工作。
在数据传输层面上,针对网络的攻击更是花样繁多:有针对接入设备的认证攻击、有针对系统和服务器的分布式拒绝服务攻击(DDoS)、有针对网络入侵检测系统的攻击、有针对信息加密的攻击等。
在应用层面上,存在破坏数据融合的攻击、篡改数据的重编程攻击、错乱定位服务的攻击等。此外,以往缺乏有效的平台对智慧城市里的各种终端设备进行统一管理。幸运的是,目前已经有多款云运维管理平台面世,比如新华三的绿洲平台,可以为用户提供云端统一管理。当然,还有一个更重要的问题是,在操作系统层面,缺乏有效的安全策略,这会导致机密信息被泄露、代码被非法篡改等。除了新华三绿洲平台外,还有一些运维管理平台比较重视安全策略,可为客户提供较为安全的综合安全管理平台,比如启明星辰的SOC安管平台。
在其他层面上,传统安全威胁在智慧城市中会被不断地放大。首先是云服务可能存在漏洞,缺乏完善的安全策略,黑客有机可乘。其次是除了技术不足导致的数据泄露外,还有一些是由于内部人员的恶意泄露行为导致的。
让智慧城市智慧且安全
目前,我国信息安全标准已经正式发布和在研的有近300项,专门针对智慧城市信息安全的标准目前还有一些在研的包括物联网安全标准、传感网安全标准、云安全标准、大数据安全标准等,距离形成完善的智慧城市信息安全标准体系,保障智慧城市基础设施,提高智慧城市信息安全技术防护和管理水平仍略显不足。
由于智慧城市信息安全标准的不完善,因此针对智慧城市信息安全的检测和认证工作尚无法全面开展。针对智慧城市信息安全的检验检测技术、认证认可技术和有效性保障技术与方法相对还有一些缺乏,很多不合安全标准的产品和方案都可投入智慧城市建设中,带来诸多安全隐患,这或许会导致安全事故的发生。这需要一步步完善,在实践中改善。
智慧城市的建设是一个复杂的系统工程,对于信息安全保障系统的建设而言,需要以“保护业务的机密性、完整性和可用性”为目标,这包括物联网接入的鉴别和访问授权、控制机制;接入访问的检测与控制机制;数据的分级标记与分发机制;数据的完整性校验机制;计算资源的分配与监控机制等。有一些网络产品解决方案供应商已经提出了一些接入安全解决方案,比如飞塔、锐捷等厂商。
这些信息安全产品需要具备哪些安全技术才能称之为安全产品?首先,在信息技术产品中,需涉及以下安全技术,其中包括网管安全、服务器安全、路由器安全、交换机安全、网关安全、网络协议安全、电磁信息产品安全等。其次,还需要专门为增强信息系统的安全性开发安全产品,它们涉及的技术包括身份认证(虹膜身份鉴别、指纹身份鉴别等)、防火墙、入侵检测、通用安全模块等专用安全技术。
新技术推动了智慧城市的建设,最为典型的就是云计算技术的使用,特别是各种虚拟化技术的应用给用户和安全解决方案提供商带来了新的安全挑战。尤其是网络虚拟化,它使得业务流量和网络设备在物理层面上不再可控,大量的访问对安全监控平台的性能要求更为苛刻。当大量数据在网络上传播时,一些隐私和机密数据该如何被加密传输。这需要云服务提供商和安全解决方案提供商合作为用户提供创新的安全服务,对信息实施管理,并通过某种授权和控制手段,来限定哪些数据可以在哪些范围内传播。
除了技术角度外,从管理角度来看,有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,保障智慧城市的正常运行。此外,作为智慧城市整体规划的一部分,要加强智慧城市建设过程中相关配套设施的建设,包括智慧城市中政府信息系统、民生和城市公共服务系统,增强其安全防护能力。
当然,智慧城市的信息安全保障,不仅仅是技术和管理层面的问题,还牵扯到立法、公众意识、技术标准等多个层面。目前,在信息共享、资源整合、标准统一、法规等方面还存在问题,需要进一步研究与探索,有关部门的立法工作也在紧锣密鼓的展开。例如,近期,由工业和信息化部指导,中国通信企业协会、中国信息通信研究院主办的中国通信企业协会信息通信法治工作委员会成立大会顺利召开,大会探讨了在信息化时代,如何完善信息化标准和制订相关法规的问题。
智慧城市,既要智慧,也要安全。
