习总书记指出:“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”。网络战不是我们想不想打的问题,而是必须有效应对的问题。为有效应对敌对势力的网络战威胁,保卫国家安全。为此我国第一个关键信息基础设施安全保护标准2023年5月1日起正式施行。
为切实做好这一具有里程碑意义的关键标准落地实施与应用指导工作,4月19日,由公安部网络安全保卫局主办的《关键信息基础设施安全保护要求》国家标准宣贯会在京成功举办。
与会嘉宾围绕标准解读、建设实践等方面进行深入研讨与交流。来自国家重要行业领域关键信息基础设施安全保护工作部门和运营使用单位有关负责同志,全国各省级公安网安部门有关负责同志,以及部分研究机构、安全厂商代表300余人参加了本次会议。
此次宣贯会议的召开,标志着关键信息基础设施保护工作进入了一个新的阶段。
为有效应对敌对势力的网络战威胁,保卫国家安全,公安部近年来组织全国公安机关开展了多次攻防演习。通过演习,发现了关键信息基础设施存在的十大突出风险隐患:
当前,数据集中共享、业务云化融合、万物互联互通已经成为发展趋势,也成为黑客关注的焦点,相关系统被攻击破坏的事件层出不穷。部分重点单位对大数据、云平台、物联网安全的重视程度不够,对其存在的安全风险认识不清,管理措施薄弱,技术防护措施不到位,成为重大风险隐患。许多单位的业务数据在多个部门之间传递、应用,数据在存储、交换、应用过程中防范措施不落实,成为攻击者的重点目标。
随着重要行业部门的正面防护能力不断提升,攻击者越来越多地使用迂回攻击的手段,通过攻击防护薄弱的下属单位避免正面对抗,往往能取得突出效果。部分重点单位总部防护措施完善,但对全行业网络安全缺乏统筹管理,致使全行业网络暴露面过宽,基层单位防护措施不到位,漏洞大量存在,成为攻击者迂回攻击的突破口。
一些重要行业单位重边界防护、轻内部防御,缺乏分区分域隔离和域内防护措施,导致防护措施成为“马其诺防线”,被轻易绕过。
“神经中枢”类系统缺乏重点加固,攻击者可直捣网络核心。一些重点单位对域控系统、杀毒管理后台、堡垒机、身份认证系统等“神经中枢”重视不够,没有采取有效的精细化防护措施,可造成“一点被控,全网被控”的严重后果。
一些重点单位的大量建设运维方案、网络拓扑、账号密码、系统原始代码等敏感信息被第三方上传到共享网站上。攻击者在境外代码共享平台 GitHub及百度网盘等平台上获取一些单位的系统源代码,通过源代码筛查,挖掘并利用零日漏洞,攻破内网,即可获取重要数据资源。敌对势力一旦窃取以上信息,就可以分析掌握我重要部门的发展动向,直击我关键要害。
部分单位网络资产边界不清、责任不明,老旧资产、测试系统未及时清理下线,缺乏安全防护措施,被攻击利用而无法察觉。
许多重要行业部门和政府单位为便于业务开展,在内外网之间部署了大量VPN通道。攻击者可通过信息搜集、资产测绘发现专网的VPN通道,并通过暴力破解、零日漏洞利用等手段,通过VPN进入单位内网;利用目录访问、弱口令、任意文件上传等组合攻击方式,获得重要业务系统控制权。一旦系统被攻击者关停或清空数据,就会造成业务瘫痪,严重影响经济秩序和经济安全。同时,移动App作为信息发布的重要渠道,其安全性未得到广泛关注,极易被逆向、监听。
长期以来,一些重点单位的网络安全防护工作停留在单点防护、被动防护上,忽视了网络安全的整体性、关联性,使供应链攻击成为屡试不爽的攻击手段。大量提供产品供应、安全服务、域名服务的供应商未落实安全责任和安全措施,在产品供应、安全服务、域名服务等供应链安全方面问题突出;重要行业部门对供应商的管理措施缺失,导致供应链成为攻击的跳板。
网络安全工作,技术和管理要并重。由于一些单位管理不到位、整改不及时,很多漏洞风险被反复利用,给攻击者带来可乘之机。尽管大部分部委、央企的弱口令、老旧漏洞问题明显改进,但地市级以下等基层单位安全意识薄弱,安全责任落实差,漏洞修补不及时、弱口令、口令复用等问题仍普遍存在。同时,基层单位对网络安全重视不够,防护措施不到位,成为网络攻击的突破口。
除以信息系统为目标外,针对“重点人”的社会工程学攻击手段危害极大,邮件钓鱼、身份伪装、信息套取等方法层出不穷。一些重点单位网络安全管理措施不到位,系统管理员安全意识淡薄,成为黑客的围猎目标,被长期跟踪、重点盯控而毫无察觉,导致“关键人”丢掉了“关键系统”控制权。
关键信息基础设施保护是一个系统工程,有关单位和部门要将网络安全等级保护制度、关键信息基础设施安全保护制度和数据安全保护制度三个制度在法律、政策、标准等方面形成有机衔接的体系。
公安机关将大力加强关键信息基础设施安全监管,严厉打击相关网络违法犯罪活动,与有关部门密切配合,着力构建关键信息基础设施综合防御体系,大力提升综合防御能力和水平,坚决维护国家网络空间安全。
来源:公安部网安局、关保联盟
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
多一个点在看多一条小鱼干
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...