多家媒体报道指出,这起网络攻击事件源头,是美国本土一家域名解析服务提供商的域名服务器遭受三波“分布式拒绝服务(DDOS)”攻击。与此同时,一场有关网络安全话题的“中国首届行业(私有)云安全技术论坛暨联盟成立仪式”(PCSF,下称“联盟”)在京举行。
信息安全等保制度2.0时代,如何防御网络攻击?
信息安全等级保护制度进入2.0时代
美国国土安全部部长杰·约翰逊证实并称,黑客在这起攻击中至少使用了一种名叫“未来”(Mirai)的病毒程序,该程序可以劫持摄像头与联网娱乐设备的物联网设备。事实上,不只是美国,国内高频次出现的电信网络诈骗等事件,也在拷问国家关键信息基础设施中的安全等重要公共服务、信息系统防护机制。
10月20日,由中国信息协会信息安全专业委员会牵头,联合公安部信息安全等保评估中心主办的“安全联盟论坛”在京举行。联盟筹备工作组希望具有实力和能力的社会机构企业“开放”自身专注的核心能力加入联盟,为重要关键设施提供有效可用的“落地”成果,并加强地区与国际交流,研讨行业趋势。
光明网记者采访了解到,国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代。公安部网络安全保卫局工程师郭启全表示,要构建“打防管控”一体化的网络安全综合防控体系,并全面开展信息通报预警工作,同时要建立网络安全重大漏洞隐患的监测发现和整改督办机制。
值得注意的是,此前已经完成公开征求意见的中国首部《网络安全法》也有望年内出台,很大程度上填补当前网络安全防范的空缺。
中国信息协会信息安全专委会副主任吴亚非也是该联盟的理事长。他说,随着国内外网络安全形势的发展,网际空间已成为新形势下国家安全重要领域之一,尤其在威胁常态化的今天,重要行业将建设行业私有云,安全是制约行业云发展的重要因素。
“我们也确实希望信息安全产业界能出现领先国际安全产业的独角兽。”公安部信息安全等级保护评估中心副主任张宇翔告诉记者,安全联盟的工作目标就是要落实国家等级保护制度,在等级保护2.0时代,面对威胁常态化,安全合规是基础,更需要创新。
“开放包容的联盟将会促进产业互补,无论是传统的IT服务供应商,还是众多的新型云服务供应商,共同推动等级保护关键技术的研发、应用以及解决新技术新应用安全问题。”张宇翔说。
网络安全的“变”与“不变”
2015年7月向社会公开征求意见的《网络安全法(草案)》明确提出,国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间。
随着“棱镜门”事件的曝光,国与国之间的信息安全对抗日益公开化,网际空间的安全威胁正逐渐呈国际化、复杂化和组织化发展趋势。监测数据显示,2015年仅我国政府网站被入侵次数多达21674次,比2014年增长36.7%。
据悉,来自外部的入侵和攻击与内部的违规非法操作行为,正在频繁冲击着国家关键信息基础设施。与此同时,随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,对信息安全的威胁正变得更加智能化和复杂化。
针对美国这起攻击事件,中新网络信息安全股份公司副总经理金锴分析认为,移动设备俨然成为当前DDOS攻击的最主要攻击源,并且呈现增大趋势,现有的DDOS技术手段无法有效防御。“而下一代信息安全防御体系的建设,则要从最早的单点防御,升级到行业云层面防御。”
然而,想要从源头上防御网络攻击事件的发生,更需要公众提高自身安全防范意识,主动参与对网络安全的保护。“未来,我们将加强对网际空间发展的跟踪研判,加强国际安全产业交流,不断提升安全研究能力、技术研发能力与落地能力,拓展产学研用链条,构筑更加完善的安全产业生态。”吴亚非最后说。