|
信息网络不仅渗透到日常生活的方方面面,同时也控制了国家的交通、能源、金融等各类基础设施,还是军事指挥的重要基础平台,承载了巨大的社会价值和国家利益。因此,无论是技术实力雄厚的黑客组织,还是信息技术发达的国家机构,都在试图通过对信息网络的渗透、控制和破坏,获取相应的价值。网络空间安全问题自然成为世界各国的重要战略问题之一。
信息安全技术近年来在攻防两方面都取得了大量的技术突破。攻击者不断利用技术、管理和人性的弱点实施渗透,而网络安全防御体系也在逐步完善;大数据、量子通信等新技术的发展,也带来发展信息安全技术的新思路,正推动着信息安全技术的变革。下面将从网络攻击与对抗、大数据安全与隐私保护、量子通信与抗量子密码、工业控制系统安全和网络空间身份管理等5个方面介绍近年来国内外信息安全技术的最新进展,并展望未来。
国际进展
世界各国越来越重视信息安全技术的研发和产业的推动。2016年2月9日,美国政府发布新的《网络空间安全国家行动计划》,明确指出“网络空间安全是国家面临的最大挑战”。该计划在资金、技术、人才培养等多方面做了统筹规划。
1. 网络攻击与对抗
网络空间已经是国家间对抗的重要战场之一。美国政府早在2009年就成立了网络战部队,2014年美国国防部发布《四年防务评估报告》,明确指出要发展新的网络战能力,建设133支网络战部队。2015年曝光的美国国防部合同显示,美国正利用民间机构扩展其网络攻击能力。黑色产业链的繁荣也促使大量的黑客组织参与网络攻击,以获取经济利益。
目前,针对特定目标,利用未知漏洞进行渗透,综合应用各类先进技术手段的有组织攻击越来越多。这些攻击技术具有水平高、隐蔽性强、防御和检测难度大、破坏性强等特点。对这类攻击,业界将其统称为高可持续性威胁(advancedpresentencethreat,APT)攻击。近年来爆发的APT重大事件既包括国家间的对抗(如2010年攻击伊朗核电站的震网蠕虫),也有实力雄厚的网络安全企业被入侵(如2011年RSA 公司遭受的APT攻击,造成企业核心机密数据SecurID数据泄露;2015年以黑客技术著称的HackingTeam 公司,遭受APT攻击,造成大量的源代码及相关技术方案资料泄露)。在APT攻击过程中,非常基础的技术资源之一就是未知漏洞。因此,软件漏洞(图1)发掘与分析,也是近年来的研究热点。并行化模糊测试技术的进一步完善,提高了软件漏洞的发现能力。一系列技术也成功转化为成熟的产品,如国际上的Peach、Sulley等系统。
图1 2014年/2015年网络犯罪利用漏洞分布情况统计
但目前模糊测试技术和产品仍存在较大的局限性。一是并行化模糊测试相对于当前软件系统的复杂度,其漏洞发掘能力和范围仍非常有限,大量复杂的漏洞仍难以被有效发现。研究人员也在尝试通过对目标软件的分析,优化测试数据生成的针对性,进而提高漏洞发掘的效率。二是模糊测试仅仅是找到造成程序错误的途径,无论是从攻击者角度,还是从防御者角度,都更关心这个错误是否可以被利用。这一工作仍主要依赖于人工来完成,难度和复杂度非常高。国外研究人员也在积极探索软件漏洞利用的自动构造方法,美国加利福尼亚大学、新加坡国立大学等的研究人员已在这方面取得一定的进展。
针对APT攻击的防御问题,传统的杀毒软件模式已难以发挥有效作用。当前针对APT攻击主要有两条防御思路:一是利用虚拟化技术将样本在可控的环境里进行模拟处理,分析并检测异常从而发现恶意代码,美国的FireEye、LastLine等公司均推出相关产品,且对中国禁售。另一个思路则是借助于大数据分析技术,通过威胁情报的分析,检测并发现APT 攻击的渗透、通信、扩散等行为。在这方面,美国通过“爱因斯坦计划”等方式加强网络空间全局监测和威胁情报共享,提升了整体防御能力和水平。
2. 大数据安全与隐私保护
近年来,大数据逐渐为社会各界所重视,国外的互联网企业Google、Facebook、Twitter等都在这方面投入大量资源,并取得丰硕的成果。互联网企业在利用这些数据提供方便快捷的各种服务的同时,也很容易导致严重的数据安全与隐私问题。2015年,美国第二大医疗保险公司Anthem 遭黑客入侵,近8000万用户数据泄露。
随着大数据应用的发展,对于用户隐私的关注度也在逐步提高。2015年,俄罗斯通过相关法案,规定公民信息本地存储,限制数据跨国分享。2015年12月,欧盟相关机构通过了《欧盟数据保护总规》,对于任何向欧盟提供的产品或服务提出隐私保护要求,更严格地限制了国家间的数据转移。国际标准组织NIST、ISO/IEC等,也针对大数据使用场景中的隐私保护问题发布了一系列的通用框架和标准。
解决大数据应用中个人隐私问题的技术手段也在不断完善。英国政府在信息匿名技术方面做了积极探索,在政府数据公开网站上公开了约9000个数据集(涵盖了健康、教育、交通、犯罪等方面),以促进大数据共享。为保护个人隐私,政府对数据进行专门的匿名处理,包括针对数据的潜在可识别弱点采取的匿名处理,以及对匿名后的数据采取重识别攻击,重复匿名和检验等一系列措施。
3. 量子通信与抗量子密码
量子通信是利用量子纠缠效应进行信息传递的一种新型的通信方式。量子通信是近20年发展起来的新型交叉学科,已逐步从理论走向实验,并走向实用化。
同时,研究人员也在利用各种量子系统来实现量子计算机,从而提高计算机的计算性能。计算性能的提升也直接提高了对各种密码的破译能力,因此,量子计算对传统密码提出了新的挑战。早在1994年,P.Shor就提出一种量子算法,使得当前在用的RSA、ECC等密码在后量子时代不再安全,直接影响到目前互联网中网络信任、身份认证等软件和系统的安全性。
研究抗量子密码,以确保长期安全性,得到国际社会的高度重视。2015年3月,欧洲电信标准化协会组织了系列“量子安全密码”研讨会,欧洲“地平线2020计划”部署了抗量子密码研究专项;美国国家安全局2015年发布了“向抗量子算法迁移的通告”,声称“椭圆曲线密码不再是大多数人曾经期望的长期解决方案,我们有义务升级我们的战略”。在“微软16位顶尖科学家2016年展望”中,微软研究院安全和加密技术总监B.LaMacchia称,希望到2026年,我们所有正在使用的安全协议中都将部署新的抗量子级公钥密码,迁移之后所有的通信都不会受到量子计算机的攻击,对个人日常计算体验不会有任何影响。
4. 工业控制系统安全
近年来,工业控制系统越来越普遍地与互联网连通,工业控制系统内部采用的设备也朝“以太网”方向发展。它在带来工业控制系统繁荣的同时,也为各类恶意代码的传播和攻击者的渗透带来了便利。2010年爆发的震网蠕虫,即被视为网络战的实战代表,也是对工业控制系统造成实际破坏的经典案例。
针对工业控制系统的攻击事件近年来也频发,进一步凸显严峻形势。美国ICS?CERT发布的数据显示,美国境内在2014年共发现240余次针对工业控制系统的攻击;2015年12月,恶意代码BlakEnery的变种攻击乌克兰电力系统,造成乌克兰大规模停电。
针对工业控制系统的防护问题,国外已经推出工控防火墙等安全产品。利用可信计算技术提高工业控制系统安全防御能力也是一个重要思路。工业控制系统计算环境的长期稳定非常有利于可信计算技术发挥作用。国际TCG 组织在2013年底发布了《可信计算技术应用于工业控制系统技术指南》。
5. 网络空间身份管理
可信身份管理是建立健全网络空间信任体系的核心,是保护网络空间安全、打造诚信网络的必由之路。近年来,各国政府及组织都在积极推进可信身份管理研究与建设工作。2011年4月,美国白宫公布了《网络空间可信身份国家战略》,指出可信身份是改善网络安全的基石,并计划用10年时间构建一个以用户为中心的网络身份生态体系。2014年,美国在宾夕法尼亚州和密歇根州进行在线测试。2020年,“欧盟战略旗舰计划”中提出要建立一个覆盖整个欧盟的身份管理体系。目前,欧盟成员国中,有18个已经发行网络电子身份证(eID)。截至2013年底,欧盟国家累计发行的eID卡超过1.5亿张。eID卡广泛应用在电子政务、电子商务、金融支付等众多领域,并在一些电子政务公共服务中实现了eID卡的跨境互认,可作为欧洲旅行证件使用。
韩国为加强网络身份管理曾从2007年全面实行简单粗暴的网络实名制,2011年7月,韩国实名制社交网站“赛我网”和“NATE网”被黑客攻击,3500万用户个人信息被泄露,这种实名身份管理方式宣告失败。之后,韩国行政安全部推行“个人信息保护综合对策”,限制个人和企业收集用户个人的身份信息,以完善收集个人信息的相关制度。
国际标准化组织ISO/IECJTC1/SC27(信息技术/安全技术)于2006年专门成立了WG5标准工作组,负责身份管理与隐私保护相关标准的研究和制定,已经颁布十余项国际标准。国际电信联盟电信标准局ITU?T在2006年成立了身份管理协调行动组,2010年提出了身份管理相关标准体系。
国内进展
我国也高度重视信息安全技术的研发和产业的推动,近年来在APT 攻击检测、工业控制系统安全等方面取得一系列技术突破,提高了网络空间安全保障能力。2014年2月27日,中央网络安全和信息化领导小组成立,规划、部署和指导网络安全工作。
1. 网络攻击与对抗
我国已成为国外敌对势力和各类黑客组织的攻击目标之一,为APT 攻击的重灾区。2015年曝光的“海莲花”攻击是针对我国政府海事机构、海域建设部门和航运企业,精密组织的网络攻击,整个攻击持续三年多时间,窃取了我国大量机密资料。
在APT攻击的防御方面,我国研究人员实现了不依赖于攻击代码特征、不依赖于具体漏洞特征的漏洞利用过程异常检测方法,并研制了相关检测产品。为促进相关产业的发展,国家发展和改革委员会在2013年专门支持APT 监测产品研发专项,并形成系列产品。在威胁情报分析方面,我国的奇虎360等安全厂商借助自身的数据优势,研制了安全威胁感知平台,但在大数据分析方面仍有众多难题有待突破。
针对软件漏洞的发掘,我国在软件漏洞机理分析和自动利用等方面取得一系列突破,研制了软件漏洞分析平台,提高了软件漏洞分析的效率和能力。
2. 大数据安全与隐私保护
大数据问题也受到我国社会各界的广泛关注。国内的互联网企业掌握了海量用户的互联网搜索、消费、社交等数据。他们充分利用这些数据,构建了多种增值服务。例如,2014年阿里巴巴利用淘宝等网站获取的用户购物大数据,应用于大数据打假。
我国在推动大数据发展的同时,也非常重视大数据安全和隐私保护问题。2014年12月,全国信息技术标准化技术委员会成立大数据标准工作组,积极推动隐私保护标准的研究工作。2015年9月,国务院印发了《促进大数据发展行动纲要》,强调加强安全保障和隐私保护是稳步推动公共数据资源开放的前提,并提出促进信息安全与隐私保护等领域关键技术攻关的意见,最后还强调在政策机制方面也要加快法规制度建设,加强对数据滥用、侵犯个人隐私等行为的管理和惩戒。
3. 量子通信与抗量子密码
我国高度重视量子通信技术的发展和应用。2012年,我国研究人员在国际上首次成功实现了百公里量级的自由空间量子隐形传态和纠缠分发。基于该技术研制的全球首颗“量子通信卫星”预计将于2016年发射。
我国科研人员也前瞻性地预见到了后量子时代的安全威胁。2015年,我国研究人员在抗量子密码研究方面取得了重要突破,提出了一种基于格的抗量子认证密钥交换协议的设计新方法,该方法突破了国际上基于KEM 的通用构造,可在经典计算机上实现规模化的抗量子安全通信。
4. 工业控制系统安全
我国也非常重视工业控制系统安全问题。2013年,国家发改委支持成立了工业控制系统安全技术国家工程实验室和工业控制系统信息安全技术国家工程实验室。同时,还启动了面向工业控制系统安全的系列产品专项项目,支持企业研制了一批面向工业控制系统的防火墙等安全产品。
利用可信计算技术解决工控安全问题是当前重要的发展思路之一。2014年,我国研究人员研制了面向工业控制系统的可信终端管理系统,形成了产品级的技术成果。可信终端管理系统利用可信计算技术,对终端环境中执行的所有代码进行校验和控制,以确保所运行的代码是可信的,进而保证终端环境的安全性,有效提高了对各类恶意代码的防范能力。
工业控制系统漏洞也受到广泛关注,据国家信息安全漏洞共享平台(CNVD)统计,2011年至今五年多的时间里,已发现工业控制系统漏洞800余个,是之前发现工业控制系统漏洞数量的10余倍。
5. 网络空间身份管理
早在2003年,我国就在《国家信息化领导小组关于加强信息安全保障工作的意见》中第一次明确提出要加强网络信任体系建设。2012年12月28日,全国人大常委会通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》,特别强调了网络信息发布实名要求和网络用户隐私保护。2015年1月13日,国家互联网信息办公室召开新闻发布会,宣布将全面推进网络真实身份信息管理。
“十二五”期间,网络空间身份管理研究与建设得到科技部、国家发改委等有关部委的大力支持。数十家国内科研机构、院校及企业在面向全国亿级用户eID管理、认证服务等方面取得了系列技术突破,在系统平台建设、标准规范制定、应用示范和推广等方面取得重要进展,为我国全面开展网络空间可信身份管理工作奠定了良好基础。
我国在身份管理标准化方面也积极跟进。全国信息安全标准化技术委员会设立了多个与身份管理相关的标准研究与制定项目,包括网络电子身份标识eID 格式规范等。中国通信标准化协会网络与信息安全工作委员会(TC8)在2012年成立了“网域空间身份管理子组”,专门进行eID相关标准编制工作,目前已形成30多项与身份管理相关的行业标准。
未来展望
网络空间安全正面临严重威胁,这是世界各国、社会各界的共识。信息安全技术是一项高度对抗的技术,攻防技术不断发展,攻防形势交错变化,其发展将呈现出以下发展态势。
(1)面向有组织攻击的主动防御技术将是未来信息安全技术领域发展的重点。各国正在发展网络战力量,网络犯罪黑色产业链也越来越长,有组织的攻击将是网络空间安全最主要的威胁,也将是网络空间安全保障体系建设关注的焦点。
(2)漏洞发现和分析利用关键技术是掌握网络对抗主动权的关键。漏洞仍是网络攻击、渗透的关键环节,软件应用越来越普遍,软件自身越来越复杂,突破软件漏洞的发现、分析和利用方法等关键技术将是掌握网络空间对抗主动权的关键。
(3)传统基础设施安全保障技术将持续保持旺盛需求。国家的能源、交通、水利等传统基础设施的信息化水平越来越高,也是大势所趋,但工业控制系统的防御技术手段仍很缺乏,提高传统基础设施的网络安全防御能力是关系到国计民生的重大战略问题。
(4)基于大数据的安全防御技术将是未来信息安全技术领域研究的热点。网络环境越来越复杂,网络攻击也朝协同化、组织化方向发展,单一的技术手段已难以建立有效防御,大数据技术的应用将有助于综合利用多种资源,提升防御能力,是未来发展的重要方向之一。
本文由王芳摘自中国科学院编《2016高技术发展报告》(北京:科学出版社,2016.08)第二章中由中国科学院软件研究所冯登国、苏璞睿所撰《信息安全技术新进展》一文。
ISBN 978-7-03-048895-4
《2016高技术发展报告》的主题是信息技术。报告综述了2015年高技术发展动态,着重介绍了信息技术领域技术及其产业化新进展,分析了中国高技术产业、中国计算机及办公设备制造业国际竞争力及中国通信设备制造业创新能力,探讨了高技术与社会等社会普遍关注的重大问题,提出了发展壮大战略性新兴产业、建设知识产权强国、推进重大科技基础设施建设、大数据和集成电路产业发展等政策建议。报告有助于政府部门和社会公众了解高技术,特别是信息技术发展及产业化动态,理解高技术对社会的影响。
一起阅读科学!
科学出版社│微信ID:sciencepress-cspm
专业品质 学术价值
原创好读 科学品味
Archiver|手机版|科学网 ( 京ICP备07017567号-12 )
GMT+8, 2024-11-14 17:31
Powered by ScienceNet.cn
Copyright © 2007- 中国科学报社