1網(wǎng)絡(luò)設(shè)備安全態(tài)勢(shì)分析

近年來，網(wǎng)絡(luò)及技術(shù)的演進(jìn)持續(xù)影響網(wǎng)絡(luò)設(shè)備，使設(shè)備呈現(xiàn)虛擬化、軟件化、類型多樣化、功能融合化等趨勢(shì)。同時(shí)，各國(guó)接連發(fā)布網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及新的監(jiān)管政策，加強(qiáng)對(duì)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的安全管理力度，對(duì)網(wǎng)絡(luò)設(shè)備安全的發(fā)展趨勢(shì)形成較大影響。

1.1新技術(shù)以及新應(yīng)用不斷影響設(shè)備形態(tài)和功能

5G、AI、SDN等技術(shù)催生新的設(shè)備類型和功能。隨著5G技術(shù)的發(fā)展和成熟，會(huì)產(chǎn)生大量5G基站、5G終端、5G核心網(wǎng)設(shè)備等新型設(shè)備；隨著人工智能（AI）技術(shù)的廣泛應(yīng)用，已經(jīng)產(chǎn)生了大量的智能音箱、智能家庭網(wǎng)關(guān)等智能設(shè)備；隨著軟件定義網(wǎng)絡(luò)（SDN）相關(guān)技術(shù)的發(fā)展出現(xiàn)了白盒交換機(jī)、網(wǎng)絡(luò)控制器等新型設(shè)備；網(wǎng)絡(luò)功能虛擬化（NFV）技術(shù)則催生了大量軟件形態(tài)的網(wǎng)絡(luò)設(shè)備，包括虛擬路由器、虛擬防火墻等。物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新網(wǎng)絡(luò)形態(tài)和應(yīng)用場(chǎng)景提出新的設(shè)備功能需求。物聯(lián)網(wǎng)、智慧城市等應(yīng)用場(chǎng)景提出了NB-IoT、智慧路燈、智慧井蓋等新的功能需求；工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展使工控交換機(jī)、工控防火墻等設(shè)備出現(xiàn)在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中；車聯(lián)網(wǎng)應(yīng)用場(chǎng)景下，出現(xiàn)了車載以太網(wǎng)設(shè)備、V2X路側(cè)設(shè)備以及各種傳感器等新形態(tài)的網(wǎng)絡(luò)產(chǎn)品；智能家居應(yīng)用場(chǎng)景下，智能路由器、融合網(wǎng)關(guān)設(shè)備、智能插座、智能電視逐步走入千家萬(wàn)戶。

1.2網(wǎng)絡(luò)安全監(jiān)管新趨勢(shì)對(duì)設(shè)備安全形成較大影響

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）已經(jīng)于2017年6月1日起實(shí)施，與設(shè)備安全相關(guān)的配套制度也在不斷完善，如網(wǎng)絡(luò)關(guān)鍵設(shè)備與網(wǎng)絡(luò)安全產(chǎn)品安全認(rèn)證與安全檢測(cè)制度。目前已經(jīng)明確了設(shè)備和產(chǎn)品目錄以及實(shí)施安全認(rèn)證和安全檢測(cè)的機(jī)構(gòu)，相關(guān)國(guó)家標(biāo)準(zhǔn)尚待制定和完善。關(guān)于《網(wǎng)絡(luò)安全法》中提出的網(wǎng)絡(luò)安全審查，主管部門發(fā)布了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》。關(guān)于數(shù)據(jù)出境安全方面，發(fā)布《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》。此外，《中華人民共和國(guó)密碼法》《個(gè)人信息保護(hù)法》等網(wǎng)絡(luò)安全相關(guān)法律已經(jīng)提上了立法研究日程。

歐盟、美國(guó)等聚焦個(gè)人信息保護(hù)，對(duì)涉及個(gè)人信息的網(wǎng)絡(luò)設(shè)備及其提供方提出新的監(jiān)管要求。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）于2018年5月生效，并強(qiáng)制執(zhí)行。GDPR被稱為“史上最嚴(yán)”的數(shù)據(jù)保護(hù)法律法規(guī)，企業(yè)如違反GDPR條例的相關(guān)要求，處罰措施非常嚴(yán)厲，輕者，處以1000萬(wàn)歐元或者上一年度全球營(yíng)業(yè)收入的2%，兩者取其高；重者處以2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的4%，兩者取其高。美國(guó)（加州）2018年6月通過并簽署了《2018加州消費(fèi)者隱私法案》，法案定于2020年1月1日生效，被稱為“全美最嚴(yán)”網(wǎng)絡(luò)隱私保護(hù)法。該法案要求掌握超過5萬(wàn)人信息的公司必須允許用戶查閱自己被收集的數(shù)據(jù)、要求刪除數(shù)據(jù)以及選擇不將數(shù)據(jù)出售給第三方。

2網(wǎng)絡(luò)設(shè)備安全威脅分析

2.1網(wǎng)絡(luò)攻擊趨于技術(shù)底層化和規(guī)模化

從網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)來看，網(wǎng)絡(luò)攻擊范圍和目標(biāo)不斷擴(kuò)大，采用的技術(shù)手段不斷升級(jí)，產(chǎn)生的后果從破壞網(wǎng)絡(luò)設(shè)施到影響國(guó)家政權(quán)。網(wǎng)絡(luò)安全攻擊最早針對(duì)個(gè)體的服務(wù)器或局域網(wǎng)，現(xiàn)在已有大量全球化規(guī)模的DDoS攻擊網(wǎng)絡(luò)，攻擊目標(biāo)也遍布世界各國(guó)。從攻擊事件的性質(zhì)上看，網(wǎng)絡(luò)攻擊已經(jīng)從單純的破壞進(jìn)化到獲取經(jīng)濟(jì)利益、國(guó)家情報(bào)甚至顛覆政權(quán)，F(xiàn)acebook公司泄露個(gè)人信息，這些包含個(gè)人信息的數(shù)據(jù)被分析利用導(dǎo)致影響美國(guó)大選就是一個(gè)典型的案例。

分析近年來的重大網(wǎng)絡(luò)安全事件，均顯示網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)安全攻防體系中的戰(zhàn)略地位十分重要。2013年，斯諾登披露的“棱鏡

計(jì)劃”表明核心路由器等網(wǎng)絡(luò)設(shè)備是實(shí)施網(wǎng)絡(luò)監(jiān)聽的重要攻擊目標(biāo)。2015年9月國(guó)外安全公司FireEye發(fā)現(xiàn)針對(duì)路由器的植入式后門，涉及Cisco1841l/Cisco2811/Cisco3825路由器及其他常見型號(hào)。這個(gè)后門被命名為SYNKnock，可能是因?yàn)楹箝T的網(wǎng)絡(luò)控制功能（CnC）會(huì)通過一個(gè)特殊的TCPSYN包來觸發(fā)。在烏克蘭、菲律賓、墨西哥和印度這4個(gè)國(guó)家中至少有14個(gè)類似的植入后門在傳播。2016年，美國(guó)和德國(guó)接連發(fā)生大規(guī)模斷網(wǎng)事件，安全研究人員發(fā)現(xiàn)是由Mirai僵尸網(wǎng)絡(luò)通過物聯(lián)網(wǎng)（IoT）設(shè)備如網(wǎng)絡(luò)攝像頭、路由器、DVR、恒溫器等展開一系列攻擊導(dǎo)致的。

2017年至2018年，Intel公司接連被披露部分CPU產(chǎn)品存在安全漏洞，攻擊者可利用漏洞實(shí)施攻擊，獲取核心內(nèi)存里存儲(chǔ)的敏感內(nèi)容，比如訪問到設(shè)備的內(nèi)存數(shù)據(jù)，包括用戶賬號(hào)密碼、應(yīng)用程序文件、文件緩存等。由此可見，網(wǎng)絡(luò)攻擊不再聚焦在應(yīng)用層，類似CPU等更加底層的組件也成為網(wǎng)絡(luò)攻擊者的目標(biāo)。

2.2網(wǎng)絡(luò)設(shè)備安全問題持續(xù)增長(zhǎng)

中國(guó)信息通信研究院泰爾實(shí)驗(yàn)室NDVD統(tǒng)計(jì)數(shù)據(jù)顯示，網(wǎng)絡(luò)設(shè)備漏洞數(shù)量近年來增長(zhǎng)迅速。究其原因，一方面是從2009年開始，移動(dòng)互聯(lián)網(wǎng)迅猛發(fā)展，網(wǎng)民數(shù)量也激增，幾乎每個(gè)家庭都接入寬帶互聯(lián)網(wǎng)，家用路由器等網(wǎng)絡(luò)設(shè)備數(shù)量飛速增長(zhǎng)；另一方面是網(wǎng)絡(luò)設(shè)備與通用IT設(shè)備存在顯著差異，網(wǎng)絡(luò)設(shè)備的使用周期長(zhǎng)，自身安全防護(hù)能力弱，軟件更新頻次低，漏洞等遺留問題多，且安全問題易被忽略等，導(dǎo)致攻擊者對(duì)網(wǎng)絡(luò)設(shè)備攻擊的技術(shù)難點(diǎn)降低、收益增高，由此對(duì)其關(guān)注度逐步提升。

2.3設(shè)備安全標(biāo)準(zhǔn)滯后于技術(shù)和市場(chǎng)

網(wǎng)絡(luò)設(shè)備安全標(biāo)準(zhǔn)與新技術(shù)發(fā)展和市場(chǎng)需求存在明顯滯后，路由器、交換機(jī)、服務(wù)器等網(wǎng)絡(luò)關(guān)鍵設(shè)備現(xiàn)行部分安全標(biāo)準(zhǔn)已經(jīng)超過10年未更新，難以及時(shí)覆蓋新的設(shè)備類型以及新的安全技術(shù)和安全功能特性，與網(wǎng)絡(luò)攻防技術(shù)的飛速發(fā)展相比，標(biāo)準(zhǔn)更新滯后，原有標(biāo)準(zhǔn)對(duì)設(shè)備安全要求偏低，導(dǎo)致設(shè)備整體安全水平不高。

近年來，針對(duì)物聯(lián)網(wǎng)設(shè)備安全的攻擊頻發(fā)，包括前文提到的美國(guó)和德國(guó)接連發(fā)生的大規(guī)模斷網(wǎng)事件，均與網(wǎng)關(guān)路由設(shè)備、攝像機(jī)等物聯(lián)網(wǎng)設(shè)備相關(guān)，但目前尚無(wú)相關(guān)安全標(biāo)準(zhǔn)。

3網(wǎng)絡(luò)設(shè)備安全發(fā)展面臨的機(jī)會(huì)分析

3.1網(wǎng)絡(luò)安全產(chǎn)業(yè)迎來大力發(fā)展契機(jī)

習(xí)近平總書記在2018年4月講話中提出，“積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然”。網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展被提升到新的高度，中央和地方持續(xù)加大對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)的支持力度。

工信部等四部門于2018年聯(lián)合印發(fā)了《關(guān)于加快安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》，意見提出，2020年，安全產(chǎn)業(yè)體系基本建立，產(chǎn)業(yè)銷售收入超過萬(wàn)億元。到2025年，安全產(chǎn)業(yè)成為國(guó)民經(jīng)濟(jì)新的增長(zhǎng)點(diǎn)，部分領(lǐng)域產(chǎn)品技術(shù)達(dá)到國(guó)際領(lǐng)先水平；國(guó)家安全產(chǎn)業(yè)示范園區(qū)和國(guó)際知名品牌建設(shè)成果顯著，初步形成若干世界級(jí)先進(jìn)安全裝備制造集群；安全與應(yīng)急技術(shù)裝備在重點(diǎn)行業(yè)領(lǐng)域得到規(guī)模化應(yīng)用，社會(huì)本質(zhì)安全水平顯著提高。我國(guó)重點(diǎn)城市加快產(chǎn)業(yè)布局，推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)集群化。工信部、北京市決定共同打造國(guó)家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)；武漢市致力于打造網(wǎng)絡(luò)安全領(lǐng)域的中國(guó)硅谷，正式啟動(dòng)國(guó)家網(wǎng)絡(luò)安全人才與創(chuàng)新基地建設(shè)；四川省發(fā)布《信息安全產(chǎn)業(yè)發(fā)展工作推進(jìn)方案》，推動(dòng)實(shí)施“成都國(guó)家信息安全產(chǎn)業(yè)基地”的建設(shè)。

3.2法律法規(guī)及配套制度向縱深推進(jìn)

落實(shí)《網(wǎng)絡(luò)安全法》要求，將設(shè)備安全監(jiān)管配套制度向縱深推進(jìn)，對(duì)關(guān)系關(guān)鍵信息基礎(chǔ)設(shè)施安全的少數(shù)關(guān)鍵、基礎(chǔ)共性的設(shè)備進(jìn)行重點(diǎn)監(jiān)管，對(duì)全面促進(jìn)網(wǎng)絡(luò)設(shè)備安全發(fā)展，提升設(shè)備安全水平具有積極作用。

針對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測(cè)事項(xiàng)，2017年6月，四部委發(fā)布《關(guān)于發(fā)布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》公告，明確路由器、交換機(jī)、服務(wù)器和PLC設(shè)備列入第一批網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄。2018年6月，四部委發(fā)布《關(guān)于發(fā)布承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測(cè)任務(wù)機(jī)構(gòu)名錄（第一批）的公告》，明確了中國(guó)信息安全認(rèn)證中心、中國(guó)泰爾實(shí)驗(yàn)室等承擔(dān)安全認(rèn)證和安全檢測(cè)任務(wù)的機(jī)構(gòu)名錄。

相關(guān)主管部門發(fā)布規(guī)定，落實(shí)網(wǎng)絡(luò)產(chǎn)品與服務(wù)安全審查、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、個(gè)人信息和重要數(shù)據(jù)出境、等級(jí)保護(hù)等方面的要求。主要管理文件包括《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例（征求意見稿）》《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》等。

3.3團(tuán)體標(biāo)準(zhǔn)凸顯優(yōu)勢(shì)

國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用。在當(dāng)前網(wǎng)絡(luò)安全攻防技術(shù)發(fā)展迅速，團(tuán)體標(biāo)準(zhǔn)在適應(yīng)新技術(shù)新產(chǎn)品、匹配市場(chǎng)需求方面凸顯優(yōu)勢(shì)，對(duì)提升網(wǎng)絡(luò)和設(shè)備安全水平可形成對(duì)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的有效補(bǔ)充。

相關(guān)法律法規(guī)文件明確了團(tuán)體標(biāo)準(zhǔn)的重要性地位。《中華人民共和國(guó)標(biāo)準(zhǔn)化法》提出，國(guó)家鼓勵(lì)社會(huì)團(tuán)體協(xié)調(diào)相關(guān)市場(chǎng)主體共同制定滿足市場(chǎng)和創(chuàng)新需要的團(tuán)體標(biāo)準(zhǔn)，國(guó)家鼓勵(lì)社會(huì)團(tuán)體、企業(yè)制定高于推薦性標(biāo)準(zhǔn)相關(guān)技術(shù)要求的團(tuán)體標(biāo)準(zhǔn)。國(guó)務(wù)院《深化標(biāo)準(zhǔn)化工作改革方案》提出，要發(fā)展壯大團(tuán)體標(biāo)準(zhǔn)，鼓勵(lì)社會(huì)團(tuán)體發(fā)揮對(duì)市場(chǎng)需求反應(yīng)快速的優(yōu)勢(shì)，制定一批滿足市場(chǎng)和創(chuàng)新需要的團(tuán)體標(biāo)準(zhǔn)，優(yōu)化標(biāo)準(zhǔn)供給結(jié)構(gòu)，促進(jìn)新技術(shù)、新產(chǎn)業(yè)、新業(yè)態(tài)加快成長(zhǎng)。鼓勵(lì)在產(chǎn)業(yè)政策制定以及行政管理、政府采購(gòu)、認(rèn)證認(rèn)可、檢驗(yàn)檢測(cè)等工作中使用團(tuán)體標(biāo)準(zhǔn)。質(zhì)檢總局、國(guó)標(biāo)委《關(guān)于培育和發(fā)展團(tuán)體標(biāo)準(zhǔn)的指導(dǎo)意見》指出，促進(jìn)標(biāo)準(zhǔn)實(shí)施，探索在產(chǎn)業(yè)政策制定以及行政管理、政府采購(gòu)、認(rèn)證認(rèn)可、檢驗(yàn)檢測(cè)等工作中引用團(tuán)體標(biāo)準(zhǔn)的機(jī)制，鼓勵(lì)使用具有自主創(chuàng)新技術(shù)、具備競(jìng)爭(zhēng)優(yōu)勢(shì)的團(tuán)體標(biāo)準(zhǔn)。

從制定周期、標(biāo)準(zhǔn)要求、側(cè)重范圍等方面分析，團(tuán)體標(biāo)準(zhǔn)更適應(yīng)“短平快”的市場(chǎng)需求。

4展望

在當(dāng)前形勢(shì)下，為提升我國(guó)網(wǎng)絡(luò)設(shè)備安全水平，建議：一是加強(qiáng)主管機(jī)構(gòu)、設(shè)備制造商、產(chǎn)業(yè)鏈相關(guān)方、使用方、測(cè)評(píng)機(jī)構(gòu)、研究機(jī)構(gòu)、高校等多方協(xié)作，共同提升設(shè)備整體安全水平；二是加強(qiáng)國(guó)家標(biāo)準(zhǔn)與團(tuán)體標(biāo)準(zhǔn)的聯(lián)動(dòng)，充分結(jié)合二者的優(yōu)勢(shì)，更好地為提升設(shè)備安全服務(wù)；三是加強(qiáng)核心技術(shù)研發(fā)，廣泛參與到網(wǎng)絡(luò)設(shè)備的全球產(chǎn)業(yè)鏈中，從單一的核心部件使用方逐步過渡到具備核心部件供應(yīng)能力。

 

（原載于《保密科學(xué)技術(shù)》雜志2018年9月刊）