2.2　網絡服務安全挑戰的特點和原因

網絡服務面臨嚴峻的安全挑戰，需要對其特點和原因進行進一步探討，首先對相關的術語進行回顧。

2.2.1　安全的幾個術語及其相互關系

“漏洞”“威脅”“風險”“暴露”等詞經常被混用。首先理解每個術語的定義，以及它們所代表的概念之間的關系。

（1）漏洞（Loophole）是系統中的弱點，外部威脅可以利用這個弱點來損害安全。它可以是一個能被利用的軟件、硬件、程序或人的弱點。漏洞可能是運行在服務器上的服務、存在配置缺陷的應用程序或操作系統、無線接入點、防火墻上的開放端口、糟糕的物理安全性等。利用（Exploit）是用技術方法實現對漏洞的惡意使用，有漏洞不一定就有利用，但有利用就肯定有漏洞。

（2）威脅（Threat）是與利用漏洞有關的任何潛在危險。如果威脅是某人將識別特定的漏洞并對公司或個人利用，那么利用漏洞的實體被稱為威脅代理。一個威脅代理可能是通過一個防火墻上的端口，以違反安全策略的方式訪問數據的進程，或者員工規避控制以便將文件復制到可能暴露機密信息的介質中。

（3）風險（Risk）是威脅源利用漏洞和相應的業務影響的可能性。如果防火墻打開了多個端口，那么入侵者通過某個端口訪問未經授權的網絡資源的可能性會增大。如果用戶沒有接受關于流程和程序的教育，那么更有可能在無意中犯下破壞數據的錯誤。如果網絡中沒有部署入侵檢測系統（IDS），那么攻擊很可能會被忽略，等發現時已經晚了。風險將漏洞、威脅和發生的可能性與由此產生的業務影響聯系起來。

（4）暴露（Exposure）是一個漏洞或薄弱點使一個組織面臨可能的損害。如果密碼管理松懈，密碼規則不被執行，公司將面臨用戶密碼被破壞和以未經授權的方式使用的可能性。如果一家公司沒有檢查其電線，也沒有采取積極的防火措施，它就會面臨潛在的毀滅性火災。為了減輕（減少）潛在風險，需要實施控制措施。

（5）控制措施（Countermeasure）可以是通過優化軟件配置、硬件設備消除漏洞，降低威脅代理能夠利用漏洞的可能性的過程。常見的控制措施包括密碼管理、防火墻、安全防范、訪問控制機制、加密和安全意識培訓等。

安全術語關系如圖2-1所示。威脅代理作為相對的實體可以產生威脅，威脅會利用漏洞進一步產生風險，風險則能對受保護的資產產生損害，導致暴露或敞口，而暴露或敞口可以通過控制措施加以防護，這種防護可以對威脅產生直接的影響。

2.2.2　安全挑戰的特點

從安全事件中可以發現，網絡服務的安全挑戰具備系統性、動態性、非均衡性和隱蔽性4個特點。

1. 系統性

網絡安全挑戰是系統性的、整體性的、不可分割的。我們可以對網絡安全事件進行分類，但很多網絡安全事件是攻擊者采用多種技術，通過計算、網絡、應用等不同層次進行的攻擊。有些攻擊既包括病毒、木馬植入等傳統手段，也包括SQL注入、零日（0day）漏洞、軟件后門、操作系統缺陷等，甚至結合社會工程學、心理學等線下手段實施攻擊。隨著物聯網和工業控制網絡的互聯網化，攻擊行為甚至加速向物理空間滲透與融合，我們無法用孤立的點來理解和思考網絡安全挑戰，而是需要系統性的思考。

2. 動態性

網絡安全事件在不同階段會有不同的攻擊手段和方法，并不是靜態一成不變的，這給傳統的“馬奇諾防線”式的靜態邊界安全防御帶來非常大的挑戰。

3. 非均衡性

要保障整個網絡的安全就需要有高成本的投入，任何解決方案都是相對的。在相對成本的情況下，如何盡可能讓它安全，是一個需要平衡的問題。從網絡服務提供商和消費者的角度來說，如果買賣雙方中任意一方掌握的信息多于另一方，就會導致信息更少的一方在交易中做出次優選擇。此類逆向選擇同樣存在于信息安全市場。影響用戶購買軟硬件的因素有價格、便利性、安全性及所提供服務的價值。用戶通常難以驗證廠商對產品的宣傳是否真實，因而不愿意購買安全性能更好但價格更高的產品。而對于網絡的攻擊者和防御者來說，原先網絡攻擊的主要目標一般是網絡基礎設施，以癱瘓對方的網絡連接為主。但是隨著攻擊技術的發展和攻擊者角色的變化，網絡攻擊的目標開始向電網、水網、交通網絡、油氣網絡、金融終端等關鍵基礎設施轉移。攻擊行為對這些設施的影響巨大——停電給受攻擊一方造成的經濟損失常常數以億計，而攻擊方所付出的成本卻微乎其微。

4. 隱蔽性

類似高級持續性威脅（Advanced Persistent Threat，APT）的攻擊一般會以各種方式巧妙繞過已有的入侵防御系統進入目標網絡。為了在目標內部長時間獲取信息，通常會盡可能減少明顯的攻擊行為及留下的痕跡，隱秘嗅探和竊取所需信息。這些新型的攻擊和威脅可能在用戶環境中存在一年以上或更久，它們不斷收集各種信息，直到收集到重要情報。而這些發動APT攻擊的攻擊者往往不是為了在短時間獲利或破壞系統，而是把“被控主機”當成跳板，持續搜索，直到能徹底掌握目標人、事、物的相關信息，所以這種APT攻擊模式，實質上是一種“惡意商業間諜威脅”。

2.2.3　安全挑戰的原因

產生網絡服務安全挑戰的原因可以采用PEST模型來分析，即政策及法律因素、商業因素、社會因素、技術因素。

1. 政策及法律因素

政策和法律方面，相關的監管要求持續提升：首先是2014年我國成立國家安全委員會和中共中央網絡安全和信息化領導小組，確立了我國網絡信息安全的重要領導與決策機構。隨后，國家陸續頒布系列關于維護國家網絡信息安全的政策，以《中華人民共和國網絡安全法》為重要分水嶺，其中《中華人民共和國網絡安全法》第二十一條明確規定“國家實行網絡安全等級保護制度”。在此基礎之上，2019年5月13日，網絡安全等級保護技術2.0版本（以下簡稱等保2.0）正式公開發布，等保2.0增加了對云計算、大數據、移動互聯網、工業自動化控制、物聯網等方面的安全擴展性要求，豐富了防護內容，為落實信息系統安全工作提供了方向和依據。在此形勢下企業和個人在相關政策和法律框架下需要進一步了解和保護合法權益，履行相關義務。

2. 商業因素

一方面，目前業界普遍采用開源軟件（Open Source Software，開放源代碼軟件）向社會公開軟件源代碼。源代碼也稱為源程序，是指未編譯的按照一定的程序設計語言規范書寫的文本文件，是一系列人類可讀的計算機語言指令。開源軟件由于其功能基本能滿足要求、成本低、開放性等應用十分廣泛，從PC軟件到個人智能設備，從辦公軟件到工業控制系統，從政府機構到大型商業公司，從物聯網到航天和軍事系統都有涉及。但是開源軟件也存在很多問題，如可以進行基于源代碼的白盒分析和攻擊、版本眾多安全維護復雜、對安全漏洞的響應可能不及時、漏洞數量多且影響大等。我國開源軟件應用廣泛但是原創不足，對開源軟件缺乏架構和技術把控，這也是導致網絡安全事件層出不窮的原因之一。

另一方面，安全受市場外部性的影響，外部性是指市場交易的結果對買賣雙方之外的第三方產生的影響，而這部分影響并沒有體現在市價中。軟件市場相對而言全球化程度更高、競爭更激烈，因此企業為保持競爭力主要關注諸如開發、市場等內部成本，減少“不必要”的其他開支，往往不會考慮安全建設成本。另外，服務商能夠在發布或銷售后再修補漏洞，在缺乏國家、行業或市場監管的環境中，服務商傾向于盡量縮短進入市場的時間，而非注重軟件質量和安全性。當然，部署不安全的產品和系統也會產生嚴重的社會影響，如直接的經濟損失、數據保護問題、隱私和聲譽受損等，種種外部性對漏洞披露有直接影響。

3. 社會因素

首先，網絡安全意識缺乏。普通民眾對網絡主權、網絡邊疆和網絡安全的認識不深，認識不到“網絡安全人人有責”，危機意識、緊迫意識、參與意識不強。

其次，網絡安全專業人才結構有待優化、數量有待提高。與日益增長的網絡安全需求相比，我國網絡安全的人才儲備較為稀缺。根據2019年中國信息安全測評中心的安全從業人員調研報告，我國信息安全人才隊伍建設還存在以下幾個問題：一是信息安全從業人員全方位短缺；二是信息安全職業化尚處于初級階段；三是人員能力提升需求難以得到滿足；四是信息安全人才體制機制存在障礙。其中，最為緊缺的工作角色主要包括“安全建設”類中的分析設計（35.9%）和開發與集成（30.5%）兩個子類，“規劃管理”類中的策略規劃（27.6%）和組織管理（33.5%）兩個子類，以及“監管治理”類中的戰略與法規制定（25.3%）和信息安全執法監管（24.6%）兩個子類。

4. 技術因素

在互聯網高速發展的時代，技術原因對安全挑戰的影響相對更大，首先是新技術層出不窮，進入ABCD（人工智能、區塊鏈、云計算、大數據）時代，企業、個人均與外部資源有更多的交互、共享和融合，攻擊方也采用新技術提升攻擊效果，在新技術帶來極大便利的同時也帶來了更高的網絡安全風險。

（1）人工智能對攻擊的影響。

① 攻擊者可以通過模擬用戶行為定制大規模攻擊。主要的方法包括能夠通過分析電子郵件和社交媒體傳播，來學習個人行為和語言細節形成數據和知識，進而使用這些知識模擬用戶的寫作風格，仿制以假亂真的消息，即使是最有網絡安全意識的計算機用戶也會受到攻擊。

② 復雜的攻擊者利用人工智能學習主導的通信信道和最佳的端口和協議，偽裝自己并伺機攻擊更多的系統。

（2）大數據對攻擊的影響。攻擊者可以利用大數據分析，快速識別哪些數據集是有價值的，這將為攻擊者節省大量的時間和精力。攻擊者利用大數據結合人工智能將能實現規模更大、更為復雜的攻擊。

（3）云計算對網絡攻擊的影響。

① 云的可見性和控制力下降。當將資產/運營遷移到云時，消費者對這些資產/運營的可見性和控制力會下降。使用外部云服務時，某些策略和基礎設施的責任移交給了云服務提供商（Cloud Service Provider，CSP）。實際的責任轉移取決于所使用的云服務模型，上云的單位無法采用傳統方法對運行在云上的應用程序、服務、數據進行監視和分析。

② 按需自助服務更容易導致未經授權使用云服務。云的按需自助服務能力可以在沒有IT部門批準的情況下從云服務提供商獲得資源和服務。在未獲得組織IT部門批準的情況下使用的IT系統通常稱為影子IT。由于云計算中PaaS和SaaS產品成本較低且易于實施，使得未經授權使用云服務的可能性增加了。但是，在IT部門不了解的情況下提供或使用的服務會給組織帶來風險。由于組織無法保護自己不了解的資源，因此使用未經授權的云服務可能會導致惡意軟件感染或數據泄露增加。

③ 可以訪問Internet的管理API。云服務提供商為了方便用戶使用系統，通常會公開一組管理云服務（也稱為云管平臺）并公開與之交互的應用程序編程接口（API）。組織使用這些API來提供、管理、協調和監視其名下的資產和用戶。這些API可能包含與操作系統及數據庫API相同的軟件漏洞。與用于本地計算的管理API不同，云服務提供商API可通過Internet訪問，從而使它們更廣泛地受到潛在的利用。攻擊者在管理API中尋找、利用相關漏洞，進而攻擊破壞組織相關云資產。此外，攻擊者可以使用組織資產對云服務商的其他客戶進行進一步的攻擊。

雖然防御方能通過新技術提升能力，也有“主場優勢”，但是一般來說攻擊方利用新技術肯定早于防御方。此外，攻擊方發現和利用由于技術迭代造成的漏洞一般也早于防御方。