全球網絡安全態勢綜述報告

從全球視野來看，當前的世界并不是一個安全的世界，攻防的博弈一直都在，并且愈演愈烈。我們知道，網絡空間已成為繼陸、海、空、天之外的第五空間，維護網絡安全成為事關國家安全的重大問題。美國等西方發達國家頻繁炒作“中國網絡威脅言論”，但實際上作為擁有最強大網絡武器庫、最先進網絡基礎設施的國家，美國一直依靠其強大的網絡攻擊能力，對包括中國在內的多個國家持續進行網絡攻擊，西工大事件的爆發就是一個實例佐證。發達國家利用網絡空間的信息不對稱和技術門檻，推動網絡霸權，進一步加劇信息壁壘和數字鴻溝，從而政治和經濟上奪取利益。與此同時，境內外敵對勢力、高級持續性威脅（APT）組織、黑客組織每時每刻都在嘗試對全球網絡中的關鍵信息基礎設施和重要信息系統進行數據竊取、入侵滲透和攻擊破壞；利用互聯網絡實施的隱私竊取、敲詐勒索、惡意植入等網絡違法犯罪活動依然猖獗。這些破壞活動既阻礙了網絡空間的發展，也給經濟運行、社會發展和國家安全帶來了嚴重威脅。

當前我們對全球威脅情況進行了分析，我們先看一個實際案例，方程式事件，隸屬于NSA的黑客組織“方程式”實施APT入侵后窺視并控制他國網絡長達十幾年，受害者波及全球45個國家和地區的287個重要目標。如果棱鏡計劃是美國對全球平民百姓的隱私監控和竊取，那方程式就已經上升到了對全球國家關鍵信息基礎設施的入侵和破壞。

在漏洞研究方面，各大漏洞庫公布的漏洞數量較以往呈明顯激增態勢。美國國家漏洞數據庫(NVD)，2022年全年的漏洞總數為6,515個,預期年增長率至少上升170%。

數據泄露方面，全球61個國家在過去的一年共識別近8萬個安全事件中數據泄露事件為20000個，與2021年同期相比，2022年的數據泄露事件增長了14%，其中以獲利為目的的數據泄漏事件占比最高，約為80%，數據泄露事件的主要動機是利益驅動，而將近一半的泄漏事件，是由攻擊者惡意攻擊導致。另一半則由組織管理不當人員意識不足疏忽所導致。

安全威脅加速蔓延體現在其攻擊領域的不斷擴張，我們越來越多的看到攻擊從傳統互聯網向工業互聯網領域滲透，經統計工業制造業成為攻擊的最常見目標，而當今的攻擊方法和手段已逐漸成熟，向隱蔽化、智能化、專業化方式演變，傳統的老三樣防御方式已經無法抵御新型攻擊的洪水猛獸，加之網絡空間安全攻防本就不對等。攻擊者往往有足夠的時間來計劃和執行攻擊,突破進入系統僅在分鐘級內,而防守者發現攻擊的情況大多都在周、月這個時間級上，防御的速度、能力、效果都遠遠滯后于攻擊，攻強守弱的局面迫切需要體系化的安全解決方案應對不斷擴張和變化的安全威脅。

說起國際安全形勢，2017年5月12日爆發的WNNCRY勒索病毒是避不開的全球網絡安全大事件，堪稱互聯網行業的“生化危機”。數小時內影響近150個國家，政府機關、高校、醫院的電腦屏幕都被“染”成了紅色，致使多個國家幾乎全行業的關鍵信息基礎設施遭受前所未有的破壞。直到2020年，WannaCry在所有勒索軟件感染排行榜當中仍舊高舉第一，成為迄今為止最普遍的最臭名昭著的病毒。此事件之后，勒索軟件開始插上翅膀，勒索軟件2.0、3.0，各種新型變種層出不窮，已成家族趨勢。犯罪分子開辟了新的可乘之機，衍生出雙重勒索甚至三重勒索等新趨勢的出現，使得攻擊變得越發復雜。在三重勒索中，不僅會勒索感染病毒的機構，并向其客戶、合作伙伴和供應商索取贖金。而且 “勒索軟件即服務” 也逐漸普及，意味著勒索組織趨于專業化，它允許服務商將勒索軟件租給機構或個人，勒索軟件演變成商品，大大降低了實施勒索攻擊的門檻。另外，加密貨幣越來越多地被用于勒索支付則更加大了追蹤難度。在經濟利益的刺激下，打擊勒索組織儼然成為“打地鼠”游戲，難以有效清除。

勒索軟件和間諜軟件依舊全世界范圍內肆意蔓延，這將造成嚴重的國家危機。比如美國頭部HR系統供應商克羅諾斯公司私有云平臺遭勒索攻擊超1個月未恢復，在服務中斷期，賬務和人事部門均積累了大量記錄和報告，必須以手工形式錄入克羅諾斯系統。數千家使用該系統的用戶被迫下線，全美大量人員均受影響，政府、醫院、企業等數千家組織的薪資無法發放，涉及近千萬員工。

我們還需要了解以色列間諜軟件飛馬，當其植入終端后，在不需要用戶自己操作的情況下，可實現自動解鎖，提取所有數據，打開攝像頭和麥克風，監控機主的一切活動，并且不會留下任何攻擊痕跡。被稱“軍事級間諜程序”、“有史以來最強大的間諜軟件”、可以“達到無所不能的地步”，西班牙首相、英國首相辦公室的設備都發現了被秘密安裝了這款軟件。受害者為多國政府領導人。這凸顯了間諜軟件對國家安全構成的威脅。

我們當前的網絡世界中離不開WEB應用，它所依賴的框架也存在安全缺陷。以Struts2為例，作為世界級的開源WEB架構，在互聯網上有十分廣泛的應用，大量重要行業的網站應用構建在其之上，從2017年至今，這個框架就在不斷地給互聯網以驚嚇，在已經收集和統計的Struts2安全問題列表中發現僅遠程代碼執行的漏洞竟多達13個，爆出的高危漏洞隨便拿出一個其危害都是災難級的，對京東等互聯網大廠已經造成了上億的經濟損失。利用該類漏洞黑客可以執行任意命令、直接獲取網站服務器權限等，破壞力巨大。雖然這些年阿帕奇官方修修補補，不斷在升級救火，而它不爭氣的還是不定期的曝出高危漏洞，真的可以說是漏洞百出。

而Apache一波未平一波又起，其開源日志組件Log4j在21年爆出遠程代碼執行漏洞，最早紕漏是在阿里云中，早期阿里還未意識到該漏洞的嚴重性，直到其波及全球，阿里也因此事件被工信部進行嚴重處罰。由于log4j是當前最流行的開源Java日志庫，攻擊者只需發送一個惡意日志字符串即可被錄入日志中，這種利用方式使攻擊者可以向服務器加載任意Java代碼，從而遠程控制和利用被攻陷的服務器，也就是RCE。該漏洞直接或間接影響互聯網上三分之一的服務器，波及擁有海量用戶的互聯網巨頭的常用服務器，在CVSS漏洞評分為最高得分10分，堪稱核彈級漏洞，并不是起初阿里云為了安撫情緒公開紕漏說是BUG這種避重就輕的說法。Log4j2漏洞為開源軟件安全和企業漏洞管理敲響警鐘。

下面介紹OpenSSL的心臟滴血漏洞，利用此漏洞可以攻擊全球三分之二的網站，只要使用的是存在缺陷的OpenSSL通訊組件。原理就是利用OPENSSL心跳檢測的拓展內存泄露越界BUG，沒有對輸入進行適當驗證（缺少邊界檢查），造成了對內存里信息的越界訪問，屬于緩沖區過讀BUG。通過BUG的返回信息，攻擊者就獲得了服務器上很多敏感信息，如銀行帳號信息，電子交易信息。常見引發的后果就是網站的數據泄露,攻擊者可輕易攻陷網站服務器,對網站數據庫“拖庫”,從而獲取網站注冊用戶的帳號密碼和個人資料等。之后著名的網絡服務商CloudFlare又曝出“云出血”漏洞，導致云上用戶信息在互聯網上泄露長達數月時間。

我們接下來重點關注俄烏戰爭中的網絡軍事對抗，在2022年2月24日普京下令在頓巴斯地區進行軍事行動，至此俄烏沖突正式爆發。但在這之前，兩國在網絡層面上的對抗就早已開戰，所以我們講網絡戰成為了現代戰爭的先導模式，這場網絡攻防戰爭中，既有政府組織發起的行動，也有不確定攻擊來源的行動，包括烏克蘭地下黑客、俄羅斯民間“網絡衛士”到勒索軟件組織、國際黑客組織，多方勢力紛紛表態和行動，為此次沖突增加了更多復雜性，分析兩國網戰特點，烏克蘭方面組織動員能力強，沖突爆發初期即組成IT網軍先發制人，入侵2500多個俄羅斯網站、國家媒體、銀行、醫院、機場的信息系統。俄羅斯方向網絡攻擊計劃性、針對性強，采用大規模DDOS對政府、武裝部隊、銀行網站試行關鍵信息基礎設施的重點打擊。而在這場沖突中我國也不單只是作為看客，從中受到了啟發和警醒，當國家頂級域名、DNS解析、國家強制性標準如果受制于人，總是處于被動防御的狀態，那么可能會在未來或將面臨的與他國大規模網絡空間戰中處于劣勢。

往早追溯，“震網”被稱為全球網絡安全威脅里程碑事件，因為它是第一個以現實世界中的關鍵工業基礎設施為攻擊目標的惡意代碼，導致的后果就是伊朗核計劃直接流產，證實了通過網絡空間手段進行攻擊，可以達成與傳統物理空間攻擊（甚至是火力打擊）的等效性。相比美聯合以色列在兩伊戰爭中針對伊拉克核反應堆進行軍事打擊的事件與震網事件進行對比分析看出，通過大量復雜的軍事情報和成本投入才能達成的物理攻擊效果僅通過網絡空間作業就可以達成，而且成本也大大降低。我們以時間線順序將“震網”病毒從研發、滲透、潛伏、爆發進行了系統性梳理，發現感染源頭是靠荷蘭情報機構雇傭的內鬼操作完成，總結下來網絡戰中最薄弱環節還是人，而權威調查超過85%的網絡安全威脅來自于內部的人員。所以，究其來講，當今網絡戰，注重兩大挑戰,一個是技術的漏洞，一個是人的漏洞。技術上的漏洞不可避免，需要具備“看得見”、“守得住”的能力；而人的漏洞，則需要我們管理好“身邊人”的防線，這里的人可能是內部人，還可能是偽裝后的敵人。

可以預見，每年頻發的網絡攻擊對象開始聚焦于國家重要基礎設施，對國家安全穩定造成巨大風險，引發全球關于加強關鍵信息基礎設施安全保護的思考。關鍵信息基礎設施支撐著國家重要行業和領域的發展，關系國計民生，是國家運行的神經中樞，當前形勢下，針對關基的攻擊日益頻繁，攻擊目標軍事化，正如俄烏沖突中的網絡攻擊那樣，用于軍事化目的的網絡恐怖襲擊和網絡戰爭越來越多，電力、軍事、高科技、城市交通的網絡攻擊主要目的就是削弱甚至摧毀敵國綜合國力，攻擊主體也逐步從個人轉換為國家，網絡技術愛好者變成了國家軍事人員。此態勢之下，各國開始推動關基安全保護措施。美國除了大幅增加關鍵基礎設施安全防護的資金投入，還推出多部有關強化關鍵基礎設施網絡安全、預防勒索軟件攻擊等方面的法案和指南文件。我國也于2021年8月出臺了《關鍵信息基礎設施安全保護條例》，這是我國首部專門針對關鍵信息基礎設施安全保護工作的行政法規，為開展關基保護工作提供了基本遵循。

面對日益復雜嚴峻的網絡安全形勢，美國、俄羅斯、歐盟、日本、意大利等重點國家和地區不斷推出舉措強化頂層設計和能力體系建設，不斷完善網絡安全戰略布局，持續完善網絡安全政策戰略，重點加強供應鏈安全、關鍵信息基礎設施保護、數據安全、個人信息保護等領域的工作。

國際安全標準也在順應時代做出新的變化，國際標準化組織對此進行了重點更新，加入了涉及最新熱點的安全領域，如云計算，移動計算、大數據環境下通信能力和數據隱私方面的安全控制要求，以應對目前信息安全的發展形勢。包括信息安全管理領域最佳實踐2W7，也從13年的版本更新至2022年版，云安全和客戶隱私保護作為本次修訂新增控制要求，以應對當前多樣的網絡攻擊手法與復雜的威脅態勢。

美國對中國科技產業的重拳政策是我國網信發展面臨的長期持久威脅，特別是在高精尖技術產業領域如芯片、半導體產業上美借助政策審查、出口管制實際施以政治霸凌和技術封鎖，迫使主要芯片廠商和供應鏈紛紛選“美”站隊，還借助各種法案對其所謂造成國家威脅的特定國家進行卡脖斷供，進而實現了對世界芯片供應鏈各主要環節的壟斷控制，極力打壓我國境內芯片企業的設計生產制造與發展。

在2022 年，境外勢力、網絡黑客和不法分子對國內重要行業、關鍵領域和重點機構的網絡數據竊密行呈現全新的趨勢特征。由于當今數據的商業價值被不斷深度挖掘，為了獲取數據背后高額的經濟利益，網絡黑客、不良應用軟件開發商等均將目光鎖定在公民個人隱私數據上，權威調查，我們國家的互聯網用戶每五個人就有一個面臨或已經遭受隱私泄漏與網絡安全的威脅。而在我國疫情防控特殊時期，境外勢力伺機趁火打劫，進一步加大了對我國醫療行業，尤其是生物醫藥數據的網絡攻擊頻次和竊密力度。

在這個數字經濟時代，“新基建”項目在我國大面積鋪開，如城際高速鐵路和城市軌道交通，而“新基建”的本質是數字化，“新基建”領域的數據安全問題也凸顯出來。去年4 月，國家安全機關就成功破獲首例為境外刺探、非法提供我國高鐵重要敏感數據的情報案件。高鐵移動通信專網（GSM-R）敏感信號，該數據直接用于高鐵列車運行控制和行車調度指揮，承載著高鐵運行管理和指揮調度等各項重要指令，直接關乎我高鐵運行安全和旅客生命安全。

2022 年，隨著網絡空間大國博弈較量的持續深入，美西方不斷加大對我國境內重要單位、重點目標等的網絡攻擊頻度與力度,從近年網絡攻擊態勢看，境外國家級黑客組織的猖獗活動將愈發增多，我國網絡安全將長期處于前所未有的戰略承壓期和高危風險期，正可謂帝國主義亡我之心不死，西工大事件就是最真切的例子，我們后續也會對其進行詳細分析。在此態勢之下，我國網絡安全國家層面動作勢在必行，首先搭建組織，成立領導班子，貫徹國家方針，制定策略、推進建設，邁出體系建設的第一步。在14年初即成立安全委員會,緊接著設立中央網絡安全和信息化領導小組，由習總親自掛帥擔任組長,彰顯信息安全問題已上升到了史無前例的戰略高度，以最高規格來統籌中國成為網絡強國的發展戰略，在國家中央層面形成一個極具權威性的機構， 體現了中國執政黨加強頂層設計的意志、保障網絡安全、維護國家利益的決心。

我國黨中央的頂層規劃設計一直貫穿網安工作始終，以頂層規劃為引領，進行全局性的戰略部署，統籌網信發展與安全，切實推動網安事業的繁榮發展，黨的二十大報告提出了“加快建設網絡強國、數字中國”“健全網絡綜合治理體系，推動形成良好網絡生態”“強化網絡、數據安全保障體系建設”等部署要求，首次以專章形式對“推進國家安全體系和能力現代化，堅決維護國家安全和社會穩定”進行全局性的部署，為今后我國網絡安全和信息化的發展定下了主旋律。

政策法規方面，網絡安全頂層設計不斷完善，各地網絡安全政策密集出臺，安全技術研發和標準制定、人才培養都在助力產業的快速發展，包括對網絡安全產品和服務的采購和部署。市場主體方面，網絡安全上市企業營收良好、投資熱度不減、整體盈利水平優于國際同業。更多關鍵行業如交通、教育都開始規劃安全產業發展的內容，產業發展要素與資源不斷集中。

回顧我國網絡安全法律體系完善之路，在2000年之初，人們開始認識到互聯網強大的媒體屬性、商業機會和社會價值，《電信條例》《互聯網信息服務管理辦法》等規定相繼頒布，各部門開始重視參與網絡信息治理，直至網絡安全法頒布，這是開拓階段，而作為我國互聯網領域第一部專門法律，《網絡安全法》一經頒布就拔到至高層面，釋放了沒有網絡安全就沒有國家安全的強烈信號，它申明了網絡權力原則，建立了等級保護、關鍵信息基礎設施保護制度等，而發布以來,國家層面網絡安全法律法規陸續密集出臺，有效銜接網安法構筑的制度和規則，這些配套的強監管和強合規國家依法治網的頂層設計和監管落地理念的重要體現，更是維護國家安全、護航數字經濟良性發展的重要舉措，他們合力構成了網安體系的四梁八柱。由此進入完善階段。在發展階段，當今我國網絡環境開放、用戶角色不斷增加、防護邊界擴張, 帶來了各類新的安全風險，居家辦公、遠程學習推動著網絡環境更加開放、用戶角色增加、防護邊界擴張，就帶來各類新安全風險；5G商用推進工業互聯網發展，企業內外網關聯增加了工業互聯網安全風險；智慧城市、物聯網和車聯網在開啟萬物互聯的同時，城市安全越來越受重視。國家發展過程要堅持依法治網，而這過程中需要網安企業與數字產業各方協力，廣大網民積極參與，才能鑄成我國經濟社會發展的安全長城。我們也必須從網絡空間技術體系的角度，全面、系統地看待網絡空間安全的新威脅和新挑戰。

《網絡安全法》把等級保護拔高至法律強制監督層面，同期為了配合網安法的實施，同時適應云移物聯工大等新技術、新應用情況下等級保護工作的開展，對等保1.0體系相關標準進行修訂，修訂的思路和方法是針對共性安全保護需求提出安全通用要求，針對云移物聯工大領域的個性安全保護需求提出安全擴展要求，形成新的網絡安全等級保護基本要求標準。至此之后進入等保2.0時代。

在治理網絡亂象方面，國家相關職能部門開展了多個專項整治行動。2022 年，網信辦推進“清朗打擊網絡謠言和虛假信息”專項行動，督促指導微博、騰訊、抖音、快手、小紅書等網站平臺加強監測查證，做好全面排查，重拳整治疫情防控、突發事件、社會民生等領域的造謠傳謠行為。同時，國家有關部門還積極開展聯合行動，深入整治電信網絡新型違法犯罪，堅決查辦非法網站，建設國家涉詐黑樣本庫，建立互聯網預警勸阻平臺，維護人民群眾切身利益。

通過行政法規，國家進一步加強了對網絡安全、數據安全和個人信息的保護力度。依據《網安法》《數安法》《個信保護法》《關基保護條例》《網安審查辦法》等要求，國家網信、公安網安等相關主管部門通過執法約談、責令整改、通報批評、暫停業務、處理相關責任人等處罰方式，對危害國家網絡安全、數據安全、侵害公民個人隱私信息等違法行為進行嚴厲打擊。2022 年 7 月，國家網信辦依法對滴滴打車違反《網安法》《數安法》《個信保護法》的違法違規行為處以 80.26 億元人民幣的罰款，成為我國網絡安全懲戒罰款最高紀錄。頭懸利劍形成強大聲勢和有力震懾，做到以一儆百，不斷強調網絡不是法外之地，教育引導國內互聯網企業依法合規運營，促進網絡安全規范有序發展。

需要認識到的是，全球信息化已經進入云化時代，現在云的形態非常的豐富，公有云、私有云、混合云、行業云都在迅速發展，云計算在多個行業得到了廣泛應用，大數據、微服務等各種面向云計算的應用和架構也應運而生，所以未來云DC云數據中心將會勢必成為業務中心的主流模式，隨著全面云化的深入，網絡需要圍繞云進行建設，需要用云計算的理念優化網絡架構，使網絡資源能夠按照用戶的需求，動態、彈性地調度和分配，構建敏捷、彈性、智能的優質網絡，SDN也因云而生，而以SDN/NFV為基礎技術架構，實現網絡的簡化、自動化、智能化，構建統一承載的云化網絡。新的網絡可以根據業務需求，快速靈活地進行資源調整，更好地適配業務創新需求。

與此同時，NFV網絡功能虛擬化，是近年來使用虛擬機替代網絡設備硬件的新技術，虛擬機使用管理程序運行網絡軟件和進程，利用IT技術將整個網絡節點功能虛擬化到大容量服務器、交換機上，這將允許通信服務與路由器和防火墻等專用硬件分離，這種分離意味著網絡運營可以動態提供新服務而不需安裝新硬件。部署具有網絡功能虛擬化的網絡組件只需要數小時，不像傳統網絡那樣數月時間。虛擬化技術使用更少的設備、又具有靈活的擴展性，還降低了成本，但是應該考慮的風險比如網絡流量不透明，傳統流量監控工具很難在虛擬機之間的東西向流量中發現惡意異常，因此NFV還需要更細粒度的解決方案。

數據時代，讓大數據在當前得到十分廣泛的應用，但他有利有弊。利當然是為我們提供更好的決策，欺詐檢測：大數據分析能力可以讓銀行和信用卡公司能夠發現被盜信用卡或欺詐性購買，并且通常是在持卡人知道出現問題之前發現問題。而大數據最顯而易見的弊端就是對企業敏感數據和個人隱私的沖擊，而且企業的大數據分析中包含的敏感個人信息，在收集使用處理過程中會觸及法律法規的紅線要求，另外就是支持大數據分析的硬件資源在購買和維護方面都是十分昂貴的。

大數據的利弊前面已經提到，這里我們再做下擴展，以知名大數據平臺Hadoop為例，因為大數據的引入，在技術層面存在認證授權能力弱，平臺自身安全性不足，敏感數據泄露等問題，從而會引入更多的漏洞，增加了大數據平臺的攻擊面。

SDN技術將網絡管理從硬件平面轉移到了軟件平面，網絡只受軟件控制器的管理，也引入了軟件層面的安全影響。該項技術除了自動化和簡化網絡管理工作的優勢之外，由于SDN創建了一個抽象層，將控制集中到SDN控制器中同時模糊了防護的分層硬件的界限，例如防火墻，一方面網絡控制器、其協議以及API增大了攻擊面，一方面又削弱了邊界控制，導致SDN網絡被攻擊的風險大大增加。

當前各單位IT資產數量非常龐大且覆蓋范圍廣泛,只要部署發布在互聯網，就必將面臨著來自互聯網的各類外部威脅,這對我們網絡安全精細化管理是較大的挑戰。那么應對互聯網暴露面所帶來的外部威脅，應從防護手段、檢測手段和運營平臺三個方面進行治理。特別是通過互聯網資產梳理、暴露面收斂、風險檢測與持續監測手段將是應對暴露資產風險的最優解。

物聯網設備也面臨著安全沖擊，Mirai病毒是物聯網病毒的鼻祖,能夠感染在 ARC 處理器上運行的智能設備,將其變為遠程控制的機器人或“僵尸”網絡，通常用于發動 DDoS 攻擊。而有一款Shodan被稱之為互聯網上最可怕的搜索引擎。他與谷歌、百度等搜索引擎爬取網頁信息不同，它爬取的是互聯網上所有設備的IP地址及其端口號。而隨著智能家電的普及，家家戶戶都有許多電器連接到互聯網，這些設備存在被入侵的可能性。我們嘗試搜索海康威視的攝像頭設備便展示出遍及全球的IP及其暴露的端口號，有些端口存在高危漏洞，而有些端口將直接暴露設備的后臺管理界面。

我們知道NDay漏洞是已經公開很久的漏洞，利用NDAY的攻擊事件必然是由于用戶缺乏安全意識，沒有更新或者安裝官方的補丁，導致攻擊者輕松地通過網上公開的漏洞利用代碼進行攻擊，攻擊成本較低.要造成巨大破壞力還得是1day和0day漏洞，即為官方都不知道當然也未被修復的漏洞，前面所提到的STS2、心臟滴血、LOG4J都屬于0day,如果被惡意攻擊者掌握，如入無人之境，攻擊效果最佳，調查顯示利用0day攻入和發現比例的時間窗口在擴大，這個時間窗口越大，0DAY產生的破壞力將會越大。

這就涉及到我們當前的防御體系存在的一些弊端，我們假設黑客和安全專家同時發現了漏洞，傳統的靜態、被動式的防御對于突發漏洞檢測慢、反應慢、防護也慢。其實網絡空間的戰爭本身就是敵暗我明，易攻難守的非對稱戰爭，社工庫就是一個黑客們將泄漏的用戶數據整合分析，然后集中歸檔的一個例子。我們的賬號密碼、個人隱私都可以被公開查詢，或流入黑產市場進行高價售賣，或進一步引發欺詐和勒索。這場非對稱戰爭中，我們在兵力士氣，戰術戰略武器甚至在安全意識層面全面落后于敵方，就對我們網絡運營者主動提升網絡空間的攻防對等能力提出要求。

再看看我們當代的安全防御產品，傳統的老三樣，是否已經逐漸鈍化？

先看防火墻，傳統的墻只能識別IP和端口，識別不出數據包的payload，無法有效的監測和防護攻擊。基于傳統防火墻邊界隔離措施面對信息收集能力和針對性很強的APT 攻擊，是無能為力的。

IPS，入侵防御系統，主要依靠特征庫、黑名單來發現和阻斷威脅，特征庫怎么來的？還是依靠安全專家對威脅特征的研究、提取，形成的，并給出對應的規則。但專家的資源有限，已經紕漏的威脅也只是冰山一角，應對未知的威脅IPS就顯得力不從心。

AV，防病毒軟件，AV與IPS的方式類似，也是基于病毒庫。一方面是病毒樣本庫更新太慢，另一方面基于“特征”的匹配很容易通過病毒的變形、加殼被“躲避”。

傳統的安防體系一方面核心軟硬件基礎設施中存在多種安全漏洞，另一方面安防設備呈現“孤島化”，各自為戰，加上安全運維中各類告警事件，數據量大、誤報率高；而敵方各類攻擊手段在像APT攻擊這種已經高度工具化、自動化、持續化，并且掌握了大量0DAY蓄勢待發，這些我們的防御還是以被動響應為主，缺乏對抗能力和關分析能力，導致預判能力不足。我們現在如果還是將安全重點工作集中在修補漏洞和加固安全基礎設施這種純靜態防御將會越來越滯后，更加無法阻止蓄意的攻擊和漫無目的的隨機性攻擊。

我們前面提到信息孤島，是由于分散的安全信息采集方式導致信息之間相互割裂形成無法關聯形成的，這對我們安全管理工作提出挑戰，比如：

各應用系統用戶賬號孤立分散，缺乏統一的管理規范和安全標準，存在大量 “僵尸賬號” 和 “孤兒賬號”。

運營效率低：運維人員在管理用戶、授權、重置密碼等方面需花費大量的時間。

用戶體驗差：每個用戶需記憶多套用戶名和密碼。

無法有效支撐合規審計：大多采用人為數據采集、分析，缺乏實時有效的事前、事中審計，事后責任難以追溯到人。

綜上所述，我們強調主動的安全，主動安全的核心解決方案就是態勢感知，通過全局視角對網絡安全整體的風險狀況進行發現識別、理解分析、響應處置，但是當前態感技術還存在一些問題比如僅能實現可視化的展示，并不能處理計算復雜海量的數據。各子系統之間的耦合度較低，導致信息要素共享不及時，還有溯源能力比較薄弱，大多數情況下，防御只做到了感知攻擊存在，但是對于何時攻擊、受害“點位”、攻擊者真實形象、意圖一無所知，所以我們說態勢感知的能力有待加強。

當前我們已經明顯感知到網絡攻擊能力隨時代的變化已顯著提升，應對網絡安全新的變化和挑戰，我們改進、重構目前已經相對滯后的攻擊防御體系是勢在必行的，這要求我們網絡運營者和守護者首先需要從思路上要做三個轉變，即從靜態特征檢測向動態異常檢測轉變、從邊界防護向全網防護轉變、從被動防御到充分利用威脅情報向主動防護轉變。基于這個思路，需要具有豐富安全經驗和能力的組織和單位提出切實有效的安全保障體系建設思路和方法，給信息安全防護體系的未來建設發展的提出一些參考和建議。關于網絡安全態勢的防護和應對，我們接下來會另起新篇進行討論和探索。