科学研究 RESEARCH
权威发布
caict观点
专家团队
研究领域
科研奖项
CAICT观点
 
您的位置:科学研究>CAICT观点
网络设备安全态势及防护手段解析
0

  在移动互联和大数据时代谈论网络安全,感知网络安全态势是最基本、最基础的工作。网络设备作为互联网的关键网元,其安全态势从微观的角度反映了整体的网络安全态势,没有网络设备的安全就没有网络安全,网络设备的安全重要性近年来不断凸显出来。

  一、网络设备安全态势分析

  近年来,伴随着网络安全事件,浮现了大量的网络设备相关安全问题,网络设备的安全逐渐走入人们的视线。网络设备的日益普及和在网络中的特殊地位导致其安全形势依然严峻。

  (一)网络设备漏洞和后门安全风险较高

  网络设备的漏洞和后门问题是导致其出现远程控制、拒绝服务、流量劫持等安全问题的重要原因之一。CNCERT《2015年中国互联网网络安全报告》显示,电信行业漏洞库收录漏洞数量为657个,其中网络设备(如路由器、交换机等)漏洞占54.3%,可见网络设备的漏洞风险较高。2015年12月美国网络设备制造商Juniper的路由器、交换机和防火墙暴露出远程控制的后门,攻击者可通过SSH等方式以超级管理员(root)身份远程登陆设备,获得设备的完全控制权。网络设备存在漏洞和后门可能导致严重后果,包括攻击者直接将设备下线使业务和网络中断,或者将经过设备的流量重定向到指定点,截获流量中携带的用户敏感信息。

  (二)网络设备成为大型攻击事件的攻击对象和利用对象

  从互联网时代到移动互联时代,网络接入方式移动化,配套的网络设备越来越普及。对于网络攻击者来说,市场保有量越大的产品,攻击获得的收益越大,数量巨大的网络设备也因此逐渐走入了网络攻击者的视线。2015年圣诞节,黑客组织Lizard Squad发起大规模DDoS攻击使得微软的Xbox在线平台和索尼PSN瘫痪。该组织所使用的攻击软件名为Lizard Stresser,它主要利用被感染的家用路由器的网络带宽流量发起对目标的攻击。2016年10月,美国网络技术提供商Dyn遭受了超大规模DDoS攻击(流量可能超过1000G/s)导致不能提供DNS解析服务,包括Twitter、Netflix、亚马逊、Airbnb、PayPal等主要的网络服务中断。调查发现此次攻击是通过名为Mirai的恶意软件控制了大量的安防摄像头、网络路由器等设备,并利用这些设备发起DDoS攻击。类似的攻击事件表明基于网络设备的大型网络攻击对网络安全的威胁在日益增加。

  (三)网络设备逐渐成为网络安全攻防大会的热点

  网络安全攻防大会是展示安全研究人员技术能力的重要平台,从最近几年的发展趋势看,攻防技术的热点逐渐从Windows操作系统、数据库软件系统、手机操作系统扩散到网络设备上。2015年举办的极棒(GeekPwn)安全大会中,获得最高奖的9个项目中,有4个与网络设备相关,其中3个是针对智能路由器的攻击技术,1个是针对摄像头。路由器等网络设备作为家庭用户的网络出入口和城域网的转发设备,在整个网络中有着非常重要的地位,大量的安全研究人员对相关攻防技术展开研究。

  总的来说,网络设备相关安全事件频出,其原因部分是技术上的缺陷,但更多是管理方面的不足所致。技术上的缺陷主要是指漏洞、后门、安全功能缺失等问题,对于安全漏洞等技术上的安全问题,通常会有相应的解决方案,例如通过关闭服务规避、或升级软件修复漏洞,但大量的设备使用方没有及时采用这些方案和措施,导致网络设备被攻击利用。管理方面的不足包括多个方面:一是网络设备安全防护意识不足,认为网络设备不易出现安全问题或不会产生严重后果;二是配套制度的制定和实施有待完善,在人员配备、安全培训、权限分配等方面没有针对性的制度和措施;三是不够重视配置安全,设备常以默认配置或弱安全配置上线。

  二、网络设备安全防护手段解析

  从快速有效提升网络设备安全的角度分析,完善网络设备在安全管理方面存在的不足,可同时在一定程度上规避技术上的缺陷,有效提升设备运行安全性。为降低网络设备的安全风险,针对漏洞、后门、DDoS攻击等安全问题实现动态、持续、有效防护,需要从安全意识、安全制度和安全配置等方面进行针对性的完善和提升。

  (一)增强网络设备安全防护意识是基础

  针对网络设备的安全防护,首先要增强安全防护意识,充分认识到网络设备的安全重要性。例如,设备使用方需要了解如果发生攻击事件,可能导致的严重后果是什么;可能的攻击路径有哪些,如何防范和监测;出现安全问题时如何快速响应。增强安全防护意识还要求设备使用方持续关注所用网络设备的安全威胁情报,出现新的漏洞时要及时跟进,了解临时防护措施,实现动态的、持续的安全防护。

  (二)制定并实施合理的网络设备安全管理制度是关键

  俗话说“安全三分靠技术,七分靠管理”,网络设备也不例外,制定并实施合理的网络设备安全管理制度,是实现网络设备安全防护的有效手段,在设备使用方的安全管理制度中,不可忽视对网络设备的安全管理。例如在人员方面,需要配置专业的管理人员、对相关人员定期进行安全意识和技能培训;在设备管理权限方面,严格限制配置修改权限,实现分级分权管理,具备差异化的口令要求以及口令严格保密要求等。

  (三)持续保障配置安全是核心

  网络设备的安全问题大部分源于缺乏安全配置,根据对政府部门网站系统的漏洞跟踪监测的结果显示,2015年12月政府部门网站系统漏洞隔月修复率仅为52.7%,而涉及网络基础设施的漏洞隔月修复率为81.3%,漏洞修复这类配置安全问题仍然是导致网络安全风险的重要原因。网络设备的安全配置重点从以下方面入手,一是配置严格的远程访问控制配置,限制访问路径;二是关闭无用的对外服务,遵循“最小够用”原则;三是配置日志审计和日志备份,实现有效审计和溯源;四是定期检查软件版本,及时修复已知漏洞,安全升级。

  三、总结

  网络安全法中指出国家要对关键信息基础设施实行重点保护,网络设备作为关键信息基础设施中的基本组成单元,其重要地位自然不言而喻。攻击者早已意识到对网络设备发起攻击能够起到四两拨千斤的作用。作为互联网时代的参与者,应当对网络设备的安全有全面的认识,及时了解网络设备安全的新态势,共同创造和维护安全的网络环境。


  作者简介:

  张治兵,就职于中国信息通信研究院泰尔系统实验室,从事网络设备漏洞挖掘、互联网安全等方面的研究和检测工作。负责和参与了工信部等政府部门的多项项目和课题研究;参与大量的网络及设备安全检测项目;曾发现思科和华为路由交换设备的多个0Day漏洞;在关键信息基础设施安全、设备安全等方面参与了相关标准制定工作。

  联系地址:北京市海淀区花园北路52号中国信息通信研究院泰尔系统实验室(100191)

  联系方式:zhangzhibing@caict.ac.cn


国家高端专业智库 行业创新发展平台
欢迎关注中国信息通信研究院(工信部电信研究院)公众账号!
微信号:工信部电信研究院CATR

Copyright © 2008-2013 中国信息通信研究院(工业和信息化部电信研究院)版权所有

京ICP备09013372号 京公网安备11010802010351号       网站声明       联系我们