2021-3-7周日 网安资讯

2021-3-7周日 网安资讯本站　　工业控制系统信息安全产业联盟出版《工业控制系统信息安全产品及服务指南（2021版）》（以下简称《指南》），《指南》梳理近一年（2019-2020年）市场上推出的工控信息安全产品及服务，加以分类、汇编成册，方便广大用户了解工控信息安全产业的前沿技术及最新动态，从而方便、快捷地选择合适的产品及服务

　　工业控制系统信息安全产业联盟出版《工业控制系统信息安全产品及服务指南（2021版）》（以下简称《指南》），《指南》梳理近一年（2019-2020年）市场上推出的工控信息安全产品及服务，加以分类、汇编成册，方便广大用户了解工控信息安全产业的前沿技术及最新动态，从而方便、快捷地选择合适的产品及服务。

　　本文基于纵深防御的工业安全防护理念，结合风电场监控系统网络安全的案例实施，在项目过程上从现状分析、安全设计——包括网络边界的隔离和加密、上下位主机安全防护以及外设管控等技术层面，方案实施以及安全方案实施后的攻防验证，进行了一体化、一致性的安全设计，同时对其他新能源的并网的安全防护建设进行了展望。

　　为了利用“阻断访问式攻击”从而获取巨额赎金，网络罪犯使用了许多不同的技术方法，勒索病毒是一种最常见、最特殊的恶意软件。近年来，频繁应用在电力、水利、交通、制造业等领域的工业型勒索软件，给相关企业和组织造成巨大的经济损失，甚至威胁。勒索病毒导致工业企业停产已经不是个案，这充分说明工业企业网络安全的脆弱性，同时也证实工业企业在数字化转型过程中的网络安全设计和建设环节严重缺失，工业企业已成为网络黑客的重点攻击目标。

　　本文针对IEC 61850协议报文存在的安全问题，利用仿线通信过程，对其网络环境进行了重放攻击，验证了该协议的安全缺陷，为了增强报文的安全性，利用WINPCAP开发工具捕获IEC 61850数据报文，提出了一种基于SM2-SM3国密体系算法，对其报文进行了数字签名并验证，实验结果表明报文安全性得到了改善。

　　以智能化物联感知设备、高速无线通信、大数据、边缘计算与云计算分工协作为代表的新技术在城市交通运输领域的应用，实现了城市智慧交通系统，也给交通运输行业的信息安全带来了严峻的挑战。

　　报告总结，三年来，我国《工业控制系统信息安全三年行动计划（2018-2020年）》稳步推进，实施成效明显，全国工控安全管理工作体系基本建立，全社会工控安全意识明显增强。全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台（一网一库三平台）基本建成，态势感知、安全防护、应急处置能力显著提升，产业支撑生态基本构建。但同产业数字化转型发展、新型基础设施建设应用、网络强国与数字中国建设要求相比，在技术创新、管理协同、产业发展和人才培养方面还有发展空间。

　　《大数据平台安全研究报告》以本次专项行动中积累的安全检测数据为基础，从平台配置安全隐患和安全漏洞的分布规律、产生原因、危害影响、修复难度等维度分析了大数据平台的安全现状。同时，详细分析了形成该安全现状的问题根源，并给出了相应的解决方案建议。最后，从监管、标准、技术研究等方面提出了大数据平台安全未来的工作方向。

　　近日，工业互联网专项工作组印发《工业互联网创新发展行动计划（2021-2023年）》（工信部信管〔2020〕197号，以下简称《三年行动计划》）。现就《三年行动计划》有关内容进行解读。

　　工业测控设备是工业控制系统的神经中枢，其安全问题日趋严峻，内生安全技术是抵御内外部信息安全威胁攻击的根本。本文从内生安全视角阐述了工业测控设备功能安全、信息安全技术的发展过程，以及目前国内外安全型工业测控设备的产品化业态，介绍了相关工业测控设备安全标准研究进展，最后结合现状分析了未来发展的趋势，为工业测控设备安全技术的研究及发展提供参考。

　　摘要：全国信息安全标准化技术委员会（SAC/TC260）是经国家标准化管理委员会批准设立的，在全国范围内负责信息安全技术、机制、服务、管理、评估等领域标准化工作的专业标准化技术委员会。第二届TC260工作已满五年，根据《全国专业标准化技术委员会管理办法》（总局令191号）的相关要求，现开始筹备TC260换届工作。本着透明、公开公正的原则，现面向全国各有关单位公开征集第三届TC260委员。

　　摘要：3月1日，国新办举行工业和信息化发展情况新闻发布会。工业和信息化部部长肖亚庆在会上介绍，展望未来，工业和信息化系统将统筹发展和安全，以提升产业链供应链的现代化水平为着力点和落脚点，进一步固根基、扬优势、补短板、强弱项，推进制造强国和网络强国建设不断迈上新台阶。

　　摘要：微软紧急发布了Exchange 多个高危漏洞的风险通告，攻击者可以利用相关漏洞在无需用户交互的情况下攻击指定Exchange服务器，执行任意代码。Exchange服务器被入侵者控制会导致十分严重的后果，包括但不限于：严重的信息泄露风险，以及后续导致的其他严重攻击事件。

　　摘要：近日，微软开源了用于调查SolarWinds攻击木马软件（Sunburst/Solarigate）的代码查询工具——CodeQL（），其他企业也可以使用该工具自查相关产品代码是否受到SolarWinds供应链攻击恶意软件的影响。

　　摘要：2021年2月26日，阿里云应急响应中心监测到SaltStack官方发布安全更新，修复了包括 CVE-2021-25283 SaltAPI 模版注入在内的多个漏洞。

　　摘要：智慧农业已经成为互联网和科技巨头们的下一个风口，但如果应对不当，过去三十年肆虐科技行业的网络安全“病虫害”，将给现代农业甚至人类粮食安全带来巨大的网络安全威胁。

　　2020年是不同寻常的一年。这一年，疫情黑天鹅事件突袭，掀起了“新基建”的又一轮热潮，以5G、大数据、人工智能、云计算等为代表的新技术备受瞩目，远程办公、在线教育、直播带货等新兴产业快速崛起。如果说过去几年，很多企业还在不紧不慢地探索着数字化转型升级之道，那么在疫情影响之下，2020年的企业则全面按下了信息化建设的加速键。

　　在此背景之下，网络信息安全态势也愈加复杂，不但网络安全所覆盖的维度和领域急剧扩张，因信息安全问题所引发的后果也更为严重。据《金融科技新闻》（Fintech News）报道，2020年，超过80%的公司遭受的网络攻击有所增加。而来自阿科斯实验室（Arkose Labs）的数据显示，2020年网络数量飙升了20%，达到4.45亿次。

　　2021年还会如同2020年一般动荡吗？我们都希望不会。但有一点是确定的：与以往任何一年相同，2021年，我们仍将继续面临新的、不断演化的网络安全威胁与挑战。

　　疫情防控期间可以说是中国数字化时代最大规模的一次集体性远程办公，不仅造就了个人办公和业务使用的突发性变化，更带来了大量的网络攻击。瑞数信息安全专家指出远程办公令漏洞曝光的数量显著上涨，特别是借助自动化工具，网络罪犯可以在短时间内以更高效、更隐蔽的方式对网站进行漏洞扫描和探测，尤其是对于0day/Nday漏洞的全网探测，将会更为频繁和高效，首次探测高峰已经由POC发布后一周，提前到POC发布之前。利用这些漏洞，在过去一年大行其道的勒索攻击很可能在2021年变本加厉，企业除了要面临网站数据无法使用的困境，还要做好支付数以千万计的赎金、遭遇经济和名誉双重打击的准备；同时，植入后门或木马对于黑客来说也将更为容易，但感染大规模扩散后产生的指数级安全风险和后续损失将无法估计，也更难以应对。

　　尽管由于疫情影响，企业上云在2020年展现出无与伦比的增速，但云的安全性仍然是一个关键问题。伴随企业上云，对外云服务暴露的攻击面持续增多，漏洞曝光利用、账号盗取与窃密等各种攻击能够轻易达成。同时，疫情也给了黑客更多时间和精力挖掘漏洞或者开发更多针对性攻击工具的机会，诸如Openbullet等针对密码猜测和撞库的通用化工具已经被开发并应用于Azure cloud等云服务平台，针对账号的攻击门槛被进一步降低。

　　2020年，新冠病毒大流行极大地加速了企业业务向线上虚拟化转移的步伐，直播带货等新模式的兴起更使得线上交易异常活跃。然而，在限量秒杀、百亿补贴、消费券发放等各类营销活动层出不穷，各大平台业绩屡创新高的同时，业务欺诈风险也随之飙升。薅羊毛、刷单刷量、虚假账号、虚假流量、电信等业务欺诈行为在各行业繁荣生长。以某银行网申信用卡业务为例，据瑞数信息观察，业务开放第一天的短短一小时之内就收到近3万次的信用卡申请，其中75%的申请都是自动化工具发起的虚假申请。据统计，电商行业在全行业欺诈流量中占比21.7%，15.2%欺诈流量流向了航空、铁路等出行行业，金融、游戏等行业都是欺诈的重灾区。

　　过去一年中，伴随5G的加速普及和“宅家”新生活模式的影响，短视频娱乐、直播、云上互动等场景的火爆带来了移动端设备用户规模及流量的爆发性增长，许多平台甚至放弃PC端转而专注移动端的开发应用，移动端消费市场正迎来持续的扩大时期。然而移动端应用真的安全吗？据报道，目前只有大约36%的移动应用完全集成了安全，大部分的移动应用安全系数很低或根本不安全。瑞数信息安全专家指出针对移动端的网络欺诈迅速增长，控制量更大、隐蔽性更强、更稳定的云控软件正加速取代群控工具，成为网络罪犯的得力助手。除了传统的漏洞扫描、注入攻击、跨站脚本以及 APP客户端逆向、调试等问题，还有非法第三方APP请求、中间人攻击、API接口滥用、撞库、批量注册、刷单、爬虫、通过外挂程序或群控设备薅羊毛等业务安全隐患。对企业平台的正常运营造成了严重的经济和业务影响，对企业商誉造成的负面影响，更是不可估量。

　　API 已成为数字业务生态系统的支柱，是加速企业业务创新和应用开发的动力。随着远程办公、线上办公等工作方式的迅速上升，企业依赖API调用来整合大量的系统和实现业务彼此之间的交互。据调查，目前每个企业平均管理超过350种不同的API，其中69%的企业会将这些API开放给公众和他们的合作伙伴，在金融和零售业的API应用调查中发现，API 流量占比超过83%。虽然开放API承担了拓宽企业技术和服务生态系统的责任，但同时也给了攻击者可乘之机。以金融行业为例，尽管开放API 推动了银行业服务能力和服务渠道的全面对外赋能，但随着API调用数量的增多和自动化工具的兴起，其涉及的数据泄漏和欺诈风险正对金融业务安全构成新的挑战。Gartner也预测，到2022年，API滥用将成为导致企业Web应用数据泄漏最为常见的攻击方式。

　　随着企业数字化进程的不断递进和业务向云端迁移的大趋势，移动服务、开放银行等愈加广泛与多样的业务应用形态，正促使当前Web应用架构向服务化（API、可编程）架构迈进，攻击场景也由传统的漏洞利用逐渐转向业务欺诈，各类智能化、拟人化的Bots自动工具则使得黑客攻击手段得到了迅速升级。显然，传统的面向漏洞防护的WAF能力已经无法满足企业的实际场景需求，整合型的安全防护机制建立势在必行。Gartner指出，到2023年，30%以上面向公众的Web应用程序和API将受到云WAF和API防护服务(WAAP)的保护，WAAP服务结合了分布式拒绝服务(DDoS)防御、机器人程序缓解(Bot Mitigation)、API保护和WAF。

　　2020年，AI人工智能作为前沿科技持续吸引着网络恶意利用者的目光。得益于人工智能的数据挖掘和分析能力，攻击正变得更为聪明和大胆，并逐渐向拟人化和精密化的方向发展。它们不仅能够通过快速查明防御系统或环境中存在的漏洞，精确针对特定薄弱区域定制并发起大规模攻击，还能模拟合法行为模式以绕开和躲避安全工具。然而对于人类来说，随着安全事件接踵而至，大量的安全警报、潜在的威胁数量，单单是处理就已经很繁琐了，更何况是面对AI加持的攻击武器和再次提高的自动化防御门槛。因此如何利用AI对抗AI武器，是这场升级的网站安全战中防守方应当着重思考的必须线

　　网络空间安全的本质是对抗，随着攻击者技术实力的不断提高和网络攻击面的不断扩大，攻击事件也不断增加，企业不断涌现出对网络攻防对抗的建设需求。加以近年来《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策法规、标准的持续落地，网络安全攻防演习活动已经逐渐成为惯例。2021年，随着企业对网络安全的愈加重视和新一代信息技术的深度应用，网络安全向更深层次的渗透，网络安全攻防演习活动的重要性势必还将继续提高，企业防护重心应逐渐从“人防”过渡到“技防”，通过人技结合，更好地解决批量自动化攻击和人为的定点攻击，为企业提供应用安全与业务安全的双重保障，实现网络空间攻防对抗能力的持续升级。

　　选择支持WAF、Bot管理、API防护等多种安全能力的整合性防御机制，通过不同组件在不同场景下的独立或联合部署，帮助企业形成分层递进的防护策略与能力，令企业能够安全地将各类Web业务和应用交付在混合架构中，实现Web安全一体化防御。

　　同时，企业应用向云端迁移已成为不可逆的趋势，不但容易遭到外部入侵者的攻击，也使得内外共谋舞弊变得更为容易。因此，对合法用户操作行为进行审计，以及早发现可能的账号盗用、权限滥用与内外共谋舞弊等恶意行为，已成为后疫情时代必要的防护手段之一。

　　将企业防护理念由“被动防御”向“主动防御”转变，防护重心由“人防”向“技防”转变，借助AI人工智能技术、自动化响应机制等新手段，实现网络空间攻防对抗能力的持续升级，构建更智能的主动安全防御机制。

　　外媒曝出一款特斯拉X概念手机，引发了业界和网友的全力关注。那么，特斯拉想打造的手机，究竟是什么样的？

　　您还可以使用智能手机驾驶特斯拉。手机可以通过太阳能电池充电，同时具备指纹传感器和天文摄影功能。同样，它还可以连接到特斯拉所有软硬设备产品。