国家计算机病毒应急处理中心和360分别发布了“关于西北工业大学遭受美国国家安全局网络攻击的调查报告”。这份报告证明,在网络空间的底层设备的操作系统、应用系统上,大量的安全漏洞或后门。利用这些漏洞或后门,可以构成一条可直达西工大这样国家最高安全等级的网络应用的核心服务器的通讯线路。传统的安全防御模式,无法防止这条通讯线路的构建。从调查报告披露的信息看,美国国家安全局就是利用这些安全漏洞和后门实施了本次攻击。本次攻击既不是美国国家安全局对我国具有高战略价值的网络系统实施的第一次网络攻击,也不会是最后一次。只要操作系统、应用系统上的漏洞或后门不被彻底封死,美国国家安全局或网络部队,就一定会利用美国在操作系统、应用系统上的绝对的技术优势,不断实施同样的攻击。
网络安全攻防的多年实践证明,操作系统、应用系统上的安全漏洞和后门是一个必然存在。在此态势下,是否就只能坐以待毙、任人宰割、被动防守?答案显然是否定的。等宝2.0安全框架将可以有效抵抗以操作系统、应用系统上的安全漏洞和后门为必备技术条件的网络攻击。
传统的安全模式下的主要需要加强安全防护的防护方向和需要实现的防护目标。
图1是传统的安全模式下,网络连接示意图。
图1
从“调查报告”可知,此次攻击攻陷的设备如下:
设备1:防火墙。
防火墙是传统安全模式下的标准安全部件。攻击成功就意味着西工大的防火墙被攻陷。
设备2:终端。
从“调查报告”可知,本次攻击中,有大量的终端被攻陷。这些终端,应该既有处于内网状态的内网终端,也有除外网状态的外网终端。在防火墙被攻陷的情形下,内网终端、外网终端的安全状态无本质区别。
设备3:服务器
设备4:外网设备
从“调查报告”可知,本次攻击中,被攻陷的外网设备包括但不限于周边国家的多个用于做跳板的服务器,西安本地网络运营商的局端设备。
从“调查报告”披露的信息看,本次攻击是一次标准的按照美国国防部国防创新委员2019年4月3日发布的《5G生态系统:对美国国防部的风险与机遇》中的安全建议(警告)实施的网络攻击。在这份报告中,发出如下安全建议(警告):
安全建议(警告)1:外围防御模型已经被证明是无效的。(意味着防火墙必然可被攻陷)
安全建议(警告)2:未来的网络攻击将主要来自网络空间和各种终端。(意味着外网设备必然可被攻陷)
安全建议(警告)3:攻击终端并以终端为跳板实施的攻击,将是一种全新的攻击方式。(意味着网络终端必然可被攻陷)
需要注意的是,按等宝2.0关于网络应用系统的安全等级划分办法,被攻陷的西工大的网络系统,其安全等级应该在4级或5级。也就是最高的安全等级或次高的安全等级。
西工大系统被攻陷,还说明对于所有安全等级为4级或以下的网络应用系统而言,被攻击方攻陷,不是攻击技术上的能不能的问题,而是攻击财政净收入的值不值的问题。这就是最近几年,勒索攻击的勒索金额屡创新高的根本原因。
通过以上分析,可以得出如下结论:
结论1:传统安全模式下的安全防御模型,无法有效抵抗基于操作系统、应用系统上必然存在的安全漏洞、后门的全方位网络攻击。
结论2:采用新型的安全防御模型,就成了可有效抵抗基于操作系统、应用系统上必然存在的安全漏洞、后门的全方位网络攻击的唯一选择。
汇集工信部发布的“网络安全产业高质量发展三年行动计划(2021-2023年)”、等保2.0、 “GB/T 35273-2020-个人信息安全规范”、 《移动金融客户端应用软件安全管理规范》等安全标准中的相关标准,全新的安全防御模型(等宝2.0安全框架)的基本框架如图2:
图2
等宝2.0安全框架可以分解为如下几个主要的安全部件:
安全部件1:防火墙
防火墙是传统安全模式下的安全防御模型中必备的一个安全部件。但无数的事实说明,现役的各种防火墙