9月5日,据环球时报等官媒报道,中国国家计算机病毒应急处理中心联合国内安全公司,发布了中国西北工业大学遭到境外网络攻击的调查报告。
调查表明,由美国国安安全部下属代号为Tao小组多年以来对西北工业大学下属的信息系统展开网络攻击,疑似窃取了中国尖端军事科研领域的敏感数据。
根据最新通报显示,美国国家安全局在对西工大进行网络攻击之前,其下属的特定入侵行动办公室(TAO),使用了突破计算机系统漏洞类、持久控制计算机网络类、嗅探窃密类、隐蔽消除痕迹类等4大类40余种方式对中国国内网络目标实施了上万次攻击,控制了数以万计的网络设备,并成功窃取了该校关键网络设备配置、网管数据、运维数据等核心技术数据。
对此,外交部进行了坚决的反对,但代表国内最高军事科研能力的国防七子受到美国攻击带来的严重后果不断在网络上发酵,并一度成为新浪热搜第一名,显示了国人对西北工业大学等高校科研机构信息安全的担忧。
事件背后的思考
1.西北工业大学的遭遇仅是美国对华攻击的一个缩影
西北工业大学的遭遇,仅是美国对华大肆网络攻击窃密的一个缩影。长期以来,为达到美国政府情报收集目的,美国国家安全局针对全球发起大规模网络攻击,我国的高校科研机构正是重点攻击目标之一。
此前,国内某安全公司就曾披露过美国国安局的对包括中国、俄罗斯等全球45个国家和地区开展长达十几年的"电幕行动"网络攻击,涉及的机构目标包括知名高校、科研机构、通信行业、政府部门等。
在对高校科研领域的网络攻击中,美国国安局特别善于利用其控制的网络攻击武器平台、"零日漏洞"和网络设备,长期对手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。这些被监控的渠道有电子邮件、脸谱网消息、谷歌聊天、Skype网络通话、普通社交网络。3月22日,美国媒体曝光美国国家安全局对世界各国访问美国社交媒体的互联网用户发起网络攻击,中国社交软件也是其攻击目标。对此,中国外交部发言人汪文斌形象地指出:“这意味着无论你是谁,无论你在世界的哪个角落,只要你使用网络社交平台,背后就都可能有个‘老大’在盯着你。”
事实证明,美国等西方国家一直以来对社会主义中国采用了不信任的态度,多国政要在国情资文中明确提出扼制中国发展的立场。美国在特朗普政府上台后,采取了更为激进的扼制中国的策略。作为无声的网络战场,以美国国家安全局为首的政府部门实施了多个针对中国的网络攻击和数据窃取行动。曝光的丑闻有著名的有斯诺登事件和今年以来的TAO无差别数据采集事件。
2.高校科研机构是中国网络安全的重要一环
高校科研机构作为构成我国网络安全的重要一环,重要科研数据的存储场所,自然重要受到美国的监视。信息安全同样符合管理学上的木桶原理:最短的那块木板是信息安全最容易受到攻击的目标。
①高校科研单位涉密类别多、范围广,人员组成复杂、流动性大,对外交流多、信息化程度高。近年来,高校已成为境外间谍机构窃密的重点目标,保密工作难度加大。
②高校科研单位的业务骨干安全意识有待提高。由于不了解信息化条件下的保密工作,缺乏应有的防范技能,已成为网络泄密的高危人群。涉密往往从违规开始,因此,作为高校科研机构管理者和教职员工,不懂保密、不会保密是十分危险的。如果在互联网上存储、处理涉密信息,就等于把国家秘密直接摆在了境外情报机构的办公桌上,会给国家带来不可估量的损失。
3.高校科研领域典型案例
①不健全的网络安全体系:2007年淮南职院学生信息泄露案——对淮南职业技术学院处以立即整改和行政警告的处罚措施。
②科研机构内部管理不当:2020年郑州西亚斯2万学生信息泄露案——对学校、负有领导责任的一名副校长和直接责任人进行了行政处罚。
③受诱惑贩卖国家科研秘密:黄宇间谍案——直接责任人判处死刑及有期徒刑,原来就职的单位有29人受到不同程度的处分。
⑤教职工薄弱的保密意识:2008年教授泄密案——泄密人张教授和网管小刘分别受到了党纪政纪的严肃处理。
高校科研单位如何避免再次遭受攻击的思考
针对复杂严峻的形势,中国从顶层设计上查缺补漏,分别制定了《数据安全法》、《个人信息保护法》,2022年《教育部工作要点》中强调强化保密宣传工作,深化校园安全专项整顿。全国高校掀起了“全民国家网络安全宣传教育日活动”。但仅仅从制度上加强和安全意识上加强培训还是远远不够的,作为信息安全终端龙头企业,北信源提出了自己的思考。
1.坚持复杂网络环境下安全可信的技术路线
现代的网络安全不只是保证单机机器安全就可以,而是一个复杂网络系统的概念。作为一个复杂网络系统,电脑、服务器等硬件,安装在硬件之上的软件系统,以及数据传输的通道网络系统,任何一环的薄弱,都会成为网络攻击者的目标。特别是随着大数据、人工智能、物联网等新技术的应用和疫情的持续存在,给原来封闭的网络系统增加的复杂性,所以有专家提出了零信任的概念。零信任给网络安全带来了新的希望,但无法解决目前复杂网络环境下的安全问题,从目前来看,继续推广安全可信,组建国内安全可信生态体系,让参与网络的每一个主体都可信安全从而保证网络的整体安全是中国加强网络安全,避免未来大规模的网络安全事件发生的解决之道。
北信源,一直是可信计算的推动者和实践者,2021年率先参与加入“关键信息基础设施安全保护风险治理框架体系”,首批受邀入驻国家等级保护2.0与可信计算3.0攻关示范基地。
北信源自主研发、具有完全自主可控的移动安全通信平台“信源密信”基于可信计算3.0标准研发,满足了数字化转型过程中数据资产的安全,保护了国家秘密、工作秘密、商业秘密和个人隐私安全,成功服务了国家部委、军工军队、科研单位、大型央企、金融机构等,已经成为国家重要单位、国家重点工程优选的即时通讯平台和底座,深受行业用户好评。
在2022年中关村可信计算产业联盟“移动互联网专业委员会”成立大会上,北信源凭借一如既往在可信计算领域的努力和卓有成效的“信源密信”产品,在高手林立的企业中,众望所归,被选为副主任单位。
未来,北信源还将与业内众多信创平台生态链企业一起,紧跟自主创新的国家战略方针,合力打造可信创新生态体系,为行业客户提供更为安全、可信、适用的软硬件一体化解决方案和更加完善、可靠的信息安全保障。
2.重点科研院所应该坚持以私有化部署方式搭建在线教育平台
SaaS是按需付费软件的简称,近年它在企业服务领域快速增长,并获得资本垂青。SaaS部署模式具有简单不需维护、省钱的特点,但在2021年软件即服务公司DoControl发布的一份调查报告发现,所有SaaS数据访问中有40%是未受管理的,这会造成重大的内部威胁和外部威胁。该报告详细介绍了未经SaaS厂商检查和命名的数据访问所存在的重大威胁,以及这些威胁被忽略的现状。这项调查的对象是平均规模在1000人的企业,SaaS应用中保存了50万到1000万条数据存储资产中。可以公开共享的企业可能有多达20万项资产被公开共享了。
一些保存重要科研数据的高校如何规避这种信息的可能性,在线教育平台的私有化部署无疑是解决方案之一。私有化部署可以让高校拥有数据主权,减少数据暴露。私有化部署可以满足高度保密需求。私有化部署的第一个好处就是企业信息可以保存企业本地,让数据更加严密安全。私有化部署还可以个性化定制,开发专属功能,企业自主掌握成员权限管理,自定义绑定账号和对应席位,避免认为数据泄露风险。
3.信源密信高校科研单位解决方案
信源密信符合了以上所有特征,能够最大程度提高信息系统的安全性。
从信息安全而论,单纯从法律和人员培训上加强重视还是不够的。现代的信息系统是一个复杂系统,任何一环被攻破都会造成整个系统的崩溃。信息安全终端安全企业北信源自2013年开始,就投入了12亿以上的资金,用来解决信息安全问题。所研发的“信源密信”经过党政军和金融、政府、科研事业单位1000多万终端的验证,证明可以给中国乃至海外任何用户提供信息安全保障。
信源密信以移动办公中即时通讯为核心场景,整合了各种移动办公应用。特别是低代码开发平台可以实现企业的快速维护,大大减少了普通技术人员使用产品的难度。
信源密信强调数据流转全程保护。高校科研机构的重要科研数据从产生到存储到分析,消亡,大部分以数字形式存储与高校的信息基础设施中。系统的安全与数据安全同等重要。北信源开发的信源密信基于可信、可控的技术路线开发,能给整个高校科研单位提供一套完整的移动安全办公解决方案,从而保证了高校科研单位重要数据全流程的安全。
网络无边,安全有界。在全民网络安全深入人心的当下,我们要认清网络信息安全隐患的存在,并且不断地提高防范意识,保护网络信息的安全。