从美对中方实施网络攻击事件看网络安全防护重要性

4月28日，中国网络空间安全协会发布的一份调查报告显示，国家互联网应急中心CNCERT发现处置一起美情报机构对中国大型商用密码产品提供商网络攻击事件。根据报告，美国情报机构通过利用客户关系管理系统漏洞发起攻击，成功侵入中国一大型商用密码产品提供商的网络。攻击者不仅窃取了包括客户数据、合同信息和密码研发项目代码在内的大量敏感资料，还可能通过这些数据进一步挖掘和利用中国自主密码产品的漏洞，为未来的网络攻击和间谍活动铺平道路。这是美情报机构对我国基础设施实施网络攻击的最新例证。

在数字世界里，国家级网络战争离我们究竟有多近？

      2024年夏秋之交，一场针对中国商用密码企业的网络攻击事件，撕开了APT（高级持续性威胁）攻击的残酷真相：当我们在讨论国家网络安全时，攻击者的枪口早已抵在我们的太阳穴上。国家互联网应急中心CNCERT披露的这起事件，不仅暴露出美国情报机构的新型攻击矩阵，更揭示了每个现代企业都正在面临的生存危机——在数字化的世界里，国家级网络战争离我们究竟有多近？

‌一、从客户合同到核心代码：一场教科书式的供应链打击‌

      被攻击的密码企业绝非普通目标，其客户涵盖政府机构，产品涉及国家信息安全命脉。攻击者选择从‌客户关系管理系统（CRM）‌切入，这个存储着8000余条客户档案、1万余份政府订单的数据库，实则是打开国家机密的万能钥匙。而代码管理系统内3个密码研发项目的泄露，则意味着核心加密技术存在被反向破解的风险。

      这印证了现代APT攻击的典型特征：‌攻击者不再执着于直接突破政府高墙，而是通过上下游供应链实施“降维打击”‌。

      “小企业无关紧要”的幻觉破灭‌。当我们还在关注政务系统安全时，黑客早已将攻击链延伸至企业采购合同、外包项目代码甚至员工通讯录——任何与目标存在业务关联的第三方，都可能成为入侵的跳板。攻击目标虽为密码安全企业，但其供应链上的中小型客户、外包商都可能成为下一轮受害者。APT攻击的“蝴蝶效应”正在重塑攻击版图。

‌二、攻击者的“996工作制”：藏在时区背后的战争逻辑‌

      数据显示，攻击行为集中在北京时间22时至次日8时，恰好相对于美国东部时间10时至20时，攻击时间主要分布在美国时间的星期一至星期五，在美国主要节假日未出现攻击行为。这种“数字时差战术”暴露了攻击者精密的运营体系：‌专业团队轮班作业、标准化攻击流程、严格的KPI考核机制‌。与传统黑客的随机攻击不同，APT组织更像一支训练有素的“数字特种部队”，其攻击节奏甚至遵循企业管理制度。

      更值得警惕的是攻击资源的储备：17个境外跳板IP秒级切换……这些远超商业黑客能力的技术储备，指向了一个残酷现实：‌我们面对的不仅是黑客，更是一个国家级的网络战争机器‌。

      通过本次事件暴露出网络安全企业同样在基础安全防护方面存在短板。

      尽管网络安全厂家在开发安全产品上投入了大量研发费用，但对于自身的‌网络安全防护体系建设还是略显不足。在‌权限管控‌、‌加密通信审计‌的忽视，仍然为国家级网络攻击力量提供了轻易得手的机会。作为本次事件中的密码安全厂家对本单位核心系统：客户关系管理系统和代码管理系统没有做到分区隔离，对于自己的核心代码没有做到安全存储，存在以下问题：

安全通用要求-应用安全："应建立软件供应链安全管理制度，对重要软件开展安全检测"

安全通用要求-访问控制："应授予管理用户所需最小权限，并实现管理用户权限分离"

安全通用要求-安全通信网络：”应避免将重要网络区域部署在边界处，重要网络区域与其他区域之间应采取可靠的技术隔离手段"

      美国这一行为不仅严重破坏了国际网络安全的基础规则，也对中国的关键技术、经济安全乃至社会稳定构成了严重威胁。此次安全事件更加凸显了网络安全防护的重要性，只有强化行业安全防护、威胁分析和应急响应能力，提升全社会的网络安全意识，才能构建起坚固的网络安全防线。

三、为什么要做等级保护测评 

      等保测评是国家网络安全等级保护制度的重要组成部分，旨在确保信息系统达到相应等级的安全保护要求。通过等保测评，组织可以发现和修复信息系统中的安全隐患，提高信息系统的防护能力，避免遭受网络攻击和数据泄露等安全事件。同时，等保测评也是履行网络安全主体责任、满足相关法律法规要求的重要举措。

1.识别网络潜在风险，提升自身防护能力

      日益专业化、智能化、隐蔽化的网络攻击为网络安全带来了更严峻的挑战，网络运营者可以通过等保测评了解系统的安全防护现状，识别系统内、外部存在的安全隐患，并在此基础上通过加固整改提高系统的网络安全防护能力，降低被攻击的风险。

2.满足国家相关法律法规的要求

      法律层面上，国家《网络安全法》的第21条和第31条明确规定了网络运营者和关键信息基础设施运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。不依法开展等保工作为违法行为，将由有关主管部门责令整改并处以罚款、警告等惩罚措施。

3.应对安全事件的准备

      提升应急能力：测评过程中要求制定应急预案、进行攻防演练，确保在遭受攻击时能快速响应和恢复。

      减少损失：通过合规的安全防护措施（如数据加密、访问控制、日志审计），最大限度降低安全事件的影响。

四、为什么要做商用密码应用安全性评估

      为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。开展密评，是国家网络安全和密码关法律法规提出的明确要求，是法定责任和义务。

1.法律和政策要求：

      根据《密码法》第二十七条，关键信息基础设施的运营者必须使用商用密码进行保护，并自行或委托商用密码检测机构开展商用密码应用安全性评估。

      《国家政务信息化项目建设管理办法》和《网络安全等级保护条例》也明确要求，政务信息化项目和网络系统必须进行密码应用安全性评估。

2.行业监管和安全需求：

      关键信息基础设施、重要网络与信息系统对数据的安全性和完整性有极高的要求，商用密码应用安全性评估可以帮助这些组织满足监管要求，提高系统的整体安全防御能力。

      在数据传输和存储过程中，商用密码应用安全性评估确保数据的机密性和完整性，防止数据泄露或被篡改。

3.业务连续性和数据合规性：

      商用密码应用安全性评估帮助组织在业务运营中确保数据的真实性和不可否认性，这对于电子合同、电子票据等敏感业务尤为重要。

      根据《数据安全法》，商用密码应用安全性评估有助于组织在数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁的全生命周期中保护数据安全。

五、为什么要做网络安全服务

      在等级保护2.0的标准文件GB/T 22239一2019《信息安全技术 网络安全等级保护基本要求》中，针对等保二级及二级以上的信息系统，有如下具体要求：包括漏洞和风险管理、日志分析、安全事件应急处理以及应急预案和应急演练等各方面，这些工作都需要通过专业的安全服务来完成。

1.数据资产保护

      现代企业的核心数据（客户信息、财务记录、知识产权等）是攻击者的主要目标。例如，2023年全球平均数据泄露成本达435万美元（IBM数据），专业安全服务能通过加密、访问控制等技术降低泄露风险。

2.业务连续性保障

      勒索软件攻击平均导致企业停机21天（Sophos报告），DDoS攻击可能直接中断在线服务。网络安全服务通过入侵检测、灾备方案等确保关键业务不中断。

3.应对全球化攻击挑战

      APT组织（如Lazarus）、勒索软件即服务（RaaS）模式使攻击专业化，防御需结合威胁情报、EDR等主动防御技术，单一企业难以独立应对。