網(wǎng)絡安全：公用事業(yè)公司絕不能忽視的主題

首先，俄烏沖突將重新繪制了地緣政治版圖。在地緣政治上，本世紀的緊張局勢并未加劇。在烏克蘭，網(wǎng)絡攻擊與導彈襲擊、步兵推進和炮火同時使用，并與它們分開使用。據(jù)稱，西方國家因向烏克蘭提供軍事和財政援助而成為俄羅斯的目標。盡管可以理解，動能戰(zhàn)一直是今年的重點，但網(wǎng)絡攻擊無疑在入侵之后變得更具威脅性。?

首先，此次入侵重將新繪制了地緣政治版圖。地緣政治方面，本世紀的緊張局勢從未如此之高。在烏克蘭，除了導彈襲擊、步兵推進和炮火襲擊外，甚至各方都還使用了網(wǎng)絡攻擊。由于西方國家向烏克蘭提供軍事和經(jīng)濟援助，可能成為攻擊目標。雖然可以理解的是，動態(tài)性戰(zhàn)爭是今年的焦點，但網(wǎng)絡攻擊無疑在入侵之后成為了更大的威脅。

其次，我們看到了能源電力公司的重要性。隨著能源價格的上漲（主要是由石油和天然氣價格上漲推動），我們看到全球通貨膨脹嚴重，供應鏈中斷，甚至行業(yè)衰退。然而，最糟糕的還沒有到來。

網(wǎng)絡安全漏洞管理的探索與實踐

對于如何化解風險，習近平總書記在《關于〈中共中央關于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議〉的說明》中指出，“我們必須堅持統(tǒng)籌發(fā)展和安全，增強機遇意識和風險意識，樹立底線思維，把困難估計得更充分一些，把風險思考得更深入一些，注重堵漏洞、強弱項，下好先手棋、打好主動仗，有效防范化解各類風險挑戰(zhàn)，確保社會主義現(xiàn)代化事業(yè)順利推進。

對漏洞而言，有效的漏洞管理可以及早地發(fā)現(xiàn)漏洞并遏制漏洞利用事件的發(fā)生，能顯著降低企業(yè)面臨的風險。近年來，國家網(wǎng)絡空間法律法規(guī)密集出臺，2021 年，《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》《網(wǎng)絡產(chǎn)品安全漏洞收集平臺備案管理辦法（征求意見稿）》相繼發(fā)布，對漏洞管理工作進行了明確的規(guī)范。

測評機構業(yè)務范圍和工作要求及風險控制

從事等級測評工作的機構及其人員應當遵守國家有關法律法規(guī)，依據(jù)國家有關技術標準和《TRIMPS-SC13-001：2021 網(wǎng)絡安全等級測評與檢測評估機構服務認證實施規(guī)則》的相關規(guī)定，開展客觀、公正、安全的測評服務，不得從事危害國家安全、社會秩序、公共利益及被測單位利益的活動。

測評機構應當按照公安部統(tǒng)一制定的《網(wǎng)絡安全等級測評報告模版》規(guī)定的格式出具測評報告，根據(jù)網(wǎng)絡規(guī)模和所投入的成本合理收取測評服務費用。

測評機構應嚴格按照網(wǎng)絡安全等級保護標準規(guī)范獨立開展等級測評工作，依據(jù)《網(wǎng)絡安全等級測評報告模版》出具網(wǎng)絡安全等級測評報告，確保測評質(zhì)量，全面、客觀地反映被測網(wǎng)絡的安全保護狀況。

測評機構開展測評項目不受地域、行業(yè)限制。等級測評機構應在測評項目合同簽訂及項目完成后5個工作日內(nèi)，向受理網(wǎng)絡備案的公安機關報告等級測評項目的有關情況。

過去一年里，游戲行業(yè)的網(wǎng)絡攻擊爆增167%

根據(jù)網(wǎng)絡安全公司Akamai的一份最新的報告，過去一年，針對游戲行業(yè)的網(wǎng)絡攻擊增加了 167%。Akamai本次名為Gaming Respawned針對游戲行業(yè)的研究發(fā)現(xiàn)美國是攻擊者的主要目標，其次是瑞士、印度、日本、英國等歐洲和亞洲國家。

根據(jù)Akamai的數(shù)據(jù)，游戲行業(yè)是全球遭受分布式拒絕服務(DDoS)攻擊最多的行業(yè)，占全球所有DDoS攻擊的35%，對此，Akamai 媒體和娛樂行業(yè)高級策略師 Jonathan Singer說，“隨著游戲活動的增加和演變，通過網(wǎng)絡攻擊破壞游戲活動的價值也在增加。網(wǎng)絡犯罪分子通常會破壞實時服務并使用憑證來竊取游戲資產(chǎn)。此外，隨著該行業(yè)向云游戲領域的擴張，新的威脅面已經(jīng)為攻擊者打開了大門，新玩家數(shù)量的增加更是成為了威脅行為者的主要目標?！?/span>

都說區(qū)塊鏈“安全”，為什么 DeFi 黑客如此猖獗？

區(qū)塊鏈是存儲不同數(shù)據(jù)類型的分布式共享賬本。例如，我們可以使用區(qū)塊鏈來記錄非同質(zhì)代幣 (NFT) 的所有權，當然還有加密貨幣交易。

盡管傳統(tǒng)數(shù)據(jù)庫可以輕松存儲相同的信息，但區(qū)塊鏈的獨特之處在于沒有集中的權限。它永遠不會由中心化管理員在一個位置進行維護，例如 Excel 電子表格，一個人可以在沒有監(jiān)督的情況下進行更改。

大多數(shù)節(jié)點必須在將新數(shù)據(jù)塊添加到分類帳之前驗證新數(shù)據(jù)的合法性。因此，理論上，任何人都幾乎不可能進行欺詐交易。這是因為威脅者必須侵入每個節(jié)點并更改分類帳的每個副本以避免被發(fā)現(xiàn)。

雖然這不一定是不可能的，但這對黑客來說是一個巨大的挑戰(zhàn)。此外，當您將一層權益證明 (PoS) 或工作量證明 (PoW) 交易驗證方法添加到組合中時，欺騙系統(tǒng)變得極其困難。

從近期村鎮(zhèn)銀行事件看村鎮(zhèn)銀行的金融科技安全

2022年7月10日許昌市公安局的警情通報：“...2011年以來，以犯罪嫌疑人呂奕為首的犯罪團伙通過河南新財富集團等公司，以關聯(lián)持股、交叉持股、增資擴股、操控銀行高管等手段，實際控制禹州新民生等幾家村鎮(zhèn)銀行，利用第三方互聯(lián)網(wǎng)金融平臺和該犯罪團伙設立的君正智達科技有限公司開發(fā)的自營平臺及一批資金掮客進行攬儲和推銷金融產(chǎn)品，以虛構貸款等方式非法轉移資金，專門設立宸鈺信息技術有限公司刪改數(shù)據(jù)、屏蔽瞞報...”

2022年7月18日據(jù)中國銀行保險報報道，公安機關已初步查明河南安徽5家村鎮(zhèn)銀行案件主要事實，河南新財富集團操縱河南、安徽5家村鎮(zhèn)銀行，通過內(nèi)外勾結、利用第三方平臺以及資金掮客等方式非法吸收并占有公眾資金，篡改原始業(yè)務數(shù)據(jù)，掩蓋非法行為。該案件中村鎮(zhèn)銀行通過三方平臺以及微信小程序，大量異地攬儲，資金高達400億元，其中線上攬儲約300億，而線下儲戶資金有100億。

如何應對數(shù)字資產(chǎn)海嘯

互聯(lián)網(wǎng)協(xié)議（IP）地址及其背后的設備、網(wǎng)絡服務和云資產(chǎn)是現(xiàn)代企業(yè)的生命線。但公司經(jīng)常積累數(shù)千個數(shù)字資產(chǎn)，無序的狀態(tài)給IT和安全團隊造成了無法管理的混亂。如果不仔細地加以檢查，一個被遺忘、遺棄或未知的數(shù)字資產(chǎn)對于公司來說就是網(wǎng)絡安全定時炸彈。

這當中存在一種可能：它們是您組織基礎設施中增長最快的部分。有效的數(shù)字資產(chǎn)管理——包括IP地址可見性——是您阻止攻擊者對網(wǎng)絡資產(chǎn)發(fā)動攻擊的最基礎也是最有效的途徑。

在過去的二十年里，安全團隊一直專注于解決內(nèi)部資產(chǎn)風險。面向公眾的數(shù)字資產(chǎn)和IP地址是“非軍事化區(qū)”的一部分，“非軍事化區(qū)”是一個防御的強化但非常有限的周邊地區(qū)。但在全球大流行和隨之而來的居家辦公趨勢的推動下，數(shù)字化轉型隨之而來，網(wǎng)絡邊界變得不再清晰，都需要讓位于當今一切托管服務的現(xiàn)代架構。