高级持续性网络威胁场景下的我区数字政府建设网络安全防范与思考

　　在全球数字化高速发展的大背景下，高级持续性威胁（advanced persistent threat，以下简称apt）对各种关键信息基础设施造成的威胁日益严重，尤其是针对政府特定目标的有组织的apt攻击持续增多。面对如此严峻的安全形势，如何全面感知apt组织及相应攻击活动，成为数字政府网络安全防护的重中之重。

　　一、高级持续性威胁（apt）发展态势和研究现状

　　（一）apt发展态势和攻击特点。高级持续性网络威胁概念中，高级指攻击者具备全面的入侵技巧并且能够针对特定目标开发定制化的漏洞利用工具；持续指攻击者并不是单纯地对系统进行破坏，而是为了完成某项任务进行长期潜伏；威胁指有背景、有计划的攻击团队构成了受攻击目标的真正威胁。故相比于一般的网络攻击，apt具有更强的针对性、隐蔽性、持久性和组织性，同时apt攻击具有强大的影响力和破坏力。例如，2010年震网病毒迟滞了伊朗核计划，2015年乌克兰电网攻击造成大范围停电，2016年apt28和apt29干预了美国总统大选，2019年委内瑞拉、阿根廷、乌拉圭等南美国家遭受apt网络攻击大规模断电断网等。

　　近年来apt发展态势呈现以下几个特点：一是apt攻击活动更加频繁，攻击数量持续攀升，根据腾讯公布的统计数据，2019年apt攻击数量由2018年的400多起增加到约500起，增幅约20%；二是apt攻击的主要目标依然是政府和军事防务，而金融、能源和通信行业也逐渐成为apt的目标，自发生新冠肺炎疫情以来，围绕covid-19的攻击成为新的热门；三是攻击手段方面，主要还是利用0day漏洞进行攻击，但利用广域网攻击、供应链攻击和移动终端攻击广泛成为新的手段，同时卡巴斯基、奇安信和腾讯等安全研究机构一致预测未来针对5g和物联网开展攻击将成为新态势。

　　（二）研究现状。防御apt首要是要感知和发现apt。现有的许多基于网络大数据和人工智能分析的攻击检测技术可以用于检测apt攻击，主要有异常流量检测技术、恶意代码异常检测技术、互联网安全事件挖掘技术和安全事件关联分析技术。异常流量检测技术由于网络流量的海量性限制且apt攻击持续时间非常长，容易对宽时间域内的网络风险及威胁出现漏测的情况；恶意代码异常检测技术克服了传统恶意代码特征匹配检测技术的不足，但针对隐蔽性很强的apt恶意代码检测还存在不足；互联网安全事件挖掘技术需要配合异常流量监测技术和恶意代码异常检测技术一起使用，才能更有效地检测apt攻击；安全事件关联分析技术存在的不足主要有攻击步骤关联分析中建立的攻击模型不够准确，以及关联对象类型仍不够全面。

　　二、数字政府面临的apt攻击形势日益严峻

　　根据腾讯发布的《全球高级持续性威胁(apt)2019年研究报告》显示：从行业分布上看，受攻