一、信息泄露与网络攻击篇
1. 信息泄露连续五年创历史记录
自2013年斯诺登事件以来,全球信息泄露规模连年加剧。尽管目前还没有信息泄露统计的确切数字,但2018年的数据泄露规模又将创下新的历史记录已是大概率事件。根据Gemalto发布的《数据泄露水平指数(Breach Level Index)》,仅2018年上半年,全球就发生了945起较大型的数据泄露事件,共计导致45亿条数据泄露,与2017年相比数量增加了133%。
(1) 2018年规模或影响较大的信息泄露事件
1月:
- 印度媒体 The Tribune 声称以500卢比(约6英镑)的价格购买了对公民信息数据库Aadhaar的访问。该数据库包含10亿印度公民的个人信息。
- 美国国土安全部承认,2.4万名现任雇员和前任员工个人信息由于黑客攻击而泄露。
2月:
- 美国高端运动品牌安德玛的健康及饮食跟踪应用MyFitnessPal被黑客入侵,1.5亿用户账户信息泄露。
3月:
- 安全研究人员披露,仅今年前3个月,就发现了超过15.5亿份商业敏感文档在网上泄露,数据量高达12PB,是巴拿马文档泄露事件的4000倍。
- 英国媒体披露Facebook超过5000万名用户资料遭“剑桥分析”公司非法用来发送政治广告。
4月:
- 加拿大零售集团HBC承认,其500万客户的信用卡和借记卡信息被黑客窃取,成为史上最大信用卡信息失窃案之一。
- Facebook承认,“剑桥分析”事件影响8700万用户,同时有恶意行为人,用Facebook的反向搜索和恢复功能,很可能恶意爬取了20亿用户的账户基本信息。
5月:
- 由于软件缺陷导致明文暴露证书,推特敦促其所有3.3亿用户更改口令。
6月:
- 基因检测公司MyHeritage发布公告,称超过9200万个帐户信息被窃取。公告称,黑客入侵事件发生在2017年10月26日。
- 国内安全专家发现一个被盗密码查询网站,包含14亿的邮箱口令,而且查询结果为明文。
- 研究人员发现数据统计公司Exactis包含3.4亿个人记录的数据库,在网上可公开访问。该2TB大的数据库包含上亿美国成年人的个人信息和数百万公司信息。
- 谷歌Firebase平台2,271个数据库可公开访问,这些数据库中包括了1亿多条敏感信息记录,113GB的数据量。
7月:
- 包括福特、通用、丰田、特斯拉等100多家公司的157GB含有高度敏感信息的商业和技术文档数据可公开访问。
8月:
- 国内一家新媒体营销上市公司,非法劫持运营商流量赚取商业利益的案件被警方破获。百度、腾讯、阿里、今日头条等全国96家互联网公司用户数据被窃取,数量高达30亿条。
- 国内某集团多家酒店1.3亿人身份信息、2.4亿条开房记录和1.23亿条官网注册资料在暗网兜售,盗取数据的黑客二十天后被警方抓获。
9月:
- 英国航空宣称被黑客攻击,38万乘客的支付卡信息被盗。
- Facebook官方公开承认,由于一个令牌访问漏洞,黑客可接管5000万用户的账户,约9000万用户受到影响,包括扎克伯格本人的账户。
10月:
- 在美国2018年中期选举之前,研究人员发现暗网上出售20个州的选民数据,数量达到8000万之多。
- 由于第三方供应商遭到黑客攻击,美国国防部至少3万名服务人员或雇员的个人和支付卡信息遭到泄露。
- 香港国泰航空声称,包含有940万乘客的姓名、生日、电话、地址、身份证及护照号等敏感信息外泄。
11月:
- 万豪国际集团公布其酒店数据泄露事件,涉及约5亿客人的个人信息和开房记录。
- 安全人员发现开源搜索引擎Elasticsearch,至少有3个IP由于配置错误,可未授权访问,约8200万美国公民的个人信息被暴露。
12月:
- 美国在线知识问答平台Quora官方发布通知,发现恶意第三方未经授权访问,约1亿用户数据泄露。
- 谷歌承认Google+出现API漏洞,在11月的6天时间里,5250万用户的姓名、电子邮箱、职业和年龄以及其他详细信息被访问。
(注:以上部分泄露事件由白帽汇安全研究院提供)
(2) 2018年的信息泄露事件呈现以下特点:
- 信息泄露事件自2013年开始已经连续5年突破历史记录,根本原因在于网络安全保障的意识、认知和能力均落后于信息网络技术及其应用的爆发式增长,两者之间出现极大裂痕。
- 信息泄露事件常态化,无分行业、领域、国家。随着全球信息化程度的提高,全社会对网络和数字化技术的依赖,这一情况很有可能还将加剧。
- 信息泄露给企业、个人带来的损失越来越大,可大幅度降低企业估值,令企业面临巨额赔偿,威胁个人财产和生活稳定等。
- 信息泄露的途径主要分为内部人员或第三方合作伙伴泄露,信息系统无法杜绝漏洞,机构本身的防护机制不健全,对数据的重要程度不敏感,以及对安全配置的疏忽大意等问题。
2. 网络攻击对现实世界产生重大影响
从数字货币到勒索软件,从网络欺诈到舆论控制,从商业竞争到国家安全,随着数字化世界的到来,网络攻击对政治、经济、军事、国家、社会安全,甚至是人身安全的影响越来越大。据网络风险公司RiskIQ的统计,2017年度全球网络犯罪造成6000亿美元的损失,意味着每一分钟的损失约为114万美元。
(1) 2018年影响较大的网络攻击事件
1月:
- 东京交易所Coincheck价值5.3亿美元的加密货币NEM被黑客窃取,并尝试转移到其它交易所。
2月:
- 韩国平昌冬奥会开幕式期间,服务器遭到身份不明的黑客入侵,导致主媒体中心的IPTV(交互式网络电视)发生故障。奥组委关闭了内部网络服务器,导致官网彻底关闭,无法打印开幕式门票。
- 英国斯旺西大学计算机教授声称,英国国家医疗服务系统(NHS),每年因信息系统故障和漏洞导致的死亡事件,约在100到900例之间。
- 美国科罗拉多州交通部遭遇勒索软件两次攻击,致使该机构运转停滞数周,工资系统和供应商合约也受到了攻击的影响,员工被迫用纸笔处理事务。
3月:
- 代码共享平台GitHub遭遇反射放大(Memcached)拒绝服务攻击,峰值创记录的达到1.35Tbps。之后不到一周,Arbor网络又声称美国一家服务提供商遭到了峰值1.7Tbps的Memcached攻击。
- 特朗普政府首次公开将NotPetya勒索软件,以及对美国电力、核能、商业、航空、制造业等基础设施的攻击,归咎于俄罗斯政府。
- 3月,美国司法部起诉9名伊朗黑客,对22个国家的大学、私营公司和政府机构进行大规模网络攻击,窃取研究信息,其中被入侵的320所大学遭受了大约34亿美元的损失。
- 美国亚特兰大市政府受到勒索软件攻击,其所用424个软件程序中的1/3以上停止了服务或部分功能被禁用,影响核心城市服务,包括警署和法庭。在一份官员提交的预算简报中透露,该攻击可能是美国城市遭受的最严重网络攻击,这份预算提案包含了950万美元的服务恢复费用支出。
- 美国巴尔的摩市遭遇勒索软件攻击,导致911紧急调度服务的计算机辅助调度(CAD)功能掉线。CAD系统是911派遣第一反应人员的工具,如果没有CAD系统,警察、消防员和救护车就不能第一时间派往事发地进行救助。掉线期间911操作人员仍能手动调度响应人员,效率大幅降低。
- 3月,区块链资产交易平台币安数十个用户账户被黑客控制,并通过买入卖出操纵币价,专业人士估计黑客可能从中获利7亿元。
5月:
- 一款名为VPNFilter的恶意软件感染了Linksys,MikroTik,Netgear和TP-Link等厂商的路由器,影响范围覆盖全球54个国家,超过50万台路由器和网络设备。
6月:
- 三一重工近泵车失踪案宣判。犯罪分子通过源代码找到远程监控系统的漏洞,得以解锁设备,间接造成企业约10亿元的经济损失。
- 韩国最大虚拟货币交易平台Bithumb遭黑客入侵,价值约350亿韩元(3000万美元)的数字货币被盗。
7月:
- 美国参议员马可·卢比奥宣称,人工智能视频处理工具“Deep Fakes”是对国家安全的威胁,并将其与导弹、核武器相比。
- 美国阿拉斯加Mat-Su自治市遭遇勒索病毒,致使该市的网络电话和电子邮件全面瘫痪,工作人员只能使用原始的纸笔办公。
- 美国司法部副部长宣布,以阴谋干涉2016年美国大选的罪名起诉12名俄罗斯军官。
- 360披露从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息,被攻击目标主要集中在中国大陆境内。
- FBI公共服务通告部发布统计报告,从2013年10月至2018年5月,全球披露的邮件欺诈事件造成的损失已达120.5亿美元。
- 一伙网络犯罪通过劫持40名受害者的手机SIM卡,共窃取了总额超过500万美元的加密货币。
- 币圈传出消息,区块链资产交易平台币安再次遭遇用户API被控,转走7000多枚比特币拉升小币种再抛出,推论黑客可因此获得8000万元。
8月:
- 台湾积体电路制造三大厂区出现电脑大规模勒索病毒事件,约造成17.6 亿元的营收损失,股票市值下跌78亿。
- 安全公司Securonix披露,朝鲜黑客组织Lazarus通过侵入SWIFT/ATM系统,三天内从印度最大的银行Cosmos盗走9.4亿卢比(约1.35亿美元)。
- Email安全公司Valimail发布的报告显示,全球虚假电子邮件的日发送量已高达64亿封。
- 首次于2017年出现的Globelmposter勒索病毒在国内再次爆发,包括多家企业、大学及政府机构受害,山东10个市的不动产业务登记暂停受理。
9月:
- 美国政府正式指控朝鲜政府,称其是索尼影业黑客事件、WannaCry勒索软件和孟加拉银行等一系列网络银行劫案背后主使。
- 日本数字货币交易所Zaif发布声明,被黑客盗走三种数字货币,分别为比特币、比特币现金和MonaCoin,总价值约合5967万美元。
10月:
- 网络安全公司Group-IB的研究报告披露,朝鲜黑客组织Lazarus从2017年开始,已经盗取了价值5.7亿美元的加密货币。
- 彭博社报道称,中国特工在亚马逊、苹果、美国政府和其他潜在目标使用的超微(Super Micro)服务器中成功植入间谍芯片,令中国政府可窥探高度敏感数据。
11月:
- 安全公司Cylance宣称,国家支持的黑客组织“白色军团”对巴基斯坦军队网络执行了名为“Operation Shaheen”的长期针对性攻击。
12月:
- 欧洲国际刑警宣布,在3个月的联合行动中,来自30个国家的执法机构共抓捕了168个“钱骡”。超过300家银行、20个银行协会、以及其他机构总共报告了26,376起欺诈性钱骡交易,防止了4100万美元的损失。
- 美国司法部指控两名中国公民窃取全球12个国家数十家公司的商业机密和知识产权,攻击目标还包括美国海军和国家航空航天局(NASA)在内的多家美国政府机构。
- 安全厂商 Upstream Security 发布的《全球汽车行业网络安全报告》预计,到2023年由于网络黑客攻击可导致汽车制造商损失240亿美元。
(2) 2018年的网络攻击呈现以下特点:
- 针对加密货币的黑客攻击无论是攻击数量还是在造成的损失上,均呈爆发态势。依据有关统计,仅今年上半年,损失已超过17.3亿美元。其主要原因为加密货币的火爆带来的巨大商业利益。
- 勒索软件持续产生严重危害,发生多起影响企业生产、政府办公、城市运转的实际事故,反映出安全意识的普遍薄弱和基本防护手段的缺失,预示着网络安全对现实生活带来的重大隐患。
- 电子邮件欺诈带来的损失史无前例。据FBI统计,2013至2016年5月,商业欺诈邮件造成53亿美元的损失,但这一数字在2018年5月上升到了120亿美元。
- 国家之间的网络对抗呈明显化趋势。美国政府已实施严格的商业禁令,并公开指责、诉讼他国黑客的攻击行为。如果说,前两年国家支持的黑客行动还属于冷战时期,今年则进入了小规模冲突时期,全面网络战的阴影迫近。
二、漏洞事件篇
- 国家信息安全漏洞库(CNNVD):CNNVD公布的漏洞数量为14,866个,2017年全年的漏洞总数为12,433个,年增长率约为19.6%。
- 美国国家漏洞库(NVD):NVD公布的漏洞数量为18,041个,2017年全年的漏洞总数为18,114个,年增长率约为0.4%。
- 公共漏洞披露平台(CVE):CVEdetails公布的漏洞数量为16,492个,2017年全年的漏洞总数为14,714个,年增长率约为12.08%。
(注:以上2018年的漏洞数量均为截止到12月29日的统计数字)
1. 2018影响较大和较为特殊的漏洞事件
1月:
- 谷歌“Project Zero”团队和多国研究人员共同发布的漏洞披露报告称,英特尔的x86 64位处理器有一个“根本性的设计缺陷”,设计瑕疵存在已久,近10年来搭载英特尔处理器的Windows、Mac 与Linux 电脑均可能受到影响。
- 西部数据旗下MyCloud系列网络存储设备多个漏洞细节被曝,包括固件中的管理员权限的后门账号。研究人员早在2017年6月就将其发现提交给了西数公司,在一直没有得到修复的情况下,公开漏洞细节。
3月:
- 以色列硬件安全公司CTS Labs发布白皮书,指出AMD Zen CPU架构存在四类多达12个以上的安全漏洞。这些漏洞有可能让攻击者绕过防止篡改计算机操作系统的安全防范措施,并且植入无法检测或删除的恶意软件。值得注意的是,CTS Labs只给了AMD 24小时的时间,就公布了漏洞细节。
4月:
- 美国食品与药物管理局在全球范围内督促,使用了 Abbot Laboratories 心脏植入设备的患者,尽快前往附近的医疗中心进行固件升级。一个固件漏洞允许攻击者向患者的设备发送远程指令,造成潜在的电量加速流失隐患。
- 思科IOS/IOS XE 中的智能安装客户端(Smart Install Client)代码中被发现堆栈缓冲区溢出漏洞(CVE-2018-0171),通过此漏洞无需身份验证即可远程执行任意代码,实现对该设备的完全控制。
5月:
- 阿姆斯特丹自由大学研究人员发现同时改变RAM内存中的3个比特,就不会触发阻止Rowhammer式攻击的ECC校正机制。于是攻击者可进行篡改数据,注入恶意代码和命令,更改访问权限等操作,以窃取密码、密钥和其他秘密信息。
- 360通告,发现区块链平台EOS的一系列高危安全漏洞,可通过远程攻击,直接控制和接管EOS上运行的所有节点。
7月:
- 加州大学研究人员发现,用前视红外(FLIR)热成像摄像头扫描计算机键盘,在口令首字符被敲下的30秒之内便可以恢复出用户敲击的口令。
- 来自以色列理工学院的研究人员发现一个高危蓝牙漏洞(CVE-2018-5383),可进行拦截、监控或篡改设备的网络数据。漏洞影响苹果、博通、英特尔、高通等多家硬件供应商的相关产品。
- 物联网安全公司Armis发布的研究报告显示,包括网络电话、打印机、交换机、路由器等近5亿台企业设备,面临DNS重绑定的攻击风险。
8月:
- 安全研究人员发现了影响英特尔处理器的“Foreshadow”漏洞,攻击者能够绕过英特尔内置的芯片安全特性,获得存储在“安全封锁区域”的敏感数据。
- 研究人员发现某医疗科技公司的心脏起搏器与胰岛素泵存在安全漏洞。利用漏洞可以控制发送到心脏的电脉冲,可能导致患者受伤甚至死亡。
9月:
- 趋势科技发布的调查报告显示,数据采集与监控系统(SCADA)系统2018年上半年的漏洞几近于2017年上半年的两倍。
10月:
- 安全研究机构Ponemon发布的《2018年端点安全风险状态报告》显示,针对端点的攻击手段,无文件攻击将占到35%,主要包括利用的宏、脚本引擎、内存、命令执行等系统内置功能。
- 加州大学研究人员公布了3个边信道漏洞利用,这些漏洞利用可从GPU抽取敏感数据,而且相比CPU边信道攻击,操作更为简单。个人用户和高性能计算系统均面临潜在风险。
11月:
- 物联网安全公司Armis发现德州仪器制造的低功耗蓝牙(BLE)芯片存在漏洞,全球数百万思科和惠普生产的联网接入设备面临远程攻击风险。
- 俄罗斯安全研究人员公开披露了Oracle虚拟机中的一个零日漏洞(VirtualBox E1000 Guest-to-Host Escape)。攻击者可以利用该漏洞逃逸出客户计算机虚拟环境。
- 芬兰两所大学的研究人员发现名为“PortSmash”(CVE-2018-5407)的漏洞。攻击者可以从计算机的内存或处理器中提取敏感数据,如加密密钥。该漏洞影响所有依赖同步多线程(SMT)架构的CPU,包括Intel的超线程(HT)架构。
- 手机App安全公司Privacy4Cars披露了名为CarsBlues的汽车蓝牙漏洞。黑客可通过蓝牙获得车主手机信息并进入车载娱乐系统获得权限,推测全球数千万辆汽车可能受到影响。
- 荷兰拉德堡德大学研究人员发现,固态硬盘流行加密软件Bitlocker存在重大漏洞。通过调试端口对其重编程,就可以重设任意口令,解密数据。
- 国内首个专注于重大漏洞的黑客破解比赛,“天府杯”PWN举行。参赛选手成功利用30个漏洞,攻破了Microsoft Edge/Chrome/Safari/macOS/VMware/Oracle VB/Adobe Reader/Microsoft Office等主流操作系统、浏览器和应用软件,以及包括iPhone X和3款国内流行智能手机,奖金总额达102.4万美元。
- 软件风险评估与管理公司Checkmarx的研究人员发现,可通过手机应用嗅探设备间通信,控制智能灯泡的灯光颜色来渗漏数据。
12月:
- 安全公司 Check Point 使用流行的Windows模糊测试框架进行漏洞测试,仅50天的时间里,就在 Adobe Reader 中找出53个CVE漏洞。
- 美国国防部监察长报告称,美国弹道导弹防御系统(BMDS)的网络安全操作存在“系统性漏洞”,网络安全操作存在严重缺陷。包括不锁服务器机架、缺乏加密、没有持续身份验证、打补丁、数据监控保护等……
2. 2018年漏洞相关事件的特点:
- 与2017年的漏洞数量激升相比,2018年的漏洞通告数量增速放缓。这一现象的主要原因,可能在于漏洞报告较以往更为分散化,大量漏洞并未得到官方收录。此外,还与各个国家对漏洞披露政策的保守化有关,漏洞已成为重要的竞争资源。
- 底层硬件漏洞、边信道和无文件等攻击手法越来越受到关注,针对芯片、内存、硬盘、协议级别的攻击方法相继出现,同时,借用系统内置功能的无文件攻击开始普及。
- 摄像头、路由器、汽车、音箱、无人机等智能联网设备,以及工业联网系统的漏洞明显增多。主要原因在于智能设备的爆发和全球智能制造的浪潮,制造商普遍对安全的忽视,和嵌入式系统难以更新。
- 业界对漏洞的重视已成常态。从国家监管到互联网企业,再到软件厂商、科技公司,均加强了对漏洞的监管、发现、通告和修补。漏洞相关的政策、标准和技术,逐渐走向规范化,体系化。
三、行业市场篇
1. 会议活动数量连续三年激增
2018年国内网络安全相关会议活动继续呈爆发态势,因篇幅原因无法全部列出,现将规模与影响力较大的活动分为十大安全会议、十大安全竞赛,十大信息安全产业基地及产业园,以及安全领域较为活跃的十大城市和省份五类分别列出。
十大安全会议:
十大安全竞赛:
十大信息安全产业基地及产业园:
十大网络安全城市:
十大网络安全省份:
(注:城市与省份的比例来源于安全牛用户关注数)
- 2018年会议活动数量和规模空间。国家与地方政府、事业单位、协会组织、国企民企、行业媒体,纷纷举办相关会议和活动。网络安全受到了前所未有的关注。
- 网络安全竞赛的形式与数量不断放大,网络攻防开始从幕后走向前台。赛制与赛题也越来越向实战演练和解决实际问题的方向靠拢,意味着从注重形式逐渐走向实际成效。
- 全国各省市加强对网络安全工作的重视和投入,接近二十个省会与经济发达城市开始建立信息安全产业基地或产业园,至少五十余座城市举办网络安全活动。
- 地方政府开始在整个网络安全产业中扮演越来越重要的角色,结合中央各部委及监管机构,通过各种优惠政策吸引网络安全产业各个层面的机构、企业和人才的汇集。
2. 国内融资规模有望登顶
今年国外资本市场融资并购事件与去年基本持平,由于缺少几十亿乃至百亿美元的大型收购事件,规模有所下降。国内的融资规模则再次突破历史记录,且有大幅度增长。
2018年国外亿级美元以上的融资并购:
2018年国内安全公司融资并购概况:
- 2018年国际网络安全资本市场与需求市场保持平稳增长,融资并购规模约为150亿美元,数据安全、端点安全、云安全、大数据安全分析、工控安全、物联网安全继续成为热点。对于安全创业公司来说,并购是趋势,上市是小众。
- 2018年国内融资额高达60亿元人民币,与去年相比增长率约为71%。考虑到下半年国内外的政治与经济形势,今年国内一级市场的融资规模可能在未来几年都将是一个高点。
- 国内的安全细分领域开始多样化,在线业务安全、云安全、数据库安全、身份安全、移动安全、威胁情报、智能SOC、用户行为分析等新兴安全技术开始落地。但较为前沿的物联网安全、车联网安全、工业互联网安全,以及SaaS模式的规模化土壤还有待形成。
- 新兴安全概念在国内的落地,往往需要整合进传统的安全解决方案,而不是单独购买,这也是创新企业很容易遇到的业务成长瓶颈之一。对于资本方来说,普遍开始意识到安全领域投资是个长期过程,而技术复杂性是网络投资的关键驱动力。
四、政策法规篇
漏洞披露、个人隐私、数据安全、关键基础设施保护、经济博弈、网络犯罪、国家安全,是制定政策法规的关键词和重要背景。网络安全已经得到全球各国政府的实际重视,并成为支撑自身发展,与他国进行政治、军事、经济博弈的关键因素之一。
1. 国际政策法规动向
1月:
- 美国众议院通过《网络漏洞公开报告法案》(H.R.3202)。法案要求国土安全局向国会提交关于政府如何处理公开漏洞的相关报告。报告内容分为两个部分:为协调网络漏洞公开而制定的政策和程序描述;可能为机密属性的“附件”,包括一些特定实例的描述。
- 美国参议院投票通过“外国情报监控法修正案”,重新授权美国国家安全局根据《外国情报监视法案》第702条对美国以外公民的通信进行监听,并将该项授权延长六年。法案待美国总统特朗普签署后,将正式成为法律。
2月:
- 澳大利亚《数据泄露通报法案》正式实施。该法案是对澳大利亚隐私法案1988PartIIIC的修正案,建立强制性的数据泄露通报制度,并要求义务人向受数据泄漏影响的个人提供避免或减轻数据泄露造成的危害的建议。
- 新加坡国会通过《网络安全法案》。这项法案旨在加强保护提供基本服务的计算机系统,防范网络攻击。该法案提出针对关键信息基础设施(CII)的监管框架,并明确了 CII 所有者确保网络安全的职责。
3月:
- 英国政府发布一项新的“网络安全出口”战略。这项新的战略将帮助英国的网络安全企业进入国际新市场并持续发展。
- 美国网络司令部公开其指挥战略愿景文件《获取并维持网络空间优势》。该愿景是新形势下网络司令部的作战宣言和行动指南,主要思想依旧延续该部门一贯做法,渲染网络空间安全威胁,针对性提出网络行动的目标、原则、任务和方法等,为各军种网络战部队统一思想和统一行动奠定基础。
4月:
- 美国商务部宣布,禁止美国企业向中兴通讯出售任何电子技术或通讯元件,这一禁令为期长达7年,直到2025年3月13日。
- 美国联邦通讯委员会决议,禁止美国运营商使用联邦补贴购买可能威胁美国国家安全的设备厂商产品。其中,华为和中兴均包括在内。
5月:
- 欧盟《通用数据保护条例》(GDPR)生效,违反GDPR的组织将被处罚高达全球年营业额的4%或2000万欧元,两者以较高为准。
- 美国国土安全部发布《网络安全战略》。遭受网络攻击。该战略描绘了国土安全部未来五年在网络空间的路线图,指导该机构未来五年履行网络安全职责的方向。此外,还须推出一套正规方法以衡量及掌握机构在信息安全政策、实践和必要控制措施方面的采用情况。
- 美国能源部发布《能源行业网络安全多年计划》,确定了美国能源部未来五年力图实现的目标和计划,以及实现这些目标和计划将采取的相应举措,以降低网络事件给美国能源带来的风险。
6月:
- 加拿大发布新版国家网络安全战略。该战略作为加拿大在网络安全方面的路线图,旨在实现加拿大人的目标和优先事项。新版国家网络安全战略内容有三项:建立加拿大网络安全中心;设立国家网络犯罪协调部门;开展自愿网络认证计划。
- 英国政府与NCSC(国家网络安全中心)合作,推出了一套新的安全标准,“最低安全标准”。要求所有政府部门,包括公司企业、政府机构、非政府公共机构和承包商,必须遵守。该标准细分为5个部分共10节:身份、保护、检测、响应和恢复。
- 美国众议院外交事务委员会通过“2018网络威慑与响应法案”(H. R. 5576),要求美国总统确认高级持续威胁(APT)组织名单,并在《联邦公报》中公布并定期更新。该法案还要求美国政府制裁对美国发动国家支持型网络攻击的参与者。
- 美国联邦通信委员会废除网络中立性法规的决定开始实施。网络中立性法规由奥巴马政府于2015年制定,旨在保证全体网民拥有平等地访问互联网的权利。一旦网络中立性法规被废除,互联网服务提供商们将开始捆绑销售网络服务。
- 立陶宛、克罗地亚、爱沙尼亚、荷兰、罗马尼亚、西班牙欧盟六国签署《意向声明》表示将按照“永久结构化合作”防务机制成立“网络快速响应小组”,应对网络攻击。
7月:
- 美国国土安全部成立国家风险管理中心,以促进关键基础设施网络威胁的跨部门信息共享与协作响应。该中心为美国政府主导的新型联合防御战略的基础,旨在更有效地响应美国利益在网络空间遭遇到的威胁。
8月:
- 美国总统特朗普签署《NIST小企业网络安全法》(S. 770)。该法案要求NIST简明扼要地传播网络安全资源,帮助担心其网络安全风险的小企业。该法案非强制性,小型企业可自愿采用这些资源。
- 美国国防部“Hack海军陆战队”活动完成。至此,美国国防部已经完成“Hack五角大楼”、“Hack陆军”、“Hack空军”和“Hack国防旅行系统”等漏洞奖励项目。
- 美国联邦贸易委员会和司法部,未来的机构组织必须采用某种形式的漏洞披露计划(VDP),供善意的安全研究人员汇报安全漏洞情况。
9月:
- 美国众议院通过一项两党法案《2018网络威慑与响应法案》,旨在阻止和制裁未来国家支持的针对美国的网络攻击,以保护美国的政治、经济和关键基础设施免受侵害。
- 美国国防部公布《2018国防部网络战略》,要求将网络活动的重点放在应对中国和俄罗斯强敌方面,运用网络能力,收集情报并为未来冲突做好准备,并提出了解决网络威胁,以及实施《国家安全战略》和《国防战略》所规定优先事项的愿景。
- 国际电信联盟发布“国家网络安全战略指南”。该指南旨在帮助政策制定者根据国家的情况、文化和社会价值制定网络安全战略,建立安全、有弹性、信息通信技术发达的互联互通社会。
- 美国总统特朗普发布《国家网络战略》,这是其上任后的首份国家网络战略,概述了美国网络安全的四项支柱,十项目标与42项优先行动。国家网络战略的四项指导支柱是:1.保护美国人民、国土及美国人的生活方式;2.促进美国的繁荣,主要目标是维护美国在科技生态系统和网络空间发展中的影响力;3.以实力求和平,主要目标是识别、反击、破坏、降级和制止网络空间中破坏稳定和违背国家利益的行为,同时保持美国在网络空间中的优势;4. 扩大美国影响力,主要目标是保持互联网的长期开放性、互操作性、安全性和可靠性。
10月:
- 由于看重与白帽子合作带来的价值,美国国防部宣布扩大其漏洞奖励项目,将合约授予3家漏洞测试服务商:HackerOne、Synack和Bugcrowd。
- Facebook因“剑桥分析”造成的数据泄露事件被英国处以50万英镑的罚款。同时在澳大利亚遭到起诉,罚款预计在3亿到30亿澳元之间。
- 欧洲议会投票通过《非个人数据自由流动条例》。该条例将在今年年底生效,旨在欧洲单一市场之内,消除非个人数据在储存和处理方面的地域限制。新条例将取消欧盟境内数据自由流动壁垒,推动欧洲经济增长,确保数据跨境自由流动;确保监管控制的数据可用性;鼓励制定云服务行为准则。
11月:
- 加拿大新的数据泄露法《个人信息保护和电子文件法》正式生效,其要求加拿大公司如发生信息泄露事件时必须尽快通知受影响用户,否则将面临处罚。每次违规的罚款数额最高可达10万加元。
- 由英国政府通信总部国家网络安全中心参与指导的,英国金融系统网络攻击演习举行,以测试金融系统在攻击面前的弹性。英国40家金融机构,和英国财政部、英国金融市场行为监管局参加演习。
- 英国间谍机构政府通信总部(GCHQ)及其信息安全部门NCSC发布了安全漏洞披露策略。其“漏洞公平裁决过程”由三层决策系统组成,包括安全专家、情报机构成员、政府机构代表和由NCSC主导的公平监管委员会。
- 美国司法部长和国家情报总监联合领导下的国家内部威胁特别工作组(NITTF),发布了一份新的《内部人员威胁项目成熟度框架》。其目的是帮助行政部门及机构ITP超越《最低标准》,变得更主动、更全面、更能威慑、检测和缓解内部人员威胁风险。
- 美国国会一致通过之前参议院通过的《网络安全与基础设施安全局法案》(H.R. 3359),并将由总统签署。该法案旨在保护联邦网络,保护关键基础设施免受网络和物理威胁。
12月:
- 美国众议院能源和商业委员会发布《网络安全战略报告》,提出6个应对网络安全事件的核心内联概念以及解决网络安全问题的6个重点。
- GPDR今年正式实施。对安全行业而言,一方面,GDPR合规是企业数字化转型的有效驱动力,给安全带来了新的市场。另一方面,法规往往会“约束好人,放纵坏人”的现象不可忽视。GDPR对安全行业带来的真正影响还有待观察。
- 个人隐私与数据分析同样是一把双刃剑。数据时代,如何在保护个人隐私的条件下,利用数据的流动为全人类创造价值,可能是一个永远的话题。但保护自己数据,查看别人的数据,至少是现阶段的一致做法。
- 漏洞众测及漏洞资源受到美国政府的重视。美国国防部不断加大众测力度,并尝试从立法上平衡社会商业利益与国家安全的关系。
- 网络安全在国与国之间对政治和经济的影响已经十分明显,商业禁令、政治抨击、舆论影响,无不以其为重要依据。对于先进国家而言,保护只是基本,威慑与打击已经写入国家战略,军事对抗更是暗流涌动。
2. 国内重大政策法规
1月:
- 中央政法工作会议为推动网络综合治理体系建设,提出维护网络意识形态安全、打击防范网络犯罪、保护国家关键信息基础设施安全、加强网络治理能力建设等四项部署。
- 中国互联网协会成立个人信息保护工作委员会。委员会将开展法律法规研究、个人信息保护领域公众监督、个人信息保护领域行业自律、相关课题研究等工作,并为政府部门执法及行业监管提供支撑。
2月:
- 国家互联网信息办公室公布《微博客信息服务管理规定》,自3月20日起施行。《规定》共十八条,包括微博客服务提供者主体责任、真实身份信息认证、分级分类管理、辟谣机制、行业自律、社会监督及行政管理等条款。
4月:
- 全国信息安全标准化技术委员会正式发布《大数据安全标准化白皮书(2018版)》。白皮书重点介绍了国内外的大数据安全法规政策、标准化现状,分析了大数据安全所面临的风险和挑战,给出了大数据安全标准化体系框架,规划了大数据安全标准工作重点,提出了开展大数据安全标准化工作的建议。
- 中央网信办和中国证监会联合印发《关于推动资本市场服务网络强国建设的指导意见》,指导网信企业提高网络与信息安全意识,建立健全网络与信息安全保障措施,维护国家网络空间主权、安全和发展利益,保障个人信息和重要数据安全。
5月:
- 中国人民银行下发《关于进一步加强征信信息安全管理的通知》,进一步加强金融信用信息基础数据库运行机构和接入机构征信信息安全管理。通知要求,运行机构和接入机构要健全征信信息查询管理,严格授权查询机制,未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的APP接入征信系统。此外,要求成立征信信息安全工作领导小组,明确领导层中分管征信工作的负责人为第一责任人。
- 全国信息安全标准化技术委员会在2017年底发布的《信息安全技术个人信息安全规范》正式实施。规范以国家标准的形式,明确了个人信息的收集、保存、使用、共享的合规要求,为网络运营者制定隐私政策及完善内控提供了指引。
6月:
- 公安部发布《网络安全等级保护条例(征求意见稿)》。作为《网络安全法》的重要配套法规,《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求,为开展等级保护工作提供了重要的法律支撑。
- 国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室四部门发布了承担网络关键设备和网络安全专用产品安全认证和安全检测任务的机构名录(第一批)。认证和检测的范围有:网络关键设备和网络安全专用产品安全认证;网络关键设备安全检测;网络安全专用产品安全检测。
7月:
- 工业和信息化部正式印发《工业互联网平台建设及推广指南》和《工业互联网平台评价方法》的通知,通知要求制定完善工业信息安全管理等政策法规,明确安全防护要求。建设国家工业信息安全综合保障平台,实时分析平台安全态势。强化企业平台安全主体责任,引导平台强化安全防护意识,提升漏洞发现、安全防护和应急处置能力。
8月:
十三届全国人大常委会第五次会议表决通过《电子商务法》,自2019年1月1日起施行。
央行办公厅发布《关于开展支付安全风险专项排查工作的通知》。排查内容包括:
- 一、排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患;
- 二、排查支付业务系统在系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的问题;
- 三、督查支付交易报文规范化改造、终端信息注册等工作落实情况;
- 四、排查支付产品质量管理方面存在的不足。
9月:
- 中央网信办、公安部联合印发《关于规范促进网络安全竞赛活动的通知》。通知规定,冠名“中国”“国家”等字样的网络安全竞赛和会议需经中央网信办同意。
- 国家卫生健康委员会发布《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》及解读稿。明确健康医疗大数据的定义、内涵和外延,以及制定办法的目的依据、适用范围、遵循原则和总体思路等。并从标准管理、安全管理、服务管理三个方面加以规范。
- 国家能源局印发《关于加强电力行业网络安全工作的指导意见》。指导意见将有力促进电力行业网络安全责任体系和网络安全监督管理体制机制的健全完善,进一步提升电力监控系统安全防护水平,强化网络安全防护体系,提高自主创新及安全可控能力,有力防范和遏制重大网络安全事件,保障电力系统安全稳定运行和电力可靠供应。
10月:
- 《贵阳市大数据安全管理条例》正式实施。条例明确,大数据发展应用中,数据的所有者、管理者、使用者和服务提供者的法定代表人或主要负责人是本单位大数据安全的第一责任人。安全责任单位对个人信息和重要数据实行加密等安全保护,对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。
- 国家市场监督管理总局、国家标准化管理委员会对外发布《智慧城市 信息技术运营指南》等23项国家标准。其中,在信息安全领域有6项国家标准,包括加强网络产品和服务供应链安全保障、提高公民数字身份认证和网络身份识别技术的安全性、提升网络安全防护效率等方面。
- 威胁情报国家标准《信息安全技术网络安全威胁信息格式规范》正式发布。标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述,并将这些组件划分为对象、方法和事件三个域,最终构建出一个完整的网络安全威胁信息表达模型。
11月:
- 《公安机关互联网安全监督检查规定》正式施行。规定指明“公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。”
- 工业和信息化部网络安全管理局对7家电信企业落实《网络安全法》、《通信网络安全防护办法》、《电信和互联网用户个人信息保护规定》等法律法规情况进行了实地检查,针对检查发现的问题,责令企业进行整改。
- 公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》。《指引》将从个人信息安全保护的安全管理机制、安全技术措施、业务流程三大方面对企业的个人信息保护提供全方位的指导。
- 中央网信办联合公安部制定发布《具有社会舆论属性或社会动员能力的互联网信息服务安全评估规定》。该规定明确了具有舆论属性或社会动员能力的互联网信息服务的具体情形,在信息服务功能、服务范围、软硬件设施、安全管理制度和技术措施落实、风险防控等方面,要求各互联网信息服务提供者自行或者委托第三方开展安全评估,并将安全评估报告通过全国互联网安全管理服务平台,提交所在地地市级以上网信部门和公安机关。
12月:
- 国家互联网信息办公室公布《金融信息服务管理规定》。其中,“第五条”规定要求:金融信息服务提供者应当履行主体责任,配备与服务规模相适应的管理人员,建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。
- 北京市经济和信息化局发布了《北京工业互联网发展行动计划(2018-2020年)》。提出网络建设、平台发展、应用创新、安全提升、生态培育五大工程。今后北京市将进一步发挥在大数据、云计算、物联网、人工智能、网络安全领域的产业优势和科技创新、人才齐聚等资源优势,深入推进“互联网+”。
- 中央网信办、公安部、工信部、各省市政府、标准制定机构、行业、协会组织,从指导、协调、监管、执法、规划、实施、交流等各个层面,大力推动信息安全产业的健康有序发展。
- 大数据、工业互联网、智慧城市的安全,和个人信息保护是今年各项政策法规的关注点。随着《网络安全法》的实施,许多监管规定、行业与技术标准开始落地,国内的信息安全工作越来越有法可依,有据可查。
五、总结与趋势篇
1. 2018年十大网络安全事件与趋势:
- 信息泄露连续五年创历史记录,且不分行业与领域。而随着网络世界向数字世界的演化,信息泄露将成为全球科技始终无法避免的“自然灾害”。
- 随着加密货币的空前爆发带来的商业利益,吸引了大量的网络攻击,但这一安全态势在各国相继出台的限制措施下,以及币值的急剧萎缩,有可能得到缓解。
- 勒索软件持续产生严重危害,反映出安全意识的普遍薄弱和基本防护手段的缺失,背后则是黑色产业链的发达运转。勒索软件将会和过去的病毒、恶意软件一样,走向常态化,长期化。
- 拒绝服务攻击的规模不断放大,已经出现万兆级别的攻击。不仅是因为联网设备的防护能力薄弱,各种攻击手法的层出不穷也是重要因素。在未来全球一体化的数字世界,可以预见出现更大规模的攻击。
- 电子邮件欺诈带来的损失史无前例,累计已达120亿美元。古老的骗局一而再再而三的卷土重来,其利用的是人们心理上的弱点与认知上的缺陷。针对这种攻击,我们注定无法完全免疫。
- 人工智能技术是又一把安全的双刃剑。基于AI的防护技术还在尝试阶段,但显然坏人暂时取得领先。可篡改音视频的Deepfake技术,被美国议员比喻成“核武器”。虽然目前并无重大危害事件出现,但其可能带来的社会恐慌或是对突发事件漠视,值得关注与保持警惕。
- 网络安全被用于政治、经济、科技、军事等领域的博弈之中,左右舆论、商业禁令、攫取经济利益、盗取知识产权、攻击关键基础设施等行为层出不穷,并有着从试探性变成破坏性攻击的趋势,未来这一趋势还将愈演愈烈。
- 漏洞受到业界的极大重视并成为重要战略资源。这种重视反而限制了漏洞公布的速度和数量,许多相关的破解活动和赛事陷入低潮。与此同时,如何减少漏洞的产生以及如何进行客观的价值评价,成为各方面的关注重点。
- 国内的经济发展受到中美贸易战、资本寒冬、供给侧改革等影响,但以国家、大型企业为主要用户的网络安全行业,所受的影响尚不明显。2018年国内一级市场的融资规模可能会达到近年来的顶峰,但未来的注册制、科创板等股市改革措施将会给网络安全行业带来积极的推动。
- 由公安部制定的《网络安全等级保护条例》即将实施。该条例将是继《网络安全法》之后又一最为重要的法规,是各机构部门、重点行业部署与开展安全工作的核心基础,必将极大的促进全社会对网络安全的重视,推动整个网络安全行业的全面发展。
2. 结语
从上个世纪90代年起,人们一路走来,经历了计算机安全、网络安全、信息安全、网络空间安全等各个时期不同的发展阶段。网络安全,已经开始从信息技术的分支、支撑,逐渐上升到与之并行的地位。而未来是一个万物互联的时代,这种数字化世界的天然脆弱性,将会导致网络安全发生本质性的变化。不再只是信息网络系统的安全,而是业务的安全,经济的安全,人身的安全,社会的安全和国家的安全。
基础科学的薄弱和信息化普及程度较低虽然是我们的技术短板,但庞大的人口基础和应用场景的复杂多变,又带来了商业发展的优势和红利,这也正是我国的科技与经济发展受到发达国家扼制的深层次原因。如何在竞争与合作之间保持平衡,是全球所有国家、政治和经济体面临的重大课题。“自主可控”是每一个利益体的内在需求,而“命运共同体”则是人类文明的终极走向。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】