一���、信息泄露與網(wǎng)絡(luò)攻擊篇
信息泄露連續(xù)五年創(chuàng)歷史記錄
自2013年斯諾登事件以來����,全球信息泄露規(guī)模連年加劇�。盡管目前還沒有信息泄露統(tǒng)計(jì)的確切數(shù)字�����,但2018年的數(shù)據(jù)泄露規(guī)模又將創(chuàng)下新的歷史記錄已是大概率事件���。根據(jù)Gemalto發(fā)布的《數(shù)據(jù)泄露水平指數(shù)(Breach Level Index)》���,僅2018年上半年����,全球就發(fā)生了945起較大型的數(shù)據(jù)泄露事件�����,共計(jì)導(dǎo)致45億條數(shù)據(jù)泄露�����,與2017年相比數(shù)量增加了133%。
2018年規(guī)?�;蛴绊戄^大的信息泄露事件
1月
印度媒體 The Tribune 聲稱以500盧比(約6英鎊)的價(jià)格購買了對公民信息數(shù)據(jù)庫Aadhaar的訪問��。該數(shù)據(jù)庫包含10億印度公民的個(gè)人信息。
美國國土安全部承認(rèn)��,2.4萬名現(xiàn)任雇員和前任員工個(gè)人信息由于黑客攻擊而泄露�����。
2月
美國高端運(yùn)動品牌安德瑪?shù)慕】导帮嬍掣檻?yīng)用MyFitnessPal被黑客入侵����,1.5億用戶賬戶信息泄露����。
3月
安全研究人員披露,僅今年前3個(gè)月,就發(fā)現(xiàn)了超過15.5億份商業(yè)敏感文檔在網(wǎng)上泄露�����,數(shù)據(jù)量高達(dá)12PB�,是巴拿馬文檔泄露事件的4000倍。
英國媒體披露Facebook超過5000萬名用戶資料遭“劍橋分析”公司非法用來發(fā)送政治廣告。
4月
加拿大零售集團(tuán)HBC承認(rèn),其500萬客戶的信用卡和借記卡信息被黑客竊取��,成為史上最大信用卡信息失竊案之一����。
Facebook承認(rèn),“劍橋分析”事件影響8700萬用戶�,同時(shí)有惡意行為人���,用Facebook的反向搜索和恢復(fù)功能�����,很可能惡意爬取了20億用戶的賬戶基本信息���。
5月
由于軟件缺陷導(dǎo)致明文暴露證書�,推特敦促其所有3.3億用戶更改口令。
6月
基因檢測公司MyHeritage發(fā)布公告����,稱超過9200萬個(gè)帳戶信息被竊取���。公告稱����,黑客入侵事件發(fā)生在2017年10月26日���。
國內(nèi)安全專家發(fā)現(xiàn)一個(gè)被盜密碼查詢網(wǎng)站��,包含14億的郵箱口令�,而且查詢結(jié)果為明文。
研究人員發(fā)現(xiàn)數(shù)據(jù)統(tǒng)計(jì)公司Exactis包含3.4億個(gè)人記錄的數(shù)據(jù)庫���,在網(wǎng)上可公開訪問。該2TB大的數(shù)據(jù)庫包含上億美國成年人的個(gè)人信息和數(shù)百萬公司信息�����。
谷歌Firebase平臺2,271個(gè)數(shù)據(jù)庫可公開訪問�����,這些數(shù)據(jù)庫中包括了1億多條敏感信息記錄��,113GB的數(shù)據(jù)量。
7月
包括福特��、通用��、豐田、特斯拉等100多家公司的157GB含有高度敏感信息的商業(yè)和技術(shù)文檔數(shù)據(jù)可公開訪問����。
8月
國內(nèi)一家新媒體營銷上市公司�����,非法劫持運(yùn)營商流量賺取商業(yè)利益的案件被警方破獲。百度�、騰訊�����、阿里、今日頭條等全國96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取�����,數(shù)量高達(dá)30億條��。
國內(nèi)某集團(tuán)多家酒店1.3億人身份信息��、2.4億條開房記錄和1.23億條官網(wǎng)注冊資料在暗網(wǎng)兜售,盜取數(shù)據(jù)的黑客二十天后被警方抓獲���。
9月
英國航空宣稱被黑客攻擊,38萬乘客的支付卡信息被盜����。
Facebook官方公開承認(rèn)��,由于一個(gè)令牌訪問漏洞,黑客可接管5000萬用戶的賬戶���,約9000萬用戶受到影響,包括扎克伯格本人的賬戶。
10月
在美國2018年中期選舉之前��,研究人員發(fā)現(xiàn)暗網(wǎng)上出售20個(gè)州的選民數(shù)據(jù)��,數(shù)量達(dá)到8000萬之多。
由于第三方供應(yīng)商遭到黑客攻擊,美國國防部至少3萬名服務(wù)人員或雇員的個(gè)人和支付卡信息遭到泄露。
香港國泰航空聲稱,包含有940萬乘客的姓名�、生日���、電話���、地址��、身份證及護(hù)照號等敏感信息外泄。
11月
萬豪國際集團(tuán)公布其酒店數(shù)據(jù)泄露事件,涉及約5億客人的個(gè)人信息和開房記錄�����。
安全人員發(fā)現(xiàn)開源搜索引擎Elasticsearch�,至少有3個(gè)IP由于配置錯(cuò)誤,可未授權(quán)訪問,約8200萬美國公民的個(gè)人信息被暴露。
一�、信息泄露與網(wǎng)絡(luò)攻擊篇
信息泄露連續(xù)五年創(chuàng)歷史記錄
自2013年斯諾登事件以來�����,全球信息泄露規(guī)模連年加劇。盡管目前還沒有信息泄露統(tǒng)計(jì)的確切數(shù)字,但2018年的數(shù)據(jù)泄露規(guī)模又將創(chuàng)下新的歷史記錄已是大概率事件��。根據(jù)Gemalto發(fā)布的《數(shù)據(jù)泄露水平指數(shù)(Breach Level Index)》�����,僅2018年上半年����,全球就發(fā)生了945起較大型的數(shù)據(jù)泄露事件,共計(jì)導(dǎo)致45億條數(shù)據(jù)泄露,與2017年相比數(shù)量增加了133%�����。
2018年規(guī)?����;蛴绊戄^大的信息泄露事件
1月
印度媒體 The Tribune 聲稱以500盧比(約6英鎊)的價(jià)格購買了對公民信息數(shù)據(jù)庫Aadhaar的訪問。該數(shù)據(jù)庫包含10億印度公民的個(gè)人信息。
美國國土安全部承認(rèn)���,2.4萬名現(xiàn)任雇員和前任員工個(gè)人信息由于黑客攻擊而泄露。
2月
美國高端運(yùn)動品牌安德瑪?shù)慕】导帮嬍掣檻?yīng)用MyFitnessPal被黑客入侵,1.5億用戶賬戶信息泄露�。
3月
安全研究人員披露���,僅今年前3個(gè)月���,就發(fā)現(xiàn)了超過15.5億份商業(yè)敏感文檔在網(wǎng)上泄露��,數(shù)據(jù)量高達(dá)12PB,是巴拿馬文檔泄露事件的4000倍����。
英國媒體披露Facebook超過5000萬名用戶資料遭“劍橋分析”公司非法用來發(fā)送政治廣告��。
4月
加拿大零售集團(tuán)HBC承認(rèn),其500萬客戶的信用卡和借記卡信息被黑客竊取����,成為史上最大信用卡信息失竊案之一�。
Facebook承認(rèn)�����,“劍橋分析”事件影響8700萬用戶���,同時(shí)有惡意行為人��,用Facebook的反向搜索和恢復(fù)功能,很可能惡意爬取了20億用戶的賬戶基本信息。
5月
由于軟件缺陷導(dǎo)致明文暴露證書��,推特敦促其所有3.3億用戶更改口令�����。
6月
基因檢測公司MyHeritage發(fā)布公告,稱超過9200萬個(gè)帳戶信息被竊取���。公告稱,黑客入侵事件發(fā)生在2017年10月26日���。
國內(nèi)安全專家發(fā)現(xiàn)一個(gè)被盜密碼查詢網(wǎng)站,包含14億的郵箱口令�,而且查詢結(jié)果為明文�。
研究人員發(fā)現(xiàn)數(shù)據(jù)統(tǒng)計(jì)公司Exactis包含3.4億個(gè)人記錄的數(shù)據(jù)庫����,在網(wǎng)上可公開訪問。該2TB大的數(shù)據(jù)庫包含上億美國成年人的個(gè)人信息和數(shù)百萬公司信息���。
谷歌Firebase平臺2,271個(gè)數(shù)據(jù)庫可公開訪問,這些數(shù)據(jù)庫中包括了1億多條敏感信息記錄�����,113GB的數(shù)據(jù)量��。
7月
包括福特�����、通用、豐田�、特斯拉等100多家公司的157GB含有高度敏感信息的商業(yè)和技術(shù)文檔數(shù)據(jù)可公開訪問�。
8月
國內(nèi)一家新媒體營銷上市公司����,非法劫持運(yùn)營商流量賺取商業(yè)利益的案件被警方破獲��。百度�、騰訊、阿里�����、今日頭條等全國96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取���,數(shù)量高達(dá)30億條���。
國內(nèi)某集團(tuán)多家酒店1.3億人身份信息�、2.4億條開房記錄和1.23億條官網(wǎng)注冊資料在暗網(wǎng)兜售,盜取數(shù)據(jù)的黑客二十天后被警方抓獲���。
9月
英國航空宣稱被黑客攻擊,38萬乘客的支付卡信息被盜�����。
Facebook官方公開承認(rèn)�����,由于一個(gè)令牌訪問漏洞����,黑客可接管5000萬用戶的賬戶��,約9000萬用戶受到影響�,包括扎克伯格本人的賬戶��。
10月
在美國2018年中期選舉之前���,研究人員發(fā)現(xiàn)暗網(wǎng)上出售20個(gè)州的選民數(shù)據(jù),數(shù)量達(dá)到8000萬之多。
由于第三方供應(yīng)商遭到黑客攻擊,美國國防部至少3萬名服務(wù)人員或雇員的個(gè)人和支付卡信息遭到泄露。
香港國泰航空聲稱�����,包含有940萬乘客的姓名���、生日����、電話、地址�����、身份證及護(hù)照號等敏感信息外泄���。
11月
萬豪國際集團(tuán)公布其酒店數(shù)據(jù)泄露事件�,涉及約5億客人的個(gè)人信息和開房記錄。
安全人員發(fā)現(xiàn)開源搜索引擎Elasticsearch�,至少有3個(gè)IP由于配置錯(cuò)誤�,可未授權(quán)訪問��,約8200萬美國公民的個(gè)人信息被暴露����。
12月
美國在線知識問答平臺Quora官方發(fā)布通知��,發(fā)現(xiàn)惡意第三方未經(jīng)授權(quán)訪問����,約1億用戶數(shù)據(jù)泄露��。
谷歌承認(rèn)Google+出現(xiàn)API漏洞���,在11月的6天時(shí)間里,5250萬用戶的姓名����、電子郵箱����、職業(yè)和年齡以及其他詳細(xì)信息被訪問。
(注:以上部分泄露事件由白帽匯安全研究院提供)
2018年的信息泄露事件呈現(xiàn)以下特點(diǎn):
信息泄露事件自2013年開始已經(jīng)連續(xù)5年突破歷史記錄��,根本原因在于網(wǎng)絡(luò)安全保障的意識�、認(rèn)知和能力均落后于信息網(wǎng)絡(luò)技術(shù)及其應(yīng)用的爆發(fā)式增長,兩者之間出現(xiàn)極大裂痕��。
信息泄露事件常態(tài)化��,無分行業(yè)��、領(lǐng)域、國家。隨著全球信息化程度的提高���,全社會對網(wǎng)絡(luò)和數(shù)字化技術(shù)的依賴,這一情況很有可能還將加劇。
信息泄露給企業(yè)、個(gè)人帶來的損失越來越大,可大幅度降低企業(yè)估值����,令企業(yè)面臨巨額賠償���,威脅個(gè)人財(cái)產(chǎn)和生活穩(wěn)定等��。
信息泄露的途徑主要分為內(nèi)部人員或第三方合作伙伴泄露,信息系統(tǒng)無法杜絕漏洞��,機(jī)構(gòu)本身的防護(hù)機(jī)制不健全��,對數(shù)據(jù)的重要程度不敏感���,以及對安全配置的疏忽大意等問題��。
相關(guān)參考
數(shù)據(jù)泄露到底會讓企業(yè)損失多少 5000萬條3.5億美元安全事件有多影響收購?萬豪集團(tuán)136億美元收購喜達(dá)屋雅虎數(shù)據(jù)泄露案最新進(jìn)展:5000萬美元賠償 2億人兩年免費(fèi)信用監(jiān)控服務(wù)
- 網(wǎng)絡(luò)攻擊對現(xiàn)實(shí)世界產(chǎn)生重大影響
從數(shù)字貨幣到勒索軟件�����,從網(wǎng)絡(luò)欺詐到輿論控制��,從商業(yè)競爭到國家安全,隨著數(shù)字化世界的到來�����,網(wǎng)絡(luò)攻擊對政治�����、經(jīng)濟(jì)����、軍事����、國家、社會安全��,甚至是人身安全的影響越來越大���。據(jù)網(wǎng)絡(luò)風(fēng)險(xiǎn)公司RiskIQ的統(tǒng)計(jì)���,2017年度全球網(wǎng)絡(luò)犯罪造成6000億美元的損失�,意味著每一分鐘的損失約為114萬美元。
2018年影響較大的網(wǎng)絡(luò)攻擊事件
1月
東京交易所Coincheck價(jià)值5.3億美元的加密貨幣NEM被黑客竊取�,并嘗試轉(zhuǎn)移到其它交易所�。
2月
韓國平昌冬奧會開幕式期間�,服務(wù)器遭到身份不明的黑客入侵,導(dǎo)致主媒體中心的IPTV(交互式網(wǎng)絡(luò)電視)發(fā)生故障���。奧組委關(guān)閉了內(nèi)部網(wǎng)絡(luò)服務(wù)器��,導(dǎo)致官網(wǎng)徹底關(guān)閉��,無法打印開幕式門票。
英國斯旺西大學(xué)計(jì)算機(jī)教授聲稱,英國國家醫(yī)療服務(wù)系統(tǒng)(NHS),每年因信息系統(tǒng)故障和漏洞導(dǎo)致的死亡事件,約在100到900例之間��。
美國科羅拉多州交通部遭遇勒索軟件兩次攻擊�,致使該機(jī)構(gòu)運(yùn)轉(zhuǎn)停滯數(shù)周,工資系統(tǒng)和供應(yīng)商合約也受到了攻擊的影響�����,員工被迫用紙筆處理事務(wù)。
3月
代碼共享平臺GitHub遭遇反射放大(Memcached)拒絕服務(wù)攻擊���,峰值創(chuàng)記錄的達(dá)到1.35Tbps。之后不到一周�,Arbor網(wǎng)絡(luò)又聲稱美國一家服務(wù)提供商遭到了峰值1.7Tbps的Memcached攻擊�。
特朗普政府首次公開將NotPetya勒索軟件����,以及對美國電力、核能��、商業(yè)�����、航空�����、制造業(yè)等基礎(chǔ)設(shè)施的攻擊,歸咎于俄羅斯政府���。
美國司法部起訴9名伊朗黑客,對22個(gè)國家的大學(xué)、私營公司和政府機(jī)構(gòu)進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊,竊取研究信息,其中被入侵的320所大學(xué)遭受了大約34億美元的損失。
美國亞特蘭大市政府受到勒索軟件攻擊���,其所用424個(gè)軟件程序中的1/3以上停止了服務(wù)或部分功能被禁用��,影響核心城市服務(wù)�����,包括警署和法庭。在一份官員提交的預(yù)算簡報(bào)中透露,該攻擊可能是美國城市遭受的最嚴(yán)重網(wǎng)絡(luò)攻擊��,這份預(yù)算提案包含了950萬美元的服務(wù)恢復(fù)費(fèi)用支出�����。
美國巴爾的摩市遭遇勒索軟件攻擊���,導(dǎo)致911緊急調(diào)度服務(wù)的計(jì)算機(jī)輔助調(diào)度(CAD)功能掉線���。CAD系統(tǒng)是911派遣第一反應(yīng)人員的工具�,如果沒有CAD系統(tǒng)����,警察、消防員和救護(hù)車就不能第一時(shí)間派往事發(fā)地進(jìn)行救助���。掉線期間911操作人員仍能手動調(diào)度響應(yīng)人員,效率大幅降低����。
區(qū)塊鏈資產(chǎn)交易平臺幣安數(shù)十個(gè)用戶賬戶被黑客控制��,并通過買入賣出操縱幣價(jià),專業(yè)人士估計(jì)黑客可能從中獲利7億元�。
5月
一款名為VPNFilter的惡意軟件感染了Linksys�����,MikroTik���,Netgear和TP-Link等廠商的路由器�,影響范圍覆蓋全球54個(gè)國家,超過50萬臺路由器和網(wǎng)絡(luò)設(shè)備�。
6月
三一重工近泵車失蹤案宣判���。犯罪分子通過源代碼找到遠(yuǎn)程監(jiān)控系統(tǒng)的漏洞��,得以解鎖設(shè)備,間接造成企業(yè)約10億元的經(jīng)濟(jì)損失�����。
韓國最大虛擬貨幣交易平臺Bithumb遭黑客入侵����,價(jià)值約350億韓元(3000萬美元)的數(shù)字貨幣被盜����。
7月
美國參議員馬可·盧比奧宣稱�,人工智能視頻處理工具“Deep Fakes”是對國家安全的威脅,并將其與導(dǎo)彈��、核武器相比��。
美國阿拉斯加Mat-Su自治市遭遇勒索病毒��,致使該市的網(wǎng)絡(luò)電話和電子郵件全面癱瘓,工作人員只能使用原始的紙筆辦公�。
美國司法部副部長宣布��,以陰謀干涉2016年美國大選的罪名起訴12名俄羅斯軍官。
360披露從2011年開始持續(xù)至今�����,高級攻擊組織藍(lán)寶菇(APT-C-12)對我國政府�����、軍工、科研�、金融等重點(diǎn)單位和部門進(jìn)行了持續(xù)的網(wǎng)絡(luò)間諜活動�����。該組織主要關(guān)注核工業(yè)和科研等相關(guān)信息,被攻擊目標(biāo)主要集中在中國大陸境內(nèi)���。
FBI公共服務(wù)通告部發(fā)布統(tǒng)計(jì)報(bào)告,從2013年10月至2018年5月����,全球披露的郵件欺詐事件造成的損失已達(dá)120.5億美元����。
一伙網(wǎng)絡(luò)犯罪通過劫持40名受害者的手機(jī)SIM卡���,共竊取了總額超過500萬美元的加密貨幣�。
幣圈傳出消息,區(qū)塊鏈資產(chǎn)交易平臺幣安再次遭遇用戶API被控�����,轉(zhuǎn)走7000多枚比特幣拉升小幣種再拋出���,推論黑客可因此獲得8000萬元�����。
8月
臺灣積體電路制造三大廠區(qū)出現(xiàn)電腦大規(guī)模勒索病毒事件��,約造成17.6 億元的營收損失�,股票市值下跌78億。
安全公司Securonix披露,朝鮮黑客組織Lazarus通過侵入SWIFT/ATM系統(tǒng)�����,三天內(nèi)從印度最大的銀行Cosmos盜走9.4億盧比(約1.35億美元)���。
Email安全公司Valimail發(fā)布的報(bào)告顯示�����,全球虛假電子郵件的日發(fā)送量已高達(dá)64億封��。
首次于2017年出現(xiàn)的Globelmposter勒索病毒在國內(nèi)再次爆發(fā),包括多家企業(yè)、大學(xué)及政府機(jī)構(gòu)受害��,山東10個(gè)市的不動產(chǎn)業(yè)務(wù)登記暫停受理�����。
9月
美國政府正式指控朝鮮政府��,稱其是索尼影業(yè)黑客事件�、WannaCry勒索軟件和孟加拉銀行等一系列網(wǎng)絡(luò)銀行劫案背后主使�����。
日本數(shù)字貨幣交易所Zaif發(fā)布聲明����,被黑客盜走三種數(shù)字貨幣��,分別為比特幣����、比特幣現(xiàn)金和MonaCoin����,總價(jià)值約合5967萬美元�。
10月
網(wǎng)絡(luò)安全公司Group-IB的研究報(bào)告披露,朝鮮黑客組織Lazarus從2017年開始,已經(jīng)盜取了價(jià)值5.7億美元的加密貨幣。
彭博社報(bào)道稱����,中國特工在亞馬遜�、蘋果、美國政府和其他潛在目標(biāo)使用的超微(Super Micro)服務(wù)器中成功植入間諜芯片����,令中國政府可窺探高度敏感數(shù)據(jù)����。
11月
安全公司Cylance宣稱,國家支持的黑客組織“白色軍團(tuán)”對巴基斯坦軍隊(duì)網(wǎng)絡(luò)執(zhí)行了名為“Operation Shaheen”的長期針對性攻擊���。
12月
歐洲國際刑警宣布,在3個(gè)月的聯(lián)合行動中���,來自30個(gè)國家的執(zhí)法機(jī)構(gòu)共抓捕了168個(gè)“錢騾”。超過300家銀行����、20個(gè)銀行協(xié)會����、以及其他機(jī)構(gòu)總共報(bào)告了26,376起欺詐性錢騾交易�����,防止了4100萬美元的損失。
美國司法部指控兩名中國公民竊取全球12個(gè)國家數(shù)十家公司的商業(yè)機(jī)密和知識產(chǎn)權(quán)��,攻擊目標(biāo)還包括美國海軍和國家航空航天局(NASA)在內(nèi)的多家美國政府機(jī)構(gòu)���。
安全廠商 Upstream Security 發(fā)布的《全球汽車行業(yè)網(wǎng)絡(luò)安全報(bào)告》預(yù)計(jì)��,到2023年由于網(wǎng)絡(luò)黑客攻擊可導(dǎo)致汽車制造商損失240億美元���。
2018年的網(wǎng)絡(luò)攻擊呈現(xiàn)以下特點(diǎn):
針對加密貨幣的黑客攻擊無論是攻擊數(shù)量還是在造成的損失上����,均呈爆發(fā)態(tài)勢��。依據(jù)有關(guān)統(tǒng)計(jì)����,僅今年上半年���,損失已超過17.3億美元����。其主要原因?yàn)榧用茇泿诺幕鸨瑤淼木薮笊虡I(yè)利益。
勒索軟件持續(xù)產(chǎn)生嚴(yán)重危害��,發(fā)生多起影響企業(yè)生產(chǎn)�、政府辦公、城市運(yùn)轉(zhuǎn)的實(shí)際事故�,反映出安全意識的普遍薄弱和基本防護(hù)手段的缺失�����,預(yù)示著網(wǎng)絡(luò)安全對現(xiàn)實(shí)生活帶來的重大隱患����。
電子郵件欺詐帶來的損失史無前例���。據(jù)FBI統(tǒng)計(jì)����,2013至2016年5月����,商業(yè)欺詐郵件造成53億美元的損失,但這一數(shù)字在2018年5月上升到了120億美元��。
國家之間的網(wǎng)絡(luò)對抗呈明顯化趨勢����。美國政府已實(shí)施嚴(yán)格的商業(yè)禁令,并公開指責(zé)、訴訟他國黑客的攻擊行為�����。如果說���,前兩年國家支持的黑客行動還屬于冷戰(zhàn)時(shí)期�,今年則進(jìn)入了小規(guī)模沖突時(shí)期,全面網(wǎng)絡(luò)戰(zhàn)的陰影迫近�����。
二��、漏洞事件篇
# 國家信息安全漏洞庫(CNNVD):
CNNVD公布的漏洞數(shù)量為14,866個(gè)�����,2017年全年的漏洞總數(shù)為12,433個(gè)���,年增長率約為19.6%���。
# 美國國家漏洞庫(NVD):
NVD公布的漏洞數(shù)量為18,041個(gè)�����,2017年全年的漏洞總數(shù)為18,114個(gè)�����,年增長率約為0.4%。
# 公共漏洞披露平臺(CVE):
CVEdetails公布的漏洞數(shù)量為16,492個(gè)�,2017年全年的漏洞總數(shù)為14,714個(gè)��,年增長率約為12.08%。
(注:以上2018年的漏洞數(shù)量均為截止到12月29日的統(tǒng)計(jì)數(shù)字)
2018影響較大和較為特殊的漏洞事件
1月
谷歌“Project Zero”團(tuán)隊(duì)和多國研究人員共同發(fā)布的漏洞披露報(bào)告稱,英特爾的x86 64位處理器有一個(gè)“根本性的設(shè)計(jì)缺陷”�����,設(shè)計(jì)瑕疵存在已久��,近10年來搭載英特爾處理器的Windows�����、Mac 與Linux 電腦均可能受到影響。
西部數(shù)據(jù)旗下MyCloud系列網(wǎng)絡(luò)存儲設(shè)備多個(gè)漏洞細(xì)節(jié)被曝,包括固件中的管理員權(quán)限的后門賬號�����。研究人員早在2017年6月就將其發(fā)現(xiàn)提交給了西數(shù)公司�,在一直沒有得到修復(fù)的情況下,公開漏洞細(xì)節(jié)����。
3月
以色列硬件安全公司CTS Labs發(fā)布白皮書��,指出AMD Zen CPU架構(gòu)存在四類多達(dá)12個(gè)以上的安全漏洞。這些漏洞有可能讓攻擊者繞過防止篡改計(jì)算機(jī)操作系統(tǒng)的安全防范措施���,并且植入無法檢測或刪除的惡意軟件。值得注意的是���,CTS Labs只給了AMD 24小時(shí)的時(shí)間,就公布了漏洞細(xì)節(jié)��。
4月
美國食品與藥物管理局在全球范圍內(nèi)督促�,使用了 Abbot Laboratories 心臟植入設(shè)備的患者,盡快前往附近的醫(yī)療中心進(jìn)行固件升級���。一個(gè)固件漏洞允許攻擊者向患者的設(shè)備發(fā)送遠(yuǎn)程指令,造成潛在的電量加速流失隱患。
思科IOS/IOS XE 中的智能安裝客戶端(Smart Install Client)代碼中被發(fā)現(xiàn)堆棧緩沖區(qū)溢出漏洞(CVE-2018-0171),通過此漏洞無需身份驗(yàn)證即可遠(yuǎn)程執(zhí)行任意代碼,實(shí)現(xiàn)對該設(shè)備的完全控制��。
5月
阿姆斯特丹自由大學(xué)研究人員發(fā)現(xiàn)同時(shí)改變RAM內(nèi)存中的3個(gè)比特���,就不會觸發(fā)阻止Rowhammer式攻擊的ECC校正機(jī)制�����。于是攻擊者可進(jìn)行篡改數(shù)據(jù)��,注入惡意代碼和命令,更改訪問權(quán)限等操作�,以竊取密碼�����、密鑰和其他秘密信息。
360通告��,發(fā)現(xiàn)區(qū)塊鏈平臺EOS的一系列高危安全漏洞���,可通過遠(yuǎn)程攻擊��,直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。
7月
加州大學(xué)研究人員發(fā)現(xiàn)�,用前視紅外(FLIR)熱成像攝像頭掃描計(jì)算機(jī)鍵盤����,在口令首字符被敲下的30秒之內(nèi)便可以恢復(fù)出用戶敲擊的口令�。
來自以色列理工學(xué)院的研究人員發(fā)現(xiàn)一個(gè)高危藍(lán)牙漏洞(CVE-2018-5383),可進(jìn)行攔截�����、監(jiān)控或篡改設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)�。漏洞影響蘋果、博通�、英特爾�����、高通等多家硬件供應(yīng)商的相關(guān)產(chǎn)品。
物聯(lián)網(wǎng)安全公司Armis發(fā)布的研究報(bào)告顯示����,包括網(wǎng)絡(luò)電話�����、打印機(jī)、交換機(jī)����、路由器等近5億臺企業(yè)設(shè)備��,面臨DNS重綁定的攻擊風(fēng)險(xiǎn)。
8月
安全研究人員發(fā)現(xiàn)了影響英特爾處理器的“Foreshadow”漏洞�����,攻擊者能夠繞過英特爾內(nèi)置的芯片安全特性����,獲得存儲在“安全封鎖區(qū)域”的敏感數(shù)據(jù)���。
研究人員發(fā)現(xiàn)某醫(yī)療科技公司的心臟起搏器與胰島素泵存在安全漏洞。利用漏洞可以控制發(fā)送到心臟的電脈沖��,可能導(dǎo)致患者受傷甚至死亡�����。
9月
趨勢科技發(fā)布的調(diào)查報(bào)告顯示���,數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)系統(tǒng)2018年上半年的漏洞幾近于2017年上半年的兩倍�。
10月
安全研究機(jī)構(gòu)Ponemon發(fā)布的《2018年端點(diǎn)安全風(fēng)險(xiǎn)狀態(tài)報(bào)告》顯示�,針對端點(diǎn)的攻擊手段,無文件攻擊將占到35%�����,主要包括利用的宏����、腳本引擎、內(nèi)存�����、命令執(zhí)行等系統(tǒng)內(nèi)置功能��。
加州大學(xué)研究人員公布了3個(gè)邊信道漏洞利用����,這些漏洞利用可從GPU抽取敏感數(shù)據(jù)�,而且相比CPU邊信道攻擊�,操作更為簡單。個(gè)人用戶和高性能計(jì)算系統(tǒng)均面臨潛在風(fēng)險(xiǎn)����。
11月
物聯(lián)網(wǎng)安全公司Armis發(fā)現(xiàn)德州儀器制造的低功耗藍(lán)牙(BLE)芯片存在漏洞��,全球數(shù)百萬思科和惠普生產(chǎn)的聯(lián)網(wǎng)接入設(shè)備面臨遠(yuǎn)程攻擊風(fēng)險(xiǎn)。
俄羅斯安全研究人員公開披露了Oracle虛擬機(jī)中的一個(gè)零日漏洞(VirtualBox E1000 Guest-to-Host Escape)。攻擊者可以利用該漏洞逃逸出客戶計(jì)算機(jī)虛擬環(huán)境����。
芬蘭兩所大學(xué)的研究人員發(fā)現(xiàn)名為“PortSmash”(CVE-2018-5407)的漏洞�。攻擊者可以從計(jì)算機(jī)的內(nèi)存或處理器中提取敏感數(shù)據(jù)��,如加密密鑰����。該漏洞影響所有依賴同步多線程(SMT)架構(gòu)的CPU�,包括Intel的超線程(HT)架構(gòu)。
手機(jī)App安全公司Privacy4Cars披露了名為CarsBlues的汽車藍(lán)牙漏洞�����。黑客可通過藍(lán)牙獲得車主手機(jī)信息并進(jìn)入車載娛樂系統(tǒng)獲得權(quán)限�,推測全球數(shù)千萬輛汽車可能受到影響。
荷蘭拉德堡德大學(xué)研究人員發(fā)現(xiàn)�,固態(tài)硬盤流行加密軟件Bitlocker存在重大漏洞��。通過調(diào)試端口對其重編程,就可以重設(shè)任意口令���,解密數(shù)據(jù)。
國內(nèi)首個(gè)專注于重大漏洞的黑客破解比賽�,“天府杯”PWN舉行���。參賽選手成功利用30個(gè)漏洞��,攻破了Microsoft Edge/Chrome/Safari/macOS/VMware/Oracle VB/Adobe Reader/Microsoft Office等主流操作系統(tǒng)、瀏覽器和應(yīng)用軟件���,以及包括iPhone X和3款國內(nèi)流行智能手機(jī)����,獎(jiǎng)金總額達(dá)102.4萬美元。
軟件風(fēng)險(xiǎn)評估與管理公司Checkmarx的研究人員發(fā)現(xiàn)��,可通過手機(jī)應(yīng)用嗅探設(shè)備間通信��,控制智能燈泡的燈光顏色來滲漏數(shù)據(jù)��。
12月
安全公司 Check Point 使用流行的Windows模糊測試框架進(jìn)行漏洞測試,僅50天的時(shí)間里���,就在 Adobe Reader 中找出53個(gè)CVE漏洞�。
美國國防部監(jiān)察長報(bào)告稱���,美國彈道導(dǎo)彈防御系統(tǒng)(BMDS)的網(wǎng)絡(luò)安全操作存在“系統(tǒng)性漏洞”�,網(wǎng)絡(luò)安全操作存在嚴(yán)重缺陷。包括不鎖服務(wù)器機(jī)架��、缺乏加密��、沒有持續(xù)身份驗(yàn)證���、打補(bǔ)丁���、數(shù)據(jù)監(jiān)控保護(hù)等……
2018年漏洞相關(guān)事件的特點(diǎn):
與2017年的漏洞數(shù)量激升相比�����,2018年的漏洞通告數(shù)量增速放緩。這一現(xiàn)象的主要原因�����,可能在于漏洞報(bào)告較以往更為分散化��,大量漏洞并未得到官方收錄。此外���,還與各個(gè)國家對漏洞披露政策的保守化有關(guān),漏洞已成為重要的競爭資源�。
底層硬件漏洞�、邊信道和無文件等攻擊手法越來越受到關(guān)注���,針對芯片����、內(nèi)存、硬盤�、協(xié)議級別的攻擊方法相繼出現(xiàn)�,同時(shí)�,借用系統(tǒng)內(nèi)置功能的無文件攻擊開始普及。
攝像頭�、路由器��、汽車、音箱��、無人機(jī)等智能聯(lián)網(wǎng)設(shè)備�,以及工業(yè)聯(lián)網(wǎng)系統(tǒng)的漏洞明顯增多。主要原因在于智能設(shè)備的爆發(fā)和全球智能制造的浪潮����,制造商普遍對安全的忽視�,和嵌入式系統(tǒng)難以更新���。
業(yè)界對漏洞的重視已成常態(tài)���。從國家監(jiān)管到互聯(lián)網(wǎng)企業(yè)����,再到軟件廠商、科技公司����,均加強(qiáng)了對漏洞的監(jiān)管、發(fā)現(xiàn)、通告和修補(bǔ)。漏洞相關(guān)的政策�、標(biāo)準(zhǔn)和技術(shù)�,逐漸走向規(guī)范化�����,體系化��。
相關(guān)參考
政府應(yīng)該不應(yīng)該囤積零日漏洞?
不管是CVE還是NVD 好多漏洞都被忽略
調(diào)查:新漏洞的出現(xiàn)速度比安全團(tuán)隊(duì)的修復(fù)速度更快
三、行業(yè)市場篇
- 會議活動數(shù)量連續(xù)三年激增
2018年國內(nèi)網(wǎng)絡(luò)安全相關(guān)會議活動繼續(xù)呈爆發(fā)態(tài)勢��,因篇幅原因無法全部列出��,現(xiàn)將規(guī)模與影響力較大的活動分為十大安全會議�����、十大安全競賽���,十大信息安全產(chǎn)業(yè)基地及產(chǎn)業(yè)園�����,以及安全領(lǐng)域較為活躍的十大城市和省份五類分別列出。
十大安全會議
十大安全競賽
十大信息安全產(chǎn)業(yè)基地及產(chǎn)業(yè)園
十大網(wǎng)絡(luò)安全城市
十大網(wǎng)絡(luò)安全省份
(注:城市與省份的比例來源于安全牛用戶關(guān)注數(shù))
2018年會議活動數(shù)量和規(guī)?�?臻g��。國家與地方政府���、事業(yè)單位���、協(xié)會組織、國企民企、行業(yè)媒體���,紛紛舉辦相關(guān)會議和活動。網(wǎng)絡(luò)安全受到了前所未有的關(guān)注。
網(wǎng)絡(luò)安全競賽的形式與數(shù)量不斷放大,網(wǎng)絡(luò)攻防開始從幕后走向前臺��。賽制與賽題也越來越向?qū)崙?zhàn)演練和解決實(shí)際問題的方向靠攏�,意味著從注重形式逐漸走向?qū)嶋H成效。
全國各省市加強(qiáng)對網(wǎng)絡(luò)安全工作的重視和投入�����,接近二十個(gè)省會與經(jīng)濟(jì)發(fā)達(dá)城市開始建立信息安全產(chǎn)業(yè)基地或產(chǎn)業(yè)園�����,至少五十余座城市舉辦網(wǎng)絡(luò)安全活動����。
地方政府開始在整個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)中扮演越來越重要的角色����,結(jié)合中央各部委及監(jiān)管機(jī)構(gòu),通過各種優(yōu)惠政策吸引網(wǎng)絡(luò)安全產(chǎn)業(yè)各個(gè)層面的機(jī)構(gòu)���、企業(yè)和人才的匯集。
- 國內(nèi)融資規(guī)模有望登頂
今年國外資本市場融資并購事件與去年基本持平,由于缺少幾十億乃至百億美元的大型收購事件����,規(guī)模有所下降��。國內(nèi)的融資規(guī)模則再次突破歷史記錄,且有大幅度增長。
2018年國外億級美元以上的融資并購
2018年國內(nèi)安全公司融資并購概況
2018年國際網(wǎng)絡(luò)安全資本市場與需求市場保持平穩(wěn)增長���,融資并購規(guī)模約為150億美元,數(shù)據(jù)安全�、端點(diǎn)安全���、云安全、大數(shù)據(jù)安全分析���、工控安全、物聯(lián)網(wǎng)安全繼續(xù)成為熱點(diǎn)��。對于安全創(chuàng)業(yè)公司來說��,并購是趨勢�����,上市是小眾。
2018年國內(nèi)融資額高達(dá)60億元人民幣���,與去年相比增長率約為71%?�?紤]到下半年國內(nèi)外的政治與經(jīng)濟(jì)形勢���,今年國內(nèi)一級市場的融資規(guī)?�?赡茉谖磥韼啄甓紝⑹且粋€(gè)高點(diǎn)�����。
國內(nèi)的安全細(xì)分領(lǐng)域開始多樣化����,在線業(yè)務(wù)安全�����、云安全�����、數(shù)據(jù)庫安全����、身份安全、移動安全���、威脅情報(bào)、智能SOC�����、用戶行為分析等新興安全技術(shù)開始落地��。但較為前沿的物聯(lián)網(wǎng)安全��、車聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全���,以及SaaS模式的規(guī)模化土壤還有待形成�。
新興安全概念在國內(nèi)的落地����,往往需要整合進(jìn)傳統(tǒng)的安全解決方案�����,而不是單獨(dú)購買���,這也是創(chuàng)新企業(yè)很容易遇到的業(yè)務(wù)成長瓶頸之一����。對于資本方來說����,普遍開始意識到安全領(lǐng)域投資是個(gè)長期過程����,而技術(shù)復(fù)雜性是網(wǎng)絡(luò)投資的關(guān)鍵驅(qū)動力。
四����、政策法規(guī)篇
漏洞披露���、個(gè)人隱私�、數(shù)據(jù)安全��、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)�����、經(jīng)濟(jì)博弈、網(wǎng)絡(luò)犯罪、國家安全,是制定政策法規(guī)的關(guān)鍵詞和重要背景���。網(wǎng)絡(luò)安全已經(jīng)得到全球各國政府的實(shí)際重視,并成為支撐自身發(fā)展,與他國進(jìn)行政治��、軍事��、經(jīng)濟(jì)博弈的關(guān)鍵因素之一�����。
- 國際政策法規(guī)動向
1月
美國眾議院通過《網(wǎng)絡(luò)漏洞公開報(bào)告法案》(H.R.3202)����。法案要求國土安全局向國會提交關(guān)于政府如何處理公開漏洞的相關(guān)報(bào)告��。報(bào)告內(nèi)容分為兩個(gè)部分:為協(xié)調(diào)網(wǎng)絡(luò)漏洞公開而制定的政策和程序描述;可能為機(jī)密屬性的“附件”��,包括一些特定實(shí)例的描述���。
美國參議院投票通過“外國情報(bào)監(jiān)控法修正案”�����,重新授權(quán)美國國家安全局根據(jù)《外國情報(bào)監(jiān)視法案》第702條對美國以外公民的通信進(jìn)行監(jiān)聽��,并將該項(xiàng)授權(quán)延長六年。法案待美國總統(tǒng)特朗普簽署后,將正式成為法律���。
2月
澳大利亞《數(shù)據(jù)泄露通報(bào)法案》正式實(shí)施。該法案是對澳大利亞隱私法案1988PartIIIC的修正案,建立強(qiáng)制性的數(shù)據(jù)泄露通報(bào)制度���,并要求義務(wù)人向受數(shù)據(jù)泄漏影響的個(gè)人提供避免或減輕數(shù)據(jù)泄露造成的危害的建議。
新加坡國會通過《網(wǎng)絡(luò)安全法案》�。這項(xiàng)法案旨在加強(qiáng)保護(hù)提供基本服務(wù)的計(jì)算機(jī)系統(tǒng)�,防范網(wǎng)絡(luò)攻擊����。該法案提出針對關(guān)鍵信息基礎(chǔ)設(shè)施(CII)的監(jiān)管框架,并明確了 CII 所有者確保網(wǎng)絡(luò)安全的職責(zé)����。
3月
英國政府發(fā)布一項(xiàng)新的“網(wǎng)絡(luò)安全出口”戰(zhàn)略�。這項(xiàng)新的戰(zhàn)略將幫助英國的網(wǎng)絡(luò)安全企業(yè)進(jìn)入國際新市場并持續(xù)發(fā)展��。
美國網(wǎng)絡(luò)司令部公開其指揮戰(zhàn)略愿景文件《獲取并維持網(wǎng)絡(luò)空間優(yōu)勢》���。該愿景是新形勢下網(wǎng)絡(luò)司令部的作戰(zhàn)宣言和行動指南���,主要思想依舊延續(xù)該部門一貫做法���,渲染網(wǎng)絡(luò)空間安全威脅,針對性提出網(wǎng)絡(luò)行動的目標(biāo)��、原則��、任務(wù)和方法等����,為各軍種網(wǎng)絡(luò)戰(zhàn)部隊(duì)統(tǒng)一思想和統(tǒng)一行動奠定基礎(chǔ)���。
4月
美國商務(wù)部宣布��,禁止美國企業(yè)向中興通訊出售任何電子技術(shù)或通訊元件����,這一禁令為期長達(dá)7年�,直到2025年3月13日。
美國聯(lián)邦通訊委員會決議�,禁止美國運(yùn)營商使用聯(lián)邦補(bǔ)貼購買可能威脅美國國家安全的設(shè)備廠商產(chǎn)品�����。其中,華為和中興均包括在內(nèi)��。
5月
歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)生效�����,違反GDPR的組織將被處罰高達(dá)全球年?duì)I業(yè)額的4%或2000萬歐元���,兩者以較高為準(zhǔn)��。
美國國土安全部發(fā)布《網(wǎng)絡(luò)安全戰(zhàn)略》。遭受網(wǎng)絡(luò)攻擊。該戰(zhàn)略描繪了國土安全部未來五年在網(wǎng)絡(luò)空間的路線圖,指導(dǎo)該機(jī)構(gòu)未來五年履行網(wǎng)絡(luò)安全職責(zé)的方向�����。此外��,還須推出一套正規(guī)方法以衡量及掌握機(jī)構(gòu)在信息安全政策�、實(shí)踐和必要控制措施方面的采用情況��。
美國能源部發(fā)布《能源行業(yè)網(wǎng)絡(luò)安全多年計(jì)劃》���,確定了美國能源部未來五年力圖實(shí)現(xiàn)的目標(biāo)和計(jì)劃����,以及實(shí)現(xiàn)這些目標(biāo)和計(jì)劃將采取的相應(yīng)舉措����,以降低網(wǎng)絡(luò)事件給美國能源帶來的風(fēng)險(xiǎn)。
6月
加拿大發(fā)布新版國家網(wǎng)絡(luò)安全戰(zhàn)略����。該戰(zhàn)略作為加拿大在網(wǎng)絡(luò)安全方面的路線圖�,旨在實(shí)現(xiàn)加拿大人的目標(biāo)和優(yōu)先事項(xiàng)�。新版國家網(wǎng)絡(luò)安全戰(zhàn)略內(nèi)容有三項(xiàng):建立加拿大網(wǎng)絡(luò)安全中心;設(shè)立國家網(wǎng)絡(luò)犯罪協(xié)調(diào)部門���;開展自愿網(wǎng)絡(luò)認(rèn)證計(jì)劃。
英國政府與NCSC(國家網(wǎng)絡(luò)安全中心)合作,推出了一套新的安全標(biāo)準(zhǔn)���,“最低安全標(biāo)準(zhǔn)”。要求所有政府部門,包括公司企業(yè)�、政府機(jī)構(gòu)����、非政府公共機(jī)構(gòu)和承包商��,必須遵守。該標(biāo)準(zhǔn)細(xì)分為5個(gè)部分共10節(jié):身份、保護(hù)、檢測、響應(yīng)和恢復(fù)��。
美國眾議院外交事務(wù)委員會通過“2018網(wǎng)絡(luò)威懾與響應(yīng)法案”(H. R. 5576)���,要求美國總統(tǒng)確認(rèn)高級持續(xù)威脅(APT)組織名單�,并在《聯(lián)邦公報(bào)》中公布并定期更新。該法案還要求美國政府制裁對美國發(fā)動國家支持型網(wǎng)絡(luò)攻擊的參與者。
美國聯(lián)邦通信委員會廢除網(wǎng)絡(luò)中立性法規(guī)的決定開始實(shí)施���。網(wǎng)絡(luò)中立性法規(guī)由奧巴馬政府于2015年制定,旨在保證全體網(wǎng)民擁有平等地訪問互聯(lián)網(wǎng)的權(quán)利。一旦網(wǎng)絡(luò)中立性法規(guī)被廢除�����,互聯(lián)網(wǎng)服務(wù)提供商們將開始捆綁銷售網(wǎng)絡(luò)服務(wù)����。
立陶宛、克羅地亞�����、愛沙尼亞�����、荷蘭���、羅馬尼亞���、西班牙歐盟六國簽署《意向聲明》表示將按照“永久結(jié)構(gòu)化合作”防務(wù)機(jī)制成立“網(wǎng)絡(luò)快速響應(yīng)小組”����,應(yīng)對網(wǎng)絡(luò)攻擊����。
7月
美國國土安全部成立國家風(fēng)險(xiǎn)管理中心���,以促進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅的跨部門信息共享與協(xié)作響應(yīng)�����。該中心為美國政府主導(dǎo)的新型聯(lián)合防御戰(zhàn)略的基礎(chǔ)���,旨在更有效地響應(yīng)美國利益在網(wǎng)絡(luò)空間遭遇到的威脅���。
8月
美國總統(tǒng)特朗普簽署《NIST小企業(yè)網(wǎng)絡(luò)安全法》(S. 770)�����。該法案要求NIST簡明扼要地傳播網(wǎng)絡(luò)安全資源���,幫助擔(dān)心其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的小企業(yè)��。該法案非強(qiáng)制性,小型企業(yè)可自愿采用這些資源�。
美國國防部“Hack海軍陸戰(zhàn)隊(duì)”活動完成����。至此�����,美國國防部已經(jīng)完成“Hack五角大樓”�����、“Hack陸軍”��、“Hack空軍”和“Hack國防旅行系統(tǒng)”等漏洞獎(jiǎng)勵(lì)項(xiàng)目�����。
美國聯(lián)邦貿(mào)易委員會和司法部,未來的機(jī)構(gòu)組織必須采用某種形式的漏洞披露計(jì)劃(VDP)���,供善意的安全研究人員匯報(bào)安全漏洞情況。
9月
美國眾議院通過一項(xiàng)兩黨法案《2018網(wǎng)絡(luò)威懾與響應(yīng)法案》���,旨在阻止和制裁未來國家支持的針對美國的網(wǎng)絡(luò)攻擊,以保護(hù)美國的政治���、經(jīng)濟(jì)和關(guān)鍵基礎(chǔ)設(shè)施免受侵害。
美國國防部公布《2018國防部網(wǎng)絡(luò)戰(zhàn)略》���,要求將網(wǎng)絡(luò)活動的重點(diǎn)放在應(yīng)對中國和俄羅斯強(qiáng)敵方面,運(yùn)用網(wǎng)絡(luò)能力�����,收集情報(bào)并為未來沖突做好準(zhǔn)備���,并提出了解決網(wǎng)絡(luò)威脅����,以及實(shí)施《國家安全戰(zhàn)略》和《國防戰(zhàn)略》所規(guī)定優(yōu)先事項(xiàng)的愿景。
國際電信聯(lián)盟發(fā)布“國家網(wǎng)絡(luò)安全戰(zhàn)略指南”����。該指南旨在幫助政策制定者根據(jù)國家的情況���、文化和社會價(jià)值制定網(wǎng)絡(luò)安全戰(zhàn)略,建立安全、有彈性���、信息通信技術(shù)發(fā)達(dá)的互聯(lián)互通社會。
美國總統(tǒng)特朗普發(fā)布《國家網(wǎng)絡(luò)戰(zhàn)略》,這是其上任后的首份國家網(wǎng)絡(luò)戰(zhàn)略,概述了美國網(wǎng)絡(luò)安全的四項(xiàng)支柱��,十項(xiàng)目標(biāo)與42項(xiàng)優(yōu)先行動����。國家網(wǎng)絡(luò)戰(zhàn)略的四項(xiàng)指導(dǎo)支柱是:1.保護(hù)美國人民、國土及美國人的生活方式;2.促進(jìn)美國的繁榮,主要目標(biāo)是維護(hù)美國在科技生態(tài)系統(tǒng)和網(wǎng)絡(luò)空間發(fā)展中的影響力�����;3.以實(shí)力求和平,主要目標(biāo)是識別、反擊、破壞、降級和制止網(wǎng)絡(luò)空間中破壞穩(wěn)定和違背國家利益的行為,同時(shí)保持美國在網(wǎng)絡(luò)空間中的優(yōu)勢;4. 擴(kuò)大美國影響力�,主要目標(biāo)是保持互聯(lián)網(wǎng)的長期開放性�����、互操作性、安全性和可靠性。
10月
由于看重與白帽子合作帶來的價(jià)值����,美國國防部宣布擴(kuò)大其漏洞獎(jiǎng)勵(lì)項(xiàng)目�����,將合約授予3家漏洞測試服務(wù)商:HackerOne、Synack和Bugcrowd�����。
Facebook因“劍橋分析”造成的數(shù)據(jù)泄露事件被英國處以50萬英鎊的罰款���。同時(shí)在澳大利亞遭到起訴����,罰款預(yù)計(jì)在3億到30億澳元之間���。
歐洲議會投票通過《非個(gè)人數(shù)據(jù)自由流動條例》���。該條例將在今年年底生效�����,旨在歐洲單一市場之內(nèi)���,消除非個(gè)人數(shù)據(jù)在儲存和處理方面的地域限制����。新條例將取消歐盟境內(nèi)數(shù)據(jù)自由流動壁壘��,推動歐洲經(jīng)濟(jì)增長��,確保數(shù)據(jù)跨境自由流動;確保監(jiān)管控制的數(shù)據(jù)可用性;鼓勵(lì)制定云服務(wù)行為準(zhǔn)則。
11月
加拿大新的數(shù)據(jù)泄露法《個(gè)人信息保護(hù)和電子文件法》正式生效��,其要求加拿大公司如發(fā)生信息泄露事件時(shí)必須盡快通知受影響用戶�����,否則將面臨處罰���。每次違規(guī)的罰款數(shù)額最高可達(dá)10萬加元�����。
由英國政府通信總部國家網(wǎng)絡(luò)安全中心參與指導(dǎo)的��,英國金融系統(tǒng)網(wǎng)絡(luò)攻擊演習(xí)舉行��,以測試金融系統(tǒng)在攻擊面前的彈性。英國40家金融機(jī)構(gòu)�,和英國財(cái)政部�����、英國金融市場行為監(jiān)管局參加演習(xí)。
英國間諜機(jī)構(gòu)政府通信總部(GCHQ)及其信息安全部門NCSC發(fā)布了安全漏洞披露策略��。其“漏洞公平裁決過程”由三層決策系統(tǒng)組成����,包括安全專家、情報(bào)機(jī)構(gòu)成員���、政府機(jī)構(gòu)代表和由NCSC主導(dǎo)的公平監(jiān)管委員會。
美國司法部長和國家情報(bào)總監(jiān)聯(lián)合領(lǐng)導(dǎo)下的國家內(nèi)部威脅特別工作組(NITTF)���,發(fā)布了一份新的《內(nèi)部人員威脅項(xiàng)目成熟度框架》���。其目的是幫助行政部門及機(jī)構(gòu)ITP超越《最低標(biāo)準(zhǔn)》�,變得更主動�����、更全面�、更能威懾��、檢測和緩解內(nèi)部人員威脅風(fēng)險(xiǎn)���。
美國國會一致通過之前參議院通過的《網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局法案》(H.R. 3359)�����,并將由總統(tǒng)簽署���。該法案旨在保護(hù)聯(lián)邦網(wǎng)絡(luò)��,保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)和物理威脅��。
12月
美國眾議院能源和商業(yè)委員會發(fā)布《網(wǎng)絡(luò)安全戰(zhàn)略報(bào)告》,提出6個(gè)應(yīng)對網(wǎng)絡(luò)安全事件的核心內(nèi)聯(lián)概念以及解決網(wǎng)絡(luò)安全問題的6個(gè)重點(diǎn)。
GPDR今年正式實(shí)施�。對安全行業(yè)而言�,一方面�,GDPR合規(guī)是企業(yè)數(shù)字化轉(zhuǎn)型的有效驅(qū)動力,給安全帶來了新的市場���。另一方面,法規(guī)往往會“約束好人�����,放縱壞人”的現(xiàn)象不可忽視����。GDPR對安全行業(yè)帶來的真正影響還有待觀察。
個(gè)人隱私與數(shù)據(jù)分析同樣是一把雙刃劍�。數(shù)據(jù)時(shí)代����,如何在保護(hù)個(gè)人隱私的條件下����,利用數(shù)據(jù)的流動為全人類創(chuàng)造價(jià)值,可能是一個(gè)永遠(yuǎn)的話題���。但保護(hù)自己數(shù)據(jù),查看別人的數(shù)據(jù),至少是現(xiàn)階段的一致做法��。
漏洞眾測及漏洞資源受到美國政府的重視�����。美國國防部不斷加大眾測力度,并嘗試從立法上平衡社會商業(yè)利益與國家安全的關(guān)系�����。
網(wǎng)絡(luò)安全在國與國之間對政治和經(jīng)濟(jì)的影響已經(jīng)十分明顯���,商業(yè)禁令�、政治抨擊、輿論影響,無不以其為重要依據(jù)。對于先進(jìn)國家而言��,保護(hù)只是基本���,威懾與打擊已經(jīng)寫入國家戰(zhàn)略��,軍事對抗更是暗流涌動��。
參考閱讀
GDPR給安全帶來的七大不利影響
一篇文章看懂美國國家網(wǎng)絡(luò)戰(zhàn)略
- 國內(nèi)重大政策法規(guī)
1月
中央政法工作會議為推動網(wǎng)絡(luò)綜合治理體系建設(shè),提出維護(hù)網(wǎng)絡(luò)意識形態(tài)安全、打擊防范網(wǎng)絡(luò)犯罪�����、保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全、加強(qiáng)網(wǎng)絡(luò)治理能力建設(shè)等四項(xiàng)部署。
中國互聯(lián)網(wǎng)協(xié)會成立個(gè)人信息保護(hù)工作委員會����。委員會將開展法律法規(guī)研究�、個(gè)人信息保護(hù)領(lǐng)域公眾監(jiān)督�、個(gè)人信息保護(hù)領(lǐng)域行業(yè)自律、相關(guān)課題研究等工作,并為政府部門執(zhí)法及行業(yè)監(jiān)管提供支撐�����。
2月
國家互聯(lián)網(wǎng)信息辦公室公布《微博客信息服務(wù)管理規(guī)定》�,自3月20日起施行��?!兑?guī)定》共十八條�,包括微博客服務(wù)提供者主體責(zé)任、真實(shí)身份信息認(rèn)證��、分級分類管理���、辟謠機(jī)制�、行業(yè)自律、社會監(jiān)督及行政管理等條款。
4月
全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正式發(fā)布《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書(2018版)》���。白皮書重點(diǎn)介紹了國內(nèi)外的大數(shù)據(jù)安全法規(guī)政策、標(biāo)準(zhǔn)化現(xiàn)狀,分析了大數(shù)據(jù)安全所面臨的風(fēng)險(xiǎn)和挑戰(zhàn),給出了大數(shù)據(jù)安全標(biāo)準(zhǔn)化體系框架�����,規(guī)劃了大數(shù)據(jù)安全標(biāo)準(zhǔn)工作重點(diǎn)�����,提出了開展大數(shù)據(jù)安全標(biāo)準(zhǔn)化工作的建議��。
中央網(wǎng)信辦和中國證監(jiān)會聯(lián)合印發(fā)《關(guān)于推動資本市場服務(wù)網(wǎng)絡(luò)強(qiáng)國建設(shè)的指導(dǎo)意見》,指導(dǎo)網(wǎng)信企業(yè)提高網(wǎng)絡(luò)與信息安全意識����,建立健全網(wǎng)絡(luò)與信息安全保障措施����,維護(hù)國家網(wǎng)絡(luò)空間主權(quán)���、安全和發(fā)展利益�����,保障個(gè)人信息和重要數(shù)據(jù)安全。
5月
中國人民銀行下發(fā)《關(guān)于進(jìn)一步加強(qiáng)征信信息安全管理的通知》����,進(jìn)一步加強(qiáng)金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)征信信息安全管理����。通知要求�����,運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)要健全征信信息查詢管理����,嚴(yán)格授權(quán)查詢機(jī)制�,未經(jīng)授權(quán)嚴(yán)禁查詢征信報(bào)告,規(guī)范內(nèi)部人員和國家機(jī)關(guān)查詢辦理流程����,嚴(yán)禁未經(jīng)授權(quán)認(rèn)可的APP接入征信系統(tǒng)�。此外��,要求成立征信信息安全工作領(lǐng)導(dǎo)小組��,明確領(lǐng)導(dǎo)層中分管征信工作的負(fù)責(zé)人為第一責(zé)任人。
全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在2017年底發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》正式實(shí)施�����。規(guī)范以國家標(biāo)準(zhǔn)的形式��,明確了個(gè)人信息的收集����、保存���、使用����、共享的合規(guī)要求,為網(wǎng)絡(luò)運(yùn)營者制定隱私政策及完善內(nèi)控提供了指引����。
6月
公安部發(fā)布《網(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)》�����。作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī),《保護(hù)條例》對網(wǎng)絡(luò)安全等級保護(hù)的適用范圍�、各監(jiān)管部門的職責(zé)��、網(wǎng)絡(luò)運(yùn)營者的安全保護(hù)義務(wù)以及網(wǎng)絡(luò)安全等級保護(hù)建設(shè)提出了更加具體、操作性也更強(qiáng)的要求�,為開展等級保護(hù)工作提供了重要的法律支撐��。
國家認(rèn)證認(rèn)可監(jiān)督管理委員會、工業(yè)和信息化部、公安部�、國家互聯(lián)網(wǎng)信息辦公室四部門發(fā)布了承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測任務(wù)的機(jī)構(gòu)名錄(第一批)��。認(rèn)證和檢測的范圍有:網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證;網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測;網(wǎng)絡(luò)安全專用產(chǎn)品安全檢測��。
7月
工業(yè)和信息化部正式印發(fā)《工業(yè)互聯(lián)網(wǎng)平臺建設(shè)及推廣指南》和《工業(yè)互聯(lián)網(wǎng)平臺評價(jià)方法》的通知��,通知要求制定完善工業(yè)信息安全管理等政策法規(guī)�����,明確安全防護(hù)要求。建設(shè)國家工業(yè)信息安全綜合保障平臺�����,實(shí)時(shí)分析平臺安全態(tài)勢����。強(qiáng)化企業(yè)平臺安全主體責(zé)任��,引導(dǎo)平臺強(qiáng)化安全防護(hù)意識���,提升漏洞發(fā)現(xiàn)��、安全防護(hù)和應(yīng)急處置能力。
8月
十三屆全國人大常委會第五次會議表決通過《電子商務(wù)法》��,自2019年1月1日起施行�����。
央行辦公廳發(fā)布《關(guān)于開展支付安全風(fēng)險(xiǎn)專項(xiàng)排查工作的通知》�����。排查內(nèi)容包括:
一、排查客戶端應(yīng)用軟件敏感信息保護(hù)���、安全漏洞防護(hù)、信息傳輸安全等方面存在的隱患���;
二、排查支付業(yè)務(wù)系統(tǒng)在系統(tǒng)安全��、交易安全�����、數(shù)據(jù)保護(hù)���、業(yè)務(wù)連續(xù)性、賬戶管理����、內(nèi)控管理等方面存在的問題���;
三�、督查支付交易報(bào)文規(guī)范化改造、終端信息注冊等工作落實(shí)情況�����;
四��、排查支付產(chǎn)品質(zhì)量管理方面存在的不足�。
9月
中央網(wǎng)信辦��、公安部聯(lián)合印發(fā)《關(guān)于規(guī)范促進(jìn)網(wǎng)絡(luò)安全競賽活動的通知》��。通知規(guī)定,冠名“中國”“國家”等字樣的網(wǎng)絡(luò)安全競賽和會議需經(jīng)中央網(wǎng)信辦同意���。
國家衛(wèi)生健康委員會發(fā)布《關(guān)于印發(fā)國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)的通知》及解讀稿��。明確健康醫(yī)療大數(shù)據(jù)的定義�、內(nèi)涵和外延,以及制定辦法的目的依據(jù)�、適用范圍��、遵循原則和總體思路等。并從標(biāo)準(zhǔn)管理�����、安全管理�、服務(wù)管理三個(gè)方面加以規(guī)范。
國家能源局印發(fā)《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》���。指導(dǎo)意見將有力促進(jìn)電力行業(yè)網(wǎng)絡(luò)安全責(zé)任體系和網(wǎng)絡(luò)安全監(jiān)督管理體制機(jī)制的健全完善����,進(jìn)一步提升電力監(jiān)控系統(tǒng)安全防護(hù)水平,強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系�����,提高自主創(chuàng)新及安全可控能力�,有力防范和遏制重大網(wǎng)絡(luò)安全事件,保障電力系統(tǒng)安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)����。
10月
《貴陽市大數(shù)據(jù)安全管理?xiàng)l例》正式實(shí)施�����。條例明確,大數(shù)據(jù)發(fā)展應(yīng)用中,數(shù)據(jù)的所有者��、管理者�����、使用者和服務(wù)提供者的法定代表人或主要負(fù)責(zé)人是本單位大數(shù)據(jù)安全的第一責(zé)任人�。安全責(zé)任單位對個(gè)人信息和重要數(shù)據(jù)實(shí)行加密等安全保護(hù)���,對涉及國家安全�����、社會公共利益�����、商業(yè)秘密���、個(gè)人信息的數(shù)據(jù)依法進(jìn)行脫敏脫密處理�����。
國家市場監(jiān)督管理總局�、國家標(biāo)準(zhǔn)化管理委員會對外發(fā)布《智慧城市 信息技術(shù)運(yùn)營指南》等23項(xiàng)國家標(biāo)準(zhǔn)。其中,在信息安全領(lǐng)域有6項(xiàng)國家標(biāo)準(zhǔn),包括加強(qiáng)網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈安全保障���、提高公民數(shù)字身份認(rèn)證和網(wǎng)絡(luò)身份識別技術(shù)的安全性、提升網(wǎng)絡(luò)安全防護(hù)效率等方面。
威脅情報(bào)國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》正式發(fā)布��。標(biāo)準(zhǔn)從可觀測數(shù)據(jù)�����、攻擊指標(biāo)�����、安全事件、攻擊活動����、威脅主體��、攻擊目標(biāo)、攻擊方法�����、應(yīng)對措施等八個(gè)組件進(jìn)行描述��,并將這些組件劃分為對象�����、方法和事件三個(gè)域���,最終構(gòu)建出一個(gè)完整的網(wǎng)絡(luò)安全威脅信息表達(dá)模型�。
11月
《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》正式施行。規(guī)定指明“公安機(jī)關(guān)依法對互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位履行法律����、行政法規(guī)規(guī)定的網(wǎng)絡(luò)安全義務(wù)情況進(jìn)行的安全監(jiān)督檢查���?�!?br />
工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對7家電信企業(yè)落實(shí)《網(wǎng)絡(luò)安全法》、《通信網(wǎng)絡(luò)安全防護(hù)辦法》����、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)情況進(jìn)行了實(shí)地檢查���,針對檢查發(fā)現(xiàn)的問題�,責(zé)令企業(yè)進(jìn)行整改����。
公安部網(wǎng)絡(luò)安全保衛(wèi)局發(fā)布《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指引(征求意見稿)》?�!吨敢穼膫€(gè)人信息安全保護(hù)的安全管理機(jī)制����、安全技術(shù)措施、業(yè)務(wù)流程三大方面對企業(yè)的個(gè)人信息保護(hù)提供全方位的指導(dǎo)���。
中央網(wǎng)信辦聯(lián)合公安部制定發(fā)布《具有社會輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估規(guī)定》。該規(guī)定明確了具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)的具體情形���,在信息服務(wù)功能����、服務(wù)范圍、軟硬件設(shè)施���、安全管理制度和技術(shù)措施落實(shí)、風(fēng)險(xiǎn)防控等方面���,要求各互聯(lián)網(wǎng)信息服務(wù)提供者自行或者委托第三方開展安全評估,并將安全評估報(bào)告通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺�,提交所在地地市級以上網(wǎng)信部門和公安機(jī)關(guān)�����。
12月
國家互聯(lián)網(wǎng)信息辦公室公布《金融信息服務(wù)管理規(guī)定》����。其中��,“第五條”規(guī)定要求:金融信息服務(wù)提供者應(yīng)當(dāng)履行主體責(zé)任��,配備與服務(wù)規(guī)模相適應(yīng)的管理人員,建立信息內(nèi)容審核�����、信息數(shù)據(jù)保存�、信息安全保障、個(gè)人信息保護(hù)�、知識產(chǎn)權(quán)保護(hù)等服務(wù)規(guī)范��。
北京市經(jīng)濟(jì)和信息化局發(fā)布了《北京工業(yè)互聯(lián)網(wǎng)發(fā)展行動計(jì)劃(2018-2020年)》。提出網(wǎng)絡(luò)建設(shè)���、平臺發(fā)展、應(yīng)用創(chuàng)新�����、安全提升�、生態(tài)培育五大工程��。今后北京市將進(jìn)一步發(fā)揮在大數(shù)據(jù)��、云計(jì)算、物聯(lián)網(wǎng)、人工智能、網(wǎng)絡(luò)安全領(lǐng)域的產(chǎn)業(yè)優(yōu)勢和科技創(chuàng)新��、人才齊聚等資源優(yōu)勢�����,深入推進(jìn)“互聯(lián)網(wǎng)+”�。
中央網(wǎng)信辦�、公安部、工信部�、各省市政府����、標(biāo)準(zhǔn)制定機(jī)構(gòu)����、行業(yè)、協(xié)會組織�,從指導(dǎo)�����、協(xié)調(diào)、監(jiān)管、執(zhí)法����、規(guī)劃��、實(shí)施、交流等各個(gè)層面,大力推動信息安全產(chǎn)業(yè)的健康有序發(fā)展����。
大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)�、智慧城市的安全��,和個(gè)人信息保護(hù)是今年各項(xiàng)政策法規(guī)的關(guān)注點(diǎn)。隨著《網(wǎng)絡(luò)安全法》的實(shí)施,許多監(jiān)管規(guī)定���、行業(yè)與技術(shù)標(biāo)準(zhǔn)開始落地,國內(nèi)的信息安全工作越來越有法可依,有據(jù)可查。
五���、總結(jié)與趨勢篇
2018年十大網(wǎng)絡(luò)安全事件與趨勢:
信息泄露連續(xù)五年創(chuàng)歷史記錄,且不分行業(yè)與領(lǐng)域。而隨著網(wǎng)絡(luò)世界向數(shù)字世界的演化��,信息泄露將成為全球科技始終無法避免的“自然災(zāi)害”�。
隨著加密貨幣的空前爆發(fā)帶來的商業(yè)利益,吸引了大量的網(wǎng)絡(luò)攻擊,但這一安全態(tài)勢在各國相繼出臺的限制措施下���,以及幣值的急劇萎縮,有可能得到緩解。
勒索軟件持續(xù)產(chǎn)生嚴(yán)重危害����,反映出安全意識的普遍薄弱和基本防護(hù)手段的缺失�����,背后則是黑色產(chǎn)業(yè)鏈的發(fā)達(dá)運(yùn)轉(zhuǎn)�����。勒索軟件將會和過去的病毒、惡意軟件一樣,走向常態(tài)化���,長期化。
拒絕服務(wù)攻擊的規(guī)模不斷放大,已經(jīng)出現(xiàn)萬兆級別的攻擊�����。不僅是因?yàn)槁?lián)網(wǎng)設(shè)備的防護(hù)能力薄弱����,各種攻擊手法的層出不窮也是重要因素�。在未來全球一體化的數(shù)字世界,可以預(yù)見出現(xiàn)更大規(guī)模的攻擊。
電子郵件欺詐帶來的損失史無前例����,累計(jì)已達(dá)120億美元���。古老的騙局一而再再而三的卷土重來�����,其利用的是人們心理上的弱點(diǎn)與認(rèn)知上的缺陷。針對這種攻擊���,我們注定無法完全免疫。
人工智能技術(shù)是又一把安全的雙刃劍�����?���;贏I的防護(hù)技術(shù)還在嘗試階段,但顯然壞人暫時(shí)取得領(lǐng)先��??纱鄹囊粢曨l的Deepfake技術(shù),被美國議員比喻成“核武器”��。雖然目前并無重大危害事件出現(xiàn)�����,但其可能帶來的社會恐慌或是對突發(fā)事件漠視,值得關(guān)注與保持警惕��。
網(wǎng)絡(luò)安全被用于政治�����、經(jīng)濟(jì)�����、科技、軍事等領(lǐng)域的博弈之中�,左右輿論���、商業(yè)禁令�����、攫取經(jīng)濟(jì)利益、盜取知識產(chǎn)權(quán)���、攻擊關(guān)鍵基礎(chǔ)設(shè)施等行為層出不窮,并有著從試探性變成破壞性攻擊的趨勢�����,未來這一趨勢還將愈演愈烈���。
漏洞受到業(yè)界的極大重視并成為重要戰(zhàn)略資源。這種重視反而限制了漏洞公布的速度和數(shù)量�����,許多相關(guān)的破解活動和賽事陷入低潮�。與此同時(shí)�,如何減少漏洞的產(chǎn)生以及如何進(jìn)行客觀的價(jià)值評價(jià),成為各方面的關(guān)注重點(diǎn)��。
國內(nèi)的經(jīng)濟(jì)發(fā)展受到中美貿(mào)易戰(zhàn)�、資本寒冬、供給側(cè)改革等影響����,但以國家���、大型企業(yè)為主要用戶的網(wǎng)絡(luò)安全行業(yè)�����,所受的影響尚不明顯。2018年國內(nèi)一級市場的融資規(guī)?���?赡軙_(dá)到近年來的頂峰��,但未來的注冊制、科創(chuàng)板等股市改革措施將會給網(wǎng)絡(luò)安全行業(yè)帶來積極的推動。
由公安部制定的《網(wǎng)絡(luò)安全等級保護(hù)條例》即將實(shí)施���。該條例將是繼《網(wǎng)絡(luò)安全法》之后又一最為重要的法規(guī),是各機(jī)構(gòu)部門、重點(diǎn)行業(yè)部署與開展安全工作的核心基礎(chǔ),必將極大的促進(jìn)全社會對網(wǎng)絡(luò)安全的重視����,推動整個(gè)網(wǎng)絡(luò)安全行業(yè)的全面發(fā)展�����。
結(jié) 語
從上個(gè)世紀(jì)90代年起,人們一路走來��,經(jīng)歷了計(jì)算機(jī)安全����、網(wǎng)絡(luò)安全�����、信息安全���、網(wǎng)絡(luò)空間安全等各個(gè)時(shí)期不同的發(fā)展階段���。網(wǎng)絡(luò)安全��,已經(jīng)開始從信息技術(shù)的分支、支撐���,逐漸上升到與之并行的地位。而未來是一個(gè)萬物互聯(lián)的時(shí)代��,這種數(shù)字化世界的天然脆弱性��,將會導(dǎo)致網(wǎng)絡(luò)安全發(fā)生本質(zhì)性的變化�����。不再只是信息網(wǎng)絡(luò)系統(tǒng)的安全,而是業(yè)務(wù)的安全�����,經(jīng)濟(jì)的安全��,人身的安全���,社會的安全和國家的安全���。
基礎(chǔ)科學(xué)的薄弱和信息化普及程度較低雖然是我們的技術(shù)短板���,但龐大的人口基礎(chǔ)和應(yīng)用場景的復(fù)雜多變����,又帶來了商業(yè)發(fā)展的優(yōu)勢和紅利���,這也正是我國的科技與經(jīng)濟(jì)發(fā)展受到發(fā)達(dá)國家扼制的深層次原因���。如何在競爭與合作之間保持平衡���,是全球所有國家����、政治和經(jīng)濟(jì)體面臨的重大課題?����!白灾骺煽亍笔敲恳粋€(gè)利益體的內(nèi)在需求���,而“命運(yùn)共同體”則是人類文明的終極走向���。
400-608-6677 轉(zhuǎn)810
2019-03-26
3286
神州明達(dá)-小明
