摘 要:2017年,全球网络安全事件频发,对国家网络空间安全、个人隐私保护造成了严重的威胁。因此,为了提高我国网络空间的治理能力,保护我国网络空间安全,对2017年全球网络安全事件进行了全面的梳理、归纳和总结。在此基础上,结合我国网络安全发展的现状,对2018年网络安全发展的趋势进行了全面的分析和预测。
关键词:网络安全;信息泄露;可信身份;趋势
中图分类号:393 文献标识码:A
Ten cyber security trends of 2018
Abstract: 2017 saw frequent occurrence of global cyber security issues, posing a severe threat to China’s cyberspace and personal privacy. In order to improve its cyberspace governance and protect cyberspace security, the author makes a comprehensive analysis and then summarizes the global cyber security incidents of 2017.Then, with the current facts on China’s cyber security, the author makes a comprehensive study and forecasts of the security trends of 2018, aiming to shine a light on the decision-making of related departments.
Key words: cyber security; information leakage; trusted identity; trends
1 引言
2017年,中国网络安全立法取得重大突破[1,2],网络安全自身能力建设持续推进,网络安全产业实现了快速发展。与此同时,大规模信息泄露事件频发[3],关键信息基础设施[4]、个人隐私保护等网络安全问题日益凸显[5,6],全球局部地区爆发网络战的可能性进一步加大,我国网络安全形势日益严峻。基于以上背景,赛迪智库网络空间研究所提出了2018年我国网络空间安全的十大发展趋势[7]。
2 网络安全十大趋势
2.1 网络安全法律法规体系将进一步完善
2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施,作为我国网络空间安全管理的基本法,框架性地构建了多项法律制度和要求,但其真正落地需要完善相关配套规范。2017年,国家相关部门制定了多项配套规范,包括《关键信息基础设施安全保护条例》等行政法规;《网络产品和服务安全审查办法》《个人信息和重要数据出境安全评估办法》等规范性文件;《信息安全技术信息技术产品安全可控评价指标》《数据出境安全评估指南》等配套标准规范。但是,上述配套法规标准多未正式出台,2017年底全国人大常委会组织开展了《网络安全法》执法检查,主要问题之一仍是网络安全法配套法规有待完善。
预计2018年,国家有关部门将围绕《网络安全法》进一步完善关键信息基础设施保护、数据出境安全评估、企业间数据共享规则、数据脱敏标准等配套法规标准,加快推动法律落实,加大网络安全执法力度。
2.2 信息泄露的規模和频率将进一步增加
2017年,大规模信息泄露的次数较多,上半年泄露的数据量超过2016年全年的数据量。1月,暗网出售多家中国互联网巨头数据,数据高达10亿条以上。3月,公安部破获的一起盗卖公民信息的特大案件中,京东网络安全部员工与黑客长期勾结,泄露50亿公民信息。5月,印度4家政府门户网站泄露公民身份信息1.35亿条,以及1亿银行账户信息。9月,美国征信机构Equifax由于网站漏洞,导致1.43亿消费者信息泄露。10月,美国雅虎公司承认30亿用户账户全部泄露。11月,谷歌和加州大学伯克利分校的研究员发现,黑市上约有19亿个账户密码信息在出售,并且有25%的账户密码仍能登录谷歌账户。12月,美国加州数据分析公司Alteryx的亚马逊AWS S3存储桶因配置错误,导致1.23亿美国家庭的敏感数据泄露。
2018年,随着大数据、云计算的普及,大规模信息泄露事件将频发,涉及行业范围将不断扩大,并将主要集中在互联网、通信和金融行业。
2.3 勒索攻击成为网络攻击的新趋势
2017年,勒索攻击肆虐全球。黑客通过蠕虫病毒、网络渗透、电子邮件等多种方式对目标发起攻击,加密系统文件,索要赎金[8,9]。5月,全球150个国家和地区被勒索病毒攻击,被攻击电脑文件被病毒加密,只有支付赎金才能恢复,教育、企业、医疗、电力、能源、银行、交通等多个行业受到影响。6月,韩国网络托管公司Nayana旗下153台Linux服务器和3400个网站感染Erebus勒索软件,并向黑客支付了赎金。10月,俄罗斯、乌克兰和其它国家的组织机构遭遇Etya勒索软件的新变种“坏兔子”的网络攻击。
2018年,勒索软件将会有更多的变种,攻击手段将会不断翻新,勒索攻击的范围将会不断扩大,造成的经济损失将会越来越大。
2.4 国家将更加重视关键信息基础设施的网络安全
2017年,针对关键信息基础设施的攻击较为频繁,范围不断扩大。4月,全球超过4000家基础设施企业遭受网络攻击,涉及石油、天然气、制造业、银行业等多个行业。6月,韩国网络托管公司Nayana遭遇网络攻击,153台Linux服务器出现故障。7月,美国国土部官员证实,美国多个核电站遭受网络攻击。8月,乌克兰国家邮政服务机构Ukrposhta遭受黑客攻击,导致计算机网络系统运行缓慢,甚至出现中断现象。10月,瑞典三家交通机构的 IT 系统遭到黑客攻击,导致官网服务掉线、列车运行延误。11月,美国遭遇网络攻击,从西海岸的加利福尼亚到东边的纽约,出现了大范围的断网。
同时,各国更加重视关键信息基础设施的保护。5月,美国总统特朗普签署了《增强联邦政府网络与关键性基础设施网络安全》总统行政令。9月,美国政府与电力企业合作建立网络战演习,重点保护电力基础设施。7月,我国有关部门出台了《关键信息基础设施保护条例》的征求意见稿。
2018年,针对关键信息基础设施的网络攻击将逐渐升级,攻击范围将会扩大,攻击手段呈现多样化,新型恶意软件和攻击工具将会增加。国家将加大投入,提升关键信息基础设施的保护能力。
2.5 硬件网络安全问题将全面爆发
2017年,全球各大漏洞库公布的漏洞数量与2016年相比,至少上涨了70%。硬件漏洞明显增长,漏洞出现在各个环节,以各种形式出现。4月,博通WiFi芯片固件出现“堆溢出”漏洞,约10亿台苹果和安卓受此影响。8月,英特尔CPU安全控制机制ME上运行的固件出现漏洞,可被利用成为后门。10月,德国半导体制造商英飞凌的某些芯片,可信平台模块出现漏洞,该漏洞允许知晓RSA公钥的攻击者获取私钥。11月,英特尔承认,在近两年出售的英特尔处理器(包括最新的第8代核心处理器系列)上都被发现了多个严重的安全漏洞。
2018年,漏洞数量将会持续增加,硬件漏洞的危害程度大于软件漏洞,黑客极有可能利用硬件漏洞发起网络攻击。
2.6 个人隐私保护工作将稳步推进
2017年,随着我国信息化建设的不断推进和互联网应用的日趋普及,个人隐私泄露所引发的侵权、欺诈等信息犯罪行为日益严重,个人隐私保护将受到空前的重视。
一方面,个人隐私保护的法律制度不断完善。5月,两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,完善了我国关于个人信息侵害行为的刑事规范体系。6月《网络安全法》正式施行,个人信息保护法律规范作为本法的重要内容得到贯彻执行。
另一方面,国家有关部门加大个人隐私保护的工作力度。9月,中央网信办、公安部、工信部及国家标准委组织开展“四部委隐私政策审查”,对国内十家大型互联网企业隐私政策规范进行了评审,并公布评审结果。
为深入落实《网络安全法》,积极应对网络诈骗、网络犯罪、隐私信息泄露等安全问题,2018年我国政府将会进一步加大对相关企业和机构的审查力度,加强个人信息保护。
2.7 网络可信身份生态体系建设进一步加快
《网络安全法》明确提出,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认[10,11]。目前,国内多种身份认证体系并存,如基于PKI的电子认证、人脸生物特征识别、大数据行为分析等。但是,这些体系各自独立,国家层面缺乏统筹规划,尚未形成一个统一的网络身份生态体系。在12月举办的“网络空间可信峰会暨中国网络可信身份研讨会”上,与会院士、专家一致认为,国家应当加强顶层设计,相关部门应当牵头,尽快推动网络身份生态体系建设工作。
2018年,我国势必会加快出台国家网络可信身份战略,推动网络可信身份生态体系建设,实现线上线下身份的统一管理,推动网络空间的繁荣发展。
2.8 局部地区爆发网络战的可能性进一步加大
网络空间已成为国家、地区之间安全博弈的新战场,各国为了维护本国在网络空间的核心利益,持续加大网络空间的军事投入,国家级网络冲突爆发的风险不断增加。
一是网络空间“军备竞赛”持续升级。2017年2月,美国国防部高级研究计划局启动SHARE项目,试图创建一种新的数据共享技术,使美军可以在世界各地安全地发出或者接收远程敏感信息。4月,韩国国防部公布《2018-2022年国防中期计划》,计划5年间将投入2500亿韩元加强网络安全建设。
二是有政府背景的网络攻击行为日益猖獗。2017年8月,美国网络安全公司FireEye研究人员发现伊朗黑客组织APT33瞄准多国航空、国防与能源设施展开新一轮网络攻击活动。9月,网络安全公司Palo Alto Networks发现黑客组织利用恶意软件Babar操控刚果民主共和国常设理事会官方网站,窃取国家重要信息。
三是国际社会不断强化网络安全军事演习。2017年7月,美国网络司令部举行年度夺旗军事演习,将关键设施遭受攻击应对作为演习目标。9月,欧盟多国国防部长参加大规模网络防御演习,模拟欧盟军队在受到网络攻击时所能作出的反应。
2018年,全球各国将会继续加强网络“军备竞赛”投入,提高本国网络战的能力,全球局部地区爆发网络冲突的風险进一步提高。
2.9 网络安全行业融资并购更加频繁
2017年,国内外网络安全企业融资并购事件频发。
国外较大的融资并购事件多起。1月,思科宣布以37亿美元收购专注于改善应用程序性能的初创公司AppDynamics。2月,英国老牌安全公司Sophos以1亿美元外加首年达成业务目标的2000万美元,买下终端检测与响应公司Invincea。3月,CA Technologies以6.14亿美元收购了应用安全及渗透测试公司Veracode。8月,赛门铁克宣布,将其SSL/TLS证书业务以9.5亿美元现金加30%DigiCert普通股的价格售出。10月物联网安全公司ForeScout上市,首次公开募股1.16亿美元。
国内网络安全公司投融资事件也不在少数。2月,身份认证安全公司九州云腾Pre-A融资1000万元,投资方为绿盟科技。4月,数字证书公司格尔软件上交所上市,IPO募资总额2.76亿元。6月,智能身份认证公司芯盾时代B轮融资近亿元。7月,大数据安全公司瀚思安信B轮融资1亿元。
2018年,在国家政策引导、网络安全技术进步、网络安全产业园建设加快等因素影响下,网络安全企业将继续加大融资并购力度,促进网络安全产业快速发展。
2.10 网络安全人才培养体系将进一步完善
2017年,中央网信办联合相关部门,制定了人才奖励、学院建设等一系列实施办法[12]。如《关于加强网络安全学科建设和人才培养的意见》《一流网络安全学院建设示范项目管理办法》《“网络安全优秀教师奖”奖励办法》等,有力地推动了我国网络安全人才建设的步伐。4月,贵州师范大学联合中科院计算所、阿里巴巴、匡恩网络、梆梆安全、安恒信息等企业,共同建立了我國首个大数据安全重点实验室,旨在深入研究大数据安全基础理论和共性关键技术,完善大数据安全人才培养的产学研体系。8月,武汉临空港经济技术开发区管委会与杭州安恒信息签署战略合作协议,共同建设国家网络安全人才与创新基地。9月,在国家网络安全宣传周上,首批一流网络安全学院建设示范项目正式对外公布,包括西安电子科技大学、东南大学、武汉大学等7所高校。
2018年,我国将通过多种途径完善网络安全人才培养体系,加快网络安全人才培养力度,营造优秀人才脱颖而出的成长环境。
3 结束语
经过全面梳理2017年全球网络安全事件,2018年网络空间将会存在一些列问题,包括国际社会爆发网络战的风险进一步加强;软硬件漏洞的数量将会更多;大规模信息泄露事件仍将频发;关键信息基础设施的网络攻击将进一步升级;勒索病毒攻击范围将会继续扩大等。针对于此,我国政府将会更加重视网络安全,进一步完善网络安全方面的法律法规,加强网络空间的治理和网络产品的审查力度;完善网络可信身份的发展战略;出台系列网络安全的相关政策,促进网络安全产业的发展;营造网络安全人才成长的环境。
参考文献
[1]李欲晓,邬贺铨,谢永江,等.论我国网络安全法律体系的完善[J].中国工程科学,2016,18(6):28-33.
[2]陆冬华,齐小力.我国网络安全立法问题研究[J].中国人民公安大学学报(社会科学版),2014, 30(3):58-64.
[3]董思薇.金融消费者信息秘密与安全权保护研究[J].东南大学学报:哲学社会科学版, 2017(S1):150-154.
[4]刘京娟.美、日、韩关键信息基础设施保护立法研究[J].保密科学技术,2016(7):16-20.
[5]唐琦.从银行员工泄露个人信息事件探析商业银行征信监管机制[J].海南金融, 2017(11).
[6]王寅.消费者网购时行为意向对个人信息泄露的影响研究[J].重庆邮电大学学报(自然科学版), 2017(6):830-836.
[7]刘权.2017年网络安全十大发展趋势[J].网络空间安全,2017,8(1):32-34.
[8]刘为军,天芦亮.论技术勒索的综合治理[J].山东警察学院学报,2017, 29(3):39-47.
[9]林建宝,崔翔,张方娇.勒索攻击愈演愈烈,安全意识亟待加强[J].中国信息安全,2016,(8):79-83.
[10]李以斌,牟大伟.基于数字证书的教育云可信实名身份认证和授权的研究[J].信息安全与技术, 2016,7(9-10):40-44.
[11]蒋文保,朱国库.一种安全可信的网络互联协议(STiP)模型研究[J].网络空间安全,2017,8(1):24-31.