2015年12月3日清晨�,中國(guó)國(guó)際廣播電臺(tái)CIR播報(bào)出一條新聞,澳大利亞國(guó)家氣象臺(tái)天氣預(yù)報(bào)網(wǎng)站被黑客攻擊��,傳指是中國(guó)黑客所為���。�����。���。���。!?���。≈袊?guó)何嘗不是一個(gè)經(jīng)常遭受黑客攻擊的國(guó)家呢����!2015年行將結(jié)束哦,我們回顧一下去年的網(wǎng)絡(luò)安全大事記����。
有人認(rèn)為,2014年可以稱(chēng)之為我國(guó)的網(wǎng)絡(luò)安全元年���。的確�,在即將過(guò)去的這一年里��,各種安全事件層出不窮��。從信息泄露到重大漏洞�����,從市場(chǎng)變化到國(guó)家安全�,反映著安全市場(chǎng)的風(fēng)起云涌、孕育著安全環(huán)境的戰(zhàn)略機(jī)遇�����,潛伏著對(duì)國(guó)家社會(huì)和經(jīng)濟(jì)生活的重大風(fēng)險(xiǎn)����。下面安全牛就與大家一起回顧和盤(pán)點(diǎn)這一年來(lái)的網(wǎng)絡(luò)安全大事:
一、重大漏洞無(wú)法預(yù)測(cè)
2014年是多個(gè)嚴(yán)重漏洞集中爆發(fā)的一年��,心臟滴血���、貴賓犬�����、USBbad��、破殼等重大漏洞先后曝光���。影響的網(wǎng)站�、操作系統(tǒng)�����、硬件設(shè)備范圍之廣����,聞所未聞。
心臟滴血漏洞實(shí)際存在已經(jīng)超過(guò)兩年時(shí)間���,雖然全世界各地的機(jī)構(gòu)和企業(yè)都在“心臟滴血”漏洞公布后第一時(shí)間開(kāi)始修復(fù)工作���,但在這個(gè)漏洞未曝光之前,根本無(wú)法統(tǒng)計(jì)有多少敏感信息因此而被竊取��。
安全牛之前報(bào)道的微軟11月份修復(fù)的IE漏洞�����,自Windows 95以來(lái)就存在����,它的洞齡(漏洞未被修補(bǔ)的年限)是19年。而可以遠(yuǎn)程執(zhí)行拿到系統(tǒng)級(jí)權(quán)限的破殼漏洞則最年長(zhǎng),已達(dá)25歲的高齡�����。
漏洞的問(wèn)題不僅僅在于系統(tǒng)的日趨龐大復(fù)雜�����,開(kāi)發(fā)人員的疏忽���、缺乏安全編碼規(guī)范等原因,它最可怕的地方在于��,也許之前它根本就不是一個(gè)漏洞��,而是一個(gè)功能�����。但由于時(shí)代的發(fā)展���,使用環(huán)境的變化���,功能變成了漏洞。人類(lèi)具備把所有正在使用的舊系統(tǒng)、程序�����、軟件都做一次代碼級(jí)的安全檢測(cè)的能力么�����?也許這是比重新發(fā)明計(jì)算機(jī)和互聯(lián)網(wǎng)還要難做的事��!宛如被打開(kāi)的潘多拉魔盒����,明年會(huì)出現(xiàn)什么樣的重大漏洞?我們不知道����。
二、信息泄露事件層出不窮
先來(lái)看一下安全牛統(tǒng)計(jì)的這些數(shù)字:
企業(yè)名稱(chēng)泄露內(nèi)容信息數(shù)量
中國(guó)高等教育學(xué)生網(wǎng)考生信息 130萬(wàn)
美國(guó)社區(qū)醫(yī)療CHS 患者信息 450萬(wàn)
韓國(guó)三大信用卡公司信用卡數(shù)據(jù) 2000萬(wàn)
塔吉特用戶(hù)信息及信用卡數(shù)據(jù) 1.1億
家得寶用戶(hù)信息及郵件地址 1.1億條
摩根大通用戶(hù)及企業(yè)信息 1.4億條
韓國(guó)三大信用卡公司高管當(dāng)眾道歉
實(shí)際上還有許多泄露事件�,或正在調(diào)查,或無(wú)法確認(rèn)�����,或無(wú)法公開(kāi)具體數(shù)字.從這些事件來(lái)看��,今年網(wǎng)上傳出的“俄羅斯黑客集團(tuán)盜竊12億用戶(hù)密碼”的消息并不為過(guò)。
值得一提的是��,個(gè)人隱私逐漸成為泄露事件的重災(zāi)區(qū)����。2013年爆出的2000萬(wàn)酒店開(kāi)房記錄至今還能在網(wǎng)上查到,今年9月蘋(píng)果云服務(wù)的名人裸照事件更是震驚全球�,而11月俄羅斯一家網(wǎng)站上可以觀(guān)看到256個(gè)國(guó)家的7.3萬(wàn)個(gè)監(jiān)控?cái)z像頭,包括上萬(wàn)個(gè)私人攝像頭的流媒體視頻�����。
可以預(yù)見(jiàn)��,2015年可能出現(xiàn)更為嚴(yán)重的泄露事件�����。
三��、首屆網(wǎng)絡(luò)安全周全民普及
今年8月�,國(guó)務(wù)院授權(quán)重組國(guó)家互聯(lián)網(wǎng)信息辦公室��,負(fù)責(zé)全國(guó)互聯(lián)網(wǎng)信息內(nèi)容管理工作���,并負(fù)責(zé)監(jiān)督管理執(zhí)法���。之后�,網(wǎng)信辦于2014年11月24日至30日�,聯(lián)合中央編辦、公安部�����、工信部等多八個(gè)部門(mén)舉辦首屆國(guó)家網(wǎng)絡(luò)安全宣傳周活動(dòng)��。中共中央政治局常委�����、中央書(shū)記處書(shū)記����、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組副組長(zhǎng)劉云山在啟動(dòng)儀式上發(fā)表講話(huà)。他指出����,網(wǎng)絡(luò)信息人人共享、網(wǎng)絡(luò)安全人人有責(zé)����,要不斷增強(qiáng)全民網(wǎng)絡(luò)安全意識(shí)����,切實(shí)維護(hù)網(wǎng)絡(luò)安全���,著力推進(jìn)網(wǎng)絡(luò)空間法治化��,為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)提供有力保障�。
網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為關(guān)系到普通公民切身利益的關(guān)鍵性問(wèn)題�����。但大多數(shù)人對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)較為遙遠(yuǎn)和抽象����,此次網(wǎng)絡(luò)安全周的體驗(yàn)展讓參觀(guān)者直觀(guān)的認(rèn)識(shí)到安全與個(gè)人利益密切相關(guān)�,跟個(gè)人生活密切相關(guān)。另外���,通過(guò)各大媒體��、監(jiān)管部門(mén)���、金融行業(yè)和安全廠(chǎng)商的宣傳和互動(dòng)�,從國(guó)家層面首次使網(wǎng)絡(luò)安全意識(shí)得到全民性的普及�,實(shí)現(xiàn)了網(wǎng)絡(luò)安全宣傳從概念到理念的跨越,使公眾更加關(guān)注網(wǎng)絡(luò)安全��。
四����、大數(shù)據(jù)安全風(fēng)起云涌
早在2011年,工信發(fā)布的《物聯(lián)網(wǎng)“十二五”規(guī)劃》中�,把包括海量數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)挖掘����、圖像視頻智能分析等信息處理技術(shù)作為4項(xiàng)關(guān)鍵技術(shù)創(chuàng)新工程之一。3 年過(guò)去���,隨著大數(shù)據(jù)市場(chǎng)的升溫��,國(guó)內(nèi)的阿里�����、騰訊���、百度�����、360等科技巨頭�,以及大型安全廠(chǎng)商紛紛開(kāi)始大數(shù)據(jù)安全的布局�����。
阿里的大數(shù)據(jù)智能分析定位疑似風(fēng)險(xiǎn)賬戶(hù)和疑似犯罪分子����,支付寶風(fēng)險(xiǎn)系統(tǒng)對(duì)海量在線(xiàn)交易進(jìn)行風(fēng)險(xiǎn)掃描和合理管控;百度云安全可以防護(hù)包括十多種黑客滲透攻擊和多種DDoS攻擊�;騰訊免費(fèi)開(kāi)放Open Data、云分析��、云推送三大產(chǎn)品�,把長(zhǎng)期積累的豐富安全經(jīng)驗(yàn)開(kāi)放給騰訊云服務(wù)用戶(hù)�����;早在幾年就推出云服務(wù)的360��,今年更是推出了貼近企業(yè)真實(shí)需求的個(gè)性化云知識(shí)庫(kù)--“私有云”。綠盟���、天融信和啟明星辰也于今年或推出大數(shù)據(jù)安全分析與挖掘平臺(tái)����,或進(jìn)行對(duì)數(shù)據(jù)安全公司的收購(gòu)�。
五、物聯(lián)網(wǎng)安全山雨欲來(lái)
以智能和可穿戴設(shè)備����、自帶辦公設(shè)備代表的移動(dòng)設(shè)備大潮已經(jīng)到來(lái),相應(yīng)帶來(lái)了嚴(yán)重的物聯(lián)網(wǎng)安全威脅�����。
今年9月�����,一款可以感染路由器�、恒溫器、烘干機(jī)等許多物聯(lián)網(wǎng)設(shè)備的惡意軟件�����,組成了1.2萬(wàn)至1.5萬(wàn)臺(tái)的大型僵尸網(wǎng)絡(luò),并在亞洲和美國(guó)實(shí)施了各種形式的DDoS攻擊���。攻擊流量峰值高達(dá)215G��,每秒1.5億個(gè)數(shù)據(jù)包�����。
物聯(lián)網(wǎng)設(shè)備存在諸多因設(shè)備制造商急于聯(lián)網(wǎng)��,從而忽略了安全問(wèn)題的嚴(yán)重風(fēng)險(xiǎn)���。包括隱私泄露、弱密碼���、非加密通訊�����,以及網(wǎng)頁(yè)操作等漏洞。而企業(yè)網(wǎng)絡(luò)與員工自帶的個(gè)人設(shè)備又極易發(fā)生交叉感染�����。更糟糕的是,大多數(shù)企業(yè)管理層對(duì)物聯(lián)網(wǎng)安全的重視程度遠(yuǎn)遠(yuǎn)不夠��。
如果沒(méi)有新的安全模式來(lái)應(yīng)對(duì)這一風(fēng)險(xiǎn)���,那么未來(lái)物聯(lián)網(wǎng)安全的嚴(yán)重性將超出我們的想像����。
六�、投資收購(gòu)厲兵秣馬
啟明星辰今年先后收購(gòu)了四川賽貝卡、書(shū)生電子���、合眾信息��;今年年初剛剛上市的綠盟科技則收購(gòu)和投資敏訊科技�����、億賽通���、深度deepin和安華金和;北信源北則在昨日公開(kāi)披露�����,1億元收購(gòu)中軟華泰。BAT3方面:
阿里收購(gòu)安全寶部分業(yè)務(wù)��,螞蟻金服1200萬(wàn)美元領(lǐng)投新加坡移動(dòng)安全廠(chǎng)商V-Key����;百度也投資了安全寶部分業(yè)務(wù);騰訊:建立玄武實(shí)驗(yàn)室�,投資Keen Teem、知道創(chuàng)宇����、翰海源;360收購(gòu)網(wǎng)康����,入股網(wǎng)御神州。
另外����,中國(guó)電子科技集團(tuán)擬投資130億元,在成都建設(shè)國(guó)家示范網(wǎng)絡(luò)信息安全產(chǎn)業(yè)園����,并成立中國(guó)電科網(wǎng)絡(luò)信息安全有限公司�����。
通過(guò)安全牛收集的以上這些信息可以看出,各大安全廠(chǎng)商和網(wǎng)絡(luò)巨頭動(dòng)作頻頻的投資�����、收購(gòu)��、入股��,預(yù)示著安全市場(chǎng)已經(jīng)開(kāi)始走出冷戰(zhàn)和布局階段����,明年將迎來(lái)更加近身的博弈戰(zhàn)局。
七�、自主可控任重道遠(yuǎn)
今年4月8日,微軟停止對(duì)WindowsXP系統(tǒng)的服務(wù)支持�����;
5月16日�,中國(guó)政府采購(gòu)網(wǎng)公布的《中央國(guó)家機(jī)關(guān)政府采購(gòu)中心重要通知》稱(chēng),所有計(jì)算機(jī)類(lèi)產(chǎn)品不允許安裝Windows 8操作系統(tǒng)����;
7月�,公安部科技信息化局下發(fā)通知����,稱(chēng)賽門(mén)鐵克的“數(shù)據(jù)防泄漏”產(chǎn)品存在竊密后門(mén)和高危漏洞,要求各級(jí)公安機(jī)關(guān)今后禁止采購(gòu)�;
9月,銀監(jiān)會(huì)正式發(fā)布的《應(yīng)用安全可控信息技術(shù)指導(dǎo)意見(jiàn)》中明確指出����,從2015年起,各銀行業(yè)金融機(jī)構(gòu)對(duì)安全可控信息技術(shù)的應(yīng)用以不低于15%的比例逐年增加�,直至2019年掌握銀行業(yè)信息化的核心知識(shí)和關(guān)鍵技術(shù),安全可控信息技術(shù)在銀行業(yè)達(dá)到不低于75%的總體占比��。
現(xiàn)實(shí)情況是�,我國(guó)的信息安全基礎(chǔ)技術(shù)研發(fā)能力不足,自主創(chuàng)新的環(huán)境也有待優(yōu)化�。目前還沒(méi)有形成自主可控的計(jì)算機(jī)技術(shù)、軟件技術(shù)和電路技術(shù)體系����,重要信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施中使用的核心技術(shù)產(chǎn)品和關(guān)鍵服務(wù)還依賴(lài)于國(guó)外�。因此�����,信息安全產(chǎn)業(yè)的發(fā)展也一直飽受?chē)?guó)外打壓����。
諸多問(wèn)題��,預(yù)示著我國(guó)的安全技術(shù)及產(chǎn)品的自主可控之路步履艱難���,任重道遠(yuǎn)。
八��、國(guó)家安全兵臨城下
到今年為止��,全球已有40多個(gè)國(guó)家頒布了網(wǎng)絡(luò)空間國(guó)家安全戰(zhàn)略�,僅美國(guó)就頒布了40多份與網(wǎng)絡(luò)安全有關(guān)的文件。美國(guó)還在白宮設(shè)立“網(wǎng)絡(luò)辦公室”����,并任命首席網(wǎng)絡(luò)官,直接對(duì)總統(tǒng)負(fù)責(zé)��。
今年2月�����,總統(tǒng)奧巴馬宣布啟動(dòng)美國(guó)《網(wǎng)絡(luò)安全框架》。德國(guó)總理默克爾也于當(dāng)月與法國(guó)總統(tǒng)奧朗德探討建立歐洲獨(dú)立互聯(lián)網(wǎng)����,擬從戰(zhàn)略層面繞開(kāi)美國(guó)以強(qiáng)化數(shù)據(jù)安全。歐盟三大領(lǐng)導(dǎo)機(jī)構(gòu)明確����,計(jì)劃在2014年底通過(guò)歐洲數(shù)據(jù)保護(hù)改革方案。
5月���,美國(guó)司法部表示�����,法庭已裁定五名中國(guó)軍方人員被控對(duì)涉及核電��、金屬和太陽(yáng)能產(chǎn)品等行業(yè)的多家美國(guó)企業(yè)進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)�����。
6月����,美國(guó)一名國(guó)防高級(jí)官員表示,在經(jīng)過(guò)數(shù)年的策劃后����,五角大樓的網(wǎng)絡(luò)司令部終于開(kāi)始進(jìn)入實(shí)戰(zhàn),如跟蹤�、探測(cè)海外對(duì)手對(duì)美國(guó)關(guān)鍵計(jì)算機(jī)網(wǎng)絡(luò)發(fā)動(dòng)的襲擊等。
7月���,加拿大政府發(fā)表聲明,指責(zé)“中國(guó)政府支持的黑客”入侵加拿大國(guó)家研究院的計(jì)算機(jī)系統(tǒng)�。
9月,愛(ài)德華·斯諾登新泄露出的文檔顯示��,包括美國(guó)國(guó)安局和英國(guó)通信情報(bào)局的五大情報(bào)機(jī)構(gòu)一直在合作建立一個(gè)全球互聯(lián)網(wǎng)映像系統(tǒng)���,作為其“藏寶圖”監(jiān)視計(jì)劃的一部分��。藏寶圖計(jì)劃的目標(biāo)是監(jiān)視整個(gè)互聯(lián)網(wǎng)�����,隨時(shí)隨地掌握被監(jiān)視人的行蹤�;
10月��,美國(guó)火眼安全公司的研究報(bào)告稱(chēng),俄羅斯國(guó)家支持的黑客組織�,在過(guò)去十年中針對(duì)北約、東歐及高加索地區(qū)的政府����,系統(tǒng)的開(kāi)展網(wǎng)絡(luò)間諜活動(dòng)(APT28);
11月����,賽門(mén)鐵克22頁(yè)的報(bào)告揭示,一款先進(jìn)隱形的惡意軟件(Reign)從2008年起�,攻擊了歐洲、亞洲����、北美洲等10個(gè)國(guó)家的約100個(gè)機(jī)構(gòu)或系統(tǒng)。賽門(mén)鐵克認(rèn)為���,這是一起由國(guó)家支持的間諜行為���;
12 月,美國(guó)安全公司Cylance發(fā)布的報(bào)告顯示���,一個(gè)伊朗國(guó)家支持的黑客團(tuán)隊(duì)入侵了16個(gè)國(guó)家的50多個(gè)機(jī)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)�����,包括航空公司�����、國(guó)防承包商�、大學(xué)、軍事設(shè)施�����、醫(yī)院����、機(jī)場(chǎng)�、電信公司、政府機(jī)構(gòu)�����,以及石油及天然氣等能源企業(yè)(Operation Cleaver)����。
美國(guó)海軍上將����、新任國(guó)家安全局局長(zhǎng)并兼任美國(guó)網(wǎng)絡(luò)司令部主管的邁克爾·羅杰斯���,更是在上個(gè)月美國(guó)國(guó)會(huì)的證詞陳述中表示��,中國(guó)有能力通過(guò)網(wǎng)絡(luò)攻擊搞垮美國(guó)的電力系統(tǒng)和其他基礎(chǔ)設(shè)施���,“精確的有針對(duì)性的關(guān)閉我們關(guān)鍵基礎(chǔ)設(shè)施的每一個(gè)組成部分,預(yù)先阻止我們提供給公民的服務(wù)�。”(見(jiàn)安全牛11月21日?qǐng)?bào)道)
國(guó)家安全問(wèn)題已是重中之重���,面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)�,由中共中央總書(shū)記����、國(guó)家主席、中央軍委主席習(xí)近平親自擔(dān)任組長(zhǎng)���,李克強(qiáng)��、劉云山任副組長(zhǎng)的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組��,于2014年2月27日成立���。該領(lǐng)導(dǎo)小組將“著眼國(guó)家安全和長(zhǎng)遠(yuǎn)發(fā)展�,統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)�、政治、文化����、社會(huì)及軍事等各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問(wèn)題,研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略�����、宏觀(guān)規(guī)劃和重大政策���,推動(dòng)國(guó)家網(wǎng)絡(luò)安全和信息化法治建設(shè)����,不斷增強(qiáng)安全保障能力���。”
浙公網(wǎng)安備 33010802003509號(hào)