2015年12月3日清晨�,中國國際廣播電臺CIR播報出一條新聞�,澳大利亞國家氣象臺天氣預(yù)報網(wǎng)站被黑客攻擊,傳指是中國黑客所為�。。�。。?。?!中國何嘗不是一個經(jīng)常遭受黑客攻擊的國家呢!2015年行將結(jié)束哦�,我們回顧一下去年的網(wǎng)絡(luò)安全大事記�。
有人認(rèn)為,2014年可以稱之為我國的網(wǎng)絡(luò)安全元年�。的確,在即將過去的這一年里�,各種安全事件層出不窮。從信息泄露到重大漏洞�,從市場變化到國家安全,反映著安全市場的風(fēng)起云涌�、孕育著安全環(huán)境的戰(zhàn)略機(jī)遇,潛伏著對國家社會和經(jīng)濟(jì)生活的重大風(fēng)險�。下面安全牛就與大家一起回顧和盤點(diǎn)這一年來的網(wǎng)絡(luò)安全大事:
一、重大漏洞無法預(yù)測
2014年是多個嚴(yán)重漏洞集中爆發(fā)的一年�,心臟滴血�、貴賓犬�、USBbad、破殼等重大漏洞先后曝光�。影響的網(wǎng)站、操作系統(tǒng)�����、硬件設(shè)備范圍之廣�����,聞所未聞�����。
心臟滴血漏洞實際存在已經(jīng)超過兩年時間�����,雖然全世界各地的機(jī)構(gòu)和企業(yè)都在“心臟滴血”漏洞公布后第一時間開始修復(fù)工作�����,但在這個漏洞未曝光之前�����,根本無法統(tǒng)計有多少敏感信息因此而被竊取。
安全牛之前報道的微軟11月份修復(fù)的IE漏洞�����,自Windows 95以來就存在�����,它的洞齡(漏洞未被修補(bǔ)的年限)是19年�����。而可以遠(yuǎn)程執(zhí)行拿到系統(tǒng)級權(quán)限的破殼漏洞則最年長�����,已達(dá)25歲的高齡�����。
漏洞的問題不僅僅在于系統(tǒng)的日趨龐大復(fù)雜�����,開發(fā)人員的疏忽�����、缺乏安全編碼規(guī)范等原因�����,它最可怕的地方在于�����,也許之前它根本就不是一個漏洞�����,而是一個功能�����。但由于時代的發(fā)展�����,使用環(huán)境的變化,功能變成了漏洞�����。人類具備把所有正在使用的舊系統(tǒng)�����、程序�����、軟件都做一次代碼級的安全檢測的能力么�����?也許這是比重新發(fā)明計算機(jī)和互聯(lián)網(wǎng)還要難做的事�����!宛如被打開的潘多拉魔盒�����,明年會出現(xiàn)什么樣的重大漏洞�����?我們不知道。
二�����、信息泄露事件層出不窮
先來看一下安全牛統(tǒng)計的這些數(shù)字:
企業(yè)名稱泄露內(nèi)容信息數(shù)量
中國高等教育學(xué)生網(wǎng)考生信息 130萬
美國社區(qū)醫(yī)療CHS 患者信息 450萬
韓國三大信用卡公司信用卡數(shù)據(jù) 2000萬
塔吉特用戶信息及信用卡數(shù)據(jù) 1.1億
家得寶用戶信息及郵件地址 1.1億條
摩根大通用戶及企業(yè)信息 1.4億條
韓國三大信用卡公司高管當(dāng)眾道歉
實際上還有許多泄露事件�����,或正在調(diào)查�����,或無法確認(rèn)�����,或無法公開具體數(shù)字.從這些事件來看�����,今年網(wǎng)上傳出的“俄羅斯黑客集團(tuán)盜竊12億用戶密碼”的消息并不為過�����。
值得一提的是�����,個人隱私逐漸成為泄露事件的重災(zāi)區(qū)�����。2013年爆出的2000萬酒店開房記錄至今還能在網(wǎng)上查到�����,今年9月蘋果云服務(wù)的名人裸照事件更是震驚全球�����,而11月俄羅斯一家網(wǎng)站上可以觀看到256個國家的7.3萬個監(jiān)控攝像頭�����,包括上萬個私人攝像頭的流媒體視頻�����。
可以預(yù)見�����,2015年可能出現(xiàn)更為嚴(yán)重的泄露事件�����。
三�����、首屆網(wǎng)絡(luò)安全周全民普及
今年8月�����,國務(wù)院授權(quán)重組國家互聯(lián)網(wǎng)信息辦公室�����,負(fù)責(zé)全國互聯(lián)網(wǎng)信息內(nèi)容管理工作�����,并負(fù)責(zé)監(jiān)督管理執(zhí)法�����。之后,網(wǎng)信辦于2014年11月24日至30日�����,聯(lián)合中央編辦�����、公安部�����、工信部等多八個部門舉辦首屆國家網(wǎng)絡(luò)安全宣傳周活動�����。中共中央政治局常委�����、中央書記處書記�����、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組副組長劉云山在啟動儀式上發(fā)表講話�����。他指出,網(wǎng)絡(luò)信息人人共享�����、網(wǎng)絡(luò)安全人人有責(zé)�����,要不斷增強(qiáng)全民網(wǎng)絡(luò)安全意識�����,切實維護(hù)網(wǎng)絡(luò)安全�����,著力推進(jìn)網(wǎng)絡(luò)空間法治化�����,為建設(shè)網(wǎng)絡(luò)強(qiáng)國提供有力保障�����。
網(wǎng)絡(luò)安全問題已經(jīng)成為關(guān)系到普通公民切身利益的關(guān)鍵性問題�����。但大多數(shù)人對于網(wǎng)絡(luò)安全的認(rèn)識較為遙遠(yuǎn)和抽象�����,此次網(wǎng)絡(luò)安全周的體驗展讓參觀者直觀的認(rèn)識到安全與個人利益密切相關(guān)�����,跟個人生活密切相關(guān)�����。另外�����,通過各大媒體�����、監(jiān)管部門�����、金融行業(yè)和安全廠商的宣傳和互動,從國家層面首次使網(wǎng)絡(luò)安全意識得到全民性的普及�����,實現(xiàn)了網(wǎng)絡(luò)安全宣傳從概念到理念的跨越�����,使公眾更加關(guān)注網(wǎng)絡(luò)安全�����。
四�����、大數(shù)據(jù)安全風(fēng)起云涌
早在2011年�����,工信發(fā)布的《物聯(lián)網(wǎng)“十二五”規(guī)劃》中�����,把包括海量數(shù)據(jù)存儲�����、數(shù)據(jù)挖掘�����、圖像視頻智能分析等信息處理技術(shù)作為4項關(guān)鍵技術(shù)創(chuàng)新工程之一�����。3 年過去�����,隨著大數(shù)據(jù)市場的升溫�����,國內(nèi)的阿里�����、騰訊、百度�����、360等科技巨頭�����,以及大型安全廠商紛紛開始大數(shù)據(jù)安全的布局�����。
阿里的大數(shù)據(jù)智能分析定位疑似風(fēng)險賬戶和疑似犯罪分子�����,支付寶風(fēng)險系統(tǒng)對海量在線交易進(jìn)行風(fēng)險掃描和合理管控�����;百度云安全可以防護(hù)包括十多種黑客滲透攻擊和多種DDoS攻擊�����;騰訊免費(fèi)開放Open Data�����、云分析�����、云推送三大產(chǎn)品�����,把長期積累的豐富安全經(jīng)驗開放給騰訊云服務(wù)用戶�����;早在幾年就推出云服務(wù)的360�����,今年更是推出了貼近企業(yè)真實需求的個性化云知識庫--“私有云”�����。綠盟�����、天融信和啟明星辰也于今年或推出大數(shù)據(jù)安全分析與挖掘平臺,或進(jìn)行對數(shù)據(jù)安全公司的收購�����。
五�����、物聯(lián)網(wǎng)安全山雨欲來
以智能和可穿戴設(shè)備�����、自帶辦公設(shè)備代表的移動設(shè)備大潮已經(jīng)到來�����,相應(yīng)帶來了嚴(yán)重的物聯(lián)網(wǎng)安全威脅�����。
今年9月�����,一款可以感染路由器�����、恒溫器�����、烘干機(jī)等許多物聯(lián)網(wǎng)設(shè)備的惡意軟件�����,組成了1.2萬至1.5萬臺的大型僵尸網(wǎng)絡(luò)�����,并在亞洲和美國實施了各種形式的DDoS攻擊�����。攻擊流量峰值高達(dá)215G,每秒1.5億個數(shù)據(jù)包�����。
物聯(lián)網(wǎng)設(shè)備存在諸多因設(shè)備制造商急于聯(lián)網(wǎng)�����,從而忽略了安全問題的嚴(yán)重風(fēng)險�����。包括隱私泄露�����、弱密碼�����、非加密通訊�����,以及網(wǎng)頁操作等漏洞。而企業(yè)網(wǎng)絡(luò)與員工自帶的個人設(shè)備又極易發(fā)生交叉感染�����。更糟糕的是�����,大多數(shù)企業(yè)管理層對物聯(lián)網(wǎng)安全的重視程度遠(yuǎn)遠(yuǎn)不夠�����。
如果沒有新的安全模式來應(yīng)對這一風(fēng)險�����,那么未來物聯(lián)網(wǎng)安全的嚴(yán)重性將超出我們的想像�����。
六�����、投資收購厲兵秣馬
啟明星辰今年先后收購了四川賽貝卡、書生電子�����、合眾信息�����;今年年初剛剛上市的綠盟科技則收購和投資敏訊科技�����、億賽通�����、深度deepin和安華金和�����;北信源北則在昨日公開披露�����,1億元收購中軟華泰。BAT3方面:
阿里收購安全寶部分業(yè)務(wù)�����,螞蟻金服1200萬美元領(lǐng)投新加坡移動安全廠商V-Key;百度也投資了安全寶部分業(yè)務(wù)�����;騰訊:建立玄武實驗室,投資Keen Teem�����、知道創(chuàng)宇�����、翰海源�����;360收購網(wǎng)康,入股網(wǎng)御神州�����。
另外�����,中國電子科技集團(tuán)擬投資130億元�����,在成都建設(shè)國家示范網(wǎng)絡(luò)信息安全產(chǎn)業(yè)園�����,并成立中國電科網(wǎng)絡(luò)信息安全有限公司�����。
通過安全牛收集的以上這些信息可以看出�����,各大安全廠商和網(wǎng)絡(luò)巨頭動作頻頻的投資、收購�����、入股�����,預(yù)示著安全市場已經(jīng)開始走出冷戰(zhàn)和布局階段�����,明年將迎來更加近身的博弈戰(zhàn)局�����。
七、自主可控任重道遠(yuǎn)
今年4月8日�����,微軟停止對WindowsXP系統(tǒng)的服務(wù)支持�����;
5月16日�����,中國政府采購網(wǎng)公布的《中央國家機(jī)關(guān)政府采購中心重要通知》稱�����,所有計算機(jī)類產(chǎn)品不允許安裝Windows 8操作系統(tǒng)�����;
7月�����,公安部科技信息化局下發(fā)通知�����,稱賽門鐵克的“數(shù)據(jù)防泄漏”產(chǎn)品存在竊密后門和高危漏洞�����,要求各級公安機(jī)關(guān)今后禁止采購;
9月�����,銀監(jiān)會正式發(fā)布的《應(yīng)用安全可控信息技術(shù)指導(dǎo)意見》中明確指出�����,從2015年起�����,各銀行業(yè)金融機(jī)構(gòu)對安全可控信息技術(shù)的應(yīng)用以不低于15%的比例逐年增加�����,直至2019年掌握銀行業(yè)信息化的核心知識和關(guān)鍵技術(shù),安全可控信息技術(shù)在銀行業(yè)達(dá)到不低于75%的總體占比�����。
現(xiàn)實情況是�����,我國的信息安全基礎(chǔ)技術(shù)研發(fā)能力不足�����,自主創(chuàng)新的環(huán)境也有待優(yōu)化�����。目前還沒有形成自主可控的計算機(jī)技術(shù)�����、軟件技術(shù)和電路技術(shù)體系,重要信息系統(tǒng)�����、關(guān)鍵基礎(chǔ)設(shè)施中使用的核心技術(shù)產(chǎn)品和關(guān)鍵服務(wù)還依賴于國外�����。因此�����,信息安全產(chǎn)業(yè)的發(fā)展也一直飽受國外打壓�����。
諸多問題�����,預(yù)示著我國的安全技術(shù)及產(chǎn)品的自主可控之路步履艱難�����,任重道遠(yuǎn)�����。
八、國家安全兵臨城下
到今年為止�����,全球已有40多個國家頒布了網(wǎng)絡(luò)空間國家安全戰(zhàn)略,僅美國就頒布了40多份與網(wǎng)絡(luò)安全有關(guān)的文件�����。美國還在白宮設(shè)立“網(wǎng)絡(luò)辦公室”�����,并任命首席網(wǎng)絡(luò)官�����,直接對總統(tǒng)負(fù)責(zé)�����。
今年2月�����,總統(tǒng)奧巴馬宣布啟動美國《網(wǎng)絡(luò)安全框架》�����。德國總理默克爾也于當(dāng)月與法國總統(tǒng)奧朗德探討建立歐洲獨(dú)立互聯(lián)網(wǎng)�����,擬從戰(zhàn)略層面繞開美國以強(qiáng)化數(shù)據(jù)安全�����。歐盟三大領(lǐng)導(dǎo)機(jī)構(gòu)明確�����,計劃在2014年底通過歐洲數(shù)據(jù)保護(hù)改革方案。
5月�����,美國司法部表示�����,法庭已裁定五名中國軍方人員被控對涉及核電、金屬和太陽能產(chǎn)品等行業(yè)的多家美國企業(yè)進(jìn)行網(wǎng)絡(luò)間諜活動�����。
6月�����,美國一名國防高級官員表示,在經(jīng)過數(shù)年的策劃后�����,五角大樓的網(wǎng)絡(luò)司令部終于開始進(jìn)入實戰(zhàn),如跟蹤�����、探測海外對手對美國關(guān)鍵計算機(jī)網(wǎng)絡(luò)發(fā)動的襲擊等�����。
7月,加拿大政府發(fā)表聲明�����,指責(zé)“中國政府支持的黑客”入侵加拿大國家研究院的計算機(jī)系統(tǒng)�����。
9月�����,愛德華·斯諾登新泄露出的文檔顯示�����,包括美國國安局和英國通信情報局的五大情報機(jī)構(gòu)一直在合作建立一個全球互聯(lián)網(wǎng)映像系統(tǒng)�����,作為其“藏寶圖”監(jiān)視計劃的一部分�����。藏寶圖計劃的目標(biāo)是監(jiān)視整個互聯(lián)網(wǎng),隨時隨地掌握被監(jiān)視人的行蹤�����;
10月�����,美國火眼安全公司的研究報告稱�����,俄羅斯國家支持的黑客組織,在過去十年中針對北約�����、東歐及高加索地區(qū)的政府�����,系統(tǒng)的開展網(wǎng)絡(luò)間諜活動(APT28)�����;
11月�����,賽門鐵克22頁的報告揭示,一款先進(jìn)隱形的惡意軟件(Reign)從2008年起�����,攻擊了歐洲�����、亞洲、北美洲等10個國家的約100個機(jī)構(gòu)或系統(tǒng)�����。賽門鐵克認(rèn)為�����,這是一起由國家支持的間諜行為�����;
12 月�����,美國安全公司Cylance發(fā)布的報告顯示,一個伊朗國家支持的黑客團(tuán)隊入侵了16個國家的50多個機(jī)構(gòu)的計算機(jī)和網(wǎng)絡(luò)系統(tǒng)�����,包括航空公司�����、國防承包商�����、大學(xué)、軍事設(shè)施�����、醫(yī)院�����、機(jī)場�����、電信公司�����、政府機(jī)構(gòu),以及石油及天然氣等能源企業(yè)(Operation Cleaver)�����。
美國海軍上將、新任國家安全局局長并兼任美國網(wǎng)絡(luò)司令部主管的邁克爾·羅杰斯�����,更是在上個月美國國會的證詞陳述中表示�����,中國有能力通過網(wǎng)絡(luò)攻擊搞垮美國的電力系統(tǒng)和其他基礎(chǔ)設(shè)施�����,“精確的有針對性的關(guān)閉我們關(guān)鍵基礎(chǔ)設(shè)施的每一個組成部分�����,預(yù)先阻止我們提供給公民的服務(wù)�����。”(見安全牛11月21日報道)
國家安全問題已是重中之重�����,面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢�����,由中共中央總書記�����、國家主席�����、中央軍委主席習(xí)近平親自擔(dān)任組長,李克強(qiáng)�����、劉云山任副組長的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組�����,于2014年2月27日成立�����。該領(lǐng)導(dǎo)小組將“著眼國家安全和長遠(yuǎn)發(fā)展�����,統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)�����、政治�����、文化、社會及軍事等各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題�����,研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略�����、宏觀規(guī)劃和重大政策�����,推動國家網(wǎng)絡(luò)安全和信息化法治建設(shè)�����,不斷增強(qiáng)安全保障能力�����。”
浙公網(wǎng)安備 33010802003509號