物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

2015年全球網(wǎng)絡(luò)安全大事記

作者:王小瑞
來(lái)源:百度百家
日期:2015-12-08 09:30:29
摘要:2015年即將過(guò)去,這一年全球互聯(lián)網(wǎng)究竟發(fā)生了哪些重大的安全事故呢?本文即給您帶來(lái)一次全程的回顧與梳理,回顧與梳理過(guò)后,一個(gè)更為重要的問(wèn)題已擺在面前,即關(guān)于網(wǎng)絡(luò)安全,我們到底該怎么去做呢?

  2015年即將過(guò)去,在我們緬懷時(shí)光飛逝的同時(shí),不妨來(lái)看看在這一年中,全球互聯(lián)網(wǎng)究竟發(fā)生了哪些安全大事呢?

  一、安全活動(dòng)如火如荼

  2015年可以稱之為國(guó)內(nèi)安全活動(dòng)的爆發(fā)年,相關(guān)人員和企業(yè)不僅積極參加國(guó)外頗具影響力的安全大會(huì),國(guó)內(nèi)的會(huì)議、沙龍、論壇、發(fā)布會(huì)、展覽、競(jìng)賽等各種活動(dòng)也是舉辦最為集中的一年。


  其中,破解、攻防之類的競(jìng)賽尤為火爆。破解競(jìng)賽主要為國(guó)際上的Pwn2Own,國(guó)內(nèi)的GeekPwn和HackPwn。不管是最安全的操作系統(tǒng)、瀏覽器,還是最流行的軟件應(yīng)用程序,或是汽車、無(wú)人機(jī)、電烤箱、POS機(jī)、手機(jī)等智能設(shè)備,在破解高手面前均無(wú)法全身而退。國(guó)內(nèi)攻防之類的競(jìng)賽,也在爆發(fā)。如北京429首都網(wǎng)絡(luò)安全日上的180人的比賽,武漢2015中國(guó)網(wǎng)絡(luò)安全對(duì)抗大賽、以及年度性質(zhì)的網(wǎng)絡(luò)安全大賽(XDCTF)在全國(guó)各地紛紛舉行。

  《2015年安全行業(yè)重要活動(dòng)一覽表》


  安全活動(dòng)的火爆一方面反應(yīng)出安全大潮在全社會(huì)的興起,另一方面也透露出某種程度的浮躁。安全不只是漏洞和破解,不只是黑客大牛和攻防高手,更重要的是從事安全工作的防護(hù)者和建設(shè)者,了解企業(yè)運(yùn)轉(zhuǎn)及其業(yè)務(wù)的安全從業(yè)者,他們才是整個(gè)安全行業(yè)的基石。

  二、融資并購(gòu)一如繼往

  國(guó)際

  2015年安全行業(yè)掀起投資并購(gòu)大潮,僅上億美元的融資并購(gòu)至少就有近20起。其中最大的三起分別為 Bain Capita 24億美元收購(gòu) Blue Coat 、思科6.35億美元收購(gòu)OpenDNS和新加坡電信 Singtel 以7.7億美元完成對(duì)管理安全服務(wù)提供商Trustwave的收購(gòu)。

  《2015年國(guó)外安全行業(yè)收購(gòu)融資動(dòng)態(tài)》


  注:本表只收錄了億級(jí)美元的融資

  通過(guò)以上資料可以看出,云安全和安全服務(wù)是融資和并購(gòu)的一大趨勢(shì),另外可以看出以色列初創(chuàng)公司在安全行業(yè)的崛起。

  國(guó)內(nèi)

  百度、騰訊、阿里和360今年均在投資并購(gòu)方面頻頻有所動(dòng)作,影響比較大的且已經(jīng)公開(kāi)的有:騰訊二度投資知道創(chuàng)宇,投資額約為6億人民幣;百度全資收購(gòu)安全寶,具體金額不詳?shù)辽僭趦|元級(jí);阿里收購(gòu)翰海源,據(jù)傳收購(gòu)金額2億元左右;360今年5月正式宣布成立360企業(yè)安全集團(tuán),同時(shí)在行業(yè)內(nèi)投資布局了多家安全企業(yè),如天空衛(wèi)士、威努特等,三年來(lái)總投資額超過(guò)30億元。

  除了互聯(lián)網(wǎng)巨頭的布局,一些安全新興和初創(chuàng)企業(yè),如明朝萬(wàn)達(dá)、安全狗、烏云、威客安全、漏洞盒子、微步在線、天空衛(wèi)士、四葉草等也均有千萬(wàn)(元)級(jí)融資。

  戰(zhàn)略合作方面,騰訊和啟明星辰、阿里云與安恒、普華永道與谷安天下,分別在終端安全服務(wù)、云安全和安全咨詢服務(wù)方面達(dá)成戰(zhàn)略合作。華勝天成在與IBM達(dá)成中間件技術(shù)合作之后又推出基于IBM POWER技術(shù)的國(guó)產(chǎn)服務(wù)器。

  上市方面,天融信及上訊信息均在“新三板”掛牌,上海格爾、吉大正元、山石網(wǎng)科等傳統(tǒng)安全企業(yè)也正在積極籌劃上市中。


  國(guó)內(nèi)今年還有三次大型合資并購(gòu)事件,即思科與浪潮聯(lián)合投資1億美元成立合資企業(yè),亞信科技收購(gòu)趨勢(shì)科技全部中國(guó)業(yè)務(wù),成立獨(dú)立安全公司亞信安全,紫光30億美元收購(gòu)華三51%股份。此外,奇虎360將以總價(jià)90億美元完成私有化,并計(jì)劃在國(guó)內(nèi)上市。這幾起事件表明了國(guó)產(chǎn)化政策對(duì)企業(yè)帶來(lái)的影響,外企想以合資或并購(gòu)等形式保留住在中國(guó)市場(chǎng)的份額,國(guó)內(nèi)安全企業(yè)則認(rèn)為無(wú)法在國(guó)外市場(chǎng)得到應(yīng)有的價(jià)值體現(xiàn)。預(yù)計(jì)明年,國(guó)外相關(guān)企業(yè)融入國(guó)內(nèi)市場(chǎng)的形式會(huì)更多,步子會(huì)更大。

  三、漏洞影響轉(zhuǎn)入地下

  在去年底安全牛發(fā)布的另一篇文章《2015年網(wǎng)絡(luò)安全七大趨勢(shì)》中,對(duì)2015年的漏洞進(jìn)行了預(yù)測(cè):“那些建立在通信協(xié)議和傳統(tǒng)操作系統(tǒng)之上的,成熟期較早并在目前得到廣泛應(yīng)用的軟件和系統(tǒng)可能性較大,比如Java,安卓。至于智能家居或可穿戴設(shè)備,雖然生產(chǎn)商缺乏安全考慮,但由于未得到大規(guī)模應(yīng)用,盡管可以預(yù)見(jiàn)很多漏洞的發(fā)現(xiàn),但巨大影響力的漏洞無(wú)法形成?!?/p>


  現(xiàn)在我們來(lái)看看今年有哪些重大漏洞,這里的漏洞不包括尚未大范圍曝光和尚未產(chǎn)生實(shí)際重大影響的漏洞。

  Stagefright/java反序列化/Wormhole(蟲(chóng)洞)/Redis未授權(quán)訪問(wèn)/SS7/Ping Socket use-after-free/DexClassLoader(寄生獸)/VENOM/SMB重定向/FREAK(瘋怪)/Ghost

  在這一連串的漏洞中,有系統(tǒng)級(jí)的如Stagefright,也有協(xié)議級(jí)的,如FREAK和SS7。有應(yīng)用性質(zhì)的如Wormhole,還有“長(zhǎng)老級(jí)”的漏洞,如SMB重定向。但無(wú)論哪種,均未造成如去年心臟出血漏洞那種級(jí)別的影響或損失。原因不外乎,整個(gè)業(yè)內(nèi)在各個(gè)環(huán)節(jié)對(duì)安全工作的加強(qiáng),以及應(yīng)急能力的提升和漏洞提交機(jī)制的完善。但不可忽視的是,地下黑市對(duì)流行軟件漏洞和零日漏洞的交易極大的危害著全球上網(wǎng)人的利益,甚至是國(guó)家和社會(huì)安全。

  四、信息泄露洶涌依舊

  2015年數(shù)量最大的四起信息泄露事件分別為,美國(guó)人事管理局(OPM)2700萬(wàn)政府雇員及申請(qǐng)人信息泄露;美國(guó)第二大醫(yī)療保險(xiǎn)公司Anthem8000萬(wàn)客戶及員工信息泄露;面向全球的婚外戀網(wǎng)站 Ashley Madison 3700萬(wàn)用戶信息泄露;意大利間諜軟件公司 Hacking Team 被黑,包含多個(gè)零日漏洞、入侵工具和大量工作郵件及客戶名單的400G數(shù)據(jù)被傳到網(wǎng)上任意下載。


  這四起信息泄露事件的影響面各有不同,OPM上升到國(guó)與國(guó)之間網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的政治影響,Anthem主要事關(guān)客戶個(gè)人保險(xiǎn)號(hào)和病歷,Ashley Madison 則主要為隱私和道德問(wèn)題,已有兩人因此事而自殺。Hacking Team 的影響主要在于工程化的漏洞和后門(mén)代碼公開(kāi),等于把網(wǎng)絡(luò)武器交到不法人員的手中,輕易地提高了整個(gè)地下黑產(chǎn)的平均技術(shù)水平。

  下面是2015年全球影響比較大的信息泄露事件,時(shí)間為事件披露的月份,非事件發(fā)生時(shí)間:

  2014年年底,鐵道部官方網(wǎng)站(12306.cn)13萬(wàn)用戶信息泄露,包括身份證、登錄口令等,據(jù)調(diào)查分析應(yīng)是撞庫(kù)所至;

  2015年1月,俄羅斯約會(huì)網(wǎng)站Topface,2000萬(wàn)用戶名和電子郵件地址被盜;

  2月,優(yōu)步(Uber)披露,5萬(wàn)名優(yōu)步司機(jī)的個(gè)人信息被不知名的第三方人士獲取,包括社保碼、司機(jī)相片、車輛登記號(hào)等信息;

  3月,醫(yī)保提供商Premera藍(lán)十字披露,1100萬(wàn)客戶的醫(yī)療和財(cái)務(wù)數(shù)據(jù)泄露;

  3月,牙齒醫(yī)療機(jī)構(gòu) Advantage Dental 約15萬(wàn)病人信息泄露,包括姓名、住址、出生日期、電話和社保碼;

  4月,360補(bǔ)天平臺(tái)披露,遍布19個(gè)省份的社保系統(tǒng)相關(guān)信息泄露達(dá)5279.4萬(wàn)條,其中包括個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息;

  4月,美國(guó)Metropolitan State大學(xué)16萬(wàn)學(xué)生個(gè)人信息泄露,包括出生日期、家庭住址、電話、個(gè)人成績(jī);

  5月,全球知名成人約會(huì)網(wǎng)站 Adult FriendFinder 390萬(wàn)用戶信息泄露,包括電子郵件、IP、甚至是性偏好信息;

  5月,手機(jī)監(jiān)聽(tīng)軟件制造商mSpy約40萬(wàn)用戶信息泄露,包括電子郵件、短信、照片、付款記錄和跟蹤數(shù)據(jù);

  5月,美國(guó)國(guó)稅局超過(guò)10萬(wàn)名納稅人的財(cái)務(wù)信息泄露;

  7月,內(nèi)衣制造商Hanesbrands客戶訂單數(shù)據(jù)庫(kù)被黑,約90萬(wàn)網(wǎng)絡(luò)和電話用戶信息泄露,包括地址、電話和信用卡后四位數(shù)字;

  7月,F(xiàn)ireKeepers Casino 酒店披露8.5萬(wàn)信息卡和借記卡信息在2014年泄露,包括銀行卡號(hào)、姓名、驗(yàn)證碼和卡終止日期等信息。;

  8月,在線票務(wù)銷售平臺(tái)大麥網(wǎng)600余萬(wàn)用戶賬戶密碼泄露并在黑產(chǎn)論壇公開(kāi)售賣;

  8月,英國(guó)電信運(yùn)營(yíng)商Carphone Warehouse約240萬(wàn)在線用戶個(gè)人信息泄露,其中包括姓名、地址、出生日期和加密的信用卡數(shù)據(jù);

  10月,音樂(lè)眾籌網(wǎng)站Patreon超過(guò)16GB的文檔資料泄露,包括230萬(wàn)個(gè)用戶的電子郵件地址;

  10月,為美國(guó)移動(dòng)電話服務(wù)公司T-Mobile提供數(shù)據(jù)服務(wù)的Experian遭到黑客入侵,導(dǎo)致T-Mobile的1500萬(wàn)用戶個(gè)人信息泄露,包括用戶姓名、出生日期、地址、社會(huì)安全號(hào)、ID號(hào)碼等;

  10月,美股券商Scottrade,460萬(wàn)客戶的姓名及地址信息泄露;

  10月,英國(guó)電信運(yùn)營(yíng)商Talktalk120萬(wàn)用戶信息泄露,包括電子郵件、名字和電話號(hào)碼,以及數(shù)萬(wàn)銀行賬戶信息;

  10月,美國(guó)網(wǎng)絡(luò)券商史考特超過(guò)460萬(wàn)客戶的聯(lián)系人信息被攻擊者獲取,泄露的信息為客戶姓名與地址;

  10月,烏云平臺(tái)曝光網(wǎng)易用戶數(shù)據(jù)庫(kù)“疑似泄露”,數(shù)量近5億條。雖然至今沒(méi)有證據(jù)證明這個(gè)數(shù)字,但許多普通網(wǎng)民紛紛表示自己的郵箱被登錄篡改,甚至由于用網(wǎng)易郵箱注冊(cè)蘋(píng)果賬戶,而導(dǎo)致手機(jī)網(wǎng)絡(luò)犯罪分子鎖住,也是一個(gè)不爭(zhēng)的事實(shí);

  11月,喜達(dá)屋集團(tuán)旗下54家酒店發(fā)現(xiàn)竊取信用卡信息的惡意軟件,包括客戶名稱、信用卡號(hào)碼、信用卡安全碼和到期日期等信息泄露,泄露數(shù)量尚未公布;

  11月,香港早教電子設(shè)備公司偉易達(dá)(VTech)500萬(wàn)用戶和600萬(wàn)兒童的個(gè)人信息泄露,包括登錄密碼、IP地址、照片、聊天記錄姓名、性別等;

  12月,英國(guó)快餐連鎖店waterspoons 65萬(wàn)顧客信息泄露,包括姓名、出生日期、電子郵件和電話號(hào)碼。

  值得注意的是,與2014年相比,國(guó)內(nèi)信息泄露事件的曝光度有上升的趨勢(shì)。

  五、APT攻擊層出不窮


  APT28

  自2007年就開(kāi)始活動(dòng)的APT28黑客組織,不斷利用零日漏洞攻擊北約和美國(guó)國(guó)防機(jī)構(gòu),這是一個(gè)技術(shù)高超的以收集國(guó)防和地理政治情報(bào)的網(wǎng)絡(luò)間諜活動(dòng)小組,技術(shù)人員分析該小組由俄羅斯政府支持。

  APT17

  APT17攻擊過(guò)美國(guó)國(guó)防承包商、法律事務(wù)所、政府機(jī)構(gòu),以及科技公司和礦產(chǎn)企業(yè)。這個(gè)黑客小組主要通過(guò)魚(yú)叉式釣魚(yú)的手段實(shí)施初始攻擊,并通過(guò)微軟產(chǎn)品的技術(shù)文檔網(wǎng)站TechNet作為攻擊平臺(tái)。

  Duqu

  反病毒廠商卡巴斯基今年也遭遇APT攻擊,其使用的攻擊程序被稱為Duqu 2.0,它利用了三個(gè)微軟的零日漏洞,Duqu是繼震網(wǎng)蠕蟲(chóng)后最受關(guān)注的惡意程序之一,大多數(shù)Duqu出現(xiàn)在工控系統(tǒng)中。

  Naikon

  Naikon黑客活動(dòng)組織在過(guò)去五年內(nèi)大量地、高調(diào)地進(jìn)行地緣政治活動(dòng)。他們?cè)诙鄠€(gè)國(guó)家部署了高級(jí)的數(shù)據(jù)挖掘工具和監(jiān)視工具,主要目標(biāo)是菲律賓、馬來(lái)西亞、柬埔寨、印度尼西亞、越難、新加坡、緬甸、尼泊爾等國(guó)的政府高層機(jī)構(gòu)、民間和軍事組織。

  沙蟲(chóng)

  一個(gè)名為沙蟲(chóng)小隊(duì)的黑客組織利用Windows操作系統(tǒng)中的零日漏洞“沙蟲(chóng)”,制作PPT文件實(shí)施攻擊。沙蟲(chóng)實(shí)施攻擊的目標(biāo)主要有五大類:政府、學(xué)院、北約、能源機(jī)構(gòu)和電信運(yùn)營(yíng)商,受攻擊對(duì)象遍及歐洲甚至還有美國(guó)。

  圖拉

  圖拉是一個(gè)高度復(fù)雜的網(wǎng)絡(luò)間諜組織,有可能背后為俄羅斯政府支持。十幾年來(lái),進(jìn)行著目標(biāo)為政府機(jī)構(gòu)、大使館和軍隊(duì)的網(wǎng)絡(luò)間諜活動(dòng)。全世界四十多個(gè)國(guó)家,都是其活動(dòng)目標(biāo),包括哈薩克斯坦、中國(guó)、越南和美國(guó),尤其是東、中歐國(guó)家。極為高端的是,圖拉劫持合法用戶的通信衛(wèi)星IP地址,然后用來(lái)盜取數(shù)據(jù),以隱藏他們的命令控制服務(wù)器。

  方程小組

  卡巴斯基實(shí)驗(yàn)室公布的研究報(bào)告稱,希捷、東芝、西部數(shù)據(jù)等知名硬盤(pán)廠商制造的十幾個(gè)品牌的硬盤(pán)的固件中都被一個(gè)名為“方程小組”的黑客組織(疑為美國(guó)國(guó)家安全局支持)植入了間諜軟件。該小組的活動(dòng)可追溯到2001年,甚至可能始于1996年,它用多種間諜軟件感染了30多個(gè)國(guó)家和地區(qū)成千上萬(wàn)的電腦系統(tǒng)。主要目標(biāo)國(guó)包括伊朗、俄羅斯、阿富汗、中國(guó)等,涉及政府、軍事、金融、能源、媒體等機(jī)構(gòu)。

  海蓮花

  360“天眼實(shí)驗(yàn)室”發(fā)布的報(bào)告,首次披露一起針對(duì)中國(guó)的國(guó)家級(jí)黑客攻擊細(xì)節(jié)。該境外黑客組織被命名為“海蓮花(OceanLotus)”,自2012年4月起,“海蓮花”針對(duì)中國(guó)的海事機(jī)構(gòu)、海域建設(shè)部門(mén)、科研院所和航運(yùn)企業(yè),使用木馬病毒攻陷和控制政府人員、外包商、行業(yè)專家等目標(biāo)人群的電腦,甚至操縱電腦自動(dòng)發(fā)送相關(guān)情報(bào),很明顯是一個(gè)有國(guó)外政府支持的APT行動(dòng)。

  APT攻擊趨勢(shì)近年來(lái)愈演愈烈,反映出國(guó)家之間在網(wǎng)絡(luò)空間層面上的搏弈。

  六、安全事故引發(fā)重視

  國(guó)內(nèi)影響最大的一起安全事故則是XGhost事件。


  今年9月17日,網(wǎng)上消息曝光非官方下載的蘋(píng)果開(kāi)發(fā)環(huán)境Xcode中包含惡意代碼,會(huì)自動(dòng)向編譯的APP應(yīng)用注入信息竊取和遠(yuǎn)程控制功能。經(jīng)確認(rèn),包括微信、網(wǎng)易云音樂(lè)、高德地圖、滴滴出行、鐵路12306,甚至一些銀行的手機(jī)應(yīng)用均受影響。App Store 上超過(guò)3000個(gè)應(yīng)用被感染。

  國(guó)內(nèi)另外兩起影響較大的安全事故,一是今年5月的攜程網(wǎng)由于員工錯(cuò)誤操作導(dǎo)致長(zhǎng)達(dá)十幾個(gè)小時(shí)的宕機(jī),大量用戶無(wú)法訪問(wèn)網(wǎng)站,直接損失達(dá)數(shù)千萬(wàn)元。二為9月1日阿里云服務(wù)器預(yù)裝的安全產(chǎn)品云盾“安騎士”升級(jí)觸發(fā)bug,將所有新啟動(dòng)的可執(zhí)行文件都當(dāng)成了惡意文件進(jìn)行隔離,部分用戶的線上服務(wù)受到嚴(yán)重影響,并無(wú)法進(jìn)行運(yùn)維工作。

  安全事故往往是由于安全管理的松懈疏忽或流程問(wèn)題而導(dǎo)致的,隨著互聯(lián)網(wǎng)的普及和深入,龐大系統(tǒng)的穩(wěn)定運(yùn)行變得越來(lái)越重要,運(yùn)維工作也是整個(gè)安全保障工作中重要的組成部分。

  七、政策法規(guī)蓄勢(shì)待發(fā)


  國(guó)內(nèi)

  《2015年網(wǎng)絡(luò)安全七大趨勢(shì)》一文中曾“大膽預(yù)見(jiàn),2015年有可能看到立法草案的出臺(tái)”。2015年6月底,十二屆全國(guó)人大常委會(huì)第十五次會(huì)議24日審議了《網(wǎng)絡(luò)安全法(草案)》,并于7月初向社會(huì)公開(kāi)征求意見(jiàn)?!恫莅浮返闹匾獌?nèi)容主要包括,確定了網(wǎng)絡(luò)安全工作基本原則、將個(gè)人信息保護(hù)納入正軌和網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全保障,還規(guī)定了重大突發(fā)事件時(shí)政府可采取臨時(shí)措施限制網(wǎng)絡(luò)??梢灶A(yù)計(jì),當(dāng)《草案》成為正式法規(guī)發(fā)布后,其他相關(guān)的安全規(guī)定、條例也會(huì)相繼出臺(tái)。

  其他一些影響面較大的與安全政策相關(guān)的事件:

  6月,《中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》在京簽署,公約提出漏洞信息披露的“客觀、適時(shí)、適度”三原則;

  6月,國(guó)務(wù)院辦公廳發(fā)布《關(guān)于運(yùn)用大數(shù)據(jù)加強(qiáng)對(duì)市場(chǎng)主體服務(wù)和監(jiān)管的若干意見(jiàn)》。加大網(wǎng)絡(luò)和信息安全技術(shù)研發(fā)和資金投入,建立健全信息安全保障體系。采取必要的管理和技術(shù)手段,切實(shí)保護(hù)國(guó)信息安全以及公民、法人和其他組織信息安全;

  7月,新的國(guó)家安全法實(shí)施。新法要求建設(shè)網(wǎng)絡(luò)與信息安全保障體系,提升網(wǎng)絡(luò)與信息安全保護(hù)能力,實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控;

  8月,人大正式通過(guò)中華人民共和國(guó)刑法修正案(九)。明確了網(wǎng)絡(luò)服務(wù)提供者履行信息網(wǎng)絡(luò)安全管理的義務(wù),加大了對(duì)信息網(wǎng)絡(luò)犯罪的刑罰力度,進(jìn)一步加強(qiáng)了對(duì)公民個(gè)人信息的保護(hù),對(duì)增加編造和傳播虛假信息犯罪設(shè)立了明確條文;

  9月,國(guó)務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》,在網(wǎng)絡(luò)和大數(shù)據(jù)安全方面要求,在涉及國(guó)家安全穩(wěn)定的領(lǐng)域采用安全可靠的產(chǎn)品和服務(wù),到2020年,實(shí)現(xiàn)關(guān)鍵部門(mén)的關(guān)鍵設(shè)備安全可靠;

  11月,工商總局印發(fā)《關(guān)于加強(qiáng)網(wǎng)絡(luò)市場(chǎng)監(jiān)管的意見(jiàn)》,全面加強(qiáng)網(wǎng)絡(luò)市場(chǎng)監(jiān)管。推進(jìn)“依法管網(wǎng)”、“以網(wǎng)管網(wǎng)”、“信用管網(wǎng)”和“協(xié)同管網(wǎng)”。

  國(guó)際

  5月,美國(guó)商務(wù)部工業(yè)與安全局公布《瓦森納協(xié)定》的修改草案,新規(guī)則規(guī)定美國(guó)企業(yè)或個(gè)人向境外廠商報(bào)告漏洞情況是一種出口行為,需預(yù)先申請(qǐng)政府許可,否則將被視為非法;

  6月,美國(guó)國(guó)會(huì)今年6月通過(guò)《美國(guó)自由法案》,11月國(guó)家安全局正式停止對(duì)公眾的大規(guī)模監(jiān)聽(tīng)公眾電話數(shù)據(jù)的行動(dòng);

  10月,歐盟法院宣布與“美國(guó)-歐盟安全港協(xié)議”有關(guān)的“2000/520號(hào)歐盟決定”無(wú)效。歐盟成員國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以依此禁止美國(guó)公司收集、存儲(chǔ)其國(guó)民的個(gè)人數(shù)據(jù);

  10月,美國(guó)國(guó)會(huì)參議院通過(guò)《網(wǎng)絡(luò)安全信息共享法案》,允許公司和政府分享黑客攻擊信息,之前眾議院也通過(guò)了這個(gè)法案,最終等到美國(guó)總統(tǒng)奧巴馬簽署后,將成為正式法律;

  11月,英國(guó)政府公布新版《調(diào)查權(quán)法草案》,要求互聯(lián)網(wǎng)公司和手機(jī)制造商能永久地?cái)r截和收集通過(guò)其網(wǎng)絡(luò)傳播的個(gè)人數(shù)據(jù),并賦予其協(xié)助安全機(jī)構(gòu)和警察調(diào)查國(guó)家安全相關(guān)事項(xiàng)的權(quán)利。

  八、國(guó)家網(wǎng)絡(luò)空間安全體系建設(shè)迫在眉睫

  今年6月,美國(guó)人事管理辦公室被黑客滲透,2700萬(wàn)人信息泄露,美國(guó)國(guó)家情報(bào)總監(jiān)克拉珀竟然公開(kāi)表示,將中國(guó)確定為入侵事件的首要嫌疑對(duì)象。美媒甚至報(bào)道,奧巴馬政府正在研究一系列針對(duì)中國(guó)的“前所未有的”經(jīng)濟(jì)制裁,制裁對(duì)象主要為“通過(guò)網(wǎng)絡(luò)盜竊美國(guó)貿(mào)易機(jī)密信息中獲益的中國(guó)企業(yè)和個(gè)人”。但最終在12月中國(guó)兩國(guó)的首次網(wǎng)絡(luò)安全對(duì)話上,雙方確認(rèn)將OPM事件定義為非國(guó)家支持的攻擊。


  今年9月,習(xí)近平主席訪美,與網(wǎng)絡(luò)議題相關(guān)的領(lǐng)域達(dá)成六點(diǎn)共識(shí)。包括網(wǎng)絡(luò)安全審查、商業(yè)領(lǐng)域加強(qiáng)信息通訊技術(shù)網(wǎng)絡(luò)安全的一般措施、惡意網(wǎng)絡(luò)活動(dòng)提供信息及協(xié)助、反對(duì)網(wǎng)絡(luò)竊取知識(shí)產(chǎn)權(quán)、制定和推動(dòng)國(guó)際社會(huì)網(wǎng)絡(luò)空間國(guó)家行為準(zhǔn)則,以及建立兩國(guó)打擊網(wǎng)絡(luò)犯罪及相關(guān)事項(xiàng)高級(jí)別聯(lián)合對(duì)話機(jī)制。

  就在當(dāng)月,美國(guó)網(wǎng)絡(luò)司令部的兩份合同及訂單草案顯示,出于美國(guó)網(wǎng)絡(luò)司令部將把4.6億美元的擴(kuò)展網(wǎng)絡(luò)攻擊能力職責(zé),外包給國(guó)防承包商。美國(guó)一直視我國(guó)為其網(wǎng)絡(luò)安全最大的對(duì)手,其國(guó)防部在7月份針對(duì)國(guó)外發(fā)起的網(wǎng)絡(luò)攻擊發(fā)布了一個(gè)新型戰(zhàn)略,中國(guó)是其戰(zhàn)略目標(biāo)之一。美國(guó)現(xiàn)在已經(jīng)組建了數(shù)萬(wàn)人的網(wǎng)軍,研發(fā)了上千種網(wǎng)絡(luò)戰(zhàn)武器。整個(gè)網(wǎng)絡(luò)的作戰(zhàn)體系已經(jīng)完成,隨時(shí)可發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。

  而目前,我國(guó)的網(wǎng)絡(luò)安全問(wèn)題依舊突出。如安全意識(shí)的缺乏,網(wǎng)絡(luò)對(duì)抗能力較弱,包括法律、經(jīng)費(fèi)和人才等網(wǎng)絡(luò)安全方面的基礎(chǔ)不牢,關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力較差等。雖然與美國(guó)達(dá)成了一定程度上的共識(shí),但背后的網(wǎng)絡(luò)安全能力較量仍然繼續(xù),并且形勢(shì)非常嚴(yán)峻,構(gòu)建“打防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系迫在眉睫!

  通覽全篇“2015年網(wǎng)絡(luò)安全大事記”,可以用四句話來(lái)概括:

  巨頭布局企業(yè)安全,新興初創(chuàng)躍躍欲試。

  漏洞黑市激流暗涌,大潮來(lái)臨國(guó)家驅(qū)動(dòng)。

人物訪談