有人認為,2014年可以稱之為我國的網(wǎng)絡(luò)安全元年。的確,在即將過去的這一年里,各種安全事件層出不窮。從信息泄露到重大漏洞,從市場變化到國家安全,反映著安全市場的風(fēng)起云涌、孕育著安全環(huán)境的戰(zhàn)略機遇,潛伏著對國家社會和經(jīng)濟生活的重大風(fēng)險。
下面安全牛就與大家一起回顧和盤點這一年來的網(wǎng)絡(luò)安全大事:
一.重大漏洞無法預(yù)測
2014年是多個嚴重漏洞集中爆發(fā)的一年,心臟滴血、貴賓犬、USBbad、破殼等重大漏洞先后曝光。影響的網(wǎng)站、操作系統(tǒng)、硬件設(shè)備范圍之廣,聞所未聞。
心臟滴血漏洞實際存在已經(jīng)超過兩年時間,雖然全世界各地的機構(gòu)和企業(yè)都在“心臟滴血”漏洞公布后第一時間開始修復(fù)工作,但在這個漏洞未曝光之前,根本無法統(tǒng)計有多少敏感信息因此而被竊取。
安全牛之前報道的微軟11月份修復(fù)的IE漏洞,自Windows 95以來就存在,它的洞齡(漏洞未被修補的年限)是19年。而可以遠程執(zhí)行拿到系統(tǒng)級權(quán)限的破殼漏洞則最年長,已達25歲的高齡。
漏洞的問題不僅僅在于系統(tǒng)的日趨龐大復(fù)雜,開發(fā)人員的疏忽、缺乏安全編碼規(guī)范等原因,它最可怕的地方在于,也許之前它根本就不是一個漏洞,而是一個功能。但由于時代的發(fā)展,使用環(huán)境的變化,功能變成了漏洞。人類具備把所有正在使用的舊系統(tǒng)、程序、軟件都做一次代碼級的安全檢測的能力么?也許這是比重新發(fā)明計 算機和互聯(lián)網(wǎng)還要難做的事!
宛如被打開的潘多拉魔盒,明年會出現(xiàn)什么樣的重大漏洞?我們不知道。
二.信息泄露事件層出不窮
先來看一下相關(guān)數(shù)據(jù)統(tǒng)計:
企業(yè)名稱:泄露內(nèi)容:信息數(shù)量中國高等教育學(xué)生網(wǎng):考生信息:130萬
美國社區(qū)醫(yī)療CHS:患者信息:450萬
韓國三大信用卡公司:信用卡數(shù)據(jù):2000萬
塔吉特:用戶信息及信用卡數(shù)據(jù):1.1億
家得寶:用戶信息及郵件地址:1.1億條
摩根大通:用戶及企業(yè)信息:
1.4億條
韓國三大信用卡公司高管當(dāng)眾道歉
實際上還有許多泄露事件,或正在調(diào)查,或無法確認,或無法公開具體數(shù)字.從這些事件來看,今年網(wǎng)上傳出的“俄羅斯黑客集團盜竊12億用戶密碼”的消息并不為過。
值得一提的是,個人隱私逐漸成為泄露事件的重災(zāi)區(qū)。2013年爆出的2000萬酒店開房記錄至今還能在網(wǎng)上查到,今年9月蘋果云服務(wù)的名人裸照事件更是震驚全球,而11月俄羅斯一家網(wǎng)站上可以觀看到256個國家的7.3萬個監(jiān)控攝像頭,包括上萬個私人攝像頭的流媒體視頻。
可以預(yù)見,2015年可能出現(xiàn)更為嚴重的泄露事件。
三.首屆網(wǎng)絡(luò)安全周全民普及
今年8月,國務(wù)院授權(quán)重組國家互聯(lián)網(wǎng)信息辦公室,負責(zé)全國互聯(lián)網(wǎng)信息內(nèi)容管理工作,并負責(zé)監(jiān)督管理執(zhí)法。之后,網(wǎng)信辦于2014年11月24日至30日,聯(lián)合中央編辦、公安部、工信部等多八個部門舉辦首屆國家網(wǎng)絡(luò)安全宣傳周活動。中共中央政治局常委、中央書記處書記、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組副組長劉云 山在啟動儀式上發(fā)表講話。他指出,網(wǎng)絡(luò)信息人人共享、網(wǎng)絡(luò)安全人人有責(zé),要不斷增強全民網(wǎng)絡(luò)安全意識,切實維護網(wǎng)絡(luò)安全,著力推進網(wǎng)絡(luò)空間法治化,為建設(shè)網(wǎng)絡(luò)強國提供有力保障。
網(wǎng)絡(luò)安全問題已經(jīng)成為關(guān)系到普通公民切身利益的關(guān)鍵性問題。但大多數(shù)人對于網(wǎng)絡(luò)安全的認識較為遙遠和抽象,此次網(wǎng)絡(luò)安全周的體驗展讓參觀者直觀的認識到安全 與個人利益密切相關(guān),跟個人生活密切相關(guān)。另外,通過各大媒體、監(jiān)管部門、金融行業(yè)和安全廠商的宣傳和互動,從國家層面首次使網(wǎng)絡(luò)安全意識得到全民性的普 及,實現(xiàn)了網(wǎng)絡(luò)安全宣傳從概念到理念的跨越,使公眾更加關(guān)注網(wǎng)絡(luò)安全。
四.大數(shù)據(jù)安全風(fēng)起云涌
早在2011年,工信發(fā)布的《物聯(lián)網(wǎng)“十二五”規(guī)劃》中,把包括海量數(shù)據(jù)存儲、數(shù)據(jù)挖掘、圖像視頻智能分析等信息處理技術(shù)作為4項關(guān)鍵技術(shù)創(chuàng)新工程之一。3 年過去了,隨著大數(shù)據(jù)市場的升溫,國內(nèi)的阿里、騰訊、百度、360等科技巨頭,以及大型安全廠商紛紛開始大數(shù)據(jù)安全的布局。
阿里的大數(shù)據(jù)智能分析定位疑似風(fēng)險賬戶和疑似犯罪分子,支付寶風(fēng)險系統(tǒng)對海量在線交易進行風(fēng)險掃描和合理管控;百度云安全可以防護包括十多種黑客滲透攻擊和 多種DDoS攻擊;騰訊免費開放Open Data、云分析、云推送三大產(chǎn)品,把長期積累的豐富安全經(jīng)驗開放給騰訊云服務(wù)用戶;早在幾年就推出云服務(wù)的360,今年更是推出了貼近企業(yè)真實需求的個 性化云知識庫--“私有云”。
綠盟、天融信和啟明星辰也于今年或推出大數(shù)據(jù)安全分析與挖掘平臺,或進行對數(shù)據(jù)安全公司的收購。
五.物聯(lián)網(wǎng)安全山雨欲來
以智能和可穿戴設(shè)備、自帶辦公設(shè)備代表的移動設(shè)備大潮已經(jīng)到來,相應(yīng)帶來了嚴重的物聯(lián)網(wǎng)安全威脅。
今年9月,一款可以感染路由器、恒溫器、烘干機等許多物聯(lián)網(wǎng)設(shè)備的惡意軟件,組成了1.2萬至1.5萬臺的大型僵尸網(wǎng)絡(luò),并在亞洲和美國實施了各種形式的DDoS攻擊。攻擊流量峰值高達215G,每秒1.5億個數(shù)據(jù)包。
物聯(lián)網(wǎng)設(shè)備存在諸多因設(shè)備制造商急于聯(lián)網(wǎng),從而忽略了安全問題的嚴重風(fēng)險。包括隱私泄露、弱密碼、非加密通訊,以及網(wǎng)頁操作等漏洞。而企業(yè)網(wǎng)絡(luò)與員工自帶的個人設(shè)備又極易發(fā)生交叉感染。更糟糕的是,大多數(shù)企業(yè)管理層對物聯(lián)網(wǎng)安全的重視程度遠遠不夠。
如果沒有新的安全模式來應(yīng)對這一風(fēng)險,那么未來物聯(lián)網(wǎng)安全的嚴重性將超出我們的想像。
六.投資收購厲兵秣馬
啟明星辰今年先后收購了四川賽貝卡、書生電子、合眾信息;今年年初剛剛上市的綠盟科技則收購和投資敏訊科技、億賽通、深度deepin和安華金和;北信源北則在昨日公開披露,1億元收購中軟華泰。
BAT方面:
阿里收購安全寶部分業(yè)務(wù),螞蟻金服1200萬美元領(lǐng)投新加坡移動安全廠商V-Key;百度也投資了安全寶部分業(yè)務(wù);騰訊:建立玄武實驗室,投資Keen Teem、知道創(chuàng)宇、翰海源;360收購網(wǎng)康,入股網(wǎng)御神州。
另外,中國電子科技集團擬投資130億元,在成都建設(shè)國家示范網(wǎng)絡(luò)信息安全產(chǎn)業(yè)園,并成立中國電科網(wǎng)絡(luò)信息安全有限公司。
通過安全牛收集的以上這些信息可以看出,各大安全廠商和網(wǎng)絡(luò)巨頭動作頻頻的投資、收購、入股,預(yù)示著安全市場已經(jīng)開始走出冷戰(zhàn)和布局階段,明年將迎來更加近身的博弈戰(zhàn)局。
七.自主可控任重道遠
今年4月8日,微軟停止對WindowsXP系統(tǒng)的服務(wù)支持;
5月16日,中國政府采購網(wǎng)公布的《中央國家機關(guān)政府采購中心重要通知》稱,所有計算機類產(chǎn)品不允許安裝Windows 8操作系統(tǒng);
7月,公安部科技信息化局下發(fā)通知,稱賽門鐵克的“數(shù)據(jù)防泄漏”產(chǎn)品存在竊密后門和高危漏洞,要求各級公安機關(guān)今后禁止采購;
9月,銀監(jiān)會正式發(fā)布的《應(yīng)用安全可控信息技術(shù)指導(dǎo)意見》中明確指出,從2015年起,各銀行業(yè)金融機構(gòu)對安全可控信息技術(shù)的應(yīng)用以不低于15%的比例逐年增加,直至2019年掌握銀行業(yè)信息化的核心知識和關(guān)鍵技術(shù),安全可控信息技術(shù)在銀行業(yè)達到不低于75%的總體占比。
現(xiàn)實情況是,我國的信息安全基礎(chǔ)技術(shù)研發(fā)能力不足,自主創(chuàng)新的環(huán)境也有待優(yōu)化。目前還沒有形成自主可控的計算機技術(shù)、軟件技術(shù)和電路技術(shù)體系,重要信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施中使用的核心技術(shù)產(chǎn)品和關(guān)鍵服務(wù)還依賴于國外。因此,信息安全產(chǎn)業(yè)的發(fā)展也一直飽受國外打壓。
諸多問題,預(yù)示著我國的安全技術(shù)及產(chǎn)品的自主可控之路步履艱難,任重道遠。
八.國家安全兵臨城下
到今年為止,全球已有40多個國家頒布了網(wǎng)絡(luò)空間國家安全戰(zhàn)略,僅美國就頒布了40多份與網(wǎng)絡(luò)安全有關(guān)的文件。美國還在白宮設(shè)立“網(wǎng)絡(luò)辦公室”,并任命首席網(wǎng)絡(luò)官,直接對總統(tǒng)負責(zé)。
今年2月,總統(tǒng)奧巴馬宣布啟動美國《網(wǎng)絡(luò)安全框架》。德國總理默克爾也于當(dāng)月與法國總統(tǒng)奧朗德探討建立歐洲獨立互聯(lián)網(wǎng),擬從戰(zhàn)略層面繞開美國以強化數(shù)據(jù)安全。歐盟三大領(lǐng)導(dǎo)機構(gòu)明確,計劃在2014年底通過歐洲數(shù)據(jù)保護改革方案。
5月,美國司法部表示,法庭已裁定五名中國軍方人員被控對涉及核電、金屬和太陽能產(chǎn)品等行業(yè)的多家美國企業(yè)進行網(wǎng)絡(luò)間諜活動。
6月,美國一名國防高級官員表示,在經(jīng)過數(shù)年的策劃后,五角大樓的網(wǎng)絡(luò)司令部終于開始進入實戰(zhàn),如跟蹤、探測海外對手對美國關(guān)鍵計算機網(wǎng)絡(luò)發(fā)動的襲擊等。
7月,加拿大政府發(fā)表聲明,指責(zé)“中國政府支持的黑客”入侵加拿大國家研究院的計算機系統(tǒng)。
9月,愛德華·斯諾登新泄露出的文檔顯示,包括美國國安局和英國通信情報局的五大情報機構(gòu)一直在合作建立一個全球互聯(lián)網(wǎng)映像系統(tǒng),作為其“藏寶圖”監(jiān)視計劃的一部分。藏寶圖計劃的目標(biāo)是監(jiān)視整個互聯(lián)網(wǎng),隨時隨地掌握被監(jiān)視人的行蹤;
10月,美國火眼安全公司的研究報告稱,俄羅斯國家支持的黑客組織,在過去十年中針對北約、東歐及高加索地區(qū)的政府,系統(tǒng)的開展網(wǎng)絡(luò)間諜活動(APT28);
11月,賽門鐵克22頁的報告揭示,一款先進隱形的惡意軟件(Reign)從2008年起,攻擊了歐洲、亞洲、北美洲等10個國家的約100個機構(gòu)或系統(tǒng)。賽門鐵克認為,這是一起由國家支持的間諜行為;
12 月,美國安全公司Cylance發(fā)布的報告顯示,一個伊朗國家支持的黑客團隊入侵了16個國家的50多個機構(gòu)的計算機和網(wǎng)絡(luò)系統(tǒng),包括航空公司、國防承包 商、大學(xué)、軍事設(shè)施、醫(yī)院、機場、電信公司、政府機構(gòu),以及石油及天然氣等能源企業(yè)(Operation Cleaver)。
美國海軍上將、新任國家安全局局長并兼任美國網(wǎng)絡(luò)司令部主管的邁克爾·羅杰斯,更是在上個月美國國會的證詞陳述中表示,中國有能力通過網(wǎng)絡(luò)攻擊搞垮美國的電力系統(tǒng)和 其他基礎(chǔ)設(shè)施,“精確的有針對性的關(guān)閉我們關(guān)鍵基礎(chǔ)設(shè)施的每一個組成部分,預(yù)先阻止我們提供給公民的服務(wù)。”
國家安全問題已是重中之重,面對嚴峻的網(wǎng)絡(luò)安全形勢,由中共中央總書記、國家主席、中央軍委主席習(xí)近平親自擔(dān)任組長,李克強、劉云山任副組長的中央網(wǎng)絡(luò)安全 和信息化領(lǐng)導(dǎo)小組,于2014年2月27日成立。該領(lǐng)導(dǎo)小組將“著眼國家安全和長遠發(fā)展,統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟、政治、文化、社會及軍事等各個領(lǐng)域的網(wǎng)絡(luò)安全 和信息化重大問題,研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策,推動國家網(wǎng)絡(luò)安全和信息化法治建設(shè),不斷增強安全保障能力。”
這就是即將過去的2014,而馬上到來的2015將會發(fā)生什么、改變什么、揚棄什么,讓我們拭目以待!
企業(yè)名稱泄露內(nèi)容信息數(shù)量中國高等教育學(xué)生網(wǎng)考生信息130萬美國社區(qū)醫(yī)療CHS患者信息450萬韓國三大信用卡公司信用卡數(shù)據(jù)2000萬塔吉特用戶信息及信用卡數(shù)據(jù)1.1億家得寶用戶信息及郵件地址1.1億條摩根大通用戶及企業(yè)信息
京公網(wǎng)安備 11010502049343號