去年底，安全牛首次發布年度安全大事盤點文章——《2014年網絡安全大事記》。文章盤點了一年來安全行業發生的具有重要影響力的大事件，并對未來的趨勢做出了簡要判斷。大事記發出后，得到眾多業內人士甚至是管理部門的關注，表明了大事記之于行業和社會的參考價值。因此，安全牛決定把這種回顧年度網絡安全大事的形式一直持續下去。如今，又是一年即將過去，我們來看看《2015年網絡安全大事記》。

一、安全活動如火如荼

2015年可以稱之為國內安全活動的爆發年，相關人員和企業不僅積極參加國外頗具影響力的安全大會，國內的會議、沙龍、論壇、發布會、展覽、競賽等各種活動也是舉辦最為集中的一年。

其中，破解、攻防之類的競賽尤為火爆。破解競賽主要為國際上的Pwn2Own，國內的GeekPwn和HackPwn。不管是最安全的操作系統、瀏覽器，還是最流行的軟件應用程序，或是汽車、無人機、電烤箱、POS機、手機等智能設備，在破解高手面前均無法全身而退。國內攻防之類的競賽，也在爆發。如北京429首都網絡安全日上的180人的比賽，武漢2015中國網絡安全對抗大賽、以及年度性質的網絡安全大賽（XDCTF）在全國各地紛紛舉行。

《2015年安全行業重要活動一覽表》

安全活動的火爆一方面反應出安全大潮在全社會的興起，另一方面也透露出某種程度的浮躁。安全不只是漏洞和破解，不只是黑客大牛和攻防高手，更重要的是從事安全工作的防護者和建設者，了解企業運轉及其業務的安全從業者，他們才是整個安全行業的基石。

二、融資并購一如繼往

國際

2015年安全行業掀起投資并購大潮，僅上億美元的融資并購至少就有近20起。其中最大的三起分別為 Bain Capita 24億美元收購 Blue Coat 、思科6.35億美元收購OpenDNS和新加坡電信 Singtel 以7.7億美元完成對管理安全服務提供商Trustwave的收購。

《2015年國外安全行業收購融資動態》

　　注：本表只收錄了億級美元的融資

通過以上資料可以看出，云安全和安全服務是融資和并購的一大趨勢，另外可以看出以色列初創公司在安全行業的崛起。

國內

百度、騰訊、阿里和360今年均在投資并購方面頻頻有所動作，影響比較大的且已經公開的有：騰訊二度投資知道創宇，投資額約為6億人民幣；百度全資收購安全寶，具體金額不詳但至少在億元級；阿里收購翰海源，據傳收購金額2億元左右；360今年5月正式宣布成立360企業安全集團，同時在行業內投資布局了多家安全企業，如天空衛士、威努特等，三年來總投資額超過30億元。

除了互聯網巨頭的布局，一些安全新興和初創企業，如明朝萬達、安全狗、烏云、威客安全、漏洞盒子、微步在線、天空衛士、四葉草等也均有千萬（元）級融資。

戰略合作方面，騰訊和啟明星辰、阿里云與安恒、普華永道與谷安天下，分別在終端安全服務、云安全和安全咨詢服務方面達成戰略合作。華勝天成在與IBM達成中間件技術合作之后又推出基于IBM POWER技術的國產服務器。

上市方面，天融信及上訊信息均在“新三板”掛牌，上海格爾、吉大正元、山石網科等傳統安全企業也正在積極籌劃上市中。

國內今年還有三次大型合資并購事件，即思科與浪潮聯合投資1億美元成立合資企業，亞信科技收購趨勢科技全部中國業務，成立獨立安全公司亞信安全，紫光30億美元收購華三51%股份。此外，奇虎360將以總價90億美元完成私有化，并計劃在國內上市。這幾起事件表明了國產化政策對企業帶來的影響，外企想以合資或并購等形式保留住在中國市場的份額，國內安全企業則認為無法在國外市場得到應有的價值體現。預計明年，國外相關企業融入國內市場的形式會更多，步子會更大。

三、漏洞影響轉入地下

在去年底安全牛發布的另一篇文章《2015年網絡安全七大趨勢》中，對2015年的漏洞進行了預測：“那些建立在通信協議和傳統操作系統之上的，成熟期較早并在目前得到廣泛應用的軟件和系統可能性較大，比如Java，安卓。至于智能家居或可穿戴設備，雖然生產商缺乏安全考慮，但由于未得到大規模應用，盡管可以預見很多漏洞的發現，但巨大影響力的漏洞無法形成。”

現在我們來看看今年有哪些重大漏洞，這里的漏洞不包括尚未大范圍曝光和尚未產生實際重大影響的漏洞。

Stagefright/java反序列化/Wormhole（蟲洞）/Redis未授權訪問/SS7/Ping Socket use-after-free/DexClassLoader（寄生獸）/VENOM/SMB重定向/FREAK（瘋怪）/Ghost

在這一連串的漏洞中，有系統級的如Stagefright，也有協議級的，如FREAK和SS7。有應用性質的如Wormhole，還有“長老級”的漏洞，如SMB重定向。但無論哪種，均未造成如去年心臟出血漏洞那種級別的影響或損失。原因不外乎，整個業內在各個環節對安全工作的加強，以及應急能力的提升和漏洞提交機制的完善。但不可忽視的是，地下黑市對流行軟件漏洞和零日漏洞的交易極大的危害著全球上網人的利益，甚至是國家和社會安全。

四、信息泄露洶涌依舊

2015年數量最大的四起信息泄露事件分別為，美國人事管理局（OPM）2700萬政府雇員及申請人信息泄露；美國第二大醫療保險公司Anthem8000萬客戶及員工信息泄露；面向全球的婚外戀網站 Ashley Madison 3700萬用戶信息泄露；意大利間諜軟件公司 Hacking Team 被黑，包含多個零日漏洞、入侵工具和大量工作郵件及客戶名單的400G數據被傳到網上任意下載。

這四起信息泄露事件的影響面各有不同，OPM上升到國與國之間網絡戰爭的政治影響，Anthem主要事關客戶個人保險號和病歷，Ashley Madison 則主要為隱私和道德問題，已有兩人因此事而自殺。Hacking Team 的影響主要在于工程化的漏洞和后門代碼公開，等于把網絡武器交到不法人員的手中，輕易地提高了整個地下黑產的平均技術水平。

下面是2015年全球影響比較大的信息泄露事件，時間為事件披露的月份，非事件發生時間：

2014年年底，鐵道部官方網站（12306.cn）13萬用戶信息泄露，包括身份證、登錄口令等，據調查分析應是撞庫所至；

2015年1月，俄羅斯約會網站Topface，2000萬用戶名和電子郵件地址被盜；

2月，優步(Uber)披露，5萬名優步司機的個人信息被不知名的第三方人士獲取，包括社保碼、司機相片、車輛登記號等信息；

3月，醫保提供商Premera藍十字披露，1100萬客戶的醫療和財務數據泄露；

3月，牙齒醫療機構 Advantage Dental 約15萬病人信息泄露，包括姓名、住址、出生日期、電話和社保碼；

4月，360補天平臺披露，遍布19個省份的社保系統相關信息泄露達5279.4萬條，其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息；

4月，美國Metropolitan State大學16萬學生個人信息泄露，包括出生日期、家庭住址、電話、個人成績；

5月，全球知名成人約會網站 Adult FriendFinder 390萬用戶信息泄露，包括電子郵件、IP、甚至是性偏好信息；

5月，手機監聽軟件制造商mSpy約40萬用戶信息泄露，包括電子郵件、短信、照片、付款記錄和跟蹤數據；

5月，美國國稅局超過10萬名納稅人的財務信息泄露；

7月，內衣制造商Hanesbrands客戶訂單數據庫被黑，約90萬網絡和電話用戶信息泄露，包括地址、電話和信用卡后四位數字；

7月，FireKeepers Casino 酒店披露8.5萬信息卡和借記卡信息在2014年泄露，包括銀行卡號、姓名、驗證碼和卡終止日期等信息。；

8月，在線票務銷售平臺大麥網600余萬用戶賬戶密碼泄露并在黑產論壇公開售賣；

8月，英國電信運營商Carphone Warehouse約240萬在線用戶個人信息泄露，其中包括姓名、地址、出生日期和加密的信用卡數據；

10月，音樂眾籌網站Patreon超過16GB的文檔資料泄露，包括230萬個用戶的電子郵件地址；

10月，為美國移動電話服務公司T-Mobile提供數據服務的Experian遭到黑客入侵，導致T-Mobile的1500萬用戶個人信息泄露，包括用戶姓名、出生日期、地址、社會安全號、ID號碼等；

10月，美股券商Scottrade，460萬客戶的姓名及地址信息泄露；

10月，英國電信運營商Talktalk120萬用戶信息泄露，包括電子郵件、名字和電話號碼，以及數萬銀行賬戶信息；

10月，美國網絡券商史考特超過460萬客戶的聯系人信息被攻擊者獲取，泄露的信息為客戶姓名與地址；

10月，烏云平臺曝光網易用戶數據庫“疑似泄露”，數量近5億條。雖然至今沒有證據證明這個數字，但許多普通網民紛紛表示自己的郵箱被登錄篡改，甚至由于用網易郵箱注冊蘋果賬戶，而導致手機網絡犯罪分子鎖住，也是一個不爭的事實；

11月，喜達屋集團旗下54家酒店發現竊取信用卡信息的惡意軟件，包括客戶名稱、信用卡號碼、信用卡安全碼和到期日期等信息泄露，泄露數量尚未公布；

11月，香港早教電子設備公司偉易達（VTech）500萬用戶和600萬兒童的個人信息泄露，包括登錄密碼、IP地址、照片、聊天記錄姓名、性別等；

12月，英國快餐連鎖店waterspoons 65萬顧客信息泄露，包括姓名、出生日期、電子郵件和電話號碼。

值得注意的是，與2014年相比，國內信息泄露事件的曝光度有上升的趨勢。

五、APT攻擊層出不窮

　　APT28

自2007年就開始活動的APT28黑客組織，不斷利用零日漏洞攻擊北約和美國國防機構，這是一個技術高超的以收集國防和地理政治情報的網絡間諜活動小組，技術人員分析該小組由俄羅斯政府支持。

APT17

APT17攻擊過美國國防承包商、法律事務所、政府機構，以及科技公司和礦產企業。這個黑客小組主要通過魚叉式釣魚的手段實施初始攻擊，并通過微軟產品的技術文檔網站TechNet作為攻擊平臺。

Duqu

反病毒廠商卡巴斯基今年也遭遇APT攻擊，其使用的攻擊程序被稱為Duqu 2.0，它利用了三個微軟的零日漏洞，Duqu是繼震網蠕蟲后最受關注的惡意程序之一，大多數Duqu出現在工控系統中。

Naikon

Naikon黑客活動組織在過去五年內大量地、高調地進行地緣政治活動。他們在多個國家部署了高級的數據挖掘工具和監視工具，主要目標是菲律賓、馬來西亞、柬埔寨、印度尼西亞、越難、新加坡、緬甸、尼泊爾等國的政府高層機構、民間和軍事組織。

沙蟲

一個名為沙蟲小隊的黑客組織利用Windows操作系統中的零日漏洞“沙蟲”，制作PPT文件實施攻擊。沙蟲實施攻擊的目標主要有五大類：政府、學院、北約、能源機構和電信運營商，受攻擊對象遍及歐洲甚至還有美國。

圖拉

圖拉是一個高度復雜的網絡間諜組織，有可能背后為俄羅斯政府支持。十幾年來，進行著目標為政府機構、大使館和軍隊的網絡間諜活動。全世界四十多個國家，都是其活動目標，包括哈薩克斯坦、中國、越南和美國，尤其是東、中歐國家。極為高端的是，圖拉劫持合法用戶的通信衛星IP地址，然后用來盜取數據，以隱藏他們的命令控制服務器。

方程小組

卡巴斯基實驗室公布的研究報告稱，希捷、東芝、西部數據等知名硬盤廠商制造的十幾個品牌的硬盤的固件中都被一個名為“方程小組”的黑客組織（疑為美國國家安全局支持）植入了間諜軟件。該小組的活動可追溯到2001年，甚至可能始于1996年，它用多種間諜軟件感染了30多個國家和地區成千上萬的電腦系統。主要目標國包括伊朗、俄羅斯、阿富汗、中國等，涉及政府、軍事、金融、能源、媒體等機構。

海蓮花

360“天眼實驗室”發布的報告，首次披露一起針對中國的國家級黑客攻擊細節。該境外黑客組織被命名為“海蓮花（OceanLotus）”，自2012年4月起，“海蓮花”針對中國的海事機構、海域建設部門、科研院所和航運企業，使用木馬病毒攻陷和控制政府人員、外包商、行業專家等目標人群的電腦，甚至操縱電腦自動發送相關情報，很明顯是一個有國外政府支持的APT行動。

APT攻擊趨勢近年來愈演愈烈，反映出國家之間在網絡空間層面上的搏弈。

六、安全事故引發重視

國內影響最大的一起安全事故則是XGhost事件。

今年9月17日，網上消息曝光非官方下載的蘋果開發環境Xcode中包含惡意代碼，會自動向編譯的APP應用注入信息竊取和遠程控制功能。經確認，包括微信、網易云音樂、高德地圖、滴滴出行、鐵路12306，甚至一些銀行的手機應用均受影響。App Store 上超過3000個應用被感染。

國內另外兩起影響較大的安全事故，一是今年5月的攜程網由于員工錯誤操作導致長達十幾個小時的宕機，大量用戶無法訪問網站，直接損失達數千萬元。二為9月1日阿里云服務器預裝的安全產品云盾“安騎士”升級觸發bug，將所有新啟動的可執行文件都當成了惡意文件進行隔離，部分用戶的線上服務受到嚴重影響，并無法進行運維工作。

安全事故往往是由于安全管理的松懈疏忽或流程問題而導致的，隨著互聯網的普及和深入，龐大系統的穩定運行變得越來越重要，運維工作也是整個安全保障工作中重要的組成部分。

七、政策法規蓄勢待發

　　國內

《2015年網絡安全七大趨勢》一文中曾“大膽預見，2015年有可能看到立法草案的出臺”。2015年6月底，十二屆全國人大常委會第十五次會議24日審議了《網絡安全法（草案）》，并于7月初向社會公開征求意見。《草案》的重要內容主要包括，確定了網絡安全工作基本原則、將個人信息保護納入正軌和網絡產品和服務的安全保障，還規定了重大突發事件時政府可采取臨時措施限制網絡。可以預計，當《草案》成為正式法規發布后，其他相關的安全規定、條例也會相繼出臺。

其他一些影響面較大的與安全政策相關的事件：

6月，《中國互聯網協會漏洞信息披露和處置自律公約》在京簽署，公約提出漏洞信息披露的“客觀、適時、適度”三原則；

6月，國務院辦公廳發布《關于運用大數據加強對市場主體服務和監管的若干意見》。加大網絡和信息安全技術研發和資金投入，建立健全信息安全保障體系。采取必要的管理和技術手段，切實保護國信息安全以及公民、法人和其他組織信息安全；

7月，新的國家安全法實施。新法要求建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；

8月，人大正式通過中華人民共和國刑法修正案（九）。明確了網絡服務提供者履行信息網絡安全管理的義務，加大了對信息網絡犯罪的刑罰力度，進一步加強了對公民個人信息的保護，對增加編造和傳播虛假信息犯罪設立了明確條文；

9月，國務院印發《促進大數據發展行動綱要》，在網絡和大數據安全方面要求，在涉及國家安全穩定的領域采用安全可靠的產品和服務，到2020年，實現關鍵部門的關鍵設備安全可靠；

11月，工商總局印發《關于加強網絡市場監管的意見》，全面加強網絡市場監管。推進“依法管網”、“以網管網”、“信用管網”和“協同管網”。

國際

5月，美國商務部工業與安全局公布《瓦森納協定》的修改草案，新規則規定美國企業或個人向境外廠商報告漏洞情況是一種出口行為，需預先申請政府許可，否則將被視為非法；

6月，美國國會今年6月通過《美國自由法案》，11月國家安全局正式停止對公眾的大規模監聽公眾電話數據的行動；

10月，歐盟法院宣布與“美國-歐盟安全港協議”有關的“2000/520號歐盟決定”無效。歐盟成員國數據監管機構可以依此禁止美國公司收集、存儲其國民的個人數據；

10月，美國國會參議院通過《網絡安全信息共享法案》，允許公司和政府分享黑客攻擊信息，之前眾議院也通過了這個法案，最終等到美國總統奧巴馬簽署后，將成為正式法律；

11月，英國政府公布新版《調查權法草案》，要求互聯網公司和手機制造商能永久地攔截和收集通過其網絡傳播的個人數據，并賦予其協助安全機構和警察調查國家安全相關事項的權利。

八、國家網絡空間安全體系建設迫在眉睫

今年6月，美國人事管理辦公室被黑客滲透，2700萬人信息泄露，美國國家情報總監克拉珀竟然公開表示，將中國確定為入侵事件的首要嫌疑對象。美媒甚至報道，奧巴馬政府正在研究一系列針對中國的“前所未有的”經濟制裁，制裁對象主要為“通過網絡盜竊美國貿易機密信息中獲益的中國企業和個人”。但最終在12月中國兩國的首次網絡安全對話上，雙方確認將OPM事件定義為非國家支持的攻擊。

今年9月，習近平主席訪美，與網絡議題相關的領域達成六點共識。包括網絡安全審查、商業領域加強信息通訊技術網絡安全的一般措施、惡意網絡活動提供信息及協助、反對網絡竊取知識產權、制定和推動國際社會網絡空間國家行為準則，以及建立兩國打擊網絡犯罪及相關事項高級別聯合對話機制。

就在當月，美國網絡司令部的兩份合同及訂單草案顯示，出于美國網絡司令部將把4.6億美元的擴展網絡攻擊能力職責，外包給國防承包商。美國一直視我國為其網絡安全最大的對手，其國防部在7月份針對國外發起的網絡攻擊發布了一個新型戰略，中國是其戰略目標之一。美國現在已經組建了數萬人的網軍，研發了上千種網絡戰武器。整個網絡的作戰體系已經完成，隨時可發動網絡戰爭。

而目前，我國的網絡安全問題依舊突出。如安全意識的缺乏，網絡對抗能力較弱，包括法律、經費和人才等網絡安全方面的基礎不牢，關鍵信息基礎設施安全防護能力較差等。雖然與美國達成了一定程度上的共識，但背后的網絡安全能力較量仍然繼續，并且形勢非常嚴峻，構建“打防管控”一體化的網絡安全綜合防控體系迫在眉睫！

通覽全篇“2015年網絡安全大事記”，可以用四句話來概括：

巨頭布局企業安全，新興初創躍躍欲試。

漏洞黑市激流暗涌，大潮來臨國家驅動。

2015年度大事就記錄到這里，明年見！