縱觀2019年,我國在網(wǎng)絡安全領域取得了新的成就,但是隨著數(shù)字化轉型步入深水區(qū),大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等基礎應用持續(xù)深化,數(shù)據(jù)泄露、高危漏洞、網(wǎng)絡攻擊以及相關的智能犯罪等網(wǎng)絡安全問題也呈現(xiàn)出新變化,嚴重危害國家關鍵基礎設施安全、挑戰(zhàn)公民隱私安全甚至危及社會穩(wěn)定。
來,我們一起回顧2019年度我國的網(wǎng)絡安全形勢。
(一)國內(nèi)網(wǎng)絡安全政策環(huán)境和產(chǎn)業(yè)生態(tài)得到持續(xù)優(yōu)化
1.國家層面加緊制定網(wǎng)絡安全領域相關法律法規(guī)
一是我國相關部門穩(wěn)步推進網(wǎng)絡安全相關立法計劃?!峨娦欧ā贰稊?shù)據(jù)安全法》列入十三屆全國人大常委會立法規(guī)劃,相關研制論證工作有序開展。2019年7月,由國家密碼管理局起草的《中華人民共和國密碼法(草案)》在全國人大網(wǎng)公布,向社會公開征求意見。由中央網(wǎng)信辦、工業(yè)和信息化部、公安部負責起草的《關鍵信息基礎設施安全保護條例》列入國務院2019立法計劃,有望年內(nèi)正式出臺。另外,《網(wǎng)絡安全等級保護條例》已于2018年6月向社會公開征求意見。
二是我網(wǎng)絡安全領域重要制度建設進程得到快速推進。自2019年5月起,《網(wǎng)絡安全審查辦法》《數(shù)據(jù)安全管理辦法》《兒童個人信息網(wǎng)絡保護規(guī)定》《網(wǎng)絡關鍵設備安全檢測實施辦法》《個人信息出境安全評估辦法》《網(wǎng)絡安全漏洞管理規(guī)定》等重要制度相繼完成向社會公開征求意見,進入修改完善階段。2019年7月,國家網(wǎng)信辦、國家發(fā)展改革委、工業(yè)和信息化部、財政部聯(lián)合發(fā)布《云計算服務安全評估辦法》,對黨政機關、關鍵信息基礎設施運營者采購使用的云計算服務提出更高安全要求。
2.國家對重要行業(yè)和新興領域安全要求進行細化
一是電力、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等重要行業(yè)領域網(wǎng)絡安全頂層設計密集出臺。國家能源局發(fā)布《關于加強電力行業(yè)網(wǎng)絡安全工作的指導意見》,提出加強全方位網(wǎng)絡安全管理、強化關鍵信息基礎設施安全保護、提高網(wǎng)絡安全態(tài)勢感知、預警及應急處置能力等16條意見,明確了電力行業(yè)今后一段時間內(nèi)網(wǎng)絡安全工作重點。
工業(yè)和信息化部印發(fā)《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)產(chǎn)業(yè)發(fā)展行動計劃》,將“強化管理、保障安全”作為基本要求,提出了“產(chǎn)業(yè)安全管理體系初步形成,安全管理制度與安全防護機制落地實施,安全技術及產(chǎn)品研發(fā)取得階段性成果,安全技術支撐手段建設初見成效,安全保障和服務能力逐步完善”的階段性發(fā)展目標。
2019年9月,工業(yè)和信息化部會同九部門聯(lián)合印發(fā)《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》,要求“加快構建工業(yè)互聯(lián)網(wǎng)安全保障體系,形成覆蓋工業(yè)互聯(lián)網(wǎng)全生命周期的事前防范、事中監(jiān)測和事后應急能力”。
2019年12月“國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知與風險預警平臺”正式發(fā)布。該平臺通過主動探測與流量分析相結合的方式,充分利用行業(yè)監(jiān)管數(shù)據(jù)資源優(yōu)勢,實現(xiàn)多維感知安全態(tài)勢、及時預警風險信息、多元匯聚基礎資源等功能,依托“國家-省-企業(yè)”三級架構,形成“全國一盤棋”的工業(yè)互聯(lián)網(wǎng)安全風險實時監(jiān)測、動態(tài)感知、快速預警的監(jiān)測保障體系。
二是金融科技、區(qū)塊鏈、IPv6等新興技術領域安全發(fā)展目標和要求更為明確。2019年1月,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《區(qū)塊鏈信息服務管理規(guī)定》,明確區(qū)塊鏈信息服務提供者的信息安全管理責任,規(guī)范和促進區(qū)塊鏈技術及相關服務健康發(fā)展,規(guī)避區(qū)塊鏈信息服務安全風險,為區(qū)塊鏈信息服務的提供、使用、管理等提供有效的法律依據(jù)。
2019年4月,工業(yè)和信息化部印發(fā)《關于開展2019年IPv6網(wǎng)絡就緒專項行動的通知》,提出“完善網(wǎng)絡安全管理制度體系,同步升級防火墻/WAF、IDS/IPS、4A系統(tǒng)等IPv6網(wǎng)絡安全防護手段”等系列增加網(wǎng)絡安全保障的措施。2019年8月,中國人民銀行印發(fā)《金融科技(FinTech)發(fā)展規(guī)劃(2019-2021年)》,圍繞大數(shù)據(jù)、云計算、人工智能等新興技術在金融領域安全應用以及金融網(wǎng)絡安全風險管控等提出細化措施。
(二)新興產(chǎn)業(yè)蓬勃發(fā)展驅(qū)動安全創(chuàng)新變革
一是新技術新業(yè)態(tài)不斷涌現(xiàn),伴隨新的安全風險和挑戰(zhàn)。伴隨新一代信息通信技術在更廣范圍、更深層次、更高水平與實體經(jīng)濟融合,網(wǎng)絡安全風險和挑戰(zhàn)也不斷滲透、擴散、放大,亟需在工業(yè)互聯(lián)網(wǎng)、區(qū)塊鏈、5G、IPv6等領域加大安全研究力度,提早謀劃,預先布局,有效防范不斷變化的安全風險。
二是新興技術與網(wǎng)絡安全融合創(chuàng)新,驅(qū)動安全防御能力演進升級。例如,區(qū)塊鏈技術推動數(shù)據(jù)存儲方式轉型和信任機制重塑,目前已應用于無密鑰的簽名方案、強認證的安全數(shù)據(jù)存儲等安全場景中。人工智能技術能夠更快、更精準、更全面的進行采集和分析,提高攻擊威脅等的監(jiān)測、識別、響應效率,目前已在入侵檢測、惡意軟件分類、用戶行為分析、攻擊智能感知等方面取得積極進展。
三是新興技術的惡意利用和濫用,倒逼安全防護能力提升。人工智能技術助力網(wǎng)絡攻擊自動化、智能化,催生新型網(wǎng)絡犯罪模式和行為,并將危害影響從網(wǎng)絡空間傳導至現(xiàn)實社會。面對更為嚴峻的攻防對抗形勢,安全防護理念、思路和技術實現(xiàn)路徑也需動態(tài)調(diào)整、適配。
(三)網(wǎng)絡安全形勢依舊嚴峻,數(shù)據(jù)泄露、惡意攻擊等層出不窮
一是個人信息和重要數(shù)據(jù)泄露頻發(fā),我國境內(nèi)面臨嚴峻安全風險。2019年,數(shù)據(jù)泄露事件頻發(fā)。而在我國境內(nèi)大量使用的MongoDB、Elastic search數(shù)據(jù)庫也相繼曝出存在嚴重安全漏洞,或?qū)е聰?shù)據(jù)泄露風險。據(jù)CNCERT抽樣監(jiān)測發(fā)現(xiàn),我國境內(nèi)互聯(lián)網(wǎng)上用于MongoDB數(shù)據(jù)庫服務的IP地址約2.5萬個,其中存在數(shù)據(jù)泄露風險的IP地址超過3000個,涉及我國一些重要行業(yè)。鑒此,我國境內(nèi)面臨嚴重的數(shù)據(jù)泄露風險。
二是針對我國重要網(wǎng)站的DDoS攻擊事件高發(fā),嚴重威脅我網(wǎng)絡安全。正如前期預測一樣,2019年帶有特殊目的、針對性更強的網(wǎng)絡攻擊越來越多。攻擊者利用公開代理服務器向目標網(wǎng)站發(fā)起大量的訪問,訪問內(nèi)容包括不存在的頁面、網(wǎng)站大文件、動態(tài)頁面等,由此來繞過網(wǎng)站配置的CDN節(jié)點直接對網(wǎng)站源站進行攻擊,達到了使用較少攻擊資源造成目標網(wǎng)站訪問緩慢甚至癱瘓的目的。2019年,針對我國境內(nèi)目標的DDoS攻擊中,來自境外的DDoS攻擊方式以UDP Amplification FLOOD攻擊、TCPSYNFLOOD攻擊方式等為主,其中又以UDP Amplification FLOOD攻擊方式占比最高,對我境內(nèi)網(wǎng)絡安全造成重要威脅。
三是利用釣魚郵件發(fā)起有針對性的攻擊頻發(fā),嚴重危害信息安全。據(jù)統(tǒng)計分析,2019年,利用釣魚郵件發(fā)起有針對性的攻擊呈上升趨勢。僅2019年上半年,據(jù)CNCERT統(tǒng)計,其監(jiān)測發(fā)現(xiàn)的惡意電子郵件數(shù)量超過5600萬封,涉及惡意郵件附件37萬余個,平均每個惡意電子郵件附件傳播次數(shù)約151次。另外,對通過釣魚郵件竊取郵箱賬號密碼情況進行分析,發(fā)現(xiàn)我國平均每月約數(shù)萬個電子郵箱賬號密碼被攻擊者竊取,攻擊者通過控制這些電子郵件對外發(fā)起攻擊。綜上,我境內(nèi)信息安全形勢依舊嚴峻。
四是多個高危漏洞被曝,嚴重威脅我網(wǎng)絡安全。2019年以來,WinRAR壓縮包管理軟件、Microsoft遠程桌面服務、Oracle WebLogicwls-9-async組件等曝出存在遠程代碼執(zhí)行漏洞,給我國網(wǎng)絡安全造成嚴重安全隱患。以Oracle WebLogicwls-9-async組件存在反序列化遠程命令執(zhí)行“零日”漏洞為例,該漏洞容易利用,攻擊者利用該漏洞可對目標網(wǎng)站發(fā)起植入后門、網(wǎng)頁篡改等遠程攻擊操作,對我國網(wǎng)絡安全構成了較為嚴重的安全隱患。這些基礎軟件廣泛應用在我國基礎應用和通用軟硬件產(chǎn)品中,若未得到及時修復,容易遭批量利用,造成嚴重危害。同時,近年來“零日”漏洞收錄數(shù)量持續(xù)走高,因“零日”漏洞在披露時尚未發(fā)布補丁或相應的應急策略,一旦被惡意利用,將可能產(chǎn)生嚴重安全威脅。
(四)持續(xù)深化網(wǎng)絡安全國際合作,助力網(wǎng)絡安全產(chǎn)業(yè)發(fā)展
1.網(wǎng)絡空間國際交流合作日益緊密,交流協(xié)作載體不斷豐富。
金磚國家未來網(wǎng)絡研究院中國分院在深圳揭牌,重點開展新型網(wǎng)絡體系架構、新一代移動通信、工業(yè)互聯(lián)網(wǎng)、人工智能、車聯(lián)網(wǎng)、網(wǎng)絡與信息安全等領域國際合作。
2.國內(nèi)企業(yè)國際化探索縱深推進。
近年來,越來越多的國內(nèi)網(wǎng)絡安全企業(yè)制定了面向全球的發(fā)展戰(zhàn)略,努力開拓海外網(wǎng)絡安全市場。一是部分企業(yè)實現(xiàn)海外擴展取得成效。一方面,海外營收持續(xù)增長;另一方面,海外研發(fā)中心加快建設。二是“一帶一路”成為國際化布局重要方向。三是國際網(wǎng)絡安全大會仍是國際化拓展的重要平臺。2019年美國RSA大會上,中國參展機構達到了36家,較2018年增長了38%,全面展示了我國企業(yè)在云安全、工控安全、大數(shù)據(jù)安全、終端安全、身份管理與訪問控制等領域的網(wǎng)絡安全解決方案。
注:本報告中相關數(shù)據(jù)來源于《2019年中國網(wǎng)絡安全產(chǎn)業(yè)白皮書》、《信息安全雜志》以及國家互聯(lián)網(wǎng)應急中心發(fā)布的相關報告等。
摘選自:E安全https://www.easyaq.com