我的位置 首页  >  新闻动态  >  国内新闻

盘点 | 2018网络安全五大看点

来源:科技成果转化中心时间:2019-02-01
      

网络安全内外环境变化之际

波澜起伏的2018年,伴随着错综复杂的环境更迭和频发事件,而让人刻骨铭心。在网络安全领域,让人记忆犹深的事情也很多,而且这几年持续高热,显示出风景这边独好的特殊画风。

我们把2014年中央网信领导小组成立,看作是中国网络安全迈进新时期的标志。这五年来经历了从开局破题,到稳步推进、重大突破、纵深迈进几个重要阶段。可以看出,过去几年大环境所带来的巨大影响,比如政策法规出台,战略部署和顶层设计完善,安全产业创新、人才培养和安全意识普及,包括新技术在安全领域的推广应用、媒体广泛报道等等方面,共同营造了网络安全大发展的外部环境和浓郁氛围,一些过去多年久拖未决的老大难问题也逐步得到解决。国际上像我们这样把网络安全上升到国家层面如此高度的国家并不多。

按理说,这样良好的外部环境,我们各方面的工作本来应该做得更好,直接的和间接的效果会更加显著一些的,尽管成绩是毋庸置疑的,但在成绩背后依然存在许多不尽人意的地方,比如,我们的网络安全产业规模一直上不去,与信息化规模严重不匹配,企业的日子并不宽裕,制约了企业创新的主动性;从安全保障水平上看,出了那么多法律,采取了那么多措施,可是网络新型犯罪还是居高不下,网络黑产、信息泄露、电信诈骗等依旧猖獗;安全教育培训做了那么多工作,人才紧缺的问题矛盾尚未得到缓解,新的人才流失、招人难问题又开始突显。

全国人大常务委员会执法检查组2017年底在实施“一法一决定”的报告中,综合归纳了网络安全方面存在的困难和问题,包括“网络安全意识亟待增强、网络安全基础建设总体薄弱、网络安全风险和隐患突出、用户个人信息保护工作形势严峻、网络安全执法体制有待进一步理顺、网络安全法配套法规有待完善、网络安全人才短缺”等七个方面。报告尖锐地指出,网络安全监管“九龙治水”现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。一些地方网络信息安全多头管理问题比较突出,发生信息泄露、滥用用户个人信息等信息安全事件后,用户经常遇到投诉无门、部门之间推诿扯皮的问题,标准不一、执法不协调、边界不清、安全责任制存在困难等问题。

讨论这些问题,目的是要探究其产生的根源和解决的途径。可以看到,2018年承上启下,不论是政策法规的新要求,还是产业转型创新的新迹象,新技术应用带来的新变化,都在显示出网络安全内在变化的强烈驱动。这种积极的信号,所传递的丰富内涵,对于未来网络安全发展的走向必将产生深远的影响。因此,这应该是2018年网络安全工作的最大亮点和看点,具体来说可以从政策、行业、新技术、攻防和生态等五个方面详细切入。


政策显现新信号

2018年,网络安全和网信工作的头等大事,当属4·20全国网信工作会议的召开。此前2018年3月,中共中央印发的《深化党和国家机构改革方案》称:为加强党中央对涉及党和国家事业全局的重大工作的集中统一领导,强化决策和统筹协调职责,将中央网络安全和信息化领导小组改为中央网络安全和信息化委员会,与其他三个委员会共同负责相关领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。

一个月后,最高规格的全国网信工作会议召开。习近平总书记在会上作了重要讲话。他指出,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”,“核心技术是国之重器。要下定决心、保持恒心、找准重心,加速推动信息领域核心技术突破”,“要加强党中央对网信工作的集中统一领导,确保网信事业始终沿着正确方向前进。各地区各部门要高度重视网信工作,将其纳入重点工作计划和重要议事日程,及时解决新情况新问题。”李克强总理在主持会议时指出,习总书记的讲话,“为加强网络安全和信息化工作、加快推进网络强国建设明确了前进方向、提供了根本遵循。”中央政治局常委王沪宁在总结讲话时,把习近平总书记的讲话定义为“指导新时代网络安全和信息化发展的纲领性文献”。

这次会议是在中美贸易战正面冲突始后不久召开的,其中一个核心议题如新华社评论所说,重点“突破核心技术,筑牢安全防线”。会议的另外一个重要内容,即加强党对网信工作的集中统一领导,明确各地区各部门要把网信工作纳入工作重点。

这一年,《关键信息基调设施安全保护条例》和《等级保护条例》抓紧制定,呼之欲出。这两个条例是推进落实网络安全法的重要配套措施,据公布的关键信息基础设施安全保护条例征求意见稿第五条规定,关键信息基础设施的运营者对本单位关键信息基础设施安全负主体责任。《网络安全等级保护条例(征求意见稿)》也进一步明确“建立网络安全等级保护工作责任制,落实责任追究制度”。

政策和策略是党的生命,也是网络安全的生命。4·20会议和两个条例的制定及相关政策举措,传递的强烈信号就是,切实加强网络安全工作的组织保障、责任落实和法律规制。结合2017年底“一法一决定”核查报告中所提出的问题,其根本原因正是在于组织保障、责任落实和法律规范的不到位,而唯有抓住了这个根源并真正解决,法律才不会停留在纸面条文上,责任才不会弱化到形式中,许多问题才能够迎刃而解。

这种监管趋严、合规钢化的趋势,在国际社会随着GDPR等法律的实施,也表现出东方西方不谋而合的一致性。


行业新要素与攻防新动向

近年来,我国政府出台了一系列政策推动数字经济发展,鼓励传统行业进行数字化转型,把它作为新时代经济转型发展的主抓手。网络新兴技术,推动了数字经济的高速发展,并广泛渗透到各个领域,成为世界经济社会发展的新动能。

这股广泛而深刻的数字化革命浪潮,所带来的影响是深刻而广泛的。数字经济转型过程中涌现的各种新模式、新业态,给传统监管规制带来了新挑战,需要平衡新业态、新模式创新要求与防范风险的关系和尺度。网络安全再次突显,成为数字经济举足轻重的筹码。

数字经济和数字化转型,关键重要的资源当然是数据。围绕数据保护的监管和技术举措,构成了当前网络安全的核心和焦点。近年来,数据泄露大事件频频发生,2018年更是接连不断,数据泄露的数量和频次也大为提高,国内国外都不乏触目惊心的案例。据身份盗窃资源中心(ITRC)统计,2018年计发生了1100多起较大规模的数据泄露事件,有统计标明了十大数据泄露事件的数量:Aadhaar(10亿条)、万豪喜达屋(5亿条)、Exactis(3.4亿条)、MyFitnessPal(1.5亿条)、Quora(1亿条)、MyHeritage(9200万条)、Facebook-Cambridge Analytica(8700万条)、Google+(500万条)、Facebook(5000万条)、Chegg(4000万条)。

自2017年“永恒之蓝”勒索病毒爆发以来,针对政府、金融等行业的攻击层出不穷。2018年,虽然勒索软件的数量有所减少,但随着网络犯罪分子升级攻击手段,复杂程度却在提高。新的勒索软件变种的数量比去年增长了46%,意味着勒索软件仍然是许多企业的威胁,特别是涉及医疗保健和金融领域更是勒索软件攻击的两个最热门目标。赛门铁克发布的网络安全趋势报告显示,越来越多的国家利用网络手段来获取敏感信息,例如公司机密和政府基础设施系统等绝密信息。在个人用户方面上,信息泄露事件愈演愈烈。——信息泄露事件和勒索病毒攻击等,都与数据密切相关。

其他方面,除传统网络攻击外,加密恶意软件影响有较大上升。据网络攻击趋势(2018年中报告)分析,2018年上半年发现的三大最常见恶意软件变种都是加密货币矿工,甚至超过了勒索软件成为2018年最大的网络安全威胁。360应急响应事件处置报告则列出了针对政府机构、大中型企业的攻击比例,其中,黑产活动、敲诈勒索比例最高,攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动谋取暴利;利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。其次是内部违规、APT攻击和出于政治原因攻击,有组织性、针对性的攻击团队对政府机构、大中型企业的攻击目的不单单是为钱财,而有可能出于政治意图,窃取国家层面、重点领域的数据,虽然APT攻击和出于政治原因的攻击数量相对较少,但其危害性较重。随着信息化深入,工业互联网安全逐渐成为热点,工业控制安全这几年也一直引人瞩目。赛门铁克发布2019年及未来网络安全趋势预测,2018年,大型企业的系统和网站成为网络攻击的主要目标,并且将在2019年继续成为潜在攻击对象,针对不同目标受害者的威胁活动也在不断升级。

数据泄露有多猛,信息和数据保护就有多热。2018年,最受关注的信息和数据保护法律,当首推5月开始实施的欧盟通用数据保护条例(GDPR),它被称作是“史上最严”的数据保护法。6月美国加州消费者隐私法案(CCPA)颁布同样影响巨大,被认为是美国国内最严格的隐私立法。加拿大已实施类似GDPR的法律,巴西新近也通过了类似GDPR的隐私法律,并将在2020年开始生效,此外澳大利亚、新加坡、印度等国家也都有所动作。在我国,2018年5月1日起正式实施的国家标准《信息安全技术 个人信息安全规范》,与国际社会保护个人信息的诉求相一致。多年来,有关个人信息保护的立法呼声从来没有停止过,在近年来随着个人信息泄露事件的大面积暴发,而变得更加强烈。


技术新驱动与产业新生态

滚滚而来的新技术热潮,特别是新兴的所谓颠覆性技术,如大数据、云计算、物联网、人工智能、5G,以及区块链、半导体芯片等持续叠加创新,对各行各业已经或正在产生革命性影响。网络安全作为前沿的强对抗性领域更不例外。

以人工智能为例,赛门铁克提出,攻击者不仅将目标锁定在人工智能系统上,也在通过人工智能技术实施犯罪活动。由人工智能技术驱动的自动化系统可以探测网络和系统,从中找探测寻找未被发现的漏洞,从而加以利用。人工智能技术还可以通过仿造逼真的视频、音频、电子邮件,通过社会化手段对个人目标进行攻击。不仅如此,通过人工智能技术,攻击者能够创建出超逼真的虚假信息攻击活动。由人工智能技术驱动的攻击工具可以发动更为复杂的针对性攻击,进一步降低攻击的成本。同样,防御者也将越来越依赖 AI技术来应对网络攻击并识别漏洞,比如,威胁识别系统使用机器学习技术来识别新的威胁,利用人工智能技术进一步强化安全环境,防御攻击,由人工智能技术驱动的系统可发起一系列模拟攻击,通过不断的攻击迭代发现新的漏洞,及时采取保护措施。同时,人工智能与其他技术也更有可能帮助个人消费者更好地保护数字安全与隐私,这些基于安全的人工智能技术可以帮助用户做出更明智的保护决定。

而随着5G商用步伐的临近,或将进一步扩大网络攻击的范围,5G催生的全新运营模式和架构,也会催生新的漏洞。越来越多的物联网设备直接连接至5G网络,而非通过Wi-Fi路由器,将使设备更容易遭到攻击,在云端备份或传输数据也会为攻击者提供大量新的攻击目标。其他针对物联网相关的攻击将发展出比海量DDoS 攻击更危险的攻击形式,通过新的方式利用家庭Wi-Fi路由器和其他安全性较差的物联网设备来进行攻击,其中一种便是利用物联网设备发起海量加密劫持活动。

在这样的新技术环境下,“加快构建高速、移动、安全、泛在的新一代信息基础设施,形成万物互联、人机交互、天地一体的网络空间”,就是当前和今后网络安全努力的方向。从4·19讲话到4·20讲话,总书记先后提出了“全天候全方位感知网络安全态势”,建立“关口前移,防患于未然的网络安全管理体系”等要求。为此,近年来,网络安全行业致力于主动防护的安全技术创新,从态势感知到威胁情报发现利用,突破传统边界防护的藩篱,不唯新锐企业大胆尝试,连一些老牌的安全厂商也开始行动起来,创新转型成为安全产业的大趋势。

当前影响网络安全产业创新的主要问题有两个,一是产业规模不大、企业营收、可支配资金短缺,而模仿跟进风险小、成本低,创新转型对一些传统安全厂商而言则包袱过重;二是人力成本过高,据某企业反映其人力成本就占公司总支出的70%以上,如果社保新税收制度实行,对中小企业资金运转将进一步造成不利影响。加之近年来人才流失情况明显,招人难留人难问题成为一些企业的新病。这些年,网络安全产业表面上看上去火红,但很多企业日子并不好过。

解决企业创新动力不足的问题,根本上还是要从发展上找出路。首先是要解决网络安全产品和服务的购买问题,即解决甲方的问题,要通过组织保障、责任落实和法律规制让他们自发地而不是可有可无地购买安全产品与服务,否则就会面对追责和法制的后果。过去总是从各个方面谈产业壮大的办法,谈国家产业倾斜,谈了很多年并不见起色,根子就在这里。这些问题如果解决不好,网络安全产业就很难有较大的突破,企业的营收和由此造成的人员流失的痼疾就很难得到改观。2018年,政策传递出积极的信号,令人鼓舞,但关键是落实!

这一年,安全运维、安全服务逐渐走热。为机构、部门和大型企业提供专业的安全技术产品与服务,代表着安全产业新的和正确的方向,它将改变各厂商零敲碎打地建渠道打市场的发展模式,从而避免各企业在市场上白热化搏杀,避免人才被硬生生挖走,进而推动产业创新,促使产业发展壮大。

2018年,建立网络安全产业生态受到各方追捧。各种安全会议都在开设安全生态分论坛,除新的安全需要相互分享情报、联合作战外,大家也隐约地感受到一个新良性生态正在到来。与此同时,各种安全会议继续此起彼伏、火热异常,各种大赛评比也是接二连三,这既表明安全行业形势喜人,另一方面也透露出某种浮躁的情绪潜滋暗长。

2018年,国家继续强化网络治理,净化网络环境,打击网络犯罪,整治网络乱象,开展国际交流,在落实中央战略部署,建设网络强国大业等方面稳步向前推进。

透过浮华的表象,理清安全的内在脉络,是网络安全行业关注和必须静下心来思考的大问题。本刊每年例行推出年度盘点,就是要为网络安全提供总结的线索,迈向新的征程。在全球经济趋缓、国内经济调整改革环境下,我们对网络安全的美好未来却有理由信心满满。



文章来源:中国信息安全


       (科技成果转化中心供稿)