一、安全事件
2016年,各种信息安全事件依旧层出不穷,且愈演愈烈,影响到人类社会生活的方方面面。
1. 信息及数据泄露
国内高校学生的个人信息泄露,则导致即将步入大学的女学生徐玉玉失去生命。
美国民主党委员会的信息系统可能遭到俄罗斯攻击,致使总统候选人希拉里的邮件泄露,直接影响到了美国大选的进程与结果。
数量最大的一起个人信息泄露事件当属雅虎两次账户信息泄露,涉及高达15亿的个人账户,该起事件导致雅虎被威瑞森48亿美元收购一事的搁置,甚至可能会撤消。
据统计,仅在今年前10个月,全球已约有3000起公开的数据泄露事件,22亿条记录被披露,已经超过2015年全年。
值得注意的是,今年4月份达到今年数据泄露事件的一个小高潮,不算上表的统计,还包括卡塔尔、叙利亚、肯尼亚、俄罗斯等多个国家的政府及网站数据发生泄露。
2. 网络攻击
除了信息泄露,网络攻击事件在2016年也呈上升态势,波及到各个领域。
去年12月底,乌克兰70万家庭断电,这是世界上首例由恶意软件而引发的大规模断电事件。
今年3月,黑客入侵孟加拉银行盗走支付交易凭证,通过国际银行结算系统SWIFT最终转出8100万美元。至今为止,与SWIFT有关的网络攻击事件已经发生数起。
8月,黑客组织“影子经济人”盗取了美国国家安全局大量黑客工具和漏洞利用代码,并以6.11亿美元的价格在网上售卖。这些工具被安全专家证实,可突破思科、Juniper、飞塔等一流安全厂商的防火墙。该起事件,堪比去年Hacking Team 黑客工具被盗一事,全球的相关安全厂商和企业都不得不检查和更新自身的产品或防护措施。
10月,域名服务商Dyn遭遇DDoS攻击,美国西海岸大规模断网,许多全球知名网站无法访问。
2016年的网络攻击事件有三个态势值得注意:
一是DDoS规模和数量的激增。主要原因是DDoS工具的自动化和服务化,任何人都可以以非常小的成本购买DDoS服务,轻易发动攻击,再加上物联网设备的爆发,在将来发生更具规模和破坏力攻击的可能性非常之大。
二是勒索软件。2016年堪称勒索软件元年,截止到今年第三季度,检测出380多万个恶意样本。12月14日发布的一份报告称,某勒索软件作者兼分发者,仅上半年就勒索到1.21亿美元,净利润达9400万美元。美国联邦调查局认为,2016年勒索软件的非法收入将达到10亿美元。
三是商业邮件欺诈(BEC)攻击。这种攻击针对的是财务人员或高管,一旦得手损失巨大。据美国联邦调查局统计,2013年10月至2016年5月间,美国和其他79个国家,共发生22143起企业邮件诈骗案件,被骗总金额高达31亿美元。
3. 未来趋势
网络安全事件带来的影响,已经逐渐深入扩展到政治、法律、军事、经济、民生等各个层面,进而影响着整个社会的稳定和运转。随着物联网、智慧城市的推进和普及,网络攻击的规模会越来越大,网络攻击的手段会越来越多,造成的影响会越来越严重。
一是网络攻击目的和手段会多样化。如利用黑客手段窃取邮件,入侵投票系统,影响政治选举。使用社会工程手段,侵入巨大安全投入的防御系统。曝光医疗设备产品的漏洞,操纵股价获利。发动DDoS攻击,以及掩盖窃取数据的行为⋯⋯各种想像不到的攻击目的和手段,将随着经济与科技的发展而发展。
二是信息和数据泄露将无处不在。摄像头、手机、可穿戴设备等智能硬件的普及,以及关系到大众民生的各种信息系统的互联互通,意味着所有主体的信息都会数字化,所有人的生活方式都会网络化,因此信息和数据泄露事件短期内看不到下降的趋势。
三是国家安全为最高形态的网络安全对抗。具备雄厚资源和高精尖技术的攻击者,几乎可以突破任何防御系统。关键基础设施、重点行业信息系统、国家社会层面的重大活动、政府机构的敏感信息,都属于高级持续性威胁攻击的主要目标。国与国之间的政治、军事对抗,经济、技术竞争,越来越多的以数字化对抗的形式体现。
二、漏洞攻防
1. 漏洞概况
苹果Mac及iOS系统相关漏洞增长速度加快,这与苹果设备的普及程度有关。
Web应用和移动应用漏洞持续激增,这与在线应用爆发式增长直接相关。
与移动操作系统、虚拟化相关的漏洞开始增多,这与移动化和云化的趋势,以及两者大量结合开源模式有关。
智能硬件千疮百孔,反应出大多数开发商安全意识的缺乏和安全能力的薄弱。
2016年,截止12月15日,绿盟漏洞公告平台漏洞数量为3460个,中国国家信息安全漏洞库(CNNVD)漏洞数量8071个,国家信息安全漏洞平台(CNVD)漏洞数量9600个,CVE漏洞数量突破1万,均比去年同期有所增长,增长幅度约在10%至15%之间。
在漏洞类型方面,依据CNNVD的统计,缓冲区溢出类型的漏洞仍居高位:
统计来源:CNNVD
2. 攻击手段
撞库成为信息泄露的重要攻击手段,实施容易而且成本低。
沙箱逃逸技术不断翻新,利用PowerShell无文件感染、基于宏编码混淆、检测沙盒、延时运行、分析用户行为等技术来逃避沙箱检测。
边信道攻击方法防不胜防。耳机、麦克、打印机、显示器、风扇,甚至是硬盘噪音、主机热量、电磁辐射均可成为攻击渠道或工具。
社会工程几乎是所有APT攻击的重要入口。钓鱼邮件、恶意链接,以及诈骗、冒充身份等非计算机技术手段。这些方法是从人性的角度来发动攻击,因此将永远存在,所以安全意识的教育和普及也是一个长期过程,始终不能放松。
3. 防护技术
新型身份认证技术,如多因素认证、生物识别、设备指纹等快速发展,以解决传统的口令、密码认证的弊端。
大数据技术逐渐成为解决针对性攻击的重要手段,无论是威胁情报、态势感知,还是行为分析、追踪溯源,都需要大数据分析技术做基础支撑。
全流量分析的重要性越来越受到业内的重视,但对流量的深度认识和经验积累是一个不小的门槛。
机器学习、人工智能、区块链、量子计算等前沿技术正在兴起,但真正在安全领域得到好的应用,还需要一定的时间。
4. 未来趋势
随着移动互联网、物联网和云计算的普及,攻防双方的技术手段发展也出现了新的趋势。但人和数据始终是两大安全核心,攻防双方的一切方法、行为和目的,均围绕着人与数据展开。
一是智能设备即是被攻击目标又是发动攻击的工具。汽车、医疗设备、智能家居、都将面临严重的攻击威胁。开发人员需要加强安全开发能力,减少硬件、操作系统、应用程序等方面漏洞的出现率。代码审计、反逆向、可信芯片、加密通信、身份认证等安全技术,均将快速发展。
二是黑客攻击已经做到产业化、服务化和普及化,且不断的发展壮大和日趋成熟。安全防护则需要体系化、智能化,并做到快速响应。业内之间将加强协同,安全产品之间更加趋于联动。相应的身份和访问管理、大数据安全、威胁情报、用户行为分析、流量分析、终端检测响应技术,将成为行业关注重点。
三是新型前沿科技均可被攻防双方同时利用。区块链即可用于交易保护也可用于隐藏身份,量子计算即可用于破解加密也可用于通信保护,机器学习、人工智能即可节省安全人员的精力也可帮助黑客分析防御措施提炼社会工程技巧。“道高一尺,魔高一丈”的循环,周而复始,永不停歇。
三、行业市场
1. 会议活动
中国网络安全产业联盟及中国网络空间安全协会成立,后者为国内信息安全领域首个一级协会。
“首都网络安全日”及“国家网络安全宣传周”年度活动分别召开,从国家层面反应了信息安全意识宣传和普及工作的重要性。
中国互联网安全大会(ISC 2016)召开,该年度会议已成为亚太地区规模最大的安全会议活动。
今年召开的RSA大会上,有17家中国公司参展。国内的安全研究人员,无论在国际黑客大赛上还是在技术研究成果上,均有上佳的表现。
迄今为止,2016年是信息安全会议活动最为集中的一年,除了上面统计的三十多场大型活动会议以外,还有安全企业各自召开的产品发布会、战略合作会、客户渠道大会,以及圈内人员召开的小型技术研讨会等,全部加起来将近百场。安全会议活动的火爆,反应了网络安全受到的关注度正在快速上升。
2. 融资并购
网络安全初创企业数量明显增多,不断传出融资消息,资本市场活跃。
已具一定规模的安全企业或新三板挂牌,或上市并购。如南洋股份(002212)57亿并购天融信,航天发展(000547)15亿并购锐安科技,启明星辰6.37亿收购赛博兴安。
国外大型IT公司和知名安全厂商,纷纷寻求在中国落地的途径和方法。
在网络安全的全球浪潮下,国外大型IT公司、网络厂商及安全企业也在加大进入中国市场的力度,并加强国际合作。
如浪潮与思科合资公司获批,注册资本1亿美元,前者占有51%的股份。紫光与惠普成立新华三(募资方案225亿元),前者占有51%股份。中国电科与微软成立神州网科,前者占用51%股份,注册资本4000万美元。
CheckPoint与曙光签署战略备忘录,在安全产品研发、安全技术服务和安全方案三个方面深度合作。华为与英特尔安全签署合作协议,正式加入英特尔安全创新联盟(SIA),成为第一家加入联盟的中国厂商。赛门铁克、迈克菲、Palo Alto、思科、IBM、飞塔、Radware等国际知名厂商均不同程度的加强在中国市场上的发声,反应出我国“开放创新”政策对国外厂商的影响。
3. 未来趋势
中国的网络安全市场,由于监管、行业、区域以及位于IT领域的附属地位等原因,被切割的过于碎片化,难以形成规模庞大的企业巨头。但随着数字化时代的全面来临,网络安全开始渗透到各个领域,网络安全的地位和重要性正在逐步提升,安全市场的规模和发展格局也在渐渐地清晰化。
一是市场规模开始进入稳定增长期。
根据IDC今年10月份发布的报告,2016年全球安全相关的服务、软件和硬件收入将达到736亿美元。另据安全牛的统计,2016年的安全市场与去年相比将达到20%至30%的增长,公开市场总额超过300亿人民币。在可以预见的三到五年内,仍将保持这一增长速度。
二是安全企业正在分为三大阵营。
首先是传统网络安全设备的全线厂商,这些厂商成立较早,在人员、技术、渠道、资本等方面有着长期积累的优势。
然后是网络通信设备厂商和云服务提供商,两者基于对网络及通信设备及IT基础设施的深度掌控,已经有力的侵入到传统网络安全设备厂商的市场。
最后是依托重点行业的安全服务提供商,如在金融、电信、公安、国防、能源、电力、交通、制造等行业具备丰富经验积累的集成商。
此外,穿插在三大阵营中的是安全各细分领域的中小厂商。这些厂商由于市场规模小,难以对三大阵营产生较大的影响和冲击,但这些厂商的创新能力和对机会的把握程度是其天然的优势,并不完全排除成长为大型企业的可能。
三是安全走向融合,产品服务化是趋势。
安全厂商的身份定位开始模糊,IT厂商、通信厂商、网络设备厂商加大对安全业务的投入,以带动自身业务。云计算厂商及服务商,则将基础设施安全包含在内,统一为云租户提供底层和基础性的安全服务。
而传统安全大厂商则开始建立以安全为依托,承担起行业/私有云的建设和工控系统、智慧城市的大网建设。另外,一些安全细分领域,如移动安全、业务风控等安全新兴厂商,则逐渐向数据服务提供商的角色变迁,同时尽力把自己的产品服务化,以SaaS的形式面向全社会提供。
四、政策法规
1. 国内
2015年12月27日,全国人大常委会通过《中华人民共和国反恐怖主义法》,涉及到电信业务经营者、互联网服务提供者协助公安机关、国家安全机关防范和调查恐怖活动的义务。
2016年1月15日,全国首部大数据地方法规《贵州省大数据发展应用促进条例》经人大表决通过。该条例对数据采集、数据共享开发、数据权属、数据交易、数据安全以及“云上贵州”等基本问题作出了概括性和指引性规定,以立法引领和推动大数据产业发展。
4月19日,习近平总书记在网络安全和信息化工作座谈会上发表讲话,指出“我们毫不动摇坚持开放战略,但必须在开放中推进自主创新要求”,“各方面齐抓共管,切实维护网络安全”。网络安全行业代表出席座谈会,并做汇报发言。
5月15日,习近平总书记在哈尔滨安天科技股份有限公司听取科技人员介绍网络安全技术研发情况,王沪宁、栗战书和中央有关部门负责同志陪同考察。
6月25日,习近平主席和俄罗斯总统普京发布《中华人民共和国主席和俄罗斯联邦总统关于协作推进信息网络空间发展的联合声明》。两国达成以下共识:互相尊重网络主权;尊重文化传统和社会习惯;加强网络空间领域科技合作;加强网络空间领域经济合作;维护两国人民在互联网的合法权利;打击网络恐怖犯罪以及开展网络安全应急合作与网络安全威胁信息共享。
7月,中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》,此为规范和指导未来10年国家信息化发展的纲领性文件。《纲要》强调要保障信息化有序健康安全发展,明确了信息化法治建设、网络生态治理和维护网络空间安全的主要任务;必须坚持中央网络安全和信息化领导小组对国家信息化发展的集中统一领导,信息化领域重大政策和事项须经领导小组审定。
8月22日,中央网信办发布《关于加强国家网络安全标准化工作的若干意见》,围绕“互联网+”、“大数据”等国家战略需求,加快开展关键信息基础设施保护、网络安全审查、大数据安全、个人信息保护、智慧城市安全、物联网安全、新一代通信网络安全、互联网电视终端产品安全、网络安全信息共享等领域的标准研究和制定工作。
10月,工业和信息化部印发《工业控制系统信息安全防护指南》,指导工业企业开展工控安全防护工作。《指南》坚持“安全是发展的前提,发展是安全的保障”,以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的可执行性,从管理、技术两方面明确工业企业工控安全防护要求。
11月7日,第十二届全国人大常委会第二十四次会议通过《中华人民共和国网络安全法》,进一步界定了关键信息基础设施范围、对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施、增加了惩治网络诈骗等新型网络违法犯罪活动的规定等。网络安全法将于2017年6月1日起施行。
2. 国外
2016年1月1日,俄罗斯《互联网隐私法案》生效。该法案引入“被遗忘权”,赋予俄罗斯公民请求搜索引擎删除含有不准确、不相关、对个人后续事件和行为无意义和违反俄罗斯法律相关信息的链接。
2月18日,奥巴马政府成立“国家网络空间安全强化委员会”促进未来十年内美国的网络安全。
今年4月起,欧盟30个国家的超700名安全专家,长达7个月的演练,涉及针对无人机、云技术、移动恶意软件和物联网等多种不同威胁。
6月14日,北大西洋公约组织宣布,“网络”将正式成为各北约成员国的战场,意味着对北约成员国中任何一国的攻击将被视为对整个联盟的攻击,所有成员国应援助受攻击国家。
7月6日,欧洲议会通过《网络和信息系统安全指令》。该指令是第一部欧盟范围内的网络安全规则,旨在实现网络和信息系统安全的更有力和更普遍的保障。
8月1日,欧美隐私盾协议全面实施。隐私盾替代了在去年10月份陷入僵局的安全港协议,它对美国公司施加了更严厉的责任以保护欧洲公民的个人数据,强化了欧盟的数据主权。
11月21日,美国国防部公布“漏洞披露政策”,允许自由安全研究人员通过合法途径披露国防部公众系统存在的任何漏洞。这项政策旨在允许黑客在不触犯法律的前提下访问并探测政府信息系统。
11月30日,英国议会通过《2016调查权法》,该法律要求网络公司和电信公司收集客户通信数据,并存储12个月的网络浏览历史记录,给警察、安全部门和政府提供了空前的数据访问权力。
3. 未来趋势
网络安全法经过多年的酝酿与多次修订终于出炉,其对我国未来网络安全的发展态势和走向具有非常重大的意义。
国内方面,一是随着网络空间的普及,个人隐私保护、网络攻击、黑色产业链、网络犯罪、网络谣言等极大的阻碍了互联网、大数据、云计算等新兴科技领域的健康发展,进一步影响到整个国家社会的经济发展。网络安全法的出台,将大幅提升国家网络空间的治理能力,为“互联网+”的长远发展保驾护航。
二是网络安全法规定了国家网络安全工作的责任机制,由“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”,这一规定将在一定程度上改变以往不同监管、行业、区域的分割局面,有利于形成安全产品和服务的标准,扩大安全企业的规模。
三是国家网络安全战略和网络强国建设的需要。在国际政治层面,网络空间已经成为保护国家利益、维护国家主权的新领域,确立网络空间行为准则和模式已是当务之急。反应到经济发展层面,国家安全无论是在过去还是在现在,以及在可预见的未来始终为网络安全行业发展的最强驱动力之一。
国际方面,一是欧美等科技大国在网络空间领域的博弈和对抗逐渐增强。各国均在加强网络安全预算,加强网络部队的建设,并试图改变过去被动防护的策略,主动对发动网络攻击的国家进行回击。此外,各个国家结合成联盟进行网络对抗的趋势也开始显现。
二是个人隐私与国家安全之争。实际上这场已经持续了30多年的所谓的“加密战争”,其实质是数据之争、权利之争,或说是否允许政府利用执法权侵犯公民的隐私权。这将与国际、国内的政治经济形势密切相关,经济利益与政治利益的平衡,将使两者此消彼涨的动态平衡之中。
三是安全处罚力度加大。各国都在加强对互联网、科技公司收集个人数据的监管,同时对信息泄露的处罚力度加大。而国与国之间的经济利益、政治利益和网络对抗制衡,很可能影响到跨国安全企业的商业利益。
总结
综上所述,网络安全正在全面泛化,与业务安全、物理安全、人身安全、意识形态安全、国家安全结合,成为整个人类社会都无法忽视的关键问题之一。