有人認為,2014年可以稱之為我國的網絡安全元年。的確,在即將過去的這一年裡,各種安全事件層出不窮。從信息泄露到重大漏洞,從市場變化到國家安全,反映着安全市場的風起雲湧、孕育着安全環境的戰略機遇,潛伏着對國家社會和經濟生活的重大風險。
下面安全牛就與大家一起回顧和盤點這一年來的網絡安全大事:
一. 重大漏洞無法預測
2014年是多個嚴重漏洞集中爆發的一年,心臟滴血、貴賓犬、USBbad、破殼等重大漏洞先後曝光。影響的網站、操作系統、硬件設備範圍之廣,聞所未聞。
心臟滴血漏洞實際存在已經超過兩年時間,雖然全世界各地的機構和企業都在「心臟滴血」漏洞公布后第一時間開始修復工作,但在這個漏洞未曝光之前,根本無法統計有多少敏感信息因此而被竊取。
安全牛之前報道的微軟11月份修復的IE漏洞,自Windows 95以來就存在,它的洞齡(漏洞未被修補的年限)是19年。而可以遠程執行拿到系統級權限的破殼漏洞則最年長,已達25歲的高齡。
漏洞的問題不僅僅在於系統的日趨龐大複雜,開發人員的疏忽、缺乏安全編碼規範等原因,它最可怕的地方在於,也許之前它根本就不是一個漏洞,而是一個功能。但 由於時代的發展,使用環境的變化,功能變成了漏洞。人類具備把所有正在使用的舊系統、程序、軟件都做一次代碼級的安全檢測的能力麼?也許這是比重新發明電腦和互聯網還要難做的事!
宛如被打開的潘多拉魔盒,明年會出現什麼樣的重大漏洞?我們不知道。
二. 信息泄露事件層出不窮
先來看一下相關數據統計:
企業名稱 | 泄露內容 | 信息數量 |
中國高等教育學生網 | 考生信息 | 130萬 |
美國社區醫療CHS | 患者信息 | 450萬 |
韓國三大信用卡公司 | 信用卡數據 | 2000萬 |
塔吉特 | 用戶信息及信用卡數據 | 1.1億 |
家得寶 | 用戶信息及郵件地址 | 1.1億條 |
摩根大通 | 用戶及企業信息 |
1.4億條
|
韓國三大信用卡公司高管當眾道歉
實際上還有許多泄露事件,或正在調查,或無法確認,或無法公開具體數字.從這些事件來看,今年網上傳出的「俄羅斯黑客集團盜竊12億用戶密碼」的消息並不為過。
值得一提的是,個人隱私逐漸成為泄露事件的重災區。2013年爆出的2000萬酒店開房記錄至今還能在網上查到,今年9月蘋果雲服務的名人裸照事件更是震驚全球,而11月俄羅斯一家網站上可以觀看到256個國家的7.3萬個監控攝像頭,包括上萬個私人攝像頭的流媒體視頻。
可以預見,2015年可能出現更為嚴重的泄露事件。
三. 首屆網絡安全周全民普及
今年8月,中國國務院授權重組國家互聯網信息辦公室,負責全國互聯網信息內容管理工作,並負責監督管理執法。之後,中國網信辦於2014年11月24日至30日,聯合中央編辦、公安部、工信部等多八個部門舉辦首屆國家網絡安全宣傳周活動。中共中央政治局常委、中央書記處書記、中央網絡安全和信息化領導小組副組長劉雲山在啟動儀式上發表講話。他指出,網絡信息人人共享、網絡安全人人有責,要不斷增強全民網絡安全意識,切實維護網絡安全,着力推進網絡空間法治化,為建設網絡強國提供有力保障。
網絡安全問題已經成為關係到普通公民切身利益的關鍵性問題。但大多數人對於網絡安全的認識較為遙遠和抽象,此次網絡安全周的體驗展讓參觀者直觀的認識到安全 與個人利益密切相關,跟個人生活密切相關。另外,通過各大媒體、監管部門、金融行業和安全廠商的宣傳和互動,從國家層面首次使網絡安全意識得到全民性的普 及,實現了網絡安全宣傳從概念到理念的跨越,使公眾更加關注網絡安全。
四. 大數據安全風起雲湧
早在2011年,中國內地工信發布的《物聯網「十二五」規劃》中,把包括海量數據存儲、數據挖掘、圖像視頻智能分析等信息處理技術作為4項關鍵技術創新工程之一。3年過去了,隨着大數據市場的升溫,國內的阿里、騰訊、百度、360等科技巨頭,以及大型安全廠商紛紛開始大數據安全的布局。
阿里的大數據智能分析定位疑似風險賬戶和疑似犯罪分子,支付寶風險系統對海量在線交易進行風險掃描和合理管控;百度雲安全可以防護包括十多種黑客滲透攻擊和 多種DDoS攻擊;騰訊免費開放Open Data、雲分析、雲推送三大產品,把長期積累的豐富安全經驗開放給騰訊雲服務用戶;早在幾年就推出雲服務的360,今年更是推出了貼近企業真實需求的個 性化雲知識庫--「私有雲」。
綠盟、天融信和啟明星辰也於今年或推出大數據安全分析與挖掘平台,或進行對數據安全公司的收購。
五. 物聯網安全山雨欲來
以智能和可穿戴設備、自帶辦公設備代表的移動設備大潮已經到來,相應帶來了嚴重的物聯網安全威脅。
今年9月,一款可以感染路由器、恆溫器、烘乾機等許多物聯網設備的惡意軟件,組成了1.2萬至1.5萬台的大型僵屍網絡,並在亞洲和美國實施了各種形式的DDoS攻擊。攻擊流量峰值高達215G,每秒1.5億個數據包。
物聯網設備存在諸多因設備製造商急於聯網,從而忽略了安全問題的嚴重風險。包括隱私泄露、弱密碼、非加密通訊,以及網頁操作等漏洞。而企業網絡與員工自帶的個人設備又極易發生交叉感染。更糟糕的是,大多數企業管理層對物聯網安全的重視程度遠遠不夠。
如果沒有新的安全模式來應對這一風險,那麼未來物聯網安全的嚴重性將超出我們的想像。
六. 投資收購厲兵秣馬
啟明星辰今年先後收購了四川賽貝卡、書生電子、合眾信息;今年年初剛剛上市的綠盟科技則收購和投資敏訊科技、億賽通、深度deepin和安華金和;北信源北則在昨日公開披露,1億元收購中軟華泰。
BAT方面:
阿里收購安全寶部分業務,螞蟻金服1200萬美元領投新加坡移動安全廠商V-Key;百度也投資了安全寶部分業務;騰訊:建立玄武實驗室,投資Keen Teem、知道創宇、翰海源;360收購網康,入股網御神州。
另外,中國電子科技集團擬投資130億元,在成都建設國家示範網絡信息安全產業園,並成立中國電科網絡信息安全有限公司。
通過安全牛收集的以上這些信息可以看出,各大安全廠商和網絡巨頭動作頻頻的投資、收購、入股,預示着安全市場已經開始走出冷戰和布局階段,明年將迎來更加近身的博弈戰局。
七. 自主可控任重道遠
今年4月8日,微軟停止對WindowsXP系統的服務支持;
5月16日,中國政府採購網公布的《中央國家機關政府採購中心重要通知》稱,所有電腦類產品不允許安裝Windows 8操作系統;
7月,公安部科技信息化局下發通知,稱賽門鐵克的「數據防泄漏」產品存在竊密後門和高危漏洞,要求各級公安機關今後禁止採購;
9月,銀監會正式發布的《應用安全可控信息技術指導意見》中明確指出,從2015年起,各銀行業金融機構對安全可控信息技術的應用以不低於15%的比例逐年增加,直至2019年掌握銀行業信息化的核心知識和關鍵技術,安全可控信息技術在銀行業達到不低於75%的總體占比。
現實情況是,中國的信息安全基礎技術研發能力不足,自主創新的環境也有待優化。目前還沒有形成自主可控的電腦技術、軟件技術和電路技術體系,重要信息系統、關鍵基礎設施中使用的核心技術產品和關鍵服務還依賴於國外。因此,信息安全產業的發展也一直飽受國外打壓。
諸多問題,預示着中國的安全技術及產品的自主可控之路步履艱難,任重道遠。
八. 國家安全兵臨城下
到今年為止,全球已有40多個國家頒布了網絡空間國家安全戰略,僅美國就頒布了40多份與網絡安全有關的文件。美國還在白宮設立「網絡辦公室」,並任命首席網絡官,直接對總統負責。
今年2月,總統奧巴馬宣布啟動美國《網絡安全框架》。德國總理默克爾也于當月與法國總統奧朗德探討建立歐洲獨立互聯網,擬從戰略層面繞開美國以強化數據安全。歐盟三大領導機構明確,計劃在2014年底通過歐洲數據保護改革方案。
5月,美國司法部表示,法庭已裁定五名中國軍方人員被控對涉及核電、金屬和太陽能產品等行業的多家美國企業進行網絡間諜活動。
6月,美國一名國防高級官員表示,在經過數年的策劃後,五角大樓的網絡司令部終於開始進入實戰,如跟蹤、探測海外對手對美國關鍵電腦網絡發動的襲擊等。
7月,加拿大政府發表聲明,指責「中國政府支持的黑客」入侵加拿大國家研究院的電腦系統。
9月,愛德華‧斯諾登新泄露出的文檔顯示,包括美國國安局和英國通信情報局的五大情報機構一直在合作建立一個全球互聯網映像系統,作為其「藏寶圖」監視計劃的一部分。藏寶圖計劃的目標是監視整個互聯網,隨時隨地掌握被監視人的行蹤;
10月,美國火眼安全公司的研究報告稱,俄羅斯國家支持的黑客組織,在過去十年中針對北約、東歐及高加索地區的政府,系統的開展網絡間諜活動(APT28);
11月,賽門鐵克22頁的報告揭示,一款先進隱形的惡意軟件(Reign)從2008年起,攻擊了歐洲、亞洲、北美洲等10個國家的約100個機構或系統。賽門鐵克認為,這是一起由國家支持的間諜行為;
12 月,美國安全公司Cylance發布的報告顯示,一個伊朗國家支持的黑客團隊入侵了16個國家的50多個機構的電腦和網絡系統,包括航空公司、國防承包商、大學、軍事設施、醫院、機場、電信公司、政府機構,以及石油及天然氣等能源企業(Operation Cleaver)。
美國海軍上將、新任國家安全局局長併兼任美國網絡司令部主管的邁克爾‧羅傑斯,更是在上個月美國國會的證詞陳述中表示,中國有能力通過網絡攻擊搞垮美國的電力系統和 其他基礎設施,「精確的有針對性的關閉我們關鍵基礎設施的每一個組成部分,預先阻止我們提供給公民的服務。」
國家安全問題已是重中之重,面對嚴峻的網絡安全形勢,由中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長,李克強、劉雲山任副組長的中央網絡安全 和信息化領導小組,於2014年2月27日成立。該領導小組將「着眼國家安全和長遠發展,統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網絡安全 和信息化重大問題,研究制定網絡安全和信息化發展戰略、宏觀規劃和重大政策,推動國家網絡安全和信息化法治建設,不斷增強安全保障能力。」
這就是即將過去的2014,而馬上到來的2015將會發生什麼、改變什麼、揚棄什麼,讓我們拭目以待!
2014年網絡安全大事記:從BAT到中美政府,互聯網到智能硬件,全民要「安全」