2月20日,由中国计算机学会主办、计算机安全专委会承办的“2018年网络安全大事”评选结果在京发布。
2018年,互联网安全行业发生了众多大事件。通过对相关事件和重要新闻的梳理,综合专家组评选意见和线上投票,本次大会甄选出了11件在业界产生重大影响的网络安全大事。来自公安部、中科院、国家信息中心、国家信息技术安全研究中心、中国计算机学会计算机安全专业委员会以及360集团、安恒信息、绿盟科技等单位的众多专家和企业家参与了本次评选活动。
中国计算机学会计算机安全专业委员会主任严明表示,在信息化发展和建设网络安全强国的道路上,2018年有许多值得反思、回顾和讨论的大事,这11件大事总体上体现了各方面对2018年网络安全大事的关注度和视角。
“当然,这11件大事不是网络安全的全部,它还包括研发、服务、黑客斗争、执法等方方面面。回顾2018年在网络安全和建设网络强国上所经历的一些事件和走过的路,目的就是希望2019年能做得更好。”严明说。
据中国计算机学会计算机安全专业委员会秘书长唐前临介绍,此次网络安全大事评选活动共分为三个阶段,即搜集资料、完成初稿,征求专家评选投票并征集修改建议,网络公开投票。
参会专家和业界人士普遍认为,在建设网络强国的进程中,这些入选事件显示出互联网安全目前在国民经济、社会发展和人民生活中的重要影响,同时还预示了经济和行业发展的趋势,对企业和个人未来决策具有重大意义。
“净网2018”专项行动打击整治网络违法犯罪
国家民族事务委员会原副主任、公安部公共信息网络安全监察局原局长李昭点评:专项行动保护人民群众的切身利益
“净网2018”专项行动是坚决贯彻落实党中央关于网络安全工作的重大决策部署,也是各级公安机关和相关部门“本着对社会负责、对人民负责的态度,依法加强网络空间治理”,创造“天朗气清、生态良好”的网络空间环境的必然之举。专项行动坚决打击了利用网络鼓吹推翻国家政权、煽动宗教极端主义等违法犯罪行动;全面清理了网上危害国家安全、社会稳定和其它违法犯罪信息;依法严厉查处了网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为,切断了网络犯罪利益链条,使网络空间得到进一步净化。
同时,专项行动切实保护了人民群众切身利益,重点打击治理了人民群众反映强烈的网络谣言和诽谤、网络诈骗、网络色情、网络赌博、网络账户信息泄露、网络支付陷阱、网络传销等突出问题,得到了广大网民的高度评价和大力支持。
此外,通过各级各部门联合行动相互配合,运营商和企业责任进一步落实,公安部统一部署,全国各级公安联合行动,中央网信办、全国“扫黄打非”办,以及各相关部门相互协作、齐抓共管,专项行动取得突出成效。
日前,公安部已部署“净网2019”专项行动,要求继续依法严厉打击网络违法犯罪,坚决维护网络空间秩序,努力建设更高层次、更高水平的平安网络。我们将继续关注和期待。下一步,可以进一步加大宣传力度,推动全社会关注、理解和支持;进一步治理网络黑产、网络乱象,切断网络犯罪利益链条;持之以恒落实运营商和企业责任;进一步加强各部门协作配合。
勒索软件持续入侵大型系统造成严重后果
绿盟科技副总裁李晨点评:高水平安全运营应成为日常安全工作重点
勒索软件是近两年来影响最大、最受关注的网络安全威胁形式之一。2017年5月爆发的“WannaCry”曾给我国众多机构、个人用户造成很大损失,影响了正常生产生活。2018年8月,台积电遭受勒索软件WannaCry变种攻击,致使生产线停产,3天内损失高达17亿元。
根据绿盟科技威胁情报中心监测数据,2018年监测到98.6万次起勒索软件事件,其中GandCrab家族占比最大为35.5%。感染电脑方面服务器占29%,PC机占71%。感染操作系统占比最大的仍是Windows7,其次是Windows10,第三是服务器Windows2008。
随着勒索软件开发门槛越来越低,其在全球范围内造成的损失将逐步增大。监测显示,2018年勒索软件更倾向于通过漏洞和弱口令扫描植入,特别是web漏洞和数据库漏洞,并且以持续迭代更新对抗检测,已经瞄向高价值企业服务器(学校、拥有公共数据的企业、医院等)。另外,勒索软件在设计上还引入心理暗示,促使受害者尽早支付赎金。
上述趋势说明,网络安全工作除了安全建设以外,高水平安全运营也应成为日常安全工作重点。
全国网络安全和信息化工作会议在京召开
中国科学院计算机网络信息中心主任、研究员廖方宇点评:没有网络安全就没有国家安全
2018年4月20日,全国网络安全和信息化工作会议召开。这次会议内容与我们息息相关。第一,加强信息基础设施网络安全防护。第二,加强网络安全信息的统筹机制、手段、平台建设,加强网络安全应急能力建设。第三,依法严厉打击网络黑客、电信诈骗。第四,深入开展网络安全知识技能宣传普及工作,提高广大人民群众安全意识和防护意识。
此外,会议强调加速推动信息领域核心技术突破,要抓产业生态体系建设,在技术产业政策上共同发力。强调了优化市场环境,更好释放各类创新主体创新活动。打通基础研究和基础创新衔接的绿色通道,力争以基础研究带动应用技术群体的突破。我们相信,2019年相关工作还会沿着这条路继续推进下去。
国家标准《信息安全技术 个人信息安全规范》正式实施
公安部第一研究所副所长于锐点评:提升全社会个人信息保护意识和国家治理水平
2018年5月1日, 国家标准《信息安全技术 个人信息安全规范》(GB/T35273-2017)正式实施,有效化解了多年来我国个人信息保护法律法规条款中存在的原则化、模糊化、碎片化问题,为我国个人信息保护提供了监管依据、应用规范,提升了全社会个人信息保护意识和国家治理水平。
标准内容体现出以下几大亮点:一是提出了个人信息保护七大原则。二是明确了相关重要定义的范围,并将之前存在争议的网络身份标识信息、个人上网记录、个人常用设备信息均列入到个人信息控制范围内。三是规范了覆盖个人信息处理活动全生命周期的管理要求,将个人信息全生命周期安全管理划分为收集、保存、使用、流转四个环节。四是明确了安全事件处置和组织管理要求。要求个人信息控制者建立安全事件应急处置和报告制度,建立数据安全能力,对相关人员进行管理、培训,以及安全审计等。
标准的实施仅是改变的开始,并非一日之功就能解决所有问题,落地应用还需主管部门明确各方责任,制定监督、运行与评估机制;加强标准宣贯,统一社会共识;引导企业积极实践运用等。通过上述举措,使这一惠及社会、造福民众的标准最大限度地在我国经济社会发展和国家安全中发挥应有作用。
网上公民个人信息泄露频频发生
360集团副总裁贺劲松点评:保护个人网络信息迫在眉睫
去年以来,网上公民个人信息泄露事件呈现增加趋势。将“网上公民个人信息泄露频频发生”列为2018年中国网络安全大事,抓住了互联网时代的要害问题。一是涉及每一个人切身利益;二是体现了政府、专家、社会等方面对公民个人信息安全的高度关切和敏锐把握;三是希望以此警示各方予以高度重视、积极响应,共同解决问题。
一方面,当前个人信息越来越值钱,安全风险越来越大。海量公民个人信息汇聚到网上,成为掘金富矿,也成为犯罪分子眼中肥肉。另一方面,个人信息数据泄露事件将成为常态。由于公民个人信息多集中存储,数据很容易被黑客“一锅端”。究其原因,一是攻防不对等,二是防护不到位,三是内部人员蓄意破坏。此外,随着个人信息泄露需求方攫取利益的胃口越来越大,利用公民个人信息进行敲诈勒索犯罪行为或将大量增加,个人信息泄露事件的破坏性将可能加速放大。
保护好个人网络信息迫在眉睫、刻不容缓。在此提出三点建议:
一是加快推进中国版GDPR落地,通过集中处置典型案例,形成强大威慑力,让不法分子“不敢犯、不能犯、不想犯”。
二是加强对数据巨头的重点监管和惩戒。公民个人信息大多集中在重点企业和单位手中,涵盖社交、通信、游戏、办公等等多种数据。建议对数据巨头进行重点监管和惩戒,从而确保大部分数据安全,防止大的风险出现,同时形成惩戒效应。
三是以技术对抗技术。公民个人信息泄露是一种技术型犯罪,其应对方法最终要落到技术上,以技术对抗技术。对于拥有数据的企业和单位,应该加强以下几方面建设:首先,没有攻不破的网络,应建立牢固的数据安全防线;其次,综合运用大数据和人工智能等先进技术,形成基于大数据的主动防御体系和基于人工智能的纵深防御体系,构建安全大脑,及时发现数据安全漏洞,及时预测预警和处置;最后,进行常态化、自动化的实网攻防演练,检验防御功能,迭代防御体系。
360安全团队平日经常性地开展对自身网络进行攻防演练。实践证明,这一举措能够非常好地保护网络数据安全,希望该举措能被借鉴推广到对个人数据安全信息的保护方面。
公安部发布《网络安全等级保护条例(征求意见稿)》
中国工程院院士沈昌祥点评:为信息安全等级保护2.0阶段提供法律支撑
《条例》系统总结了信息安全等级保护以及密码管理建设,内容非常全面,对等级保护进入2.0阶段提供了法律支持与支撑,对1.0版本从法律上加以肯定。
《条例》实现了三方面跨越。一是法律的跨越。原来是条例,现在上升到法律层面。二是在科学技术方面,对重点网络安全项目、企业,支持其进行网络技术研究应用开发,推广安全可信网络产品与服务。三是对保护对象出现了新需求,即明确了国家信息技术在等级保护基础上遇到了大数据、物联网、云计算等需要等级保护保底的情况,这是历史任务,也是新时期的要求。
同时,《条例》鼓励创新推广安全可信的网络产品和服务。其中,国家鼓励利用新技术、新应用,采用主动防御可信计算、人工智能等新的创新技术对系统进行保护。
在架构方面,此前存在架构不统一问题。目前,已形成全局架构,将三个标准统一为三种防御体系,包括计算环境要可信、区域边界要主动防御、通信要安全保密。
首届网民网络安全满意度调查活动在全国开展
国家信息中心《信息安全研究》杂志执行主编崔传桢点评:需进一步对网络犯罪和欺诈行为制定对策
当前,中国已经进入大众化网络安全时代,网络安全直接关系大众利益和社会稳定。
首先,全国首次大型公益性网民网络安全感满意度调查,样本覆盖全国。本次调查历时2个月,对外公开采集数据10天。活动由北京网络行业协会、上海信息网络安全管理协会、广东省计算机网络安全协会等全国85家网络安全社会组织共同发起,中国电子技术标准化研究院、国家计算机病毒应急处理中心、中国互联网协会作为联合发起单位。有效样本14万余份,覆盖全国31个省区市。其次,调查活动对全国网民网络安全感满意度基本情况进行了解。调查显示,80%以上网民认为网络安全程度在一般以上。再次,网络犯罪、欺诈行为,影响了国家网络安全及社会稳定,需要相关部门进一步制定对策。
《公安机关互联网安全监督检查规定》正式施行
中国人民公安大学原党委书记、校长程琳点评:积极推进公安机关依法治网
《规定》的正式施行意义重大。一是依法立规,贯彻依法治网思想及战略,是依法治网法律法规体系的重要组成部分,将在依法治网方面发挥重要作用及产生积极影响。二是立规目的明确,即依法维护网络安全。责任明确,有利于公安机关依法治网,有利于《规定》的贯彻落实,有利于提高监督检查效率和质量。三是法律责任明确,互联网服务提供者和互联网使用单位明确了网络违法行为界限,有利于预防网络犯罪,对网络违法行为起到预防和威慑作用。四是公安机关依法监督检查违法违规行为应接受的法律处罚,体现了对执行监督检查者及接受监督检查者在法律面前的平等、公平、公开、公正,体现了依法治网、共同预防网络犯罪、维护网络安全的法律责任。
国家网信办发布具有舆论属性的信息服务安全评估规定
国家信息技术安全研究中心原常务副主任、中国电子商会自主可控技术委员会理事长冯燕春点评:既要明确企业义务又要明确管理部门职责
2018年11月15日,国家互联网信息办公室和公安部联合发布《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》。其一,该规定属于政策性文件,对未进行安全评估上线运行的信息服务提供者,管理部门将通过“全国互联网安全管理服务平台”发布安全风险提示。
其二,规定要求信息服务提供者参照安全评估模板自主开展安全风险评估并将评估报告提交互联网管理部门,既方便互联网信息服务提供者履行安全义务,又有利于管理部门依据《网络安全法》等相关法律法规进行督促和指导。
其三,规定明确信息服务提供者通过自主评估对信息服务、新技术和新应用的合法性,对落实法律法规、部门规章以及标准规定等的有效性,承担相应主体责任,即对自身评估结果负责。
其四,规定指出互联网信息服务提供者需要围绕安全管理、内容审核等基本机制,在用户信息日志管理、违法有害信息处置等方面推进完善相关机制。
其五,规定中“安全”的概念是一个综合性概念,包括技术要素层面安全、组织管理层面安全,以及在线内容层面安全,例如违法有害信息处置等。
综上,规定不仅明确了企业应当承担的相关义务,也明确了管理部门相关职责,从而有利于推进互联网文明、安全、持续发展,有利于建设和谐、有序、健康的互联网绿色生态。
《互联网个人信息安全保护指引(征求意见稿)》向社会征求意见
公安部第三研究所所长助理金波点评:推动企业建立健全公民个人信息安全保护体系
在电信诈骗等许多网络黑灰产业中,用户个人信息泄露是源头。由侵犯公民个人信息引发的各类案件激增,给人们生活工作带来极大困扰,并造成巨大经济损失,甚至造成人身伤害。公安部结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织专家研究起草了《互联网个人信息安全保护指引(征求意见稿)》,面向社会广泛征求意见,引发社会各界广泛关注和热烈反响。
在个人信息安全保护体系中,《互联网个人信息安全保护指引(征求意见稿)》具有承上启下地位:在“承上”方面,《指引》对企业落实个人信息保护的主体责任提供指导,为公安机关等网络安全主管部门提供执法依据。《指引》深入贯彻落实《网络安全法》,是落实“网络安全等级保护条例”的企业在个人数据方面的合规要求,是落实“公安机关互联网监督检查规定”进行监督检查的标准依据。
在“启下”方面,《指引》具有极强的可实施性。《指引》从管理机制、技术措施与业务流程三个维度,指导互联网企业建立健全公民个人信息安全保护体系,从而有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益。
多项国家重大会议和国际活动网络安保顺利完成
杭州安恒信息技术股份有限公司董事长范渊点评:核心技术创新筑牢网络安全防线
近年来,由于政府和主办单位信息化程度不断提升,IT架构日趋复杂,加之黑客技术不断演进,网络攻击的手段、频度和规模均呈现逐年提升态势。根据以往实践经验,重大活动期间发生的网络攻击事件往往由更高级的黑客团体策划与发动,攻击方式更隐蔽、规模与冲击更大,致使防范难度数倍于日常运维保障工作,网络攻坚战越来越多地在国家级活动和会议中上演。
2018年,上合青岛峰会、中非合作论坛北京峰会、上海国际进口博览会等重大国家级活动举行,安保工作也面临形势复杂、任务重、目标多等多方面挑战。在重大活动的网络安保攻坚战中,国家部委和核心政府部门整体牵头组织专业力量,制定完善的网络安保体系流程,从会前筹备、安保方案设置、安全策略部署下发,到会议中的应急响应策略,都进行了提前考虑和演练,由安全专家与技术保障单位进一步制定具体作战规划并落地执行。在政府、金融、运营商、企业等各行各业专家和客户的支持下,各相关技术支撑单位共同努力圆满完成了以上国家级重大网络安保任务。实现了“安全零事故,业务零中断”,充分反映了网络安全技术实战化的落地。
以安恒信息为例,作为上述国家级重大活动网络安保服务单位,为保障活动的圆满进行,安恒信息全年共计投入数千人次安全专家以及自主研发的安全产品,成功拦截数亿次攻击,实现了全程零安全事件发生。在进博会期间,安恒信息历经数月筹备,专门成立了由董事长亲自挂帅的安保领导小组,落实人员分工,设立了特别专家顾问团为网络安全工作献计献策,从而保障了进博会网站正常访问3.84亿次。
重大网络安保考验的不仅仅是核心技术,也考验安保团队的服务能力、服务经验和流程。安恒信息自2008年开始,为国家重大活动提供网络安保服务。作为重大网络安保守护者、核心安保力量,安恒信息经过多年网络安保实战训练和沉淀,总结出了一套网络安保“打法”三字经:重设计、摸底数、掌态势、分轻重、勤演练、强值守、深防护、构闭环、人为本、要常态。
随着信息技术演进速度越来越快,攻与防的较量将不断升级。今后,应不断提高网络安全服务保障专业能力并加强手段创新,结合关键信息基础设施安全防护管理平台、大数据技术、云监测及云防护技术、网络安全保卫服务经验,积极配合主管部门和客户切实做好每一次重大活动网络安全保障工作,服务于国家网络安全工作需要,努力维护国家、行业和用户网络安全,构筑网络安全防线。