2016年11月28日,由上海社会科学院信息研究所、中国信息通信研究院安全研究所及社会科学文献出版社主办的《网络空间安全蓝皮书:中国网络空间安全发展报告(2016)》发布会在京举行。
我国网络空间安全威胁依然严峻并呈现新的特征
蓝皮书指出,2015年以来,尽管我国政府和企业不断重视并加强网络空间安全保障,但境外针对我国政府等重要领域的有组织网络攻击仍在持续,“互联网+”、云计算、大数据等新应用也引发新的安全风险,部分国家级重要信息系统仍存在高危漏洞,大型互联网商业平台安全事故呈现高发态势,针对个人数据的网络犯罪呈现组织化和产业化的特征,一系列重大安全事件仍然频发并呈现典型特征。
一是国家级重要信息系统和关键基础设施成为跨国网络攻击的主要目标。2015年5月29日,360公司“天眼实验室”发布报告曝光专门攻击中国政府的境外黑客组织“海莲花”(Ocean Lotus)。该组织自2012年4月以来,针对中国政府、海事机构、海域建设部门、科研院所等展开了长时间的高级持续性威胁(APT)攻击,这也是国内首次披露来自境外的国家级黑客组织。
二是大型互联网平台安全事故频发且影响重大。2015年5月27日,国内最大的网络支付平台支付宝出现网络故障瘫痪两个小时;2015年5月28日,国内最大的在线旅游平台携程遭遇全线瘫痪并创下了国内互联网公司系统瘫痪12小时的新纪录。上述平台级安全事故对我国广大用户乃至社会经济运行造成重大影响。
三是数据泄漏事件频发,网络黑产规模惊人。自2015年以来,数据泄露事件频频曝光,包括机锋网被曝泄2300万用户信息、网易邮箱过亿用户数据泄露、涉及数千万用户信息的社保系统被发现大量高危漏洞,用户信息可能遭到泄露、以及徐玉玉因数据泄漏遭电信诈骗事件引发了全社会的关注。据调查,从2015年下半年到2016年上半年,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。网络黑产已从半公开化的纯攻击模式转化为敛财工具和商业竞争手段,已经形成跨平台、跨行业的集团犯罪链条。
四是新技术发展推动网络攻击方式的创新和升级。2015年9月,苹果Xcode开发链被污染事件曝光,包括微信、网易云音乐、高德地图、滴滴出行、铁路12306甚至一些银行手机应用均受影响,苹果应用商店超过3000个应用被感染。该事件采用了非官方供应链(工具链)污染的方式,颠覆了传统恶意代码传播方式的固化思维,反映出我国互联网厂商研发“野蛮生长”、安全意识低下的现状。此外,2015年11月,浙江警方侦破黑客租用阿里云服务器“撞库”导致淘宝数据泄露也是一种全新的网络攻击形态,已经引起云平台运营者和主管部门的高度重视。
2015年以来,我国网络空间安全国际合作取得丰硕成果
蓝皮书指出,2015年以来,我国高度重视网络空间安全国际合作,聚焦网络空间安全展开了一系列重要外交对话,提出了我国在网络空间开放合作方面的原则和主张,积极承担全球网络空间安全的大国责任,有力扭转了我国在全球网络空间的不利格局。
一是主动开展外交对话,有效管控安全分歧。2015年9月22~25日,习近平主席出席了在西雅图召开的第八届中美互联网产业论坛,提出“打造中美合作亮点,让网络空间更好地造福两国人民和世界人民”,赢得了美国IT产业领袖的肯定。在随后25日的“习奥会”上,中美两国就共同打击网络犯罪达成重要共识,同意加强案件协查和信息分享,各自政府都不从事或在知情情况下支持网络窃取知识产权,探讨推动制订适用于国际社会网络空间的国家行为准则,建立两国共同打击网络犯罪及相关事项高级别联合对话机制,设立热线电话等。
根据中美两国元首的共识,2015年12月,中美打击网络犯罪及相关事项高级别联合对话在华盛顿举行,达成了《打击网络犯罪及相关事项指导原则》,并于2016年6月14日在北京举行了第二次对话,形成了常规性的对话机制。中美通过网络安全对话避免了中美网络安全战略对抗,对中美两国乃至全球经济政治均具有重大意义。此外2016年,我国还与英国、加拿大等国开展了高级别安全对话,深化网络犯罪等方面的国际合作。
二是积极倡议网络空间国际治理的中国方案。习近平出席在中国乌镇举办的第二届世界互联网大会开幕式,系统论述了“网络空间命运共同体”的理念,重点提出“四点原则”和“五个主张”,推动网络空间互联互通、共享共治,全面展现了全球网络空间治理的中国方案。其中,“四点原则”包括:尊重网络主权、维护和平安全、促进开放合作、构建良好秩序。“五点主张”包括:加快全球网络基础设施建设,促进互联互通;打造网上文化交流共享平台,促进交流互鉴;推动网络经济创新发展,促进共同繁荣;保障网络安全,促进有序发展;构建互联网治理体系,促进公平正义。上述原则和主张的提出,将我国网络强国战略与世界各国共同发展理念建立起了有机的联系,用网络空间命运共同体主张来取代网络空间的“修昔底德陷阱”。“修昔底德陷阱”源自古希腊著名历史学家修昔底德的观点,是指一个新崛起的大国必然要挑战现存大国,而现存大国也必然来回应这种威胁,这样战争变得不可避免,为全球网络空间发展与治理提出了可行方案。
全球网络信息安全面临新形势
第一,国家/区域间网络安全合作不断加强。2015年以来,继中美达成网络安全合作协议之后,中英、美韩、中俄、中德先后签署了合作协议。美英宣布建立网络联合作战部队,美日借《日美防卫合作指针》推进网络空间领域合作。各国对于网络安全的重要性认识在提升,对开展合作对话,共同应对网络安全威胁更加重视。各种双边层面的网络安全合作纷纷开展,各种区域性和国际性组织越来越成为网络安全对话的主要阵地。东盟地区论坛、OECD、G20、非洲、美国国家峰会等等在网络安全上的对话越来越多。
第二,网络空间战略和政策升级调整。美国发布2015版《国家安全战略》,奥巴马要求回击针对美国的网络攻击。美国设立“网络威胁情报整合中心”,并扩大国务院“反恐战略信息中心”的规模。中情局设立“数字革新部”,加强网络情报搜集能力。除美国外,日本新的《网络安全战略》,欧盟五年《欧盟安全议程》,新加坡《国家网络安全总体战略》,澳大利亚《网络安全战略》,体现出各国都试图通过网络安全战略的更新迭代,更好地规制网络空间安全。
第三,网络冲突和攻击成为国家间对抗的主要形式。2015年以来,国家行为体实施的大规模网络监控和网络攻击造成了国家间的严重不信任情绪,对国际局势的稳定带来不良影响。比如,俄罗斯卡巴斯基公司指责美国“方程式小组”通过植入间谍软件,感染伊朗、俄罗斯、中国等30多个国家的军事、金融、能源等关键部门的上万台电脑。伊朗称挫败了美国对其石油部门的网络攻击。意大利“Hacking Team”公司逾400G的数据被公开后发现,美国、摩洛哥、埃塞俄比亚等20多个国家的机构向其购买了网络间谍和漏洞工具。美国火眼公司指责俄罗斯“APT28”组织利用零日漏洞,攻击北约和美国国防机构。
第四,注重安全保障与攻击能力双向提升。各国注重网络攻防与软硬实力建设,力求安全保障与攻击能力双向提升。以色列国防部启动网络安全孵化器计划,英国政府拓展其网络安全研究能力,美国海军筹备攻击性网络行动,北约宣布进行网络混合战准备,等等。同时,各国纷纷打造政企协同创新和联动护网平台,如,英国情报机构欲与互联网公司签订新的数据共享协议,美国陆军招募网络攻击工具供应商,等等。
第五,加强对数据资源跨境传输的管控。各国加强对数据资源跨境传输的管控。美欧废除了安全港协议,并在新的隐私盾协议框架下重新监管数据跨境传输。俄罗斯立法要求数据本地化存储,澳大利亚继续推行特定类别数据强制性本地留存。
中国2016年移动安全形势依然严峻
2015年,随着短信拦截木马、色情软件传播恶意广告、锁屏勒索、流氓推广等黑色产业的发展和日趋成熟,以及ROM植入样本、利用漏洞提权样本的大量出现,恶意代码更是大量利用加固手段,给恶意代码检测带来了严重挑战。而随着“寄生兽”这种通用App更新机制漏洞,以及媒体库Stagefright系列漏洞的出现,Android平台已然千疮百孔;随后更出现了百度SDK WormHole漏洞,影响了大量App和数亿用户,此刻人们才惊觉Android安全形势远比想象的要严峻。
2016年,随着“互联网+”的概念深入人心,大量传统企业引入互联网相关资源并进行改革,移动互联网必然得到更加高速的发展。但在这些产业快速发展的同时,我们也应该警醒,威胁形态会日益泛化,威胁目标会更具针对性,资产损失可能会更加惨重。
从移动端系统平台来看,Android平台将会继续出现多样化、更加成熟化的勒索木马程序,流氓恶意推广软件继续更加规模化的发展,会出现大量黑色产业利用泄露的用户隐私数据进行更加精细化的渗透和攻击的情景,Android系统将会被披露出大量的安全漏洞。同时,iOS无毒的神话在2015年被彻底打破,目前不论是安全研究者、安全厂商还是攻击者,都对iOS的安全研究投入了更多精力和成本。伴随iOS应用和开发者的进一步增加,我们相信在2016年,iOS有迎来更大规模的移动恶意代码爆发的可能性。
从用户隐私泄露来看,通过伪基站和钓鱼网站、网站被脱库攻击等相关手段仍然会导致大量用户的通信录、邮箱、社交账号、互联网金融类账号和身份信息等隐私不同程度的泄露并被地下黑色产业利用。更具针对性、更系统化的攻击手段和威胁模式将是未来对移动安全不小的挑战。
从其他方面来看,针对不同类型的物联网和智能家居的木马程序可能会逐渐增多,并且木马程序进入智能设备的途径也会不断丰富多样。在传统互联网、移动互联网、物联网等多网融合背景下,统一的安全模型会受到更大的挑战,泛化威胁下的防御体系需要升级。
我国安全企业实力稳步提升,发展态势总体良好,呈现三大发展特征
第一,传统安全企业加速投资并购,丰富产品线并弥补市场空白。
近年来,我国网络安全产业规模高速扩张,有研究预计2019年我国信息安全市场总体规模有望达到48.22亿美元。在投资并购领域,近年来,国内安全企业动作频繁。启明星辰通过斥资4亿余元收购书生电子、合众数据、安方高科等企业,弥补了市场空白,扩大了市场占有率,进一步提升了公司业务规模和盈利能力。绿盟科技以4.98亿元收购亿赛通100%股权,填补了在数据安全和网络内容安全管理领域的技术不足。同时,传统安全企业利用渠道优势不断丰富自身的产品线,如启明星辰、绿盟科技等安全厂商通过不断丰富自身的产品线,拥有横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域的产品,努力将自身打造成为安全领域的综合提供商。
第二,互联网龙头企业在安全领域加强布局,改善互联网生态。
国内互联网龙头企业竞相在网络安全领域布局成为这几年网络安全产业领域的一个新现象。如阿里巴巴收购国内安全公司翰海源,增强阿里云的防护体系,同时吸纳国内外网络安全专家。腾讯公司成立了信息安全研究部门“玄武实验室”,投资安全公司知道创宇,并与启明星辰联手推出专门的企业安全产品。百度完成对安全宝的收购,加强云防护体系建设。奇虎360积极布局APT、态势感知领域,同时在硅谷建立了风险投资公司,在生物识别、大数据、智能硬件、家庭安全应用等多个领域前瞻布局。为有效保护自身业务和生态伙伴的安全,互联网企业不断加大安全投入,建设一个更安全的互联网。
第三,小型企业发挥自身优势,聚焦细分专业领域。
目前,国内小型安全企业纷纷发挥自身优势,走以专补缺、以小补大,专精致胜的成长之路。例如,部分企业专注于提供技术授权,面向其他安全厂商提供杀毒引擎等;部分企业在运营商、金融等领域深耕,贴合该类市场特殊需求,定制产品和服务,并占据市场优势;也有一批新兴技术企业出现,提供APT攻击检测防御、安全威胁态势感知等高新技术。国内安全市场正呈现“百花齐放、百家争鸣”的态势。
我国不断适应行业发展新形势,推进网络空间法治化
蓝皮书指出,近年来我国的网络空间法治化建设在有序进行中,并结合互联网发展的形势和管理要求,在各领域和各层面全面推进。
(1)网络安全战略初现,构建法治网络环境
中央网络安全和信息化领导小组(简称“中央网信小组”)的成立,体现了国家从加强顶层设计出发,保障网络安全和推动信息化的快速发展的战略意图。第十八届中央委员会第四次全体会议重点提出要建设中国特色社会主义法治体系、建设社会主义法治国家的时代议题。为我国推进互联网立法,完善网络信息服务,加强网络安全保护,以及提高网络社会管理等方面的法制建设指明了方向和目标。2016年通过的《网络安全法》是我国第一部网络安全的专门性综合性立法,提出了应对网络安全挑战这一全球性问题的中国方案。
(2)互联网金融崛起,监管体系逐步明晰
2014年12月18日,中国证券业协会公布了《私募股权众筹融资管理办法(试行)》的征求意见稿,对P2P行业以备案制方式进行监管。2015年7月,中国人民银行、工业和信息化部等十部门联合发布了《关于促进互联网金融健康发展的指导意见》,明确了互联网支付、网络借贷、股权众筹融资等相关业务的定义和监管责任。2016年4月,金融监管机构联合针对股权众筹风险、通过互联网开展资产管理及跨境从事金融业务风险、互联网保险风险、非银行支付机构风险、P2P网络借贷风险、互联网广告及投资理财名义从事金融活动风险等问题开展专项整治。
(3)电商迅猛发展,促进管理办法出台
近年来,我国电子商务以令人瞩目的速度快速发展,但同时也暴露出诸多问题。在《电子商务法》仍处于立法研究阶段的背景下,相关主管部门在部门规章层面积极开展立法探索。例如国家工商总局制定并颁布了《网络交易管理办法》《侵害消费者权益行为处罚办法》两部规章。2014年5月,国家食品药品监督管理总局发布《互联网食品药品经营监督管理办法》征求意见稿。2014年7月,国家邮政局公布《快递条例草案》征求意见稿。2015年4月,全国人大常委会修订通过了《食品安全法》,其第六十二条严格规定了网络食品交易第三方平台提供者的责任。2015年4月,全国人大常委会修订通过了《广告法》,将网络广告纳入调整范围,禁止未经同意的“电子信息”骚扰广告,明确了互联网信息服务提供者对利用其平台发送、发布违法广告的制止义务等。
(4)规制网络侵权,促进公平竞争
自2014年10月10日起施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》对《侵权责任法》规定的“避风港规则”进行细化,明确连带责任情形中“知道”的认定,以及自媒体的注意义务和转载信息侵权行为。
近年我国互联网行业经过市场竞争激发出了强劲的创新活力,互联网领域的不正当竞争行为也频繁出现。为规范竞争秩序,促进公平竞争和自由创新,一方面,在司法领域,法院通过对典型案件的判决为整个互联网行业的竞争秩序树立了司法标杆,厘清了互联网行业中正当竞争与垄断行为之间的界限,为促进互联网行业良性竞争,规范行业竞争秩序提供了相应的指导规则。另一方面,政府相关行政部门加强网络执法,迅速介入纠纷,通过一线审查、综合研判、调解约谈、通报批评等多种方式,成功解决了多起互联网市场不正当竞争案件。
(5)加强网络执法,净化网络环境
随着网络传播渠道的多样化,利用网络制造、传播谣言以诋毁他人、获取非法利益甚至试图颠覆国家政权的现象大有愈演愈烈之势,轻则损害个人利益,重则危害社会秩序和国家安全。国家互联网信息办公室、工信部、公安部、工商总局、扫黄打非小组等相关管理部门对网络色情、暴恐音视频、垃圾短信、违法广告、伪基站、恶意程序等进行了集中整治,净化了网络环境。
|
