2018年網(wǎng)絡(luò)安全十大發(fā)展趨勢

劉權(quán) 王龍康

摘 要：2017年，全球網(wǎng)絡(luò)安全事件頻發(fā)，對國家網(wǎng)絡(luò)空間安全、個人隱私保護造成了嚴重的威脅。因此，為了提高我國網(wǎng)絡(luò)空間的治理能力，保護我國網(wǎng)絡(luò)空間安全，對2017年全球網(wǎng)絡(luò)安全事件進行了全面的梳理、歸納和總結(jié)。在此基礎(chǔ)上，結(jié)合我國網(wǎng)絡(luò)安全發(fā)展的現(xiàn)狀，對2018年網(wǎng)絡(luò)安全發(fā)展的趨勢進行了全面的分析和預(yù)測。

關(guān)鍵詞：網(wǎng)絡(luò)安全；信息泄露；可信身份；趨勢

中圖分類號：393 文獻標識碼：A

Ten cyber security trends of 2018

Abstract： 2017 saw frequent occurrence of global cyber security issues， posing a severe threat to Chinas cyberspace and personal privacy. In order to improve its cyberspace governance and protect cyberspace security， the author makes a comprehensive analysis and then summarizes the global cyber security incidents of 2017.Then， with the current facts on Chinas cyber security， the author makes a comprehensive study and forecasts of the security trends of 2018， aiming to shine a light on the decision-making of related departments.

Key words： cyber security； information leakage； trusted identity； trends

1 引言

2017年，中國網(wǎng)絡(luò)安全立法取得重大突破[1，2]，網(wǎng)絡(luò)安全自身能力建設(shè)持續(xù)推進，網(wǎng)絡(luò)安全產(chǎn)業(yè)實現(xiàn)了快速發(fā)展。與此同時，大規(guī)模信息泄露事件頻發(fā)[3]，關(guān)鍵信息基礎(chǔ)設(shè)施[4]、個人隱私保護等網(wǎng)絡(luò)安全問題日益凸顯[5，6]，全球局部地區(qū)爆發(fā)網(wǎng)絡(luò)戰(zhàn)的可能性進一步加大，我國網(wǎng)絡(luò)安全形勢日益嚴峻。基于以上背景，賽迪智庫網(wǎng)絡(luò)空間研究所提出了2018年我國網(wǎng)絡(luò)空間安全的十大發(fā)展趨勢[7]。

2 網(wǎng)絡(luò)安全十大趨勢

2.1 網(wǎng)絡(luò)安全法律法規(guī)體系將進一步完善

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）正式實施，作為我國網(wǎng)絡(luò)空間安全管理的基本法，框架性地構(gòu)建了多項法律制度和要求，但其真正落地需要完善相關(guān)配套規(guī)范。2017年，國家相關(guān)部門制定了多項配套規(guī)范，包括《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等行政法規(guī)；《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》《個人信息和重要數(shù)據(jù)出境安全評估辦法》等規(guī)范性文件；《信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評價指標》《數(shù)據(jù)出境安全評估指南》等配套標準規(guī)范。但是，上述配套法規(guī)標準多未正式出臺，2017年底全國人大常委會組織開展了《網(wǎng)絡(luò)安全法》執(zhí)法檢查，主要問題之一仍是網(wǎng)絡(luò)安全法配套法規(guī)有待完善。

預(yù)計2018年，國家有關(guān)部門將圍繞《網(wǎng)絡(luò)安全法》進一步完善關(guān)鍵信息基礎(chǔ)設(shè)施保護、數(shù)據(jù)出境安全評估、企業(yè)間數(shù)據(jù)共享規(guī)則、數(shù)據(jù)脫敏標準等配套法規(guī)標準，加快推動法律落實，加大網(wǎng)絡(luò)安全執(zhí)法力度。

2.2 信息泄露的規(guī)模和頻率將進一步增加

2017年，大規(guī)模信息泄露的次數(shù)較多，上半年泄露的數(shù)據(jù)量超過2016年全年的數(shù)據(jù)量。1月，暗網(wǎng)出售多家中國互聯(lián)網(wǎng)巨頭數(shù)據(jù)，數(shù)據(jù)高達10億條以上。3月，公安部破獲的一起盜賣公民信息的特大案件中，京東網(wǎng)絡(luò)安全部員工與黑客長期勾結(jié)，泄露50億公民信息。5月，印度4家政府門戶網(wǎng)站泄露公民身份信息1.35億條，以及1億銀行賬戶信息。9月，美國征信機構(gòu)Equifax由于網(wǎng)站漏洞，導(dǎo)致1.43億消費者信息泄露。10月，美國雅虎公司承認30億用戶賬戶全部泄露。11月，谷歌和加州大學(xué)伯克利分校的研究員發(fā)現(xiàn)，黑市上約有19億個賬戶密碼信息在出售，并且有25%的賬戶密碼仍能登錄谷歌賬戶。12月，美國加州數(shù)據(jù)分析公司Alteryx的亞馬遜AWS S3存儲桶因配置錯誤，導(dǎo)致1.23億美國家庭的敏感數(shù)據(jù)泄露。

2018年，隨著大數(shù)據(jù)、云計算的普及，大規(guī)模信息泄露事件將頻發(fā)，涉及行業(yè)范圍將不斷擴大，并將主要集中在互聯(lián)網(wǎng)、通信和金融行業(yè)。

2.3 勒索攻擊成為網(wǎng)絡(luò)攻擊的新趨勢

2017年，勒索攻擊肆虐全球。黑客通過蠕蟲病毒、網(wǎng)絡(luò)滲透、電子郵件等多種方式對目標發(fā)起攻擊，加密系統(tǒng)文件，索要贖金[8，9]。5月，全球150個國家和地區(qū)被勒索病毒攻擊，被攻擊電腦文件被病毒加密，只有支付贖金才能恢復(fù)，教育、企業(yè)、醫(yī)療、電力、能源、銀行、交通等多個行業(yè)受到影響。6月，韓國網(wǎng)絡(luò)托管公司Nayana旗下153臺Linux服務(wù)器和3400個網(wǎng)站感染Erebus勒索軟件，并向黑客支付了贖金。10月，俄羅斯、烏克蘭和其它國家的組織機構(gòu)遭遇Etya勒索軟件的新變種“壞兔子”的網(wǎng)絡(luò)攻擊。

2018年，勒索軟件將會有更多的變種，攻擊手段將會不斷翻新，勒索攻擊的范圍將會不斷擴大，造成的經(jīng)濟損失將會越來越大。

2.4 國家將更加重視關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全

2017年，針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊較為頻繁，范圍不斷擴大。4月，全球超過4000家基礎(chǔ)設(shè)施企業(yè)遭受網(wǎng)絡(luò)攻擊，涉及石油、天然氣、制造業(yè)、銀行業(yè)等多個行業(yè)。6月，韓國網(wǎng)絡(luò)托管公司Nayana遭遇網(wǎng)絡(luò)攻擊，153臺Linux服務(wù)器出現(xiàn)故障。7月，美國國土部官員證實，美國多個核電站遭受網(wǎng)絡(luò)攻擊。8月，烏克蘭國家郵政服務(wù)機構(gòu)Ukrposhta遭受黑客攻擊，導(dǎo)致計算機網(wǎng)絡(luò)系統(tǒng)運行緩慢，甚至出現(xiàn)中斷現(xiàn)象。10月，瑞典三家交通機構(gòu)的 IT 系統(tǒng)遭到黑客攻擊，導(dǎo)致官網(wǎng)服務(wù)掉線、列車運行延誤。11月，美國遭遇網(wǎng)絡(luò)攻擊，從西海岸的加利福尼亞到東邊的紐約，出現(xiàn)了大范圍的斷網(wǎng)。

同時，各國更加重視關(guān)鍵信息基礎(chǔ)設(shè)施的保護。5月，美國總統(tǒng)特朗普簽署了《增強聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》總統(tǒng)行政令。9月，美國政府與電力企業(yè)合作建立網(wǎng)絡(luò)戰(zhàn)演習，重點保護電力基礎(chǔ)設(shè)施。7月，我國有關(guān)部門出臺了《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》的征求意見稿。

2018年，針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊將逐漸升級，攻擊范圍將會擴大，攻擊手段呈現(xiàn)多樣化，新型惡意軟件和攻擊工具將會增加。國家將加大投入，提升關(guān)鍵信息基礎(chǔ)設(shè)施的保護能力。

2.5 硬件網(wǎng)絡(luò)安全問題將全面爆發(fā)

2017年，全球各大漏洞庫公布的漏洞數(shù)量與2016年相比，至少上漲了70%。硬件漏洞明顯增長，漏洞出現(xiàn)在各個環(huán)節(jié)，以各種形式出現(xiàn)。4月，博通WiFi芯片固件出現(xiàn)“堆溢出”漏洞，約10億臺蘋果和安卓受此影響。8月，英特爾CPU安全控制機制ME上運行的固件出現(xiàn)漏洞，可被利用成為后門。10月，德國半導(dǎo)體制造商英飛凌的某些芯片，可信平臺模塊出現(xiàn)漏洞，該漏洞允許知曉RSA公鑰的攻擊者獲取私鑰。11月，英特爾承認，在近兩年出售的英特爾處理器（包括最新的第8代核心處理器系列）上都被發(fā)現(xiàn)了多個嚴重的安全漏洞。

2018年，漏洞數(shù)量將會持續(xù)增加，硬件漏洞的危害程度大于軟件漏洞，黑客極有可能利用硬件漏洞發(fā)起網(wǎng)絡(luò)攻擊。

2.6 個人隱私保護工作將穩(wěn)步推進

2017年，隨著我國信息化建設(shè)的不斷推進和互聯(lián)網(wǎng)應(yīng)用的日趨普及，個人隱私泄露所引發(fā)的侵權(quán)、欺詐等信息犯罪行為日益嚴重，個人隱私保護將受到空前的重視。

一方面，個人隱私保護的法律制度不斷完善。5月，兩高發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，完善了我國關(guān)于個人信息侵害行為的刑事規(guī)范體系。6月《網(wǎng)絡(luò)安全法》正式施行，個人信息保護法律規(guī)范作為本法的重要內(nèi)容得到貫徹執(zhí)行。

另一方面，國家有關(guān)部門加大個人隱私保護的工作力度。9月，中央網(wǎng)信辦、公安部、工信部及國家標準委組織開展“四部委隱私政策審查”，對國內(nèi)十家大型互聯(lián)網(wǎng)企業(yè)隱私政策規(guī)范進行了評審，并公布評審結(jié)果。

為深入落實《網(wǎng)絡(luò)安全法》，積極應(yīng)對網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)犯罪、隱私信息泄露等安全問題，2018年我國政府將會進一步加大對相關(guān)企業(yè)和機構(gòu)的審查力度，加強個人信息保護。

2.7 網(wǎng)絡(luò)可信身份生態(tài)體系建設(shè)進一步加快

《網(wǎng)絡(luò)安全法》明確提出，國家實施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認證技術(shù)，推動不同電子身份認證之間的互認[10，11]。目前，國內(nèi)多種身份認證體系并存，如基于PKI的電子認證、人臉生物特征識別、大數(shù)據(jù)行為分析等。但是，這些體系各自獨立，國家層面缺乏統(tǒng)籌規(guī)劃，尚未形成一個統(tǒng)一的網(wǎng)絡(luò)身份生態(tài)體系。在12月舉辦的“網(wǎng)絡(luò)空間可信峰會暨中國網(wǎng)絡(luò)可信身份研討會”上，與會院士、專家一致認為，國家應(yīng)當加強頂層設(shè)計，相關(guān)部門應(yīng)當牽頭，盡快推動網(wǎng)絡(luò)身份生態(tài)體系建設(shè)工作。

2018年，我國勢必會加快出臺國家網(wǎng)絡(luò)可信身份戰(zhàn)略，推動網(wǎng)絡(luò)可信身份生態(tài)體系建設(shè)，實現(xiàn)線上線下身份的統(tǒng)一管理，推動網(wǎng)絡(luò)空間的繁榮發(fā)展。

2.8 局部地區(qū)爆發(fā)網(wǎng)絡(luò)戰(zhàn)的可能性進一步加大

網(wǎng)絡(luò)空間已成為國家、地區(qū)之間安全博弈的新戰(zhàn)場，各國為了維護本國在網(wǎng)絡(luò)空間的核心利益，持續(xù)加大網(wǎng)絡(luò)空間的軍事投入，國家級網(wǎng)絡(luò)沖突爆發(fā)的風險不斷增加。

一是網(wǎng)絡(luò)空間“軍備競賽”持續(xù)升級。2017年2月，美國國防部高級研究計劃局啟動SHARE項目，試圖創(chuàng)建一種新的數(shù)據(jù)共享技術(shù)，使美軍可以在世界各地安全地發(fā)出或者接收遠程敏感信息。4月，韓國國防部公布《2018-2022年國防中期計劃》，計劃5年間將投入2500億韓元加強網(wǎng)絡(luò)安全建設(shè)。

二是有政府背景的網(wǎng)絡(luò)攻擊行為日益猖獗。2017年8月，美國網(wǎng)絡(luò)安全公司FireEye研究人員發(fā)現(xiàn)伊朗黑客組織APT33瞄準多國航空、國防與能源設(shè)施展開新一輪網(wǎng)絡(luò)攻擊活動。9月，網(wǎng)絡(luò)安全公司Palo Alto Networks發(fā)現(xiàn)黑客組織利用惡意軟件Babar操控剛果民主共和國常設(shè)理事會官方網(wǎng)站，竊取國家重要信息。

三是國際社會不斷強化網(wǎng)絡(luò)安全軍事演習。2017年7月，美國網(wǎng)絡(luò)司令部舉行年度奪旗軍事演習，將關(guān)鍵設(shè)施遭受攻擊應(yīng)對作為演習目標。9月，歐盟多國國防部長參加大規(guī)模網(wǎng)絡(luò)防御演習，模擬歐盟軍隊在受到網(wǎng)絡(luò)攻擊時所能作出的反應(yīng)。

2018年，全球各國將會繼續(xù)加強網(wǎng)絡(luò)“軍備競賽”投入，提高本國網(wǎng)絡(luò)戰(zhàn)的能力，全球局部地區(qū)爆發(fā)網(wǎng)絡(luò)沖突的風險進一步提高。

2.9 網(wǎng)絡(luò)安全行業(yè)融資并購更加頻繁

2017年，國內(nèi)外網(wǎng)絡(luò)安全企業(yè)融資并購事件頻發(fā)。

國外較大的融資并購事件多起。1月，思科宣布以37億美元收購專注于改善應(yīng)用程序性能的初創(chuàng)公司AppDynamics。2月，英國老牌安全公司Sophos以1億美元外加首年達成業(yè)務(wù)目標的2000萬美元，買下終端檢測與響應(yīng)公司Invincea。3月，CA Technologies以6.14億美元收購了應(yīng)用安全及滲透測試公司Veracode。8月，賽門鐵克宣布，將其SSL/TLS證書業(yè)務(wù)以9.5億美元現(xiàn)金加30%DigiCert普通股的價格售出。10月物聯(lián)網(wǎng)安全公司ForeScout上市，首次公開募股1.16億美元。

國內(nèi)網(wǎng)絡(luò)安全公司投融資事件也不在少數(shù)。2月，身份認證安全公司九州云騰Pre-A融資1000萬元，投資方為綠盟科技。4月，數(shù)字證書公司格爾軟件上交所上市，IPO募資總額2.76億元。6月，智能身份認證公司芯盾時代B輪融資近億元。7月，大數(shù)據(jù)安全公司瀚思安信B輪融資1億元。

2018年，在國家政策引導(dǎo)、網(wǎng)絡(luò)安全技術(shù)進步、網(wǎng)絡(luò)安全產(chǎn)業(yè)園建設(shè)加快等因素影響下，網(wǎng)絡(luò)安全企業(yè)將繼續(xù)加大融資并購力度，促進網(wǎng)絡(luò)安全產(chǎn)業(yè)快速發(fā)展。

2.10 網(wǎng)絡(luò)安全人才培養(yǎng)體系將進一步完善

2017年，中央網(wǎng)信辦聯(lián)合相關(guān)部門，制定了人才獎勵、學(xué)院建設(shè)等一系列實施辦法[12]。如《關(guān)于加強網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》《一流網(wǎng)絡(luò)安全學(xué)院建設(shè)示范項目管理辦法》《“網(wǎng)絡(luò)安全優(yōu)秀教師獎”獎勵辦法》等，有力地推動了我國網(wǎng)絡(luò)安全人才建設(shè)的步伐。4月，貴州師范大學(xué)聯(lián)合中科院計算所、阿里巴巴、匡恩網(wǎng)絡(luò)、梆梆安全、安恒信息等企業(yè)，共同建立了我國首個大數(shù)據(jù)安全重點實驗室，旨在深入研究大數(shù)據(jù)安全基礎(chǔ)理論和共性關(guān)鍵技術(shù)，完善大數(shù)據(jù)安全人才培養(yǎng)的產(chǎn)學(xué)研體系。8月，武漢臨空港經(jīng)濟技術(shù)開發(fā)區(qū)管委會與杭州安恒信息簽署戰(zhàn)略合作協(xié)議，共同建設(shè)國家網(wǎng)絡(luò)安全人才與創(chuàng)新基地。9月，在國家網(wǎng)絡(luò)安全宣傳周上，首批一流網(wǎng)絡(luò)安全學(xué)院建設(shè)示范項目正式對外公布，包括西安電子科技大學(xué)、東南大學(xué)、武漢大學(xué)等7所高校。

2018年，我國將通過多種途徑完善網(wǎng)絡(luò)安全人才培養(yǎng)體系，加快網(wǎng)絡(luò)安全人才培養(yǎng)力度，營造優(yōu)秀人才脫穎而出的成長環(huán)境。

3 結(jié)束語

經(jīng)過全面梳理2017年全球網(wǎng)絡(luò)安全事件，2018年網(wǎng)絡(luò)空間將會存在一些列問題，包括國際社會爆發(fā)網(wǎng)絡(luò)戰(zhàn)的風險進一步加強；軟硬件漏洞的數(shù)量將會更多；大規(guī)模信息泄露事件仍將頻發(fā)；關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊將進一步升級；勒索病毒攻擊范圍將會繼續(xù)擴大等。針對于此，我國政府將會更加重視網(wǎng)絡(luò)安全，進一步完善網(wǎng)絡(luò)安全方面的法律法規(guī)，加強網(wǎng)絡(luò)空間的治理和網(wǎng)絡(luò)產(chǎn)品的審查力度；完善網(wǎng)絡(luò)可信身份的發(fā)展戰(zhàn)略；出臺系列網(wǎng)絡(luò)安全的相關(guān)政策，促進網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展；營造網(wǎng)絡(luò)安全人才成長的環(huán)境。

參考文獻

[1] 李欲曉，鄔賀銓，謝永江，等.論我國網(wǎng)絡(luò)安全法律體系的完善[J].中國工程科學(xué)，2016，18（6）：28-33.

[2] 陸冬華，齊小力.我國網(wǎng)絡(luò)安全立法問題研究[J].中國人民公安大學(xué)學(xué)報（社會科學(xué)版），2014， 30（3）：58-64.

[3] 董思薇.金融消費者信息秘密與安全權(quán)保護研究[J].東南大學(xué)學(xué)報：哲學(xué)社會科學(xué)版， 2017（S1）：150-154.

[4] 劉京娟.美、日、韓關(guān)鍵信息基礎(chǔ)設(shè)施保護立法研究[J].保密科學(xué)技術(shù)，2016（7）：16-20.

[5] 唐琦.從銀行員工泄露個人信息事件探析商業(yè)銀行征信監(jiān)管機制[J].海南金融， 2017（11）.

[6] 王寅.消費者網(wǎng)購時行為意向?qū)€人信息泄露的影響研究[J].重慶郵電大學(xué)學(xué)報（自然科學(xué)版）， 2017（6）：830-836.

[7] 劉權(quán).2017年網(wǎng)絡(luò)安全十大發(fā)展趨勢[J].網(wǎng)絡(luò)空間安全，2017，8（1）：32-34.

[8] 劉為軍，天蘆亮.論技術(shù)勒索的綜合治理[J].山東警察學(xué)院學(xué)報，2017， 29（3）：39-47.

[9] 林建寶，崔翔，張方嬌.勒索攻擊愈演愈烈，安全意識亟待加強[J].中國信息安全，2016，（8）：79-83.

[10] 李以斌，牟大偉.基于數(shù)字證書的教育云可信實名身份認證和授權(quán)的研究[J].信息安全與技術(shù)， 2016，7（9-10）：40-44.

[11] 蔣文保，朱國庫.一種安全可信的網(wǎng)絡(luò)互聯(lián)協(xié)議（STiP）模型研究[J].網(wǎng)絡(luò)空間安全，2017，8（1）：24-31.

[12] 梁榕尹.大學(xué)生網(wǎng)絡(luò)安全意識教育研究[D].廣西師范大學(xué)，2017.