2015年网络安全大事记(3)

发布时间:2015-12-07 15:03 作者:王小瑞来源:安全牛点击:加载中...次

　　六、安全事故引发重视

国内影响最大的一起安全事故则是XGhost事件。

今年9月17日，网上消息曝光非官方下载的苹果开发环境Xcode中包含恶意代码，会自动向编译的APP应用注入信息窃取和远程控制功能。经确认，包括微信、网易云音乐、高德地图、滴滴出行、铁路12306，甚至一些银行的手机应用均受影响。App Store 上超过3000个应用被感染。

国内另外两起影响较大的安全事故，一是今年5月的携程网由于员工错误操作导致长达十几个小时的宕机，大量用户无法访问网站，直接损失达数千万元。二为9月1日阿里云服务器预装的安全产品云盾“安骑士”升级触发bug，将所有新启动的可执行文件都当成了恶意文件进行隔离，部分用户的线上服务受到严重影响，并无法进行运维工作。

安全事故往往是由于安全管理的松懈疏忽或流程问题而导致的，随着互联网的普及和深入，庞大系统的稳定运行变得越来越重要，运维工作也是整个安全保障工作中重要的组成部分。

　　七、政策法规蓄势待发

　　国内

《2015年网络安全七大趋势》一文中曾“大胆预见，2015年有可能看到立法草案的出台”。2015年6月底，十二届全国人大常委会第十五次会议24日审议了《网络安全法(草案)》，并于7月初向社会公开征求意见。《草案》的重要内容主要包括，确定了网络安全工作基本原则、将个人信息保护纳入正轨和网络产品和服务的安全保障，还规定了重大突发事件时政府可采取临时措施限制网络。可以预计，当《草案》成为正式法规发布后，其他相关的安全规定、条例也会相继出台。

其他一些影响面较大的与安全政策相关的事件：

6月，《中国互联网协会漏洞信息披露和处置自律公约》在京签署，公约提出漏洞信息披露的“客观、适时、适度”三原则；

6月，国务院办公厅发布《关于运用大数据加强对市场主体服务和监管的若干意见》。加大网络和信息安全技术研发和资金投入，建立健全信息安全保障体系。采取必要的管理和技术手段，切实保护国信息安全以及公民、法人和其他组织信息安全；

7月，新的国家安全法实施。新法要求建设网络与信息安全保障体系，提升网络与信息安全保护能力，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；

8月，人大正式通过中华人民共和国刑法修正案(九)。明确了网络服务提供者履行信息网络安全管理的义务，加大了对信息网络犯罪的刑罚力度，进一步加强了对公民个人信息的保护，对增加编造和传播虚假信息犯罪设立了明确条文；

9月，国务院印发《促进大数据发展行动纲要》，在网络和大数据安全方面要求，在涉及国家安全稳定的领域采用安全可靠的产品和服务，到2020年，实现关键部门的关键设备安全可靠；

11月，工商总局印发《关于加强网络市场监管的意见》，全面加强网络市场监管。推进“依法管网”、“以网管网”、“信用管网”和“协同管网”。

　　国际

5月，美国商务部工业与安全局公布《瓦森纳协定》的修改草案，新规则规定美国企业或个人向境外厂商报告漏洞情况是一种出口行为，需预先申请政府许可，否则将被视为非法；

6月，美国国会今年6月通过《美国自由法案》，11月国家安全局正式停止对公众的大规模监听公众电话数据的行动；

10月，欧盟法院宣布与“美国-欧盟安全港协议”有关的“2000/520号欧盟决定”无效。欧盟成员国数据监管机构可以依此禁止美国公司收集、存储其国民的个人数据；

10月，美国国会参议院通过《网络安全信息共享法案》，允许公司和政府分享黑客攻击信息，之前众议院也通过了这个法案，最终等到美国总统奥巴马签署后，将成为正式法律；

11月，英国政府公布新版《调查权法草案》，要求互联网公司和手机制造商能永久地拦截和收集通过其网络传播的个人数据，并赋予其协助安全机构和警察调查国家安全相关事项的权利。

　　八、国家网络空间安全体系建设迫在眉睫

今年6月，美国人事管理办公室被黑客渗透，2700万人信息泄露，美国国家情报总监克拉珀竟然公开表示，将中国确定为入侵事件的首要嫌疑对象。美媒甚至报道，奥巴马政府正在研究一系列针对中国的“前所未有的”经济制裁，制裁对象主要为“通过网络盗窃美国贸易机密信息中获益的中国企业和个人”。但最终在12月中国两国的首次网络安全对话上，双方确认将OPM事件定义为非国家支持的攻击。

今年9月，习近平主席访美，与网络议题相关的领域达成六点共识。包括网络安全审查、商业领域加强信息通讯技术网络安全的一般措施、恶意网络活动提供信息及协助、反对网络窃取知识产权、制定和推动国际社会网络空间国家行为准则，以及建立两国打击网络犯罪及相关事项高级别联合对话机制。

就在当月，美国网络司令部的两份合同及订单草案显示，出于美国网络司令部将把4.6亿美元的扩展网络攻击能力职责，外包给国防承包商。美国一直视我国为其网络安全最大的对手，其国防部在7月份针对国外发起的网络攻击发布了一个新型战略，中国是其战略目标之一。美国现在已经组建了数万人的网军，研发了上千种网络战武器。整个网络的作战体系已经完成，随时可发动网络战争。

而目前，我国的网络安全问题依旧突出。如安全意识的缺乏，网络对抗能力较弱，包括法律、经费和人才等网络安全方面的基础不牢，关键信息基础设施安全防护能力较差等。虽然与美国达成了一定程度上的共识，但背后的网络安全能力较量仍然继续，并且形势非常严峻，构建“打防管控”一体化的网络安全综合防控体系迫在眉睫！

通览全篇“2015年网络安全大事记”，可以用四句话来概括：

巨头布局企业安全，新兴初创跃跃欲试。

漏洞黑市激流暗涌，大潮来临国家驱动。

2015年度大事就记录到这里，明年见！

(责任编辑：安博涛)