【回顧】2017年網(wǎng)絡(luò)安全大事記

作者：李少鵬 2017-12-25 23:04:12

2017年，數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊、漏洞發(fā)現(xiàn)、會(huì)議活動(dòng)、投資并購(gòu)等各個(gè)層面呈爆發(fā)態(tài)勢(shì)，無(wú)論在數(shù)量還是影響面上，均超過(guò)以往任何年度。

[[214568]]

一、網(wǎng)絡(luò)安全事件篇

1. 信息泄露創(chuàng)歷史記錄

2017年僅上半年泄露或被盜的數(shù)據(jù)(19億條)，就已經(jīng)超過(guò)了2016年全年被盜數(shù)據(jù)總量，全年預(yù)計(jì)將超過(guò)50億條。其中，僅雅虎一家就達(dá)到了30億條。

(1) 2017年規(guī)模較大的信息泄露事件

1月：

暗網(wǎng)市場(chǎng)知名供應(yīng)商雙旗(DoubleFlag)拋售多家中國(guó)互聯(lián)網(wǎng)巨頭數(shù)據(jù)，數(shù)據(jù)條數(shù)達(dá)到10億以上。

2月：

美國(guó)媒體報(bào)道，一名前美國(guó)國(guó)家安全局承包商雇員竊取了超過(guò)50TB的高度敏感數(shù)據(jù)。

4月：

國(guó)內(nèi)某知名視頻網(wǎng)站1億賬戶信息在名為CosmicDark的網(wǎng)絡(luò)黑市出售。

5月：

印度互聯(lián)網(wǎng)與社會(huì)中心警告，有1.35億條Aadhaar號(hào)碼及1億條銀行帳戶號(hào)碼可能外泄。

6月：

美國(guó)共和黨承包商放在 AWS S3 云存儲(chǔ)的1TB數(shù)據(jù)(包含1.98億選民信息)被曝任何人均可訪問(wèn);
Shodan搜索引擎發(fā)現(xiàn)近4,500臺(tái)Hadoop分布式文件系統(tǒng)服務(wù)器，約5.12PB(5,120TB)數(shù)據(jù)暴露在公網(wǎng)。

8月：

全球知名有線電視公司HBO發(fā)生大規(guī)模數(shù)據(jù)泄露事件，至少1.5TB的數(shù)據(jù)被黑客掌握，包括未發(fā)行的劇集到財(cái)報(bào)等其他敏感文檔。

9月：

美國(guó)最大征信機(jī)構(gòu)之一Equifax，聲明由于網(wǎng)站漏洞導(dǎo)致1.43億消費(fèi)者信息泄露。

10月：

雅虎在提交給美國(guó)金融監(jiān)管機(jī)構(gòu)的文件中，承認(rèn)30億賬戶全部泄露。

11月：

馬來(lái)西亞12家電信公司的4620萬(wàn)手機(jī)賬戶信息在網(wǎng)上售賣，馬來(lái)西亞的人口數(shù)量為3120萬(wàn)。

12月：

美國(guó)陸軍及NSA情報(bào)平臺(tái)約100G文件暴露在 AWS S3 存儲(chǔ)服務(wù)器上，包括高度敏感、機(jī)密性的國(guó)家安全數(shù)據(jù);
安全研究人員發(fā)現(xiàn)一個(gè)包含1.23億戶美國(guó)家庭信息的大型數(shù)據(jù)庫(kù)暴露在 AWS S3 上，包括地址、電話、年齡、性別、財(cái)務(wù)等248個(gè)數(shù)據(jù)段。

(2) 2017年的信息泄露事件呈現(xiàn)以下特點(diǎn)：

隨著云計(jì)算、大數(shù)據(jù)和物聯(lián)網(wǎng)的普及，信息泄露事件呈現(xiàn)高速增長(zhǎng)趨勢(shì)。信息泄露涉及行業(yè)廣泛，但重點(diǎn)集中在互聯(lián)網(wǎng)、政府機(jī)構(gòu)及金融行業(yè)。僅AWS一家云服務(wù)商，今年就爆發(fā)了數(shù)起較大規(guī)模的用戶數(shù)據(jù)泄露事件，而物聯(lián)網(wǎng)搜索引擎Shodan不斷公布的因運(yùn)維配置不當(dāng)導(dǎo)致的數(shù)據(jù)庫(kù)暴露問(wèn)題近乎常態(tài)。
數(shù)據(jù)泄露導(dǎo)致企業(yè)嚴(yán)重?fù)p失，高管擔(dān)責(zé)。今年瑞典的內(nèi)政部長(zhǎng)和基建部長(zhǎng)，因數(shù)據(jù)泄露事件而引咎辭職。而Equifax數(shù)據(jù)泄露事件更是令CISO、CIO和CEO接連下臺(tái)，股價(jià)暴跌30%，一筆720萬(wàn)美元的合約也被封停。我國(guó)的《網(wǎng)絡(luò)安全法》今年已經(jīng)正式實(shí)施，確定了“防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”是網(wǎng)絡(luò)運(yùn)營(yíng)者的法定義務(wù)。
內(nèi)部威脅成信息泄露重要途徑。包括內(nèi)部員工的惡意或無(wú)意泄露，以及第三方供應(yīng)商帶來(lái)的風(fēng)險(xiǎn)。尤其是后者，近年來(lái)重大的信息泄露事件都與第三方供應(yīng)商相關(guān)。如塔吉特的空調(diào)供應(yīng)商，斯諾登是NSA承包商，今年導(dǎo)致瑞典兩位部長(zhǎng)下臺(tái)的數(shù)據(jù)泄露事件也是因?yàn)槌邪瘫蝗肭帧Ｔ谀壳翱焖俣嘧兊纳虡I(yè)環(huán)境中，動(dòng)態(tài)供應(yīng)鏈?zhǔn)潜厝悔厔?shì)，但每家供應(yīng)商都潛在著擴(kuò)大了機(jī)構(gòu)或企業(yè)的網(wǎng)絡(luò)攻擊面。由供應(yīng)商引起的第三方風(fēng)險(xiǎn)，已經(jīng)成為當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)普遍性問(wèn)題。

2. 網(wǎng)絡(luò)攻擊無(wú)所不在

隨著物聯(lián)網(wǎng)設(shè)備的激增，網(wǎng)絡(luò)攻擊目標(biāo)泛化，并成指數(shù)級(jí)增加。2017年初Fortinet的一份調(diào)查顯示，針對(duì)物聯(lián)網(wǎng)的攻擊達(dá)到250多億次。尤其是5月份爆發(fā)的WannaCry勒索軟件，成為近幾年來(lái)為數(shù)不多的全球性安全事件之一。

[[214569]]

(1) 2017年較為特殊的網(wǎng)絡(luò)攻擊事件

5月：

全球爆發(fā)WannaCry勒索病毒攻擊，至少150個(gè)國(guó)家、30萬(wàn)名用戶中招，造成數(shù)十億美元損失。

6月：

黑海約20艘輪船由于黑客攻擊，GPS服務(wù)掉線;
一名英國(guó)黑客在法庭承認(rèn)，于2014年侵入美國(guó)軍事衛(wèi)星通信系統(tǒng)，盜取800多名用戶信息以及約3萬(wàn)個(gè)衛(wèi)星電話號(hào)碼;
丹麥航運(yùn)公司馬士基遭遇Petya勒索軟件，業(yè)務(wù)損失超過(guò)2億美元。

7月：

Darktrace發(fā)布一起黑客利用智能魚(yú)缸盜竊賭場(chǎng)數(shù)據(jù)的案例;
以太坊平臺(tái)Veritaseum被網(wǎng)絡(luò)罪犯盜走超過(guò)15萬(wàn)枚以太幣，價(jià)值近2億元。

8月：

歐洲某石油化工廠的智能咖啡機(jī)被勒索軟件感染，并傳播到工廠內(nèi)的可編程邏輯控制器(PLC)監(jiān)視系統(tǒng)。
美國(guó)海軍公開(kāi)宣稱，將把黑客攻擊視為美國(guó)約翰·S·麥凱恩號(hào)驅(qū)逐艦撞船事件可能原因之一。

9月：

賽門鐵克宣稱，一年來(lái)美國(guó)、土耳其和瑞士的數(shù)百電網(wǎng)遭到大規(guī)模攻擊，掌握電網(wǎng)登錄憑證的黑客有可能具備制造斷電事件的能力;
卡巴斯基發(fā)布報(bào)告稱超過(guò)165萬(wàn)臺(tái)計(jì)算機(jī)感染了加密貨幣采礦惡意軟件，而IBM的報(bào)告顯示，針對(duì)企業(yè)網(wǎng)絡(luò)的加密貨幣惡意軟件工具總數(shù)在過(guò)去的8個(gè)月里增漲了6倍;
全球安全咨詢業(yè)務(wù)最大的公司德勤，由于其供應(yīng)商搭建的網(wǎng)站存在未打補(bǔ)丁的Apache Struts漏洞被入侵。

10月：

瑞典交通署信息系統(tǒng)遭黑客攻擊，并導(dǎo)致列車延誤;
奧巴馬政府公開(kāi)指責(zé)俄羅斯政府，稱其是今年總統(tǒng)競(jìng)選一系列黑客事件的主使。

11月：

一名美國(guó)國(guó)土安全部官員透露，他的專家團(tuán)隊(duì)一年前在大西洋城機(jī)場(chǎng)，遠(yuǎn)程滲透進(jìn)一架波音757的無(wú)線通訊系統(tǒng)。

12月：

比特幣挖礦平臺(tái)NiceHash超過(guò)4700枚比特幣被盜，損失可達(dá)4億元;
澳大利亞曝光一起黑客入侵珀斯國(guó)際機(jī)場(chǎng)計(jì)算機(jī)系統(tǒng)，盜取高度敏感數(shù)據(jù)的事件;
火眼披露一起能源工廠安全系統(tǒng)被入侵，造成工廠停止運(yùn)行的事件，此事為首例公開(kāi)的工控安全系統(tǒng)被黑事件;
美英政府公開(kāi)指責(zé)朝鮮為WannaCry真兇，并表示要讓網(wǎng)絡(luò)空間的攻擊者付出代價(jià)。

(2) 2017年的網(wǎng)絡(luò)攻擊呈現(xiàn)以下特點(diǎn)：

網(wǎng)絡(luò)攻擊載體和目標(biāo)多樣化。海陸空交通系統(tǒng)，工業(yè)生產(chǎn)系統(tǒng)，以及各種物聯(lián)網(wǎng)設(shè)備和加密貨幣，均為網(wǎng)絡(luò)攻擊的載體和目標(biāo)，甚至衛(wèi)星通信、宇宙空間站資料，也難逃黑客所及。不管是出于政治原因還是經(jīng)濟(jì)目的，未來(lái)越來(lái)越多的創(chuàng)造性手段將會(huì)被攻擊者采取和使用，而只要有網(wǎng)絡(luò)延伸到的地方，就可能成為被攻擊的目標(biāo)。
“犯罪即服務(wù)”的商業(yè)模式是勒索軟件、惡意軟件傳播以及DDoS等大規(guī)模惡意行為泛濫的關(guān)鍵原因。“犯罪即服務(wù)”極大的降低了攻擊成本和攻擊難度，即使是初級(jí)罪犯也可隨時(shí)發(fā)動(dòng)網(wǎng)絡(luò)攻擊，再借助“零日漏洞”，極易給全球互聯(lián)網(wǎng)帶來(lái)重大破壞。借助“永恒之藍(lán)”漏洞的WannaCry勒索軟件，其快速傳播并造成巨大損失，就是非常典型的例證。
網(wǎng)絡(luò)武器已被全世界采用。網(wǎng)絡(luò)攻擊背后的國(guó)家力量日趨明顯，無(wú)論是對(duì)關(guān)鍵設(shè)施的長(zhǎng)期滲透，各個(gè)國(guó)家競(jìng)選系統(tǒng)的入侵，還是對(duì)社交輿論的風(fēng)向控制，以及對(duì)“零日漏洞”的交易、利用，甚至是對(duì)加密貨幣的攫取，背后都閃現(xiàn)著國(guó)家支持的黑客的影子。網(wǎng)絡(luò)攻擊，已經(jīng)橫跨政治、外交、商業(yè)、軍事、關(guān)鍵基礎(chǔ)設(shè)施和社交媒體等各個(gè)領(lǐng)域。網(wǎng)絡(luò)安全，可以在技術(shù)上打破或超越傳統(tǒng)資源與能力和規(guī)則限制，弱小的國(guó)家可以借此挑戰(zhàn)大國(guó)。數(shù)字化時(shí)代必定導(dǎo)致數(shù)字化國(guó)防，網(wǎng)絡(luò)成戰(zhàn)場(chǎng)，代碼即武器。

3. 郵件安全問(wèn)題突出

電子郵件成網(wǎng)絡(luò)安全重災(zāi)區(qū)，不管是魚(yú)叉式郵件還是商業(yè)欺詐，都有著驚人的破壞力。前者是發(fā)動(dòng)APT攻擊和大范圍傳播惡意軟件的典型入口，后者據(jù)FBI的統(tǒng)計(jì)，2013至2016年商業(yè)欺詐郵件(BEC)已造成53億美元的損失。

(1) 2017年較大的電子郵件安全事件

1月：

由于葡萄牙“首席環(huán)球”公司的郵件服務(wù)器被拖庫(kù)，著名足球明星貝克漢姆過(guò)去幾年的郵件被下載并曝光。

2月：

360互聯(lián)網(wǎng)安全中心發(fā)布預(yù)警，與郵件安全相關(guān)的商業(yè)欺詐將給國(guó)內(nèi)企業(yè)帶來(lái)50億元以上的經(jīng)濟(jì)損失;
東歐網(wǎng)絡(luò)犯罪分子通過(guò)釣魚(yú)郵件入侵了全美快餐連鎖Chipotle的POS機(jī)系統(tǒng)，盜走數(shù)以百萬(wàn)的消費(fèi)者信用卡數(shù)據(jù)。

3月：

一名48歲的立陶宛人，被控通過(guò)釣鯨郵件騙取谷歌和FaceBook兩家公司各1億美元;
一種魚(yú)叉式釣魚(yú)郵件借美國(guó)稅季大肆傳播，100家機(jī)構(gòu)中的12萬(wàn)人中招。

5月：

WannaCry勒索病毒肆虐全球180個(gè)國(guó)家，雖然并未確認(rèn)初始攻擊載體為釣魚(yú)郵件，但至少釣魚(yú)郵件是其重要的傳播手段之一。

6月：

美國(guó)南俄勒岡大學(xué)承認(rèn)，今年4月受到郵件詐騙，把190萬(wàn)美元轉(zhuǎn)到騙子的賬戶;
烏克蘭一家金融科技公司的系統(tǒng)被釣魚(yú)郵件入侵，通過(guò)微軟漏洞在全球傳播Petya，俄羅斯、歐洲、印度和美國(guó)數(shù)百家機(jī)構(gòu)受到影響。

8月：

加拿大麥科文大學(xué)聲明，落入商業(yè)郵件欺詐圈套，匯出1140萬(wàn)美元。

12月：

騰訊安全通報(bào)一起大范圍釣魚(yú)郵件攻擊事件，52個(gè)國(guó)家的網(wǎng)站被利用，近3萬(wàn)家中國(guó)企業(yè)受影響。

(2) 郵件安全帶來(lái)的啟示：

電子郵件內(nèi)容事關(guān)重大。由于電子郵件辦公已經(jīng)在各行各業(yè)充分普及，從個(gè)人敏感信息到重要商業(yè)機(jī)密，再到核心知識(shí)產(chǎn)權(quán)，電子郵件都是最為主要的傳輸通道，一旦泄露后患無(wú)窮。
電子郵件的安全地位不容忽視。不管是大規(guī)模的惡意軟件傳播，還是針對(duì)性的APT攻擊，無(wú)論是廣撒網(wǎng)式的個(gè)人騙局，還是精心設(shè)計(jì)的商業(yè)欺詐，郵件都是第一入口和最大入口。
警惕網(wǎng)絡(luò)釣魚(yú)和商業(yè)欺詐郵件的激增。據(jù)美國(guó)聯(lián)邦調(diào)查局今年5月的統(tǒng)計(jì)，BEC(有時(shí)也稱釣鯨郵件)在兩年時(shí)間里，達(dá)到了2370%的驚人增長(zhǎng)率，而釣魚(yú)郵件的增長(zhǎng)率已經(jīng)超過(guò)了惡意軟件。雖然郵件安全網(wǎng)關(guān)和機(jī)器學(xué)習(xí)等技術(shù)手段可以在一定程度上進(jìn)行防范，但建立起良好的網(wǎng)絡(luò)安全意識(shí)教育機(jī)制，才是應(yīng)對(duì)社會(huì)工程手段攻擊最為有效的方法。

二、漏洞篇

1. 漏洞數(shù)量增長(zhǎng)史無(wú)前例

2017年各大漏洞庫(kù)公布的漏洞數(shù)量較以往呈明顯激增態(tài)勢(shì)。

(1) 國(guó)家信息安全漏洞庫(kù)(CNNVD)：

CNNVD公布的漏洞數(shù)量為14,748個(gè)，2016年全年的漏洞總數(shù)為8,753個(gè)，預(yù)期年增長(zhǎng)率至少上升70%。而CNNVD自正式統(tǒng)計(jì)漏洞數(shù)量以來(lái)，從2010年至2016年，增長(zhǎng)率最高才為20%。

(2) 美國(guó)國(guó)家漏洞庫(kù)(NVD)：

NVD公布的漏洞數(shù)量為14,277個(gè)，2016年全年的漏洞總數(shù)為6,515個(gè)，預(yù)期年增長(zhǎng)率至少上升170%。

(3) 公共漏洞披露平臺(tái)(CVE)：

CVE公布的漏洞數(shù)量為17,760個(gè)，2016年全年的漏洞總數(shù)為10,703個(gè)，預(yù)期年增長(zhǎng)率約為70%。

(注：以上2017年的漏洞數(shù)量均為截止到12月19日的統(tǒng)計(jì)數(shù)字)

漏洞激增的部分原因，是因?yàn)楦鞔舐┒垂嫫脚_(tái)在各自的數(shù)據(jù)庫(kù)中開(kāi)始囊括更多的漏洞。另一個(gè)重要原因則是云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)設(shè)備的普及，各種網(wǎng)絡(luò)應(yīng)用的爆發(fā)，以及更多的人員進(jìn)入安全領(lǐng)域并開(kāi)始關(guān)注漏洞。

此外值得注意的是，美國(guó)的國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)，漏洞報(bào)告從提交到收錄進(jìn)數(shù)據(jù)庫(kù)的平均時(shí)間是33天，而我國(guó)的國(guó)家漏洞數(shù)據(jù)庫(kù)(CNNVD)是13天。也就是說(shuō)，在漏洞細(xì)節(jié)提交后，訂閱了NVD的用戶要平均等33天才能收到警告，而在中國(guó)訂閱了CNNVD的用戶，平均13天內(nèi)即可收到警報(bào)，2倍于NVD的速度。

2. 漏洞可能出現(xiàn)在各個(gè)層面

從硬件到軟件，再到虛擬化、云計(jì)算，從疏忽大意形成漏洞，到主動(dòng)防護(hù)反而被黑，從終極破解方法到原始遺留問(wèn)題，漏洞可能在各個(gè)環(huán)節(jié)，因各種原因，以及各種面目出現(xiàn)。

(1) 2017年較為特殊的漏洞事件

1月：

卡巴斯基殺毒軟件證書(shū)密鑰出現(xiàn)漏洞，攻擊者可通過(guò)碰撞輕易偽造證書(shū)，實(shí)現(xiàn)中間人劫持。

2月：

“地址空間布局隨機(jī)化”(ASLR)技術(shù)被破解，包括英特爾、AMD、三星、Nvidia、微軟、蘋果、谷歌和Mozilla等芯片制造商和軟件公司均受影響。

3月：

Cisco IOS&IOS XE Software CMP 出現(xiàn)遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-3881)，允許未授權(quán)訪問(wèn)，遠(yuǎn)程攻擊者可以重啟設(shè)備、執(zhí)行代碼，提升權(quán)限。

4月：

蘋果設(shè)備WiFi芯片出現(xiàn)任意代碼執(zhí)行緩沖區(qū)溢出漏洞，該漏洞影響 iPhone 5 及以上版本，iPad 4代及更新機(jī)型，還有 iPod touch 6代及更新版本。

5月：

西班牙電信德國(guó)子公司證實(shí)，黑客利用SS7漏洞竊取驗(yàn)證碼，然后將客戶賬戶上的資金洗劫一空。這是第一起SS7漏洞公開(kāi)證實(shí)的攻擊;
英特爾AMT、ISM、SBT固件6到11.6版出現(xiàn)漏洞(CVE-2017-5689)，攻擊者可獲得控制權(quán)限。

7月：

博通WiFi芯片固件出現(xiàn)“堆溢出”漏洞(Broadpwn)，約10億臺(tái)蘋果和安卓受此影響。

8月：

車載信息控制單元中的英飛凌2G基帶芯片出現(xiàn)漏洞，福特、英菲尼迪、日產(chǎn)聆風(fēng)、寶馬等車型均受影響;
英特爾CPU安全控制機(jī)制ME上運(yùn)行的固件出現(xiàn)漏洞，可被利用成為后門。

9月：

藍(lán)牙通信協(xié)議出現(xiàn)8個(gè)漏洞(Blueborne)，理論上可影響全球所有使用藍(lán)牙的設(shè)備。

10月：

奧地利、美國(guó)和澳大利亞三國(guó)研究人員研究出Rowhammer終極攻擊方法，可攻破目前所有可用防御措施，且可以遠(yuǎn)程進(jìn)行，包括云端主機(jī);
無(wú)線安全協(xié)議WPA2出現(xiàn)漏洞KRACK(密鑰重裝攻擊)，理論上可以對(duì)任何支持Wi-Fi的設(shè)備產(chǎn)生影響;
德國(guó)半導(dǎo)體制造商英飛凌的某些芯片，可信平臺(tái)模塊出現(xiàn)漏洞(CVE-2017-15361)，該漏洞允許知曉RSA公鑰的攻擊者獲取私鑰;
國(guó)際海事衛(wèi)星公司的 AmosConnect 8 網(wǎng)絡(luò)平臺(tái)被曝兩個(gè)漏洞，攻擊者可以獲得遠(yuǎn)程訪問(wèn)特權(quán)，接管整個(gè)平臺(tái)。該平臺(tái)用于監(jiān)視輪船IT和導(dǎo)航系統(tǒng)，以及收發(fā)消息、郵件，瀏覽網(wǎng)頁(yè)等。

11月：

研究人員揭示微軟Office公式編輯器漏洞(CVE-2017-11882)，攻擊者可完全控制系統(tǒng)，該漏洞已存在17年;
蘋果macOS 10.13出現(xiàn)高危漏洞，物理接觸設(shè)備無(wú)需口令便可獲取管理員權(quán)限(以root用戶登錄)。

12月：

包括匯豐銀行、英國(guó)西敏寺銀行、Co-op銀行、美國(guó)銀行等移動(dòng)應(yīng)用，出現(xiàn)由于“證書(shū)鎖定”安全機(jī)制帶來(lái)的嚴(yán)重缺陷，數(shù)百萬(wàn)用戶面臨中間人攻擊的風(fēng)險(xiǎn);
傳輸層安全協(xié)議(TLS)19年前的ROBOT漏洞再現(xiàn)，攻擊成功后，攻擊者可被動(dòng)監(jiān)視并記錄流量，發(fā)動(dòng)中間人攻擊。

(2) 漏洞發(fā)現(xiàn)帶來(lái)的幾點(diǎn)啟示：

安全產(chǎn)品不一定安全。無(wú)論是殺毒軟件還是防火墻，抑或是安全機(jī)制，用于安全防御的事物本身也能成為漏洞的藏身之處。
底層漏洞防不勝防。芯片或固件一旦出現(xiàn)漏洞，卸載軟件、打補(bǔ)丁、重裝操作系統(tǒng)均無(wú)法徹底解決問(wèn)題，而更新固件或是更換芯片意味著巨大的困難。
通信協(xié)議或標(biāo)準(zhǔn)漏洞影響面巨大。動(dòng)輒影響上億的設(shè)備，而協(xié)議的更新?lián)Q代則需要度過(guò)漫長(zhǎng)的時(shí)間周期。
數(shù)字化應(yīng)用的爆發(fā)帶來(lái)漏洞的爆發(fā)。無(wú)論是移動(dòng)設(shè)備還是物聯(lián)網(wǎng)設(shè)備，無(wú)論是虛擬化還是云計(jì)算與開(kāi)源社區(qū)，在今年都呈飛速上升與擴(kuò)展的趨勢(shì)，因此漏洞的爆發(fā)應(yīng)在意料之中。
長(zhǎng)老級(jí)漏洞與難打的補(bǔ)丁現(xiàn)象固疾難除。出于各種原因，許多補(bǔ)丁事隔很長(zhǎng)時(shí)間才能得到修復(fù)，甚至是永遠(yuǎn)不會(huì)修復(fù)。而只有修復(fù)之后，才談得上更新。最后，對(duì)老舊系統(tǒng)的更新可能才是真正的挑戰(zhàn)。
零日漏洞與開(kāi)源。不談國(guó)家強(qiáng)制力量，零日漏洞的一大根源是開(kāi)源代碼的不斷擴(kuò)散。每年1110億行代碼的擴(kuò)張量，越來(lái)越多的開(kāi)發(fā)者加入開(kāi)源模塊、組件、庫(kù)的復(fù)用隊(duì)伍。開(kāi)源安全責(zé)任重大，與社區(qū)中的每一個(gè)人都有關(guān)。

[[214570]]

3. 漏洞披露問(wèn)題的兩難

2017年，從發(fā)現(xiàn)Facebook任意圖片刪除漏洞拿到1萬(wàn)美金，到美國(guó)國(guó)防部“入侵空軍”二期眾測(cè)項(xiàng)目發(fā)放的26萬(wàn)美元，再到漏洞交易平臺(tái)Zerodium的50萬(wàn)、100萬(wàn)、150萬(wàn)美元的漏洞征集獎(jiǎng)金，一個(gè)問(wèn)題浮出水面，漏洞到底值多少錢?

這個(gè)問(wèn)題非常復(fù)雜，涉及到漏洞利用的時(shí)間周期、漏洞所在系統(tǒng)本身的價(jià)值、漏洞可能帶來(lái)的危害程度、影響范圍，漏洞防范的難易度等眾多因素。但無(wú)疑，漏洞信息的機(jī)密程度是漏洞價(jià)值的最關(guān)鍵因素。知道的人少(即零日漏洞或N日漏洞)就越值錢，知道的人越多就越低廉。因此，才會(huì)有完全披露和負(fù)責(zé)任披露兩種模式的出現(xiàn)。二者之間各有利有弊，是一個(gè)平衡取舍的問(wèn)題。

11月15日，美國(guó)白宮發(fā)布《漏洞平衡政策》，十大部門形成審查委員會(huì)，根據(jù)漏洞的波及范圍、利用難度、可導(dǎo)致的破壞，以及漏洞修復(fù)難度等，衡量漏洞的威脅程度，結(jié)合政府如何利用漏洞，以及利用漏洞的事實(shí)被公開(kāi)將面臨的政治風(fēng)險(xiǎn)，來(lái)審查漏洞，最終決定公開(kāi)日期或保密。

漏洞審查委員會(huì)成員：

國(guó)防部(含NSA)
中央情報(bào)局
司法部(含F(xiàn)BI)
國(guó)務(wù)院國(guó)土安全部
國(guó)家情報(bào)總監(jiān)辦公室
財(cái)務(wù)部
能源部
商務(wù)部
管理與預(yù)算辦公室

2017年的NVD漏洞總數(shù)約1.5萬(wàn)個(gè)，按照CVSS V3 的評(píng)級(jí)方法，僅高危漏洞就3千多個(gè)。況且，超過(guò)四分之三的漏洞在NVD發(fā)布之前就已經(jīng)在新聞?wù)军c(diǎn)、博客、社交媒體，以及常人無(wú)法觸及的暗網(wǎng)、犯罪論壇公布。因此該審查委員會(huì)，將特別針對(duì)零日漏洞做出披露決策。

三、行業(yè)市場(chǎng)篇

1. 會(huì)議活動(dòng)空前熱烈

2016年網(wǎng)絡(luò)安全大事記曾寫道，“2016年是信息安全會(huì)議活動(dòng)最為集中的一年”，但2017年明顯比去年更多，多到一一列出會(huì)占用太多的文章篇幅，因此今年的大事記只選出了非常重要或影響力較大的十個(gè)活動(dòng)。

2017年十大頂級(jí)安全會(huì)議/活動(dòng)：

RSA 2017 全球約有680余家機(jī)構(gòu)參展，比去年約增長(zhǎng)23%。以國(guó)別來(lái)看，參展機(jī)構(gòu)數(shù)量中國(guó)排名第二(32家)，較去年增長(zhǎng)了82%。韓國(guó)增長(zhǎng)速度最為迅猛，達(dá)到800%，部分體現(xiàn)出東亞地區(qū)在網(wǎng)絡(luò)安全方面的進(jìn)步。
2017年國(guó)內(nèi)網(wǎng)絡(luò)安全相關(guān)會(huì)議活動(dòng)總數(shù)預(yù)計(jì)超過(guò)300場(chǎng)。百人規(guī)模的活動(dòng)超過(guò)100場(chǎng)，千人規(guī)模的活動(dòng)也在10場(chǎng)以上。粗略估算會(huì)議成本約在1億至3億元左右。
網(wǎng)絡(luò)攻防比賽亦呈爆發(fā)態(tài)勢(shì)。XCTF、WCTF、TCTF、X-NUCA、鐵人三項(xiàng)，以及各地省市政府、協(xié)會(huì)組織的網(wǎng)絡(luò)安全競(jìng)賽紛紛而起。安全競(jìng)賽的意義主要有二，一是增強(qiáng)網(wǎng)絡(luò)安全在整個(gè)社會(huì)的影響力，向全社會(huì)推廣網(wǎng)絡(luò)安全的知識(shí);二是形成良好的安全氛圍，以及培養(yǎng)和發(fā)現(xiàn)優(yōu)秀的安全人才。
各種會(huì)議活動(dòng)可大致分為國(guó)家與地方政府牽頭的會(huì)議、綜合性的產(chǎn)業(yè)會(huì)、展覽會(huì)、技術(shù)研討會(huì)、解決方案會(huì)、安全廠商渠道客戶會(huì)、新品發(fā)布會(huì)、戰(zhàn)略合作會(huì)、融資見(jiàn)面會(huì)等，再加上信息領(lǐng)域各大會(huì)議中的安全分論壇，大型互聯(lián)網(wǎng)公司的SRC會(huì)和各機(jī)構(gòu)舉辦的破解攻防大賽等。
對(duì)于安全廠商來(lái)說(shuō)，建議選擇定位精準(zhǔn)，性價(jià)比高，貼近行業(yè)，貼近用戶的會(huì)議參加。而對(duì)于主辦方來(lái)說(shuō)，精選議題、演講人，盡量為聽(tīng)眾帶來(lái)更有價(jià)值的內(nèi)容，才是舉辦活動(dòng)的根本意義。2017年用戶或渠道大會(huì)明顯增多，也從客觀上反映出用戶至上的辦會(huì)趨勢(shì)。

2. 融資規(guī)模前所未有

2017年，涉及到融資并購(gòu)的安全企業(yè)，金額上億美元的國(guó)外有約20余起，國(guó)內(nèi)今年也創(chuàng)記錄的有10余家創(chuàng)業(yè)公司的融資達(dá)億元級(jí)別，為網(wǎng)絡(luò)安全領(lǐng)域融資額最為爆發(fā)的一年。

[[214571]]

(1) 2017年國(guó)外較大的融資并購(gòu)事件

1月：

思科宣布將以37億美元收購(gòu)專注于改善應(yīng)用程序性能的初創(chuàng)公司AppDynamics。

2月：

英國(guó)老牌安全公司Sophos以1億美元外加首年達(dá)成業(yè)務(wù)目標(biāo)的2000萬(wàn)美元，買下終端檢測(cè)與響應(yīng)公司Invincea;
Palo Alto Networks 宣布以1.05億美元的現(xiàn)金完成對(duì)入侵檢測(cè)公司LightCyber的收購(gòu)。

3月：

CA Technologies 以6.14億美元收購(gòu)了應(yīng)用安全及滲透測(cè)試公司Veracode。

4月：

邁克菲正式脫離英特爾重回獨(dú)立公司身份。英特爾于2011年以77億美元的價(jià)格收購(gòu)了邁克菲，之后于2016年以31億美元的價(jià)格出售了邁克菲51%的股份;
英特爾宣布，將以153億美元的價(jià)格收購(gòu)以色列汽車安全公司Mobileye，再次創(chuàng)造安全行業(yè)收并購(gòu)記錄。剛剛獨(dú)立運(yùn)營(yíng)的邁克菲稱這次收購(gòu)為英特爾“前瞻性的安全戰(zhàn)略布局”。

5月：

軍事應(yīng)用安全軟件公司Mocana融資1100萬(wàn)美元，融資總額達(dá)到9360萬(wàn)美元;
CrowdStrike宣布完成1億美元D輪融資，該公司總?cè)谫Y額已達(dá)2.56億美元。上一筆融資發(fā)生在2015年7月，同樣是1億美元;
終端安全廠商Tanium宣布新一輪1億美元融資，該公司融資額已升至4.07億美元。

6月：

微軟以1億美元買下以色列網(wǎng)絡(luò)安全公司Hexadite，該公司利用AI和機(jī)器學(xué)習(xí)輔助自動(dòng)化事件響應(yīng);
自適應(yīng)安全廠商Illumio宣布D輪融資1.25億美元，總?cè)谫Y額已達(dá)2.67億美元;
云安全代理廠商N(yùn)etskope宣布新一輪1億美元融資，融資總額已達(dá)2.314億美元;
反勒索軟件公司Cybereason收獲軟銀注資1億美元，估值上升至8.5億美元。

8月：

賽門鐵克宣布，將其SSL/TLS證書(shū)業(yè)務(wù)以9.5億美元現(xiàn)金加30%DigiCert普通股的價(jià)格售出;
威脅情報(bào)與安全管理公司BlueteamGlobal宣布融資1.25億美元。

9月：

訪問(wèn)控制公司SecureAuth宣布將以2.25億美元的價(jià)格并購(gòu)漏洞、身份治理與威脅管理公司 Core Security。

10月：

物聯(lián)網(wǎng)安全公司ForeScout上市，首次公開(kāi)募股1.16億美元;
安全分析公司Skybox宣布最新融資1.5億美元以加強(qiáng)其安全管理產(chǎn)品的研發(fā)和推廣。

11月：

網(wǎng)絡(luò)安全公司Proofpoint宣布同意以1.1億美元的價(jià)格，現(xiàn)金收購(gòu)消息安全公司Cloudmark;
汽車嵌入式軟件解決方案提供商EB完成對(duì)汽車安全公司Argus的收購(gòu)，業(yè)內(nèi)估計(jì)收購(gòu)金額約4.5億美元。

12月：

軟件整合廠商Synopsys宣布以5.47億美元的價(jià)格(已扣除黑鴨子軟件所持現(xiàn)金)完成對(duì)代碼安全公司黑鴨子軟件的收購(gòu);
法國(guó)最大的防務(wù)類機(jī)械電子科技公司泰雷茲集團(tuán)宣布，將以48億歐元(約56億美元)的價(jià)格收購(gòu)安全公司金雅拓。

(2) 2017年國(guó)內(nèi)安全公司投融資情況

2月：

身份認(rèn)證安全公司九州云騰Pre-A融資1000萬(wàn)元，投資方為綠盟科技;
欺騙防御及云安全公司默安科技Pre-A融資3000萬(wàn)元;
威脅追捕公司中睿天下Pre-A融資2000萬(wàn)元。

3月：

大數(shù)據(jù)反欺詐公司數(shù)美科技A輪融資1000萬(wàn)美元，投資方包括360和百度;
云安全公司上元信安A輪融資3000萬(wàn)元，投資方為任子行。

4月：

高級(jí)網(wǎng)絡(luò)威脅(APT)公司東巽科技A輪融資4000萬(wàn)元;
威脅情報(bào)+安全服務(wù)公司數(shù)字觀星天使輪融資1000萬(wàn)元;
業(yè)務(wù)風(fēng)控與反欺詐公司豈安科技A輪融資(千萬(wàn)元級(jí));
數(shù)字證書(shū)公司格爾軟件上交所上市，IPO募資總額2.76億元;
工控安全公司天地和興A輪融資(千萬(wàn)元級(jí))。

5月：

Hadoop安全公司觀數(shù)科技Pre-A融資1500萬(wàn)元;
金融反欺詐公司邦盛科技B+輪融資1.6億元;
保密技術(shù)及產(chǎn)品廠商中孚信息深交所上市，IPO募資2.62億元;
大數(shù)據(jù)+數(shù)據(jù)安全公司志翔科技B輪融資(近億元)。

6月：

智能身份認(rèn)證公司芯盾時(shí)代B輪融資近億元;
智能風(fēng)控公司猛犸反欺詐(上海行邑)A+輪融資5000萬(wàn)元;
業(yè)務(wù)風(fēng)控公司頂象技術(shù)A輪融資(千萬(wàn)元級(jí));
下一代應(yīng)用安全公司長(zhǎng)亭科技A輪融資(千萬(wàn)元級(jí));
新三板掛牌公司永信至誠(chéng)發(fā)布定增方案，融資額約7500萬(wàn)元;
云抗D公司青松智慧B輪融資(千萬(wàn)元級(jí))。

7月：

移動(dòng)應(yīng)用安全公司幾維安全(成都盈海益訊)Pre-A融資1千萬(wàn);
統(tǒng)一內(nèi)容安全公司天空衛(wèi)士完成A輪融資，總?cè)谫Y額達(dá)1.5億元，投資方包括360;
大數(shù)據(jù)安全公司瀚思安信B輪融資1億元;
可視化應(yīng)用層安全公司安博通新三板股票發(fā)行募集資金7552萬(wàn)元。

8月：

工控安全公司安點(diǎn)科技第二輪融資4500萬(wàn)元;
大數(shù)據(jù)安全公司蘭云科技A輪融資5000萬(wàn)元;
身份認(rèn)證公司錦佰安Pre-A融資1500萬(wàn)元;
終端安全公司杰思安全A輪融資3000萬(wàn)元;
終端安全公司火絨安全Pre-A融資1500萬(wàn)元，投資方為天融信。

9月：

威脅情報(bào)公司微步在線B輪融資1.2億元;
大數(shù)據(jù)安全公司上海觀安A+融資5400萬(wàn)元;
基于CASB架構(gòu)的ERP安全公司煉石網(wǎng)絡(luò)Pre-A融資3000萬(wàn)元;
移動(dòng)業(yè)務(wù)安全統(tǒng)一解決方案公司指掌易A+融資1.5億元。

10月：

移動(dòng)應(yīng)用安全公司愛(ài)加密(北京智游網(wǎng)安)D輪融資5億元;
風(fēng)控反欺詐公司同盾科技C輪融資7280萬(wàn)美元;
數(shù)據(jù)庫(kù)安全公司中安威士A+融資2000萬(wàn)元。

11月：

數(shù)據(jù)安全公司全知科技完成天使輪融資(千萬(wàn)元級(jí))。

12月：

動(dòng)態(tài)防御公司衛(wèi)達(dá)安全Pre-A融資6000萬(wàn)元;
終端安全公司網(wǎng)思科平第二輪融資3500萬(wàn)元;
滲透測(cè)試公司四維創(chuàng)智完成天使輪融資(千萬(wàn)元級(jí));
云安全應(yīng)用公司安百科技A輪融資6000萬(wàn)元;
大數(shù)據(jù)與云安全公司安數(shù)云A輪融資2800萬(wàn)元;
云主機(jī)安全公司椒圖科技A輪融資8000萬(wàn)元，投資方為360;
自適應(yīng)安全公司青騰云安全B輪融資近億元。

2017年國(guó)外網(wǎng)絡(luò)安全融資并購(gòu)事件頻發(fā)，涉及金額僅公開(kāi)的數(shù)字已達(dá)300億美元。熱門領(lǐng)域包括汽車安全、應(yīng)用安全、機(jī)器學(xué)習(xí)、威脅情報(bào)、安全分析等。

2017年國(guó)內(nèi)安全領(lǐng)域創(chuàng)業(yè)企業(yè)總?cè)谫Y額已達(dá)35億人民幣，數(shù)倍于往年。反欺詐、大數(shù)據(jù)、終端安全、云安全、移動(dòng)安全、數(shù)據(jù)安全與身份認(rèn)證均為投資熱門領(lǐng)域。

由于國(guó)家政策和技術(shù)變革等因素，安全行業(yè)正處于風(fēng)口，各地的安全產(chǎn)業(yè)園正剛開(kāi)始建設(shè)，國(guó)家年底也出臺(tái)了相關(guān)政策引導(dǎo)社會(huì)資本的投入。因此目前來(lái)看，國(guó)內(nèi)的安全行業(yè)至少能夠保持3年左右的快速增長(zhǎng)。但35億人民幣的創(chuàng)業(yè)投融資額，相對(duì)于總量400億(安全牛初步統(tǒng)計(jì)2017年安全市場(chǎng)總額為400億元)左右的安全市場(chǎng)，占比已經(jīng)非常之大，需要警惕泡沫的出現(xiàn)。

3. 安全行業(yè)正在變革

區(qū)別于前兩年的概念炒作階段，2017年的網(wǎng)絡(luò)安全市場(chǎng)，已經(jīng)顯現(xiàn)出真正變革的態(tài)勢(shì)。云安全已經(jīng)是所有主流安全廠商的業(yè)務(wù)發(fā)展重點(diǎn)，各種解決方案開(kāi)始落地應(yīng)用。移動(dòng)安全實(shí)實(shí)在在的走進(jìn)用戶，物聯(lián)網(wǎng)安全成為未來(lái)焦點(diǎn)，而身份認(rèn)證是物聯(lián)網(wǎng)安全的入口和基礎(chǔ)設(shè)施。

數(shù)據(jù)安全處于爆發(fā)前夜。數(shù)據(jù)不僅僅是資產(chǎn)，數(shù)據(jù)還是生產(chǎn)要素，而數(shù)據(jù)流動(dòng)創(chuàng)造未來(lái)，此為數(shù)據(jù)時(shí)代的本質(zhì)。因此，數(shù)據(jù)這個(gè)自始至終的安全核心保護(hù)對(duì)象，在數(shù)據(jù)時(shí)代必然迎來(lái)數(shù)據(jù)安全的爆發(fā)。
網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)浮出水面。用戶對(duì)安全的本質(zhì)需求是解決實(shí)際問(wèn)題，而不是合規(guī)。因此，“沒(méi)有銀彈”的現(xiàn)實(shí)，令企業(yè)甚至是個(gè)人開(kāi)始關(guān)注發(fā)生災(zāi)難后的挽回措施。假以時(shí)日，網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)(個(gè)人認(rèn)為，叫數(shù)字保險(xiǎn)更合適)必將走上舞臺(tái)，成為商業(yè)保險(xiǎn)的常態(tài)險(xiǎn)種。國(guó)外保險(xiǎn)集團(tuán)的調(diào)查預(yù)計(jì)，2022年網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)全球市場(chǎng)將達(dá)140億美元。
工控安全有所升溫。一直不慍不火的工控安全在政策大背景的推動(dòng)下開(kāi)始升溫，其中，全國(guó)范圍的工控安全大檢查是目前的主要驅(qū)動(dòng)力。而工業(yè)互聯(lián)網(wǎng)、智慧城市、平安城市等從概念上給予工控安全更大的發(fā)展空間。
人才短缺推動(dòng)市場(chǎng)轉(zhuǎn)型，安全服務(wù)是方向。用戶對(duì)整體統(tǒng)一解決方案的需求，令大型網(wǎng)絡(luò)設(shè)備廠商在安全市場(chǎng)上的份額迅速上升，但硬件設(shè)備逐漸走向后臺(tái)的大趨勢(shì)不可避免，目前的狀況只是短期紅利，安全服務(wù)才是長(zhǎng)期方向。安全人才短缺是這一趨勢(shì)的關(guān)鍵原因之一，并且在有限的時(shí)間內(nèi)，尚看不到人才缺口得到較好彌補(bǔ)的可能。
信息安全咨詢業(yè)務(wù)有著不錯(cuò)的發(fā)展前景。無(wú)論在國(guó)內(nèi)還是國(guó)際，網(wǎng)絡(luò)安全行業(yè)的碎片化特征十分明顯。主要是因?yàn)榘踩切袠I(yè)化、場(chǎng)景化，甚至是業(yè)務(wù)化的，很難出現(xiàn)“包打天下”的標(biāo)準(zhǔn)產(chǎn)品。但隨著網(wǎng)絡(luò)威脅的來(lái)源和攻擊手段的復(fù)雜化，企業(yè)需要制定完善的安全管理策略，以構(gòu)建全面的安全防護(hù)體系，同時(shí)降低安全管理復(fù)雜度和投入成本。因此，信息安全咨詢服務(wù)在未來(lái)有著更廣大的發(fā)展前景。安全牛統(tǒng)計(jì)的全球網(wǎng)絡(luò)安全年收入超10億美元(2016年)以上的15家公司中，有四家為咨詢公司，就是一個(gè)佐證。
地方政府戰(zhàn)略布局，安全基地四面開(kāi)花。安全產(chǎn)業(yè)基地、產(chǎn)業(yè)園、人才培養(yǎng)基地，紛紛在北京、武漢、成都、杭州、南京、合肥、福州、哈爾濱、西安等城市建立，體現(xiàn)出地方政府對(duì)網(wǎng)絡(luò)安全的重視，并將其放到城市經(jīng)濟(jì)與科技發(fā)展的重要戰(zhàn)略地位。

四、政策法規(guī)篇

從歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)到美國(guó)的《國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃》(NCIRP)，再到俄羅斯的虛擬專用網(wǎng)(VPN)禁令和中國(guó)的《網(wǎng)絡(luò)安全法》，個(gè)人隱私保護(hù)與商業(yè)利益和國(guó)家安全交織，網(wǎng)絡(luò)空間安全成各國(guó)政府政治、經(jīng)濟(jì)博弈關(guān)注重點(diǎn)。

[[214572]]

1. 國(guó)外重大網(wǎng)絡(luò)安全政策法規(guī)一覽(2017年前后)

2016年12月28日，美國(guó)食品與藥物管理局公布了關(guān)于醫(yī)療設(shè)備制造商如何維護(hù)聯(lián)網(wǎng)設(shè)備安全的建議文件。文件建議聯(lián)合起來(lái)建立一個(gè)信息共享與分析組織以此來(lái)分享重要的安全威脅和應(yīng)對(duì)措施。
12月29日，美國(guó)總統(tǒng)奧巴馬簽署了一項(xiàng)總統(tǒng)行政令，正式就俄羅斯的惡意網(wǎng)絡(luò)行為和干擾對(duì)其發(fā)起制裁。
2017年1月，美國(guó)國(guó)土安全部公布了《國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃》(NCIRP)，旨在描述政府處理公共或私營(yíng)產(chǎn)業(yè)實(shí)體相關(guān)網(wǎng)絡(luò)事件的方法。
2月6日，美國(guó)眾議院投票通過(guò)《電子郵件隱私法》(Email Privacy Act)，規(guī)定執(zhí)法部門將需要得到法院頒發(fā)的搜查令后，才能獲準(zhǔn)訪問(wèn)儲(chǔ)存在第三方的時(shí)間超過(guò)6個(gè)月的電子郵件或者其他數(shù)據(jù)。
3月1日，美國(guó)眾議院科學(xué)、空間與技術(shù)委員會(huì)三通過(guò)了《網(wǎng)絡(luò)安全框架》法案。按照法案規(guī)定，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將向聯(lián)邦機(jī)構(gòu)提供如何實(shí)施此《網(wǎng)絡(luò)安全框架》的指南。
3月，中興通訊同美國(guó)政府就伊朗交易與美政府達(dá)成的和解協(xié)議批準(zhǔn)生效，中興同意支付共計(jì)約12億美元，作為非法將美國(guó)制造的高科技產(chǎn)品出口給伊朗的罰金。達(dá)成和解協(xié)議后，美國(guó)工業(yè)和安全局將建議把中興通訊從出口限制名單中移除。
6月29日，美國(guó)白宮國(guó)土安全顧問(wèn)湯姆·博塞特表示，美國(guó)和以色列周一宣布，兩國(guó)將建立新的網(wǎng)絡(luò)安全合作關(guān)系，以阻止網(wǎng)絡(luò)對(duì)手，并確定讓惡意攻擊者承擔(dān)責(zé)任的方法。
7月，美國(guó)司法部(DOJ)犯罪科網(wǎng)絡(luò)安全部門發(fā)布《在線系統(tǒng)漏洞披露計(jì)劃框架》，以幫助組織機(jī)構(gòu)制定正規(guī)的漏洞披露計(jì)劃。此框架并未規(guī)定漏洞披露計(jì)劃的形式或目標(biāo)，而是側(cè)重描述授權(quán)發(fā)現(xiàn)與披露行為，以減少在民事或刑事上違反《計(jì)算機(jī)欺詐與濫用法》(CFAA)的可能性。
11月1日，俄羅斯總統(tǒng)普京簽署的虛擬專用網(wǎng)(VPN)禁令生效，從此在俄羅斯境內(nèi)使用或提供VPN服務(wù)均屬違法。
11月，美國(guó)眾議院以356票贊成，70票反對(duì)的投票結(jié)果通過(guò)了2018財(cái)年的《國(guó)防授權(quán)法案》，在價(jià)值7000億美元的國(guó)防開(kāi)支中將用6340億美元用于五角大樓的核心業(yè)務(wù)。今年的國(guó)防授權(quán)法案的重大改變?cè)谟冢何褰谴髽菍?huì)進(jìn)一步開(kāi)放源代碼。
11月15日，美國(guó)白宮發(fā)布《漏洞平衡策略》，十大部門形成審查委員會(huì)，根據(jù)漏洞的波及范圍、利用難度、可導(dǎo)致的破壞，以及漏洞修復(fù)難度等，衡量漏洞的威脅程度，結(jié)合政府如何利用漏洞，以及利用漏洞的事實(shí)被公開(kāi)將面臨的政治風(fēng)險(xiǎn)，來(lái)審查漏洞，最終決定公開(kāi)日期或保密。
12月8日，特朗普政府公布國(guó)家安全戰(zhàn)略報(bào)告，強(qiáng)化美國(guó)競(jìng)爭(zhēng)優(yōu)勢(shì)，增強(qiáng)軍事、核力量、太空、網(wǎng)絡(luò)和情報(bào)等方面競(jìng)爭(zhēng)力，以及提升美國(guó)的全球影響力。
12月12日，美國(guó)總統(tǒng)特朗普正式簽署了一項(xiàng)新的法令，政府部門永久開(kāi)始禁用卡巴斯基殺毒軟件。該法案強(qiáng)化了特朗普政府于今年9月發(fā)布的一項(xiàng)強(qiáng)制行動(dòng)指令，新的法案對(duì)民事和軍事網(wǎng)絡(luò)系統(tǒng)均適用。
12月14日，美國(guó)聯(lián)邦通訊委員會(huì)FCC發(fā)布《恢復(fù)互聯(lián)網(wǎng)自由》，以3-2的投票結(jié)果正式廢除了奧巴馬政府2015年通過(guò)的《開(kāi)放互聯(lián)網(wǎng)法令》所確立的“網(wǎng)絡(luò)中立”規(guī)定，取消了對(duì)互聯(lián)網(wǎng)供應(yīng)商封鎖網(wǎng)站的限制和對(duì)互聯(lián)網(wǎng)內(nèi)容提供商收費(fèi)的限制。

2. 國(guó)內(nèi)重大網(wǎng)絡(luò)安全政策法規(guī)一覽(2017年前后)

2016年12月27日，國(guó)家互聯(lián)網(wǎng)信息辦公室首次發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》。《戰(zhàn)略》要求，要以總體國(guó)家安全觀為指導(dǎo)，推進(jìn)網(wǎng)絡(luò)空間和平、安全、開(kāi)放、合作、有序，維護(hù)國(guó)家主權(quán)、安全、發(fā)展利益，實(shí)現(xiàn)建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的戰(zhàn)略目標(biāo)。
2017年3月1日，經(jīng)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組批準(zhǔn)，外交部和國(guó)家互聯(lián)網(wǎng)信息辦公室共同發(fā)布《網(wǎng)絡(luò)空間國(guó)際合作戰(zhàn)略》。戰(zhàn)略提出，應(yīng)在和平、主權(quán)、共治、普惠四項(xiàng)基本原則基礎(chǔ)上推動(dòng)網(wǎng)絡(luò)空間國(guó)際合作，并強(qiáng)調(diào)中國(guó)在推動(dòng)建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略部署的同時(shí)，將秉持以合作共贏為核心的新型國(guó)際關(guān)系理念，與國(guó)際社會(huì)攜手共建安全、穩(wěn)定、繁榮的網(wǎng)絡(luò)空間。
3月20日，最高人民法院審判委員會(huì)全體會(huì)議召開(kāi)，審議并原則通過(guò)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱《解釋》)。《解釋》(送審稿)共十條，主要規(guī)定了以下三方面的內(nèi)容：(1)公民個(gè)人信息的范圍;(2)侵犯公民個(gè)人信息罪的定罪量刑標(biāo)準(zhǔn);(3)侵犯公民個(gè)人信息犯罪所涉及的寬嚴(yán)相濟(jì)、犯罪競(jìng)合、單位犯罪、數(shù)量計(jì)算等問(wèn)題。
3月27日，重慶市政府發(fā)布了修訂后的《重慶市公安機(jī)關(guān)網(wǎng)絡(luò)監(jiān)管行政處罰裁量基準(zhǔn)》。對(duì)于接入國(guó)際網(wǎng)絡(luò)問(wèn)題，即通常所說(shuō)的“翻墻”，《裁量基準(zhǔn)》規(guī)定，不以盈利為目的，初次實(shí)施上述違法行為，責(zé)令停止聯(lián)網(wǎng)，給予警告。以盈利為目的實(shí)施上述違法行為，責(zé)令停止聯(lián)網(wǎng)，給予警告，同時(shí)沒(méi)收違法所得，視情節(jié)輕重，處以5000元至15000元的罰款。
6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，網(wǎng)絡(luò)安全法最重要的意義在于把網(wǎng)絡(luò)安全工作以法律形式提高到了國(guó)家安全戰(zhàn)略的高度，并將信息安全等級(jí)保護(hù)制度上升為法律，成為維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益的重要舉措。
6月27日，國(guó)家網(wǎng)信辦發(fā)布了關(guān)于印發(fā)《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的通知(中網(wǎng)辦發(fā)文〔2017〕4號(hào))。預(yù)案將網(wǎng)絡(luò)安全事件分為四級(jí)：特別重大網(wǎng)絡(luò)安全事件、重大網(wǎng)絡(luò)安全事件、較大網(wǎng)絡(luò)安全事件、一般網(wǎng)絡(luò)安全事件。通知明確，網(wǎng)絡(luò)安全事件應(yīng)急處置工作實(shí)行責(zé)任追究制。
7月，為保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門起草了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》。
7月27日，工信部發(fā)布《關(guān)于開(kāi)展2017年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全試點(diǎn)示范工作的通知》。通知指出，2017年試點(diǎn)示范項(xiàng)目的申報(bào)主體為基礎(chǔ)電信企業(yè)集團(tuán)公司或省級(jí)公司、互聯(lián)網(wǎng)域名注冊(cè)管理和服務(wù)機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡(luò)安全企業(yè)等。試點(diǎn)示范項(xiàng)目應(yīng)為支撐自身網(wǎng)絡(luò)安全工作或?yàn)榭蛻籼峁┌踩?wù)的已建成并投入運(yùn)行的網(wǎng)絡(luò)安全系統(tǒng)(平臺(tái))。
9月，工信部印發(fā)《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)與處置辦法》(以下稱《辦法》)。《辦法》要求相關(guān)專業(yè)機(jī)構(gòu)、基礎(chǔ)電信企業(yè)、網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、域名注冊(cè)管理和服務(wù)機(jī)構(gòu)等應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)與處置工作，明確責(zé)任部門、責(zé)任人和聯(lián)系人，加強(qiáng)相關(guān)技術(shù)手段建設(shè)，不斷提高網(wǎng)絡(luò)安全威脅監(jiān)測(cè)與處置的及時(shí)性、準(zhǔn)確性和有效性。
12月，中共中央政治局就實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略進(jìn)行第二次集體學(xué)習(xí)。大數(shù)據(jù)是信息化發(fā)展的新階段，要推動(dòng)大數(shù)據(jù)技術(shù)產(chǎn)業(yè)創(chuàng)新發(fā)展，要構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)，要運(yùn)用大數(shù)據(jù)提升國(guó)家治理現(xiàn)代化水平，要運(yùn)用大數(shù)據(jù)促進(jìn)保障和改善民生，要切實(shí)保障國(guó)家數(shù)據(jù)安全。

歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)將于2018年5月25日正式實(shí)施，受到影響最大的是與歐洲有著密切商業(yè)往來(lái)的跨國(guó)公司。一是合規(guī)投入。根據(jù)普華永道的調(diào)查，大部分美國(guó)公司認(rèn)為將花費(fèi)100萬(wàn)到1000萬(wàn)美元的投入以滿足合規(guī)。二是罰金。違反GDPR規(guī)定的公司，可被罰款高達(dá)2000萬(wàn)歐元或是公司全球年收入的4%處罰。有咨詢公司表示，在GDPR實(shí)施的頭一年中，有可能開(kāi)出60億美元的罰金。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已于今年6月1日實(shí)施，網(wǎng)絡(luò)安全法最重要的意義在于，從法律層面上把我國(guó)網(wǎng)絡(luò)安全工作提高到了國(guó)家安全戰(zhàn)略的高度，強(qiáng)調(diào)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施及個(gè)人信息數(shù)據(jù)的保護(hù)，明確了國(guó)家、主管部門、網(wǎng)絡(luò)所有者、運(yùn)營(yíng)者及普通用戶各自的責(zé)任以及違規(guī)后的相關(guān)處罰。在合規(guī)應(yīng)對(duì)實(shí)施環(huán)節(jié)，從網(wǎng)絡(luò)運(yùn)營(yíng)安全、網(wǎng)絡(luò)信息安全及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等三方面，就“相關(guān)責(zé)任方”、“管理措施”及“技術(shù)措施”等三個(gè)維度總結(jié)了具體實(shí)施要點(diǎn)。

2017年，主管部門及安全標(biāo)準(zhǔn)化機(jī)構(gòu)發(fā)布了多個(gè)與《網(wǎng)絡(luò)安全法》實(shí)施相關(guān)的法規(guī)與標(biāo)準(zhǔn)，有的還處在征求意見(jiàn)當(dāng)中。為方便各類機(jī)構(gòu)在實(shí)施《網(wǎng)絡(luò)安全法》時(shí)加以參考，把最重要的相關(guān)法規(guī)與標(biāo)準(zhǔn)列表如下：

國(guó)內(nèi)2017年前后發(fā)布的《網(wǎng)絡(luò)安全法》相關(guān)法規(guī)標(biāo)準(zhǔn)

數(shù)字化進(jìn)程擴(kuò)大網(wǎng)絡(luò)安全產(chǎn)業(yè)，各國(guó)安全政策壓縮彼此市場(chǎng)空間。數(shù)字化進(jìn)程不斷的促進(jìn)網(wǎng)絡(luò)安全市場(chǎng)空間的擴(kuò)張，努力向前發(fā)展的企業(yè)不可避免的傾向使用先進(jìn)的技術(shù)。而網(wǎng)絡(luò)安全又是國(guó)家安全的重要組成部分，因此各國(guó)出臺(tái)相應(yīng)保護(hù)自我的政策無(wú)可厚非。但更大的主題是人類的科技發(fā)展，各國(guó)之間是一個(gè)競(jìng)爭(zhēng)與合作的“命運(yùn)共同體”。自主可控與開(kāi)放創(chuàng)新，封閉與開(kāi)源，永遠(yuǎn)都是在爭(zhēng)議中前行的話題。因此如何在符合對(duì)方國(guó)家大政策體系和規(guī)范的前提下，盡最大能力地將自身的技術(shù)和產(chǎn)品融合到當(dāng)?shù)氐陌踩鷳B(tài)圈中，是跨國(guó)安全企業(yè)在未來(lái)幾年的重要挑戰(zhàn)。

五、年度大事總結(jié)

2017年最值得關(guān)注的七件網(wǎng)絡(luò)安全年度大事：

信息泄露創(chuàng)歷史記錄，包括雅虎30億賬戶泄露，Equifax 1.43億全球消費(fèi)者信息泄露，AWS S3 1.23億戶美國(guó)家庭信息泄露;
WannaCry、Petya等勒索軟件爆發(fā)，涉及全球上百國(guó)家，造成數(shù)十億美元的損失;
加密貨幣成黑客攻擊目標(biāo)，包括直接盜竊交易平臺(tái)，以及用惡意軟件感染用戶計(jì)算機(jī)大規(guī)模“挖礦”攫取經(jīng)濟(jì)利益;
網(wǎng)絡(luò)攻擊上天入地，無(wú)所不在，橫跨人類社會(huì)各個(gè)領(lǐng)域，代碼武器化，黑客國(guó)家化態(tài)勢(shì)明顯;
漏洞增長(zhǎng)史無(wú)前例，各大漏洞披露平臺(tái)均創(chuàng)歷史增長(zhǎng)和絕對(duì)數(shù)量記錄;
網(wǎng)絡(luò)安全投融資規(guī)模前所未有，涉及金額國(guó)外的公開(kāi)數(shù)字超過(guò)300億美元(含并購(gòu))，而國(guó)內(nèi)僅融資額就達(dá)到了30億人民幣之多;
中國(guó)《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》、《網(wǎng)絡(luò)空間國(guó)際合作戰(zhàn)略》的發(fā)布和《網(wǎng)絡(luò)安全法》的正式實(shí)施，標(biāo)志著我國(guó)網(wǎng)絡(luò)安全行業(yè)的發(fā)展進(jìn)入健康向上的軌道。

六、結(jié)語(yǔ)

如果說(shuō)斯諾登事件為國(guó)內(nèi)網(wǎng)絡(luò)安全行業(yè)的破冰之年，《網(wǎng)絡(luò)安全法》的實(shí)施就是乘風(fēng)破浪大踏步向前發(fā)展的一年。“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”是我們的航標(biāo)，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等數(shù)字化進(jìn)程的發(fā)展，則是推動(dòng)網(wǎng)絡(luò)安全之舟快速前行的浪潮。但同時(shí)我們應(yīng)該看到，國(guó)內(nèi)信息技術(shù)的普及，人員綜合能力水平，網(wǎng)絡(luò)安全意識(shí)程度，與發(fā)達(dá)國(guó)家相比還存在著很大差距。而監(jiān)管、行業(yè)與區(qū)域的劃分，令安全領(lǐng)域碎片化的現(xiàn)象在我國(guó)尤其嚴(yán)重。不管是合規(guī)驅(qū)動(dòng)、事件驅(qū)動(dòng)，還是需求驅(qū)動(dòng)，如何繞過(guò)這些大海航行中的暗礁，克服重重困難永往直前，是我們必須思考的問(wèn)題和面臨的挑戰(zhàn)。

2017年即將告別，2018年即將到來(lái)，區(qū)塊鏈、人工智能、量子計(jì)算、5G、虛擬現(xiàn)實(shí)等新興技術(shù)正在向我們招手。伴隨著攻與防的永無(wú)止境，一個(gè)新的科技時(shí)代就在人類眼前，“網(wǎng)絡(luò)安全和網(wǎng)絡(luò)發(fā)展相輔相成”，這是時(shí)代賦予每一位網(wǎng)絡(luò)安全從業(yè)人員的使命。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

??戳這里，看該作者更多好文??

責(zé)任編輯：趙寧寧來(lái)源： 51CTO專欄