一、信息泄露與網絡攻擊篇

1. 信息泄露連續五年創歷史記錄

自2013年斯諾登事件以來，全球信息泄露規模連年加劇。盡管目前還沒有信息泄露統計的確切數字，但2018年的數據泄露規模又將創下新的歷史記錄已是大概率事件。根據Gemalto發布的《數據泄露水平指數(Breach Level Index)》，僅2018年上半年，全球就發生了945起較大型的數據泄露事件，共計導致45億條數據泄露，與2017年相比數量增加了133%。

[[254674]]

(1) 2018年規模或影響較大的信息泄露事件

1月：

• 印度媒體 The Tribune 聲稱以500盧比(約6英鎊)的價格購買了對公民信息數據庫Aadhaar的訪問。該數據庫包含10億印度公民的個人信息。
• 美國國土安全部承認，2.4萬名現任雇員和前任員工個人信息由于黑客攻擊而泄露。

2月：

• 美國高端運動品牌安德瑪的健康及飲食跟蹤應用MyFitnessPal被黑客入侵，1.5億用戶賬戶信息泄露。

3月：

• 安全研究人員披露，僅今年前3個月，就發現了超過15.5億份商業敏感文檔在網上泄露，數據量高達12PB，是巴拿馬文檔泄露事件的4000倍。
• 英國媒體披露Facebook超過5000萬名用戶資料遭“劍橋分析”公司非法用來發送政治廣告。

4月：

• 加拿大零售集團HBC承認，其500萬客戶的信用卡和借記卡信息被黑客竊取，成為史上最大信用卡信息失竊案之一。
• Facebook承認，“劍橋分析”事件影響8700萬用戶，同時有惡意行為人，用Facebook的反向搜索和恢復功能，很可能惡意爬取了20億用戶的賬戶基本信息。

5月：

• 由于軟件缺陷導致明文暴露證書，推特敦促其所有3.3億用戶更改口令。

6月：

• 基因檢測公司MyHeritage發布公告，稱超過9200萬個帳戶信息被竊取。公告稱，黑客入侵事件發生在2017年10月26日。
• 國內安全專家發現一個被盜密碼查詢網站，包含14億的郵箱口令，而且查詢結果為明文。
• 研究人員發現數據統計公司Exactis包含3.4億個人記錄的數據庫，在網上可公開訪問。該2TB大的數據庫包含上億美國成年人的個人信息和數百萬公司信息。
• 谷歌Firebase平臺2,271個數據庫可公開訪問，這些數據庫中包括了1億多條敏感信息記錄，113GB的數據量。

7月：

• 包括福特、通用、豐田、特斯拉等100多家公司的157GB含有高度敏感信息的商業和技術文檔數據可公開訪問。

8月：

• 國內一家新媒體營銷上市公司，非法劫持運營商流量賺取商業利益的案件被警方破獲。百度、騰訊、阿里、今日頭條等全國96家互聯網公司用戶數據被竊取，數量高達30億條。
• 國內某集團多家酒店1.3億人身份信息、2.4億條開房記錄和1.23億條官網注冊資料在暗網兜售，盜取數據的黑客二十天后被警方抓獲。

9月：

• 英國航空宣稱被黑客攻擊，38萬乘客的支付卡信息被盜。
• Facebook官方公開承認，由于一個令牌訪問漏洞，黑客可接管5000萬用戶的賬戶，約9000萬用戶受到影響，包括扎克伯格本人的賬戶。

10月：

• 在美國2018年中期選舉之前，研究人員發現暗網上出售20個州的選民數據，數量達到8000萬之多。
• 由于第三方供應商遭到黑客攻擊，美國國防部至少3萬名服務人員或雇員的個人和支付卡信息遭到泄露。
• 香港國泰航空聲稱，包含有940萬乘客的姓名、生日、電話、地址、身份證及護照號等敏感信息外泄。

11月：

• 萬豪國際集團公布其酒店數據泄露事件，涉及約5億客人的個人信息和開房記錄。
• 安全人員發現開源搜索引擎Elasticsearch，至少有3個IP由于配置錯誤，可未授權訪問，約8200萬美國公民的個人信息被暴露。

12月：

• 美國在線知識問答平臺Quora官方發布通知，發現惡意第三方未經授權訪問，約1億用戶數據泄露。
• 谷歌承認Google+出現API漏洞，在11月的6天時間里，5250萬用戶的姓名、電子郵箱、職業和年齡以及其他詳細信息被訪問。

(注：以上部分泄露事件由白帽匯安全研究院提供)

(2) 2018年的信息泄露事件呈現以下特點：

• 信息泄露事件自2013年開始已經連續5年突破歷史記錄，根本原因在于網絡安全保障的意識、認知和能力均落后于信息網絡技術及其應用的爆發式增長，兩者之間出現極大裂痕。
• 信息泄露事件常態化，無分行業、領域、國家。隨著全球信息化程度的提高，全社會對網絡和數字化技術的依賴，這一情況很有可能還將加劇。
• 信息泄露給企業、個人帶來的損失越來越大，可大幅度降低企業估值，令企業面臨巨額賠償，威脅個人財產和生活穩定等。
• 信息泄露的途徑主要分為內部人員或第三方合作伙伴泄露，信息系統無法杜絕漏洞，機構本身的防護機制不健全，對數據的重要程度不敏感，以及對安全配置的疏忽大意等問題。

2. 網絡攻擊對現實世界產生重大影響

從數字貨幣到勒索軟件，從網絡欺詐到輿論控制，從商業競爭到國家安全，隨著數字化世界的到來，網絡攻擊對政治、經濟、軍事、國家、社會安全，甚至是人身安全的影響越來越大。據網絡風險公司RiskIQ的統計，2017年度全球網絡犯罪造成6000億美元的損失，意味著每一分鐘的損失約為114萬美元。

(1) 2018年影響較大的網絡攻擊事件

1月：

• 東京交易所Coincheck價值5.3億美元的加密貨幣NEM被黑客竊取，并嘗試轉移到其它交易所。

2月：

• 韓國平昌冬奧會開幕式期間，服務器遭到身份不明的黑客入侵，導致主媒體中心的IPTV(交互式網絡電視)發生故障。奧組委關閉了內部網絡服務器，導致官網徹底關閉，無法打印開幕式門票。
• 英國斯旺西大學計算機教授聲稱，英國國家醫療服務系統(NHS)，每年因信息系統故障和漏洞導致的死亡事件，約在100到900例之間。
• 美國科羅拉多州交通部遭遇勒索軟件兩次攻擊，致使該機構運轉停滯數周，工資系統和供應商合約也受到了攻擊的影響，員工被迫用紙筆處理事務。

3月：

• 代碼共享平臺GitHub遭遇反射放大(Memcached)拒絕服務攻擊，峰值創記錄的達到1.35Tbps。之后不到一周，Arbor網絡又聲稱美國一家服務提供商遭到了峰值1.7Tbps的Memcached攻擊。
• 特朗普政府首次公開將NotPetya勒索軟件，以及對美國電力、核能、商業、航空、制造業等基礎設施的攻擊，歸咎于俄羅斯政府。
• 3月，美國司法部起訴9名伊朗黑客，對22個國家的大學、私營公司和政府機構進行大規模網絡攻擊，竊取研究信息，其中被入侵的320所大學遭受了大約34億美元的損失。
• 美國亞特蘭大市政府受到勒索軟件攻擊，其所用424個軟件程序中的1/3以上停止了服務或部分功能被禁用，影響核心城市服務，包括警署和法庭。在一份官員提交的預算簡報中透露，該攻擊可能是美國城市遭受的最嚴重網絡攻擊，這份預算提案包含了950萬美元的服務恢復費用支出。
• 美國巴爾的摩市遭遇勒索軟件攻擊，導致911緊急調度服務的計算機輔助調度(CAD)功能掉線。CAD系統是911派遣第一反應人員的工具，如果沒有CAD系統，警察、消防員和救護車就不能第一時間派往事發地進行救助。掉線期間911操作人員仍能手動調度響應人員，效率大幅降低。
• 3月，區塊鏈資產交易平臺幣安數十個用戶賬戶被黑客控制，并通過買入賣出操縱幣價，專業人士估計黑客可能從中獲利7億元。

5月：

• 一款名為VPNFilter的惡意軟件感染了Linksys，MikroTik，Netgear和TP-Link等廠商的路由器，影響范圍覆蓋全球54個國家，超過50萬臺路由器和網絡設備。

6月：

• 三一重工近泵車失蹤案宣判。犯罪分子通過源代碼找到遠程監控系統的漏洞，得以解鎖設備，間接造成企業約10億元的經濟損失。
• 韓國最大虛擬貨幣交易平臺Bithumb遭黑客入侵，價值約350億韓元(3000萬美元)的數字貨幣被盜。

7月：

• 美國參議員馬可·盧比奧宣稱，人工智能視頻處理工具“Deep Fakes”是對國家安全的威脅，并將其與導彈、核武器相比。
• 美國阿拉斯加Mat-Su自治市遭遇勒索病毒，致使該市的網絡電話和電子郵件全面癱瘓，工作人員只能使用原始的紙筆辦公。
• 美國司法部副部長宣布，以陰謀干涉2016年美國大選的罪名起訴12名俄羅斯軍官。
• 360披露從2011年開始持續至今，高級攻擊組織藍寶菇(APT-C-12)對我國政府、軍工、科研、金融等重點單位和部門進行了持續的網絡間諜活動。該組織主要關注核工業和科研等相關信息，被攻擊目標主要集中在中國大陸境內。
• FBI公共服務通告部發布統計報告，從2013年10月至2018年5月，全球披露的郵件欺詐事件造成的損失已達120.5億美元。
• 一伙網絡犯罪通過劫持40名受害者的手機SIM卡，共竊取了總額超過500萬美元的加密貨幣。
• 幣圈傳出消息，區塊鏈資產交易平臺幣安再次遭遇用戶API被控，轉走7000多枚比特幣拉升小幣種再拋出，推論黑客可因此獲得8000萬元。

8月：

• 臺灣積體電路制造三大廠區出現電腦大規模勒索病毒事件，約造成17.6 億元的營收損失，股票市值下跌78億。
• 安全公司Securonix披露，朝鮮黑客組織Lazarus通過侵入SWIFT/ATM系統，三天內從印度最大的銀行Cosmos盜走9.4億盧比(約1.35億美元)。
• Email安全公司Valimail發布的報告顯示，全球虛假電子郵件的日發送量已高達64億封。
• 首次于2017年出現的Globelmposter勒索病毒在國內再次爆發，包括多家企業、大學及政府機構受害，山東10個市的不動產業務登記暫停受理。

9月：

• 美國政府正式指控朝鮮政府，稱其是索尼影業黑客事件、WannaCry勒索軟件和孟加拉銀行等一系列網絡銀行劫案背后主使。
• 日本數字貨幣交易所Zaif發布聲明，被黑客盜走三種數字貨幣，分別為比特幣、比特幣現金和MonaCoin，總價值約合5967萬美元。

10月：

• 網絡安全公司Group-IB的研究報告披露，朝鮮黑客組織Lazarus從2017年開始，已經盜取了價值5.7億美元的加密貨幣。
• 彭博社報道稱，中國特工在亞馬遜、蘋果、美國政府和其他潛在目標使用的超微(Super Micro)服務器中成功植入間諜芯片，令中國政府可窺探高度敏感數據。

11月：

• 安全公司Cylance宣稱，國家支持的黑客組織“白色軍團”對巴基斯坦軍隊網絡執行了名為“Operation Shaheen”的長期針對性攻擊。

12月：

• 歐洲國際刑警宣布，在3個月的聯合行動中，來自30個國家的執法機構共抓捕了168個“錢騾”。超過300家銀行、20個銀行協會、以及其他機構總共報告了26,376起欺詐性錢騾交易，防止了4100萬美元的損失。
• 美國司法部指控兩名中國公民竊取全球12個國家數十家公司的商業機密和知識產權，攻擊目標還包括美國海軍和國家航空航天局(NASA)在內的多家美國政府機構。
• 安全廠商 Upstream Security 發布的《全球汽車行業網絡安全報告》預計，到2023年由于網絡黑客攻擊可導致汽車制造商損失240億美元。

(2) 2018年的網絡攻擊呈現以下特點：

• 針對加密貨幣的黑客攻擊無論是攻擊數量還是在造成的損失上，均呈爆發態勢。依據有關統計，僅今年上半年，損失已超過17.3億美元。其主要原因為加密貨幣的火爆帶來的巨大商業利益。
• 勒索軟件持續產生嚴重危害，發生多起影響企業生產、政府辦公、城市運轉的實際事故，反映出安全意識的普遍薄弱和基本防護手段的缺失，預示著網絡安全對現實生活帶來的重大隱患。
• 電子郵件欺詐帶來的損失史無前例。據FBI統計，2013至2016年5月，商業欺詐郵件造成53億美元的損失，但這一數字在2018年5月上升到了120億美元。
• 國家之間的網絡對抗呈明顯化趨勢。美國政府已實施嚴格的商業禁令，并公開指責、訴訟他國黑客的攻擊行為。如果說，前兩年國家支持的黑客行動還屬于冷戰時期，今年則進入了小規模沖突時期，全面網絡戰的陰影迫近。

[[254675]]

二、漏洞事件篇

• 國家信息安全漏洞庫(CNNVD)：CNNVD公布的漏洞數量為14,866個，2017年全年的漏洞總數為12,433個，年增長率約為19.6%。
• 美國國家漏洞庫(NVD)：NVD公布的漏洞數量為18,041個，2017年全年的漏洞總數為18,114個，年增長率約為0.4%。
• 公共漏洞披露平臺(CVE)：CVEdetails公布的漏洞數量為16,492個，2017年全年的漏洞總數為14,714個，年增長率約為12.08%。

(注：以上2018年的漏洞數量均為截止到12月29日的統計數字)

1. 2018影響較大和較為特殊的漏洞事件

1月：

• 谷歌“Project Zero”團隊和多國研究人員共同發布的漏洞披露報告稱，英特爾的x86 64位處理器有一個“根本性的設計缺陷”，設計瑕疵存在已久，近10年來搭載英特爾處理器的Windows、Mac 與Linux 電腦均可能受到影響。
• 西部數據旗下MyCloud系列網絡存儲設備多個漏洞細節被曝，包括固件中的管理員權限的后門賬號。研究人員早在2017年6月就將其發現提交給了西數公司，在一直沒有得到修復的情況下，公開漏洞細節。

3月：

• 以色列硬件安全公司CTS Labs發布白皮書，指出AMD Zen CPU架構存在四類多達12個以上的安全漏洞。這些漏洞有可能讓攻擊者繞過防止篡改計算機操作系統的安全防范措施，并且植入無法檢測或刪除的惡意軟件。值得注意的是，CTS Labs只給了AMD 24小時的時間，就公布了漏洞細節。

4月：

• 美國食品與藥物管理局在全球范圍內督促，使用了 Abbot Laboratories 心臟植入設備的患者，盡快前往附近的醫療中心進行固件升級。一個固件漏洞允許攻擊者向患者的設備發送遠程指令，造成潛在的電量加速流失隱患。
• 思科IOS/IOS XE 中的智能安裝客戶端(Smart Install Client)代碼中被發現堆棧緩沖區溢出漏洞(CVE-2018-0171)，通過此漏洞無需身份驗證即可遠程執行任意代碼，實現對該設備的完全控制。

5月：

• 阿姆斯特丹自由大學研究人員發現同時改變RAM內存中的3個比特，就不會觸發阻止Rowhammer式攻擊的ECC校正機制。于是攻擊者可進行篡改數據，注入惡意代碼和命令，更改訪問權限等操作，以竊取密碼、密鑰和其他秘密信息。
• 360通告，發現區塊鏈平臺EOS的一系列高危安全漏洞，可通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

7月：

• 加州大學研究人員發現，用前視紅外(FLIR)熱成像攝像頭掃描計算機鍵盤，在口令首字符被敲下的30秒之內便可以恢復出用戶敲擊的口令。
• 來自以色列理工學院的研究人員發現一個高危藍牙漏洞(CVE-2018-5383)，可進行攔截、監控或篡改設備的網絡數據。漏洞影響蘋果、博通、英特爾、高通等多家硬件供應商的相關產品。
• 物聯網安全公司Armis發布的研究報告顯示，包括網絡電話、打印機、交換機、路由器等近5億臺企業設備，面臨DNS重綁定的攻擊風險。

8月：

• 安全研究人員發現了影響英特爾處理器的“Foreshadow”漏洞，攻擊者能夠繞過英特爾內置的芯片安全特性，獲得存儲在“安全封鎖區域”的敏感數據。
• 研究人員發現某醫療科技公司的心臟起搏器與胰島素泵存在安全漏洞。利用漏洞可以控制發送到心臟的電脈沖，可能導致患者受傷甚至死亡。

9月：

• 趨勢科技發布的調查報告顯示，數據采集與監控系統(SCADA)系統2018年上半年的漏洞幾近于2017年上半年的兩倍。

10月：

• 安全研究機構Ponemon發布的《2018年端點安全風險狀態報告》顯示，針對端點的攻擊手段，無文件攻擊將占到35%，主要包括利用的宏、腳本引擎、內存、命令執行等系統內置功能。
• 加州大學研究人員公布了3個邊信道漏洞利用，這些漏洞利用可從GPU抽取敏感數據，而且相比CPU邊信道攻擊，操作更為簡單。個人用戶和高性能計算系統均面臨潛在風險。

11月：

• 物聯網安全公司Armis發現德州儀器制造的低功耗藍牙(BLE)芯片存在漏洞，全球數百萬思科和惠普生產的聯網接入設備面臨遠程攻擊風險。
• 俄羅斯安全研究人員公開披露了Oracle虛擬機中的一個零日漏洞(VirtualBox E1000 Guest-to-Host Escape)。攻擊者可以利用該漏洞逃逸出客戶計算機虛擬環境。
• 芬蘭兩所大學的研究人員發現名為“PortSmash”(CVE-2018-5407)的漏洞。攻擊者可以從計算機的內存或處理器中提取敏感數據，如加密密鑰。該漏洞影響所有依賴同步多線程(SMT)架構的CPU，包括Intel的超線程(HT)架構。
• 手機App安全公司Privacy4Cars披露了名為CarsBlues的汽車藍牙漏洞。黑客可通過藍牙獲得車主手機信息并進入車載娛樂系統獲得權限，推測全球數千萬輛汽車可能受到影響。
• 荷蘭拉德堡德大學研究人員發現，固態硬盤流行加密軟件Bitlocker存在重大漏洞。通過調試端口對其重編程，就可以重設任意口令，解密數據。
• 國內首個專注于重大漏洞的黑客破解比賽，“天府杯”PWN舉行。參賽選手成功利用30個漏洞，攻破了Microsoft Edge/Chrome/Safari/macOS/VMware/Oracle VB/Adobe Reader/Microsoft Office等主流操作系統、瀏覽器和應用軟件，以及包括iPhone X和3款國內流行智能手機，獎金總額達102.4萬美元。
• 軟件風險評估與管理公司Checkmarx的研究人員發現，可通過手機應用嗅探設備間通信，控制智能燈泡的燈光顏色來滲漏數據。

12月：

• 安全公司 Check Point 使用流行的Windows模糊測試框架進行漏洞測試，僅50天的時間里，就在 Adobe Reader 中找出53個CVE漏洞。
• 美國國防部監察長報告稱，美國彈道導彈防御系統(BMDS)的網絡安全操作存在“系統性漏洞”，網絡安全操作存在嚴重缺陷。包括不鎖服務器機架、缺乏加密、沒有持續身份驗證、打補丁、數據監控保護等……

2. 2018年漏洞相關事件的特點：

• 與2017年的漏洞數量激升相比，2018年的漏洞通告數量增速放緩。這一現象的主要原因，可能在于漏洞報告較以往更為分散化，大量漏洞并未得到官方收錄。此外，還與各個國家對漏洞披露政策的保守化有關，漏洞已成為重要的競爭資源。
• 底層硬件漏洞、邊信道和無文件等攻擊手法越來越受到關注，針對芯片、內存、硬盤、協議級別的攻擊方法相繼出現，同時，借用系統內置功能的無文件攻擊開始普及。
• 攝像頭、路由器、汽車、音箱、無人機等智能聯網設備，以及工業聯網系統的漏洞明顯增多。主要原因在于智能設備的爆發和全球智能制造的浪潮，制造商普遍對安全的忽視，和嵌入式系統難以更新。
• 業界對漏洞的重視已成常態。從國家監管到互聯網企業，再到軟件廠商、科技公司，均加強了對漏洞的監管、發現、通告和修補。漏洞相關的政策、標準和技術，逐漸走向規范化，體系化。

[[254676]]

三、行業市場篇

1. 會議活動數量連續三年激增

2018年國內網絡安全相關會議活動繼續呈爆發態勢，因篇幅原因無法全部列出，現將規模與影響力較大的活動分為十大安全會議、十大安全競賽，十大信息安全產業基地及產業園，以及安全領域較為活躍的十大城市和省份五類分別列出。

十大安全會議：

十大安全競賽：

十大信息安全產業基地及產業園：

十大網絡安全城市：

十大網絡安全省份：

(注：城市與省份的比例來源于安全牛用戶關注數)

• 2018年會議活動數量和規模空間。國家與地方政府、事業單位、協會組織、國企民企、行業媒體，紛紛舉辦相關會議和活動。網絡安全受到了前所未有的關注。
• 網絡安全競賽的形式與數量不斷放大，網絡攻防開始從幕后走向前臺。賽制與賽題也越來越向實戰演練和解決實際問題的方向靠攏，意味著從注重形式逐漸走向實際成效。
• 全國各省市加強對網絡安全工作的重視和投入，接近二十個省會與經濟發達城市開始建立信息安全產業基地或產業園，至少五十余座城市舉辦網絡安全活動。
• 地方政府開始在整個網絡安全產業中扮演越來越重要的角色，結合中央各部委及監管機構，通過各種優惠政策吸引網絡安全產業各個層面的機構、企業和人才的匯集。

2. 國內融資規模有望登頂

今年國外資本市場融資并購事件與去年基本持平，由于缺少幾十億乃至百億美元的大型收購事件，規模有所下降。國內的融資規模則再次突破歷史記錄，且有大幅度增長。

2018年國外億級美元以上的融資并購：

2018年國內安全公司融資并購概況：

• 2018年國際網絡安全資本市場與需求市場保持平穩增長，融資并購規模約為150億美元，數據安全、端點安全、云安全、大數據安全分析、工控安全、物聯網安全繼續成為熱點。對于安全創業公司來說，并購是趨勢，上市是小眾。
• 2018年國內融資額高達60億元人民幣，與去年相比增長率約為71%。考慮到下半年國內外的政治與經濟形勢，今年國內一級市場的融資規模可能在未來幾年都將是一個高點。
• 國內的安全細分領域開始多樣化，在線業務安全、云安全、數據庫安全、身份安全、移動安全、威脅情報、智能SOC、用戶行為分析等新興安全技術開始落地。但較為前沿的物聯網安全、車聯網安全、工業互聯網安全，以及SaaS模式的規模化土壤還有待形成。
• 新興安全概念在國內的落地，往往需要整合進傳統的安全解決方案，而不是單獨購買，這也是創新企業很容易遇到的業務成長瓶頸之一。對于資本方來說，普遍開始意識到安全領域投資是個長期過程，而技術復雜性是網絡投資的關鍵驅動力。

[[254677]]

四、政策法規篇

漏洞披露、個人隱私、數據安全、關鍵基礎設施保護、經濟博弈、網絡犯罪、國家安全，是制定政策法規的關鍵詞和重要背景。網絡安全已經得到全球各國政府的實際重視，并成為支撐自身發展，與他國進行政治、軍事、經濟博弈的關鍵因素之一。

1. 國際政策法規動向

1月：

• 美國眾議院通過《網絡漏洞公開報告法案》(H.R.3202)。法案要求國土安全局向國會提交關于政府如何處理公開漏洞的相關報告。報告內容分為兩個部分：為協調網絡漏洞公開而制定的政策和程序描述;可能為機密屬性的“附件”，包括一些特定實例的描述。
• 美國參議院投票通過“外國情報監控法修正案”，重新授權美國國家安全局根據《外國情報監視法案》第702條對美國以外公民的通信進行監聽，并將該項授權延長六年。法案待美國總統特朗普簽署后，將正式成為法律。

2月：

• 澳大利亞《數據泄露通報法案》正式實施。該法案是對澳大利亞隱私法案1988PartIIIC的修正案，建立強制性的數據泄露通報制度，并要求義務人向受數據泄漏影響的個人提供避免或減輕數據泄露造成的危害的建議。
• 新加坡國會通過《網絡安全法案》。這項法案旨在加強保護提供基本服務的計算機系統，防范網絡攻擊。該法案提出針對關鍵信息基礎設施(CII)的監管框架，并明確了 CII 所有者確保網絡安全的職責。

3月：

• 英國政府發布一項新的“網絡安全出口”戰略。這項新的戰略將幫助英國的網絡安全企業進入國際新市場并持續發展。
• 美國網絡司令部公開其指揮戰略愿景文件《獲取并維持網絡空間優勢》。該愿景是新形勢下網絡司令部的作戰宣言和行動指南，主要思想依舊延續該部門一貫做法，渲染網絡空間安全威脅，針對性提出網絡行動的目標、原則、任務和方法等，為各軍種網絡戰部隊統一思想和統一行動奠定基礎。

4月：

• 美國商務部宣布，禁止美國企業向中興通訊出售任何電子技術或通訊元件，這一禁令為期長達7年，直到2025年3月13日。
• 美國聯邦通訊委員會決議，禁止美國運營商使用聯邦補貼購買可能威脅美國國家安全的設備廠商產品。其中，華為和中興均包括在內。

5月：

• 歐盟《通用數據保護條例》(GDPR)生效，違反GDPR的組織將被處罰高達全球年營業額的4%或2000萬歐元，兩者以較高為準。
• 美國國土安全部發布《網絡安全戰略》。遭受網絡攻擊。該戰略描繪了國土安全部未來五年在網絡空間的路線圖，指導該機構未來五年履行網絡安全職責的方向。此外，還須推出一套正規方法以衡量及掌握機構在信息安全政策、實踐和必要控制措施方面的采用情況。
• 美國能源部發布《能源行業網絡安全多年計劃》，確定了美國能源部未來五年力圖實現的目標和計劃，以及實現這些目標和計劃將采取的相應舉措，以降低網絡事件給美國能源帶來的風險。

6月：

• 加拿大發布新版國家網絡安全戰略。該戰略作為加拿大在網絡安全方面的路線圖，旨在實現加拿大人的目標和優先事項。新版國家網絡安全戰略內容有三項：建立加拿大網絡安全中心;設立國家網絡犯罪協調部門;開展自愿網絡認證計劃。
• 英國政府與NCSC(國家網絡安全中心)合作，推出了一套新的安全標準，“最低安全標準”。要求所有政府部門，包括公司企業、政府機構、非政府公共機構和承包商，必須遵守。該標準細分為5個部分共10節：身份、保護、檢測、響應和恢復。
• 美國眾議院外交事務委員會通過“2018網絡威懾與響應法案”(H. R. 5576)，要求美國總統確認高級持續威脅(APT)組織名單，并在《聯邦公報》中公布并定期更新。該法案還要求美國政府制裁對美國發動國家支持型網絡攻擊的參與者。
• 美國聯邦通信委員會廢除網絡中立性法規的決定開始實施。網絡中立性法規由奧巴馬政府于2015年制定，旨在保證全體網民擁有平等地訪問互聯網的權利。一旦網絡中立性法規被廢除，互聯網服務提供商們將開始捆綁銷售網絡服務。
• 立陶宛、克羅地亞、愛沙尼亞、荷蘭、羅馬尼亞、西班牙歐盟六國簽署《意向聲明》表示將按照“永久結構化合作”防務機制成立“網絡快速響應小組”，應對網絡攻擊。

7月：

• 美國國土安全部成立國家風險管理中心，以促進關鍵基礎設施網絡威脅的跨部門信息共享與協作響應。該中心為美國政府主導的新型聯合防御戰略的基礎，旨在更有效地響應美國利益在網絡空間遭遇到的威脅。

8月：

• 美國總統特朗普簽署《NIST小企業網絡安全法》(S. 770)。該法案要求NIST簡明扼要地傳播網絡安全資源，幫助擔心其網絡安全風險的小企業。該法案非強制性，小型企業可自愿采用這些資源。
• 美國國防部“Hack海軍陸戰隊”活動完成。至此，美國國防部已經完成“Hack五角大樓”、“Hack陸軍”、“Hack空軍”和“Hack國防旅行系統”等漏洞獎勵項目。
• 美國聯邦貿易委員會和司法部，未來的機構組織必須采用某種形式的漏洞披露計劃(VDP)，供善意的安全研究人員匯報安全漏洞情況。

9月：

• 美國眾議院通過一項兩黨法案《2018網絡威懾與響應法案》，旨在阻止和制裁未來國家支持的針對美國的網絡攻擊，以保護美國的政治、經濟和關鍵基礎設施免受侵害。
• 美國國防部公布《2018國防部網絡戰略》，要求將網絡活動的重點放在應對中國和俄羅斯強敵方面，運用網絡能力，收集情報并為未來沖突做好準備，并提出了解決網絡威脅，以及實施《國家安全戰略》和《國防戰略》所規定優先事項的愿景。
• 國際電信聯盟發布“國家網絡安全戰略指南”。該指南旨在幫助政策制定者根據國家的情況、文化和社會價值制定網絡安全戰略，建立安全、有彈性、信息通信技術發達的互聯互通社會。
• 美國總統特朗普發布《國家網絡戰略》，這是其上任后的首份國家網絡戰略，概述了美國網絡安全的四項支柱，十項目標與42項優先行動。國家網絡戰略的四項指導支柱是：1.保護美國人民、國土及美國人的生活方式;2.促進美國的繁榮，主要目標是維護美國在科技生態系統和網絡空間發展中的影響力;3.以實力求和平，主要目標是識別、反擊、破壞、降級和制止網絡空間中破壞穩定和違背國家利益的行為，同時保持美國在網絡空間中的優勢;4. 擴大美國影響力，主要目標是保持互聯網的長期開放性、互操作性、安全性和可靠性。

10月：

• 由于看重與白帽子合作帶來的價值，美國國防部宣布擴大其漏洞獎勵項目，將合約授予3家漏洞測試服務商：HackerOne、Synack和Bugcrowd。
• Facebook因“劍橋分析”造成的數據泄露事件被英國處以50萬英鎊的罰款。同時在澳大利亞遭到起訴，罰款預計在3億到30億澳元之間。
• 歐洲議會投票通過《非個人數據自由流動條例》。該條例將在今年年底生效，旨在歐洲單一市場之內，消除非個人數據在儲存和處理方面的地域限制。新條例將取消歐盟境內數據自由流動壁壘，推動歐洲經濟增長，確保數據跨境自由流動;確保監管控制的數據可用性;鼓勵制定云服務行為準則。

11月：

• 加拿大新的數據泄露法《個人信息保護和電子文件法》正式生效，其要求加拿大公司如發生信息泄露事件時必須盡快通知受影響用戶，否則將面臨處罰。每次違規的罰款數額最高可達10萬加元。
• 由英國政府通信總部國家網絡安全中心參與指導的，英國金融系統網絡攻擊演習舉行，以測試金融系統在攻擊面前的彈性。英國40家金融機構，和英國財政部、英國金融市場行為監管局參加演習。
• 英國間諜機構政府通信總部(GCHQ)及其信息安全部門NCSC發布了安全漏洞披露策略。其“漏洞公平裁決過程”由三層決策系統組成，包括安全專家、情報機構成員、政府機構代表和由NCSC主導的公平監管委員會。
• 美國司法部長和國家情報總監聯合領導下的國家內部威脅特別工作組(NITTF)，發布了一份新的《內部人員威脅項目成熟度框架》。其目的是幫助行政部門及機構ITP超越《最低標準》，變得更主動、更全面、更能威懾、檢測和緩解內部人員威脅風險。
• 美國國會一致通過之前參議院通過的《網絡安全與基礎設施安全局法案》(H.R. 3359)，并將由總統簽署。該法案旨在保護聯邦網絡，保護關鍵基礎設施免受網絡和物理威脅。

12月：

• 美國眾議院能源和商業委員會發布《網絡安全戰略報告》，提出6個應對網絡安全事件的核心內聯概念以及解決網絡安全問題的6個重點。
• GPDR今年正式實施。對安全行業而言，一方面，GDPR合規是企業數字化轉型的有效驅動力，給安全帶來了新的市場。另一方面，法規往往會“約束好人，放縱壞人”的現象不可忽視。GDPR對安全行業帶來的真正影響還有待觀察。
• 個人隱私與數據分析同樣是一把雙刃劍。數據時代，如何在保護個人隱私的條件下，利用數據的流動為全人類創造價值，可能是一個永遠的話題。但保護自己數據，查看別人的數據，至少是現階段的一致做法。
• 漏洞眾測及漏洞資源受到美國政府的重視。美國國防部不斷加大眾測力度，并嘗試從立法上平衡社會商業利益與國家安全的關系。
• 網絡安全在國與國之間對政治和經濟的影響已經十分明顯，商業禁令、政治抨擊、輿論影響，無不以其為重要依據。對于先進國家而言，保護只是基本，威懾與打擊已經寫入國家戰略，軍事對抗更是暗流涌動。

2. 國內重大政策法規

1月：

• 中央政法工作會議為推動網絡綜合治理體系建設，提出維護網絡意識形態安全、打擊防范網絡犯罪、保護國家關鍵信息基礎設施安全、加強網絡治理能力建設等四項部署。
• 中國互聯網協會成立個人信息保護工作委員會。委員會將開展法律法規研究、個人信息保護領域公眾監督、個人信息保護領域行業自律、相關課題研究等工作，并為政府部門執法及行業監管提供支撐。

2月：

• 國家互聯網信息辦公室公布《微博客信息服務管理規定》，自3月20日起施行。《規定》共十八條，包括微博客服務提供者主體責任、真實身份信息認證、分級分類管理、辟謠機制、行業自律、社會監督及行政管理等條款。

4月：

• 全國信息安全標準化技術委員會正式發布《大數據安全標準化白皮書(2018版)》。白皮書重點介紹了國內外的大數據安全法規政策、標準化現狀，分析了大數據安全所面臨的風險和挑戰，給出了大數據安全標準化體系框架，規劃了大數據安全標準工作重點，提出了開展大數據安全標準化工作的建議。
• 中央網信辦和中國證監會聯合印發《關于推動資本市場服務網絡強國建設的指導意見》，指導網信企業提高網絡與信息安全意識，建立健全網絡與信息安全保障措施，維護國家網絡空間主權、安全和發展利益，保障個人信息和重要數據安全。

5月：

• 中國人民銀行下發《關于進一步加強征信信息安全管理的通知》，進一步加強金融信用信息基礎數據庫運行機構和接入機構征信信息安全管理。通知要求，運行機構和接入機構要健全征信信息查詢管理，嚴格授權查詢機制，未經授權嚴禁查詢征信報告，規范內部人員和國家機關查詢辦理流程，嚴禁未經授權認可的APP接入征信系統。此外，要求成立征信信息安全工作領導小組，明確領導層中分管征信工作的負責人為第一責任人。
• 全國信息安全標準化技術委員會在2017年底發布的《信息安全技術個人信息安全規范》正式實施。規范以國家標準的形式，明確了個人信息的收集、保存、使用、共享的合規要求，為網絡運營者制定隱私政策及完善內控提供了指引。

6月：

• 公安部發布《網絡安全等級保護條例(征求意見稿)》。作為《網絡安全法》的重要配套法規，《保護條例》對網絡安全等級保護的適用范圍、各監管部門的職責、網絡運營者的安全保護義務以及網絡安全等級保護建設提出了更加具體、操作性也更強的要求，為開展等級保護工作提供了重要的法律支撐。
• 國家認證認可監督管理委員會、工業和信息化部、公安部、國家互聯網信息辦公室四部門發布了承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務的機構名錄(第一批)。認證和檢測的范圍有：網絡關鍵設備和網絡安全專用產品安全認證;網絡關鍵設備安全檢測;網絡安全專用產品安全檢測。

7月：

• 工業和信息化部正式印發《工業互聯網平臺建設及推廣指南》和《工業互聯網平臺評價方法》的通知，通知要求制定完善工業信息安全管理等政策法規，明確安全防護要求。建設國家工業信息安全綜合保障平臺，實時分析平臺安全態勢。強化企業平臺安全主體責任，引導平臺強化安全防護意識，提升漏洞發現、安全防護和應急處置能力。

8月：

十三屆全國人大常委會第五次會議表決通過《電子商務法》，自2019年1月1日起施行。

央行辦公廳發布《關于開展支付安全風險專項排查工作的通知》。排查內容包括：

• 一、排查客戶端應用軟件敏感信息保護、安全漏洞防護、信息傳輸安全等方面存在的隱患;
• 二、排查支付業務系統在系統安全、交易安全、數據保護、業務連續性、賬戶管理、內控管理等方面存在的問題;
• 三、督查支付交易報文規范化改造、終端信息注冊等工作落實情況;
• 四、排查支付產品質量管理方面存在的不足。

9月：

• 中央網信辦、公安部聯合印發《關于規范促進網絡安全競賽活動的通知》。通知規定，冠名“中國”“國家”等字樣的網絡安全競賽和會議需經中央網信辦同意。
• 國家衛生健康委員會發布《關于印發國家健康醫療大數據標準、安全和服務管理辦法(試行)的通知》及解讀稿。明確健康醫療大數據的定義、內涵和外延，以及制定辦法的目的依據、適用范圍、遵循原則和總體思路等。并從標準管理、安全管理、服務管理三個方面加以規范。
• 國家能源局印發《關于加強電力行業網絡安全工作的指導意見》。指導意見將有力促進電力行業網絡安全責任體系和網絡安全監督管理體制機制的健全完善，進一步提升電力監控系統安全防護水平，強化網絡安全防護體系，提高自主創新及安全可控能力，有力防范和遏制重大網絡安全事件，保障電力系統安全穩定運行和電力可靠供應。

10月：

• 《貴陽市大數據安全管理條例》正式實施。條例明確，大數據發展應用中，數據的所有者、管理者、使用者和服務提供者的法定代表人或主要負責人是本單位大數據安全的第一責任人。安全責任單位對個人信息和重要數據實行加密等安全保護，對涉及國家安全、社會公共利益、商業秘密、個人信息的數據依法進行脫敏脫密處理。
• 國家市場監督管理總局、國家標準化管理委員會對外發布《智慧城市 信息技術運營指南》等23項國家標準。其中，在信息安全領域有6項國家標準，包括加強網絡產品和服務供應鏈安全保障、提高公民數字身份認證和網絡身份識別技術的安全性、提升網絡安全防護效率等方面。
• 威脅情報國家標準《信息安全技術網絡安全威脅信息格式規范》正式發布。標準從可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等八個組件進行描述，并將這些組件劃分為對象、方法和事件三個域，最終構建出一個完整的網絡安全威脅信息表達模型。

11月：

• 《公安機關互聯網安全監督檢查規定》正式施行。規定指明“公安機關依法對互聯網服務提供者和聯網使用單位履行法律、行政法規規定的網絡安全義務情況進行的安全監督檢查。”
• 工業和信息化部網絡安全管理局對7家電信企業落實《網絡安全法》、《通信網絡安全防護辦法》、《電信和互聯網用戶個人信息保護規定》等法律法規情況進行了實地檢查，針對檢查發現的問題，責令企業進行整改。
• 公安部網絡安全保衛局發布《互聯網個人信息安全保護指引(征求意見稿)》。《指引》將從個人信息安全保護的安全管理機制、安全技術措施、業務流程三大方面對企業的個人信息保護提供全方位的指導。
• 中央網信辦聯合公安部制定發布《具有社會輿論屬性或社會動員能力的互聯網信息服務安全評估規定》。該規定明確了具有輿論屬性或社會動員能力的互聯網信息服務的具體情形，在信息服務功能、服務范圍、軟硬件設施、安全管理制度和技術措施落實、風險防控等方面，要求各互聯網信息服務提供者自行或者委托第三方開展安全評估，并將安全評估報告通過全國互聯網安全管理服務平臺，提交所在地地市級以上網信部門和公安機關。

12月：

• 國家互聯網信息辦公室公布《金融信息服務管理規定》。其中，“第五條”規定要求：金融信息服務提供者應當履行主體責任，配備與服務規模相適應的管理人員，建立信息內容審核、信息數據保存、信息安全保障、個人信息保護、知識產權保護等服務規范。
• 北京市經濟和信息化局發布了《北京工業互聯網發展行動計劃(2018-2020年)》。提出網絡建設、平臺發展、應用創新、安全提升、生態培育五大工程。今后北京市將進一步發揮在大數據、云計算、物聯網、人工智能、網絡安全領域的產業優勢和科技創新、人才齊聚等資源優勢，深入推進“互聯網+”。
• 中央網信辦、公安部、工信部、各省市政府、標準制定機構、行業、協會組織，從指導、協調、監管、執法、規劃、實施、交流等各個層面，大力推動信息安全產業的健康有序發展。
• 大數據、工業互聯網、智慧城市的安全，和個人信息保護是今年各項政策法規的關注點。隨著《網絡安全法》的實施，許多監管規定、行業與技術標準開始落地，國內的信息安全工作越來越有法可依，有據可查。

[[254678]]

五、總結與趨勢篇

1. 2018年十大網絡安全事件與趨勢：

• 信息泄露連續五年創歷史記錄，且不分行業與領域。而隨著網絡世界向數字世界的演化，信息泄露將成為全球科技始終無法避免的“自然災害”。
• 隨著加密貨幣的空前爆發帶來的商業利益，吸引了大量的網絡攻擊，但這一安全態勢在各國相繼出臺的限制措施下，以及幣值的急劇萎縮，有可能得到緩解。
• 勒索軟件持續產生嚴重危害，反映出安全意識的普遍薄弱和基本防護手段的缺失，背后則是黑色產業鏈的發達運轉。勒索軟件將會和過去的病毒、惡意軟件一樣，走向常態化，長期化。
• 拒絕服務攻擊的規模不斷放大，已經出現萬兆級別的攻擊。不僅是因為聯網設備的防護能力薄弱，各種攻擊手法的層出不窮也是重要因素。在未來全球一體化的數字世界，可以預見出現更大規模的攻擊。
• 電子郵件欺詐帶來的損失史無前例，累計已達120億美元。古老的騙局一而再再而三的卷土重來，其利用的是人們心理上的弱點與認知上的缺陷。針對這種攻擊，我們注定無法完全免疫。
• 人工智能技術是又一把安全的雙刃劍。基于AI的防護技術還在嘗試階段，但顯然壞人暫時取得領先。可篡改音視頻的Deepfake技術，被美國議員比喻成“核武器”。雖然目前并無重大危害事件出現，但其可能帶來的社會恐慌或是對突發事件漠視，值得關注與保持警惕。
• 網絡安全被用于政治、經濟、科技、軍事等領域的博弈之中，左右輿論、商業禁令、攫取經濟利益、盜取知識產權、攻擊關鍵基礎設施等行為層出不窮，并有著從試探性變成破壞性攻擊的趨勢，未來這一趨勢還將愈演愈烈。
• 漏洞受到業界的極大重視并成為重要戰略資源。這種重視反而限制了漏洞公布的速度和數量，許多相關的破解活動和賽事陷入低潮。與此同時，如何減少漏洞的產生以及如何進行客觀的價值評價，成為各方面的關注重點。
• 國內的經濟發展受到中美貿易戰、資本寒冬、供給側改革等影響，但以國家、大型企業為主要用戶的網絡安全行業，所受的影響尚不明顯。2018年國內一級市場的融資規模可能會達到近年來的頂峰，但未來的注冊制、科創板等股市改革措施將會給網絡安全行業帶來積極的推動。
• 由公安部制定的《網絡安全等級保護條例》即將實施。該條例將是繼《網絡安全法》之后又一最為重要的法規，是各機構部門、重點行業部署與開展安全工作的核心基礎，必將極大的促進全社會對網絡安全的重視，推動整個網絡安全行業的全面發展。

2. 結語

從上個世紀90代年起，人們一路走來，經歷了計算機安全、網絡安全、信息安全、網絡空間安全等各個時期不同的發展階段。網絡安全，已經開始從信息技術的分支、支撐，逐漸上升到與之并行的地位。而未來是一個萬物互聯的時代，這種數字化世界的天然脆弱性，將會導致網絡安全發生本質性的變化。不再只是信息網絡系統的安全，而是業務的安全，經濟的安全，人身的安全，社會的安全和國家的安全。

基礎科學的薄弱和信息化普及程度較低雖然是我們的技術短板，但龐大的人口基礎和應用場景的復雜多變，又帶來了商業發展的優勢和紅利，這也正是我國的科技與經濟發展受到發達國家扼制的深層次原因。如何在競爭與合作之間保持平衡，是全球所有國家、政治和經濟體面臨的重大課題。“自主可控”是每一個利益體的內在需求，而“命運共同體”則是人類文明的終極走向。

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文