安全加邀请绿盟科技政府行业安全专家盘点2016年政府行业十大安全事件。回看2016年,政府行业有不少重大的安全事件发生,绿盟科技政府事业部摘选了其中十大安全事件,从中可以看到从法律层层落地的过程。
《中华人民共和国网络安全法》颁布
事件内容:
2016年11月7日,十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》,《网络安全法》将于2017年6月1日起施行。《网络安全法》共有七章七十九条,内容十分丰富,具有六大突出亮点。一是明确了网络空间主权的原则;二是明确了网络产品和服务提供者的安全义务;三是明确了网络运营者的安全义务;四是进一步完善了个人信息保护规则;五是建立了关键信息基础设施安全保护制度;六是确立了关键信息基础设施重要数据跨境传输的规则。
绿盟科技点评:
在网络安全法颁布之前,我国的网络安全工作的法律依据只是一些零散的法律条文(如刑法285/286/287条,反恐法第19条)。主要依托以信息安全等级保护为主的标准规范体系。网络安全法的颁布,标志着网络安全工作从以标准规范为主要依据提升到了以国家专项法律为根本依据的更高层次和新的阶段。对于国家关键信息基础设施的运营单位,依法建设运营将成为今后网络安全工作的核心。
中国国家网信办发布《国家网络空间安全战略》
事件内容:
国家互联网信息办公室12月27日发布《国家网络空间安全战略》。国家网信办发言人表示,《战略》经中央网络安全和信息化领导小组批准,贯彻落实习近平总书记网络强国战略思想,阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,切实维护国家在网络空间的主权、安全、发展利益,是指导国家网络安全工作的纲领性文件。《战略》明确,当前和今后一个时期国家网络空间安全工作的战略任务是坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等9个方面。
绿盟科技点评:
网络空间是公认的在陆、海、空、天之外的第五空间,我国作为一个信息化大国必须维护网络空间主权不容侵犯。从十八大报告开始,我国就逐步阐述国家在网络主权方面的立场和主张。《国家网络空间安全战略》是对我国在网络空间安全方面战略思想和基本方针的总结宣言,是指导国家在网络空间保护的基本纲领。
关于加强国家网络安全标准化工作的若干意见
事件内容:
为落实网络强国战略,深化标准化工作改革,构建统一权威、科学高效的网络安全标准体系和标准化工作机制,支撑网络安全和信息化发展,2016年08月12日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》。《意见》涉及7大方面,共19项具体工作,提出建立统一权威的国家标准工作机制,探索建立网络安全行业标准联络员机制和会商机制,推进急需重点标准制定等。
绿盟科技点评:
标准化的作用是将前人的经验固化下来,避免后人走弯路;网络安全涉及面广泛,从广度和深度都在不断扩展,国家、行业的要求多了,标准也就更多,标准的标准化也就成为工作的瓶颈;网络安全标准化有助于网络安全市场规范成熟,但做标准化的工作不产生直接的业绩,通常由科研机构来做,与产业界的要求还是耦合度不高;高级别的统一权威标准化制定机制,有助于协调各方利益,及时保质保量地产出网络安全业界需要的标准。
《工业控制系统信息安全防护指南》发布
事件内容:
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,2016年10月17日,工业和信息化部发布了关于印发《工业控制系统信息安全防护指南》的通知;通知指出,工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面做好工控安全防护工作。工业和信息化部指导和管理全国工业企业工控安全防护和保障工作,地方工业和信息化主管部门根据工业和信息化部统筹安排,指导本行政区域内的工业企业制定工控安全防护实施方案,推动企业分期分批达到本指南相关要求。
绿盟科技点评:
工业界的网络安全事件最典型的要追溯至2010年的震网(Stuxnet)病毒事件,作为第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,导致了伊朗布什尔核电站的离心机运行失控,伊朗核工业退步两年,让全球网络安全界、工业界的同学脑洞大开,由此也打开了潘多拉魔盒;《工业控制系统信息安全防护指南》2016年10月发布,个人感觉晚了点,另外作为指南,强制性执行的属性弱了些;指南发布后续的培训宣贯、试点及推广、检查督促等措施要落实到位,工业作为第二产业,工业网络安全任重道远。
教育部网络安全和信息化领导小组成立
事件内容:
为贯彻落实中央关于网络安全和信息化工作的战略部署,切实做好新时期的教育系统网络安全和信息化工作,教育部办公厅2016年10月27日发文通知决定成立教育部网络安全和信息化领导小组。组长:陈宝生 教育部党组书记、部长,副组长:杜占元 教育部党组成员、副部长,领导小组办公室设在教育部科学技术司,主任由科学技术司主要负责同志担任。领导小组主要职责:贯彻落实中央网络安全和信息化领导小组战略部署,统筹协调教育系统网络安全和信息化重大问题,研究制定教育系统网络安全和信息化发展战略、宏观规划和重大政策。
绿盟科技点评:
对于教育行业来说,这是2016年重大的安全事件,成立了一把手负责的教育部网络安全和信息化领导小组;对上面:这个动作既与国家的步调保持一致,方便贯彻国家网络安全战略、国家网络安全法,对下面:以身做则提升教育信息化管理者网络安全建设责任感,强化教育行业网络安全建设的执行力。
勒索病毒横行
事件内容:
FBI报告指出:2016年勒索赎金总规模达到10亿美元;IBM报告:2016年勒索软件增长60倍,赎金规模10亿美元。勒索病毒,是一种新型电脑病毒;主要通过邮件附件、钓鱼邮件群发下载网址链接、用户在恶意站点下载病毒文件以及网页挂马进行传播;该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失;这种病毒利用系统内部的加密处理,而且是一种不可逆的加密,必须拿到解密的秘钥才有可能破解;也就是说,除了病毒开发者本人,其他人是不可能解密的。
绿盟科技点评:
作为一种新型的攻击方式,勒索病毒在2016年大行其道。这种通过加密被攻击者信息勒索比特币为特征的攻击行为,蔓延非常迅速。由于现代加密算法的健壮性,受害者往往很难直接恢复数据,只得交钱了事。特别是近期已经出现勒索病毒和系统漏洞相结合,直接攻击数据库的案例,表明勒索病毒攻击方式发生更危险的变化,2017年将出现更为严重的勒索事件,提醒大家重视。
俄罗斯政府黑客“助力”特朗普当选?
事件内容:
2016年12月9日,中情局在一份秘密报告中认定,俄罗斯干扰了美国2016年总统选举,为的是确保特朗普上台。该报告认为,助推“邮件门”的黑客本是俄罗斯政府机构人员,后被“解职”以洗白身份,从而展开秘密情报活动。他们“黑”进了希拉里竞选助手和民主党全国委员会等机构邮箱,把大量邮件曝光给“维基揭秘”网站,而后引发“邮件门”风波,致希拉里支持率大幅下挫。不过,中情局秘密报告并非全美17个情报部门联手出具的正式报告,仍存在不少问题,比如没有俄罗斯官员直接指示黑客与“维基揭秘”网站联手的证据。
绿盟科技点评:
尽管CIA为美国攻击他国提供了诸多借口,但CIA本次报告却暗示了一种现象,朱利安·阿桑奇(“维基解密”的创始人)为代表的网络黑客已升级为“政治黑客”,黑客文化已向“黑客政治”演进。2016年,也许是“政治黑客”元年;而美俄争霸网络空间则是正式上演。
物联网DDoS攻击,效果:半个美国互联网瘫痪
事件内容:
2016年10月21日,美国东海岸地区遭受大面积网络瘫痪,各大美国热门网站都出现了无法访问的情况,包括PayPal、BBC、Xbox官网、CNN、华尔街日报等上百家网站都无法访问、登录,其原因为美国域名解析服务提供商Dyn公司当天受到强力的DDoS攻击所致。Dyn公司称此次DDoS攻击涉及千万级别的IP地址,其中部分重要的攻击来源于IOT设备,攻击活动从上午7:00(美国东部时间)开始,直到下午1:00才得以缓解,黑客发动了三次大规模攻击,但是第三次攻击被缓解未对网络访问造成明显影响。媒体将此次事件形容为“史上最严重DDoS攻击”,不仅规模惊人,而且对人们生活产生了严重影响。其中部分攻击是由全球上千万感染恶意代码的智能物联网设备发起,攻击者通过漏洞猜测设备的默认用户名和口令控制了这些智能物联网设备系统(如摄像头),本来智能的设备变成了黑客手中的“肉鸡”,黑客组织执行各种恶意操作,对服务器发起攻击。
绿盟科技点评:
在如此依赖互联网的时代,从个人娱乐到商业运营,网络攻击影响愈发广泛,甚至生命安全和国家安全遭到威胁,网络攻击伤害程度愈发严重;另外,物联网智能设备成为此次攻击的帮凶,这为物联网制造厂商敲响了警钟,产品设计和应用必须融入安全要素。维护网络世界的安全,需要国与国之间的合作,需要政府、社会组织和个人用户的合作。
雅虎10亿帐户被盗
事件内容:
2016年12月14日,雅虎公司发布声明说:“我们相信,2013年8月,一个未经授权的第三方从10亿多个账户里盗窃了资料。我们相信,这起袭击事件很可能跟我们2016年9月22日公布的那起袭击事件是两次不同的黑客袭击。”雅虎说,被盗窃的资料可能包括姓名、电邮地址、电话号码、生日和验证身份用的问题和答案,但是支付卡和银行资料应该没有受到影响。雅虎还表示,该公司认为发动此次攻击的黑客已经接触到雅虎的专有代码,学会了如何通过伪造cookie的方式,在无需输入密码的情况下进入用户帐号。仅在当天,雅虎股价就下跌2.4%。
绿盟科技点评:
如此大规模的失窃信息,必定又充实了不法分子的工具库,未来依托这些被盗数据进行“撞库”等犯罪活动的概率也会大大增加。如果我们不观注这个天文数字,这似乎又只是一次普通的信息安全事件,但它的深层次原因很值得所有人去认真分析,相关服务商有必要做到对用户数据的真正尊重,今后须采取更为合理的安全保护措施。
助学金欺诈事件
事件内容:
助学金欺诈事件发生于山东省临沂市,2016年8月19日高考录取新生徐玉玉被不法分子冒充教育、财政部门工作人员诈骗9900元,得知被骗后,徐玉玉伤心欲绝,最终导致心脏骤停。事后经公安侦查,犯罪嫌疑人杜某利用技术手段攻击了“山东省2016高考网上报名信息系统”并在网站植入木马病毒,获取了网站后台登录权限,盗取了包括徐玉玉在内的大量考生报名信息。经中央电视台、新华社等媒体播报,引发了民众对教育业务系统存有安全漏洞及学生数据泄露的关注,反响极为强烈。
绿盟科技点评:
这个欺诈事件影响是巨大的,也是深远的;首先是人命关天的案件在舆论上给公安机关新时期新技术的破案能力形成压力;破案之后露出水面的欺诈产业链,如何打击和管理,涉及到教育行业、运营商、银行业等各个管理部门,各部门纷纷发文规范网络安全、数据安全管理,最后直接导致了教育部网络安全和信息化领导小组成立,2017年数据安全管理将成为政府、教育行业的热点。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/2016-top-10-government-industry-network-security-events
如果此文章侵权,请留言,我们进行删除。
文章评论