《网络安全法》执法情况讨论分析:我国首部保障网络空间安全的基本法——《网络安全法》正式施行三月有余,期间,各地网信办及公安部门以此为依据加强对相关案件的执法,全国各地纷纷涌现行政执法“第一案”。本期内容旨在对执法情况和相关案例进行分析、解读,从中发现共性,对《网络安全法》与现行法律法规之间的有效衔接以及在实际执法过程中的适用性问题进行讨论。
7月末中央网信办、工信部、公安部、国家标准委等四部门联合启动“个人信息保护提升行动”,行动的首期确定为“隐私条款专项工作”。8月24日,四部门组成的专家工作组结束对首批10款网络产品和服务的隐私条款评审。首批被评审的网络产品和服务为:京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图。评审重点包括三方面:“隐私条款内容、展示方式和征得用户同意方式”。
在评审之后,多家媒体和不少专家关注到了这10款产品和服务在隐私条款方面的改变,发表了中肯的评论和观点,说明四部门在《网络安全法》生效后开展的“隐私条款专项工作”引发了社会方方面面对个人信息保护的关注,也从侧面体现了6月1日以后民众对国家机关保护个人信息有了更高的期待和需求。借着“隐私条款专项工作”的开展,笔者与大家分享一些个人思考。
一、隐私条款的内涵
从最广泛的意义上来说,隐私条款是网络运营者对其所开展的收集、保存、使用、共享、转让等个人信息处理行为的说明。因此,隐私条款完成的是“告知”(notice)这个动作。
在中外实践中,产品和服务主要是通过隐私政策(privacy policy)或者在服务协议中加入关于个人信息的条款(privacy clauses)来完成告知。隐私政策文本或服务协议中的个人信息条款通常篇幅较长,其作用在于完整、清晰地描述产品和服务收集、保存、使用、对外提供个人信息的行为。在此有必要说明,之所以称为隐私政策而不是个人信息政策,主要是尊重国内外行业中约定俗成的叫法,其针对的还是个人信息而非个人隐私。
除此之外,产品和服务还可以通过其他形式完成告知:一是增强式告知(enhanced notice),即注册账号,或安装程序,或首次使用时向用户展示的关于个人信息的提示。其并非隐私政策,但浓缩了隐私政策的核心内容,或突出展示了用户最关心的信息,例如收集了哪些个人信息,这些信息将会提供给谁等。很多时候,在增强式告知中包含了指向完整的隐私政策文本的链接。这样做的好处就是,即便用户没有阅读隐私政策文本,但是通过增强式告知,能够了解到隐私政策的关键核心内容,了解到风险较高的个人信息处理行为。二是即时提示(just-in-time notice),即在用户使用过程中即时展示的关于具体个人信息处理行为的提示。其往往用于针对个人敏感信息的二次授权(在对隐私政策)前的告知。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。这些个人敏感信息在收集、使用或者向他人提供(包括共享、转让、公开披露)前,需要再一次提醒用户,因为这样的信息处理对用户有着重大影响。从用户角度出发,对个人敏感信息的处理行为,不应该仅仅埋没于隐私政策的文字中,而是应该突出、凸显出来,征得用户的同意。
与国外单一功能类的互联网应用相比,我国平台式的互联网应用较多。平台式的应用必然要集合很多其他功能。这些功能可能会遵守同一份隐私政策,也可能各自有一些特殊规定。因此,在用户点开这些附加功能的时候,产品和服务的提供者可能还会提供一次单独告知,有针对性地告知用户,这个附加功能将对个人信息做出那些与平台应用的隐私政策不同的处理。
由此可见,隐私条款实际上包含了产品和服务提供的上述各种形式告知(以及本短文没有提及的其他形式)的一种或多种组合。
二、隐私条款的公开要求
在《网络安全法》中,对隐私条款最直接的要求是第41条第一款:“网络运营者收集、使用个人信息,应当……公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”总结起来,就是公开、明示、同意三个具体要求,余文逐一讨论。
在笔者看来,公开收集、使用个人信息的规则,有利于用户了解产品和服务个人信息处理行为的实质;更重要的是,对监管机构来说,产品和服务公开收集、使用个人信息的规则,是加强个人信息监管的有力抓手;从社会监督角度来看,公开收集、使用规则是形成公众、舆论压力的最佳切入路径。下面以欧美个人信息保护部门对谷歌和脸书公司的两次执法事件为例说明。
2012年3月,谷歌把涉及其旗下产品和服务的70余项隐私政策合并为一个文本。包括英国、荷兰、西班牙、法国、意大利等国在内的个人信息保护部门对此各自开展独立调查。这些部门得出的一致结论是:合并后的隐私政策文本没能清晰地告知谷歌出于哪些目的分别收集了哪些信息,将和谁共享上述信息。例如,荷兰个人信息保护官在命令中指出:谷歌在其隐私政策中“没能清晰、充分、具体地界定其收集个人信息的目的,因此违反了荷兰数据保护法第7条关于应出于具体、正当的目的而收集个人信息的要求”,谷歌应于2015年2月前修改隐私政策,否则将面临1500万欧元的罚款。英国个人信息保护官则认定,谷歌在其隐私政策中对其使用个人信息的规则描述过于“模糊”,因此要求其在2015年6月30日前整改完毕。意大利、法国、西班牙则直接对其处以罚款,并给出整改期限。
2010年,美国民间组织“电子隐私信息中心”(EPIC)将脸书公司个人信息收集、处理行为与其隐私政策描述不符一事,向美国联邦贸易委员会(FTC)投诉。EPIC声称,脸书公司未事先获得用户同意向其合作伙伴共享用户个人信息;共享了用户设置为限制访问的个人信息;公开了用户限定了只限朋友可见的个人信息等,违背了脸书在隐私政策上所做的承诺。FTC随后开展调查并最终要求脸书更正其隐私政策,并在接下来的20年里要定期聘请独立第三方对其个人信息处理行为开展评估。
从上述两个执法和社会监督案例来看,虽然隐私政策文本冗长而经常被诟病,但是长文本的好处在于能做到详细、完整、清晰,而且隐私政策公开以后,读者并非仅仅是用户而已,还包括监管部门、学者、记者、消费者保护团体等,因此不应一味要求隐私政策文本简短、简练,毕竟其还承担了许多其他角色。
三、隐私条款的明示要求
《网络安全法》要求“明示收集、使用信息的目的、方式和范围”,后面紧跟着“并经被收集者同意”。因此可以认为,明示这个要求主要服务于用户,用户要做出授权同意的前提当然应该是知道自己“同意了什么”;进一步来说,明示还可以理解为要求产品和服务在告知时提供的信息,应当在用户所处的具体场景(current context)中有着直接的相关性(direct relevance),以帮助用户在做出具体决定前,能够充分考虑对其个人信息的具体影响。
从这个角度出发,仅仅通过冗长的隐私政策或者服务协议来告知完成明示这个要求,显然存在巨大的缺陷。隐私政策提供的是个人信息处理规则的全集,其包含的许多内容在用户浏览、注册、支付时并非直接相关,对用户做出具体动作来说属于冗余信息。因此不加区分地向用户展现和灌输,只会造成用户认知和选择上的疲倦。
如前文所述,产品和服务完成明示要求,事实上可以综合采用多种告知的形式,创造性地对“增强式告知”、“即时提示”、对附加功能的“单独告知”等进行组合。具体来说,在进行上述行为以满足明示要求时,产品和服务可考虑以下因素:
一是场景和时机。充分考虑用户在不同使用场景中最需要的信息:例如某些产品和服务无须要求用户注册账户也能够使用,则当用户首次打开应用时,只需通过“即时提示”向用户展示纯粹浏览时需要收集的信息,同时可提供指向隐私政策文本的链接以供感兴趣的用户进一步查阅。在用户决定注册账户时,可以通过“增强式告知”展示浓缩后的隐私政策核心内容(如新华社报道中指出的“用一图读懂的形式告知用户提供哪些服务对应要采集哪些信息”),同时要求用户同意隐私政策文本。
二是用户的合理期待,即在明示时充分考虑对用户来说可能出乎其意料的个人信息处理,或者根据个人信息处理对用户合法权益造成的风险大小来排列展示信息的顺序。例如,许多平台式的应用集成了其关联公司或第三方的服务,用户在打开这些服务时可能并不清楚自己正在向不同的网络运营者提供个人信息,此时就需要采用对附加功能的“单独告知”、“即时提示”等形式来提醒用户。
此外,产品和服务还可用声音、震动等提示方式作为对文字展示的补充。例如在进入集成了特定传感器的环境,手机上与该传感器相匹配的应用可以发起震动或者调用闪烁功能来提醒用户,达到明示的效果。
总结起来,前文叙述的隐私条款的公开要求,面向的是多个对象。而此节的明示要求,则主要针对用户,最核心的考核标准是用户是否对某个场景或操作中涉及的个人信息处理行为明明白白。许多企业对外宣称“以用户为中心”,那就必须在明示时,多发挥一点创造性,让用户真切地感受到产品和服务的真诚和温度。更多隐私解读:www.yangfenzi.com/tag/yinsi
四、隐私条款的同意要求
“经被收集者同意”事实上可以分两个层次来理解:首先,选择同意应当是用户清晰的自主意思表达,具体来说就是用户通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。例如用户主动做出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“下一步”、“注册”、“发送”、“拨打”等视为肯定性动作。其次,应当避免存在一揽子协议强迫用户同意,例如天气预报软件强制收集用户通信录信息,否则无法使用,此举事实上剥夺了用户的选择权利。
对于前者来说,用户注册时弹出“增强式告知”时的选择同意,附加功能开启时弹出“单独告知”时的选择同意或主动填写提供个人信息、个人敏感信息采集在业务场景中即时弹框同意,附加功能采集个人敏感信息逐项选择同意,在线撤回同意,在线注销账户等等,都是尊重用户自主意思表达的具体做法。
对于后者,理想的状态是产品和服务在设计、开发阶段就考虑到个人信息与实现功能之间一一对应的关系;然后提供控制面板,允许用户逐项选择同意收集、使用的个人信息类型;在用户选择完毕后,得出产品和服务可以实现的功能集合;用户可随时在控制面板做出或撤回同意。但由于通过设计保护隐私(privacy by design)的理念尚未大规模成为业界的实践,现阶段大部分的中外网络产品和服务均无法达到上述的理想状态,因此一个折中的办法就是要求产品和服务划分出核心功能和附加功能。
对于核心功能,产品和服务应向用户告知所提供的核心业务功能及所必需收集的个人信息,并明确告知拒绝提供或拒绝同意将带来的影响。例如提供实时导航服务的软件,用户不提供位置信息则无法完成服务。
但对于附加功能,启用前应向用户逐一说明个人信息为完成何种附加功能所必需,并允许用户逐项选择是否提供或同意自动采集。当用户拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。例如提供实时导航服务的软件,还提供附近的餐饮或住宿预订服务,就属于附加功能,用户有权拒绝使用且仍能够享受导航服务。
应当说明的是,为完整、清晰、详细地展示产品和服务关于个人信息处理行为的全貌,隐私政策文本需要同时囊括核心功能和附加功能收集、使用个人信息的规则,用户点击同意其实并不意味着一揽子对核心功能、附加功能提供了一次性的授权同意。相反,附加功能的使用还需要用户主动触发,例如主动点击同意,或主动填写相关的个人信息。所以,不宜将此情形中产品和服务要求点击同意隐私政策视为“绑架用户”。毕竟对于附加功能的开启及所需要的个人信息,用户在实际使用中还是能够行使选择权的。
五、坚持管控个人信息收集环节
提升隐私条款,实质是加强个人信息收集环节的管控,坚持数据最小化原则(data minimization principle)。而在大数据、万物互联、人工智能的时代,国内外均有专家提出,应当放弃对个人信息收集环节的管控,放弃数据最小化原则,转而专注规范使用环节。从这个角度出发,四部门开展的“隐私条款专项工作”没能抓住个人信息保护问题的关键,甚至注定是吃力不讨好的。
这样的观点值得商榷。首先,告知是各国现行法律和国际权威框架的基本要求,例如OECD的隐私保护框架、欧盟2018年将生效的《通用数据保护条例》、美国联邦贸易委员会的执法准则、美国金融行业的“格雷姆-里奇-比利雷法”等,可以说国际主流做法对个人信息的保护,都是从收集环节就开始着手的。
其次,在现阶段确实有越来越多的个人信息被越来越多的组织以越来越多的方式、途径所收集,但这就意味着收集这个环节就应该放弃控制?这是典型的技术逻辑至上的思维。但有意思的是,几乎所有的学者都认为对人工智能的发展,应该通过伦理、法律的力量对其加以驯化。显然,是不是让技术逻辑说了算,本身就是个可左可右的问题。
再者,许多学者担心管控收集会拖慢创新和发展,影响国家社会进步,降低民众可享受的便利。可以设想一下,放弃收集环节的控制,最大的受益者是各个收集个人信息的网络运营者,但他们对个人信息的使用是否一定会遵循最大化公共利益的路径,本身就是个疑问。而且如果收集环节已经控制不住,为什么在使用环节就一定能控制住?
最后,几乎所有学者都认为应该限制政府部门收集、使用个人信息,因为掌握了个人信息再辅以公权力,很容易实现对个人的优势性支配。目前,各大型网络运营者,特别是平台运营者正在对民众生活各方面行使着“准公权力”,如果允许他们对个人信息的收集不受控制,真的是一种明智的选择吗?
六、展望
综合上述五个方面,四部门开展的“隐私条款专项工作”旨在落实《网络安全法》的有关规定,进一步细化了公开、明示、同意的要求,是对个人信息收集环节管控的一次有益尝试和创新,值得大大的点赞。
需要特别指出的是,“隐私条款专项工作”是“个人信息保护提升行动”的第一步,正如管控收集环节仅是对个人信息全生命周期保护的起点。
在后续工作中,期待四部门通过持续展开“个人信息保护提升行动”,进一步督促个人信息控制者切实负起保护个人信息的责任,正如国家标准《个人信息安全规范(报批稿)》中个人信息安全首要基本原则“权责一致”(accountability principle)所要求的——个人信息控制者“应对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任”,这才是时刻悬在收集、使用个人信息的组织头顶上的达摩克利斯之剑,这才是确保个人信息在场景、技术不断变化的未来持续获得保护的关键。
(本文刊登于《中国信息安全》杂志2017年第9期)
·氧分子网(http://www.yangfenzi.com)延伸阅读:
➤ WhatsApp CEO简·库姆Jan Koum:保护隐私和信息安全更重要
·氧分子网(http://www.yangfenzi.com)综合整理
2017年,数据泄露、网络攻击、漏洞发现、会议活动、投资并购等各个层面呈爆发态势,无论在数量还是影响面上,均超过以往任何年度。
一、网络安全事件篇
1. 信息泄露创历史记录
2017年仅上半年泄露或被盗的数据(19亿条),就已经超过了2016年全年被盗数据总量,全年预计将超过50亿条。其中,仅雅虎一家就达到了30亿条。
2017年规模较大的信息泄露事件
1月:
暗网市场知名供应商双旗(DoubleFlag)抛售多家中国互联网巨头数据,数据条数达到10亿以上。
2月:
美国媒体报道,一名前美国国家安全局承包商雇员窃取了超过50TB的高度敏感数据。
4月:
国内某知名视频网站1亿账户信息在名为CosmicDark的网络黑市出售。
5月:
印度互联网与社会中心警告,有1.35亿条Aadhaar号码及1亿条银行帐户号码可能外泄。
6月:
美国共和党承包商放在 AWS S3 云存储的1TB数据(包含1.98亿选民信息)被曝任何人均可访问;
Shodan搜索引擎发现近4,500台Hadoop分布式文件系统服务器,约5.12PB(5,120TB)数据暴露在公网。
8月:
全球知名有线电视公司HBO发生大规模数据泄露事件,至少1.5TB的数据被黑客掌握,包括未发行的剧集到财报等其他敏感文档。
9月:
美国最大征信机构之一Equifax,声明由于网站漏洞导致1.43亿消费者信息泄露。
10月:
雅虎在提交给美国金融监管机构的文件中,承认30亿账户全部泄露。
11月:
马来西亚12家电信公司的4620万手机账户信息在网上售卖,马来西亚的人口数量为3120万。
12月:
美国陆军及NSA情报平台约100G文件暴露在 AWS S3 存储服务器上,包括高度敏感、机密性的国家安全数据;
安全研究人员发现一个包含1.23亿户美国家庭信息的大型数据库暴露在 AWS S3 上,包括地址、电话、年龄、性别、财务等248个数据段。
2017年的信息泄露事件呈现以下特点:
√ 随着云计算、大数据和物联网的普及,信息泄露事件呈现高速增长趋势。信息泄露涉及行业广泛,但重点集中在互联网、政府机构及金融行业。仅AWS一家云服务商,今年就爆发了数起较大规模的用户数据泄露事件,而物联网搜索引擎Shodan不断公布的因运维配置不当导致的数据库暴露问题近乎常态。
√ 数据泄露导致企业严重损失,高管担责。今年瑞典的内政部长和基建部长,因数据泄露事件而引咎辞职。而Equifax数据泄露事件更是令CISO、CIO和CEO接连下台,股价暴跌30%,一笔720万美元的合约也被封停。我国的《网络安全法》今年已经正式实施,确定了“防止网络数据泄露或者被窃取、篡改”是网络运营者的法定义务。
√ 内部威胁成信息泄露重要途径。包括内部员工的恶意或无意泄露,以及第三方供应商带来的风险。尤其是后者,近年来重大的信息泄露事件都与第三方供应商相关。如塔吉特的空调供应商,斯诺登是NSA承包商,今年导致瑞典两位部长下台的数据泄露事件也是因为承包商被入侵。在目前快速多变的商业环境中,动态供应链是必然趋势,但每家供应商都潜在着扩大了机构或企业的网络攻击面。由供应商引起的第三方风险,已经成为当今网络安全领域的一个普遍性问题。
2. 网络攻击无所不在
随着物联网设备的激增,网络攻击目标泛化,并成指数级增加。2017年初Fortinet的一份调查显示,针对物联网的攻击达到250多亿次。尤其是5月份爆发的WannaCry勒索软件,成为近几年来为数不多的全球性安全事件之一。
2017年较为特殊的网络攻击事件
5月:
全球爆发WannaCry勒索病毒攻击,至少150个国家、30万名用户中招,造成数十亿美元损失。
6月:
黑海约20艘轮船由于黑客攻击,GPS服务掉线;
一名英国黑客在法庭承认,于2014年侵入美国军事卫星通信系统,盗取800多名用户信息以及约3万个卫星电话号码;
丹麦航运公司马士基遭遇Petya勒索软件,业务损失超过2亿美元。
7月:
Darktrace发布一起黑客利用智能鱼缸盗窃赌场数据的案例;
以太坊平台Veritaseum被网络罪犯盗走超过15万枚以太币,价值近2亿元。
8月:
欧洲某石油化工厂的智能咖啡机被勒索软件感染,并传播到工厂内的可编程逻辑控制器(PLC)监视系统。
美国海军公开宣称,将把黑客攻击视为美国约翰·S·麦凯恩号驱逐舰撞船事件可能原因之一。
9月:
赛门铁克宣称,一年来美国、土耳其和瑞士的数百电网遭到大规模攻击,掌握电网登录凭证的黑客有可能具备制造断电事件的能力;
卡巴斯基发布报告称超过165万台计算机感染了加密货币采矿恶意软件,而IBM的报告显示,针对企业网络的加密货币恶意软件工具总数在过去的8个月里增涨了6倍;
全球安全咨询业务最大的公司德勤,由于其供应商搭建的网站存在未打补丁的Apache Struts漏洞被入侵。
10月:
瑞典交通署信息系统遭黑客攻击,并导致列车延误;
奥巴马政府公开指责俄罗斯政府,称其是今年总统竞选一系列黑客事件的主使。
11月:
一名美国国土安全部官员透露,他的专家团队一年前在大西洋城机场,远程渗透进一架波音757的无线通讯系统。
12月:
比特币挖矿平台NiceHash超过4700枚比特币被盗,损失可达4亿元;
澳大利亚曝光一起黑客入侵珀斯国际机场计算机系统,盗取高度敏感数据的事件;
火眼披露一起能源工厂安全系统被入侵,造成工厂停止运行的事件,此事为首例公开的工控安全系统被黑事件;
美英政府公开指责朝鲜为WannaCry真凶,并表示要让网络空间的攻击者付出代价。
2017年的网络攻击呈现以下特点:
√ 网络攻击载体和目标多样化。海陆空交通系统,工业生产系统,以及各种物联网设备和加密货币,均为网络攻击的载体和目标,甚至卫星通信、宇宙空间站资料,也难逃黑客所及。不管是出于政治原因还是经济目的,未来越来越多的创造性手段将会被攻击者采取和使用,而只要有网络延伸到的地方,就可能成为被攻击的目标。
√ “犯罪即服务”的商业模式是勒索软件、恶意软件传播以及DDoS等大规模恶意行为泛滥的关键原因。“犯罪即服务”极大的降低了攻击成本和攻击难度,即使是初级罪犯也可随时发动网络攻击,再借助“零日漏洞”,极易给全球互联网带来重大破坏。借助“永恒之蓝”漏洞的WannaCry勒索软件,其快速传播并造成巨大损失,就是非常典型的例证。
√ 网络武器已被全世界采用。网络攻击背后的国家力量日趋明显,无论是对关键设施的长期渗透,各个国家竞选系统的入侵,还是对社交舆论的风向控制,以及对“零日漏洞”的交易、利用,甚至是对加密货币的攫取,背后都闪现着国家支持的黑客的影子。网络攻击,已经横跨政治、外交、商业、军事、关键基础设施和社交媒体等各个领域。网络安全,可以在技术上打破或超越传统资源与能力和规则限制,弱小的国家可以借此挑战大国。数字化时代必定导致数字化国防,网络成战场,代码即武器。
3. 邮件安全问题突出
电子邮件成网络安全重灾区,不管是鱼叉式邮件还是商业欺诈,都有着惊人的破坏力。前者是发动APT攻击和大范围传播恶意软件的典型入口,后者据FBI的统计,2013至2016年商业欺诈邮件(BEC)已造成53亿美元的损失。
2017年较大的电子邮件安全事件
1月:
由于葡萄牙“首席环球”公司的邮件服务器被拖库,著名足球明星贝克汉姆过去几年的邮件被下载并曝光。
2月:
360互联网安全中心发布预警,与邮件安全相关的商业欺诈将给国内企业带来50亿元以上的经济损失;
东欧网络犯罪分子通过钓鱼邮件入侵了全美快餐连锁Chipotle的POS机系统,盗走数以百万的消费者信用卡数据。
3月:
一名48岁的立陶宛人,被控通过钓鲸邮件骗取谷歌和FaceBook两家公司各1亿美元;
一种鱼叉式钓鱼邮件借美国税季大肆传播,100家机构中的12万人中招。
5月:
WannaCry勒索病毒肆虐全球180个国家,虽然并未确认初始攻击载体为钓鱼邮件,但至少钓鱼邮件是其重要的传播手段之一。
6月:
美国南俄勒冈大学承认,今年4月受到邮件诈骗,把190万美元转到骗子的账户;
乌克兰一家金融科技公司的系统被钓鱼邮件入侵,通过微软漏洞在全球传播Petya,俄罗斯、欧洲、印度和美国数百家机构受到影响。
8月:
加拿大麦科文大学声明,落入商业邮件欺诈圈套,汇出1140万美元。
12月:
腾讯安全通报一起大范围钓鱼邮件攻击事件,52个国家的网站被利用,近3万家中国企业受影响。
邮件安全带来的启示:
√ 电子邮件内容事关重大。由于电子邮件办公已经在各行各业充分普及,从个人敏感信息到重要商业机密,再到核心知识产权,电子邮件都是最为主要的传输通道,一旦泄露后患无穷。
√ 电子邮件的安全地位不容忽视。不管是大规模的恶意软件传播,还是针对性的APT攻击,无论是广撒网式的个人骗局,还是精心设计的商业欺诈,邮件都是第一入口和最大入口。
√ 警惕网络钓鱼和商业欺诈邮件的激增。据美国联邦调查局今年5月的统计,BEC(有时也称钓鲸邮件)在两年时间里,达到了2370%的惊人增长率,而钓鱼邮件的增长率已经超过了恶意软件。虽然邮件安全网关和机器学习等技术手段可以在一定程度上进行防范,但建立起良好的网络安全意识教育机制,才是应对社会工程手段攻击最为有效的方法。
二、漏洞篇
1. 漏洞数量增长史无前例
2017年各大漏洞库公布的漏洞数量较以往呈明显激增态势。
# 国家信息安全漏洞库(CNNVD):
CNNVD公布的漏洞数量为14,748个,2016年全年的漏洞总数为8,753个,预期年增长率至少上升70%。而CNNVD自正式统计漏洞数量以来,从2010年至2016年,增长率最高才为20%。
# 美国国家漏洞库(NVD):
NVD公布的漏洞数量为14,277个,2016年全年的漏洞总数为6,515个,预期年增长率至少上升170%。
# 公共漏洞披露平台(CVE):
CVE公布的漏洞数量为17,760个,2016年全年的漏洞总数为10,703个,预期年增长率约为70%。
(注:以上2017年的漏洞数量均为截止到12月19日的统计数字)
漏洞激增的部分原因,是因为各大漏洞公告平台在各自的数据库中开始囊括更多的漏洞。另一个重要原因则是云计算、移动互联网、物联网设备的普及,各种网络应用的爆发,以及更多的人员进入安全领域并开始关注漏洞。
此外值得注意的是,美国的国家漏洞数据库(NVD),漏洞报告从提交到收录进数据库的平均时间是33天,而我国的国家漏洞数据库(CNNVD)是13天。也就是说,在漏洞细节提交后,订阅了NVD的用户要平均等33天才能收到警告,而在中国订阅了CNNVD的用户,平均13天内即可收到警报,2倍于NVD的速度。
2. 漏洞可能出现在各个层面
从硬件到软件,再到虚拟化、云计算,从疏忽大意形成漏洞,到主动防护反而被黑,从终极破解方法到原始遗留问题,漏洞可能在各个环节,因各种原因,以及各种面目出现。
2017年较为特殊的漏洞事件
1月:
卡巴斯基杀毒软件证书密钥出现漏洞,攻击者可通过碰撞轻易伪造证书,实现中间人劫持。
2月:
“地址空间布局随机化”(ASLR)技术被破解,包括英特尔、AMD、三星、Nvidia、微软、苹果、谷歌和Mozilla等芯片制造商和软件公司均受影响。
3月:
Cisco IOS&IOS XE Software CMP 出现远程代码执行漏洞(CVE-2017-3881),允许未授权访问,远程攻击者可以重启设备、执行代码,提升权限。
4月:
苹果设备WiFi芯片出现任意代码执行缓冲区溢出漏洞,该漏洞影响 iPhone 5 及以上版本,iPad 4代及更新机型,还有 iPod touch 6代及更新版本。
5月:
西班牙电信德国子公司证实,黑客利用SS7漏洞窃取验证码,然后将客户账户上的资金洗劫一空。这是第一起SS7漏洞公开证实的攻击;
英特尔AMT、ISM、SBT固件6到11.6版出现漏洞(CVE-2017-5689),攻击者可获得控制权限。
7月:
博通WiFi芯片固件出现“堆溢出”漏洞(Broadpwn),约10亿台苹果和安卓受此影响。
8月:
车载信息控制单元中的英飞凌2G基带芯片出现漏洞,福特、英菲尼迪、日产聆风、宝马等车型均受影响;
英特尔CPU安全控制机制ME上运行的固件出现漏洞,可被利用成为后门。
9月:
蓝牙通信协议出现8个漏洞(Blueborne),理论上可影响全球所有使用蓝牙的设备。
10月:
奥地利、美国和澳大利亚三国研究人员研究出Rowhammer终极攻击方法,可攻破目前所有可用防御措施,且可以远程进行,包括云端主机;
无线安全协议WPA2出现漏洞KRACK(密钥重装攻击),理论上可以对任何支持Wi-Fi的设备产生影响;
德国半导体制造商英飞凌的某些芯片,可信平台模块出现漏洞(CVE-2017-15361),该漏洞允许知晓RSA公钥的攻击者获取私钥;
国际海事卫星公司的 AmosConnect 8 网络平台被曝两个漏洞,攻击者可以获得远程访问特权,接管整个平台。该平台用于监视轮船IT和导航系统,以及收发消息、邮件,浏览网页等。
11月:
研究人员揭示微软Office公式编辑器漏洞(CVE-2017-11882),攻击者可完全控制系统,该漏洞已存在17年;
苹果macOS 10.13出现高危漏洞,物理接触设备无需口令便可获取管理员权限(以root用户登录)。
12月:
包括汇丰银行、英国西敏寺银行、Co-op银行、美国银行等移动应用,出现由于“证书锁定”安全机制带来的严重缺陷,数百万用户面临中间人攻击的风险;
传输层安全协议(TLS)19年前的ROBOT漏洞再现,攻击成功后,攻击者可被动监视并记录流量,发动中间人攻击。
漏洞发现带来的几点启示:
√ 安全产品不一定安全。无论是杀毒软件还是防火墙,抑或是安全机制,用于安全防御的事物本身也能成为漏洞的藏身之处。
√ 底层漏洞防不胜防。芯片或固件一旦出现漏洞,卸载软件、打补丁、重装操作系统均无法彻底解决问题,而更新固件或是更换芯片意味着巨大的困难。
√ 通信协议或标准漏洞影响面巨大。动辄影响上亿的设备,而协议的更新换代则需要度过漫长的时间周期。
√ 数字化应用的爆发带来漏洞的爆发。无论是移动设备还是物联网设备,无论是虚拟化还是云计算与开源社区,在今年都呈飞速上升与扩展的趋势,因此漏洞的爆发应在意料之中。
√ 长老级漏洞与难打的补丁现象固疾难除。出于各种原因,许多补丁事隔很长时间才能得到修复,甚至是永远不会修复。而只有修复之后,才谈得上更新。最后,对老旧系统的更新可能才是真正的挑战。
√ 零日漏洞与开源。不谈国家强制力量,零日漏洞的一大根源是开源代码的不断扩散。每年1110亿行代码的扩张量,越来越多的开发者加入开源模块、组件、库的复用队伍。开源安全责任重大,与社区中的每一个人都有关。
3. 漏洞披露问题的两难
2017年,从发现Facebook任意图片删除漏洞拿到1万美金,到美国国防部“入侵空军”二期众测项目发放的26万美元,再到漏洞交易平台Zerodium的50万、100万、150万美元的漏洞征集奖金,一个问题浮出水面,漏洞到底值多少钱?
这个问题非常复杂,涉及到漏洞利用的时间周期、漏洞所在系统本身的价值、漏洞可能带来的危害程度、影响范围,漏洞防范的难易度等众多因素。但无疑,漏洞信息的机密程度是漏洞价值的最关键因素。知道的人少(即零日漏洞或N日漏洞)就越值钱,知道的人越多就越低廉。因此,才会有完全披露和负责任披露两种模式的出现。二者之间各有利有弊,是一个平衡取舍的问题。
11月15日,美国白宫发布《漏洞平衡政策》,十大部门形成审查委员会,根据漏洞的波及范围、利用难度、可导致的破坏,以及漏洞修复难度等,衡量漏洞的威胁程度,结合政府如何利用漏洞,以及利用漏洞的事实被公开将面临的政治风险,来审查漏洞,最终决定公开日期或保密。
漏洞审查委员会成员:
国防部(含NSA)
中央情报局
司法部(含FBI)
国务院国土安全部
国家情报总监办公室
财务部
能源部
商务部
管理与预算办公室
2017年的NVD漏洞总数约1.5万个,按照CVSS V3 的评级方法,仅高危漏洞就3千多个。况且,超过四分之三的漏洞在NVD发布之前就已经在新闻站点、博客、社交媒体,以及常人无法触及的暗网、犯罪论坛公布。因此该审查委员会,将特别针对零日漏洞做出披露决策。
三、行业市场篇
1. 会议活动空前热烈
2016年网络安全大事记曾写道,“2016年是信息安全会议活动最为集中的一年”,但2017年明显比去年更多,多到一一列出会占用太多的文章篇幅,因此今年的大事记只选出了非常重要或影响力较大的十个活动。
2017年十大顶级安全会议/活动:
√ RSA 2017 全球约有680余家机构参展,比去年约增长23%。以国别来看,参展机构数量中国排名第二(32家),较去年增长了82%。韩国增长速度最为迅猛,达到800%,部分体现出东亚地区在网络安全方面的进步。
√ 2017年国内网络安全相关会议活动总数预计超过300场。百人规模的活动超过100场,千人规模的活动也在10场以上。粗略估算会议成本约在1亿至3亿元左右。
√ 网络攻防比赛亦呈爆发态势。XCTF、WCTF、TCTF、X-NUCA、铁人三项,以及各地省市政府、协会组织的网络安全竞赛纷纷而起。安全竞赛的意义主要有二,一是增强网络安全在整个社会的影响力,向全社会推广网络安全的知识;二是形成良好的安全氛围,以及培养和发现优秀的安全人才。
√ 各种会议活动可大致分为国家与地方政府牵头的会议、综合性的产业会、展览会、技术研讨会、解决方案会、安全厂商渠道客户会、新品发布会、战略合作会、融资见面会等,再加上信息领域各大会议中的安全分论坛,大型互联网公司的SRC会和各机构举办的破解攻防大赛等。
√ 对于安全厂商来说,建议选择定位精准,性价比高,贴近行业,贴近用户的会议参加。而对于主办方来说,精选议题、演讲人,尽量为听众带来更有价值的内容,才是举办活动的根本意义。2017年用户或渠道大会明显增多,也从客观上反映出用户至上的办会趋势。
2. 融资规模前所未有
2017年,涉及到融资并购的安全企业,金额上亿美元的国外有约20余起,国内今年也创记录的有10余家创业公司的融资达亿元级别,为网络安全领域融资额最为爆发的一年。
2017年国外较大的融资并购事件
1月:
思科宣布将以37亿美元收购专注于改善应用程序性能的初创公司AppDynamics。
2月:
英国老牌安全公司Sophos以1亿美元外加首年达成业务目标的2000万美元,买下终端检测与响应公司Invincea;
Palo Alto Networks 宣布以1.05亿美元的现金完成对入侵检测公司LightCyber的收购。
3月:
CA Technologies 以6.14亿美元收购了应用安全及渗透测试公司Veracode。
4月:
迈克菲正式脱离英特尔重回独立公司身份。英特尔于2011年以77亿美元的价格收购了迈克菲,之后于2016年以31亿美元的价格出售了迈克菲51%的股份;
英特尔宣布,将以153亿美元的价格收购以色列汽车安全公司Mobileye,再次创造安全行业收并购记录。刚刚独立运营的迈克菲称这次收购为英特尔“前瞻性的安全战略布局”。
5月:
军事应用安全软件公司Mocana融资1100万美元,融资总额达到9360万美元;
CrowdStrike宣布完成1亿美元D轮融资,该公司总融资额已达2.56亿美元。上一笔融资发生在2015年7月,同样是1亿美元;
终端安全厂商Tanium宣布新一轮1亿美元融资,该公司融资额已升至4.07亿美元。
6月:
微软以1亿美元买下以色列网络安全公司Hexadite,该公司利用AI和机器学习辅助自动化事件响应;
自适应安全厂商Illumio宣布D轮融资1.25亿美元,总融资额已达2.67亿美元;
云安全代理厂商Netskope宣布新一轮1亿美元融资,融资总额已达2.314亿美元;
反勒索软件公司Cybereason收获软银注资1亿美元,估值上升至8.5亿美元。
8月:
赛门铁克宣布,将其SSL/TLS证书业务以9.5亿美元现金加30%DigiCert普通股的价格售出;
威胁情报与安全管理公司BlueteamGlobal宣布融资1.25亿美元。
9月:
访问控制公司SecureAuth宣布将以2.25亿美元的价格并购漏洞、身份治理与威胁管理公司 Core Security。
10月:
物联网安全公司ForeScout上市,首次公开募股1.16亿美元;
安全分析公司Skybox宣布最新融资1.5亿美元以加强其安全管理产品的研发和推广。
11月:
网络安全公司Proofpoint宣布同意以1.1亿美元的价格,现金收购消息安全公司Cloudmark;
汽车嵌入式软件解决方案提供商EB完成对汽车安全公司Argus的收购,业内估计收购金额约4.5亿美元。
12月:
软件整合厂商Synopsys宣布以5.47亿美元的价格(已扣除黑鸭子软件所持现金)完成对代码安全公司黑鸭子软件的收购;
法国最大的防务类机械电子科技公司泰雷兹集团宣布,将以48亿欧元(约56亿美元)的价格收购安全公司金雅拓。
2017年国内安全公司投融资情况
2月:
身份认证安全公司九州云腾Pre-A融资1000万元,投资方为绿盟科技;
欺骗防御及云安全公司默安科技Pre-A融资3000万元;
威胁追捕公司中睿天下Pre-A融资2000万元。
3月:
大数据反欺诈公司数美科技A轮融资1000万美元,投资方包括360和百度;
云安全公司上元信安A轮融资3000万元,投资方为任子行。
4月:
高级网络威胁(APT)公司东巽科技A轮融资4000万元;
威胁情报+安全服务公司数字观星天使轮融资1000万元;
业务风控与反欺诈公司岂安科技A轮融资(千万元级);
数字证书公司格尔软件上交所上市,IPO募资总额2.76亿元;
工控安全公司天地和兴A轮融资(千万元级)。
5月:
Hadoop安全公司观数科技Pre-A融资1500万元;
金融反欺诈公司邦盛科技B+轮融资1.6亿元;
保密技术及产品厂商中孚信息深交所上市,IPO募资2.62亿元;
大数据+数据安全公司志翔科技B轮融资(近亿元)。
6月:
智能身份认证公司芯盾时代B轮融资近亿元;
智能风控公司猛犸反欺诈(上海行邑)A+轮融资5000万元;
业务风控公司顶象技术A轮融资(千万元级);
下一代应用安全公司长亭科技A轮融资(千万元级);
新三板挂牌公司永信至诚发布定增方案,融资额约7500万元;
云抗D公司青松智慧B轮融资(千万元级)。
7月:
移动应用安全公司几维安全(成都盈海益讯)Pre-A融资1千万;
统一内容安全公司天空卫士完成A轮融资,总融资额达1.5亿元,投资方包括360;
大数据安全公司瀚思安信B轮融资1亿元;
可视化应用层安全公司安博通新三板股票发行募集资金7552万元。
8月:
工控安全公司安点科技第二轮融资4500万元;
大数据安全公司兰云科技A轮融资5000万元;
身份认证公司锦佰安Pre-A融资1500万元;
终端安全公司杰思安全A轮融资3000万元;
终端安全公司火绒安全Pre-A融资1500万元,投资方为天融信。
9月:
威胁情报公司微步在线B轮融资1.2亿元;
大数据安全公司上海观安A+融资5400万元;
基于CASB架构的ERP安全公司炼石网络Pre-A融资3000万元;
移动业务安全统一解决方案公司指掌易A+融资1.5亿元。
10月:
移动应用安全公司爱加密(北京智游网安)D轮融资5亿元;
风控反欺诈公司同盾科技C轮融资7280万美元;
数据库安全公司中安威士A+融资2000万元。
11月:
数据安全公司全知科技完成天使轮融资(千万元级)。
12月:
动态防御公司卫达安全Pre-A融资6000万元;
终端安全公司网思科平第二轮融资3500万元;
渗透测试公司四维创智完成天使轮融资(千万元级);
云安全应用公司安百科技A轮融资6000万元;
大数据与云安全公司安数云A轮融资2800万元;
云主机安全公司椒图科技A轮融资8000万元,投资方为360;
自适应安全公司青腾云安全B轮融资近亿元。
√ 2017年国外网络安全融资并购事件频发,涉及金额仅公开的数字已达300亿美元。热门领域包括汽车安全、应用安全、机器学习、威胁情报、安全分析等。
√ 2017年国内安全领域创业企业总融资额已达35亿人民币,数倍于往年。反欺诈、大数据、终端安全、云安全、移动安全、数据安全与身份认证均为投资热门领域。
√ 由于国家政策和技术变革等因素,安全行业正处于风口,各地的安全产业园正刚开始建设,国家年底也出台了相关政策引导社会资本的投入。因此目前来看,国内的安全行业至少能够保持3年左右的快速增长。但35亿人民币的创业投融资额,相对于总量400亿(安全牛初步统计2017年安全市场总额为400亿元)左右的安全市场,占比已经非常之大,需要警惕泡沫的出现。
3. 安全行业正在变革
区别于前两年的概念炒作阶段,2017年的网络安全市场,已经显现出真正变革的态势。云安全已经是所有主流安全厂商的业务发展重点,各种解决方案开始落地应用。移动安全实实在在的走进用户,物联网安全成为未来焦点,而身份认证是物联网安全的入口和基础设施。
√ 数据安全处于爆发前夜。数据不仅仅是资产,数据还是生产要素,而数据流动创造未来,此为数据时代的本质。因此,数据这个自始至终的安全核心保护对象,在数据时代必然迎来数据安全的爆发。
√ 网络保险业务浮出水面。用户对安全的本质需求是解决实际问题,而不是合规。因此,“没有银弹”的现实,令企业甚至是个人开始关注发生灾难后的挽回措施。假以时日,网络保险业务(个人认为,叫数字保险更合适)必将走上舞台,成为商业保险的常态险种。国外保险集团的调查预计,2022年网络保险业务全球市场将达140亿美元。
√ 工控安全有所升温。一直不愠不火的工控安全在政策大背景的推动下开始升温,其中,全国范围的工控安全大检查是目前的主要驱动力。而工业互联网、智慧城市、平安城市等从概念上给予工控安全更大的发展空间。
√ 人才短缺推动市场转型,安全服务是方向。用户对整体统一解决方案的需求,令大型网络设备厂商在安全市场上的份额迅速上升,但硬件设备逐渐走向后台的大趋势不可避免,目前的状况只是短期红利,安全服务才是长期方向。安全人才短缺是这一趋势的关键原因之一,并且在有限的时间内,尚看不到人才缺口得到较好弥补的可能。
√ 信息安全咨询业务有着不错的发展前景。无论在国内还是国际,网络安全行业的碎片化特征十分明显。主要是因为安全是行业化、场景化,甚至是业务化的,很难出现“包打天下”的标准产品。但随着网络威胁的来源和攻击手段的复杂化,企业需要制定完善的安全管理策略,以构建全面的安全防护体系,同时降低安全管理复杂度和投入成本。因此,信息安全咨询服务在未来有着更广大的发展前景。安全牛统计的全球网络安全年收入超10亿美元(2016年)以上的15家公司中,有四家为咨询公司,就是一个佐证。
√ 地方政府战略布局,安全基地四面开花。安全产业基地、产业园、人才培养基地,纷纷在北京、武汉、成都、杭州、南京、合肥、福州、哈尔滨、西安等城市建立,体现出地方政府对网络安全的重视,并将其放到城市经济与科技发展的重要战略地位。
四、政策法规篇
从欧盟的《通用数据保护条例》(GDPR)到美国的《国家网络事件响应计划》(NCIRP),再到俄罗斯的虚拟专用网(VPN)禁令和中国的《网络安全法》,个人隐私保护与商业利益和国家安全交织,网络空间安全成各国政府政治、经济博弈关注重点。
国外重大网络安全政策法规一览
(2017年前后)
2016年12月28日,美国食品与药物管理局公布了关于医疗设备制造商如何维护联网设备安全的建议文件。文件建议联合起来建立一个信息共享与分析组织以此来分享重要的安全威胁和应对措施。
12月29日,美国总统奥巴马签署了一项总统行政令,正式就俄罗斯的恶意网络行为和干扰对其发起制裁。
2017年1月,美国国土安全部公布了《国家网络事件响应计划》(NCIRP),旨在描述政府处理公共或私营产业实体相关网络事件的方法。
2月6日,美国众议院投票通过《电子邮件隐私法》(Email Privacy Act),规定执法部门将需要得到法院颁发的搜查令后,才能获准访问储存在第三方的时间超过6个月的电子邮件或者其他数据。
3月1日,美国众议院科学、空间与技术委员会三通过了《网络安全框架》法案。按照法案规定,美国国家标准与技术研究院(NIST)将向联邦机构提供如何实施此《网络安全框架》的指南。
3月,中兴通讯同美国政府就伊朗交易与美政府达成的和解协议批准生效,中兴同意支付共计约12亿美元,作为非法将美国制造的高科技产品出口给伊朗的罚金。达成和解协议后,美国工业和安全局将建议把中兴通讯从出口限制名单中移除。
6月29日,美国白宫国土安全顾问汤姆·博塞特表示,美国和以色列周一宣布,两国将建立新的网络安全合作关系,以阻止网络对手,并确定让恶意攻击者承担责任的方法。
7月,美国司法部(DOJ)犯罪科网络安全部门发布《在线系统漏洞披露计划框架》,以帮助组织机构制定正规的漏洞披露计划。此框架并未规定漏洞披露计划的形式或目标,而是侧重描述授权发现与披露行为,以减少在民事或刑事上违反《计算机欺诈与滥用法》(CFAA)的可能性。
11月1日,俄罗斯总统普京签署的虚拟专用网(VPN)禁令生效,从此在俄罗斯境内使用或提供VPN服务均属违法。
11月,美国众议院以356票赞成,70票反对的投票结果通过了2018财年的《国防授权法案》,在价值7000亿美元的国防开支中将用6340亿美元用于五角大楼的核心业务。今年的国防授权法案的重大改变在于:五角大楼将会进一步开放源代码。
11月15日,美国白宫发布《漏洞平衡策略》,十大部门形成审查委员会,根据漏洞的波及范围、利用难度、可导致的破坏,以及漏洞修复难度等,衡量漏洞的威胁程度,结合政府如何利用漏洞,以及利用漏洞的事实被公开将面临的政治风险,来审查漏洞,最终决定公开日期或保密。
12月8日,特朗普政府公布国家安全战略报告,强化美国竞争优势,增强军事、核力量、太空、网络和情报等方面竞争力,以及提升美国的全球影响力。
12月12日,美国总统特朗普正式签署了一项新的法令,政府部门永久开始禁用卡巴斯基杀毒软件。该法案强化了特朗普政府于今年9月发布的一项强制行动指令,新的法案对民事和军事网络系统均适用。
12月14日,美国联邦通讯委员会FCC发布《恢复互联网自由》,以3-2的投票结果正式废除了奥巴马政府2015年通过的《开放互联网法令》所确立的“网络中立”规定,取消了对互联网供应商封锁网站的限制和对互联网内容提供商收费的限制。
国内重大网络安全政策法规一览
(2017年前后)
2016年12月27日,国家互联网信息办公室首次发布《国家网络空间安全战略》。《战略》要求,要以总体国家安全观为指导,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
2017年3月1日,经中央网络安全和信息化领导小组批准,外交部和国家互联网信息办公室共同发布《网络空间国际合作战略》。战略提出,应在和平、主权、共治、普惠四项基本原则基础上推动网络空间国际合作,并强调中国在推动建设网络强国战略部署的同时,将秉持以合作共赢为核心的新型国际关系理念,与国际社会携手共建安全、稳定、繁荣的网络空间。
3月20日,最高人民法院审判委员会全体会议召开,审议并原则通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。《解释》(送审稿)共十条,主要规定了以下三方面的内容:(1)公民个人信息的范围;(2)侵犯公民个人信息罪的定罪量刑标准;(3)侵犯公民个人信息犯罪所涉及的宽严相济、犯罪竞合、单位犯罪、数量计算等问题。
3月27日,重庆市政府发布了修订后的《重庆市公安机关网络监管行政处罚裁量基准》。对于接入国际网络问题,即通常所说的“翻墙”,《裁量基准》规定,不以盈利为目的,初次实施上述违法行为,责令停止联网,给予警告。以盈利为目的实施上述违法行为,责令停止联网,给予警告,同时没收违法所得,视情节轻重,处以5000元至15000元的罚款。
6月1日,《中华人民共和国网络安全法》正式实施,网络安全法最重要的意义在于把网络安全工作以法律形式提高到了国家安全战略的高度,并将信息安全等级保护制度上升为法律,成为维护国家网络空间主权、安全和发展利益的重要举措。
6月27日,国家网信办发布了关于印发《国家网络安全事件应急预案》的通知(中网办发文〔2017〕4号)。预案将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。通知明确,网络安全事件应急处置工作实行责任追究制。
7月,为保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,国家互联网信息办公室会同相关部门起草了《关键信息基础设施安全保护条例(征求意见稿)》。
7月27日,工信部发布《关于开展2017年电信和互联网行业网络安全试点示范工作的通知》。通知指出,2017年试点示范项目的申报主体为基础电信企业集团公司或省级公司、互联网域名注册管理和服务机构、互联网企业、网络安全企业等。试点示范项目应为支撑自身网络安全工作或为客户提供安全服务的已建成并投入运行的网络安全系统(平台)。
9月,工信部印发《公共互联网网络安全威胁监测与处置办法》(以下称《办法》)。《办法》要求相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作,明确责任部门、责任人和联系人,加强相关技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。
12月,中共中央政治局就实施国家大数据战略进行第二次集体学习。中共中央总书记习近平在主持学习时指出,大数据是信息化发展的新阶段,要推动大数据技术产业创新发展,要构建以数据为关键要素的数字经济,要运用大数据提升国家治理现代化水平,要运用大数据促进保障和改善民生,要切实保障国家数据安全。
√ 欧盟的《通用数据保护条例》(GDPR)将于2018年5月25日正式实施,受到影响最大的是与欧洲有着密切商业往来的跨国公司。一是合规投入。根据普华永道的调查,大部分美国公司认为将花费100万到1000万美元的投入以满足合规。二是罚金。违反GDPR规定的公司,可被罚款高达2000万欧元或是公司全球年收入的4%处罚。有咨询公司表示,在GDPR实施的头一年中,有可能开出60亿美元的罚金。
√ 《中华人民共和国网络安全法》已于今年6月1日实施,网络安全法最重要的意义在于,从法律层面上把我国网络安全工作提高到了国家安全战略的高度,强调对关键信息基础设施及个人信息数据的保护,明确了国家、主管部门、网络所有者、运营者及普通用户各自的责任以及违规后的相关处罚。在合规应对实施环节,从网络运营安全、网络信息安全及关键信息基础设施保护等三方面,就“相关责任方”、“管理措施”及“技术措施”等三个维度总结了具体实施要点。
2017年,主管部门及安全标准化机构发布了多个与《网络安全法》实施相关的法规与标准,有的还处在征求意见当中。为方便各类机构在实施《网络安全法》时加以参考,把最重要的相关法规与标准列表如下:
国内2017年前后发布的《网络安全法》相关法规标准
√ 数字化进程扩大网络安全产业,各国安全政策压缩彼此市场空间。数字化进程不断的促进网络安全市场空间的扩张,努力向前发展的企业不可避免的倾向使用先进的技术。而网络安全又是国家安全的重要组成部分,因此各国出台相应保护自我的政策无可厚非。但更大的主题是人类的科技发展,各国之间是一个竞争与合作的“命运共同体”。自主可控与开放创新,封闭与开源,永远都是在争议中前行的话题。因此如何在符合对方国家大政策体系和规范的前提下,尽最大能力地将自身的技术和产品融合到当地的安全生态圈中,是跨国安全企业在未来几年的重要挑战。
五、年度大事总结
2017年最值得关注的七件网络安全年度大事:
信息泄露创历史记录,包括雅虎30亿账户泄露,Equifax 1.43亿全球消费者信息泄露,AWS S3 1.23亿户美国家庭信息泄露;
WannaCry、Petya等勒索软件爆发,涉及全球上百国家,造成数十亿美元的损失;
加密货币成黑客攻击目标,包括直接盗窃交易平台,以及用恶意软件感染用户计算机大规模“挖矿”攫取经济利益;
网络攻击上天入地,无所不在,横跨人类社会各个领域,代码武器化,黑客国家化态势明显;
漏洞增长史无前例,各大漏洞披露平台均创历史增长和绝对数量记录;
网络安全投融资规模前所未有,涉及金额国外的公开数字超过300亿美元(含并购),而国内仅融资额就达到了30亿人民币之多;
中国《国家网络空间安全战略》、《网络空间国际合作战略》的发布和《网络安全法》的正式实施,标志着我国网络安全行业的发展进入健康向上的轨道。
结语
如果说斯诺登事件为国内网络安全行业的破冰之年,《网络安全法》的实施就是乘风破浪大踏步向前发展的一年。“没有网络安全就没有国家安全”是我们的航标,云计算、大数据、物联网等数字化进程的发展,则是推动网络安全之舟快速前行的浪潮。但同时我们应该看到,国内信息技术的普及,人员综合能力水平,网络安全意识程度,与发达国家相比还存在着很大差距。而监管、行业与区域的划分,令安全领域碎片化的现象在我国尤其严重。不管是合规驱动、事件驱动,还是需求驱动,如何绕过这些大海航行中的暗礁,克服重重困难永往直前,是我们必须思考的问题和面临的挑战。
2017年即将告别,2018年即将到来,区块链、人工智能、量子计算、5G、虚拟现实等新兴技术正在向我们招手。伴随着攻与防的永无止境,一个新的科技时代就在人类眼前,“网络安全和网络发展相辅相成”,这是时代赋予每一位网络安全从业人员的使命。