国内外网络安全现状与存在的问题

2020-09-28 11:16:30 浏览数 (1)

No.1

我国网络安全现状

随着人工智能、大数据、5G等新兴技术的发展,企业面临的威胁日益增加。相关数据显示,在2015年至2025这十年间,网络攻击引发的全球潜在经济损失可能高达2940亿美元。网络风险的升级,让政府、企业和个人都对该风险愈加关注。各国纷纷颁布数据保护方面的法律法规,我国自2017年6月开始实行《网络安全法》。2019年5月,我国发布了等级保护2.0 国家标准,增加了个人信息保护、云计算扩展等要求。

国家互联网应急中心发布的《2019年上半年我国互联网网络安全态势》显示,2019年上半年,我国互联网网络安全状况具有四大特点:个人信息和重要数据泄露风险严峻;多个高危漏洞曝出给我国网络安全造成严重安全隐患;针对我国重要网站的DDoS攻击事件高发;利用钓鱼邮件发起有针对性的攻击频发。

国家互联网应急中心从恶意程序、漏洞隐患、移动互联网安全、网站安全以及云平台安全、工业系统安全、互联网金融安全等方面,对我国互联网网络安全环境开展宏观监测。数据显示,与 2018 年上半年数据比较,2019 年上半年我国境内通用型“零日”漏洞收录数量,涉及关键信息基础设施的事件型漏洞通报数量,遭篡改、植入后门、仿冒网站数量等有所上升,其他各类监测数据有所降低或基本持平。

企业面临的网络风险或者网络威胁主要有以下几种形式:

1

网站入侵、网页内容篡改

表现形式:黑客利用网站漏洞侵入网站,篡改网页内容,甚至贴上反动标语。

后果:造成严重的政治影响,对企业公关形象产生负面影响,被监管部门处罚,影响正常业务开展。

2

数据泄露

表现形式:生产运营中积累大量客户数据的企业遭受黑客攻击,数据被窃取并用于非法用途,如2018年华住酒店的客户数据泄露事件、2017年美国Equifax数据泄露事件等。

后果:面临监管处罚,美国Equifax为1.5亿用户数据泄露支付了至少5.75亿美元的罚款。此外,还可能面临第三方的索赔。

3

网络勒索

表现形式:遭受网络勒索软件攻击,需向对方支付勒索金后方可解锁相关软件或数据。2017年6月马士基总部IT系统遭到勒索软件攻击,集团全球系统瘫痪,码头停止作业,最长的一周后才恢复运营。

后果:支付勒索款项造成经济损失;或者生产经营中断造成营业中断损失,营业中断损失是目前大家公认的网络安全风险中最大的风险。马士基网络瘫痪事件导致的直接损失超过了3亿美金,营业中断的损失金额未见公开披露。

4

分布式拒绝服务攻击

表现形式:网站受到来自多个站点的同时攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

后果:网站无法提供正常服务,通过网站接受订单服务被中止,同样造成营业中断的后果。

如上,网络风险的增加和不确定性,为网络安全保险的“萌芽”提供了“土壤”,后期会做详细介绍。

No.2

国际网络安全现状

全球网络攻击事件更加频发

世界经济论坛《2018年全球风险报告》中首次将网络攻击纳入全球风险前五名,成为2018年全球第三大风险因素。

一是软硬件设备安全漏洞频出给生产生活带来严重威胁。1月,英特尔公司爆出“幽灵”“熔断”两个处理器漏洞,导致恶意程序可获取敏感信息。英国皇家战略研究所公布报告,指出当前核武器系统存在大量明显安全漏洞,网络攻击破坏核武器控制装置的风险极大。3月,英国政府通信总部发现家用新型智能电表存在安全漏洞,威胁数百万物联网设备安全,甚至可能影响国家电网的正常运转。4月,黑客利用思科高危漏洞发起攻击,20余万台思科设备受到影响。

二是多行业关键信息基础设施遭受攻击。1月,荷兰三大银行网络系统在一周内不断遭受分布式拒绝服务攻击。6月,美国赛门铁克公司发现黑客组织针对美国和东南亚国家卫星通讯、电信、地理太空拍摄成像服务和军事系统进行网络攻击。9月,西班牙巴塞罗那港与美国圣地亚哥港相继遭受网络攻击。11月,美国国土安全部称黑客多次试图破坏美选举系统。

三是个人信息与商业数据遭遇大规模泄露与违规利用。4月,美媒报道特朗普大选期间聘用的“剑桥分析”从2014年起违法收集脸谱网上5000多万名美国用户的数据,用于预测和影响选民的大选投票取向。9月,脸谱网称遭受黑客攻击,5000多万用户的个人隐私信息面临风险。

2019年,随着当前生产和生活对网络信息系统依赖性的增强,网络攻击事件的数量仍将不断增多,影响范围也将更加广泛。

全球网络对抗态势进一步升级

网络空间已成为各国争夺的重要战略空间,2018年各国采取多种措施不断谋求增强网络防御和对抗能力,网络空间对抗态势不断加剧。

一是顶层规划中网络对抗战略意图明显。美国本年内发布两项重要国防战略,均显示出明显网络对抗战略意图。7月,发布《2019年国防授权法案》,明确将中国、俄罗斯等国列为美国国家安全“威胁”,建议增加网络冲突前线的军事部署。9月,发布《国防部网络安全战略》,指出中国和俄罗斯对美国及其盟国的战略性威胁正在增大,为防范网络攻击要进行先发制人。

二是完善网络空间作战机构设置。5月,美国网络司令部升格为独立作战司令部。8月,日本防卫省宣布将组建专门部队保护国防通信网络免受攻击。10月,北约提出将成立网络指挥部,以全面及时掌握网络空间状况。

三是强化多方合作。一方面加强政企合作。5月,日本防卫省决定将部分网络防卫任务委托民间企业。6月,美国组织军队、政府和产业界专业人员共同开展“网络极限2018”演习。另一方面推动国际合作。4月,北约举行“锁定盾牌”网络战演习,吸引了来自30多个国家的千名网络安全专家参加。6月,立陶宛宣布欧洲联盟9个成员国将成立快速回应小组对抗网络攻击。

四是不断深化网络武器研发。4月,韩国国防部表示将在2019年前投入29亿韩元开发智能型信息化情报监视侦察系统。7月,美国国防部开发新网络武器系统,以发动对“伊斯兰国”的在线攻击,并保护美国免遭敌对政府的黑客攻击。

2019年,随着相关国家网络空间政策的调整以及网络军事力量建设加速,网络空间争夺或将掀起新高潮。

各国将更加重视数据安全治理

数据已成为国家重要战略资源和生产要素,针对数据的网络攻击以及数据滥用问题日趋严重,提升数据安全治理水平刻不容缓。

一是进一步完善数据安全保护法律法规。2018年5月,欧盟《通用数据保护条例》(GDPR)正式生效,欧盟国家,如爱尔兰、西班牙、比利时与塞尔维亚等欧盟国家参照GDPR研究制定或发布国内数据保护相关规定,非欧盟国家,如阿根廷、巴西、伊朗、印度、泰国等国也调整其数据保护法规与GDPR保持一致。

二是加紧研究数据跨境流动规则。2018年4月,巴西向世界贸易组织提交文件,敦促对互联网数据流动的规则展开讨论。7月,日本和欧盟达成协议,将实现双方数据自由流动。10月,欧盟议会通过《欧盟非个人数据自由流动条例》,消除欧盟成员国数据本地化的限制。

三是大力推进数据安全执法检查。1月,美国联邦贸易委员会对伟易达处以65万美元罚款,因其安全漏洞导致数百万家长和孩子的数据遭曝光。2月,比利时一法院判定,脸谱网在比利时网民不知情的情况下搜集和保存其上网信息,违反比利时隐私法。8月,韩国政府开始对20家跨国公司在韩办事处开展用户数据安全审查。10月,欧洲数据保护监督官员称,在2018年底对外公布第一批依据GDPR处罚的情况,并实施制裁。

2019年,数据安全风险将更加突出,各国将继续完善相应法规体系,积极开展相关执法检查。

No.3

我国网络安全目前存在的问题

我国网络威胁监测技术仍待加强

长期以来,我国网络安全核心技术受制于人,在网络攻防技术发展日新月异的今天,我国应对网络安全威胁的能力相对于发达国家处于劣势。

一是信息技术安全监测能力不强。我国对进口网络信息技术和产品的监测分析以合规性评测为主,很少涉及软件核心技术,规模化、协同化漏洞分析评估能力较低,难以发现产品的安全漏洞“后门”,同时在大数据分析、可信云计算、安全智能联动等重要方面的技术实力不足,难以应对新兴信息技术产品的安全监测工作。

二是网络攻击追溯能力不足。目前,我国对于海量网络数据缺乏有效的分析方法,对APT等新型安全威胁的监测技术不成熟,即便监测到这种威胁,由于缺少回溯手段,也难以找出攻击源头。

我国信息技术产品自主可控生态亟待建立

目前,我国对国外信息技术产品的依赖度较高,CPU、内存、硬盘和操作系统等核心基础软硬件产品严重依赖进口。如CPU主要依赖英特尔和AMD等厂商;内存主要依赖三星、镁光等厂商;硬盘主要依赖东芝、日立和希捷等厂商;操作系统则被微软垄断。2017年,欧美跨国企业提升了核心技术的开放程度,国内信息技术产业曾出现新一轮引进式的创新热潮。然而,2018年,随着中兴事件和中美贸易战的持续发酵,各界人士逐渐在构建信息技术产品自主可控生态方面达成共识。一方面是亟需研发出可用乃是好用的核心信息技术产品;另一方面是急需对自主可控的网络产品和服务进行评估、扶持和推广,进而构建良好自主可控生态。

我国网络可信身份生态建设尚需强化

《网络安全法》明确提出,“国家实施网络可信身份战略,支持研究安全和方便的电子身份认证技术,推动不同电子身份认证之间的互认”。然而目前,我国网络可信身份生态建设仍需强化。

一是网络可信身份体系建设缺乏顶层设计,统筹规划和布局尚不明晰。我国还未明确将网络身份管理纳入国家安全战略,也未形成推进网络可信身份体系建设的整体框架和具体路径。

二是身份基础资源尚未实现广泛的互联互通,基础设施重复建设现象严重。由于缺乏战略设计和统筹规划,我国网络可信身份基础设施共享合作相对滞后,导致基础可信身份资源数据库还未实现广泛的互通共享,使得数据核查成本较高、效率较低。

三是认证技术发展滞后,还不能满足新兴技术和应用的要求。云计算、大数据、移动互联网、工业互联网等新一代信息技术不断涌现,新兴技术和应用环境中数据的传输、存储、处理等方式与传统信息技术及应用存在重大差异,已有身份认证技术、手段和机制还不足以支撑新技术、新应用的发展。因此,亟需开展针对性的研究,尽快制定国家网络可信身份战略,创建可信网络空间。

我国关键信息基础设施的网络安全保障体系仍不完善

关键信息基础设施是国家至关重要的资产,一旦遭到破坏、丧失功能或者数据泄漏,不仅将可能导致财产损失,还将严重影响经济社会的平稳运行。随着金融、能源、电力、通信等领域基础设施对信息网络的依赖性越来越强,针对关键信息基础设施的网络攻击不断升级,且带有国家背景的高水平攻击带来的网络安全风险持续加大。但我国关键信息基础设施的安全保护力度仍然不足。

一是网络安全检查评估机制不健全。当前的网信安全检查侧重漏洞发现,缺乏对漏洞修复的激励措施,同时缺少对漏洞的危害等级的评估体系。

二是关键信息基础设施安全保障工作存在标准缺失的问题。尽管行业内已加速开展相关标准的研究工作,包括安全保障指标体系、安全检查评估指南以及信息共享规范等方面,但仍缺少金融、电力和通信等细分领域的安全保障标准研究。面对日益严峻的网络安全挑战,我国应尽快完善关键信息基础设施安全保障体系。

在此大环境下,网络安全保险作为一种新的网络安全风险管理方式得到了学术界和产业界越来越多的关注,成为网络经济时代的一个新亮点。

0 人点赞