作为网络安全新生态的首创平台,CSS 始终关注全球前沿安全议题,历届峰会都会站在全球视角,评估出一年来最具前瞻性与代表性的互联网安全议题。通过对全球安全产业发展动态以及典型性安全案例的扫描和整理,我们希望为产业内从业者、合作伙伴提供更详实的参考,可以对当下的安全环境有更准确的判断。
今年 CSS2018,腾讯安全联合实验室也从国际安全趋势、产业政策法规、安全技术风向、典型安全事件等四大维度,从全球互联网安全相关法案、法规,关键基础设施安全,数字金融安全,以及前沿科技安全等领域出发,搜集整理了上百个全球范围内具有前瞻性和代表性的案例。结合包括安全公司的 CEO、法律专家、传媒专家等在内的十余
位 CSS 组委会成员进行综合分析和评议,最终遴选、发布了《CSS 视角下的 2018 年全球网络安全十大议题》。
通过十大议题的评选,我们以全球视角,从宏观安全战略,到安全技术趋势都有了更加清晰的认知。数字时代,各行各业发展中遇到的安全问题越来越复杂,安全成为数字经济时代所有 0 前面的 1。对于企业来说,安全能力与新技术研发、应用同样重要。对于行业来说,构建完善的数字安全新生态体系,才能有效保障并驱动数字经济的良性发展。
腾讯安全联合实验室
议题一:国内外相继推出法案,加强关键基础设施保护
无论对于国内还是国外,关键基础设施一直都是国家和社会稳定发展的基石,各国对于关键基础设施的保护都极为重视。随着互联网的飞速发展,为保障关键基础设施的正常运行,各国相继发布关于关键基础设施建设及保护的相关条例及法案,完善制度规范,加强对关键基础设施的保护,提高基础设施安全能力。
典型事件:
1.
国家网信办发布《关键信息基础设施安全保护条例(征求意见稿)》
中国将关键信息基础设施保护纳入多项政府战略文件、法律和法规中。2017 年 7
月 11 日,国家互联网信息办公室公布《关键信息基础设施安全保护条例(征求意见稿)》
(以下简称《征求意见稿》),该条例是《网络安全法》的重要配套法规,对关键信息基础设施进行保护。中国政府“关键信息基础设施安全保护”的概念与其他政府不同,中国的定义同时包括传统行业和大型商业互联网服务(电子商务、搜索和社交媒体),对此先后发布《国家安全法》、《网络安全法》,并就《关键信息基础设施安全保护条例(征
求意见稿)》公开征求意见,初步构建起关键信息基础设施的法律制度框架。
2.
美国通过“关键基础设施”最新法案
3 月 19 日,美国众议院通过《2018 DHS 网络事件响应小组法案》,提出授权由美国国土安全部(DHS)国家网络安全与通信整合中心(NCCIC)下的“网络狩猎及事件响应小组”(HIRT)帮助保护联邦网络和关键基础设施免于遭受网络攻击。法案授权HIRT 帮助关键基础设施的所有者和运营者响应网络攻击,并提供缓解网络安全风险的策略。法案还允许 DHS 部长将私营企业的网络安全专家纳入到 HIRT 当中,该创新方法有助于加强网络安全人才建设,能够利用更多的专家加强对美国网络的保护。
议题二:超大型技术设施相继建成,保障通信网络安全
对于网络安全领域,超大型技术设施一直起着极为重要的作用,高水平以及完备的技术设施将会为安全领域带来更加完善的保护。随着国内外超大型安全技术设施相继建
成,全球性覆盖的保密通信网络已初见雏形,大型技术设施将为网络安全提供强有力的保障。
典型事件:
1.
世界首条量子保密通信干线——“京沪干线”开通
9
月 29 日,世界首条量子保密通信干线“京沪干线”正式开通。结合“京沪干线”与“墨子号”量子卫星的天地链路,我国科学家成功实现了首次洲际量子保密通信。这
标志着我国已构建出天地一体化广域量子通信网络雏形,为未来实现覆盖全球的量子保密通信网络迈出了坚实的一步。
2.
太湖之光成为全球最快超算,未来将应用于高性能计算与安全领域
新一期全球超级计算机 500 强榜单 6 月 20 日公布,使用中国自主芯片制造的“神威太湖之光”取代“天河二号”登上榜首,中国超算上榜总数量也有史以来首次超过美国名列第一。“神威太湖之光”的浮点运算速度为每秒 9.3 亿亿次,不仅速度比第二名“天河二号”快出近两倍,其效率也提高 3 倍。神威睿思操作系统未来主要应用于高性能计算与安全两个领域。产品含括超级计算机和各种集群计算机系统;桌面、服务器类通用操作系统,以及网络安全防护、主机安全防护、数据安全防护、安全管理等网络安全类的定制操作系统。
3.
英国电信建成几乎不可破解的量子安全网络
日前,英国最大的互联网供应商宣称已经建成了一条长达 75 英里的量子安全高速光纤链路。英国电信公司首席执行官 Gavin
Patterson 在 6 月在伦敦召开的“物联网世界欧洲论坛”中表示,“英国电信公司及其合作伙伴的光纤链路是世界上第一个真实安全的量子高速网络,它实际上是‘不可攻击的’”。 其原理是光纤链路上的光子在与数据相同的连接上携带加密密钥。如果这些光子遭到恶意劫持,就会立即通知系统密钥已经损坏,窃取者干扰这些密钥也会使它们有所改变,然后它们就不能被拦截者使用,并且数据流量会立即变为乱码。量子密钥分发工作中使用的光子可能最终会保护未来的网络,并最终成为未来量子计算的一个关键因素。
议题三:欧盟相继推出安全条例,信息安全受全球范围关注
欧盟关于网络安全相关法案的推出以及相关改革一直是全球关注的焦点,而随着网络发展在安全领域带来的诸多挑战,欧盟更加深入地推进了信息安全以及数据保护相关
政策的落地,继续加大对于网络安全领域的投入力度。这一系列动作无疑会对全球网络安全格局产生重大影响。
典型事件:
1. 欧盟史上最严格《通用数据保护条例》(GDPR)正式生效
早在 1995 年,欧盟部长会议就以一纸《欧盟数据保护指令》(DPD),引领了信息时代个人数据隐私的法律保护规则。过去 20 年里,成员国个人数据保护法律碎片化问题,以及新时代下大数据、电子商务、网络安全等新领域带来的诸多挑战,促使欧盟大刀阔斧地改革 DPD,并于 2016 年 4 月由欧盟议会审议通过了 GDPR 新规。2018 年 5月 25 日,《通用数据保护条例》(GDPR)正式生效。
2. 欧盟《网络与信息安全指令》各国落地
欧盟成员国在 2018 年 5 月 9 日之前,将《指令》落实到国家法律中。这是欧盟出台的第一个关于网络与信息安全的指导性法规,主要针对“基础服务运营商”和“数字服务供应商”。欧盟的“基础服务运营商”相当于美国的“关键基础设施供应商”,欧盟成员国需在 2018 年 11 月 9 日之前确定本国“基础服务运营商”。《指令》的出台经过反复的公众咨询和调查,欧洲网络和信息安全局(ENISA)为此召开了多次研讨会,政府与私营部门进行了积极合作。
《指令》并未对关键基础设施跨国数据传输进行限制。关于安全认证,《指令》规定“成员国应鼓励使用网络和信息系统安全相关的欧洲或国际认可的标准和规范”。欧盟成员国将该《指令》作为网络安全方法的基准,在实施过程中可以进行适当调整,以满足独特的国家需求。
议题四:美国废除中立,签署法案,国际互联网安全形势迎来全新挑战
作为 IPV4 网络控制国家,世界上所有国家的网络地址都是由美国分配,美国在互联网领域的一举一动都会受到全球范围的关注。随着美国废除“互联网中立原则”以及后续互联网相关法案的相继推出,互联网安全领域再次出现变革,国际互联网安全形势日趋严峻。
典型事件:
1.
特朗普废除“互联网中立原则”
2017 年 12 月 15 日,美国联邦通信委员会经过投票,决定撤销奥巴马执政时期实行的网络中立性原则。代表美国网络服务提供商利益的“美国电信协会”发表声明说,宽带提供商重燃信心,将进行必要投资,加强美国网络建设,尤其在乡村地区缩小数字鸿沟。代表美国互联网企业的“互联网协会”则发表声明予以反对,并将提起诉讼。该协会认为,“宽带服务市场几乎没有竞争,超过一半的美国人对提供商没有选择权,所以消费者的在线体验将被迫接受网络服务提供商的干扰”。
2.
特朗普签署 Cloud Act 法案,使执法机构更容易访问存储在国外的数据
3 月 23 日,美国总统特朗普正式签署了 Cloud Act 法案(《澄清境外数据的合法使用法案》)。法案更新了执法人员查看存储在互联网上的电子邮件、文档和其他通信内容的规则,使执法机构更容易访问存储在国外的在线数据信息。该法案还允许依据其他国家与美国签订的协议,将美国服务器的有关信息发送给其他国家的刑事调查人员。
议题五:数据及信息泄露事件频发,提高数据安全能力迫在眉睫
保护数据安全,维护个人隐私是安全领域一直讨论的话题,对于数据及隐私的保护,各国均投入了相当大的力度。而全球范围内重大数据及个人隐私泄露事件却频频爆出,个人数据信息已经成为黑客攻击的重要目标。数据保护关乎国家的发展,加大数据保护力度,提升隐私保护能力刻不容缓。
典型事件:
1.
Facebook 数据泄露丑闻—被当成了操控大选的工具 隐私安全再度引发人们关注
3 月 16 日,Facebook 宣布封杀 Cambridge Analytica 公司,而在 18 日,美国《纽约时报》和英国《卫报》等媒体同时发文称,Cambridge Analytica 公司利用了从Facebook 不当收集的 5000 万用户的个人数据,来为美国大选参选人提供数据采集、分析和战略传播,简单来说,就是 “ 操纵民意 ” ,而现任美国总统特朗普就是Cambridge Analytica 公司此前的客户。
2.
印度 10 亿公民数据库遭网络攻击
印度公民信息数据库 Aadhaar 遭到网络攻击,并被标价出售。据悉,公民信息数据库 Aadhaar 包含有印度公民的名字、电话号码、邮箱地址以及指纹、虹膜纪录等多种敏感信息,而泄露的数据量达到 10 亿之巨!根据印度媒体报道,数据库信息被窃取后,网民在网上已经可以购买到这些信息,而 10 亿印度公民的个人信息只需要不到 8 美元就能够轻松获得,价格之低廉令人咋舌。而在相关媒体对事件进行报道后,印度身份证管理局(UIDAI)相关人员表示称Aadhaar 数据,包括生物特征信息在内是完全安全的。
3.
新加坡遭最大规模网络安全攻击,李显龙总理信息外泄
新加坡卫生部 20 日表示,新加坡一保健集团健康数据遭黑客攻击,150 万人的个人信息被非法获取,新加坡的总人口约 600 万人,这意味着新加坡平均每四个人,就有一个人的信息遭到泄露。而这其中包括新加坡总理李显龙,甚至连他的配药记录、门诊信息等也遭到外泄。这起事件也被当地媒体称为“新加坡遭遇的最大规模网络安全攻击”
议题六:数字货币频频遭遇攻击,数字金融领域安全任重道远
在金融领域,安全是重中之重。为提升安全能力,全新的区块链技术应运而生。但是被誉为“最安全”的区块链技术并没有带来完备的解决方案。基于区块链技术孕育而生的数字货币频频遭遇黑客攻击且损失严重,其安全能力不足以面对各类安全威胁,基于现状,各国应加强对数字货币的监管力度。
典型事件:
1.
以太坊智能合约被爆存在巨大漏洞
3 月 4 日,伦敦大学学院(University College London)计算机科学系副教授伊利亚·谢尔盖最新的研究论文指出,通过对将近 100 万份智能合约进行每份合约 10 秒的分析后发现,其中有 34200 份智能合约很容易受到黑客攻击。此外,研究也证明,以太坊的 Parity 钱包漏洞使得用户电子财产会锁死在以太坊,全以太坊被锁死的财产总额已经达到 2 亿美元。智能合约是以太坊在比特币的区块链技术中添加的一种功能,本质是“合同”+“仲裁者”。以太坊的智能合约技术,为现实世界中缺乏信任和仲裁的应用场景提供了便捷的开发工具。
2.
CoinCheck 被盗 5.26 亿个 NEM 币,成史上最大规模数字货币盗窃案
1
月 26 日,日本最大的加密货币交易所之一 CoinCheck 遭遇黑客攻击,平台全部(5.26 亿)NEM 币(新经币)被非法转移。根据估算,这批丢失的新经币价值 5.23 亿美金,这是历史上最大规模的数字货币盗窃案。CoinCheck
称将花费约 4.26 亿美元来赔偿客户,以日元返还方式进行补偿,补偿价格按 88.549 日元乘以拥有数量计,补偿时期和手续等仍在研究。针对此次事件,日本金融服务厅责令 CoinCheck 整改,日本区块链协会表态将制定更加严格的安全措施。
议题七:AI 技术前景无限,相关政策法案助力规避风险
一直争议不断的 AI 技术在互联网+时代迎来飞速发展,由于其为未来世界的发展带来了前所未有的机遇,各国不断加大对其投入力度。然而飞速发展同时也必将衍生相关的安全问题,对于 AI 来说,一旦发生安全问题,其带来的风险以及危害是难以预估的。为保障其健康发展,相关政策的出台及落地必须实时跟进,防患于未然,完善安全体系。
典型事件:
1.
移动安全联盟于 2018 中国人工智能移动安全高峰论坛推出“移动安全行动计划”
随着人工智能的发展,以及移动智能设备的不断普及,各类漏洞风险与日俱增,随之而来的安全事件也不断爆发。2018 年 7 月 10 日,移动安全联盟在第十七届中国互联网大会期间,举办 2018 中国人工智能移动安全高峰论坛并启动“移动安全行动计划”。“移动安全行动计划”主要包括移动安全联盟漏洞处置合作计划、移动安全联盟安全事件应急响应机制、移动安全联盟漏洞信息披露和处置自律公约。“移动安全行动计划”主要目的是为了加强和规范移动互联网安全漏洞信息发布与处置工作,维护公民、法人和其他组织的合法权益,保障网络与信息安全,促进行业健康发展。
2.
欧盟计划92亿欧元建“数字欧洲”,25亿欧元用于人工智能
欧盟委员会 6 月 6 日公布了 2021 年至 2027 年欧盟长期预算草案里的一系列提议,包括新设“数字欧洲”项目以投资超级计算机、人工智能等,以及增加空间项目预算。欧盟委员会提议,设立欧盟首个“数字欧洲”项目并向其拨款 92 亿欧元。其中,27
亿欧元将用于超级计算机及数据处理领域。“数字欧洲”项目还包括向人工智能领域投入 25 亿欧元,希望人工智能技术能够在欧盟经济和社会领域得到广泛运用,使政府和民营企业都能受益。
3.
新美国安全中心发布《人工智能与国家安全》报告
7 月 10 日,继美国哈佛大学和国会研究处发布《人工智能和国家安全》报告之后,新美国安全中心(CNAS)智库发布 2018 年最新版《人工智能与国家安全》报告,分析了人工智能在网络安全、信息安全、经济和金融、国家防御、情报、国土安全等方面的应用,研究了人工智能变革对全球安全的不利影响。报告认为人工智能给未来世界发展带来前所未有的机遇,美国应制定国家战略,对人工智能产业发展进行引导,研究如何利用人工智能的优势,同时减轻人工智能带来的不利影响。
议题八:安全威胁社会生活稳定,行业安全无小事
医疗、交通、教育、娱乐等行业是保障人们正常生活的基本要素,这些行业的健康发展也同样是社会稳定的重要保障。但这些行业在发展的同时也面临着安全威胁,频发的行业安全事件也不停地为我们敲响警钟。对于不同行业,需从根本上加强防卫能力,提高技术水平,加大监管力度。
典型事件:
1.
医院多次遭勒索病毒攻击 病毒抵御方案需提上日程
进入 2018 年以来,勒索病毒 GlobeImposter 家族最新变种在国内爆发,大批企业用户纷纷中招,其中不乏政府、高校、医院等公共基础设施。4 月 16 日,国内某医院的服务器遭受到了最新变种勒索病毒 GlobeImposter 的攻击,狡猾的勒索病毒透过医院原本重重布局的防火墙,感染医院的服务器,入侵整个系统。导致部分文件和应用被病毒加密破坏无法打开,影响医院的正常运行。随即腾讯企业安全火速响应,通过针对感染情况的紧急分析和技术流操作,迅速锁定病源,保障了内网应用的安全运行,并针对性地提出了解决方案,完成了一场配合高效的场外救援,最终成功抵制了病毒侵害。医疗体系遭受勒索病毒的攻击已经不是第一次发生,仅在 2018 年第一季度就已经发生过两起类似事件,勒索病毒对企业等公共机构的威胁不容忽视。
2.
优步事故引发的思考:自动驾驶真的安全吗?
优步(Uber)开发的无人驾驶汽车在美国亚利桑那州撞倒了一位行人,导致其重伤不治身亡。这是第一起由无人驾驶汽车撞击行人致死的事件。目前,优步已经全面叫停其位于加利福利亚州总部的无人驾驶汽车测试项目。同时,优步的无人驾驶汽车技术的安全记录正受到严格的审查。
目前,美国各州均针对自动驾驶路测制定了相关的法规,但美国联邦政府尚未出台统一的自动驾驶路测法规。尽管本次优步的事故令人遗憾,但自动驾驶无疑是大势所趋,许多公司仍计划推进其自动驾驶路测。Waymo在凤凰城提供无人驾驶通勤服务,奥迪期望在不久后发售奥迪A8轿车,旨在解决交通拥堵问题。此外,通用承诺在明年推出无人驾驶出租车。因此,自动驾驶的发展还需利用更多先进技术,持续提升车辆的安全性。
3.
腾讯团队成功破解亚马逊智能音箱
来自于腾讯安全平台部的 Tencent Blade Team 在全球黑客大会 Defcon 上破解了亚马逊的智能音箱 Echo。一旦 Echo 被攻击,黑客可以控制这款智能音箱进行录音,而且还可以把录音文件通过网络发送给远程服务器。
亚马逊的 Echo 是全球最畅销的智能设备之一,在美国就售出了大概 3500 万台,市场占有率达到了 70%。由于这款智能音响在美国家庭中还是比较常见的,所以亚马逊为这款智能产品设置了非常高的安全等级。Tencent Blade Team 将 Echo 的漏洞完全告知了亚马逊,还协助了亚马逊团队在第一时间内完成了对漏洞的测试和修复工作,对此亚马逊感谢了这支来自腾讯的中国团队。
议题九:构建全新安全联盟体系,维护数字新生态
新时代网络安全问题层出不穷,面对其不断攀升的威胁程度以及更加多样化的威胁形式,传统的单一攻防体系已经难以满足安全需求。面对新的数字生态,应该跳出传统
概念,以协作为基础,切实推动政府、企业、用户的联动,推进行业合作,构建安全联盟体系将成为网安产业的未来趋势。
典型事件:
1.
腾讯安全参与发起“中国区块链安全联盟” 向区块链诈骗宣战
6
月 21 日,由中国技术市场协会主办,北京知道创宇信息技术有限公司承办的“中国区块链安全高峰论坛”在京举办,众多国家权威机构领导、区块链行业大咖、安全行业大佬以及众多行业顶尖媒体及海外权威人士齐聚一堂,就如何推进区块链行业健康有序发展进行深入探讨。大会还宣布发起“中国区块链安全联盟”,旨在团结社会多方力量护航区块链产业健康发展。
联盟由中国技术市场协会、腾讯安全、知道创宇、中国区块链应用研究中心等,含政府指导单位、网络安全企业、区块链相关机构及媒体等二十余家机构、单位联合发起,联盟成立后将建立区块链生态良性发展长效机制,着重打击一切假借区块链名义进行变相传销、诈骗等敛财行为。
2.
阿里健康、腾讯等巨头回应疫苗事件,详解疫苗安全、追溯系统等热点问题
疫苗事件后,腾讯第一时间发布 “腾讯安心计划”小程序 。腾讯相关负责人表示,在做这次的问题疫苗查询入口之前,腾讯就已经在打造一个基于联盟区块链的食药安全溯源平台,并通过微信连接消费者。除此之外,阿里健康、搜狗医疗、百度等各大互联网巨头,均第一时间上线问题疫苗查询功能。
在过往溯源服务于企业和监管管理的基础上,腾讯认为应该、也一定有办法更好的连接消费者,这需要食药企业、监管部门、腾讯以及消费者一起参与到这个联盟中来。
食药企业将相关的原料、生产、物流运输的数据写入联盟链中,政府、用户都可以通过接口获取到这些数据;同时政府可以将检验检疫、监管处罚的相关信息写入到联盟链。腾讯会通过安心计划平台向最终的消费者展示这些信息。
议题十:探索技术领域,构建安全体系,安全是最强驱动力
对于网络安全,被动应对不如主动出击。网络安全事件一旦发生,损失就已然造成。因此,在网络安全领域,更多的时候需要做的是未雨绸缪,防患于未然,而其中最重要的是安全能力的提升。只有不断提升安全技术水平,主动挖掘潜在风险,才能从根本上构建网络安全体系。
典型事件:
