2.4 国际互联网安全

据赛迪智库《2017年网络安全发展十大趋势》报告,2017年,世界范围物联网智能终端引发的安全事件更加频繁且严重,全球各国之间的网络安全合作进一步提升,全球爆发大规模网络冲突的风险进一步增加。随着手机实名制、快递实名制、APP实名新规等政策的深入实施,通过大数据和社会工程学分析等技术实施的精准网络诈骗将逐渐成为趋势,传统“撒网”式电信诈骗将逐渐退出舞台。

据相关数据显示,约20%的移动用户支付时遭遇过经济损失,且近90%的损失难以追回。安全可控的国产基础软硬件是保障关键信息基础设施网络安全的重要基础,各国将进一步加强网络空间部署,抵御网络恐怖主义和潜在威胁国家的网络攻击,全球网络空间局势将更加复杂,面临的网络安全外部形势也将越发严峻。

后“棱镜门”时代,世界各国掀起了网络安全建设的高潮,各国政府和企业机构逐渐开始重视对网络内容安全的管理,目前全球许多国家都通过立法及技术手段来保卫本国的互联网基础设施,保障网络内容的健康和绿色,为网络内容安全管理市场的发展创造了条件,全球行业未来增速有望超过当前主流预期。国际信息安全行业市场增长较快,2010—2017年的增长速度均在10%左右,2017年全球信息安全行业市场规模超过900亿美元。

2.4.1 各国主要网络安全政策

2017年1月13日,美国白宫国家经济委员会发布《金融科技框架白皮书》,明确六项政策目标,明晰了包括消费者保护、技术标准、提升透明度、网络安全和隐私保护、提升金融基础设施效率等在内的十项基本原则。

2017年2月23日,韩国提出《智能信息社会基本法案》,旨在解决智能信息技术自动化带来的各种社会结构和伦理问题。该法案是韩国国会首次提出的关于智能信息社会的概括性法律文件,该法案对于智能信息技术和智能信息社会等基本定义进行了明确的创新性定义,对其他国家探索建立类似制度具有现实的借鉴意义。

2017年3月,法国国会发布《共享经济税收法》,开启对共享经济的系统化监管。该法案从税收政策角度入手,将共享经济从业者纳入自由职业者范畴并按其实际收入征税,通过税收手段进行调节,在一定程度上可以缓解共享经济对传统经济的冲击,规范市场竞争并减少税收流失。

2017年4月,英国通过《数字经济法案》。该法案规定了建设数字基础设施和服务、完善数据共享、限制未成年人访问色情网站、打造数字政府和加强数字知识产权保护等内容。该法案针对发展数字经济中如何构建法律框架并明确监管机构职能等问题进行了规定,弥补了相关领域的法律空白,是继《英国数字战略》之后又一重磅性文件,是英国打造世界领先的数字经济和全面推进数字转型的重要部署。

2017年5月31日,日本《个人信息保护法修正案》正式施行。此次修正案的实施将使日本的隐私规则发生重大变化,影响到公司处理个人信息的方式,特别是在第三方的披露、国际转让及收集和使用敏感个人信息等方面。该修正案引入了“敏感信息”概念及转让个人信息的新规则。

2017年9月13日,欧盟委员会发布了“促进非个人数据在欧盟境内自由流动”立法建议,旨在通过立法改善欧盟境内非个人信息的自由流动。立法建议提出,服务提供商有自由选择建立提供服务所在地的权利。

2.4.2 网络安全大事件

1.Rasputin攻击60多所大学和政府机构系统

2017年2月,俄罗斯黑帽黑客Rasputin利用SQL注入漏洞获得了系统访问权限,“黑掉”了60多所大学和美国政府机构的系统,并从中窃取了大量敏感信息。遭到Rasputin攻击的受害者包括10所英国大学、20多所美国大学及大量美国政府机构,如邮政管理委员会、联邦医疗资源和服务管理局、美国住房及城市发展部、美国国家海洋和大气管理局等。

2.CloudFlare泄露海量用户信息

2017年2月,著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月。经过分析,CloudFlare漏洞是一个HTML解析器惹的祸。由于程序员把“>=”错误地写成了“==”,仅仅一个符号之差,就导致内存泄露情况。CloudFlare的网站客户也大面积遭殃,包括优步(Uber)、密码管理软件1password、运动手环公司FitBit等多家企业用户隐私信息遭到泄露。

3.维基解密“7号军火库”泄露

2017年3月,维基解密(WikiLeaks)网站公布了大量据称是美国中央情报局(CIA)的内部文件,其中包括CIA内部的组织资料,对电脑、手机等设备进行攻击的技术,以及进行网络攻击时使用的代码和真实样本。利用这些技术,不仅可以在电脑、手机平台上的Windows、iOS、Android等各类操作系统下发起入侵攻击,还可操作智能电视等终端设备,甚至可以遥控智能汽车发起暗杀行动。维基解密将这些数据命名为“7号军火库”(Vault 7),其中共包含8761份文件,包括7818份网页及943个附件。

4.影子经纪人入侵NSA黑客武器库

2017年4月,影子经纪人(Shadow Brokers)公开了一大批NSA(美国国家安全局)“方程式组织”(Equation Group)使用的极具破坏力的黑客工具,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具,任何人都可以使用NSA的黑客武器攻击别人的电脑。其中,有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。这一系列工具的公开,如同“潘多拉魔盒”被打开,随之而来的是各种利用漏洞制作的病毒(如之后的WannaCry)在全球肆虐。

5.超过1000家酒店客户信息遭泄露

2017年4月,洲际酒店旗下超过1000家酒店遭遇支付卡信息泄露的问题,受影响的品牌包括洲际旗下的假日酒店、皇冠假日酒店、英迪格酒店和伍德套房酒店。大部分遭到黑客攻击的酒店均位于美国,另有一家位于波多黎各。通过卡上的磁条,可能泄露的数据类型包括持卡人姓名、信用卡号、截止日期、内部验证码。

6.WannaCry勒索病毒全球爆发

2017年5月12日,WannaCry勒索病毒事件全球爆发,以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。WannaCry爆发后,至少150个国家、30万名用户中招,造成损失达到80亿美元,已经影响金融、能源、医疗等众多行业,造成了严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。

7.美国2亿选民资料泄露

2017年6月,美国安全研究人员发现有将近2亿人的投票信息泄露,主要是由美国共和党全国委员会的承包商Deep Robot Analytics误配置数据库导致的。泄露的1.1TB数据包含超过1.98亿美国选民的个人信息,包括姓名、出生日期、家庭地址、电话号码、选民登记详情等。UpGuard表示,这个数据存储库“缺乏任何数据访问保护”,任何可以访问互联网的人都可以下载这些数据。

8.Petya勒索病毒变种肆虐

2017年6月,Petya勒索病毒的变种开始从乌克兰扩散。与5月爆发的Wannacry相比,Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施沦陷,甚至乌克兰副总理的电脑也遭到感染。

9.消费者联名起诉亚马逊

2017年11月,42名消费者联名起诉亚马逊,称在亚马逊网购之后,不法分子利用网站多处漏洞,如隐藏用户订单、异地登录无提醒等登录网站个人账户植入钓鱼网站,然后再冒充亚马逊客服以订单异常等要求为客户退款,实则通过网上银转账、开通小额贷款等方式套取支付验证码诈骗用户。

10.Office高危漏洞导致恶意邮件正大规模窃取隐私

2017年12月,利用Office漏洞(CVE-2017-11882)实施的后门攻击呈爆发趋势。恶意文档通过带有“订单”“产品购买”等字样的垃圾邮件附件传播,诱骗点击并盗取隐私。恶意邮件每天传播量达千余次且正持续快速增长。该漏洞危害巨大,可影响所有主流Office版本,打开文档就会中招,且不排除黑客通过后门实施其他恶意操作。