网络与信息安全领域

CATR-ICT深度观察（2013）

——网络与信息安全领域工业和信息化部电信研究院主要内容一、2012年网络与信息安全总体形势二、2012年网络与信息安全热点分析三、2013年网络与信息安全展望一、2012年网络与信息安全总体形势国际形势世界各国积极部署网络与信息安全战略并逐步实施，网络空间与陆海空天并列，网络空间安全能影响和保障国土安全、产业安全和公共安全。国内形势我国网络与信息安全形势总体平稳：网络安全防护保障体系逐年完善，基础电信企业和增值电信企业网络安全能力显著提升。我国逐步按照国际规则处理网络与信息安全问题，并积极调整与转变信息安全管理工作思路，逐步公开信息内容安全监管标准，使之更加国际化和公开化。一、2012年网络与信息安全总体形势（一）安全保障已渗透至国家发展的众多领域（二）网络信息安全监管趋向国际化和公开化（三）新技术和新业务安全管理取得显著进展（四）网络安全防护能力提升但仍有安全隐患一、2012年网络与信息安全总体形势（一）安全保障已渗透至国家发展的各个领域各国积极推进加强网络与信息安全战略部署。实验科研阶段1969-1994社会化应用启动阶段1994-2001社会化应用发展阶段2001-20081998.52000.12002.72003.2第一阶段：保护关键信息基础设施国际网络与信息安全演进趋势《关键基础设施保护政策(PDD63)》《关于保护信息系统的国家计划》《布什政府：国土安全国家战略规划》《网络空间安全国家战略》《国家网络安全综合纲领（CNCI）》《网络空间国际战略》2008.12011.5第二阶段：“9·11”之后，网络空间正式被赋予国家战略意义，关键信息基础设施上升为网络空间安全保护第三阶段：战略由深度防御过渡为综合行动。网络威慑、网络行动配合军事威慑、军事行动，构成了新军事战略的核心内容。第四阶段：战略重心开始由国内正式转向国外。2012战略实施第五阶段：战略部署告一段落，进入实施阶段。网络空间身份生态系统建设统一的数字证书市场。计划用10年左右时间，构建网络身份生态体系。用户个人信息保护互联网公司非法获取用户个人信息。用户个人信息保护势在必行。战略部署实施电脑病毒“火焰”在中东广泛传播，恶意截取分析用户隐私信息。以色列国防军和哈马斯利用twitter发布实时战况消息。保护军事信息安全成为网络与信息安全热点。美国国会指证中国华为与中兴公司的通信产品存在后门等安全隐患，威胁美国网络安全。此举旨在保护美国企业经济利益，推动本土通信产业健康发展。合法监听已成为美国等国家加强国土安全管理的重要措施。英国政府公布了《通讯法案》草案，要求ISP必须保留英国人民网上活动细节1年，备警方和情报机构查询。一、2012年网络与信息安全总体形势（一）安全保障已渗透至国家发展的各个领域网络空间安全能影响和保障国土安全、产业安全和公共安全网络与信息安全已成为打击境外恐怖组织恶性行为、保证境内治安稳定的重要武器网络与信息安全已成为一种可推动本土贸易自由发展、促进相关产业国际拓展的重要武器网络与信息安全应成为保障国家重要信息及个人隐私信息不被非法利用的重要武器国土安全产业安全公共安全10/15/2023沟通了解问题认真解释通知发布美日施压相互谅解进入通报（二）网络信息安全监管趋向国际化和公开化一、2012年网络与信息安全总体形势发布通报《增值电信业务网络信息安全保障基本要求》——2005提出并明确了用户信息保护和业务信息管理、技术保障的基本要求。“IDC/ISP信息安全系统”系列标准

——2012同步强化运营企业配套建设与应用相关管理系统的要求。安全防护系列标准——2008提出基础运营企业、增值运营企业各类网络单元安全基本要求。发布《加强移动智能终端安全管理的通知》有助于在提升我国智能终端信息安全整体技术水平。按照国际规则处理信息安全问题，更加国际化；调整与转变信息安全管理工作思路，首次公开信息内容安全监管相关标准，更加公开化一、2012年网络与信息安全总体形势（三）新技术新业务安全管理取得显著进展2012年上半年，工信部出台互联网新技术新业务信息安全评估相关的管理办法，有利于主动加强各类互联网新技术新业务安全社交网络云计算2012年4月，工信部启动云计算公共服务网络安全试点，成立试点工作小组和专家组，深入分析云计算公共服务安全挑战，探索云计算安全保障体系建设需求，促进健康发展。部分城市（如北京）率先出台微博客发展管理规定，要求“后台实名，前台自愿”2012年3月，部分微博开始实行实名制，此后必须实名注册微博才能发言、转发、浏览。2012年下半年，启动修订安全等级保护相关标准，保障IPv6网络安全发展下一代互联网移动互联网和智能终端终端、网络、应用相关安全标准不断出台应用软件安全评测技术方法、工具平台等不断完善CATR对国内主流应用商店评测，测试应用软件总数11.5万个，不通过率19.2%按照不通过原因数量从多到少排列测试结果已完成2000多款智能终端的评测，涵盖100多种品牌的终端；其中2012年已完成Android终端1482款，WP7终端12款，iOS终端2款，黑莓终端4款；发现90%终端操作系统存在缺乏后台操作授权和提示，数款预置应用存在后台消费流量问题智能终端进网安全测试项目一、2012年网络与信息安全总体形势逐年完善网络与信息安全保障体系，基础电信企业和增值电信企业网络与信息安全能力显著提升，安全漏洞显著减少。但是仍然存在一定的网络与信息安全隐患（四）我国网络安全防护能力显著提升，但仍存在一定安全隐患云计算安全试点发现的突出安全问题部分业务系统可从互联网入侵和控制，用户信息泄露等安全隐患不容忽视远程控制可篡改网页、中断业务系统以系统为跳板传播网页病毒、挂马、发动拒绝服务攻击可获取系统保存的用户信息：网站账户密码、用户身份信息（身份证号码、手机号、住址、邮箱）、金融信息（交易记录、银行卡信息）传统安全问题：占安全问题大多数，如木马、病毒等，弱口令、数据误操作等传统问题新表现：有一些传统问题如DDoS攻击在云计算环境中表现出新的特点，即有可能云主机被恶意用于对外发起DDoS特有的安全问题：少数VM过度恶意占用资源、虚拟主机逃逸等网秦统计：

2012年上半年，共截获17676款恶意软件，中国大陆感染比例为25.7%，列世界第一2012年三季度，共查杀到手机恶意软件23375款，环比增长92.7%，查杀款数超过2012年上半年总和我国是智能终端恶意软件感染重灾区绿盟科技2012年上半年安全威胁态势报告（漏洞变化趋势）：新增漏洞数量呈逐年上升趋势新增的高风险漏洞逐渐减少，而低风险漏洞则明显增加“获取用户权限”、“拒绝服务攻击”及“信息泄露”类漏洞占多数IPv6漏洞不容忽视，半数以上可用于DDoS安全漏洞变化趋势值得关注IPv6漏洞数量分布绿盟统计：已收录的IPv6漏洞124个主要内容

一、2012年网络与信息安全总体形势

二、2012年网络与信息安全热点分析三、2013年网络与信息安全展望二、2012年网络与信息安全热点分析（一）持续渗透攻击威胁不断升级，防护手段成为当前困扰（二）网络身份服务体系势在必行，技术路径渐成工作重心（三）用户信息安全受到严峻挑战，保护体系构建任重道远（四）云计算的发展关注安全问题，安全风险亟待澄清应对二、2012年网络与信息安全热点分析政治目的商业目的通过USB存储器及网络复制传播，并能接受来自世界各地服务器指令。针对伊朗石油部门的商业情报。2012.05火焰病毒全方位地结合多种攻击方法和工具持续不断发现目标并确定攻击方法由组织者进行协调和指挥网络攻击持续渗透攻击：针对特定组织所做的，复杂且多方位的网络攻击。特点（一）持续渗透攻击威胁不断升级，防护手段成为当前困扰攻击伊朗布什尔核电站，通过操控控制系统，导致多台设备失控、直至报废，并使布什尔核电站推迟发电。针对伊朗工业控制系统数据。2010.06震网病毒政府组织的持续渗透攻击将长期存在并且更具隐蔽，危害更大。发展趋势攻击者使用了十几种恶意代码和多层次的加密，深深地挖掘进了公司网络内部，盗取电脑资料，并巧妙掩盖自己的活动。2010.01谷歌被黑商业持续渗透攻击复杂度和隐蔽性会继续增加，危害也会更大。发展趋势10/15/2023二、2012年网络与信息安全热点分析（一）持续渗透攻击威胁不断升级，防护手段成为当前困扰持续渗透攻击不是一种新攻击手法，也不是可以仅凭阻止或破坏一次攻击就能让问题消失的。APT更像是一种网络攻击活动，而不是单一类型的威胁，可将其看作是不停息的攻击活动。持续渗透攻击从情报的搜集开始，这一工作可能会持续一段时间，其中包含了针对技术和人员情报的搜集。10/15/2023二、2012年网络与信息安全热点分析（一）持续渗透攻击威胁不断升级，防护手段成为当前困扰建立纵深安全防御体系，发展自主产业研发实力建立完善纵深的安全防御与监控体系：对于可控的部分，完善安全能力和加强安全验证；对于不可能的部分，进行供应链安全保证，提高未知危害的感知能力。完善信息系统安全规范，提高渗透攻击检测水平加强信息系统的安全检测理论和检测技术，并形成相应信息系统安全规范。采用漏洞挖掘手段发现信息系统漏洞，保证其系统安全漏洞不被利用进行渗透攻击。制定信息系统安全手册，加强安全防范宣传教育学习借鉴国际先进技术和管理经验，结合我国信息系统实际情况，制定制定信息系统的安全手册。加强防治持续渗透攻击的宣传教育，提升安全意识。10/15/2023二、2012年网络与信息安全热点分析（二）网络身份服务体系势在必行，技术路径渐成工作重心

网络身份管理的形态大体可以区分为“非集中式管理模式”和“集中式管理模式”。用户可以根据不同的在线服务类型选择不同的认证手段以及身份信任框架。非集中式管理模式集中式管理模式欧盟强调建立一个统一的数字证书(digitalcredential)市场，实现数字时代商业及文化信息与服务在欧盟各国国内及跨境的自由流动。预计在未来几年里，欧盟5亿人口中将近有一半的公民将持有一张电子身份证（eID）。美国推进的开放信任框架允许企业提供商业化的身份服务，获得了企业的支持，推进迅速。美国的企业界在网络身份管理技术以及资格认证等方面技术储备比较领先，值得学习借鉴。该模式充分考虑了个人信息及隐私保护问题，对网络空间可信身份体系通过试点示范的方式稳步推进。问题：欧盟eID主要用于电子政务、电子医疗、电子商务等领域，应用范围有一定局限二、2012年网络与信息安全热点分析（二）网络身份服务体系势在必行，技术路径渐成工作重心

利用移动互联网收集用户信息安全问题突出“全国人大常委会关于加强网络信息保护的决定”要求网络服务提供者为用户办理网站接入服务，固定电话、移动电话等入网手续，或者提供信息发布服务时，要求用户提供真实身份信息。网络服务提供者和其他企业事业单位应采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。一方面，相关法规要求大量网络服务提供者依法基于用户真实身份信息提供服务；另一方面，用户数据泄露事件以及用户个人信息被非法获取和利用的事件频频发生。制定身份及个人信息安全管理办法；加强网络服务提供商的信息安全保护技术措施制定网络身份服务顶层设计，研究建立信任框架，鼓励商业化的网络身份服务长远短期建立安全可信的网络身份服务体系，任重道远！个人信息安全保护形势不容乐观，对网络身份以及个人信息的安全管理和保护技术措施已经成为当前信息安全领域一个巨大的挑战！二、2012年网络与信息安全热点分析借鉴国内外的先进经验，依据相关法律法规，充分考虑我国网络空间身份信息管理和服务的需求，开展网络空间身份管理的战略和实施路线研究，鼓励产业积极探索适合我国实际情况的身份服务技术路线，构建运营和监管体系，充分强调网络身份认证与个人信息保护并重，促进公共服务及民生服务的发展。

（二）网络身份服务体系势在必行，技术路径渐成工作重心

10/15/2023

二、2012年网络与信息安全热点分析（三）用户信息安全受到严峻挑战，保护体系构建任重道远2012年8月9日，谷歌因涉嫌在Safari浏览器用户的计算机上安装了一种追踪广告的信息记录程序，被美国联邦贸易委员会处以2250万美元的罚款2012年8月，微软“人脉（people）”被曝诱使用户许可“人脉（people）”应用对该用户拥有的各类好友信息进行智能化整合。2012年2月17日，twitter和苹果卷入一场侵犯用户隐私风波。twitter承认在用户不知情下，将用户智能手机内的电话簿资料悉数复制，储存到twitter服务器；苹果虽在应用程序开发者开发指南中，明确指明未经用户同意不得获取用户个人信息，但实际却容许twitter及其他社交网应用程序擅自调取iPhone用户的电话号码簿。国际上，各大互联网企业凭借其技术优势，日益具备较强的个人信息收集、挖掘、分析和开发、利用能力。部分互联网企业在收集、使用用户个人信息的过程中，存在一定程度上的不合规现象。

二、2012年网络与信息安全热点分析（三）用户信息安全受到严峻挑战，保护体系构建任重道远事件回顾：2011年底，CSDN640万邮箱账号和明文密码在网上被披露；之后，国内出现互联网史上最大个人信息泄漏事件，天涯、人人、当当、凡客、卓越、开心等网站约1亿个账户密码遭泄漏。至2012年1月初，传言甚至称个人信息泄露从互联网行业蔓延至金融领域，工商、民生、交通等多家银行的用户个人信息已遭泄露。案件告破：2012年3月，CSDN用户遭泄密案告破。警方已抓获曾某等5名“黑客”，曾某承认于2010年4月利用CSDN网站漏洞，非法侵入服务器并获取用户数据。事件处理：2011年12月28日工信部发布通告，对各互联网站提出个人信息安全保护要求；2012年3月20日，北京警方对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄露事件做出行政警告处罚，这是国内自落实信息安全等级保护制度以来开出的第一张“罚单”。国内存在大量非授权收集、使用、转卖用户个人信息的情况。2012年，CSDN拖撞数据库事件形成的放大效应依然蔓延。我国的特征：基于刑法打击的单线保护机制比较发达，个人信息保护的民事和行政救济途径相对不足。

二、2012年网络与信息安全热点分析（三）用户信息安全受到严峻挑战，保护体系构建任重道远我国相关政府管理部门采取的行动

二、2012年网络与信息安全热点分析（三）用户信息安全受到严峻挑战，保护体系构建任重道远我国目前尚存在的问题需要在个人信息保护多个政府事务部门之间建立相应的综合协调机制。据不完全统计，截至目前，工信部、公安部、国家保密局、国家密码管理局、卫生部、食品药品监督管理局、银监会、证监会、铁道部等多个部门所颁行的多个规章文件中，均涉及个人信息保护的内容。二、2012年网络与信息安全热点分析（三）用户信息安全受到严峻挑战，保护体系构建任重道远个人信息保护是互联网国际治理运动的核心主线2012年1月3日，美国国土安全部发布《爱因斯坦隐私保护审查报告》，对国家网络安全处部署“爱因斯坦2”、“爱因斯坦3”过程中遵守现行隐私保护政策的情况进行了全面评估，指出国家网络安全尽管尽了最大努力，但是依然需要充分遵守现行隐私保护全部政策，并提出继续改进和完善的物象措施建议。2012年5月，世界经济论坛发表《重新审视个人数据：加强信任构建》，指出在个人、机构和政府这三者之间，有关个人数据的对话目前停留在恐惧、不确定和怀疑的气氛当中，因此，确需建立一个可向利益相关方提供实时测试、了解个人数据保护状况的大规模技术验证环境。2012年2月23日，美国白宫发布了《用户隐私权利宪章（theConsumerPrivacyBillofRights）