CATR-ICT深度觀察（2013）

——網(wǎng)絡(luò)與信息安全領(lǐng)域工業(yè)和信息化部電信研究院主要內(nèi)容一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析三、2013年網(wǎng)絡(luò)與信息安全展望一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)國(guó)際形勢(shì)世界各國(guó)積極部署網(wǎng)絡(luò)與信息安全戰(zhàn)略并逐步實(shí)施，網(wǎng)絡(luò)空間與陸海空天并列，網(wǎng)絡(luò)空間安全能影響和保障國(guó)土安全、產(chǎn)業(yè)安全和公共安全。國(guó)內(nèi)形勢(shì)我國(guó)網(wǎng)絡(luò)與信息安全形勢(shì)總體平穩(wěn)：網(wǎng)絡(luò)安全防護(hù)保障體系逐年完善，基礎(chǔ)電信企業(yè)和增值電信企業(yè)網(wǎng)絡(luò)安全能力顯著提升。我國(guó)逐步按照國(guó)際規(guī)則處理網(wǎng)絡(luò)與信息安全問(wèn)題，并積極調(diào)整與轉(zhuǎn)變信息安全管理工作思路，逐步公開(kāi)信息內(nèi)容安全監(jiān)管標(biāo)準(zhǔn)，使之更加國(guó)際化和公開(kāi)化。一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)（一）安全保障已滲透至國(guó)家發(fā)展的眾多領(lǐng)域（二）網(wǎng)絡(luò)信息安全監(jiān)管趨向國(guó)際化和公開(kāi)化（三）新技術(shù)和新業(yè)務(wù)安全管理取得顯著進(jìn)展（四）網(wǎng)絡(luò)安全防護(hù)能力提升但仍有安全隱患一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)（一）安全保障已滲透至國(guó)家發(fā)展的各個(gè)領(lǐng)域各國(guó)積極推進(jìn)加強(qiáng)網(wǎng)絡(luò)與信息安全戰(zhàn)略部署。實(shí)驗(yàn)科研階段1969-1994社會(huì)化應(yīng)用啟動(dòng)階段1994-2001社會(huì)化應(yīng)用發(fā)展階段2001-20081998.52000.12002.72003.2第一階段：保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施國(guó)際網(wǎng)絡(luò)與信息安全演進(jìn)趨勢(shì)《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)政策(PDD63)》《關(guān)于保護(hù)信息系統(tǒng)的國(guó)家計(jì)劃》《布什政府：國(guó)土安全國(guó)家戰(zhàn)略規(guī)劃》《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略》《國(guó)家網(wǎng)絡(luò)安全綜合綱領(lǐng)（CNCI）》《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》2008.12011.5第二階段：“9·11”之后，網(wǎng)絡(luò)空間正式被賦予國(guó)家戰(zhàn)略意義，關(guān)鍵信息基礎(chǔ)設(shè)施上升為網(wǎng)絡(luò)空間安全保護(hù)第三階段：戰(zhàn)略由深度防御過(guò)渡為綜合行動(dòng)。網(wǎng)絡(luò)威懾、網(wǎng)絡(luò)行動(dòng)配合軍事威懾、軍事行動(dòng)，構(gòu)成了新軍事戰(zhàn)略的核心內(nèi)容。第四階段：戰(zhàn)略重心開(kāi)始由國(guó)內(nèi)正式轉(zhuǎn)向國(guó)外。2012戰(zhàn)略實(shí)施第五階段：戰(zhàn)略部署告一段落，進(jìn)入實(shí)施階段。網(wǎng)絡(luò)空間身份生態(tài)系統(tǒng)建設(shè)統(tǒng)一的數(shù)字證書市場(chǎng)。計(jì)劃用10年左右時(shí)間，構(gòu)建網(wǎng)絡(luò)身份生態(tài)體系。用戶個(gè)人信息保護(hù)互聯(lián)網(wǎng)公司非法獲取用戶個(gè)人信息。用戶個(gè)人信息保護(hù)勢(shì)在必行。戰(zhàn)略部署實(shí)施電腦病毒“火焰”在中東廣泛傳播，惡意截取分析用戶隱私信息。以色列國(guó)防軍和哈馬斯利用twitter發(fā)布實(shí)時(shí)戰(zhàn)況消息。保護(hù)軍事信息安全成為網(wǎng)絡(luò)與信息安全熱點(diǎn)。美國(guó)國(guó)會(huì)指證中國(guó)華為與中興公司的通信產(chǎn)品存在后門等安全隱患，威脅美國(guó)網(wǎng)絡(luò)安全。此舉旨在保護(hù)美國(guó)企業(yè)經(jīng)濟(jì)利益，推動(dòng)本土通信產(chǎn)業(yè)健康發(fā)展。合法監(jiān)聽(tīng)已成為美國(guó)等國(guó)家加強(qiáng)國(guó)土安全管理的重要措施。英國(guó)政府公布了《通訊法案》草案，要求ISP必須保留英國(guó)人民網(wǎng)上活動(dòng)細(xì)節(jié)1年，備警方和情報(bào)機(jī)構(gòu)查詢。一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)2/3/2023（一）安全保障已滲透至國(guó)家發(fā)展的各個(gè)領(lǐng)域網(wǎng)絡(luò)空間安全能影響和保障國(guó)土安全、產(chǎn)業(yè)安全和公共安全網(wǎng)絡(luò)與信息安全已成為打擊境外恐怖組織惡性行為、保證境內(nèi)治安穩(wěn)定的重要武器網(wǎng)絡(luò)與信息安全已成為一種可推動(dòng)本土貿(mào)易自由發(fā)展、促進(jìn)相關(guān)產(chǎn)業(yè)國(guó)際拓展的重要武器網(wǎng)絡(luò)與信息安全應(yīng)成為保障國(guó)家重要信息及個(gè)人隱私信息不被非法利用的重要武器國(guó)土安全產(chǎn)業(yè)安全公共安全溝通了解問(wèn)題認(rèn)真解釋通知發(fā)布美日施壓相互諒解進(jìn)入通報(bào)（二）網(wǎng)絡(luò)信息安全監(jiān)管趨向國(guó)際化和公開(kāi)化一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)發(fā)布通報(bào)《增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求》——2005提出并明確了用戶信息保護(hù)和業(yè)務(wù)信息管理、技術(shù)保障的基本要求。“IDC/ISP信息安全系統(tǒng)”系列標(biāo)準(zhǔn)

——2012同步強(qiáng)化運(yùn)營(yíng)企業(yè)配套建設(shè)與應(yīng)用相關(guān)管理系統(tǒng)的要求。安全防護(hù)系列標(biāo)準(zhǔn)——2008提出基礎(chǔ)運(yùn)營(yíng)企業(yè)、增值運(yùn)營(yíng)企業(yè)各類網(wǎng)絡(luò)單元安全基本要求。發(fā)布《加強(qiáng)移動(dòng)智能終端安全管理的通知》有助于在提升我國(guó)智能終端信息安全整體技術(shù)水平。按照國(guó)際規(guī)則處理信息安全問(wèn)題，更加國(guó)際化；調(diào)整與轉(zhuǎn)變信息安全管理工作思路，首次公開(kāi)信息內(nèi)容安全監(jiān)管相關(guān)標(biāo)準(zhǔn)，更加公開(kāi)化一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)（三）新技術(shù)新業(yè)務(wù)安全管理取得顯著進(jìn)展2012年上半年，工信部出臺(tái)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估相關(guān)的管理辦法，有利于主動(dòng)加強(qiáng)各類互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全社交網(wǎng)絡(luò)云計(jì)算2012年4月，工信部啟動(dòng)云計(jì)算公共服務(wù)網(wǎng)絡(luò)安全試點(diǎn)，成立試點(diǎn)工作小組和專家組，深入分析云計(jì)算公共服務(wù)安全挑戰(zhàn)，探索云計(jì)算安全保障體系建設(shè)需求，促進(jìn)健康發(fā)展。部分城市（如北京）率先出臺(tái)微博客發(fā)展管理規(guī)定，要求“后臺(tái)實(shí)名，前臺(tái)自愿”2012年3月，部分微博開(kāi)始實(shí)行實(shí)名制，此后必須實(shí)名注冊(cè)微博才能發(fā)言、轉(zhuǎn)發(fā)、瀏覽。2012年下半年，啟動(dòng)修訂安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，保障IPv6網(wǎng)絡(luò)安全發(fā)展下一代互聯(lián)網(wǎng)移動(dòng)互聯(lián)網(wǎng)和智能終端終端、網(wǎng)絡(luò)、應(yīng)用相關(guān)安全標(biāo)準(zhǔn)不斷出臺(tái)應(yīng)用軟件安全評(píng)測(cè)技術(shù)方法、工具平臺(tái)等不斷完善CATR對(duì)國(guó)內(nèi)主流應(yīng)用商店評(píng)測(cè)，測(cè)試應(yīng)用軟件總數(shù)11.5萬(wàn)個(gè)，不通過(guò)率19.2%按照不通過(guò)原因數(shù)量從多到少排列測(cè)試結(jié)果已完成2000多款智能終端的評(píng)測(cè)，涵蓋100多種品牌的終端；其中2012年已完成Android終端1482款，WP7終端12款，iOS終端2款，黑莓終端4款；發(fā)現(xiàn)90%終端操作系統(tǒng)存在缺乏后臺(tái)操作授權(quán)和提示，數(shù)款預(yù)置應(yīng)用存在后臺(tái)消費(fèi)流量問(wèn)題操作系統(tǒng)安全（28項(xiàng)）外圍接口安全（11項(xiàng)）預(yù)置應(yīng)用安全（9項(xiàng)）用戶數(shù)據(jù)安全（9項(xiàng)）功能限制性要求（3項(xiàng)）智能終端進(jìn)網(wǎng)安全測(cè)試項(xiàng)目一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)逐年完善網(wǎng)絡(luò)與信息安全保障體系，基礎(chǔ)電信企業(yè)和增值電信企業(yè)網(wǎng)絡(luò)與信息安全能力顯著提升，安全漏洞顯著減少。但是仍然存在一定的網(wǎng)絡(luò)與信息安全隱患（四）我國(guó)網(wǎng)絡(luò)安全防護(hù)能力顯著提升，但仍存在一定安全隱患云計(jì)算安全試點(diǎn)發(fā)現(xiàn)的突出安全問(wèn)題部分業(yè)務(wù)系統(tǒng)可從互聯(lián)網(wǎng)入侵和控制，用戶信息泄露等安全隱患不容忽視遠(yuǎn)程控制可篡改網(wǎng)頁(yè)、中斷業(yè)務(wù)系統(tǒng)以系統(tǒng)為跳板傳播網(wǎng)頁(yè)病毒、掛馬、發(fā)動(dòng)拒絕服務(wù)攻擊可獲取系統(tǒng)保存的用戶信息：網(wǎng)站賬戶密碼、用戶身份信息（身份證號(hào)碼、手機(jī)號(hào)、住址、郵箱）、金融信息（交易記錄、銀行卡信息）傳統(tǒng)安全問(wèn)題：占安全問(wèn)題大多數(shù)，如木馬、病毒等，弱口令、數(shù)據(jù)誤操作等傳統(tǒng)問(wèn)題新表現(xiàn)：有一些傳統(tǒng)問(wèn)題如DDoS攻擊在云計(jì)算環(huán)境中表現(xiàn)出新的特點(diǎn)，即有可能云主機(jī)被惡意用于對(duì)外發(fā)起DDoS特有的安全問(wèn)題：少數(shù)VM過(guò)度惡意占用資源、虛擬主機(jī)逃逸等網(wǎng)秦統(tǒng)計(jì)：

2012年上半年，共截獲17676款惡意軟件，中國(guó)大陸感染比例為25.7%，列世界第一2012年三季度，共查殺到手機(jī)惡意軟件23375款，環(huán)比增長(zhǎng)92.7%，查殺款數(shù)超過(guò)2012年上半年總和我國(guó)是智能終端惡意軟件感染重災(zāi)區(qū)綠盟科技2012年上半年安全威脅態(tài)勢(shì)報(bào)告（漏洞變化趨勢(shì)）：新增漏洞數(shù)量呈逐年上升趨勢(shì)新增的高風(fēng)險(xiǎn)漏洞逐漸減少，而低風(fēng)險(xiǎn)漏洞則明顯增加“獲取用戶權(quán)限”、“拒絕服務(wù)攻擊”及“信息泄露”類漏洞占多數(shù)IPv6漏洞不容忽視，半數(shù)以上可用于DDoS安全漏洞變化趨勢(shì)值得關(guān)注IPv6漏洞數(shù)量分布綠盟統(tǒng)計(jì)：已收錄的IPv6漏洞124個(gè)主要內(nèi)容

一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)

二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析三、2013年網(wǎng)絡(luò)與信息安全展望二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析（一）持續(xù)滲透攻擊威脅不斷升級(jí)，防護(hù)手段成為當(dāng)前困擾（二）網(wǎng)絡(luò)身份服務(wù)體系勢(shì)在必行，技術(shù)路徑漸成工作重心（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護(hù)體系構(gòu)建任重道遠(yuǎn)（四）云計(jì)算的發(fā)展關(guān)注安全問(wèn)題，安全風(fēng)險(xiǎn)亟待澄清應(yīng)對(duì)二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析2/3/2023政治目的商業(yè)目的通過(guò)USB存儲(chǔ)器及網(wǎng)絡(luò)復(fù)制傳播，并能接受來(lái)自世界各地服務(wù)器指令。針對(duì)伊朗石油部門的商業(yè)情報(bào)。2012.05火焰病毒全方位地結(jié)合多種攻擊方法和工具持續(xù)不斷發(fā)現(xiàn)目標(biāo)并確定攻擊方法由組織者進(jìn)行協(xié)調(diào)和指揮網(wǎng)絡(luò)攻擊持續(xù)滲透攻擊：針對(duì)特定組織所做的，復(fù)雜且多方位的網(wǎng)絡(luò)攻擊。特點(diǎn)（一）持續(xù)滲透攻擊威脅不斷升級(jí)，防護(hù)手段成為當(dāng)前困擾攻擊伊朗布什爾核電站，通過(guò)操控控制系統(tǒng)，導(dǎo)致多臺(tái)設(shè)備失控、直至報(bào)廢，并使布什爾核電站推遲發(fā)電。針對(duì)伊朗工業(yè)控制系統(tǒng)數(shù)據(jù)。2010.06震網(wǎng)病毒政府組織的持續(xù)滲透攻擊將長(zhǎng)期存在并且更具隱蔽，危害更大。發(fā)展趨勢(shì)攻擊者使用了十幾種惡意代碼和多層次的加密，深深地挖掘進(jìn)了公司網(wǎng)絡(luò)內(nèi)部，盜取電腦資料，并巧妙掩蓋自己的活動(dòng)。2010.01谷歌被黑商業(yè)持續(xù)滲透攻擊復(fù)雜度和隱蔽性會(huì)繼續(xù)增加，危害也會(huì)更大。發(fā)展趨勢(shì)二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析2/3/2023（一）持續(xù)滲透攻擊威脅不斷升級(jí)，防護(hù)手段成為當(dāng)前困擾持續(xù)滲透攻擊不是一種新攻擊手法，也不是可以僅憑阻止或破壞一次攻擊就能讓問(wèn)題消失的。APT更像是一種網(wǎng)絡(luò)攻擊活動(dòng)，而不是單一類型的威脅，可將其看作是不停息的攻擊活動(dòng)。持續(xù)滲透攻擊從情報(bào)的搜集開(kāi)始，這一工作可能會(huì)持續(xù)一段時(shí)間，其中包含了針對(duì)技術(shù)和人員情報(bào)的搜集。二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析2/3/2023（一）持續(xù)滲透攻擊威脅不斷升級(jí)，防護(hù)手段成為當(dāng)前困擾建立縱深安全防御體系，發(fā)展自主產(chǎn)業(yè)研發(fā)實(shí)力建立完善縱深的安全防御與監(jiān)控體系：對(duì)于可控的部分，完善安全能力和加強(qiáng)安全驗(yàn)證；對(duì)于不可能的部分，進(jìn)行供應(yīng)鏈安全保證，提高未知危害的感知能力。完善信息系統(tǒng)安全規(guī)范，提高滲透攻擊檢測(cè)水平加強(qiáng)信息系統(tǒng)的安全檢測(cè)理論和檢測(cè)技術(shù)，并形成相應(yīng)信息系統(tǒng)安全規(guī)范。采用漏洞挖掘手段發(fā)現(xiàn)信息系統(tǒng)漏洞，保證其系統(tǒng)安全漏洞不被利用進(jìn)行滲透攻擊。制定信息系統(tǒng)安全手冊(cè)，加強(qiáng)安全防范宣傳教育學(xué)習(xí)借鑒國(guó)際先進(jìn)技術(shù)和管理經(jīng)驗(yàn)，結(jié)合我國(guó)信息系統(tǒng)實(shí)際情況，制定制定信息系統(tǒng)的安全手冊(cè)。加強(qiáng)防治持續(xù)滲透攻擊的宣傳教育，提升安全意識(shí)。二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析（二）網(wǎng)絡(luò)身份服務(wù)體系勢(shì)在必行，技術(shù)路徑漸成工作重心

網(wǎng)絡(luò)身份管理的形態(tài)大體可以區(qū)分為“非集中式管理模式”和“集中式管理模式”。用戶可以根據(jù)不同的在線服務(wù)類型選擇不同的認(rèn)證手段以及身份信任框架。非集中式管理模式分散管理模式典型代表：韓國(guó)網(wǎng)站用戶個(gè)人身份證號(hào)碼、身份密碼i-PIN等信息保存在各網(wǎng)站中，但是信息泄漏問(wèn)題嚴(yán)重2012年8月，韓國(guó)憲法法院正式宣布廢除該網(wǎng)絡(luò)實(shí)名制法案，韓國(guó)的網(wǎng)絡(luò)實(shí)名制宣告失敗。開(kāi)放信任框架模式典型代表：美國(guó)基于信任框架的開(kāi)放式網(wǎng)絡(luò)身份管理：由OIX牽頭提出各類開(kāi)放信任框架（如政府應(yīng)用、電信運(yùn)營(yíng)商應(yīng)用等），以O(shè)penID、Oauth等開(kāi)放信任架構(gòu)技術(shù)為代表，Google、Yahoo、PalPay等企業(yè)積極商業(yè)應(yīng)用；CloudID、WebID成為新的研究熱點(diǎn)和方向集中式管理模式歐盟強(qiáng)調(diào)建立一個(gè)統(tǒng)一的數(shù)字證書(digitalcredential)市場(chǎng)，實(shí)現(xiàn)數(shù)字時(shí)代商業(yè)及文化信息與服務(wù)在歐盟各國(guó)國(guó)內(nèi)及跨境的自由流動(dòng)。預(yù)計(jì)在未來(lái)幾年里，歐盟5億人口中將近有一半的公民將持有一張電子身份證（eID）。美國(guó)推進(jìn)的開(kāi)放信任框架允許企業(yè)提供商業(yè)化的身份服務(wù)，獲得了企業(yè)的支持，推進(jìn)迅速。美國(guó)的企業(yè)界在網(wǎng)絡(luò)身份管理技術(shù)以及資格認(rèn)證等方面技術(shù)儲(chǔ)備比較領(lǐng)先，值得學(xué)習(xí)借鑒。該模式充分考慮了個(gè)人信息及隱私保護(hù)問(wèn)題，對(duì)網(wǎng)絡(luò)空間可信身份體系通過(guò)試點(diǎn)示范的方式穩(wěn)步推進(jìn)。問(wèn)題：歐盟eID主要用于電子政務(wù)、電子醫(yī)療、電子商務(wù)等領(lǐng)域，應(yīng)用范圍有一定局限二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析（二）網(wǎng)絡(luò)身份服務(wù)體系勢(shì)在必行，技術(shù)路徑漸成工作重心

利用移動(dòng)互聯(lián)網(wǎng)收集用戶信息安全問(wèn)題突出“全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定”要求網(wǎng)絡(luò)服務(wù)提供者為用戶辦理網(wǎng)站接入服務(wù)，固定電話、移動(dòng)電話等入網(wǎng)手續(xù)，或者提供信息發(fā)布服務(wù)時(shí)，要求用戶提供真實(shí)身份信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位應(yīng)采取技術(shù)措施和其他必要措施，確保信息安全，防止在業(yè)務(wù)活動(dòng)中收集的公民個(gè)人電子信息泄露、毀損、丟失。一方面，相關(guān)法規(guī)要求大量網(wǎng)絡(luò)服務(wù)提供者依法基于用戶真實(shí)身份信息提供服務(wù)；另一方面，用戶數(shù)據(jù)泄露事件以及用戶個(gè)人信息被非法獲取和利用的事件頻頻發(fā)生。制定身份及個(gè)人信息安全管理辦法；加強(qiáng)網(wǎng)絡(luò)服務(wù)提供商的信息安全保護(hù)技術(shù)措施制定網(wǎng)絡(luò)身份服務(wù)頂層設(shè)計(jì)，研究建立信任框架，鼓勵(lì)商業(yè)化的網(wǎng)絡(luò)身份服務(wù)長(zhǎng)遠(yuǎn)短期建立安全可信的網(wǎng)絡(luò)身份服務(wù)體系，任重道遠(yuǎn)！個(gè)人信息安全保護(hù)形勢(shì)不容樂(lè)觀，對(duì)網(wǎng)絡(luò)身份以及個(gè)人信息的安全管理和保護(hù)技術(shù)措施已經(jīng)成為當(dāng)前信息安全領(lǐng)域一個(gè)巨大的挑戰(zhàn)！二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析1、盡快研究和制定我國(guó)的網(wǎng)絡(luò)空間可信身份戰(zhàn)略2、試點(diǎn)先行，慎重選擇技術(shù)路線，積極探索認(rèn)證和監(jiān)管體系3、組織協(xié)調(diào)產(chǎn)業(yè)、市場(chǎng)和技術(shù)力量，積極參與國(guó)際標(biāo)準(zhǔn)制定4、引導(dǎo)國(guó)內(nèi)產(chǎn)業(yè)共同建設(shè)，形成我國(guó)的身份管理運(yùn)營(yíng)體系2/3/2023借鑒國(guó)內(nèi)外的先進(jìn)經(jīng)驗(yàn)，依據(jù)相關(guān)法律法規(guī)，充分考慮我國(guó)網(wǎng)絡(luò)空間身份信息管理和服務(wù)的需求，開(kāi)展網(wǎng)絡(luò)空間身份管理的戰(zhàn)略和實(shí)施路線研究，鼓勵(lì)產(chǎn)業(yè)積極探索適合我國(guó)實(shí)際情況的身份服務(wù)技術(shù)路線，構(gòu)建運(yùn)營(yíng)和監(jiān)管體系，充分強(qiáng)調(diào)網(wǎng)絡(luò)身份認(rèn)證與個(gè)人信息保護(hù)并重，促進(jìn)公共服務(wù)及民生服務(wù)的發(fā)展。

（二）網(wǎng)絡(luò)身份服務(wù)體系勢(shì)在必行，技術(shù)路徑漸成工作重心

二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護(hù)體系構(gòu)建任重道遠(yuǎn)2012年8月9日，谷歌因涉嫌在Safari瀏覽器用戶的計(jì)算機(jī)上安裝了一種追蹤廣告的信息記錄程序，被美國(guó)聯(lián)邦貿(mào)易委員會(huì)處以2250萬(wàn)美元的罰款2012年8月，微軟“人脈（people）”被曝誘使用戶許可“人脈（people）”應(yīng)用對(duì)該用戶擁有的各類好友信息進(jìn)行智能化整合。2012年2月17日，twitter和蘋果卷入一場(chǎng)侵犯用戶隱私風(fēng)波。twitter承認(rèn)在用戶不知情下，將用戶智能手機(jī)內(nèi)的電話簿資料悉數(shù)復(fù)制，儲(chǔ)存到twitter服務(wù)器；蘋果雖在應(yīng)用程序開(kāi)發(fā)者開(kāi)發(fā)指南中，明確指明未經(jīng)用戶同意不得獲取用戶個(gè)人信息，但實(shí)際卻容許twitter及其他社交網(wǎng)應(yīng)用程序擅自調(diào)取iPhone用戶的電話號(hào)碼簿。國(guó)際上，各大互聯(lián)網(wǎng)企業(yè)憑借其技術(shù)優(yōu)勢(shì)，日益具備較強(qiáng)的個(gè)人信息收集、挖掘、分析和開(kāi)發(fā)、利用能力。部分互聯(lián)網(wǎng)企業(yè)在收集、使用用戶個(gè)人信息的過(guò)程中，存在一定程度上的不合規(guī)現(xiàn)象。

二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護(hù)體系構(gòu)建任重道遠(yuǎn)事件回顧：2011年底，CSDN640萬(wàn)郵箱賬號(hào)和明文密碼在網(wǎng)上被披露；之后，國(guó)內(nèi)出現(xiàn)互聯(lián)網(wǎng)史上最大個(gè)人信息泄漏事件，天涯、人人、當(dāng)當(dāng)、凡客、卓越、開(kāi)心等網(wǎng)站約1億個(gè)賬戶密碼遭泄漏。至2012年1月初，傳言甚至稱個(gè)人信息泄露從互聯(lián)網(wǎng)行業(yè)蔓延至金融領(lǐng)域，工商、民生、交通等多家銀行的用戶個(gè)人信息已遭泄露。案件告破：2012年3月，CSDN用戶遭泄密案告破。警方已抓獲曾某等5名“黑客”，曾某承認(rèn)于2010年4月利用CSDN網(wǎng)站漏洞，非法侵入服務(wù)器并獲取用戶數(shù)據(jù)。事件處理：2011年12月28日工信部發(fā)布通告，對(duì)各互聯(lián)網(wǎng)站提出個(gè)人信息安全保護(hù)要求；2012年3月20日，北京警方對(duì)CSDN網(wǎng)站未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度造成用戶信息泄露事件做出行政警告處罰，這是國(guó)內(nèi)自落實(shí)信息安全等級(jí)保護(hù)制度以來(lái)開(kāi)出的第一張“罰單”。國(guó)內(nèi)存在大量非授權(quán)收集、使用、轉(zhuǎn)賣用戶個(gè)人信息的情況。2012年，CSDN拖撞數(shù)據(jù)庫(kù)事件形成的放大效應(yīng)依然蔓延。我國(guó)的特征：基于刑法打擊的單線保護(hù)機(jī)制比較發(fā)達(dá)，個(gè)人信息保護(hù)的民事和行政救濟(jì)途徑相對(duì)不足。

二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護(hù)體系構(gòu)建任重道遠(yuǎn)不斷通過(guò)立法對(duì)個(gè)人信息保護(hù)進(jìn)行搭載式處理和規(guī)范2011年12月29日，工信部發(fā)布《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場(chǎng)秩序若干規(guī)定》，設(shè)專條對(duì)互聯(lián)網(wǎng)信息服務(wù)提供者收集、轉(zhuǎn)讓、使用、保管、安全防護(hù)個(gè)人信息等內(nèi)容進(jìn)行了規(guī)定；2012年6月5日，工信部發(fā)布《關(guān)于加強(qiáng)移動(dòng)智能終端進(jìn)網(wǎng)管理的通知》，明確規(guī)定智能終端生產(chǎn)企業(yè)不得預(yù)裝擅自收集、修改用戶個(gè)人信息的軟件；2012年6月7日，國(guó)務(wù)院法制辦、國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《互聯(lián)網(wǎng)信息服務(wù)管理辦法（修訂草案征求意見(jiàn)稿）》，設(shè)專條規(guī)定了信息義務(wù)主體對(duì)于個(gè)人信息的保密義務(wù)。2012年12月28日下午，全國(guó)人大通過(guò)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，專設(shè)5條規(guī)定個(gè)人信息保護(hù)問(wèn)題。這是我國(guó)歷史上第一次以最高層級(jí)國(guó)家立法形式對(duì)個(gè)人信息保護(hù)進(jìn)行的立法判定，不斷通過(guò)標(biāo)準(zhǔn)化運(yùn)動(dòng)試圖使個(gè)人信息保護(hù)達(dá)到與國(guó)際接軌2012年4月26日，工信部宣布《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已編制完成，正按照國(guó)家標(biāo)準(zhǔn)審批程序上報(bào)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)。我國(guó)相關(guān)政府管理部門采取的行動(dòng)

二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護(hù)體系構(gòu)建任重道遠(yuǎn)我國(guó)目前尚存在的問(wèn)題需要在個(gè)人信息保護(hù)多個(gè)政府事務(wù)部門之間建立相應(yīng)的綜合協(xié)調(diào)機(jī)制。據(jù)不完全統(tǒng)計(jì)，截至目前，工信部、公安部、國(guó)家保密局、國(guó)家密碼管理局、衛(wèi)生部、食品藥品監(jiān)督管理局、銀監(jiān)會(huì)、證監(jiān)會(huì)、鐵道部等多個(gè)部門所頒行的多個(gè)規(guī)章文件中，均涉及個(gè)人信息保護(hù)的內(nèi)容。二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護(hù)體系構(gòu)建任重道遠(yuǎn)個(gè)人信息保護(hù)是互聯(lián)網(wǎng)國(guó)際治理運(yùn)動(dòng)的核心主線2012年1月3日，美國(guó)國(guó)土安全部發(fā)布《愛(ài)因斯坦隱私保護(hù)審查報(bào)告》，對(duì)國(guó)家網(wǎng)絡(luò)安全處部署“愛(ài)因斯坦2”、“愛(ài)因斯坦3”過(guò)程中遵守現(xiàn)行隱私保護(hù)政策的情況進(jìn)行了全面評(píng)估，指出國(guó)家網(wǎng)絡(luò)安全盡管盡了最大努力，但是依然需要充分遵守現(xiàn)行隱私保護(hù)全部政策，并提出繼續(xù)改進(jìn)和完善的物象措施建議。2012年5月，世界經(jīng)濟(jì)論壇發(fā)表《重新審視個(gè)人數(shù)據(jù)：加強(qiáng)信任構(gòu)建》，指出在個(gè)人、機(jī)構(gòu)和政府這三者之間，有關(guān)個(gè)人數(shù)據(jù)的對(duì)話目前停留在恐懼、不確定和懷疑的氣氛當(dāng)中，因此，確需建立一個(gè)可向利益相關(guān)方提供實(shí)時(shí)測(cè)試、了解個(gè)人數(shù)據(jù)保護(hù)狀況的大規(guī)模技術(shù)驗(yàn)證環(huán)境。2012年2月23日，美國(guó)白宮發(fā)布了《用戶隱私權(quán)利憲章（theConsumerPrivacyBillofRights）》，作為非強(qiáng)制指導(dǎo)性政府倡議指南，供互聯(lián)網(wǎng)企業(yè)自愿選擇遵守并將其吸收、完善在自己的企業(yè)隱私政策框架之中。該《隱私權(quán)利憲章》旨在幫助美國(guó)人民更好地控制個(gè)人信息在網(wǎng)上的使用。我國(guó)應(yīng)通過(guò)相關(guān)戰(zhàn)略設(shè)計(jì)，構(gòu)建法律、行政、技術(shù)、行業(yè)和環(huán)境五位一體的個(gè)人信息安全保護(hù)體系。2012年云安全事件2月28日，“閏年bug”致全球大面積服務(wù)中斷超24小時(shí)；7月26日，Azure再次宕機(jī)，導(dǎo)致歐洲服務(wù)中斷2.5小時(shí)。6月15日，數(shù)據(jù)中心停電，AWS中斷約6小時(shí)；10月22日，AWS宕機(jī)，波及Reddit、Pinterest等知名大網(wǎng)站。10月26日，在線存儲(chǔ)公司Dropbox發(fā)生服務(wù)中斷2012年，蘋果的iCloud服務(wù)大大小小已出現(xiàn)17次故障，涉及的服務(wù)包括iMessage、FaceTime、iTunesMatch、郵件和Siri等，發(fā)生用戶資料丟失等后果。7月26日，Googletalk中斷了近5小時(shí)；10月26日，GAE平臺(tái)突然反應(yīng)緩慢且出錯(cuò)，持續(xù)了4個(gè)小時(shí)。8月6日，盛大云主機(jī)發(fā)生磁盤損壞，用戶數(shù)據(jù)丟失。國(guó)內(nèi)外云計(jì)算安全事件屢屢出現(xiàn)（四）云計(jì)算的發(fā)展關(guān)注安全問(wèn)題，安全風(fēng)險(xiǎn)亟待澄清應(yīng)對(duì)Azure2012年，國(guó)內(nèi)外各類云服務(wù)商出現(xiàn)了眾多安全問(wèn)題，嚴(yán)重阻礙了云服務(wù)發(fā)展；國(guó)外云服務(wù)發(fā)展較快，安全問(wèn)題暴露較多；國(guó)內(nèi)云服務(wù)規(guī)模較小，安全事件鮮有報(bào)道；目前，云安全問(wèn)題主要集中在傳統(tǒng)范圍內(nèi)。諸如斷電、軟硬件BUG等引起的服務(wù)中斷，也存在由于黑客攻擊導(dǎo)致的用戶數(shù)據(jù)丟失或泄露；云安全事件頻發(fā)，嚴(yán)重打擊用戶本已脆弱的信心；面對(duì)云服務(wù)，企業(yè)的首席信息官們?nèi)缏谋”６?012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析云計(jì)算面臨六大安全風(fēng)險(xiǎn)共享環(huán)境下用戶數(shù)據(jù)的丟失或泄露虛擬化引發(fā)的新安全風(fēng)險(xiǎn)云計(jì)算應(yīng)用程序及接口安全云終端引入的各種安全風(fēng)險(xiǎn)不良信息處理和數(shù)據(jù)跨境流動(dòng)問(wèn)題云服務(wù)業(yè)務(wù)不可持續(xù)問(wèn)題(1)共享資源池使得相鄰租戶或黑客更有機(jī)可乘，虛擬化帶來(lái)跨虛擬機(jī)和存儲(chǔ)資源的惡意攻擊和竊取；(2)云計(jì)算的動(dòng)態(tài)伸縮和遷移導(dǎo)致數(shù)據(jù)存儲(chǔ)和處理位置的不可控，甚至可能跨境流動(dòng)，同時(shí)，使得對(duì)不良信息的溯源也更加困難；(3)云計(jì)算時(shí)代海量數(shù)據(jù)對(duì)云服務(wù)可用性以及內(nèi)容過(guò)濾都提出了巨大挑戰(zhàn)；(4)云計(jì)算的服務(wù)模式是服務(wù)商得以優(yōu)先訪問(wèn)的前提，用戶租用服務(wù)商的資源就不得不面臨失去資源和數(shù)據(jù)的控制權(quán)和依賴服務(wù)商來(lái)保障安全的局面。云計(jì)算新的特點(diǎn)和服務(wù)模式是其帶來(lái)威脅的主要根源（四）云計(jì)算的發(fā)展關(guān)注安全問(wèn)題，安全風(fēng)險(xiǎn)亟待澄清應(yīng)對(duì)二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析我國(guó)云計(jì)算安全應(yīng)對(duì)措施（四）云計(jì)算的發(fā)展關(guān)注安全問(wèn)題，安全風(fēng)險(xiǎn)亟待澄清應(yīng)對(duì)大力發(fā)展自主可控的云安全技術(shù)，優(yōu)先采用自主產(chǎn)品，加大資金支持力度，建立高級(jí)別云安全實(shí)驗(yàn)室

堅(jiān)持發(fā)展自主云安全技術(shù)，特別加密技術(shù)、隔離技術(shù)、安全芯片、可信計(jì)算技術(shù)等，以解決數(shù)據(jù)泄露、虛擬機(jī)隔離問(wèn)題。在政府采購(gòu)中優(yōu)先采用自主產(chǎn)品。加大資金投入，建立云安全實(shí)驗(yàn)室，加強(qiáng)云安全研究。建立我國(guó)云計(jì)算安全標(biāo)準(zhǔn)規(guī)范，開(kāi)展云服務(wù)商安全等級(jí)進(jìn)行評(píng)估

制定統(tǒng)一云安全標(biāo)準(zhǔn)有利于用戶服務(wù)遷移，確保用戶業(yè)務(wù)可持續(xù)。優(yōu)先制定云安全基礎(chǔ)標(biāo)準(zhǔn)、個(gè)人隱私保護(hù)、安全等級(jí)評(píng)估等標(biāo)準(zhǔn)。開(kāi)展云服務(wù)商安全等級(jí)認(rèn)證，提升用戶使用云服務(wù)的信心，促進(jìn)云服務(wù)發(fā)展。加快制定云計(jì)算安全監(jiān)管政策和法律法規(guī)，制定符合我國(guó)現(xiàn)狀的云安全指導(dǎo)手冊(cè)

建立云服務(wù)安全準(zhǔn)入、退出及懲處機(jī)制，制定云安全監(jiān)管政策和法律法規(guī)，將云服務(wù)納入現(xiàn)有安全監(jiān)管框架，對(duì)泄露數(shù)據(jù)及隱私、發(fā)布不良信息進(jìn)行懲處，并可先行制定我國(guó)云服務(wù)安全指導(dǎo)手冊(cè)。加強(qiáng)對(duì)云計(jì)算安全的宣傳教育，重視國(guó)際交流與合作

通過(guò)宣傳教育提升用戶安全意識(shí)是減少云終端引入風(fēng)險(xiǎn)的有效辦法。重視國(guó)際交流與合作，重點(diǎn)協(xié)調(diào)解決云數(shù)據(jù)跨境流動(dòng)帶來(lái)的問(wèn)題。主要內(nèi)容

一、2012年網(wǎng)絡(luò)與信息安全總體形勢(shì)二、2012年網(wǎng)絡(luò)與信息安全熱點(diǎn)分析

三、2013年網(wǎng)絡(luò)與信息安全展望三、2013年網(wǎng)絡(luò)與信息安全展望

三網(wǎng)融合新技術(shù)的普及應(yīng)用豐富了日常生活，但同時(shí)也將帶來(lái)新的安全威脅和挑戰(zhàn)。隨著兩化融合的推進(jìn)，公共基礎(chǔ)設(shè)施面臨安全威脅不斷增加，安全防護(hù)有待繼續(xù)加強(qiáng)。伴隨開(kāi)放度增加，我國(guó)網(wǎng)絡(luò)和信息安全領(lǐng)域?qū)⒚媾R安全管控到達(dá)法制化臨界期、國(guó)際貿(mào)易訴訟風(fēng)險(xiǎn)增加等諸多問(wèn)題。隨著虛擬技術(shù)的發(fā)展，數(shù)據(jù)集中、共享、公開(kāi)必然帶來(lái)重大安全風(fēng)險(xiǎn)。大數(shù)據(jù)安全風(fēng)險(xiǎn)規(guī)避和處理有待研究，相關(guān)舉措需要及早研究和部署。針對(duì)跨國(guó)家跨地域的信息傳播管理控制，目前階段難以形成國(guó)際合作共識(shí)，跨境數(shù)據(jù)安全將成信息安全監(jiān)管熱點(diǎn)。三、2013年網(wǎng)絡(luò)與信息安全展望（一）三網(wǎng)融合最新發(fā)展帶來(lái)全新安全挑戰(zhàn)（二）公共基礎(chǔ)設(shè)施安全防護(hù)有待繼續(xù)加強(qiáng)（三）大數(shù)據(jù)時(shí)代的來(lái)臨引發(fā)安全新的挑戰(zhàn)（四）跨境數(shù)據(jù)安全將成信息安全監(jiān)管熱點(diǎn)三、2013年網(wǎng)絡(luò)與信息安全展望（一）三網(wǎng)融合最新發(fā)展帶來(lái)全新安全挑戰(zhàn)三網(wǎng)融合新發(fā)展（OTTTV、多屏互動(dòng)）OTTTVPC在線視頻移動(dòng)視頻IPTV數(shù)字電視三網(wǎng)融合現(xiàn)階段典型業(yè)務(wù)傳輸網(wǎng)絡(luò)：互聯(lián)網(wǎng)終端：電視、PC、PAD、手機(jī)傳輸網(wǎng)絡(luò)：電信/廣電專網(wǎng)終端：電視

OTTTV、多屏切換互動(dòng)等三網(wǎng)融合新技術(shù)的普及應(yīng)用，引發(fā)安全風(fēng)險(xiǎn)應(yīng)引起關(guān)注：多屏互動(dòng)場(chǎng)景下，網(wǎng)絡(luò)行為溯源和定位難度加大；基于開(kāi)放操作系統(tǒng)的智能電視大量接入互聯(lián)網(wǎng)，但安全保護(hù)和安全評(píng)測(cè)技術(shù)尚空白，潛在安全威脅應(yīng)予以關(guān)注；基于互聯(lián)網(wǎng)的在線視頻信息安全管理機(jī)制和監(jiān)管能力存在缺陷；如何滿足國(guó)家信息安全監(jiān)管需求亟待研究。安全新挑戰(zhàn)

互聯(lián)網(wǎng)在線視頻播放發(fā)展迅速，大有超過(guò)IPTV和數(shù)字電視成為三網(wǎng)融合最熱點(diǎn)應(yīng)用的趨勢(shì)，使得互聯(lián)網(wǎng)的視聽(tīng)媒體特性更加突出，應(yīng)進(jìn)一步優(yōu)化在開(kāi)放網(wǎng)絡(luò)環(huán)境下在線視頻業(yè)務(wù)的安全管理機(jī)制、積極研發(fā)相應(yīng)的安全技術(shù)支撐手段，使能更好的適應(yīng)視頻新技術(shù)的發(fā)展特性。公共基礎(chǔ)設(shè)施自身安全防護(hù)能力不足地鐵等公共基礎(chǔ)設(shè)施信號(hào)系統(tǒng)采用無(wú)線接入，存在認(rèn)證缺失、信號(hào)干擾等安全問(wèn)題某些重要行業(yè)的數(shù)據(jù)傳輸采用GPRS傳輸，無(wú)加密、認(rèn)證等安全措施，存在數(shù)據(jù)泄密問(wèn)題金融系統(tǒng)成為黑客攻擊的新熱點(diǎn)，并因此造成巨大損失三、2013年網(wǎng)絡(luò)與信息安全展望（二）公共基礎(chǔ)設(shè)施安全防護(hù)有待繼續(xù)加強(qiáng)公共基礎(chǔ)設(shè)施外部安全威脅不斷用戶位置、地理測(cè)繪和基站配置等海量關(guān)鍵信息被搜集和利用部分基礎(chǔ)設(shè)施被敵對(duì)勢(shì)力控制、常態(tài)下用于戰(zhàn)略威懾，非常態(tài)下可使信網(wǎng)設(shè)施癱瘓

有關(guān)部門表示：針對(duì)我國(guó)網(wǎng)絡(luò)攻擊形勢(shì)日趨嚴(yán)峻。據(jù)統(tǒng)計(jì)，今年上半年境外有2.79萬(wàn)個(gè)IP地址對(duì)我境內(nèi)780萬(wàn)臺(tái)計(jì)算機(jī)實(shí)施攻擊，其中，24%來(lái)自美國(guó)，17.2%來(lái)自日本，11.4%來(lái)自韓國(guó)公共基礎(chǔ)設(shè)施防護(hù)能力欠缺原因分析公共基礎(chǔ)設(shè)施安全防護(hù)需求不明，現(xiàn)有信息系統(tǒng)安全防護(hù)體系無(wú)法適用。大部分工業(yè)控制系統(tǒng)由于實(shí)時(shí)性要求，無(wú)法安裝防火墻。由于缺乏可靠性驗(yàn)證，大部分工業(yè)控制系統(tǒng)無(wú)法及時(shí)更新版本我國(guó)公共基礎(chǔ)設(shè)施安全防護(hù)產(chǎn)業(yè)匱乏，無(wú)成熟可靠設(shè)備可用。工業(yè)控制防護(hù)系統(tǒng)核心技術(shù)掌握在國(guó)外企業(yè)手中建立我國(guó)公共基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)綜合分析及評(píng)測(cè)平臺(tái)，梳理我國(guó)公共基礎(chǔ)設(shè)施安全防護(hù)需求，提供相應(yīng)安全風(fēng)險(xiǎn)宏觀指標(biāo)，為制定相應(yīng)標(biāo)準(zhǔn)和法律法規(guī)提供技術(shù)支持推進(jìn)我國(guó)公共基礎(chǔ)設(shè)施安全防護(hù)工作相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)化工作。大力發(fā)展我國(guó)公共基礎(chǔ)設(shè)施安全防護(hù)產(chǎn)業(yè)，通過(guò)資金支持、政策優(yōu)惠等方法扶持相關(guān)企業(yè)需