摘要: 年终岁末,紧张繁忙的一年即将过去,对于中国网络安全行业而言,2017年是极具里程碑意义的一年。这一年,《网络安全法》等一系列法律法规的颁布与实施,让网络安全有法可依、有据可查;这一年,在“互联网+”的时代背景下,网络安全“攻与防”的较量持续升温,网络安全事件频...
年终岁末,紧张繁忙的一年即将过去,对于中国网络安全行业而言,2017年是极具里程碑意义的一年。这一年,《网络安全法》等一系列法律法规的颁布与实施,让网络安全有法可依、有据可查;这一年,在“互联网+”的时代背景下,网络安全“攻与防”的较量持续升温,网络安全事件频频出现,是挑战亦是机遇。
作为网络安全践行者的闪捷信息,也整理了一些2017年国内的网络安全大事记,以供大家回顾和学习。
2017年较大的网络安全事件
01央视曝光个人信息泄露网上贩卖新闻
2017年初,央视曝光了一则关于个人信息泄露网上贩卖的新闻。只要提供一个人的手机号码,就能查到个人私密信息,包括身份户籍、婚姻关联、名下资产、手机通话记录等等,甚至可以通过三网定位实时定位这些手机用户的位置,这不禁掀起了广大市民对个人隐私被泄露的担忧。
02 58同城招聘信息公开售卖
3月底,58同城被爆700元即可采集全国简历信息。由于全国58同城招聘网对求职者简历毫无防护,平台存在多个漏洞,黑客通过采集工具就能轻易获取后台数据,甚至有商家在网上出售700元一套的爬虫软件,可采集全国430多个城市,以及464个职业的简历数据。
03上亿优酷信息数据在暗网售卖
4月,据外媒hackread爆料,一个名为CosmicDark的供应商在暗网售卖优酷的数据库,该数据库包括了100759591条优酷用户账户信息。据悉该数据库在2016年泄露,今年暴露在互联网上,目前并不清楚这个数据库是如何被盗走的。
04 12306官方网站再现安全漏洞
4月21日,记者朋友们发现在12306官方网站订票时发现,当退出个人账号,网站页面竟自动转登他人账号,且与账号相关联的身份证号、联系方式等个人信息均可见,随后记者在该页面点击常用联系人选项时页面再次刷新并显示他人账号及账号涵盖的所有信息。而记者尝试在网站账户页面的个人信息栏等其他选项进行操作,点击进入后均得到不同的个人身份信息。
05勒索病毒WannaCry席卷全球
众所周知,5月29日,新型“蠕虫”式勒索病毒WannaCry爆发,短时间内瞬间席卷全球150多个国家、感染接近23万台计算机设备,导致大量医院、政府系统业务瘫痪,国内多所高校中招。据悉,一旦电脑被这种勒索软件感染后,其中文件会就会被加密锁住。
06 勒索病毒模仿王者荣耀辅助工具袭击手机
今年6月,360手机卫士发现了一款冒充时下热门手游《王者荣耀》辅助工具的手机勒索病毒,该勒索病毒被安装进手机后,会对手机中照片、下载、云盘等目录下的个人文件进行加密,并索要赎金。这种病毒一旦爆发,会威胁几乎所有安卓平台的手机,用户一旦中招,可能丢失所有个人信息。
07 Reaper僵尸网络病毒每天可感染1万台loT设备
据研究机构透露,今年9月份发现的基于IoT的僵尸网络日渐浮出水面,截止10月底为止,这个名为IoT-Reaper的恶意软件已经感染了超过两百万台设备,包括路由器、摄像头等,其中受感染最严重的国家是中国,每天感染超过1万台设备,速度十分惊人。研究机构称,此类型病毒的主要攻击对象为连接到互联网的监控摄像和拍照录影设备,其病毒扩散程度规模宏大,在不知不觉中让计算机被指挥和利用。此类僵尸网络危害极大,在一定程度上传播木马程序到主机,再额外扩散,形成一个大面积僵尸网络群,危害指数非常高。
08 腾讯安全通报一起大范围钓鱼邮件攻击事件
12月,腾讯安全监测到一起大范围的钓鱼邮件攻击事件,52个国家的网站被利用。受攻击的企业、单位对象中,70%来自中国,包括比亚迪、京东、南京大学、江南大学等多家知名企业、单位。据监控数据显示,此类型钓鱼邮件工作日传播量大,峰值能达到将近6万次日传播量。而从11月28日至12月4日的7天时间内,共发现18 万个email用户被钓鱼攻击,平均每日受影响的用户数在3万人左右。
2017年重大网络安全政策法规
01 《网络空间国际合作战略》发布
3月1日,经中央网络安全和信息化领导小组批准,外交部和国家互联网信息办公室共同发布《网络空间国际合作战略》。战略提出,应在和平、主权、共治、普惠四项基本原则基础上推动网络空间国际合作,并强调中国在推动建设网络强国战略部署的同时,将秉持以合作共赢为核心的新型国际关系理念,与国际社会携手共建安全、稳定、繁荣的网络空间。
02 我国首部网络安全法正式实施
作为中国网络领域第一部基础性法律《中国网络安全法》于今年6月1日正式颁布实施,该法最重要的意义在于把网络安全工作以法律形式提高到了国家安全战略的高度,强调对关键信息基础设施及个人信息数据的保护,明确了国家、主管部门、网络所有者、运营者及普通用户各自的责任以及违规后的相关处罚。
03 国家网信办印发《国家网络安全事件应急预案》
6月27日,国家网信办发布了关于印发《国家网络安全事件应急预案》的通知(中网办发文〔2017〕4号)。预案将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。通知明确,网络安全事件应急处置工作实行责任追究制。
04 《关键信息基础设施安全保护条例(征求意见稿)》起草
7月,为保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,国家互联网信息办公室会同相关部门起草了《关键信息基础设施安全保护条例(征求意见稿)》,这是《网络安全法》实施后的又一重要配套落地法规。
05 工信部印发《公共互联网网络安全威胁监测与处置办法》
9月,工信部印发《公共互联网网络安全威胁监测与处置办法》(以下称《办法》)。《办法》要求相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作,明确责任部门、责任人和联系人,加强相关技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。
06 中共中央政治局就实施国家大数据战略进行第二次集体学习
12月,中共中央政治局就实施国家大数据战略进行第二次集体学习。在学习时指出,大数据是信息化发展的新阶段,要推动实施国家大数据战略,加快完善数字基础设施,推进数据资源整合和开放共享,保障数据安全,加快建设数字中国,更好服务我国经济社会发展和人民生活改善。
回顾2017,展望2018,网络安全发展之路任重而道远。作为数据安全领域的领军企业,闪捷信息必将充分发挥自身优势,继续深耕于数据安全,为建设国家网络安全生态奉献一份力量,切实维护好我国的网络安全。
闪捷信息(SecSmart)是一家专注于数据安全防护领域的高新科技企业。创业团队由赛门铁克、华为、中科院、同济大学等资深专业人士而成,公司面向私有云、公有云、混合云,针对数据全生命周期提供综合数据安全防护解决方案,有效保护用户核心数据资产。