CATR-ICT深度觀察（2013）

——網(wǎng)絡(luò)與信息安全領(lǐng)域工業(yè)和信息化部電信研究院主要內(nèi)容一、2012年網(wǎng)絡(luò)與信息安全總體形勢二、2012年網(wǎng)絡(luò)與信息安全熱點分析三、2013年網(wǎng)絡(luò)與信息安全展望一、2012年網(wǎng)絡(luò)與信息安全總體形勢國際形勢世界各國積極部署網(wǎng)絡(luò)與信息安全戰(zhàn)略并逐步實施，網(wǎng)絡(luò)空間與陸?？仗觳⒘?，網(wǎng)絡(luò)空間安全能影響和保障國土安全、產(chǎn)業(yè)安全和公共安全。國內(nèi)形勢我國網(wǎng)絡(luò)與信息安全形勢總體平穩(wěn)：網(wǎng)絡(luò)安全防護保障體系逐年完善，基礎(chǔ)電信企業(yè)和增值電信企業(yè)網(wǎng)絡(luò)安全能力顯著提升。我國逐步按照國際規(guī)則處理網(wǎng)絡(luò)與信息安全問題，并積極調(diào)整與轉(zhuǎn)變信息安全管理工作思路，逐步公開信息內(nèi)容安全監(jiān)管標(biāo)準(zhǔn)，使之更加國際化和公開化。一、2012年網(wǎng)絡(luò)與信息安全總體形勢（一）安全保障已滲透至國家發(fā)展的眾多領(lǐng)域（二）網(wǎng)絡(luò)信息安全監(jiān)管趨向國際化和公開化（三）新技術(shù)和新業(yè)務(wù)安全管理取得顯著進展（四）網(wǎng)絡(luò)安全防護能力提升但仍有安全隱患一、2012年網(wǎng)絡(luò)與信息安全總體形勢（一）安全保障已滲透至國家發(fā)展的各個領(lǐng)域各國積極推進加強網(wǎng)絡(luò)與信息安全戰(zhàn)略部署。實驗科研階段1969-1994社會化應(yīng)用啟動階段1994-2001社會化應(yīng)用發(fā)展階段2001-20081998.52000.12002.72003.2第一階段：保護關(guān)鍵信息基礎(chǔ)設(shè)施國際網(wǎng)絡(luò)與信息安全演進趨勢《關(guān)鍵基礎(chǔ)設(shè)施保護政策(PDD63)》《關(guān)于保護信息系統(tǒng)的國家計劃》《布什政府：國土安全國家戰(zhàn)略規(guī)劃》《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》《國家網(wǎng)絡(luò)安全綜合綱領(lǐng)（CNCI）》《網(wǎng)絡(luò)空間國際戰(zhàn)略》2008.12011.5第二階段：“9·11”之后，網(wǎng)絡(luò)空間正式被賦予國家戰(zhàn)略意義，關(guān)鍵信息基礎(chǔ)設(shè)施上升為網(wǎng)絡(luò)空間安全保護第三階段：戰(zhàn)略由深度防御過渡為綜合行動。網(wǎng)絡(luò)威懾、網(wǎng)絡(luò)行動配合軍事威懾、軍事行動，構(gòu)成了新軍事戰(zhàn)略的核心內(nèi)容。第四階段：戰(zhàn)略重心開始由國內(nèi)正式轉(zhuǎn)向國外。2012戰(zhàn)略實施第五階段：戰(zhàn)略部署告一段落，進入實施階段。網(wǎng)絡(luò)空間身份生態(tài)系統(tǒng)建設(shè)統(tǒng)一的數(shù)字證書市場。計劃用10年左右時間，構(gòu)建網(wǎng)絡(luò)身份生態(tài)體系。用戶個人信息保護互聯(lián)網(wǎng)公司非法獲取用戶個人信息。用戶個人信息保護勢在必行。戰(zhàn)略部署實施電腦病毒“火焰”在中東廣泛傳播，惡意截取分析用戶隱私信息。以色列國防軍和哈馬斯利用twitter發(fā)布實時戰(zhàn)況消息。保護軍事信息安全成為網(wǎng)絡(luò)與信息安全熱點。美國國會指證中國華為與中興公司的通信產(chǎn)品存在后門等安全隱患，威脅美國網(wǎng)絡(luò)安全。此舉旨在保護美國企業(yè)經(jīng)濟利益，推動本土通信產(chǎn)業(yè)健康發(fā)展。合法監(jiān)聽已成為美國等國家加強國土安全管理的重要措施。英國政府公布了《通訊法案》草案，要求ISP必須保留英國人民網(wǎng)上活動細節(jié)1年，備警方和情報機構(gòu)查詢。一、2012年網(wǎng)絡(luò)與信息安全總體形勢2/3/2023（一）安全保障已滲透至國家發(fā)展的各個領(lǐng)域網(wǎng)絡(luò)空間安全能影響和保障國土安全、產(chǎn)業(yè)安全和公共安全網(wǎng)絡(luò)與信息安全已成為打擊境外恐怖組織惡性行為、保證境內(nèi)治安穩(wěn)定的重要武器網(wǎng)絡(luò)與信息安全已成為一種可推動本土貿(mào)易自由發(fā)展、促進相關(guān)產(chǎn)業(yè)國際拓展的重要武器網(wǎng)絡(luò)與信息安全應(yīng)成為保障國家重要信息及個人隱私信息不被非法利用的重要武器國土安全產(chǎn)業(yè)安全公共安全溝通了解問題認真解釋通知發(fā)布美日施壓相互諒解進入通報（二）網(wǎng)絡(luò)信息安全監(jiān)管趨向國際化和公開化一、2012年網(wǎng)絡(luò)與信息安全總體形勢發(fā)布通報《增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求》——2005提出并明確了用戶信息保護和業(yè)務(wù)信息管理、技術(shù)保障的基本要求?！癐DC/ISP信息安全系統(tǒng)”系列標(biāo)準(zhǔn)

——2012同步強化運營企業(yè)配套建設(shè)與應(yīng)用相關(guān)管理系統(tǒng)的要求。安全防護系列標(biāo)準(zhǔn)——2008提出基礎(chǔ)運營企業(yè)、增值運營企業(yè)各類網(wǎng)絡(luò)單元安全基本要求。發(fā)布《加強移動智能終端安全管理的通知》有助于在提升我國智能終端信息安全整體技術(shù)水平。按照國際規(guī)則處理信息安全問題，更加國際化；調(diào)整與轉(zhuǎn)變信息安全管理工作思路，首次公開信息內(nèi)容安全監(jiān)管相關(guān)標(biāo)準(zhǔn)，更加公開化一、2012年網(wǎng)絡(luò)與信息安全總體形勢（三）新技術(shù)新業(yè)務(wù)安全管理取得顯著進展2012年上半年，工信部出臺互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估相關(guān)的管理辦法，有利于主動加強各類互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全社交網(wǎng)絡(luò)云計算2012年4月，工信部啟動云計算公共服務(wù)網(wǎng)絡(luò)安全試點，成立試點工作小組和專家組，深入分析云計算公共服務(wù)安全挑戰(zhàn)，探索云計算安全保障體系建設(shè)需求，促進健康發(fā)展。部分城市（如北京）率先出臺微博客發(fā)展管理規(guī)定，要求“后臺實名，前臺自愿”2012年3月，部分微博開始實行實名制，此后必須實名注冊微博才能發(fā)言、轉(zhuǎn)發(fā)、瀏覽。2012年下半年，啟動修訂安全等級保護相關(guān)標(biāo)準(zhǔn)，保障IPv6網(wǎng)絡(luò)安全發(fā)展下一代互聯(lián)網(wǎng)移動互聯(lián)網(wǎng)和智能終端終端、網(wǎng)絡(luò)、應(yīng)用相關(guān)安全標(biāo)準(zhǔn)不斷出臺應(yīng)用軟件安全評測技術(shù)方法、工具平臺等不斷完善CATR對國內(nèi)主流應(yīng)用商店評測，測試應(yīng)用軟件總數(shù)11.5萬個，不通過率19.2%按照不通過原因數(shù)量從多到少排列測試結(jié)果已完成2000多款智能終端的評測，涵蓋100多種品牌的終端；其中2012年已完成Android終端1482款，WP7終端12款，iOS終端2款，黑莓終端4款；發(fā)現(xiàn)90%終端操作系統(tǒng)存在缺乏后臺操作授權(quán)和提示，數(shù)款預(yù)置應(yīng)用存在后臺消費流量問題操作系統(tǒng)安全（28項）外圍接口安全（11項）預(yù)置應(yīng)用安全（9項）用戶數(shù)據(jù)安全（9項）功能限制性要求（3項）智能終端進網(wǎng)安全測試項目一、2012年網(wǎng)絡(luò)與信息安全總體形勢逐年完善網(wǎng)絡(luò)與信息安全保障體系，基礎(chǔ)電信企業(yè)和增值電信企業(yè)網(wǎng)絡(luò)與信息安全能力顯著提升，安全漏洞顯著減少。但是仍然存在一定的網(wǎng)絡(luò)與信息安全隱患（四）我國網(wǎng)絡(luò)安全防護能力顯著提升，但仍存在一定安全隱患云計算安全試點發(fā)現(xiàn)的突出安全問題部分業(yè)務(wù)系統(tǒng)可從互聯(lián)網(wǎng)入侵和控制，用戶信息泄露等安全隱患不容忽視遠程控制可篡改網(wǎng)頁、中斷業(yè)務(wù)系統(tǒng)以系統(tǒng)為跳板傳播網(wǎng)頁病毒、掛馬、發(fā)動拒絕服務(wù)攻擊可獲取系統(tǒng)保存的用戶信息：網(wǎng)站賬戶密碼、用戶身份信息（身份證號碼、手機號、住址、郵箱）、金融信息（交易記錄、銀行卡信息）傳統(tǒng)安全問題：占安全問題大多數(shù)，如木馬、病毒等，弱口令、數(shù)據(jù)誤操作等傳統(tǒng)問題新表現(xiàn)：有一些傳統(tǒng)問題如DDoS攻擊在云計算環(huán)境中表現(xiàn)出新的特點，即有可能云主機被惡意用于對外發(fā)起DDoS特有的安全問題：少數(shù)VM過度惡意占用資源、虛擬主機逃逸等網(wǎng)秦統(tǒng)計：

2012年上半年，共截獲17676款惡意軟件，中國大陸感染比例為25.7%，列世界第一2012年三季度，共查殺到手機惡意軟件23375款，環(huán)比增長92.7%，查殺款數(shù)超過2012年上半年總和我國是智能終端惡意軟件感染重災(zāi)區(qū)綠盟科技2012年上半年安全威脅態(tài)勢報告（漏洞變化趨勢）：新增漏洞數(shù)量呈逐年上升趨勢新增的高風(fēng)險漏洞逐漸減少，而低風(fēng)險漏洞則明顯增加“獲取用戶權(quán)限”、“拒絕服務(wù)攻擊”及“信息泄露”類漏洞占多數(shù)IPv6漏洞不容忽視，半數(shù)以上可用于DDoS安全漏洞變化趨勢值得關(guān)注IPv6漏洞數(shù)量分布綠盟統(tǒng)計：已收錄的IPv6漏洞124個主要內(nèi)容

一、2012年網(wǎng)絡(luò)與信息安全總體形勢

二、2012年網(wǎng)絡(luò)與信息安全熱點分析三、2013年網(wǎng)絡(luò)與信息安全展望二、2012年網(wǎng)絡(luò)與信息安全熱點分析（一）持續(xù)滲透攻擊威脅不斷升級，防護手段成為當(dāng)前困擾（二）網(wǎng)絡(luò)身份服務(wù)體系勢在必行，技術(shù)路徑漸成工作重心（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護體系構(gòu)建任重道遠（四）云計算的發(fā)展關(guān)注安全問題，安全風(fēng)險亟待澄清應(yīng)對二、2012年網(wǎng)絡(luò)與信息安全熱點分析2/3/2023政治目的商業(yè)目的通過USB存儲器及網(wǎng)絡(luò)復(fù)制傳播，并能接受來自世界各地服務(wù)器指令。針對伊朗石油部門的商業(yè)情報。2012.05火焰病毒全方位地結(jié)合多種攻擊方法和工具持續(xù)不斷發(fā)現(xiàn)目標(biāo)并確定攻擊方法由組織者進行協(xié)調(diào)和指揮網(wǎng)絡(luò)攻擊持續(xù)滲透攻擊：針對特定組織所做的，復(fù)雜且多方位的網(wǎng)絡(luò)攻擊。特點（一）持續(xù)滲透攻擊威脅不斷升級，防護手段成為當(dāng)前困擾攻擊伊朗布什爾核電站，通過操控控制系統(tǒng)，導(dǎo)致多臺設(shè)備失控、直至報廢，并使布什爾核電站推遲發(fā)電。針對伊朗工業(yè)控制系統(tǒng)數(shù)據(jù)。2010.06震網(wǎng)病毒政府組織的持續(xù)滲透攻擊將長期存在并且更具隱蔽，危害更大。發(fā)展趨勢攻擊者使用了十幾種惡意代碼和多層次的加密，深深地挖掘進了公司網(wǎng)絡(luò)內(nèi)部，盜取電腦資料，并巧妙掩蓋自己的活動。2010.01谷歌被黑商業(yè)持續(xù)滲透攻擊復(fù)雜度和隱蔽性會繼續(xù)增加，危害也會更大。發(fā)展趨勢二、2012年網(wǎng)絡(luò)與信息安全熱點分析2/3/2023（一）持續(xù)滲透攻擊威脅不斷升級，防護手段成為當(dāng)前困擾持續(xù)滲透攻擊不是一種新攻擊手法，也不是可以僅憑阻止或破壞一次攻擊就能讓問題消失的。APT更像是一種網(wǎng)絡(luò)攻擊活動，而不是單一類型的威脅，可將其看作是不停息的攻擊活動。持續(xù)滲透攻擊從情報的搜集開始，這一工作可能會持續(xù)一段時間，其中包含了針對技術(shù)和人員情報的搜集。二、2012年網(wǎng)絡(luò)與信息安全熱點分析2/3/2023（一）持續(xù)滲透攻擊威脅不斷升級，防護手段成為當(dāng)前困擾建立縱深安全防御體系，發(fā)展自主產(chǎn)業(yè)研發(fā)實力建立完善縱深的安全防御與監(jiān)控體系：對于可控的部分，完善安全能力和加強安全驗證；對于不可能的部分，進行供應(yīng)鏈安全保證，提高未知危害的感知能力。完善信息系統(tǒng)安全規(guī)范，提高滲透攻擊檢測水平加強信息系統(tǒng)的安全檢測理論和檢測技術(shù)，并形成相應(yīng)信息系統(tǒng)安全規(guī)范。采用漏洞挖掘手段發(fā)現(xiàn)信息系統(tǒng)漏洞，保證其系統(tǒng)安全漏洞不被利用進行滲透攻擊。制定信息系統(tǒng)安全手冊，加強安全防范宣傳教育學(xué)習(xí)借鑒國際先進技術(shù)和管理經(jīng)驗，結(jié)合我國信息系統(tǒng)實際情況，制定制定信息系統(tǒng)的安全手冊。加強防治持續(xù)滲透攻擊的宣傳教育，提升安全意識。二、2012年網(wǎng)絡(luò)與信息安全熱點分析（二）網(wǎng)絡(luò)身份服務(wù)體系勢在必行，技術(shù)路徑漸成工作重心

網(wǎng)絡(luò)身份管理的形態(tài)大體可以區(qū)分為“非集中式管理模式”和“集中式管理模式”。用戶可以根據(jù)不同的在線服務(wù)類型選擇不同的認證手段以及身份信任框架。非集中式管理模式分散管理模式典型代表：韓國網(wǎng)站用戶個人身份證號碼、身份密碼i-PIN等信息保存在各網(wǎng)站中，但是信息泄漏問題嚴(yán)重2012年8月，韓國憲法法院正式宣布廢除該網(wǎng)絡(luò)實名制法案，韓國的網(wǎng)絡(luò)實名制宣告失敗。開放信任框架模式典型代表：美國基于信任框架的開放式網(wǎng)絡(luò)身份管理：由OIX牽頭提出各類開放信任框架（如政府應(yīng)用、電信運營商應(yīng)用等），以O(shè)penID、Oauth等開放信任架構(gòu)技術(shù)為代表，Google、Yahoo、PalPay等企業(yè)積極商業(yè)應(yīng)用；CloudID、WebID成為新的研究熱點和方向集中式管理模式歐盟強調(diào)建立一個統(tǒng)一的數(shù)字證書(digitalcredential)市場，實現(xiàn)數(shù)字時代商業(yè)及文化信息與服務(wù)在歐盟各國國內(nèi)及跨境的自由流動。預(yù)計在未來幾年里，歐盟5億人口中將近有一半的公民將持有一張電子身份證（eID）。美國推進的開放信任框架允許企業(yè)提供商業(yè)化的身份服務(wù)，獲得了企業(yè)的支持，推進迅速。美國的企業(yè)界在網(wǎng)絡(luò)身份管理技術(shù)以及資格認證等方面技術(shù)儲備比較領(lǐng)先，值得學(xué)習(xí)借鑒。該模式充分考慮了個人信息及隱私保護問題，對網(wǎng)絡(luò)空間可信身份體系通過試點示范的方式穩(wěn)步推進。問題：歐盟eID主要用于電子政務(wù)、電子醫(yī)療、電子商務(wù)等領(lǐng)域，應(yīng)用范圍有一定局限二、2012年網(wǎng)絡(luò)與信息安全熱點分析（二）網(wǎng)絡(luò)身份服務(wù)體系勢在必行，技術(shù)路徑漸成工作重心

利用移動互聯(lián)網(wǎng)收集用戶信息安全問題突出“全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定”要求網(wǎng)絡(luò)服務(wù)提供者為用戶辦理網(wǎng)站接入服務(wù)，固定電話、移動電話等入網(wǎng)手續(xù)，或者提供信息發(fā)布服務(wù)時，要求用戶提供真實身份信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位應(yīng)采取技術(shù)措施和其他必要措施，確保信息安全，防止在業(yè)務(wù)活動中收集的公民個人電子信息泄露、毀損、丟失。一方面，相關(guān)法規(guī)要求大量網(wǎng)絡(luò)服務(wù)提供者依法基于用戶真實身份信息提供服務(wù)；另一方面，用戶數(shù)據(jù)泄露事件以及用戶個人信息被非法獲取和利用的事件頻頻發(fā)生。制定身份及個人信息安全管理辦法；加強網(wǎng)絡(luò)服務(wù)提供商的信息安全保護技術(shù)措施制定網(wǎng)絡(luò)身份服務(wù)頂層設(shè)計，研究建立信任框架，鼓勵商業(yè)化的網(wǎng)絡(luò)身份服務(wù)長遠短期建立安全可信的網(wǎng)絡(luò)身份服務(wù)體系，任重道遠！個人信息安全保護形勢不容樂觀，對網(wǎng)絡(luò)身份以及個人信息的安全管理和保護技術(shù)措施已經(jīng)成為當(dāng)前信息安全領(lǐng)域一個巨大的挑戰(zhàn)！二、2012年網(wǎng)絡(luò)與信息安全熱點分析1、盡快研究和制定我國的網(wǎng)絡(luò)空間可信身份戰(zhàn)略2、試點先行，慎重選擇技術(shù)路線，積極探索認證和監(jiān)管體系3、組織協(xié)調(diào)產(chǎn)業(yè)、市場和技術(shù)力量，積極參與國際標(biāo)準(zhǔn)制定4、引導(dǎo)國內(nèi)產(chǎn)業(yè)共同建設(shè)，形成我國的身份管理運營體系2/3/2023借鑒國內(nèi)外的先進經(jīng)驗，依據(jù)相關(guān)法律法規(guī)，充分考慮我國網(wǎng)絡(luò)空間身份信息管理和服務(wù)的需求，開展網(wǎng)絡(luò)空間身份管理的戰(zhàn)略和實施路線研究，鼓勵產(chǎn)業(yè)積極探索適合我國實際情況的身份服務(wù)技術(shù)路線，構(gòu)建運營和監(jiān)管體系，充分強調(diào)網(wǎng)絡(luò)身份認證與個人信息保護并重，促進公共服務(wù)及民生服務(wù)的發(fā)展。

（二）網(wǎng)絡(luò)身份服務(wù)體系勢在必行，技術(shù)路徑漸成工作重心

二、2012年網(wǎng)絡(luò)與信息安全熱點分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護體系構(gòu)建任重道遠2012年8月9日，谷歌因涉嫌在Safari瀏覽器用戶的計算機上安裝了一種追蹤廣告的信息記錄程序，被美國聯(lián)邦貿(mào)易委員會處以2250萬美元的罰款2012年8月，微軟“人脈（people）”被曝誘使用戶許可“人脈（people）”應(yīng)用對該用戶擁有的各類好友信息進行智能化整合。2012年2月17日，twitter和蘋果卷入一場侵犯用戶隱私風(fēng)波。twitter承認在用戶不知情下，將用戶智能手機內(nèi)的電話簿資料悉數(shù)復(fù)制，儲存到twitter服務(wù)器；蘋果雖在應(yīng)用程序開發(fā)者開發(fā)指南中，明確指明未經(jīng)用戶同意不得獲取用戶個人信息，但實際卻容許twitter及其他社交網(wǎng)應(yīng)用程序擅自調(diào)取iPhone用戶的電話號碼簿。國際上，各大互聯(lián)網(wǎng)企業(yè)憑借其技術(shù)優(yōu)勢，日益具備較強的個人信息收集、挖掘、分析和開發(fā)、利用能力。部分互聯(lián)網(wǎng)企業(yè)在收集、使用用戶個人信息的過程中，存在一定程度上的不合規(guī)現(xiàn)象。

二、2012年網(wǎng)絡(luò)與信息安全熱點分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護體系構(gòu)建任重道遠事件回顧：2011年底，CSDN640萬郵箱賬號和明文密碼在網(wǎng)上被披露；之后，國內(nèi)出現(xiàn)互聯(lián)網(wǎng)史上最大個人信息泄漏事件，天涯、人人、當(dāng)當(dāng)、凡客、卓越、開心等網(wǎng)站約1億個賬戶密碼遭泄漏。至2012年1月初，傳言甚至稱個人信息泄露從互聯(lián)網(wǎng)行業(yè)蔓延至金融領(lǐng)域，工商、民生、交通等多家銀行的用戶個人信息已遭泄露。案件告破：2012年3月，CSDN用戶遭泄密案告破。警方已抓獲曾某等5名“黑客”，曾某承認于2010年4月利用CSDN網(wǎng)站漏洞，非法侵入服務(wù)器并獲取用戶數(shù)據(jù)。事件處理：2011年12月28日工信部發(fā)布通告，對各互聯(lián)網(wǎng)站提出個人信息安全保護要求；2012年3月20日，北京警方對CSDN網(wǎng)站未落實國家信息安全等級保護制度造成用戶信息泄露事件做出行政警告處罰，這是國內(nèi)自落實信息安全等級保護制度以來開出的第一張“罰單”。國內(nèi)存在大量非授權(quán)收集、使用、轉(zhuǎn)賣用戶個人信息的情況。2012年，CSDN拖撞數(shù)據(jù)庫事件形成的放大效應(yīng)依然蔓延。我國的特征：基于刑法打擊的單線保護機制比較發(fā)達，個人信息保護的民事和行政救濟途徑相對不足。

二、2012年網(wǎng)絡(luò)與信息安全熱點分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護體系構(gòu)建任重道遠不斷通過立法對個人信息保護進行搭載式處理和規(guī)范2011年12月29日，工信部發(fā)布《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》，設(shè)專條對互聯(lián)網(wǎng)信息服務(wù)提供者收集、轉(zhuǎn)讓、使用、保管、安全防護個人信息等內(nèi)容進行了規(guī)定；2012年6月5日，工信部發(fā)布《關(guān)于加強移動智能終端進網(wǎng)管理的通知》，明確規(guī)定智能終端生產(chǎn)企業(yè)不得預(yù)裝擅自收集、修改用戶個人信息的軟件；2012年6月7日，國務(wù)院法制辦、國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《互聯(lián)網(wǎng)信息服務(wù)管理辦法（修訂草案征求意見稿）》，設(shè)專條規(guī)定了信息義務(wù)主體對于個人信息的保密義務(wù)。2012年12月28日下午，全國人大通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，專設(shè)5條規(guī)定個人信息保護問題。這是我國歷史上第一次以最高層級國家立法形式對個人信息保護進行的立法判定，不斷通過標(biāo)準(zhǔn)化運動試圖使個人信息保護達到與國際接軌2012年4月26日，工信部宣布《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》已編制完成，正按照國家標(biāo)準(zhǔn)審批程序上報國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)。我國相關(guān)政府管理部門采取的行動

二、2012年網(wǎng)絡(luò)與信息安全熱點分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護體系構(gòu)建任重道遠我國目前尚存在的問題需要在個人信息保護多個政府事務(wù)部門之間建立相應(yīng)的綜合協(xié)調(diào)機制。據(jù)不完全統(tǒng)計，截至目前，工信部、公安部、國家保密局、國家密碼管理局、衛(wèi)生部、食品藥品監(jiān)督管理局、銀監(jiān)會、證監(jiān)會、鐵道部等多個部門所頒行的多個規(guī)章文件中，均涉及個人信息保護的內(nèi)容。二、2012年網(wǎng)絡(luò)與信息安全熱點分析（三）用戶信息安全受到嚴(yán)峻挑戰(zhàn)，保護體系構(gòu)建任重道遠個人信息保護是互聯(lián)網(wǎng)國際治理運動的核心主線2012年1月3日，美國國土安全部發(fā)布《愛因斯坦隱私保護審查報告》，對國家網(wǎng)絡(luò)安全處部署“愛因斯坦2”、“愛因斯坦3”過程中遵守現(xiàn)行隱私保護政策的情況進行了全面評估，指出國家網(wǎng)絡(luò)安全盡管盡了最大努力，但是依然需要充分遵守現(xiàn)行隱私保護全部政策，并提出繼續(xù)改進和完善的物象措施建議。2012年5月，世界經(jīng)濟論壇發(fā)表《重新審視個人數(shù)據(jù)：加強信任構(gòu)建》，指出在個人、機構(gòu)和政府這三者之間，有關(guān)個人數(shù)據(jù)的對話目前停留在恐懼、不確定和懷疑的氣氛當(dāng)中，因此，確需建立一個可向利益相關(guān)方提供實時測試、了解個人數(shù)據(jù)保護狀況的大規(guī)模技術(shù)驗證環(huán)境。2012年2月23日，美國白宮發(fā)布了《用戶隱私權(quán)利憲章（theConsumerPrivacyBillofRights）》，作為非強制指導(dǎo)性政府倡議指南，供互聯(lián)網(wǎng)企業(yè)自愿選擇遵守并將其吸收、完善在自己的企業(yè)隱私政策框架之中。該《隱私權(quán)利憲章》旨在幫助美國人民更好地控制個人信息在網(wǎng)上的使用。我國應(yīng)通過相關(guān)戰(zhàn)略設(shè)計，構(gòu)建法律、行政、技術(shù)、行業(yè)和環(huán)境五位一體的個人信息安全保護體系。2012年云安全事件2月28日，“閏年bug”致全球大面積服務(wù)中斷超24小時；7月26日，Azure再次宕機，導(dǎo)致歐洲服務(wù)中斷2.5小時。6月15日，數(shù)據(jù)中心停電，AWS中斷約6小時；10月22日，AWS宕機，波及Reddit、Pinterest等知名大網(wǎng)站。10月26日，在線存儲公司Dropbox發(fā)生服務(wù)中斷2012年，蘋果的iCloud服務(wù)大大小小已出現(xiàn)17次故障，涉及的服務(wù)包括iMessage、FaceTime、iTunesMatch、郵件和Siri等，發(fā)生用戶資料丟失等后果。7月26日，Googletalk中斷了近5小時；10月26日，GAE平臺突然反應(yīng)緩慢且出錯，持續(xù)了4個小時。8月6日，盛大云主機發(fā)生磁盤損壞，用戶數(shù)據(jù)丟失。國內(nèi)外云計算安全事件屢屢出現(xiàn)（四）云計算的發(fā)展關(guān)注安全問題，安全風(fēng)險亟待澄清應(yīng)對Azure2012年，國內(nèi)外各類云服務(wù)商出現(xiàn)了眾多安全問題，嚴(yán)重阻礙了云服務(wù)發(fā)展；國外云服務(wù)發(fā)展較快，安全問題暴露較多；國內(nèi)云服務(wù)規(guī)模較小，安全事件鮮有報道；目前，云安全問題主要集中在傳統(tǒng)范圍內(nèi)。諸如斷電、軟硬件BUG等引起的服務(wù)中斷，也存在由于黑客攻擊導(dǎo)致的用戶數(shù)據(jù)丟失或泄露；云安全事件頻發(fā)，嚴(yán)重打擊用戶本已脆弱的信心；面對云服務(wù)，企業(yè)的首席信息官們?nèi)缏谋”?。二?012年網(wǎng)絡(luò)與信息安全熱點分析二、2012年網(wǎng)絡(luò)與信息安全熱點分析云計算面臨六大安全風(fēng)險共享環(huán)境下用戶數(shù)據(jù)的丟失或泄露虛擬化引發(fā)的新安全風(fēng)險云計算應(yīng)用程序及接口安全云終端引入的各種安全風(fēng)險不良信息處理和數(shù)據(jù)跨境流動問題云服務(wù)業(yè)務(wù)不可持續(xù)問題(1)共享資源池使得相鄰租戶或黑客更有機可乘，虛擬化帶來跨虛擬機和存儲資源的惡意攻擊和竊取；(2)云計算的動態(tài)伸縮和遷移導(dǎo)致數(shù)據(jù)存儲和處理位置的不可控，甚至可能跨境流動，同時，使得對不良信息的溯源也更加困難；(3)云計算時代海量數(shù)據(jù)對云服務(wù)可用性以及內(nèi)容過濾都提出了巨大挑戰(zhàn)；(4)云計算的服務(wù)模式是服務(wù)商得以優(yōu)先訪問的前提，用戶租用服務(wù)商的資源就不得不面臨失去資源和數(shù)據(jù)的控制權(quán)和依賴服務(wù)商來保障安全的局面。云計算新的特點和服務(wù)模式是其帶來威脅的主要根源（四）云計算的發(fā)展關(guān)注安全問題，安全風(fēng)險亟待澄清應(yīng)對二、2012年網(wǎng)絡(luò)與信息安全熱點分析我國云計算安全應(yīng)對措施（四）云計算的發(fā)展關(guān)注安全問題，安全風(fēng)險亟待澄清應(yīng)對大力發(fā)展自主可控的云安全技術(shù)，優(yōu)先采用自主產(chǎn)品，加大資金支持力度，建立高級別云安全實驗室

堅持發(fā)展自主云安全技術(shù)，特別加密技術(shù)、隔離技術(shù)、安全芯片、可信計算技術(shù)等，以解決數(shù)據(jù)泄露、虛擬機隔離問題。在政府采購中優(yōu)先采用自主產(chǎn)品。加大資金投入，建立云安全實驗室，加強云安全研究。建立我國云計算安全標(biāo)準(zhǔn)規(guī)范，開展云服務(wù)商安全等級進行評估

制定統(tǒng)一云安全標(biāo)準(zhǔn)有利于用戶服務(wù)遷移，確保用戶業(yè)務(wù)可持續(xù)。優(yōu)先制定云安全基礎(chǔ)標(biāo)準(zhǔn)、個人隱私保護、安全等級評估等標(biāo)準(zhǔn)。開展云服務(wù)商安全等級認證，提升用戶使用云服務(wù)的信心，促進云服務(wù)發(fā)展。加快制定云計算安全監(jiān)管政策和法律法規(guī)，制定符合我國現(xiàn)狀的云安全指導(dǎo)手冊

建立云服務(wù)安全準(zhǔn)入、退出及懲處機制，制定云安全監(jiān)管政策和法律法規(guī)，將云服務(wù)納入現(xiàn)有安全監(jiān)管框架，對泄露數(shù)據(jù)及隱私、發(fā)布不良信息進行懲處，并可先行制定我國云服務(wù)安全指導(dǎo)手冊。加強對云計算安全的宣傳教育，重視國際交流與合作

通過宣傳教育提升用戶安全意識是減少云終端引入風(fēng)險的有效辦法。重視國際交流與合作，重點協(xié)調(diào)解決云數(shù)據(jù)跨境流動帶來的問題。主要內(nèi)容

一、2012年網(wǎng)絡(luò)與信息安全總體形勢二、2012年網(wǎng)絡(luò)與信息安全熱點分析

三、2013年網(wǎng)絡(luò)與信息安全展望三、2013年網(wǎng)絡(luò)與信息安全展望

三網(wǎng)融合新技術(shù)的普及應(yīng)用豐富了日常生活，但同時也將帶來新的安全威脅和挑戰(zhàn)。隨著兩化融合的推進，公共基礎(chǔ)設(shè)施面臨安全威脅不斷增加，安全防護有待繼續(xù)加強。伴隨開放度增加，我國網(wǎng)絡(luò)和信息安全領(lǐng)域?qū)⒚媾R安全管控到達法制化臨界期、國際貿(mào)易訴訟風(fēng)險增加等諸多問題。隨著虛擬技術(shù)的發(fā)展，數(shù)據(jù)集中、共享、公開必然帶來重大安全風(fēng)險。大數(shù)據(jù)安全風(fēng)險規(guī)避和處理有待研究，相關(guān)舉措需要及早研究和部署。針對跨國家跨地域的信息傳播管理控制，目前階段難以形成國際合作共識，跨境數(shù)據(jù)安全將成信息安全監(jiān)管熱點。三、2013年網(wǎng)絡(luò)與信息安全展望（一）三網(wǎng)融合最新發(fā)展帶來全新安全挑戰(zhàn)（二）公共基礎(chǔ)設(shè)施安全防護有待繼續(xù)加強（三）大數(shù)據(jù)時代的來臨引發(fā)安全新的挑戰(zhàn)（四）跨境數(shù)據(jù)安全將成信息安全監(jiān)管熱點三、2013年網(wǎng)絡(luò)與信息安全展望（一）三網(wǎng)融合最新發(fā)展帶來全新安全挑戰(zhàn)三網(wǎng)融合新發(fā)展（OTTTV、多屏互動）OTTTVPC在線視頻移動視頻IPTV數(shù)字電視三網(wǎng)融合現(xiàn)階段典型業(yè)務(wù)傳輸網(wǎng)絡(luò)：互聯(lián)網(wǎng)終端：電視、PC、PAD、手機傳輸網(wǎng)絡(luò)：電信/廣電專網(wǎng)終端：電視

OTTTV、多屏切換互動等三網(wǎng)融合新技術(shù)的普及應(yīng)用，引發(fā)安全風(fēng)險應(yīng)引起關(guān)注：多屏互動場景下，網(wǎng)絡(luò)行為溯源和定位難度加大；基于開放操作系統(tǒng)的智能電視大量接入互聯(lián)網(wǎng)，但安全保護和安全評測技術(shù)尚空白，潛在安全威脅應(yīng)予以關(guān)注；基于互聯(lián)網(wǎng)的在線視頻信息安全管理機制和監(jiān)管能力存在缺陷；如何滿足國家信息安全監(jiān)管需求亟待研究。安全新挑戰(zhàn)

互聯(lián)網(wǎng)在線視頻播放發(fā)展迅速，大有超過IPTV和數(shù)字電視成為三網(wǎng)融合最熱點應(yīng)用的趨勢，使得互聯(lián)網(wǎng)的視聽媒體特性更加突出，應(yīng)進一步優(yōu)化在開放網(wǎng)絡(luò)環(huán)境下在線視頻業(yè)務(wù)的安全管理機制、積極研發(fā)相應(yīng)的安全技術(shù)支撐手段，使能更好的適應(yīng)視頻新技術(shù)的發(fā)展特性。公共基礎(chǔ)設(shè)施自身安全防護能力不足地鐵等公共基礎(chǔ)設(shè)施信號系統(tǒng)采用無線接入，存在認證缺失、信號干擾等安全問題某些重要行業(yè)的數(shù)據(jù)傳輸采用GPRS傳輸，無加密、認證等安全措施，存在數(shù)據(jù)泄密問題金融系統(tǒng)成為黑客攻擊的新熱點，并因此造成巨大損失三、2013年網(wǎng)絡(luò)與信息安全展望（二）公共基礎(chǔ)設(shè)施安全防護有待繼續(xù)加強公共基礎(chǔ)設(shè)施外部安全威脅不斷用戶位置、地理測繪和基站配置等海量關(guān)鍵信息被搜集和利用部分基礎(chǔ)設(shè)施被敵對勢力控制、常態(tài)下用于戰(zhàn)略威懾，非常態(tài)下可使信網(wǎng)設(shè)施癱瘓

有關(guān)部門表示：針對我國網(wǎng)絡(luò)攻擊形勢日趨嚴(yán)峻。據(jù)統(tǒng)計，今年上半年境外有2.79萬個IP地址對我境內(nèi)780萬臺計算機實施攻擊，其中，24%來自美國，17.2%來自日本，11.4%來自韓國公共基礎(chǔ)設(shè)施防護能力欠缺原因分析公共基礎(chǔ)設(shè)施安全防護需求不明，現(xiàn)有信息系統(tǒng)安全防護體系無法適用。大部分工業(yè)控制系統(tǒng)由于實時性要求，無法安裝防火墻。由于缺乏可靠性驗證，大部分工業(yè)控制系統(tǒng)無法及時更新版本我國公共基礎(chǔ)設(shè)施安全防護產(chǎn)業(yè)匱乏，無成熟可靠設(shè)備可用。工業(yè)控制防護系統(tǒng)核心技術(shù)掌握在國外企業(yè)手中建立我國公共基礎(chǔ)設(shè)施安全風(fēng)險綜合分析及評測平臺，梳理我國公共基礎(chǔ)設(shè)施安全防護需求，提供相應(yīng)安全風(fēng)險宏觀指標(biāo)，為制定相應(yīng)標(biāo)準(zhǔn)和法律法規(guī)提供技術(shù)支持推進我國公共基礎(chǔ)設(shè)施安全防護工作相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)化工作。大力發(fā)展我國公共基礎(chǔ)設(shè)施安全防護產(chǎn)業(yè)，通過資金支持、政策優(yōu)惠等方法扶持相關(guān)企業(yè)需