编者按:经过两年的舆论铺垫,2014年网络安全、信息安全终于被推到了国家视野的最前沿,网络安全被高度重视,但是不能回避的是我国信息安全基础薄弱,内忧外患。回顾2014年,热点很多,其中必有一些将在我国信息安全史上留下深刻的烙印。
1 习近平主持召开第一次网信小组会议
2月27日,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平主持召开中央网信小组第一次会议并发表重要讲话。他强调,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。他指出,没有网络安全就没有国家安全,没有信息化就没有现代化。
点评:中央网信小组的第一次会议为2014年中国网络安全事业打开了极好的局面,全国从上至下统一认识,快马加鞭,推动中国网络安全的快速发展。
2 Windows XP“退服”中国2亿电脑面临威胁
4月8日,微软Windows XP系统停止漏洞服务补丁,在全球范围内引来巨大抗议声。业内人士认为这是微软的营销策略,目的是通过停止对XP的补丁更新来迫使用户升级到新系统Win8。但是,中国现有2亿台XP的装机量,很多机器因为硬件原因无法升级到Win8。而且,多名院士表示微软对Win8系统的控制权非常高,使用Win8对中国用户不安全,建议用户选用国产操作系统。
点评:国产操作系统的上升并非一日之功。在市场还没遴选出用户满意的国产操作系统之前,国内各大安全厂商纷纷推出维护用户XP系统安全的临时计划和产品,腾讯提出“扎篱笆计划”、百度则建立“XP救援联盟”、360推出XP盾甲、北信源推出金甲防线等等,一时间国内安全市场热闹非凡。
3 政府机关禁采Win8多家外企接连波及
5月16日,中国政府采购网公布一份《中央国家机关政府采购中心重要通知》,要求入围中央机关采购范围内的所有计算机类产品均不允许安装Windows 8操作系统。此事激发多重效应。7月,公安部科技信息化局下发通知,称赛门铁克的“数据防泄漏”产品存在窃密后门和高危漏洞,要求各级公安机关禁止采购。不久,苹果iPad、MacBook笔记本产品也被移出政府采购名单,IBM的企业软件还被传可能禁止使用。一时之间,在中国的各大外企人人自危。
点评:出于安全的考虑,中国对国外软硬件产品做出有选择性地开放,这是国际大形势大环境使然。但是对于遵纪守法、对中国友好的国外企业,中国一直持欢迎态度。
4 国产操作系统软硬件迎势而上
9月,银监会发布《应用安全可控信息技术指导意见》,从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年掌握银行业信息化的核心知识和关键技术,安全可控信息技术在银行业达到不低于75%的总体占比。这是第一份国家层面的、设定数字指标的、支持中国自有信息技术和产品发展的公开文件。这份文件很好地鼓励了国产软硬件产品进入金融行业市场。
点评:在年初XP“退服”事件的直接刺激下,国产操作系统纷涌而出,Deepin、SPGnux、中标麒麟、中科方德、优麒麟等等多达十几款国产操作系统,异常活跃。但是总体来说,它们在2014年增加了曝光率却并没有增加多少市场占有率。国产操作系统的路艰难而长远。
5 年度最严重安全漏洞“心脏出血”被曝光
4月9日,被许多企业和服务商用来加密数据的安全协议OpenSSL,曝出本年度最严重的安全漏洞“heartbleed”(“心脏出血”)。利用该漏洞,黑客坐在自己家的电脑前就可以实时获取到很多https开头网址的用户登录账号密码。而关键是,很多网站并不能确定自己是否已经被黑客利用该漏洞盗取了账号和密码。一直到现在,仍有不少网站还未修复该漏洞。
点评:网络世界有漏洞不可怕,可怕的是明知道有漏洞但是仍不及时补漏的行为。
6 堪比“心脏出血”Shellshock漏洞来袭
9月12日,红帽公司安全研究员在OS X和Linux的Bash命令窗口中发现新的漏洞Shellshock,利用这个漏洞,攻击人员可轻易部署恶意代码。因为Bash命令窗口的普遍性,这个漏洞可能会影响各种不同的联网设备和一些不安全的网站、智能家居电器以及服务器等。初步估计有5亿台机器已经受到Shellshock的威胁。
点评:Shellshock的症结在于,它是通过一些最古老的互联网技术开发的,技术沿用已有25年之久,任何运行Linux操作系统或UNIX操作系统的公司都在通过Bash工具与运行于系统之上的应用软件建立连接。
7 携程网、12306网站泄密严重
3月23日,携程网被曝出安全漏洞,所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,支付过程中的调试信息可被任意黑客读取,这些信息包括持卡人姓名、身份证、银行卡号、CVV码等。事后,携程网一再声明漏洞是因为调试程序产生,而调试程序期间仅涉及93位用户,这些用户没有被盗刷信用卡。12月25日,12306官方网站被曝用户信息泄露并在互联网上售卖,泄露信息含有用户的姓名、身份证号明文密码。
点评:这已不是第一起第二起大范围网络泄漏隐私事件了,国家部门或行业组织需对网络安全行为检查有更严厉的措施。
8 手机木马病毒“XX神器”大爆发
8月2日,一款名叫“XX神器”的手机恶意木马病毒爆发,该病毒可通过读取用户手机联系人,并调用发短信权限,将短信发送至手机通讯录的联系人手机中,传播速度极快,两天之内就感染了50万部手机,覆盖了北上广深四个大城市,所幸在腾讯公司全力技术支持下,深圳警方及时介入,在8月4日抓获了嫌疑人。
点评:该病毒并不复杂,但是感染数量和速度惊人。由于安卓系统的开放、开发工具的成熟让病毒木马制作门槛越来越低,用户的安全意识又薄弱,这些都在客观上造成了手机安全威胁越来越大。
9 小米手机在台湾被爆安全风险
7月底,香港一名用户抱怨红米Note自动将照片回传至北京,怎么刷机都没用,引发市场广泛关注。8月8日,台湾iThome网站称,信息安全公司芬安全对红米手机进行了实测,结果“确实发现红米手机有资料回传小米北京总公司伺服器”。8月11日,小米Facebook香港账号发文承认“有一项‘网络简讯’功能会‘自动启动’回传手机号码到北京”,但同时强调,公司已经发布OTA(over the air)通包,阻止网络简讯功能自动启动。
点评:对于小米手机采集用户信息这件事,其实最大的问题在于明文传输信息存在安全隐患,有可能被黑客拦截,适当曝光问题有利于敦促厂商重视该问题,及时改进。
10 首届网络安全宣传周举办
11月24日,首届国家网络安全宣传周在北京启动,这是我国第一次举办全国性的网络安全主题宣传活动,不仅国家有关职能部门共同参与主办,各省、自治区、直辖市也同期举办相关主题活动,在全国掀起网络安全舆论的高潮。活动不仅展示我国网络安全工作的新成就、新进展、新成效,还围绕网络钓鱼、电信诈骗、网上谣言等关系公众切身利益的常见网络安全风险,普及网络使用的安全知识和基本的网络安全防护技能。
点评:统计显示如果网民增强网络安全意识,那么网络安全事件可以下降80%以上。宣传周活动对提高网民的重视程度和普及网络安全知识起到了积极作用。