国内外最新网络安全发展态势

以下文章来源于信息安全与通信保密杂志社,作者Cismag

重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?杂志社联合中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。

事件概览:

1、《数据安全法》正式通过

2、2021年中国网络安全市场与企业竞争力分析报告发布

3、工信安全中心发布《智能网联汽车数据安全研究》

4、美国家安全局发布企业级IP语音和视频通信安全指南

5、北约批准新的网络防御政策

6、Google推出软件供应链安全框架

7、水务设施沦为美国最容易被黑的关基设施

8、美国参议院确认首位白宫国家网络主管

9、美白宫成立国家人工智能研究资源工作组

10、美英等七国欲联合开发基于卫星的量子加密网络

11、DARPA公布下一代宽带阵列滤波项目

12、美众议院提出国家科技战略法案

13、日本通过太空资源法

国内

01、《数据安全法》正式通过

6月10日消息,据央视新闻报道,国家主席习近平6月10日签署了第八十四号、第八十五号、第八十六号、第八十七号、第八十八号、第八十九号、第九十号主席令。第八十四号主席令说,《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,现予公布,自2021年9月1日起施行。

根据此前消息,数据安全法草案将在十三届全国人大常委会第二十九次会议(6月7日-6月10日)上进行第三次审议。草案第一次审议稿的内容主要包括:

·确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;

·明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;

·坚持安全与发展并重,规定支持促进数据安全与发展的措施;

·建立保障政务数据安全和推动政务数据开放的制度措施。

草案第二次审议稿拟作如下主要修改:

·一是对草案中的数据安全等用语的含义予以完善。

·二是完善数据分级分类和重要数据保护制度。

·三是充实数据出境安全管理规定。

草案第三次审议稿拟作如下主要修改:

·建立工作协调机制,加强对数据安全工作的统筹;

·明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度;

·要求提供智能化公共服务应当充分考虑老年人、残疾人的需求,不得对老年人、残疾人的日常生活造成障碍;

·进一步完善保障政务数据安全方面的规定;

·加大对违法行为的处罚力度。

02、2021年中国网络安全市场与企业竞争力分析报告发布

2021年6月16日,中国网络安全产业联盟(CCIA)发布了《2021年中国网络安全市场竞争力报告》。本次研究旨在客观、真实准确反映当前我国网络安全市场情况,评估网络安全企业竞争力情况,研究网络安全市场格局演变趋势,希望能够为产业相关从业者提供有效参考。

核心发现:

· 2020年我国网络安全市场规模约为532亿元,由于受疫情影响,2020年网络安全市场规模增速放缓,同比增长率为11.3%。

· 2021年6月10日,《中华人民共和国数据安全法》在全国人大常务委员会第二十九次会议正式表决通过,这将会进一步激发数据安全市场需求;未来,《个人信息保护法》和《关键信息基础设施安全保护条例》等法律法规政策文件的发布实施将引领新的需求并形成可观的增量市场,预计未来三年将保持15%+增速,到2023年市场规模预计将超过800亿元。

· 2020年我国网络安全市场CR1为7.79%,CR4为26.4%,CR8为41.36%。整体市场集中度小幅提升;根据美国经济学家贝恩对产业集中度的划分标准,我国网络安全行业CR8已经超过了40%的水平,说明我国网络安全市场己经由竞争型转变为低集中寡占型。

· 2021年上半年我国共有4751家公司开展网络安全业务,相比上一年增长23.1%。

· 2020年我国网络安全客户数量也有较高增速,2019年客户数量64,493家,2020年客户数量92,090家,其中两年客户集合的交集数为29,126家,占2019年客户数的45.16%,占2020年客户数的31.63%。

03、工信安全中心发布《智能网联汽车数据安全研究》

6月17-19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定召开。主题论坛“智能网联汽车产业发展与安全论坛”重点围绕智能网联汽车产业安全发展、研究成果发布、数据安全治理理论与实践、智能网联汽车密码技术应用等议题展开讨论。中心副总工程师兼信息政策所所长黄鹏在论坛上发布“工信安全智库洞察报告”《智能网联汽车数据安全研究》。

报告指出,随着信息化、数字化逐渐成为人们重要的生活和生产方式,数据驱动的智能时代正加速来临。智能网联汽车可以提供更加安全、环保、便捷的出行方式和综合解决方案,是未来智慧交通的重要组成部分和发展方向。然而,在保障传统车辆安全之外,数据安全问题也逐渐成为智能网联汽车安全的重要组成部分。报告撰写过程中对数十家车企、信息技术企业、网络安全企业开展了调研,听取了十余位行业资深专家的意见建议,梳理了智能网联汽车的内涵及发展现状,总结了智能网联汽车数据安全发展形势,并分别从车企、网络安全企业和政府三个维度,概括了在智能网联汽车数据安全方面的举措与做法、面临的机遇与挑战、对策建议。

国外

01、美国家安全局发布企业级IP语音和视频通信安全指南

美国国家安全局(NSA)分享了系统管理员在保护统一通信(UC)和基于IP协议的语音和视频(VVoIP)呼叫处理系统时应遵循的缓解措施和最佳实践。这份名为《在IP系统上部署安全统一通信/语音和视频》指南全文43页,共分为四个部分,第一部分,网络安全最佳实践和缓解措施;第二部分,边界安全最佳实践和缓解措施;第三部分,企业传话控制器安全最佳实践和缓解措施。发布该指南文件是为了促进国家安全局的网络安全任务,包括其识别和传播对国家安全系统、国防部信息系统和国防工业基地的威胁,以及开发和发布网络安全规范和缓解措施的责任。这些信息可以广泛地共享给所有适当的受众。

UC和VVoIP是在企业环境中用于各种目的的呼叫处理系统,从视频会议到即时消息和项目协作。由于这些通信系统与企业网络中的其他IT设备紧密集成,它们也会不经意地增加攻击面,因为它们引入了新的漏洞和隐蔽访问组织通信的可能性。如果没有足够的安全和配置,不安全的UC/VVoIP设备,也会面临同样的安全风险,并通过间谍软件、病毒、软件漏洞和其他恶意手段成为威胁行为者的攻击目标。美国情报机构解释称:“恶意行为者可以渗透IP网络,窃听通话、假冒用户、实施收费欺诈和拒绝服务攻击。”“如果被成功攻击,可能导致高清房间音频和/或视频被秘密收集,并通过IP基础设施作为传输机制交付给恶意行为者。”指南建议管理员采取以下关键措施,以最大限度地降低其组织的企业网络被利用UC/VVoIP系统的风险:

1. 通过VLAN (Virtual Local Area network)对企业网进行分段,实现语音、视频流量与数据流量的分离;

2. 通过访问控制列表和路由规则来限制跨VLAN对设备的访问;

3. 实现二层保护和地址解析协议(ARP)和IP欺骗防御;

4. 通过对所有UC/VVoIP连接进行鉴权,保护PSTN网关和互联网边界;

5. 经常更新软件,以减轻UC/VVoIP软件的漏洞;

6. 验证和加密信令和媒体流量,以防止恶意行动者假冒和窃听;

7.部署SBC (session border controller)监控UC/VVoIP流量,通过欺诈检测方案审计话单,防止欺诈行为的发生;

8.维护软件配置和安装的备份,以确保可用性;

9.通过限速管理拒绝服务攻击,限制呼入数,防止UC/VVoIP服务器过载;

10.使用识别卡、生物识别或其他电子手段控制物理访问安全区域与网络和UC/VVoIP基础设施;

11. 在将新设备(和潜在的流氓设备)添加到网络之前,在测试台上验证它们的特性和配置。

02、北约批准新的网络防御政策

在刚刚结束的北约峰会和七国集团峰会上,美西方国家将网络安全问题摆到政策高位,并在会议公报上重点强调了在该问题的原则和立场。北约表示,为了应对针联盟面临的日益严峻的网络威胁,北约批准了《北约综合网络防御政策》,该政策将支持北约的三项核心任务和整体威慑和防御态势,并进一步增强联盟弹性;北约重申联盟防御任务,决心在任何时候都根据国际法运用全方位能力,从而积极威慑、防御和应对全方位网络威胁,包括那些作为混合行动的一部分所开展的威胁;北约重申,关于网络攻击何时会导致援引《北大西洋公约》第5条的决定将由北大西洋理事会根据具体情况做出;北约认识到,在某些情况下,重大恶意累积性网络活动的影响可能被视为等同于武装攻击。美国总统拜登表示,新政策是北约过去七年来首次对政策进行新的迭代,并强调它将提高集体能力,以抵御来自国家和非国家行为者对联盟网络和关键基础设施的威胁;美国国家安全顾问杰克·沙利文表示,新政策将“升级整个联盟网络防御、政治和情报维度”。

此外,七国集团表示,将共同努力以进一步就现有国际法如何适用于网络空间达成共识,并共同努力紧急解决来自犯罪勒索软件网络的不断升级的共同威胁;呼吁所有国家紧急查明并瓦解在其境内运作的勒索软件犯罪网络,并让上述网络对其行为负责,尤其是俄罗斯要紧急“识别、瓦解和追究”勒索软件黑客和滥用加密货币洗钱的人员;将努力“促进安全、弹性、有竞争力、透明、可持续和多样化的数字、电信和ICT基础设施供应链”。

此外,美国总统拜登表示,在与俄罗斯总统普京会面时,将就网络安全和勒索软件问题与其直接对垒;如果普京选择不合作,并以过去与网络安全和其他一些活动相关的方式行事,那么西方国家将“以牙还牙”。

03、Google推出软件供应链安全框架

为了应对不断升级的软件供应链安全威胁,Google近日推出了一个软件供应链安全框架——SLSA。熟练的攻击者们已经发现软件供应链才是软件行业的软肋。除了改变游戏规则的SolarWinds供应链攻击之外,Google还指出了最近的Codecov供应链攻击,甚至网络安全公司Rapid7也成了受害者。

Google将SLSA描述为“用于确保整个软件供应链中软件工件完整性的端到端框架”。SLSA以Google内部的“Borg二进制授权”(BAB)为主导——Google八年来一直使用这一流程来验证代码出处和实现代码身份。Google在一份白皮书中指出,BAB的目标是通过确保部署在Google的生产软件得到适当审查来降低内部风险,特别是当这些代码可以访问用户数据时。Google的开源安全团队的专家指出:“SLSA的目标是改善软件行业安全状况,尤其是开源软件,以抵御最紧迫的完整性威胁。通过SLSA,消费者可以对他们使用的软件的安全状况做出明智的选择。”

SLSA希望锁定软件开发链中的所有内容,从开发人员到源代码、开发平台和CI/CD系统、以及包存储库和依赖项。依赖性是开源软件项目的主要弱点。2月,Google为关键的开源软件开发提出了新协议,该协议需要两个独立方的代码审查,并且维护人员需要使用双因素身份验证。Google认为更高的SLSA级别将有助于防止类似SolarWinds的软件供应链攻击,以及防范CodeCov攻击。虽然SLSA框架目前只是一套指导方针,但Google预计其最终将提供超过最佳实践的可执行性。“它将支持自动创建可审计的元数据,这些元数据可以输入到策略引擎中,从而为特定的包或构建平台提供SLSA认证。”Google指出。SLSA分为四个级别,其中第四级别是所有软件开发过程都受到保护的理想状态,如下图所示:

04、水务设施沦为美国最容易被黑的关基设施

资产管理不善,安全人员匮乏,在美国所有关键基础设施中,水设施可能是最容易被攻击的。美国水务信息共享与分析中心最新调查报告显示,530多家水务企业在IT/OT资产管理方面普遍存在不同程度的问题;美国网络与基础设施安全局数据显示,水厂上报的超80%漏洞为2017年前就披露过的老漏洞;

全美5万多家水务设施大部分是非盈利机构,特别是农村地区的工厂,可能只有少数几位不了解网络安全的普通员工。超过六成的水务公司表示,尚未完成对IT网络资产组成的全面评估,只有约21%的水务公司正在努力进行资产梳理。此外,约70%的受访者表示,运营技术(OT)网络资产的评估同样没有全面完成,只有不足四分之一受访者正在积极推动这项工作。从美国水务信息共享与分析中心(Water-ISAC)近日公布的最新调查报告可以看到,530多家水务企业在IT/OT资产管理方面普遍存在不同程度的问题。

就在调查结果发布的同天,NBC新闻首次披露报道,今年1月有黑客轻松入侵旧金山湾区一家水处理厂。攻击者使用某位前任雇员的凭证安装一款常见的远程办公软件之后,顺利掌握了网络访问权。在这起事件数周前,佛罗里达州一家水处理厂因为操作系统陈旧及远程办公软件存在漏洞被恶意篡改化学成分,登上了美国各大媒体的头条新闻。在水务信息共享与分析中心组织的这次调查中,只有4家组织确认其IT/OT系统曾在过去一年内遭到入侵,另有数十家组织表示他们“不确定”是否发生过安全事故。美国农村水务协会分析师Mike Keegan说,“鉴于不同水务公司的规模、能力和技术能力各不相同,很难对正在发生的攻击有很好的评估。”

在美国所有关键基础设施中,水设施可能是最容易被攻击的。与只有少数盈利公司经营的电网不同,全美5万多家水务设施大部分是非盈利机构,特别是农村地区的工厂,可能只有少数几位不了解网络安全的普通员工。在科洛尼尔燃油管道公司遭受攻击之后,美国众议院和参议院的议员们曾多次质疑相关官员,认为网络安全与基础设施安全局(CISA)应该在天然气与石油行业的网络安全问题上发挥更重要的监管作用。截至目前,网络与基础设施安全局只能在私营企业申请时提供协助。虽然国会立法授予该机构发布传票获取资产所有者联络信息的权力,但除了向联邦机构范围内的政府网络设施发布紧急指令外,该局仍然缺乏必要的监管权力。

根据网络与基础设施安全局整理并发布的水务行业相关数据,约10%的水务公司曾经上报严重漏洞、40%上报过高危漏洞。而由水厂上报的大部分安全漏洞(超过80%)为2017年之前就已经披露过的CVE漏洞。近日,水务信息共享与分析中心向成员机构发布了一份6个老漏洞清单,并强调“目前有多起上报提到,攻击者正利用这些漏洞入侵未经安全修复的水务及废水处理系统。”

05、美国参议院确认首位白宫国家网络主管

美国国会参议院通过克里斯.英格利斯(Chris Inglis)担任国家网络总监(National Cyber Director)的提名,这位曾任美国安局副局长的资深网络情报专家,未来将领导白宫新设立的国家网络总监办公室,统筹美国数字防御战略的制订和落实,组织协调美国联邦政府各职能部门的网络相关工作。

Chris Inglis目前在美国海军学院担任“罗伯特及玛丽.卢克杰出首席网络研究员”,他具有41年的美国政府及军队工作经历,在美国空军服役三十余年,2006年以准将身份退伍;在美国安局工作28年,其中的7年半担任该局的文职高级官员及副局长。英格利斯在美国安局副局长任上负责领导该局的日常运作,在该局的中国方向部门担任高级领导岗位,并协助其领导——基斯.亚历山大(Keith Alexander)设立美国网络司令部。Inglis 将成为美国历史上第一个担任白宫网络主管的人,该职位是根据最新的国防授权法案 (NDAA) 设立的。这是对之前白宫网络安全协调员角色的扩展。该角色于 2018 年在特朗普政府期间被取消,当时引起了两党的强烈反对。

06、美白宫成立国家人工智能研究资源工作组

据美国下一届政府网站6月10日报道,美白宫成立国家人工智能研究资源工作组,该工作组由来自公共、商业和学术领域的12名成员组成,由AI科技政策办公室助理主任艾琳·帕克和国家科学基金会副助理主任埃尔文·詹坎达尼共同领导。

该工作组将制定国家人工智能基础设施战略,为国内学生和研究人员提供计算资源、政府获取的数据、工具等,扩大美国人工智能优势;还将为国家人工智能资源的存续提供建议,涉及技术能力、治理、管理、评估等方面。

07、美英等七国欲联合开发基于卫星的量子加密网络

据美国《航天新闻》6月11日报道,美英等七国将联合开发一个基于卫星的量子加密网络——联邦量子系统(FQS),基于英国初创公司Arqit为商业客户开发的系统,利用突破的量子技术防范日益复杂的网络攻击。

日本、加拿大、意大利、比利时和奥地利政府也将加入该研究计划,英国电信公司、美国诺·格公司等商业伙伴将负责系统的设计和测试。Arqit公司已安排维珍轨道公司于2023年发射其第一颗FQS卫星,并计划在7月推出第一版量子云软件。使用量子计算技术进行对称加密比公钥基础设施系统更安全。

08、DARPA公布下一代宽带阵列滤波项目

据澳大利亚《太空战》6月11日报道,DARPA公布下一代宽带阵列滤波项目,该项目名为“单元级紧凑型前端滤波器”(COFFEE),旨在为下一代宽带阵列研发一种新型可集成的高频射频滤波器。该滤波器可使阵列在后端处理数字之前更加稳健、更具抗干扰性,从而解决宽带有源电扫描阵列(AESA)在拥挤的射频环境中使用受阻的问题。COFFEE滤波器技术将解决尺寸、性能和再重复性的组合问题,保护宽带AESA的每个单元。可在不牺牲性能的情况下处理宽带AESA的所有频率;与天线单元面积相比,滤波器尺寸更小,为单元级集成预留可用空间;可重复制造,确保配置的一致性。项目研究聚焦开发一类新型谐振器和可集成的微波滤波器,用于满足COFFEE的技术目标。此外,还将研发紧凑型毫米波谐振器,为未来可集成的毫米波滤波器提供新的技术方法。COFFEE是DARPA“电子复兴计划”(ERI)的一部分,该计划为期五年,投资超过15亿美元,旨在促进美国半导体产业的发展。

09、美众议院提出国家科技战略法案

据美国众议院科学、太空与技术委员会小组网站6月14日报道,美众议院多位议员提出《2021年国家科学技术战略法案》。该法案要求评估美国主导地位面临的威胁;指导科技政策办公室与国家科学委员会每四年制定一项全面的科技战略,并对美国科学技术进行四年一次的审查;法案建立了一套全政府的研发规划程序,确保联邦机构之间更好地协调,并以更具战略性的方式实现美国的研发目标;法案要求总统每年向国会报告国家重点研究计划,以及全球科学技术趋势。

法案的目标包括:确保美国经济与国家安全;保持美国在科技领域的领导地位;评估全球科技竞争;识别对美国领导地位的潜在威胁;提供加强美国STEM(科学、技术、工程、数学)人才队伍的建议;改善美国的区域创新;提供维持美国科技领导地位所需的基础设施;审查影响科技企业的行政政策,并提出消除研发障碍的建议。

10、日本通过太空资源法

据美国《航天新闻》报道,6月15日日本议会通过《促进与太空资源勘探和开发有关的商业活动法案》,准许日本公司勘探、开采和利用各种太空资源。

该法案与美国《商业航天发射竞争力法案》中的条款相似。卢森堡和阿拉伯联合酋长国也已通过类似立法。这四个国家都是《阿尔忒弥斯协定》的签署国,该协定支持开采并利用太空资源的能力。俄罗斯持不同观点,俄国家航天集团公司总经理罗戈津呼吁,建立一个“法规体系”,在国际层面解决太空资源开采等问题。新西兰支持关于太空资源的国际讨论,新西兰外交部长纳纳亚·马胡塔认为有必要制定更多的国际规则或标准,以保护太空资源与维持长期可持续性发展。

来源: 信息安全与通信保密杂志社

注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。

标签: