安全419年度盘点 | 回顾2021年网络安全行业里的那些“地震事件”
不知不觉,2021年已经走向尾声。这一年中,新冠疫情一波三折,仍笼罩着人们的生活和各行各业,复苏未至,凛冬仍续。片刻的安稳是奢侈的,“动荡”成为了2021年最具代表性的主题词。
对网络安全行业来说,2021年也是极为不平凡的一年。网络攻击、数据泄露、勒索软件、高危漏洞等各类安全事件也依然频发,动辄数亿条用户信息泄露的安全头条新闻不断警醒我们,各行业的安全威胁依然不容小觑。
但与之同时,《数据安全法》、《网络安全产业高质量发展三年行动计划》、《关键信息基础设施安全管理条例》、《网络安全漏洞管理办法》、《个人信息保护法》等多项政策法规的密集发布,推动着网络安全行业进入规模和质量双增长的时代,网络安全产业正如日方升。
安全419根据公开资料,整理了2021年全年的代表性网络安全大事件与读者朋友们一起回顾,哪些事件对行业产生了深远的影响?哪些事件让行业“深夜无眠”?哪些事件让行业为之跌宕起伏?
!
快速概览
● 2021年5月, 黑客攻击了美国最大的天然气和柴油运输管道公司 Colonial Pipeline。本次攻击成为美国能源系统有史以来遭遇的最严重网络袭击,这次攻击事件给美国以及全球的能源行业和网络安全行业敲响了警钟。
● 2021年6月,十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》。该法是我国关于数据安全的首部法律,标志着我国在数据安全领域有法可依,可为各行业数据安全提供监管依据。
● 2021年7月,网信办发公告宣布启动对滴滴的网络安全审查。数据安全审查大幕正式拉开,网络安全正式从关注网络边界安全的上半场进入聚焦内容安全及数据安全的下半场。
● 2021年7月,《网络产品安全漏洞管理规定》正式出台,该《规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。
● 2021年7月,《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》出炉,其释放了一个重要信号, 网络安全产业不再是依靠法律法规来约束和促活市场需求,而是国家统一行动有目标有规划的进行生态化的落实。
● 2021年7月,《关键信息基础设施安全保护条例》正式发布, 作为国家安全法、网络安全法这两部上位法的配套,进一步明确指出了保护关键基础设施与保障国家安全之间的关系,并从体制机制上提出相应的解决方案,进一步落实关键信息技术设施安全运营者主体责任。
●2021年8月,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,于2021年11月1日起实施。直接推动我国网络安全市场中相关数据安全产品和服务的需求,保障数据完整性、保密性和可用性的需求凸显,个人信息安全防护市场或将成为一块新的蓝海。
●2021年12月,“核弹级”的Apache Log4j2远程代码执行漏洞细节被公开,制造了一个波及全球技术人员的“不眠之夜”。随后阿里云因发现Log4j2严重组件安全漏洞隐患后,未及时向电信主管部门报告,报告未有效支持工信部网络安全威胁和漏洞管理而被公司暂停作为上述合作单位6个月,此事也被业界认为是违反《网络产品安全漏洞管理规定》第一案。
以下为相关事件的详细内容:
美国东海岸最大输油管道公司遭勒索攻击
5月7日,黑客攻击了美国最大的天然气和柴油运输管道公司 Colonial Pipeline,导致Colonial因遭受勒索软件攻击而暂时停止运营,攻击者通过非法软件控制了其电脑系统或数据,造成其美国东部沿海各州供油的关键燃油网络全部被迫关闭。
随后5月9日,美国宣布进入国家紧急状态,解除对公路运输燃油的各种限制,最大程度减轻Colonial 公司输油管道持续关闭带来的影响。本次攻击成为美国能源系统有史以来遭遇的最严重网络袭击,这次攻击事件给美国以及全球的能源行业和网络安全行业敲响了警钟。
与传统IT系统不同,以石化、电力等工业系统为代表的能源行业作为国家关键基础设施,在人们日常生活中扮演着及其重要的角色,其是否正常运转直接关系到国计民生。
美国是全球网络安全的领跑者,在网络各个方面拥有着绝对的优势以及丰富的经验,但是此次攻击事件也凸显了美国关键基础设施的脆弱性,也暴漏出其疏于防范的惰性心理。
我国信息安全技术发展较为滞后,工业控制系统同样存在着信息安全管理制度不健全,标准规范缺失,安全防护能力和应急处置能力弱等问题,这次事件警示我们,网络安全管理是一个长期的动态的过程,工业控制系统及工业互联网安全建设是一个需要足够耐心和仔细的长期工作,不得松懈。
《数据安全法》正式出台
2021年6月10日,十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,于2021年9月1日起施行。《数据安全法》是我国关于数据安全的首部法律,标志着我国在数据安全领域有法可依,可为各行业数据安全提供监管依据。
《数据安全法》明确了数据安全领域内治理体系的顶层设计,通过规制数据处理活动、保障数据安全、保护个人和组织合法权益、维护国家主权和安全,引领和促进数据的开发利用,对数据活动处理者提出更高的数据合规要求。
随着数字经济时代来临,数据作为一种新的生产要素,也是企业、社会和国家安全的重要战略资源,必须通过立法建立健全各项制度措施,切实加强数据安全保护,维护公民、组织的合法权益,才能促进数字经济健康发展。
从外部环境来看,美国、欧盟及全球多个国家、地区已经相继出台了数据安全保护的法律条例,数据主权关系到国家安全,《数据安全法》成为国家大数据战略中至关重要的法治基础,我国健全数字规则即是要保护数字安全以及参与全球数字规则制定和数字治理。
作为我国首部关于数据安全的专门法律,《数据安全法》将与《网络安全法》及《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架。
滴滴数据安全事件
2021年6月30日,国内网约车平台巨头滴滴在美股低调上市。7月2日,网信办发公告宣布启动对滴滴的网络安全审查。此后数日,系列监管政策密集出台,对“滴滴出行”APP和其他25款滴滴系APP全网下架,并开展全方位调研。
7月4日,中央网信办发布关于下架“滴滴出行”App的通报,通报中指出经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。7月16日,按照网络安全审查工作安排,国家互联网信息办公室会同公安部、国家安全部、自然资源部、交通运输部、国家税务总局、国家市场监督管理总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。7月5日,国家网信办还对“运满满”“货车帮”“BOSS直聘”实施审查,原因也同样是数据安全风险。
本次滴滴事件凸显了国家对数据安全的高度重视。在6月10日《数据安全法》正式通过的大背景下,监管下场对滴滴进行审查整顿,数据安全审查大幕正式拉开。
随着海量数字化基础设施的建设,数据量井喷式爆发,而安全产业的规模和发展速度却远不能匹配数字化进程。无论是数据黑产对个人财产的侵犯,还是5月份美国经历的成品油管道网络攻击事件,都表明“大数据安全”正在成为当前个人、企业、政府一致面对的安全重灾区,数据安全问题无处不在。
在此背景下,以滴滴事件为界限,网络安全正式从关注网络边界安全的上半场进入聚焦内容安全及数据安全的下半场。新安全需求和增量预算将转化为产业红利,推动行业迎来新一轮发展机遇期。
《网络产品安全漏洞管理规定》正式出台
7月12日,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》。《规定》旨在维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行,规范漏洞发现、报告、修补和发布等行为,明确相关组织或个人等各类主体的责任和义务。《规定》自9月1日起开始施行。
《规定》旨在维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。
《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。
在《规定》中,网络产品提供者,网络运营者,从事漏洞发现、收集、披露等活动的组织或个人的责任和义务得到了明确。《规定》明确,网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。同时,《规定》还对网络产品提供者提出了漏洞报送的具体时限要求,以及对产品用户提供技术支持的义务。
该《规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下,《规定》对于维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行,具有重大意义。
《网络安全产业高质量发展三年行动计划
(2021-2023年)》(征求意见稿)出炉
7月12日,工信部官网发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》(以下简称:征求意见稿),并向社会公开征求意见及建议。
征求意见稿显示,三年发展行动计划的发展目标是到2023年,网络安全技术创新能力明显提高,产品和服务水平不断提升,经济社会网络安全需求加快释放,产融合作精准高效,网络安全人才队伍日益壮大,产业基础能力和综合实力持续增强,产业结构布局更加优化,产业发展生态健康有序。
具体包括:在产业规模上,网络安全产业规模超过2500亿元,年复合增长率超过15%;在技术创新上,一批网络安全关键核心技术实现突破,达到先进水平。新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强;在企业发展上,一批质量品牌、经营效益优势明显的具有网络安全生态引领能力的领航企业初步形成,一批面向车联网、工业互联网、物联网、智慧城市等新赛道的“专精特新”中小企业群体迅速成长,网络安全产品、服务、解决方案单项冠军企业数量逐步壮大;在需求释放上,电信等重点行业网络安全投入占信息化投入比例达10%。重点行业领域安全应用全面提速,中小企业网络安全能力明显提升,关键行业基础设施网络安全防护水平不断提高。
征求意见稿的发布为行业打了一剂强心剂,当日A股网络安全板块走高,国华网安(000004)涨停,三六零(601360)涨幅超5.7%,安恒信息(688023)涨幅9.99%。
业内专家指出,该征求意见稿的发布释放了一个信号,网络安全产业不再是依靠法律法规来约束和促活市场需求,而是国家统一行动有目标有规划的进行生态化的落实,不但要保障国家和人民的网络和数据安全,更要将网络安全产业提升质量,与 5G、大数据、人工智能等高新技术同级发展,为各行各业做好保驾护航的工作。
《关键信息基础设施安全保护条例》正式发布
7月30日,国务院总理李克强签署中华人民共和国国务院令第745号:《关键信息基础设施安全保护条例》(以下简称《条例》),该《条例》于8月17日正式发布,自2021年9月1日起施行。
关键信息基础设施是数字化社会运行的神经中枢,是网络安全保障的重中之重。当前,关键信息基础设施面临的严峻的安全形势,网络攻击威胁事件频发。
在此情况下,制定出台《条例》,建立专门的关基信息基础设施(以下简称“关基”)的保护制度,明确各方责任,提出保障促进措施,有利于进一步提升我国网络空间安全保障的整体水平。这是自1994年国务院令第174号令:《中华人民共和国计算机信息系统安全保护条例》之后,又一网络安全领域的重要法规。
《条例》提出国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
今年以来,世界多个国家的基础设施和重要的信息系统遭受网络攻击,如:燃油管道被攻击、电网断电、域名解析服务器中断服务、银行核心系统被攻击等事件,因此,世界各国均将关基信息基础设施作为网络安全保障的重点环节,世界各发达国家也均出台了关基保护相关的法律、法规和文件。关基信息基础设施的渗透和保护,也是世界各国网络空间博弈的重要战场。
《条例》作为国家安全法、网络安全法这两部上位法的配套,进一步明确指出了保护关键基础设施与保障国家安全之间的关系,并从体制机制上提出相应的解决方案,进一步落实关键信息技术设施安全运营者主体责任,设立了安全防护、检查评估、监测预警、应急处置等标准,这些关键信息的明确,将让《条例》的施行更具有可操作性,开展网络安全工作有序有度。
《个人信息保护法》正式出台
8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,于2021年11月1日起实施。本法对于保护公民个人信息,规范网络平台合规使用公民信息具有重要的指导意义。
《个人信息保护法》的实施,标志着我国网络数据法律体系建设基本完成,而《网络安全法》、《数据安全法》、《网络安全审查办法(征求意见稿)》、《关键信息基础设施安全保护条例》、《个人信息保护法》等法律法规的相继实施,也象征着一个属于网络安全行业的崭新时代正在到来。
新的《个人信息保护法》是一部保护公民个人信息的专门法律,它将进一步加强我国在个人数据信息方面的的保护,用户画像、大数据杀熟、算法歧视等问题将得到纠正。最重要的是,在个人信息保护法的严格规定下,互联网企业们也将开始从用户隐私的角度重新思考他们的商业模式。
而站在网络安全行业的视角来看,《个人信息保护法》无疑将直接推动我国网络安全市场中相关数据安全产品和服务的需求,企业引入数据加密、数据脱敏、数据防泄露、数据追踪溯源以及数据库安全等技术手段保护用户个人隐私,保障数据完整性、保密性和可用性的需求凸显,个人信息安全防护市场或将成为一块新的蓝海。
阿帕奇漏洞事件爆发
12月9号深夜,一个被视作“核弹级”的Apache Log4j2远程代码执行漏洞细节被公开,该漏洞无需特殊配置即可被黑客利用。安全圈甚至整个互联网技术圈都经历了一场“大地震”——Apache Log4j2被曝出一个高危漏洞,危害堪比“永恒之蓝”,相信不少技术人员都在凌晨被叫醒去公司修复漏洞,经历了一个不眠之夜。
该漏洞事件在引起全球范围关于开源组件的安全治理讨论的同时,也将该漏洞的最早发现者——阿里云推上了风口浪尖。截取阿里云官方发布的情况说明:
“近日,阿里云一名研发工程师发现Log4j2 组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。
阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识,积极协同各方做好网络安全风险防范工作。”
据媒体报道,工信部通报称,阿里公司发现阿帕奇(Apache)Log4j2严重组件安全漏洞隐患后,未及时向电信主管部门报告,报告未有效支持工信部网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。因此,此事也被业界认为是违反《网络产品安全漏洞管理规定》第一案。
目前,该事件的发展仍然进一步发酵,工信部将如何进一步处置仍然有待观望。但无疑,“紧箍咒”已经牢牢的套在了漏洞披露者的头上,作为安全研究人员,究竟应该如何合规披露漏洞坚守正义,同时遵守法律法规相关要求保护好自己?法律的边界在哪里?在未来很长一段时间里,这个问题将是安全从业者们持续探讨的主题。
THE END
// 推荐阅读