如果从1994年发布的《中国计算机信息系统安全保护条例》开始算起,中国的数字安全产业已走过三十年。从以杀毒软件为主的数亿元市场,渐渐发展到以信息保密和IT安全并举的百亿市场。紧接着,在“没有网络安全就没有国家安全”的指导理念下,安全产业的发展进入快车道。随着网络安全法、密码法、等保、关保、个保、数保等对产业发展影响重大的法规政策连续出台,产业规模以年均20%的速度迅猛增长,并在2020年达到29.9%的年度增长记录,直逼千亿规模。
形势一片大好之际,却在国际政治、全球经济等大背景以及内部多重因素和长期积累的影响下,开始出现增长疲软的态势,安全产业进入发展缓滞期……
为了记述数字安全领域发生的大事件以反映产业现状与趋势,基于长期的调查和研究工作,数世咨询每年都从当年国内外上千条事件中进行精选和提炼,并撰写和发布历年《数字安全大事记》。
《2023年数字安全大事记》于2024年1月5日发布。
1、Okta客户数据被盗
国际知名身份安全公司Okta在遭黑客攻击后,其客户支持系统的全部用户数据被盗。Okta约有1.5万家企业客户。其CEO曾在2019年表示,已拥有超过1亿注册用户和500万付费日活用户。攻击事件发生到现在,Okta市值已暴跌3倍,300亿美元的市值蒸发。近年来,在我国的大型攻防演练活动中,也不断的发生安全设备被破解绕过的类似事件。安全公司不安全?实际上,网络攻防能力的逻辑在于资源对抗,没有投入就没有安全,安全公司当然也不例外。
2、国内安全大模型爆发
ChatGPT的火爆引发大语言模型的应用普及,国内先后出现了十几家安全企业发布大模型驱动的安全运营相关产品。根据数世咨询的初步调研,大语言模型或生成式AI支撑的安全产品,目前尚未形成真正的商业收入,尚处于数世咨询定义的市场成熟度中的概念阶段。(注:数据咨询将市场成熟度定义为四个阶段,概念市场、新兴市场、发展市场和成熟市场)
3、数字安全产业步履维艰
自2020年增长率创历史新高(29.9%)之后,数字安全产业开始出现增长疲软的态势。2021年、2022年连续两年增长率下降11个百分点,而2023年,大概率会出现三十年来的首次无增长。大多数安全企业,旨在锐意进取的降本增效却变成无可奈何地减员降薪。数世咨询在2023年6月向业界呼吁“生存是民营企业的第一要务”,这一观点已经得到了事实的充分验证。
4、全球资本市场进入寒冬期
2023年数字安全资本市场的股权融资再创新低,国内数字安全企业股权融资仅70余笔,与2022年相比下降26%。股权融资总额约39亿元,与2022年相比下降45%。与此同时,海外数字安全的股权融资也呈大幅度下降态势。股权融资148笔,与2022年相比下降32%。股权融资总额约为50.45亿美元,与2022年相比下降55%。
5、史上最大安全收购:思科收购Splunk
9月,思科宣布以280亿美元的天价收购Splunk,此次收购完成后将为安全行业最大一笔收购事件。之前的两笔超过百亿美元的收购发生在2021年,一个是由多家资本组成的投资集团以140亿美元收购了McAfee,另一起是私募资本Thoma Bravo以123亿美元的价格收购Proofpoint。
6、Meta再遭巨额罚款
5月,Meta因将欧洲地区用户的个人数据传输到美国而被欧盟数据保护委员会处以13亿美元的罚款,并被勒令在六个月内删除非法存储和处理的数据。之前在2022年,Meta就因被指控旗下的社交网络Facebook允许包括剑桥分析在内的第三方访问用户私人数据,而支付了7.25亿美元的和解费用。
7、美国长期对中国实施网络攻击
9月,中国国家安全部在官方微信公众号发文指出,美国情报部门凭借其强大的网络攻击武器库,对包括中国在内的全球多国实施监控、窃密和网络攻击,如特定入侵行动办公室早在十几年前就开始入侵华为的服务器并持续开展监控;长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击,窃取大量高价值数据。另据国家网络安全机构对武汉市应急管理局地震监测中心网络被植木马的调研结果,攻击手段符合美国情报机构特征,目标是窃取地震监测相关数据,带有具有明显的军事侦察目的。
8、《商用密码管理条例》修订施行
4月,国务院总理李强签发中华人民共和国国务院令第760号,《商用密码管理条例》经2023年4月14日国务院第4次常务会议修订通过并公布,自2023年7月1日起施行。《条例》包括六大重要内容:一是完善商用密码管理体制。二是促进商用密码科技创新与标准化建设。三是健全商用密码检测认证体系。四是加强电子认证服务使用密码和电子政务电子认证服务活动管理。五是规范商用密码进出口管理。六是促进商用密码应用。
9、《计算机信息系统安全专用产品销售许可证》停止颁发
4月,网信办、工信部、公安部、国家认监委、财政部联合发布公告。自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。同时,停止颁发《计算机信息系统安全专用产品销售许可证》,产品生产者无需申领。此次调整公告,是落实《网络安全法》关于推动安全认证和安全检测结果互认规定的重要举措,对统一网络安全产品安全要求、提升产品整体安全防护能力,减轻网络安全企业负担、营造良好产业发展环境,发展强大网络安全产业、增强国家网络安全能力具有重要意义。
10、“2522”:筑牢可信可控的数字安全屏障
2月,中共中央、国务院印发的《数字中国建设整体布局规划》明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。规划指出,“筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。”
1、重要结论
● 与前几年相比,超大规模数据泄漏事件的数量在下降,但中等规模的数据泄露事件数以万计。根据暗网监测公司零零信安的数据,2023年大于10亿条数据量的售卖信息多达数百起,全年交易记录11万起。
● 数据泄露的三大主因,数据库配置错误、勒索软件和针对性的网络攻击。其中,由数据库配置错误可能造成的大规模数据泄露事件,连续两年呈下降态势。而勒索软件,已经发展形成了从破坏数据到窃取数据,再到售卖数据和泄露数据的多种勒索获利方式。
● 安全公司需要提升安全文化。身份安全公司Okta遭黑客攻击,全部客户数据失窃,堪称安全业界的年度大事件。近年来,在我国的大型攻防演练活动中,也不断的发生安全设备被破解绕过的类似事件。实际上,网络攻防能力的逻辑在于资源对抗,没有投入就没有安全,安全公司当然也不例外。
● 2023年的加密货币遭攻击带来的损失明显下降,与2022年43亿美元的损失相比,至少下降了50%。这可能与全球各国政府加强监管和控制力度,从而导致加密货币行业的热度下降有关。
● 据区块链数据分析公司Chainalysis发布的《2023加密资产犯罪》报告,有着国家支持背景的朝鲜黑客组织,在过去六年中,利用网络攻击窃取了价值30亿美元的加密资产,将其用于资助国家研究项目。这种利用网络攻击来获取经济利益为主要目的国家行为实属罕见。(2021年朝鲜的GDP为167.5亿美元)
2、2023年度十大数据泄漏事件
1月,口令管理软件供应商 LastPass因泄露2500万客户数据,被100多名客户提起集体诉讼。
1月,美国电信运营商T-Mobile US 3700万客户的个人信息遭泄露,包括姓名、账单地址、电子邮件地址、电话号码、出生日期、T-Mobile账户号码等信息。实际上,T-Mobile US 自2018年以来已经发生了7次较大规模的数据泄露事件。
3月,地下市场 BidenCash 免费发布了超过200万张有效信用卡的数据,作为其促销活动的推广策略。泄露的信息包括持卡人的全名、卡号、银行详细信息、到期日期、CVV号、家庭住址和电子邮件地址。
3月,印度最大私营银行 HDFC Bank 7200万条客户数据在地下论坛Breached forum 泄露。泄露的数据包括姓名、出生日期、电话号码和电子邮件地址,就业信息、贷款详细信息、交易方式、手续费、银行名称和分行、信用评分,以及交易商姓名、交易日志、保证金日志、一般资产日志、会员卡号、员工代码等。
3月,某地下论坛出售印度警方业务的数据。出信者声称该份数据“超过9亿份(600GB)印度法律文件记录/文档、被捕/被控人以及警方/法庭报告……经OCR处理转为JSON格式,随附有原始PDF文件链接。”
7月,研究人员发现负责孟加拉公民出生和死亡登记的官网,其数据可被公开访问。这些数据包括姓名、电话号码、电子邮件地址和国民身份证号码,涉及大部分孟加拉公民,孟加拉的人口数量约为1.7亿。
10月,日本卡西欧官方披露,其业务服务器遭攻击,包括用户姓名、电子邮件地址、居住国家、服务使用详细信息以及支付方式、许可证代码和订单详情等信息被盗。被盗数据涉及到全球149 个国家及地区的用户。
10月,某地下论坛以8万美元的价格出售包含超过8.15亿印度公民的生物识别数据和护照的数据库,包括姓名和地址详细信息、电话号码,护照详细信息等。
12月,某地下论坛出售4亿推特用户数据,出售者声称这些数据利用了推特的API设计缺陷,得以进行大规模的收集获取。
12月,国际知名身份安全公司Okta承认,遭黑客攻击后被窃取全部客户数据,信息包括:创建日期、上次登录、全名、用户名、电子邮件、公司名称、用户类型、地址、上次更改或重置密码的日期、角色(名称)、角色(描述)、电话、手机、时区、联系信息、用户名、角色描述和 SAML 联合 ID。
3、2023年度十大网络攻击事件
2月,加密货币平台Wormhole遭黑客入侵,攻击者利用智能合约中的漏洞窃取了价值3.2亿美元的封装以太币(WETH)。
2月,云服务商Cloudflare成功防御并缓解了创纪录的分布式拒绝服务(DDoS)攻击,该攻击的峰值为每秒7100万个请求(RPS)。去年的DDoS创记录攻击发生在谷歌云,每秒4600万个请求。
2月,爱尔兰联合党领导人Peadar在评估去年勒索软件Conti对爱尔兰医疗保健系统的网络攻击时表示,至少造成超过1亿美元的损失。爱尔兰国务部长表示,这“可能是对爱尔兰国家最严重的网络犯罪攻击”。
4月,稳定币平台Beanstalk被攻击者利用DeFi协议中的漏洞,实施闪电贷攻击,导致Beanstalk损失了约 1.82 亿美元的加密资产。
6月,区块链风投公司Harmony遭黑客攻击,85,867个ETH代币失窃,价值可能超过1亿美元。
8月,消费产品生产和经销商高乐氏遭网络攻击导致IT系统停摆,其之后的季度净销售额同比下降20%,高达3.56亿美元。
9月,加密货币交易平台Mixin Network承认,其云服务提供商的数据库遭黑客入侵,约2亿美元的资产失窃。
10月,印度支付网关公司Safexpay遭网络入侵,至少有260个银行账户被用于进行金融欺诈,从这260个账户的银行对账单推断,约有1618亿卢比(约合人民币141.84亿元)被挪用,其中一部分已转移到外国账户。
10月,米高梅度假村(MGM Resorts)首席财务官表示,公司在9月份遭受的网络攻击导致运营损失至少1亿美元。
11月,澳大利亚政府服务部长比尔﹒肖顿表示,针对数字政府MyGov的钓鱼网站,成功实施了4500起骗局,已带来31亿澳元的损失。
1、漏洞情况综述
截止到目前(12月31日)为止,CNVD(国家信息安全漏洞共享平台)今年漏洞总数为19526个,比去年23927个减少约18.39%。CNNVD(国家信息安全漏洞库),2023年总漏洞数为28663个,同比去年25718个增长了约11.45%。截止12月31日,NVD共发布漏洞数量23808个,较去年24461个同期减少约2.67%。
2023年CNVD的漏洞分布显示排名第一的漏洞类型为“设计错误”,占比67.2%,其次为“输入验证错误”,占比28.9%。
2023年VULHUB开源网站威胁库收录的总漏洞数为30073个,同比去年增长了约7%。其中严重漏洞4390个,高危漏洞10325个,中危漏洞13442个,低危漏洞1916个。
VULHUB采用CWE作为漏洞分类标准,其中排名前10的漏洞类型分别为:在Web页面生成时对输入的转义处理不恰当(跨站脚本)(CWE-79),内存缓冲区边界内操作的限制不恰当(CWE-119),输入验证不恰当(CWE-20),SQL命令中使用的特殊元素转义处理不恰当(CWE-89),越界写入(CWE-787),信息暴露(CWE-200),权限、特权与访问控制(CWE-264),对路径名的限制不恰当(CWE-22),越界读取(CWE-125),跨站请求伪造(CWE-352)。(注:漏洞内容由丈八网安提供)
截止2023年,据VULHUB统计累计漏洞发现最多的厂商如下:
微软(漏洞13122个)
甲骨文(漏洞9279个)
苹果(漏洞8301个)
IBM(漏洞6159个)
思科(漏洞5405个)
红帽(漏洞5096个)
Mozilla(漏洞2876个)
惠普(漏洞2120个)
阿帕奇(漏洞2153个)
谷歌(漏洞828个)
2023年,据VULHUB统计累计漏洞发现最多的厂商如下:
苹果(漏洞479个)
甲骨文(漏洞308个)
红帽(漏洞269个)
阿帕奇(漏洞229个)
谷歌(漏洞222个)
IBM(漏洞219个)
思科(漏洞170个)
Mozilla(漏洞153个)
微软(漏洞75个)
惠普(漏洞55个)
2023年,VULHUB统计漏洞最多的产品如下:
Android(漏洞707个)
Chrome(漏洞246个)
Gitlab(漏洞165个)
Firefox (漏洞136个)
Office(漏洞44个)
MinlO(漏洞55个)
Zabbix(漏洞28个)
截止2024年1月2日,VULHUB通过对近期漏洞风险状况进行综合评估计算得出当前的漏洞风险指数为“高”。
参考:https://www.vulhub.org.cn/index
2、年度十大漏洞
(1)Cisco IOS XE系统Web UI未授权命令执行漏洞(CVE-2023-36844)
(2)Juniper Networks Junos OS远程代码执行漏洞(CVE-2023-36844)
(3)Apache Active MQ远程代码执行漏洞(CVE-2023-46604)
(4)F5BIG-IP远程代码执行漏洞(CVE-2023-46747)
(5)GitLab任意文件读取漏洞(CVE-2023-2825)
(6)Google Chrome WebP堆缓冲区溢出漏洞(CVE-2023-4863)
(7)WinRAR代码执行漏洞(CVE-2023-38831)
(8)“三角测量行动”(Operation Triangulation)中涉及的4个漏洞(CVE-2023-32434、CVE-2023-32435、CVE-2023-38606、CVE-2023-41990)
(9)Atlassian Confluence身份认证绕过漏洞(CVE-2023-22518)
(10)Microsoft Office安全功能绕过漏洞(CVE-2023-36413)
(注:漏洞排名依照Vulhub CVSS分值排序,数据由蛇矛实验室提供)
1、重要结论
● 2023年度的十大违规处罚事件全部为数据安全或个人隐私相关,被处罚方绝大多数为拥有海量用户数据的互联网平台。
● 与2022年高达80亿美元的罚金相比,2023年的处罚金额断崖式下降为20亿美元左右。原因可能在于,各大互联网机构纷纷加强了对数据安全和个人隐私的重视。
2、2023年度十大违规处罚事件
1月,社交巨头Meta爱尔兰运营分支因违反欧盟的《通用数据保护条例》,被爱尔兰数据保护委员会处以总计3.9亿欧元(4.14亿美元)的罚款,并勒令其“在3个月内使其数据处理业务合规”。
4月,TikTok因违反英国《通用数据保护条例》的规定而被罚款近1600万美元。该条例要求,13岁以下的儿童在平台进行个人信息注册时,需要父母或监护人的许可。此前1月份,TikTok还因违反cookie同意规则而被法国数据保护监管机构罚款500万欧元。
5月,Meta因将欧洲地区用户的个人数据传输到美国而被欧盟数据保护委员会处以13亿美元的罚款,并被勒令在六个月内删除非法存储和处理的数据。
5月,谷歌最终支付了两笔总计3990万美元的和解费用,以解决印第安纳州和华盛顿特区就其“欺骗性”位置跟踪行为提起的两起诉讼。
6月,电子商务巨头亚马逊同意支付总计3080万美元的和解费用,以解决 有关其Alexa助手和Ring门铃单元的隐私指控。
6月,微软因其XBOX平台在注册时违反“儿童在线隐私保护法”,被美国联邦贸易委员会罚款2000万美元,联邦贸易委员会认为,XBOX平台非法收集儿童个人信息并在未经父母同意的情况下保留这些信息。
9月,谷歌同意支付9300万美元,以解决美国加利福尼亚州提起的诉讼,该诉讼指控该公司的位置隐私做法误导了消费者并违反了消费者保护法。
10月,英国金融行为监管局宣布,已就2017年大规模数据泄露事件对信用上报公司Equifax的英国分支机构处以1100万英镑(约合1350万美元)的罚款。
11月,国际金融公司摩根士丹利同意就不安全地处理包含未加密个人信息的硬件,分别支付给包括佛罗里达、康涅狄格等6个州政府,总计650万美元的和解费用。
12月,英国国防部因“2021年9月20日,国防部使用’收件人’字段向有资格撤离的阿富汗公民的名单发送了一封电子邮件,其中与245人的个人信息被无意中泄露”一事,英国信息专员办公室向英国国防部处以350,000英镑(约合666,400美元)的罚款。
1、重要结论
● 数世咨询于2023年将“网络安全三元论”迭代并升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核的数字安全三元论”,以适应数字中国建设的进程。
● ChatGPT的火爆引发大语言模型的应用普及,国内先后出现了十几家安全企业发布大模型驱动的安全运营相关产品,但目前尚未形成真正的商业收入,尚处于数世咨询定义的市场成熟度中的概念阶段。
● 软件供应链安全开始受到更多用户的关注,但绝大多数用户的需求停留在软件成分分析和应用安全测试的需求。整个软件供应链安全体系的建立还需要相当一段长的时间。
● 国内融资市场,数据安全超越去年的工业互联网安全成为融资额第一的赛道,攻击面管理进阶为安全运营位列第三,密码从去年的第十位跃居第四。零信任、威胁检测与响应、车联网跌出十大赛道。数字靶场、入侵攻击模拟、安全验证合并成为一个新的赛道,持续评估。
● 2023年数字安全资本市场的股权融资再创新低,国内股权融资总额约39亿元,与2022年相比下降45%。与此同时,海外数字安全的股权融资也呈大幅度下降态势。股权融资148笔,与2022年相比下降32%。股权融资总额约为50.45亿美元,与2022年相比下降55%。
2、技术产品
数世咨询于2020年首次提出“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。随着数据成为第五大生产要素为典型标志的数字时代来临,数世咨询将“网络安全三元论”进行了更新迭代,并升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应数字中国建设的进程。
数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。
“三元一核”数字安全三元论
从数字资产、数字活动与安全能力三大元素和位于中心的数据安全共四大维度出发,能力图谱划分出八大方向。每个方向又包含各自一级或子级的细分领域。
根据“专精特新”的技术先进性和落地可行性,数世咨询提出:
3、2023年度数字安全十大创新项目
(1)数字资产全息图(DAH)—典型厂商:未岚科技
(2)API数据安全(ADS)—典型厂商:青笠科技
(3)持续评估定义安全运营(CEDSO)—典型厂商:360数字安全
(4)大模型驱动的安全运营(LLM-Ops)—典型厂商:绿盟科技
(5)现代WAF(MWAF)—典型厂商:瑞数信息
(6)数据监测与响应(DMR)—典型厂商:云智信安
(7)标签即服务(LaaS)—典型厂商:霍因科技
(8)数字化安全运营工作框架(DSO-SF)—典型厂商:众智维
(9)智能汽车安全(SVS)—典型厂商:为辰信安
(10)企业浏览器(EB)—典型厂商:360数字安全
4、资本市场
据数世咨询统计,2023年国内数字安全企业股权融资70余笔,与2022年相比下降26%。股权融资总额约39亿元,与2022年相比下降45%。
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
海外资本市场方面,依据公开的消息,股权融资次数148笔,与2022年相比下降32%。股权融资总额约为50.45亿美元,与2022年相比下降55%。
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
5、2023年度数字安全十大收并购
(1)思科收购日志搜索厂商Splunk,280亿美元
(2)Open Text收购IT运维与应用安全厂商Micro Focus,58亿美元
(3)THALES收购应用与数据库安全厂商Imperva,36亿美元
(4)TPG收购Forcepoint的全球政府网络安全业务,25亿美元
(5)Francisco Partners收购云安全厂商Sumo Logic,17亿美元
(6)Crosspoint Capital Partners收购终端安全厂商Absolute Software,8.7亿美元
(7)Palo Alto Networks收购企业浏览器安全厂商Talon Cyber Security,6.25美元
(8)Check Point收购SASE厂商Perimeter 81,4.9亿美元
(9)Travelers收购网络保险提供商Corvus Insurance Holdings,4.35亿美元
(10)Palo Alto Networks收购数据安全厂商Dig Security,4亿美元。
1、重要结论
● 2023年,与国家冲突相关的攻击活动愈演愈烈。以俄罗斯和乌克兰,伊朗和以色列,巴基斯坦与以色列等为代表。攻击手段包括木马、钓鱼、拒绝服务和信息伪造等,攻击对象则包括了通信、电力、交通、金融、政务等重要基础设施。
● 短视频社区平台TikTok先后被美、英、澳、加等国在政府机构的设备上禁用,美国甚至还将其扩大到所有政府承包商的设备上。表面上欧美等是以国家安全的名义,但实际上为了维护自身互联网企业的市场份额,以及对中国互联网企业带来的数字文化传播力的极度担忧。
● 2023年,又是一系列法规政策密集出台的一年。个人信息、数据安全、网络安全认证、密码等重磅规定相继发布。从中可以感到,我们的数字安全制度体系正在逐渐完善。从最顶层的数字中国建设整体布局规划,到等保、数保、个保和关保,再到相关的各项标准和管理办法,已经基本形成了从法规政策到标准办法的一整套制度体系。
2、2023年度国家级网络安全十件大事
2月,西欧最大规模的军事网络战演习(DCM2)在爱沙尼亚举行。包括美国、英国、日本、印度、意大利、爱沙尼亚、乌克兰、加纳、肯尼亚和阿曼等11个国家的34支队伍共750名安全专家参加了此次演习。
2月,美国白宫要求所有联邦机构在30天时间内确保在设备和系统上没有TikTok。美国行政管理和预算办公室称,该要求在“解决该应用程序对敏感政府数据带来的风险方面迈出的关键一步”。6月,美国宇航局、国防部和总务管理局再次将禁止范围扩大到所有政府承包商的设备上。
3月,俄罗斯承包商NTC Vulkan泄露的数千页机密文件,暴露了俄罗斯的全球网络战计划。俄罗斯情报机构如何利用私营公司来计划和执行全球黑客行动。该起泄密事件还暴露了该承包商与俄罗斯联邦安全局、俄罗斯国内间谍机构GOU和GRU以及俄罗斯外国情报组织SVR的密切联系。
5月,美国网络安全和基础设施安全局发布警告,敦促关键基础设施组织将其环境范围扩大到被认为构成高风险的通信设备。根据相关法案,联邦机构不得购买构成国家安全风险的通信设备和服务。联邦通信委员会负责维护此类产品的清单。该清单中包括华为、中兴通讯、海能达、海康威视、大华、中国移动、中国电信、中国联通和太平洋网络公司的电信设备和服务。
7月,欧盟签署了一项个人信息隐私的新协议,旨在缓解欧洲对美国情报机构电子间谍活动的担忧。这份欧盟-美国数据隐私框架,与27个欧盟国家本身的数据保护标准相符。因此可以在合规的情况下,将信息从欧洲转移到美国,而无需增加额外的安全性。
8月,针对武汉市应急管理局地震监测中心网络被植入后门恶意软件一事,调查组发现此次的后门恶意软件符合美国情报机构特征,具有很强的隐蔽性,并且通过恶意软件的功能和受影响的系统判断,攻击者的目的是窃取地震监测相关数据,而且具有明显的军事侦察目的。
8月,美国总统乔﹒拜登签署“关于解决美国在特定国家对某些国家安全技术和产品的投资问题的行政命令”。该令确立了针对美国主体对外投资活动的安全审查机制,限制美国主体在中国进行特定领域的投资活动。
9月,中国国家安全部在官方微信公众号发文指出,美国情报部门凭借其强大的网络攻击武器库,对包括中国在内的全球多国实施监控、窃密和网络攻击,并多次对我国进行体系化、平台化攻击,试图窃取我国重要数据资源。如2009年,特定入侵行动办公室就开始入侵华为总部的服务器并持续开展监控。
2022年9月,又被发现长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击,控制了数以万计的网络设备,窃取大量高价值数据。对此,我国官方多次敦促美方应深刻反省,停止针对全球的网络攻击窃密行径,停止以各种虚假信息混淆视听。
11月,乌克兰国防部国防情报局声称,由于在网络空间进行了一次成功的复杂特别行动,现已获得俄罗斯联邦航空运输局的大量机密文件,并发布了文件的截图。这种国与国之间公开承认发动网络攻击实属罕见。
12月,美国网络安全和基础设施安全局与欧盟网络安全局签署了一项情报共享协议,以增加跨境信息共享,并进一步打击犯罪分子。根据该协议,美国还将作为第三国更多地参与欧盟范围内的网络安全培训演习。
3、2023年度国内数字安全十大法规政策
1月,工业和信息化部等十六部门联合印发《关于促进数据安全产业发展的指导意见》。到2025年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。
2月,中共中央、国务院印发了《数字中国建设整体布局规划》。《规划》指出,“……筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。”
3月,国家互联网信息办公室公布《网信部门行政执法程序规定》,自2023年6月1日起施行。《规定》规定了网信部门行政执法地域管辖、级别管辖、指定管辖、移送管辖等制度,明确了“一事不二罚”原则。同时,还规范了网信部门行政执法程序,规定了行政处罚的执行与监督。
3月,市场监管总局、中央网信办、工业和信息化部、公安部发布《关于开展网络安全服务认证工作的实施意见》。《意见》指出,网络安全服务认证目录由市场监管总局会同中央网信办、工业和信息化部、公安部根据市场需求和产业发展状况确定并适时调整,现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。
4月,网信办、工信部、公安部、国家认监委、财政部联合发布《调整网络安全专用产品安全管理有关事项的公告》,要求自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品(简称网专产品)应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。同时,自2023年7月1日起,停止颁发《计算机信息系统安全专用产品销售许可证》,产品生产者无需申领。
4月,国务院总理李强签发中华人民共和国国务院令第760号,《商用密码管理条例》经2023年4月14日国务院第4次常务会议修订通过并公布,自2023年7月1日起施行。
5月,《信息安全技术 关键信息基础设施安全保护要求》正式实施。该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护三项基本原则。从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为开展关键信息基础设施保护工作需求提供了强有力的标准保障。
9月,《未成年人网络保护条例》经2023年9月20日国务院第15次常务会议通过并公布,自2024年1月1日起施行。
9月,《商用密码应用安全性评估管理办法》经2023年9月11日国家密码管理局局务会议审议通过并公布,自2023年11月1日起施行。
12月,为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《网络安全事件报告管理办法(征求意见稿)》,并面向社会公开征求意见。
4、2023年度国外数字安全十大法规政策
3月,美国白宫发布《国家网络安全战略》。强调重新平衡保卫网络空间的责任和重新调整激励措施以支持长期投资。基于对“网络空间中的角色、责任和资源”的重新思考,制定了网络安全战略的三条主线:将网络安全的负担从个人、小企业和地方政府,转移到最有能力和最有能力为所有人降低风险的组织来“重新平衡”保卫网络空间的责任;通过在抵御当今的紧迫威胁与同时为有韧性的未来进行战略规划和投资之间取得谨慎平衡,重新调整激励措施以支持长期投资;以协调的方式使用“国家力量的所有工具”,保护国家安全、公共安全和经济繁荣。
3月,美国总统拜登签署了一项限制联邦政府机构使用商业间谍软件的行政令。该行政令美国联邦机构,包括从事执法、国防或情报活动的机构,“操作使用”商业间谍软件。同时指出,不可信的商业供应商和工具也可能对美国政府信息系统的安全性和完整性构成重大风险。
4月,英国在议会提交了新的《数据保护和数字信息法案》修正,该法案被视为英国版的《通用数据保护条例》。此次修改涉及减轻数据跨境义务、消除国际贸易壁垒、鼓励自动化决策等多个方面。
4月,美国网络安全和基础设施局、国家安全局以及其他国家共17家机构发布了一套安全设计原则和方法指南,并于2023年10月进行了一项重大更新。指南建议所有组织机构都将主动管理和缓解风险作为不断发展的软件安全开发实践的一部分。组织机构作为软件供应链中的开发者、供应商或客户等角色,将持续决定这一责任的形式和范围。
4月,五眼联盟国家(澳大利亚、加拿大、新西兰、英国和美国)发布《智慧城市网络安全新指南》。该指南重点关注三个领域:安全规划和设计、主动供应链风险管理和运营弹性。
7月,美国白宫发布《国家网络安全战略》实施计划,其中包含加强国家安全和提高针对重大网络攻击的长期抵御能力的具体举措和要求。该计划制定了超过65项“高影响力举措”,与2023年3月发布的《网络安全战略》的五个支柱相一致:保卫关键基础设施、打击和摧毁威胁行为者、塑造市场力量以推动安全和韧性、投资于有韧性的未来,以及建立合作伙伴关系以实现共同目标。
7月,美国白宫公布了一个新的智能设备网络安全标签计划。新的“美国网络信任标志”盾牌标志将应用于符合特定网络安全标准的产品。白宫表示,该计划根据美国国家标准与技术研究院发布的特定网络安全标准,对产品进行认证和标记。这项自愿性网络安全标签计划预计将于2024年实施,并已得到了包括亚马逊、百思买、思科、谷歌、英飞凌、LG、罗技、高通、三星电子等主流电子产品制造商和零售商的支持。
8月,印度议会上议院通过了《数字个人数据保护法案》。该法案“旨在更好地监管大型科技公司并惩罚数据泄露公司”,将允许政府及其机构在未经企业同意的情况下,访问企业的用户数据和个人的个人数据。
10月,美国总统拜登签署发布《关于安全、可靠和值得信赖的人工智能的行政命令。该行政令旨在为人工智能安全和安全保护建立标准,保护隐私权与促进公平和公民权利,促进创新和竞争,提升了美国在世界各地的领导地位等。
11月,澳大利亚政府发布《2023-2030年澳大利亚网络安全战略行动计划》。该计划分为三个关键阶段,加强基础、扩大影响力和引领前沿,阐明了澳大利亚想成为”世界上网络最安全的国家“这一目标。
也许出乎很多人的意料,2023年,预期的经济拐点并未到来。尽管,国家发布了一系列的政治、经济、民生等一系列重大鼓励政策,但经济形势并未发生较大转向,甚至从许多企业的实际动作来看,对明年经营状况有着更大的担忧。探其原因,大多是因为对未来的期望值过低,因此不敢有所投入,也不愿轻易冒险。
自从“没有网络安全就没有国家安全”的理念提出之后,从2015年开始,数字安全产业进入增长快车道,在8年左右的时间里规模就增长到了近千亿的规模,是过去20多年发展规模的4倍之多,这种增长速度已经是各行各业各领域中的翘楚。从2021开始,虽然增速已经连续减缓三年,但未来重回快速增长的希望仍然很大。
这种希望的信心来源很简单,现实世界与虚拟世界的融合,即数字世界,已是全人类共同的发展趋势。在数字世界中,数字安全是基本需求。在信息化时代,对数字技术的依赖程度很低,至多只是一种提高办公效率的辅助工具。而在万物互联的数字化时代,数据成为生产要素,数字技术超越了降本增效的辅助工具,将会成为数字活动赖以存在并得以发展的前提。这时,数字安全就会成为保障数字资产、服务数字活动的基本需求。
科技文明的发达,必定伴随着对风险的把控。科技进步的背后是高度的系统复杂性,这种高度的系统复杂性,必定伴随着巨大的风险和不稳定性。风险永远存在,因此要时刻对未知有所准备。而资源永远有限,只有将有限的资源投入到最重要的工作上,才是应对风险的合理之道。这就是数字安全人的使命。
冬至阳生,岁回律转。让我们重振精神,砥砺前行。虽有盛极而衰,更有否极泰来。
祝大家新年快乐!
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。
4006-967-446
沃通数字证书商店
