2018年网络安全大事记

央行办公厅发布《关于开展支付安全风险专项排查工作的通知》。排查内容包括：

• 一、排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患;
• 二、排查支付业务系统在系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的问题;
• 三、督查支付交易报文规范化改造、终端信息注册等工作落实情况;
• 四、排查支付产品质量管理方面存在的不足。

9月：

• 中央网信办、公安部联合印发《关于规范促进网络安全竞赛活动的通知》。通知规定，冠名“中国”“国家”等字样的网络安全竞赛和会议需经中央网信办同意。
• 国家卫生健康委员会发布《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》及解读稿。明确健康医疗大数据的定义、内涵和外延，以及制定办法的目的依据、适用范围、遵循原则和总体思路等。并从标准管理、安全管理、服务管理三个方面加以规范。
• 国家能源局印发《关于加强电力行业网络安全工作的指导意见》。指导意见将有力促进电力行业网络安全责任体系和网络安全监督管理体制机制的健全完善，进一步提升电力监控系统安全防护水平，强化网络安全防护体系，提高自主创新及安全可控能力，有力防范和遏制重大网络安全事件，保障电力系统安全稳定运行和电力可靠供应。

10月：

• 《贵阳市大数据安全管理条例》正式实施。条例明确，大数据发展应用中，数据的所有者、管理者、使用者和服务提供者的法定代表人或主要负责人是本单位大数据安全的第一责任人。安全责任单位对个人信息和重要数据实行加密等安全保护，对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。
• 国家市场监督管理总局、国家标准化管理委员会对外发布《智慧城市 信息技术运营指南》等23项国家标准。其中，在信息安全领域有6项国家标准，包括加强网络产品和服务供应链安全保障、提高公民数字身份认证和网络身份识别技术的安全性、提升网络安全防护效率等方面。
• 威胁情报国家标准《信息安全技术网络安全威胁信息格式规范》正式发布。标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述，并将这些组件划分为对象、方法和事件三个域，最终构建出一个完整的网络安全威胁信息表达模型。

11月：

• 《公安机关互联网安全监督检查规定》正式施行。规定指明“公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。”
• 工业和信息化部网络安全管理局对7家电信企业落实《网络安全法》、《通信网络安全防护办法》、《电信和互联网用户个人信息保护规定》等法律法规情况进行了实地检查，针对检查发现的问题，责令企业进行整改。
• 公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》。《指引》将从个人信息安全保护的安全管理机制、安全技术措施、业务流程三大方面对企业的个人信息保护提供全方位的指导。
• 中央网信办联合公安部制定发布《具有社会舆论属性或社会动员能力的互联网信息服务安全评估规定》。该规定明确了具有舆论属性或社会动员能力的互联网信息服务的具体情形，在信息服务功能、服务范围、软硬件设施、安全管理制度和技术措施落实、风险防控等方面，要求各互联网信息服务提供者自行或者委托第三方开展安全评估，并将安全评估报告通过全国互联网安全管理服务平台，提交所在地地市级以上网信部门和公安机关。

12月：

• 国家互联网信息办公室公布《金融信息服务管理规定》。其中，“第五条”规定要求：金融信息服务提供者应当履行主体责任，配备与服务规模相适应的管理人员，建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。
• 北京市经济和信息化局发布了《北京工业互联网发展行动计划(2018-2020年)》。提出网络建设、平台发展、应用创新、安全提升、生态培育五大工程。今后北京市将进一步发挥在大数据、云计算、物联网、人工智能、网络安全领域的产业优势和科技创新、人才齐聚等资源优势，深入推进“互联网+”。
• 中央网信办、公安部、工信部、各省市政府、标准制定机构、行业、协会组织，从指导、协调、监管、执法、规划、实施、交流等各个层面，大力推动信息安全产业的健康有序发展。
• 大数据、工业互联网、智慧城市的安全，和个人信息保护是今年各项政策法规的关注点。随着《网络安全法》的实施，许多监管规定、行业与技术标准开始落地，国内的信息安全工作越来越有法可依，有据可查。

五、总结与趋势篇

1. 2018年十大网络安全事件与趋势：

• 信息泄露连续五年创历史记录，且不分行业与领域。而随着网络世界向数字世界的演化，信息泄露将成为全球科技始终无法避免的“自然灾害”。
• 随着加密货币的空前爆发带来的商业利益，吸引了大量的网络攻击，但这一安全态势在各国相继出台的限制措施下，以及币值的急剧萎缩，有可能得到缓解。
• 勒索软件持续产生严重危害，反映出安全意识的普遍薄弱和基本防护手段的缺失，背后则是黑色产业链的发达运转。勒索软件将会和过去的病毒、恶意软件一样，走向常态化，长期化。
• 拒绝服务攻击的规模不断放大，已经出现万兆级别的攻击。不仅是因为联网设备的防护能力薄弱，各种攻击手法的层出不穷也是重要因素。在未来全球一体化的数字世界，可以预见出现更大规模的攻击。
• 电子邮件欺诈带来的损失史无前例，累计已达120亿美元。古老的骗局一而再再而三的卷土重来，其利用的是人们心理上的弱点与认知上的缺陷。针对这种攻击，我们注定无法完全免疫。
• 人工智能技术是又一把安全的双刃剑。基于AI的防护技术还在尝试阶段，但显然坏人暂时取得领先。可篡改音视频的Deepfake技术，被美国议员比喻成“核武器”。虽然目前并无重大危害事件出现，但其可能带来的社会恐慌或是对突发事件漠视，值得关注与保持警惕。
• 网络安全被用于政治、经济、科技、军事等领域的博弈之中，左右舆论、商业禁令、攫取经济利益、盗取知识产权、攻击关键基础设施等行为层出不穷，并有着从试探性变成破坏性攻击的趋势，未来这一趋势还将愈演愈烈。
• 漏洞受到业界的极大重视并成为重要战略资源。这种重视反而限制了漏洞公布的速度和数量，许多相关的破解活动和赛事陷入低潮。与此同时，如何减少漏洞的产生以及如何进行客观的价值评价，成为各方面的关注重点。
• 国内的经济发展受到中美贸易战、资本寒冬、供给侧改革等影响，但以国家、大型企业为主要用户的网络安全行业，所受的影响尚不明显。2018年国内一级市场的融资规模可能会达到近年来的顶峰，但未来的注册制、科创板等股市改革措施将会给网络安全行业带来积极的推动。
• 由公安部制定的《网络安全等级保护条例》即将实施。该条例将是继《网络安全法》之后又一最为重要的法规，是各机构部门、重点行业部署与开展安全工作的核心基础，必将极大的促进全社会对网络安全的重视，推动整个网络安全行业的全面发展。

2. 结语

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!