世界网络安全发展报告(2014-2015)图书
Annual Report on World Cyber Security(2014-2015)
[内容简介] 本书由工业和信息化部电子科学技术情报研究所组织撰写,分析总结了2014年世界网络安全发展总体特征,从政府网络安全管理、工业控制系统信息安全、网络安全审查、网络安全技术、网络安全产业、网络安全意识教育以及我国网络安全工作等方面,概括了世界网络安全领域的新情况、新动态,预测了未来世界网络安全的发展趋势,为政府部门、军方、行业以及有关企事业单位等提供决策信息参考。
相关信息
摘要
工业和信息化蓝皮书编委会
工业和信息化部电子科学技术情报研究所
Abstract
《世界网络安全发展报告(2014~2015)》课题组
皮书数据库
主编简介
BⅠ 总报告
B.1 世界网络安全发展特征与趋势
一 世界网络安全发展总体态势与特征
(一)网络安全战略部署遍布全球,各国加快推动部署落地
1.信息大国加速战略扩张和部署落地
2.亚非拉多国加快推进网络安全战略发布进程
(二)重大网络安全事件层出不穷,关键基础设施安全隐患重重
1.致命漏洞频频出现,电商、银行等金融相关行业屡受重创
2.Bash破壳导致Linux类系统隐患凸显
3.恶意软件Havex遍历能源行业
4.“剁肉刀”行动浮出水面,受害机构遍布全球
(三)网络军备建设日趋成熟,网络作战计划提上议事日程
1.各国纷纷组建网络部队
2.普遍增加经费、人员、武器等储备力量
3.美发布《网络空间作战联合条令》
(四)ICANN全球化成为重要议题,掀起网络国际治理新篇章
1.美宣布自动放弃ICANN控制权
2.互联网治理迈入全球共治新阶段
二 未来网络安全发展趋势
(一)监听事件余音未了,安全情报日益重要
(二)政治事件冲突引发网络攻击,助推影响发酵升级
(三)美国继续鼓吹“中国网络威胁论”,中美对抗与合作并存
(四)万物互联时代越来越近,网络安全面临前所未有的新挑战
BⅡ 专题报告
B.2 政府网络安全管理持续加强
一 政府网络安全形势日益严峻
(一)多国政府网站和信息系统受严重攻击,威胁加剧
(二)国内政府部门网站系统屡受攻击,危害升级
二 政府网络安全管理稳步推进
(一)美国加强政府信息安全管理
1.持续推动《联邦信息安全管理法案》实施
(1)《联邦信息安全管理法案》实施进展概况
(2)队伍建设取得进展
2.加强网络安全应急响应评估
(1)开展网络安全应急响应评估工作
(2)调查评估方法
(3)调查评估分析结果
3.加速网络安全信息共享进程
(1)《网络安全信息共享法案2014》
(2)美国开展信息共享的相关做法
(二)日本加强网络安全管理
(三)东非国家加强网络安全管控
B.3 工业控制系统信息安全稳步推进
一 工业控制系统面临的信息安全威胁持续
(一)近千个能源企业的工控系统遭到Havex恶意软件攻击
1.Havex介绍
2.传播方式
3.主要影响
(二)BlackEnergy:又一个针对工业控制系统的恶意软件
1.BlackEnergy简介
2.攻击方式
3.主要影响
二 工业控制系统信息安全技术不断深入
(一)工业控制系统在线搜索监测技术持续完善
1.工业互联下的信息安全问题更加严峻
2.工业控制系统在线搜索技术持续完善
(1)SHINE项目简介
(2)SHINE项目的核心技术
(3)搜索结果
(二)数据二极管等新兴安全防护技术引入工业控制系统信息安全防护
1.数据二极管技术简介
2.在工业控制系统中的应用
3.国外数据二极管产品情况
4.我国数据二极管相关技术与政策
三 工业控制系统信息安全产业蓬勃发展
(一)我国工业控制系统信息安全市场规模概述
(二)部分行业工业控制系统信息安全市场状况
1.电力
2.石油及化工
3.冶金
4.烟草
B.4 网络安全审查受到重视
一 产品审查持续受重视
(一)美国NIAP审查
(二)美国供应链安全审查
(三)英国IT安全评估与认证
二 云服务审查如雨后春笋
(一)美国
(二)英国
(三)澳大利亚
(四)欧盟
三 通信服务审查成为重要手段
(一)美国电信小组
(二)加拿大广播电视和电信委员会
四 外商投资并购审查为普遍做法
(一)美国
(二)俄罗斯
(三)法国
五 企业安全审查日趋常态化
(一)美国众议院永久特别情报委员会对华为、中兴的审查
(二)美中经济和安全审查委员会对联想、华为的审查
(三)英国政府对华为的安全审查
B.5 网络安全技术取得新突破
一 加密技术研发取得进展
(一)量子加密技术成为抗击网络监控的有力武器
(二)生物识别与密码技术进一步融合
二 攻防技术取得突破
三 物联网带来的安全问题不容忽视
(一)物联网的安全威胁日益显现
(二)物联网安全技术呼之欲出
B.6 网络安全产业发展保持稳健
一 全球网络安全市场规模持续扩大
(一)全球网络安全市场总体规模增速放缓
1.全球网络安全市场规模增长保持稳定
2.网络安全支出增速高于IT预算平均水平
3.全球互联网消费助力网络安全产业投资
(二)全球网络安全解决方案市场规模持续扩大
1.DDoS攻击频次激增促使解决方案市场持续扩大
2.无线网络安全解决方案市场规模超155亿美元
3.互联网新技术应用注入安全市场新活力
(三)全球网络安全软件产业收入增长回暖
1.安全软件收入增长率回升
2.未来四年安全软件市场规模有望突破300亿美元
(四)全球网络安全服务市场保持较快发展速度
1.安全服务市场增长成为产业发展关键因素
2.安全管理服务市场增长较快
3.云安全服务市场逐渐发展壮大
二 我国网络安全产业迎来发展新契机
(一)政治经济环境利好突出
1.政治环境方面
2.经济环境方面
3.技术环境方面
(二)网络安全产品与服务市场日趋成熟
1.国内产业发展基本状况
2.企业级移动网络安全软件市场助推国内产业发展
3.新技术新应用成为网络安全产业创新发展新阵地
B.7 网络安全意识教育日益深入
一 全民意识教育纳入国家战略
(一)美国提出开展覆盖全国的意识教育活动
(二)加拿大强调政府的意识教育责任
(三)欧盟对成员国提出意识教育建议
(四)英国提出综合性的意识教育举措
(五)澳大利亚将意识教育作为战略目标之首
(六)日本强调提升公众素养
(七)其他国家
二 全民意识教育计划持续实施
(一)美国“国家网络安全教育计划”
(二)欧盟“安全网络计划”
(三)英国网络安全教育与技能计划
(四)日本信息安全普及与启蒙计划
三 意识教育宣传活动蓬勃开展
(一)美国国家网络安全意识月
(1)Stop.Think.Connect.国家网络
(2)Stop.Think.Connect.网络意识联盟
(3)Stop.Think.Connect.学术联盟
(4)Stop.Think.Connect.朋友计划
(二)欧洲网络安全月
(三)英国国家防身份欺诈周
(四)加拿大网络安全意识月
(五)澳大利亚国家网络安全意识周
(六)新加坡网络安全意识日
(七)日本信息安全意识月
(八)斯里兰卡网络安全周
B.8 中国网络安全工作开拓新局面
一 中央层面统筹协调领导机构成立
二 国家网络安全工作取得新突破
(一)党政机关网站安全管理受到重视
(二)网络安全专项行动有力开展
1.打击“伪基站”专项行动
2.“净网2014”专项行动
3.铲除网上暴恐音视频专项行动
4.整治网络弹窗专项行动
(三)网络安全政策性文件陆续发布
1.中央网络安全和信息化领导小组办公室出台“微信十条”规定
(1)即时通信工具服务提供者需取得相应资质
(2)即时通信工具服务提供者需保护用户信息和公民隐私
(3)即时通信工具服务使用者需“后台实名”,遵守“七条底线”
(4)时政类新闻只能由新闻单位、新闻网站开设的公众账号发布
(5)即时通信工具服务使用者违规或被封号
2.中央网络安全和信息化领导小组办公室组织开展国家网络安全检查工作
3.工业和信息化部发布加强网络安全工作指导意见
(四)工业控制系统信息安全工作进一步推进
(五)国家网络安全意识教育工作取得突破性进展
(六)“首届世界互联网大会”彰显中国实力
三 国家网络安全顶层设计有望加强
BⅢ 附录
B.9 2014世界网络安全大事记
1月
2月
3月
4月
5月
6月
7月
8月
9月
10月
11月
12月
B.10 常用术语表
B.11 最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》
B.12 2014网络安全厂商研究报告与趋势分析
趋势科技发布《2015年暨未来预测:隐藏的威胁浮上台面》
1.更多的网络犯罪集团将利用Darknet(黑暗网络)和专门的地下论坛来分享和贩卖犯罪软件
2.网络犯罪活动加剧,将催生功能更强、规模更大、效果更好的黑客工具及攻击手法
3.移动设备漏洞逐渐成为重要的感染途径,漏洞攻击套件将开始锁定Android平台
4.APT攻击将变得与一般网络犯罪一样普遍
5.新的移动交易支付方法将带来全新威胁
6.将会出现更多针对利用开源应用程序漏洞的攻击
7.万物联网(IOE)时代的设备多样性,将使其免于遭受大规模广泛性攻击,但设备中所处理与储存的数据将会成为黑客的新目标
8.未来将出现更严重的针对网络银行及其他金融领域的攻击
FireEye发布《2014年上半年ATP攻击报告》
绿盟科技发布《2014 H1反数据泄露报告》
Fortinet公司发布《2015年企业网络安全八大趋势分析》
1.安全违规越来越难防御
2.云计算技术的扎根
3.移动应用与管理的多样化
4.软件定义的模块架构常态化
5.物联网(IoT:Internet of Things)与工控系统(ICS:Industrial Control System)的碰撞
6.去有线化的进程
7.几乎每10个月网络带宽就会翻倍
8.对参与网络中的所有信息进行分析
瑞星发布《2014年上半年中国信息安全报告》
迈克菲发布《2015威胁预测报告》
卡巴斯基实验室发布《2015年网络威胁预测》
B.13 国内外知名网络安全厂商及服务领域情况
B.14 缩略语表
序二
序一
Aliya Sternstein Nextgov,
Claire Relly and Steven Musil,
CrowdStrike,“CrowdStrike Global Threat Report 2013 Year in Review”,http://cybercampaigns.net/wp-content/uploads/2014/07/Energetic-Bear.pdf.,Jan.22,2014.
Cylance,Operation Cleaver,http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf.,Dec.2,2014.
European Union Agency for Network and Information Security,“National Cyber Security Strategies in the World”,http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world,2014.
Joint Chiefs of Staff,“Joint Publication 3-12(R):Cyberspace Operations”,http://www.dtic.mil/doctrine/new_pubs/jp3_12R.pdf,Feb.5,2013.
Joseph Bradley,Christopher Reberger,Amitabh Dixit and Vishal Gupta,“Internet of Everything:A MYM 4.6 Trillion Public-Sector Opportunity”,http://www.cisco.com/c/dam/en/us/solutions/collateral/industry-solutions/white-paper-ioe-public-sector.pdf.,Nov.13,2014
Office of The Director of National Intelligence,“The National Intelligence Strategy of the United States of America”,http://leaksource.info/2014/09/18/us-national-intelligence-strategy-2014/,Sept.18,2014.
The Office of Cyber Security and Information Assurance in UK Government’s Cabinet,Get Safe Online,http://www.getsafeonline.org/,2014.
U.S. Office of the Director of National Intelligence,“Intelligence Community Directive 731-Supply Chain Risk Management(ICD 731)”,http://www.dni.gov/files/documents/ICD/ICD%20731%20-%20Supply%20Chain%20Risk%20Management.pdf.,December 7,2013.
Aliya Sternstein Nextgov,
Cylance,Operation Cleaver,http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf.,Dec.2,2014.
European Union Agency for Network and Information Security,“Certification in the EU Cloud Strategy”,https://resilience.enisa.europa.eu/cloud-computing-certification/certification-in-the-eu-cloud-strategy,November 2013.
Kenya,“Cybercrime and Computer Related Crimes Bill”,http://www.article19.org/resources.php/resource/37652/en/kenya:-cybercrime-and-computer-related-crimes-bill,2014.
U.K. Cabinet Office,“Security Policy Framework”,April,2014.
U.S.Congress,“Cybersecurity Information Sharing Act of 2014”,https://www.congress.gov/bill/113th-congress/senate-bill/2588,2014.
U.S.Congress,“Federal Information Security Management Act”,http://www.gpo.gov/fdsys/pkg/PLAW-107publ347/html/PLAW-107publ347.htm,2002.
U.S.,“Consolidated Appropriations Act of 2014”,https://www.congress.gov/bill/113th-congress/house-bill/3547,January 17,2014.
U.S.Government Accountability Office,“Agencies Need to Improve Cyber Incident Response Practices”,http://www.gao.gov/products/GAO-14-354,2014.
Aliya Sternstein Nextgov,
B. Roland,B. Jonathan,D. Stephen,etc.,“Evaluation of the ability of the Shodan search engine to identify Internet-facing industrial control devices”,
Claire Relly and Steven Musil,
Cylance,Operation Cleaver,http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf.,Dec.2,2014.
J. Matherly,“Shodan Computer Search”,https://www.shodanhq.com,2014.
U.S. Department of Defense,“Requirements Relating to Supply Chain Risk(DFARS Case 2012-D050)”,
U.S.Department of Homeland Security,ICS-CERT Alerts,Washington DC.,https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-176-02A,2014.
U.S.Department of Homeland Security,ICS-CERT Alerts,Washington DC.,https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-281-01B,2014.
工业控制系统信息安全产业联盟网,联盟简介,http://www.icsisia.com/about.php,2014。
控制工程网,《工业控制系统信息安全》推荐性国家标准发布,http://article.cechina.cn/14/1204/12/20141204122953.htm。
U.S. Department of Defense,“Requirements Relating to Supply Chain Risk(DFARS Case 2012-D050)”,
U.S. Office of the Director of National Intelligence,“Intelligence Community Directive 731-Supply Chain Risk Management(ICD 731)”,http://www.dni.gov/files/documents/ICD/ICD%20731%20-%20Supply%20Chain%20Risk%20Management.pdf.,December 7,2013.
U.S.,“Consolidated Appropriations Act of 2014”,https://www.congress.gov/bill/113th-congress/house-bill/3547,January 17,2014.
U.S. Office of Management and Budget,“Security Authorization of Information Systems in Cloud Computing Environments”,https://www.fismacenter.com/fedrampmemo.pdf.,December 8,2011.
U.K. Cabinet Office,“Security Policy Framework”,https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/316182/Security_Policy_Framework_-_web_-_April_2014.pdf.,April,2014.
ENISA,“Certification in the EU Cloud Strategy”,https://resilience.enisa.europa.eu/cloud-computing-certification/certification-in-the-eu-cloud-strategy,November 2013.
“U.S. Communications Act of 1934”,http://transition.fcc.gov/Reports/1934new.pdf,1934.
Canadian Radio-television and Telecommunications Commission,“Telecom Decision CRTC 2010-264”,http://www.crtc.gc.ca/eng/archive/2010/2010-264.pdf.,May 7,2010.
U.S. Permanent Select Committee on Intelligence,“Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE”,https://intelligence.house.gov/sites/intelligence.house.gov/files/documents/Huawei-ZTE%20Investigative%20Report%20(FINAL).pdf.,October 8,2012.
U.K. Intelligence and Security Committee,“Foreign Involvement in the Critical National Infrastructure and The Implications for National Security”,https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/205680/ISC-Report-Foreign-Investment-in-the-Critical-National-Infrastructure.pdf.,June 2013.
《澳科学家最近发明扫描人类眼泪作为密码的新技术》,《广州日报》,http://hebei.news.163.com/14/0930/14/A7D959TN02790ABR.html,2014。
《英特尔新技术手掌纹取代密码:避免在各个网站输入密码》,博才网,http://bd.hbrc.com/rczx/news-5903696.html,2014。
《Android将默认启用加密功能:抵御政府部门监控》,中国安全网,http://security.zdnet.com.cn/security_zone/2014/0923/3034621.shtml,2014。
《当前网络安全形势与展望》,ZDNet安全频道,http://security.zdnet.com.cn/security_zone/2014/1119/3039483.shtml,2014。
《美英情报部门制造神秘恶意软件Regin》,《新京报》,http://security.zdnet.com.cn/security_zone/2014/1126/3040121.shtml,2014。
《赛门铁克揭示用于秘密监视的间谍工具Regin》,比特网,http://sec.chinabyte.com/133/13158633.shtml,2014。
《扬帆起航正当时 趋势科技安全周内发新品》,IT168,http://sec.chinabyte.com/98/13166098.shtml,2014。
Gartner:《2014年十大信息安全技术》,http://soft.yesky.com/security/ 311/37917311.shtml,2014。
鹿宁宁:《新技术搅热2014RSA大会 网络安全翻新篇》,http://network.chinabyte.com/434/12877434.shtml,2014。
皮丽华:《SACC 2014:从大数据看各国网络攻防能力》,http://net.it168.com/a2014/0917/1667/000001667246.shtml,2014。
周季礼、于东兴、吴勇:《美国打造自主可控信息安全产业链的主要举措及启示》,《信息安全与通信保密》2014年第11期。
李雪:《政府、商会和企业共同探讨我国信息安全产业发展》,《信息安全与通信保密》2003年第4期。
闵杰:《创新发展信息安全产业支撑服务国家信息安全》,《中国电子报》2014年12月2日。
张炜:《2015年网络安全行业预测》,中国信息产业网,http://www.cnii.com.cn/technology/2015-01/08/content_1511853_2.htm,2015年1月8日。
邸晓伟:《工业和信息化部软件服务业司主办首届网络安全宣传周产业日主题讲座》,国家网络安全宣传周官方网站,http://news.xinhuanet.com/politics/2014-12/02/c_1113487563.htm,2014年12月2日。
沈加军:《评论:网络安全产业化势在必行》,《通信信息报》2014年12月1日。
Gartner:《2016云安全服务市场产值将达42亿美元》,比特网,http://sec.chinabyte.com/424/12677924.shtml,2013年8月2日。
Gartner:《2013年全球SaaS收入将达到121亿美元》,艾瑞网,http://service.iresearch.cn/others/20130723/206133.shtml,2013年7月23日。
工业和信息化部:《信息安全产业“十二五”发展规划》,工业和信息化部网站,2011年2月8日。
Australia,National Cybersecurity Awareness Week underway,http://www.staysmartonline.gov.au/alert_service/alerts/national_cybersecurity_awareness_week_underway,2014.
European Union Agency for Network and Information Security,National Cyber Security Strategies in the World,http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world,2014.
République fran?aise,portail de la sécurité informatique,http://www.securite-informatique.gouv.fr/,2014.
The Office of Cyber Security and Information Assurance in UK Government’s Cabinet,Get Safe Online,http://www.getsafeonline.org/,2014.
U.S. Department of Homeland Security,On Guard Online,http://www.onguardonline.gov/,2014.
U.S. Department of Homeland Security,Stop.Think.Connect.,http://www.dhs.gov/stopthinkconnect,2014.
U.S. National Cyber Security Alliance,national cybersecurity awareness month,http://www.staysafeonline.org/ncsam,2014.
内閣官房情報セキュリティ センター,Information Security Awareness Month,http://www.nisc.go.jp/security-site/eng/month.html,2014.
张慧敏:《国外全民网络安全意识教育综述》,《信息系统工程》2012年第1期。
工业和信息化部:《我部发布加强电信和互联网行业网络安全工作指导意见》,http://www.miit.gov.cn/n11293472/n11293832/n11293907/n1136 8223/16121194.html,2014。
工业和信息化部:《全国工业控制系统信息安全工作座谈会在京召开》,http://www.miit.gov.cn/n11293472/n11293832/n11293907/n11368223/16316594.html,2014。
《工信部发布加强网络安全工作指导意见》,中国创新网,http://www.chinahightech.com/html/1830/2014/0829/11192918.html,2014。
政务和公益机构域名注册管理中心:《权威发布:中央编办电子政务中心副主任、政务和公益机构域名注册管理中心主任宋庆在党政机关网站统一标识新闻发布会上的发言》,http://www.chinagov.cn/zxdt/201411/t20141127_268492.html,2014。
《党政机关、事业单位和社会组织网上名称管理暂行办法》,中国机构编制网,http://www.scopsr.gov.cn/bbyw/qwfb/201403/t20140310_257667.html,2014。
《国家互联网信息办等部门将联合启动“整治网络弹窗”专项行动》,新华网,http://news.xinhuanet.com/politics/2014-09/24/c_133669243.htm,2014。
《打击整治伪基站专项行动》,人民网,http://mobile.people.com.cn/GB/183743/190818/383085/index.html,2014。
《扫黄打非·净网2014》,新华网,http://www.xinhuanet.com/legal/shdf/,2014。
《中国启动铲除网上暴恐音视频专项行动》,新华网,http://news.xinhuanet.com/legal/2014-06/20/c_1111243899.htm,2014。
《授权发布:即时通信工具公众信息服务发展管理暂行规定》,新华网,http://news.xinhuanet.com/politics/2014-08/07/c_1111979566.htm,2014。
网信办:《即时通信工具服务提供者需取得相应资质》,财经网,http://politics.caijing.com.cn/20140807/3647522.shtml,2014。
国家网络安全宣传周官网,http://www.xinhuanet.com/politics/2014gjwlaqxcz/index1.htm,2014。
2014世界互联网大会新闻官网,http://www.wicwuzhen.cn/,2014。