【黑客联盟2016年11月15日讯】第二届中国互联网安全领袖峰会(Cyber Security Summit,简称CSS)召开。两天前,11月7日,十二届全国人大常委会第二十四次会议通过《中华人民共和国网络安全法》,并将于2017年6月1日起正式施行。此前,我国先后制定了不少相关条例和规定,刚刚通过《网络安全法》则将成为该领域的首部基础性法律。
在业界看来,首部《网络安全法》的出台与第二届CSS的召开,在时间点上值得玩味,进一步说明网络安全问题已然是重中之重。事实上,十八大以来,总书记在多次重要讲话中,都强调了网络安全的重要性。
作为CSS的举办方,腾讯副总裁丁珂表示,举办CSS的目的是加速互联网产业与安全的深度融合,从而构建互联网安全新生态。本次主题为“智慧安全 连接赋能”,是在去年安全新生态的成果上更加深入地探讨如何构建安全的生态,让安全的生态持续合理智慧的成长。
《网络安全法》实现多个重大突破
来自CSS的资料显示,本届CSS齐聚全球十大科技巨头在内的500家企业,不仅在地理上跨越了国界,更在产业上覆盖了硬件制造、操作系统、安全管理平台、网络服务、互联网通信等整个安全产业链。刚刚通过的《网络安全法》,无疑将对这个产业链的各方产生重大而深远的影响,自然而然也成为会议的焦点。
会上,网信办网络安全协调局副局长卿昱指出,当前我国已有7亿网民,我国的经济社会高度依赖于网络,《网络安全法》的出台是落实我国全面安全总体战略的一个具体举措,是维护网络安全的必需。《网络安全法》是网络安全领域的根本大法,是基础性法律,它的发布具有里程碑式意义,其明确提出了国家网络主权的概念,将国家主权在网络空间进行了延伸。在个人信息保护方面,《网络安全法》对网络运营者主体的法律责任和义务做出了全面规定,公民的个人信息保护将进入新起点和转折点。
中国电子技术标准化研究院院长赵波指出,新颁布的《网络安全法》中共有七条提到了网络安全标准和规范,下一步的网络安全标准化工作的重心就是建立与《网络安全法》相配套的网络安全的国家标准体系。
中国信息安全认证中心主任魏昊指出,《网络安全法》从法律层面进一步明确了检测认证工作在网络安全领域的重要作用。需要关注的是,我国在信息安全认证的规模和质量上还不能完全满足安全产业和网络安全保障工作的需要,其地位和影响力还需不断提升。
能源占APT攻击16%
在业界看来,《网络安全法》的出台以及CSS的备受瞩目,与当前网络安全所面临的重重危机不无关系。“面对产业的快速升级,作为安全从业人员,我们既兴奋也忧虑,这可能是最好的时代,也许也是最坏的时代。伴随互联网的发展,始终有一条黑色产业如影相随。当我们在为新时代欢呼时,‘黑色伙伴’也在欢呼”,腾讯云副总裁黎巍指出。
会上发布的《“互联网+”企业网络安全生态研究报告》显示,“互联网+”时代,企业网络安全风险不断迭代升级,移动互联网安全问题日趋增多,个人信息泄漏时有发生。2005年到2015年恶意程序数量从52个飙升到147.7万,其中恶意扣费攻击尤为严重;APT攻击成为工业控制系统信息安全的最大威胁,在全部APT攻击中,关键制造业占比33%,能源领域占比16%,成为重灾区。
云服务面临信任危机,云安全问题凸显。2015 年,虚拟化服务器(云主机)的数量第一次超过物理服务器,比例为52%。同时,云也是一把双刃剑,攻击者一旦发现云平台的安全漏洞并加以利用,就可能导致严重的大规模信息泄漏事件;安全漏洞问题依然严峻,软件漏洞成为焦点。2015年新增漏洞7754个,其中新增应用软件漏洞达5142个,约占总数的2/3,应用软件漏洞成为“互联网+”主要的安全威胁。
对此,腾讯副总裁丁珂指出,在互联网驱动商业强劲增长的同时,跨界融合与网络新技术的出现也不断催生网络攻击的变异与升级,安全问题的影响范围不断延展,威胁程度日渐加重,开始超越网络与实体的界限,国家与区域的界限,上升为无国界的全球问题。
就此,丁珂呼吁,网络安全产业链的各方,应该形成“协防机制”。“目前各种安全力量各自为战,打破这些边界、壁垒,建立休戚与共的全球深度连接,才能实现全球性问题的全球化应对。如果没有相应的落地机制,互联网安全的国际合作体系构建很可能会停留在纸面上。为此,常态化协作机制应成为各方一致认可的安全生态构建保障。各成员之间可通过数据与技术互通、信息共享,实现彼此激发,自动升级安全防御能力,甚至一定程度的预判威胁所在,才能真正实现安全生态的自生长。