行业新闻

  • 《网络产品和服务安全审查办法》今日起公开征求意见

    2017年2月4日消息,国家互联网信息办公室今日起对《网络产品和服务安全审查办法(征求意见稿)》(以下简称《征求意见稿》)向社会公开征求意见。《征求意见稿》第四条指出,重点审查网络产品和服务的安全性、可控性,主要包括:(一)产品和服务被非法控制、干扰和中断运行的风险; (二)产品及关键部件研发、交付、技术支持过程中的风险; (三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险; (四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险; (五)其他可能危害国家安全和公共利益的风险。 有关单位和各界人士可以在2017年3月4日前,通过以下方式提出意见:一、通过信函方式将意见寄至:北京市东城区朝阳门内大街225号国家互联网信息办公室网络安全协调局,邮编:100010,并在信封上注明“征求意见”。 二、通过电子邮件方式发送至:zhangheng@cac.gov.cn。(明宇) 附:网络产品和服务安全审查办法(征求意见稿)全文:第一条 网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。 第二条 关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。 第三条 坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查。 第四条 重点审查网络产品和服务的安全性、可控性,主要包括: (一)产品和服务被非法控制、干扰和中断运行的风险; (二)产品及关键部件研发、交付、技术支持过程中的风险; (三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险; (四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险; (五)其他可能危害国家安全和公共利益的风险。 第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。网络安全审查办公室具体组织实施网络安全审查。 第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。 第七条 国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。 第八条 根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。 第九条 金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。 第十条 党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。 第十一条 关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查。 关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
  • 2017年中国企业级网络安全市场十大趋势

    趋势一:《网络安全法》推动重点行业安全投入加大从基础设施建设来看,包括政府、运营商、能源、金融、以及交通、公共服务等重点行业的关键信息基础设施的范围扩大;从法律责任上来看,出现安全事故的机构和责任人均面临经济、职务上的处罚。趋势二: 等级保护2.0发布,带来合规建设新机遇主要体现在四大领域,云计算、移动业务、工控系统和监测预警。趋势三: 用户数据和隐私安全事件会更加突出从个人数据贩卖到网络钓鱼、电信诈骗、勒索软件等网络犯罪,黑色产业链市场规模达到千亿元数量级。趋势四: 物联网安全会得到更多的关注物联网终端漏洞多、攻击门槛低,将会出现全球性的“蠕虫”爆发,并成为入侵企业内网的新型跳板。趋势五: 安全检测技术得到更大的投入Gartner发布的十大安全技术,有四条是检测相关,终端检测响应(EDR)、非签名终端防御、用户和实体行为分析(UEBA)、情报驱动的安全中心。而2016年国内最火的企业级安全市场的关键词,是需要发现绕过防御的攻击、预测攻击行为和目的的“态势感知”。趋势六: 现有安全方案拖慢用户向云迁移速度由于上云带来的安全建设、管理和运维模式的变化,传统硬件安全难以适应新的模式,安全方案需要随之变化。趋势七: 越来越多的用户接受“云化安全服务”由于安全人才的匮乏,难以弥补安全工作的缺口,SaaS化逐渐被用户接受。主要包括云端监测、日志分析、安全威胁分析、响应处置等。趋势八: 安全厂商持续并购,整合交付是趋势IBM、思科、Oracle等IT设备及软件厂商,不断地收购安全领域的垂直厂商,以支撑和扩大原有业务的发展。同时,单一厂商提供安全整合方案的趋势明显。趋势九: 自动化响应驱动各产品间的联动不同厂商之间的防火墙、检测设备、网络设备、终端安全、策略下发、安全响应等需要联动,才能达到防御的体系化、自动化。趋势十: 人工智能将在安全领域得到广泛应用从特征识别转向行为分析,以识别零日漏洞等高级威胁攻击。
  • 工信部发布《信息通信网络与信息安全规划(2016-2020)》

    2017年1月20日工信部网络安全管理局正式发布了《信息通信网络与信息安全规划(2016-2020)》。 核心提示: 为指导信息通信行业开展“十三五”期间网络信息安全工作,更好地服务网络强国建设和全面建成小康社会的目标要求,服务国家安全和社会稳定的大局,依据《网络安全法》、《中华人民共和国国民经济和社会发展第十三个五年规划纲要》和《国家网络空间安全战略》。近日,工业和信息化部制定印发了《信息通信网络与信息安全规划(2016-2020年)》(以下简称《规划》)。为指导信息通信行业开展“十三五”期间网络信息安全工作,更好地服务网络强国建设和全面建成小康社会的目标要求,服务国家安全和社会稳定的大局,依据《网络安全法》、《中华人民共和国国民经济和社会发展第十三个五年规划纲要》和《国家网络空间安全战略》,近日,工业和信息化部制定印发了《信息通信网络与信息安全规划(2016-2020年)》(以下简称《规划》)。《规划》围绕贯彻落实习近平总书记关于网络安全和信息化工作的系列重要讲话精神,立足信息通信行业网络与信息安全管理职责,紧扣“十三五”期间行业网络与信息安全工作面临的重大问题,对“十三五”期间行业网络与信息安全工作进行统一谋划、设计和部署,是“十三五”时期信息通信行业网络与信息安全工作的指导性文件。《规划》全面总结了“十二五”期间行业网络与信息安全工作取得的成效,并从国家层面安全工作要求、行业管理改革大局、信息通信技术业务创新发展、国内网络反恐维稳严峻态势、网络空间用户权益保障、国际网络空间竞合复杂形势等六个方面系统分析了“十三五”面临的形势。《规划》明确了以网络强国战略为统领,以国家总体安全观和网络安全观为指引,坚持以人民为中心的发展思想,坚持“创新、协调、绿色、开放、共享”的发展理念,坚持“安全是发展的前提,发展是安全的保障,安全和发展要同步推进”的指导思想;提出了创新引领、统筹协调、动态集约、开放合作、共治共享的基本原则;确定了到2020年建成“责任明晰、安全可控、能力完备、协同高效、合作共享”的信息通信网络与信息安全保障体系的工作目标。《规划》共提出了9个方面的重点任务:一是建立健全网络与信息安全法律法规制度,从推动完善国家立法、加快关键制度建设、强化标准体系建设三个方面展开。二是构建新型网络与信息安全治理体系,主要包括创新安全监管模式、健全安全责任体系、强化对内对外协同合作、发挥行业自律重要作用四方面内容。三是全面提升网络与信息安全技术保障水平,从优化信息安全技术保障、强化网络安全保障、加快推进网络与信息安全核心技术攻关与突破三个方面展开。四是加快构建网络基础设施安全保障体系,主要涵盖深入推进网络基础设施安全防护、提升网络基础设施安全可控水平、加强网络安全态势感知能力建设、强化互联网网络安全威胁治理四方面内容。五是大力强化网络数据和用户信息保护,重点从建立网络数据安全管理体系、强化用户个人信息保护、建立完善数据与个人信息泄露公告和报告机制三个方面展开。六是深入推进行业信息安全监管,重点从加强基础资源信息安全管理、强化增值电信业务信息安全监管、深化互联网新技术新业务信息安全评估、积极营造清朗网络生态环境四个方面展开。七是全面强化网络与信息安全应急和特殊通信管理,重点包括完善网络与信息安全应急管理、全力做好网络反恐维稳和重大活动保障工作、规范有序做好特殊通信配合工作三个方面内容。八是推动网络安全服务市场发展,包含了发展壮大网络安全服务市场、加强网络安全服务管理两方面内容。九是持续提升网络安全国际影响力和话语权,包括加强国际交流与合作、提升网络安全应急协作水平两方面内容。此外,《规划》从强化组织机构建设、加强资金保障、建设新型智库、强化人才队伍、加强宣传教育、规划组织实施等6个方面提出了保障措施。
  • “互联网+”时代,移动应用安全更需迎难而上

    作者:于成丽 来源:人民邮电报在“互联网+”时代,移动应用安全面临诸多新挑战。对于整个产业链而言,应对新的挑战是一件并不轻松的事情,唯有认清现实,迎难而上。开发环节成为“重灾区”自2010年8月Android平台首度出现公认病毒起,移动应用安全问题不断涌现。时至今日,经过各方长期博弈,移动应用威胁逐步呈现出全新态势,其中开发环节安全问题尤为凸显。——治理恶意应用初见成效,正面战场风险部分控制。长期以来,国内移动安全关注点较多聚焦于恶意应用,随着相关管理部门综合治理及国内安全检测技术、标准日趋成熟,针对恶意应用的安全对抗体系逐步建立,安全风险得到部分控制。——开发环节安全问题凸显,安全漏洞引发“木桶”效应。移动应用开发环节引入的漏洞等问题被广泛利用,导致各类安全威胁日益增多且未能得到有效控制,成为移动应用安全最为脆弱的地方。2016年7月,通付盾移动安全实验室发布的《2016第二季度移动应用安全监告》监测到334万多个高危漏洞;阿里聚安全发布的《2015互联网安全年报》显示,97%热门APP存漏洞,安卓系统漏洞同比去年暴增10倍,iOS系统安全漏洞同比增长1.28倍。在移动安全大事记中,苹果XcodeGhost及威胁数亿用户的百度系SDK漏洞事件给业界敲响了安全警钟,移动开发环节引入的安全问题不断升级演变。——隐私大数据攻击模式显现,漏洞潜在攻击面扩大。移动应用安全威胁呈愈演愈烈之势。一是威胁攻击手段持续进化,更具针对性的隐私大数据攻击模式显现。移动应用黑色产业链迅猛发展,将积累的数据与移动平台隐私信息进行大数据关联分析,深入建立受害者档案画像,对目标进行针对性攻击。二是移动应用尚处安全防护空窗期,漏洞潜在威胁攻击面持续扩大。一方面,移动智能终端缺少传统信息系统安全防护机制和安全产品,另一方面用户安全意识也普遍比较薄弱,恶意攻击者将利用此防护空窗期发起更多攻击。——移动新业态不断出现,安全防护基础亟须夯实。在“互联网+”形势下,在开发环节减少应用安全缺陷,提升其防攻击、防篡改、防病毒等安全防护能力(简称“移动应用安全防护能力”)的需求日益迫切,面临的挑战也日益严峻。一方面,移动互联网与大数据、云计算深度融合,安全问题涵盖信道、系统、应用等各个方面,移动应用漏洞安全风险的“木桶”效应将被进一步放大。另一方面,在大数据生态环境下,移动应用更多承载实体经济、社会管理功能,涉及个人隐私、商业机密和国家安全等重要数据,由漏洞衍生的大规模数据泄露、远程攻击的后果将不可估量。整个行业皆面临挑战对于移动应用行业而言,无论是行业监管部门,还是开发者等环节,都面临着因为安全威胁而带来的巨大挑战。首先,行业监管目前主要聚焦在移动恶意程序的治理上,开发环节的监管不足。当前,我国移动应用行业监管主要聚焦在恶意程序治理上,移动应用开发这一生态的基础环节安全仍缺乏整体行业引导和管控。监管机构需要坚持“把握源头”和“全程监控”原则,充分认识由开发环节引入的安全风险和当前面临的挑战,对移动应用进行全生命周期安全管理,提升其安全防护能力。其次,由于相关标准体系尚未形成,因此安全生态呈现出“孤岛”局面。移动应用安全防护能力匮乏问题虽已引发行业关注,但安全生态仍呈“孤岛”局面。一是统一有效的安全开发、检测行业标准尚未建立,开发者仍缺乏基本安全要求和安全技术指导;二是开发者、应用分发平台、安全企业联动配合不足,覆盖移动应用编码、发布、流通全生命周期服务体系仍未建立,产业协会、联盟未形成强有力的牵引力量。最后,开发者安全意识与技术薄弱,企业安全投入不足。为抢占移动互联网入口,企业各方不遗余力地推广与更新自身应用。然而,由于开发者安全意识薄弱,对于安全威胁的认识不足,导致他们在面对产品更新压力时放宽了安全要求;与此同时,多数开发者安全技术水平不高,无法对移动应用开发环节出现的安全风险进行有效控制;此外,企业也普遍无意加大安全投入,重用户体验而轻安全保障,导致移动应用安全防护能力差强人意。从标准入手保安全在移动应用安全防护能力凸显不足形势下,如何在设计、编码、发布等环节控制风险并提升安全防护能力备受关注。从国外来看,各国主要以法律规范和行业标准引导为主,旨在减少移动应用开发过程产生的安全缺陷。2012年10月,加拿大隐私专员办公室与阿拉伯塔省和不列颠哥伦比亚省隐私专员办公室联合发布《移动APP开发隐私指南》,该指南指出开发者在APP设计和开发过程中,应加强个人隐私数据的安全保障;2014年4月,日本智能终端安全社JSSEC发布《Android应用软件安全设计/安全代码指导书》,指导书对Android应用安全开发组件和用户权限安全使用作出规定;2014年8月,美国国家标准与技术研究院NIST从管理角度出台NIST SP 800 163,规范企业评估移动应用自身安全性流程方法,供企业参考。从国内来看,阿里聚安全、江苏通付盾等安全企业业务范围逐步覆盖移动应用安全开发,中国通信标准化协会(CCSA)等行业标准组织亦开始关注相关安全标准。2015年11月,阿里巴巴等在CCSA作为联合牵头人促成了《移动应用开发安全能力技术要求》标准的立项;12月,中国移动终端公司发布新《终端应用开发指南》,通付盾在移动智能终端峰会上分享《移动APP安全开发手册》;2016年1月28日,中关村网络安全与信息化产业联盟EMCC工作组,编制了《EMCG应用软件审核指南》和《EMCG应用软件开发安全指南》;2016年7月,中国信息通信研究院等在CCSA作为联合牵头人促成了《移动应用开发安全能力评估方法》的标准立项。全产业链都应积极应对移动应用安全形势不容乐观,整个产业链都必须行动起来。首先,行业主管部门应强化移动应用安全防护能力审查机制。我国相关主管部门应积极引导并提升移动应用安全防护能力水平,增加企业移动应用安全防护能力审查力度。一是将其作为基础电信企业网络与信息安全责任制考核要点,积极推动工作落实;二是深入贯彻《国务院关于积极推进“互联网+”行动的指导意见》,重点开展“互联网+”普惠金融、“互联网+”益民服务、“互联网+”电子商务、“互联网+”高效物流等典型互联网企业移动应用安全防护审查试点示范工作,健全行业网络安全防护审查机制。其次,针对监管增强技术支撑能力,强化平台主体责任。具体来看,一是完善相关标准体系,切实推动“移动应用开发安全能力技术要求/评估”等标准贯彻实施,为安全开发、测评提供指导;二是增强技术支撑能力,支持国内第三方检测、评估、认证相关技术手段建设,为行业监管提供有力抓手;三是引入平台治理模式,移动应用分发平台在应用上架前的安全审核中,应增加移动应用安全防护能力测试评估。最后,提升开发者安全意识和能力,激发安全技术创新热情。例如,可通过展开“移动应用安全开发”宣传周活动,推进网络安全文化建设,增强开发者安全意识;开展APP安全开发培训、竞赛,提高开发者安全开发能力;组织产业峰会、学术沙龙,加强技术交流,鼓励安全技术创新。
  • 1