发布时间:2019-03-04 09:20:00     行业资讯

2019年网安人应重点关注的十大领域!

01 更多法律及合规政策出台

违规情况日益严峻,更多的相关法规与合规政策将相应出台。2018年美国地区数据违规的平均成本已高于700万美金,随着GDPR、澳大利亚隐私法、泰国新发布的隐私法或土耳其的KVKK等法规的出台,无论企业身在何地都将受到相关地区、集团或任何个别国家的标准约束。


在过去提到数据违规事件时,欧美总是监管最严格的地区,但随着监管架构及后续合规措施逐渐向全球扩展,2019年,数据违规将成为全球性话题。


2.png


02 区块链概念背后的安全问题

随着区块链技术所产生的价值越来越高,所面临的攻击将会持续增加,安全成为未来区块链发展的命脉。在发生了多起针对基于区块链应用的网络攻击事件导致重大损失后,人们开始意识到区块链技术同样存在信息安全问题。除了面临传统的病毒、大规模DDos攻击的威胁之外,由于其实现机制和特性使其面临独有的安全挑战,包括各类密码算法的安全、共识机制的安全、用户私钥安全问题、系统架构设计安全等。


03 物联网攻击隐患

物联网(IoT)市场即将爆发——但许多此类设备的制造鲜有考虑到安全问题。自2016年Mirai僵尸网络出现以来,研究人员已经看到物联网设备被恶意利用来发动一系列威胁性攻击,包括加密、勒索软件和移动恶意软件攻击。未来形势可能会更加糟糕:“到2019年,物联网威胁将变得越来越复杂,从僵尸网络和游离的勒索软件感染,发展到到APT监控、从而进行数据过滤,直接操纵现实世界,以扰乱运营。”Armis产品副总裁Joe Lea表示。


所幸,国内的物联网建设规范也在不断完善。近日,全国信息安全标准化技术委员会归口的27项国家标准正式发布并将于7月1日实施,涉及物联网安全的内容包括相关的参考模型及通用要求、感知终端应用安全、感知层网关安全、数据传输安全、感知层接入通信网安全等。


3.png


04 人工智能在网络安全中的角色

在移动互联网、大数据、超级计算、传感网、脑科学等新理论新技术以及经济社会发展强烈需求的共同驱动下,人工智能发展进入新阶段。随着网络安全攻击日趋规模化、自动化,安全检测需求由点向面扩展,网络安全防御需求由被动向主动转化,人工智能在网络安全领域大数据分析识别威胁、关联性安全态势分析、自学习应急响应防御的优势突显,未来在网络安全入侵检测、恶意软件检测、态势分析及更多领域发挥威力。


但同时,攻击者不仅可能会将目标锁定在人工智能系统上,也可通过人工智能技术来实施犯罪活动,由人工智能技术驱动的工具包所创建的自动化攻击将会极大地减低发动针对性攻击的成本。


05 大数据安全的战略重要性

中共中央政治局实施国家大数据战略进行第二次集体学习时强调:“大数据是信息化发展的新阶段。随着信息技术和人类生产生活交汇融合,互联网快速普及,全球数据呈现爆发增长、海量集聚的特点,对经济发展、社会治理、国家管理、人民生活都产生了重大影响。”“要切实保障国家数据安全。”


去年6月公安部召开2018年全国公安机关网络安全执法检查工作电视电话会议提出开展全国网络安全执法大检查,其中我国首次开展针对大数据安全的整治工作,尤其是针对公民个人信息的保护将是执法的重中之重。


4.png


06 云风险管控

麦肯锡报告称,到2020年,各企业在各类云产品上的开支将高于其在一般IT服务成本六倍以上。据LogicMonitor调查结果显示,与此同时,所有企业的工作量将有83%都在云上实现。安全团队需要意识到,随着数据向云的迁移,他们需要了解云内数据的构成,以及数据的使用者、使用时间与使用目的。可能很多企业还不能在2019年意识到这些问题。但从目前的趋势来看,将有越来越多的基于云的解决方案推向市场来解决这些问题。


07 商用密码应用安全

2017年《密码法(草案征求意见稿)》面向社会公开征求意见,目前国家正在加快立法进程,确保这项网络信息安全的核心技术为我国的信息化建设和数字化战略保驾护航。


在国家战略的引导下,我国国民经济各领域对商用密码技术和产品的需求将急剧增加,应用需求将持续扩展,针对商用密码应用的安全性成为当前国家重点关注的领域,今年以来,陆续在各个重点行业进行商用密码应用安全评估试点工作,总结经验,完善标准,推动商用密码应用安全产业的进一步发展。


08 移动互联网安全不容乐观

移动互联网的迅猛发展带来的网络安全问题日益突出,如何对采用移动互联技术的等级保护对象进行定级和有效防护,在《网络安全等级保护基本要求第3部分:移动互联安全扩展要求》中从技术要求和管理要求两个维度进行了明确的描述。等保2.0的到来,标志着对移动互联安全的要求不只是用户需要、市场需求,更上升到了法律层面。


2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。而2018年多次重大用户隐私泄露和黑产勒索提醒无论是B端还是C端,移动互联网时代都不得不考虑网络安全问题。


5.png


09 5G到来对网络安全的扩展

4G时代,我们见证了不少互联网的安全事故,例如OpenSSL水牢漏洞、WannerCry勒索病毒、Petya勒索病毒变种肆虐等。而在即将到来的5G时代,网络安全同样面临很多挑战,5G的安全框架主要包含接入安全、网络(接入网、核心网内部等)安全、用户安全、应用安全(用户设备和服务提供商之间的通信)、可信安全和管理安全这几大内容,并且随着未来5G商业化的铺展,未来业务还有很多不确定性。


10 关键基础设施安全加固

2018世界经济论坛环境风险报告认定网络攻击为第三大全球危机,仅次于天然灾害和极端的天气情况,英国的国家网络安全中心早前也已警告,针对选举和关键基础设施的网络攻击不能避免。随着关键基础设施的数码化和自动化,企业和工业之间日渐增多的往来,令他们更容易成为网络罪犯的目标。


2017年6月施行的《中华人民共和国网络安全法》中规定了“关键信息基础设施(CII)”提供者的相关义务和规则,对其在网络运营者的义务基础上,增加了特殊的责任。国家互联网信息办公室2017年7月12日发布的《关键信息基础设施安全保护条例(征求意见稿)》则对关键信息基础设施提出了具体细化的规定。可预见的是,关键基础设施的网络安全与经济社会发展息息相关,对该领域的重视将上升到各国国家层面。