2017年即将结束,在过去的这一年里,发生了许多大规模的乃至全球星性的令人震惊的网络攻击事件。网络安全,一如既往的面临着很多严峻挑战。让我们一起来回顾一下2017年的重大网络安全事件。

【国内事件】

【央视曝光个人信息泄露网上贩卖新闻】
2017年初,央视曝光了一则关于个人信息泄露网上贩卖的新闻。只要提供一个人的手机号码,就能查到个人私密信息,包括身份户籍、婚姻关联、名下资产、手机通话记录等等,甚至可以通过三网定位实时定位这些手机用户的位置,这不禁掀起了广大市民对个人隐私被泄露的担忧。
【58同城被曝简历数据泄露:700元可采集全国简历信息】
3月底,58同城被爆被爆700元即可采集全国简历信息。由于全国58同城招聘网对求职者简历毫无防护,平台存在多个漏洞,黑客通过采集工具就能轻易获取后台数据,甚至有商家在网上出售700元一套的爬虫软件,可采集全国430多个城市,以及464个职业的简历数据。
【12306官方网站再现安全漏洞】
4月21,有媒体记者发现在12306官方网站订票时发现,当退出个人账号,网站页面竟自动转登他人账号,且与账号相关联的身份证号、联系方式等个人信息均可见,随后记者在该页面点击常用联系人选项时页面再次刷新并显示他人账号及账号涵盖的所有信息。而记者尝试在网站账户页面的个人信息栏等其他选项进行操作,点击进入后均得到不同的个人身份信息。
【勒索病毒WannaCry席卷全球】
众所周知,5月29日,新型“蠕虫”式勒索病毒WannaCry爆发,短时间内瞬间席卷全球150多个国家、感染接近23万台计算机设备,导致大量医院、政府系统业务瘫痪,国内多所高校中招。据悉,一旦电脑被这种勒索软件感染后,其中文件会就会被加密锁住。
【我国首部网络安全法正式实施】
6月1日《网络安全法》正式实施,成为我国第一部规范网络空间秩序的基础性法律。《网络安全法》明确了对个人信息收集和保护的要求,提出了个人信息保护的基本原则和要求,并对加强个人信息保护和惩治非法买卖个人信息等做出了明确规定。
【Reaper僵尸网络病毒每天可感染1万台loT设备】
据研究机构透露,今年9月份发现的基于IoT的僵尸网络日渐浮出水面,截止10月底为止,这个名为IoT-Reaper的恶意软件已经感染了超过两百万台设备,包括路由器、摄像头等,其中受感染最严重的国家是中国,每天感染超过1万台设备,速度十分惊人。研究机构称,此类型病毒的主要攻击对象为连接到互联网的监控摄像和拍照录影设备,其病毒扩散程度规模宏大,在不知不觉中让计算机被指挥和利用。此类僵尸网络危害极大,在一定程度上传播木马程序到主机,再额外扩散,形成一个大面积僵尸网络群,危害指数非常高。

【国外事件】

【WannaCry?Cry!】
在 2017 年 5 月中旬席卷全球 150 多个国家,感染接近 23 万台计算机设备,导致大量医院、政府系统业务瘫痪,国内多所高校中招。一时之间,连只关注韩剧的萌妹子与朋友交谈时,口中也不时蹦出 WannaCry 或者勒索病毒的字眼。这场勒索风波持续了很久,各大中招组织的技术人员连夜抢修,各大研究机构不断发布报告。FreeBuf 也专门制作了专题,收录或撰写了大量相关文章,涵盖技术分析、溯源、观点、甚至无奈之至自娱自乐的 勒索页面截图大赏。此事持续了半年多,直到前几天,白宫还发布声明,表示经过多方调查,证据显示 朝鲜是 WannaCry 幕后真凶,而朝鲜自然对此表示否认。这场大戏,可能还会继续。
【AWS S3 ——存储服务器变成泄露的地狱】
仅 2017 年,AWS S3 涉及的大规模数据泄露此起彼伏,每次涉及的资料都数量庞大。9 月初,美国 TigerSwan 招聘公司因疏忽,导致超 9400 简历在未受保护的 AWS 上泄露,员工住址、电话号码、电子邮件地址、驾照、护照号码以及社会保险号码等敏感信息都曝光;10 月中旬,四大咨询公司之一的埃森哲将其重要资料放在 4 个未受保护的 AWS 云存储服务器中,密钥,密码和客户信息都可被公开访问;也是 10 月中旬,美国某家医疗机构的 47.5 GB 数据在 AWS 服务器上公开,患者测试报告(包括测试日期,家庭住址,电话号码和测试详细信息,甚至包括医生的姓名和病例管理笔记)遭曝光。
【HBO 上演“Game of Leaks”】
外媒报道称,黑客 5 月份入侵 HBO 后总共获取了 1.5 TB 的资源与数据,原本打算狠狠勒索一笔(600万美金),但 HBO 高管只打算以漏洞奖金的形式支付 25 万。黑客拒绝之后,分阶段公布了《权力的游戏》剧本,以及《球手们》、《Barry》、《104号房间》、《抑制热情》、《不安感》、《堕落街传奇》和《副校长》等多部未播出美剧的剧本。因此,HBO 的泄露游戏一直持续了一个多月。其中,《权力的游戏》第七季第六集由于技术人员“手抖”而泄露,并未经过黑客之手。当时,HBO 的西班牙和北欧分公司意外地将该集发布到了他们各自的本地 HBO 点播平台上,简直是惨。
【Fappening 2.0 ——看热闹背后的信息安全问题】
艾玛·沃森(Emma Watson)、阿曼达·塞弗里德(Amanda Seyfried)等明星的私照遭大规模泄露,拉开了 Fappening 2.0 泄露的序幕。到 8 月份,安妮·海瑟薇(Anne Hathaway)、麦莉·赛勒斯(Miley Cyrus)、克里斯汀·斯图尔特(Kristen Stewart)等当红女星的私照也 在国外知名论坛 Reddit、Tumblr 和 Twitter 疯传。这些泄露主要是因为黑客通过漏洞获取权限或利用钓鱼、社工等方法造成的。获取到私密照后,他们可以用于交易或者勒索。
【Equifax——大规模数据泄露造成惨痛教训】
9 月 10 日左右,美国征信巨头 Equifax 曝出数据泄漏事件,高达 1.43 亿美国居民个人信息暴露,涉及姓名、社会保障号、出生日期、地址,以及一些驾驶执照号码等。而事实上,Equifax 在 7 月底就已经发现黑客从 5 月中旬到 7 月之间在持续入侵其网络系统,窃取信息。经过一个月的调查与发酵,其首席信息官、首席安全官以及 CEO 纷纷宣布离职。10 月中旬,相关机构表示,有 70 万英国用户的个人数据也受到影响,涉及 1520 万条信息记录。屋漏偏逢连夜雨,后来 Equifax 的网站还被重定向到虚假 Flash 升级下载的页面,导致 Equifax 只好暂时关闭网站。

【2017年重大网络安全政策法规】

【《网络空间国际合作战略》发布】
3月1日,经中央网络安全和信息化领导小组批准,外交部和国家互联网信息办公室共同发布《网络空间国际合作战略》。战略提出,应在和平、主权、共治、普惠四项基本原则基础上推动网络空间国际合作,并强调中国在推动建设网络强国战略部署的同时,将秉持以合作共赢为核心的新型国际关系理念,与国际社会携手共建安全、稳定、繁荣的网络空间。
【国家网信办印发《国家网络安全事件应急预案》】
6月27日,国家网信办发布了关于印发《国家网络安全事件应急预案》的通知(中网办发文〔2017〕4号)。预案将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。通知明确,网络安全事件应急处置工作实行责任追究制。
【工信部印发《公共互联网网络安全威胁监测与处置办法》】
9月,工信部印发《公共互联网网络安全威胁监测与处置办法》(以下称《办法》)。《办法》要求相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作,明确责任部门、责任人和联系人,加强相关技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。
《中国网络安全法》于今年6月1日正式颁布实施,该法最重要的意义在于把网络安全工作以法律形式提高到了国家安全战略的高度,强调对关键信息基础设施及个人信息数据的保护,明确了国家、主管部门、网络所有者、运营者及普通用户各自的责任以及违规后的相关处罚。
 作为我国网络安全领域的基础性法律,《中华人民共和国网络安全法》的出现在我国网络安全史上具有里程碑意义,明确加强了对个人信息的保护,打击网络诈骗。国家互联网信息办公室网络安全协调局局长赵泽良说:“中国经济和社会已经高度依赖于信息网络。我们制定网络安全法就是要维护网络空间的国家安全,维护公共利益。”
2017年网络攻击已逐渐演变为网络上恐怖主义,黑客有组织有预谋以网络漏洞为攻击目标,攻击范围遍及全球各个国家,并且不只是谋取钱财,同时破坏国家的政治稳定、经济安全,扰乱社会秩序。 随着全球信息网络化的发展,破坏力惊人的网络攻击正在成为世界的新威胁。为此,防范网络攻击已成为各国的重要课题。