網絡與信息安全領域

CATR-ICT深度觀察（2013）

——網絡與信息安全領域工業(yè)和信息化部電信研究院主要內容一、2012年網絡與信息安全總體形勢二、2012年網絡與信息安全熱點分析三、2013年網絡與信息安全展望一、2012年網絡與信息安全總體形勢國際形勢世界各國積極部署網絡與信息安全戰(zhàn)略并逐步實施，網絡空間與陸海空天并列，網絡空間安全能影響和保障國土安全、產業(yè)安全和公共安全。國內形勢我國網絡與信息安全形勢總體平穩(wěn)：網絡安全防護保障體系逐年完善，基礎電信企業(yè)和增值電信企業(yè)網絡安全能力顯著提升。我國逐步按照國際規(guī)則處理網絡與信息安全問題，并積極調整與轉變信息安全管理工作思路，逐步公開信息內容安全監(jiān)管標準，使之更加國際化和公開化。一、2012年網絡與信息安全總體形勢（一）安全保障已滲透至國家發(fā)展的眾多領域（二）網絡信息安全監(jiān)管趨向國際化和公開化（三）新技術和新業(yè)務安全管理取得顯著進展（四）網絡安全防護能力提升但仍有安全隱患一、2012年網絡與信息安全總體形勢（一）安全保障已滲透至國家發(fā)展的各個領域各國積極推進加強網絡與信息安全戰(zhàn)略部署。實驗科研階段1969-1994社會化應用啟動階段1994-2001社會化應用發(fā)展階段2001-20081998.52000.12002.72003.2第一階段：保護關鍵信息基礎設施國際網絡與信息安全演進趨勢《關鍵基礎設施保護政策(PDD63)》《關于保護信息系統(tǒng)的國家計劃》《布什政府：國土安全國家戰(zhàn)略規(guī)劃》《網絡空間安全國家戰(zhàn)略》《國家網絡安全綜合綱領（CNCI）》《網絡空間國際戰(zhàn)略》2008.12011.5第二階段：“9·11”之后，網絡空間正式被賦予國家戰(zhàn)略意義，關鍵信息基礎設施上升為網絡空間安全保護第三階段：戰(zhàn)略由深度防御過渡為綜合行動。網絡威懾、網絡行動配合軍事威懾、軍事行動，構成了新軍事戰(zhàn)略的核心內容。第四階段：戰(zhàn)略重心開始由國內正式轉向國外。2012戰(zhàn)略實施第五階段：戰(zhàn)略部署告一段落，進入實施階段。網絡空間身份生態(tài)系統(tǒng)建設統(tǒng)一的數字證書市場。計劃用10年左右時間，構建網絡身份生態(tài)體系。用戶個人信息保護互聯(lián)網公司非法獲取用戶個人信息。用戶個人信息保護勢在必行。戰(zhàn)略部署實施電腦病毒“火焰”在中東廣泛傳播，惡意截取分析用戶隱私信息。以色列國防軍和哈馬斯利用twitter發(fā)布實時戰(zhàn)況消息。保護軍事信息安全成為網絡與信息安全熱點。美國國會指證中國華為與中興公司的通信產品存在后門等安全隱患，威脅美國網絡安全。此舉旨在保護美國企業(yè)經濟利益，推動本土通信產業(yè)健康發(fā)展。合法監(jiān)聽已成為美國等國家加強國土安全管理的重要措施。英國政府公布了《通訊法案》草案，要求ISP必須保留英國人民網上活動細節(jié)1年，備警方和情報機構查詢。一、2012年網絡與信息安全總體形勢2/3/2023（一）安全保障已滲透至國家發(fā)展的各個領域網絡空間安全能影響和保障國土安全、產業(yè)安全和公共安全網絡與信息安全已成為打擊境外恐怖組織惡性行為、保證境內治安穩(wěn)定的重要武器網絡與信息安全已成為一種可推動本土貿易自由發(fā)展、促進相關產業(yè)國際拓展的重要武器網絡與信息安全應成為保障國家重要信息及個人隱私信息不被非法利用的重要武器國土安全產業(yè)安全公共安全溝通了解問題認真解釋通知發(fā)布美日施壓相互諒解進入通報（二）網絡信息安全監(jiān)管趨向國際化和公開化一、2012年網絡與信息安全總體形勢發(fā)布通報《增值電信業(yè)務網絡信息安全保障基本要求》——2005提出并明確了用戶信息保護和業(yè)務信息管理、技術保障的基本要求?！癐DC/ISP信息安全系統(tǒng)”系列標準

——2012同步強化運營企業(yè)配套建設與應用相關管理系統(tǒng)的要求。安全防護系列標準——2008提出基礎運營企業(yè)、增值運營企業(yè)各類網絡單元安全基本要求。發(fā)布《加強移動智能終端安全管理的通知》有助于在提升我國智能終端信息安全整體技術水平。按照國際規(guī)則處理信息安全問題，更加國際化；調整與轉變信息安全管理工作思路，首次公開信息內容安全監(jiān)管相關標準，更加公開化一、2012年網絡與信息安全總體形勢（三）新技術新業(yè)務安全管理取得顯著進展2012年上半年，工信部出臺互聯(lián)網新技術新業(yè)務信息安全評估相關的管理辦法，有利于主動加強各類互聯(lián)網新技術新業(yè)務安全社交網絡云計算2012年4月，工信部啟動云計算公共服務網絡安全試點，成立試點工作小組和專家組，深入分析云計算公共服務安全挑戰(zhàn)，探索云計算安全保障體系建設需求，促進健康發(fā)展。部分城市（如北京）率先出臺微博客發(fā)展管理規(guī)定，要求“后臺實名，前臺自愿”2012年3月，部分微博開始實行實名制，此后必須實名注冊微博才能發(fā)言、轉發(fā)、瀏覽。2012年下半年，啟動修訂安全等級保護相關標準，保障IPv6網絡安全發(fā)展下一代互聯(lián)網移動互聯(lián)網和智能終端終端、網絡、應用相關安全標準不斷出臺應用軟件安全評測技術方法、工具平臺等不斷完善CATR對國內主流應用商店評測，測試應用軟件總數11.5萬個，不通過率19.2%按照不通過原因數量從多到少排列測試結果已完成2000多款智能終端的評測，涵蓋100多種品牌的終端；其中2012年已完成Android終端1482款，WP7終端12款，iOS終端2款，黑莓終端4款；發(fā)現90%終端操作系統(tǒng)存在缺乏后臺操作授權和提示，數款預置應用存在后臺消費流量問題操作系統(tǒng)安全（28項）外圍接口安全（11項）預置應用安全（9項）用戶數據安全（9項）功能限制性要求（3項）智能終端進網安全測試項目一、2012年網絡與信息安全總體形勢逐年完善網絡與信息安全保障體系，基礎電信企業(yè)和增值電信企業(yè)網絡與信息安全能力顯著提升，安全漏洞顯著減少。但是仍然存在一定的網絡與信息安全隱患（四）我國網絡安全防護能力顯著提升，但仍存在一定安全隱患云計算安全試點發(fā)現的突出安全問題部分業(yè)務系統(tǒng)可從互聯(lián)網入侵和控制，用戶信息泄露等安全隱患不容忽視遠程控制可篡改網頁、中斷業(yè)務系統(tǒng)以系統(tǒng)為跳板傳播網頁病毒、掛馬、發(fā)動拒絕服務攻擊可獲取系統(tǒng)保存的用戶信息：網站賬戶密碼、用戶身份信息（身份證號碼、手機號、住址、郵箱）、金融信息（交易記錄、銀行卡信息）傳統(tǒng)安全問題：占安全問題大多數，如木馬、病毒等，弱口令、數據誤操作等傳統(tǒng)問題新表現：有一些傳統(tǒng)問題如DDoS攻擊在云計算環(huán)境中表現出新的特點，即有可能云主機被惡意用于對外發(fā)起DDoS特有的安全問題：少數VM過度惡意占用資源、虛擬主機逃逸等網秦統(tǒng)計：

2012年上半年，共截獲17676款惡意軟件，中國大陸感染比例為25.7%，列世界第一2012年三季度，共查殺到手機惡意軟件23375款，環(huán)比增長92.7%，查殺款數超過2012年上半年總和我國是智能終端惡意軟件感染重災區(qū)綠盟科技2012年上半年安全威脅態(tài)勢報告（漏洞變化趨勢）：新增漏洞數量呈逐年上升趨勢新增的高風險漏洞逐漸減少，而低風險漏洞則明顯增加“獲取用戶權限”、“拒絕服務攻擊”及“信息泄露”類漏洞占多數IPv6漏洞不容忽視，半數以上可用于DDoS安全漏洞變化趨勢值得關注IPv6漏洞數量分布綠盟統(tǒng)計：已收錄的IPv6漏洞124個主要內容

一、2012年網絡與信息安全總體形勢

二、2012年網絡與信息安全熱點分析三、2013年網絡與信息安全展望二、2012年網絡與信息安全熱點分析（一）持續(xù)滲透攻擊威脅不斷升級，防護手段成為當前困擾（二）網絡身份服務體系勢在必行，技術路徑漸成工作重心（三）用戶信息安全受到嚴峻挑戰(zhàn)，保護體系構建任重道遠（四）云計算的發(fā)展關注安全問題，安全風險亟待澄清應對二、2012年網絡與信息安全熱點分析2/3/2023政治目的商業(yè)目的通過USB存儲器及網絡復制傳播，并能接受來自世界各地服務器指令。針對伊朗石油部門的商業(yè)情報。2012.05火焰病毒全方位地結合多種攻擊方法和工具持續(xù)不斷發(fā)現目標并確定攻擊方法由組織者進行協(xié)調和指揮網絡攻擊持續(xù)滲透攻擊：針對特定組織所做的，復雜且多方位的網絡攻擊。特點（一）持續(xù)滲透攻擊威脅不斷升級，防護手段成為當前困擾攻擊伊朗布什爾核電站，通過操控控制系統(tǒng)，導致多臺設備失控、直至報廢，并使布什爾核電站推遲發(fā)電。針對伊朗工業(yè)控制系統(tǒng)數據。2010.06震網病毒政府組織的持續(xù)滲透攻擊將長期存在并且更具隱蔽，危害更大。發(fā)展趨勢攻擊者使用了十幾種惡意代碼和多層次的加密，深深地挖掘進了公司網絡內部，盜取電腦資料，并巧妙掩蓋自己的活動。2010.01谷歌被黑商業(yè)持續(xù)滲透攻擊復雜度和隱蔽性會繼續(xù)增加，危害也會更大。發(fā)展趨勢二、2012年網絡與信息安全熱點分析2/3/2023（一）持續(xù)滲透攻擊威脅不斷升級，防護手段成為當前困擾持續(xù)滲透攻擊不是一種新攻擊手法，也不是可以僅憑阻止或破壞一次攻擊就能讓問題消失的。APT更像是一種網絡攻擊活動，而不是單一類型的威脅，可將其看作是不停息的攻擊活動。持續(xù)滲透攻擊從情報的搜集開始，這一工作可能會持續(xù)一段時間，其中包含了針對技術和人員情報的搜集。二、2012年網絡與信息安全熱點分析2/3/2023（一）持續(xù)滲透攻擊威脅不斷升級，防護手段成為當前困擾建立縱深安全防御體系，發(fā)展自主產業(yè)研發(fā)實力建立完善縱深的安全防御與監(jiān)控體系：對于可控的部分，完善安全能力和加強安全驗證；對于不可能的部分，進行供應鏈安全保證，提高未知危害的感知能力。完善信息系統(tǒng)安全規(guī)范，提高滲透攻擊檢測水平加強信息系統(tǒng)的安全檢測理論和檢測技術，并形成相應信息系統(tǒng)安全規(guī)范。采用漏洞挖掘手段發(fā)現信息系統(tǒng)漏洞，保證其系統(tǒng)安全漏洞不被利用進行滲透攻擊。制定信息系統(tǒng)安全手冊，加強安全防范宣傳教育學習借鑒國際先進技術和管理經驗，結合我國信息系統(tǒng)實際情況，制定制定信息系統(tǒng)的安全手冊。加強防治持續(xù)滲透攻擊的宣傳教育，提升安全意識。二、2012年網絡與信息安全熱點分析（二）網絡身份服務體系勢在必行，技術路徑漸成工作重心

網絡身份管理的形態(tài)大體可以區(qū)分為“非集中式管理模式”和“集中式管理模式”。用戶可以根據不同的在線服務類型選擇不同的認證手段以及身份信任框架。非集中式管理模式分散管理模式典型代表：韓國網站用戶個人身份證號碼、身份密碼i-PIN等信息保存在各網站中，但是信息泄漏問題嚴重2012年8月，韓國憲法法院正式宣布廢除該網絡實名制法案，韓國的網絡實名制宣告失敗。開放信任框架模式典型代表：美國基于信任框架的開放式網絡身份管理：由OIX牽頭提出各類開放信任框架（如政府應用、電信運營商應用等），以OpenID、Oauth等開放信任架構技術為代表，Google、Yahoo、PalPay等企業(yè)積極商業(yè)應用；CloudID、WebID成為新的研究熱點和方向集中式管理模式歐盟強調建立一個統(tǒng)一的數字證書(digitalcredential)市場，實現數字時代商業(yè)及文化信息與服務在歐盟各國國內及跨境的自由流動。預計在未來幾年里，歐盟5億人口中將近有一半的公民將持有一張電子身份證（eID）。美國推進的開放信任框架允許企業(yè)提供商業(yè)化的身份服務，獲得了企業(yè)的支持，推進迅速。美國的企業(yè)界在網絡身份管理技術以及資格認證等方面技術儲備比較領先，值得學習借鑒。該模式充分考慮了個人信息及隱私保護問題，對網絡空間可信身份體系通過試點示范的方式穩(wěn)步推進。問題：歐盟eID主要用于電子政務、電子醫(yī)療、電子商務等領域，應用范圍有一定局限二、2012年網絡與信息安全熱點分析（二）網絡身份服務體系勢在必行，技術路徑漸成工作重心

利用移動互聯(lián)網收集用戶信息安全問題突出“全國人大常委會關于加強網絡信息保護的決定”要求網絡服務提供者為用戶辦理網站接入服務，固定電話、移動電話等入網手續(xù)，或者提供信息發(fā)布服務時，要求用戶提供真實身份信息。網絡服務提供者和其他企業(yè)事業(yè)單位應采取技術措施和其他必要措施，確保信息安全，防止在業(yè)務活動中收集的公民個人電子信息泄露、毀損、丟失。一方面，相關法規(guī)要求大量網絡服務提供者依法基于用戶真實身份信息提供服務；另一方面，用戶數據泄露事件以及用戶個人信息被非法獲取和利用的事件頻頻發(fā)生。制定身份及個人信息安全管理辦法；加強網絡服務提供商的信息安全保護技術措施制定網絡身份服務頂層設計，研究建立信任框架，鼓勵商業(yè)化的網絡身份服務長遠短期建立安全可信的網絡身份服務體系，任重道遠！個人信息安全保護形勢不容樂觀，對網絡身份以及個人信息的安全管理和保護技術措施已經成為當前信息安全領域一個巨大的挑戰(zhàn)！二、2012年網絡與信息安全熱點分析1、盡快研究和制定我國的網絡空間可信身份戰(zhàn)略2、試點先行，慎重選擇技術路線，積極探索認證和監(jiān)管體系3、組織協(xié)調產業(yè)、市場和技術力量，積極參與國際標準制定4、引導國內產業(yè)共同建設，形成我國的身份管理運營體系2/3/2023借鑒國內外的先進經驗，依據相關法律法規(guī)，充分考慮我國網絡空間身份信息管理和服務的需求，開展網絡空間身份管理的戰(zhàn)略和實施路線研究，鼓勵產業(yè)積極探索適合我國實際情況的身份服務技術路線，構建運營和監(jiān)管體系，充分強調網絡身份認證與個人信息保護并重，促進公共服務及民生服務的發(fā)展。

（二）網絡身份服務體系勢在必行，技術路徑漸成工作重心

二、2012年網絡與信息安全熱點分析（三）用戶信息安全受到嚴峻挑戰(zhàn)，保護體系構建任重道遠2012年8月9日，谷歌因涉嫌在Safari瀏覽器用戶的計算機上安裝了一種追蹤廣告的信息記錄程序，被美國聯(lián)邦貿易委員會處以2250萬美元的罰款2012年8月，微軟“人脈（people）”被曝誘使用戶許可“人脈（people）”應用對該用戶擁有的各類好友信息進行智能化整合。2012年2月17日，twitter和蘋果卷入一場侵犯用戶隱私風波。twitter承認在用戶不知情下，將用戶智能手機內的電話簿資料悉數復制，儲存到twitter服務器；蘋果雖在應用程序開發(fā)者開發(fā)指南中，明確指明未經用戶同意不得獲取用戶個人信息，但實際卻容許twitter及其他社交網應用程序擅自調取iPhone用戶的電話號碼簿。國際上，各大互聯(lián)網企業(yè)憑借其技術優(yōu)勢，日益具備較強的個人信息收集、挖掘、分析和開發(fā)、利用能力。部分互聯(lián)網企業(yè)在收集、使用用戶個人信息的過程中，存在一定程度上的不合規(guī)現象。

二、2012年網絡與信息安全熱點分析（三）用戶信息安全受到嚴峻挑戰(zhàn)，保護體系構建任重道遠事件回顧：2011年底，CSDN640萬郵箱賬號和明文密碼在網上被披露；之后，國內出現互聯(lián)網史上最大個人信息泄漏事件，天涯、人人、當當、凡客、卓越、開心等網站約1億個賬戶密碼遭泄漏。至2012年1月初，傳言甚至稱個人信息泄露從互聯(lián)網行業(yè)蔓延至金融領域，工商、民生、交通等多家銀行的用戶個人信息已遭泄露。案件告破：2012年3月，CSDN用戶遭泄密案告破。警方已抓獲曾某等5名“黑客”，曾某承認于2010年4月利用CSDN網站漏洞，非法侵入服務器并獲取用戶數據。事件處理：2011年12月28日工信部發(fā)布通告，對各互聯(lián)網站提出個人信息安全保護要求；2012年3月20日，北京警方對CSDN網站未落實國家信息安全等級保護制度造成用戶信息泄露事件做出行政警告處罰，這是國內自落實信息安全等級保護制度以來開出的第一張“罰單”。國內存在大量非授權收集、使用、轉賣用戶個人信息的情況。2012年，CSDN拖撞數據庫事件形成的放大效應依然蔓延。我國的特征：基于刑法打擊的單線保護機制比較發(fā)達，個人信息保護的民事和行政救濟途徑相對不足。

二、2012年網絡與信息安全熱點分析（三）用戶信息安全受到嚴峻挑戰(zhàn)，保護體系構建任重道遠不斷通過立法對個人信息保護進行搭載式處理和規(guī)范2011年12月29日，工信部發(fā)布《規(guī)范互聯(lián)網信息服務市場秩序若干規(guī)定》，設專條對互聯(lián)網信息服務提供者收集、轉讓、使用、保管、安全防護個人信息等內容進行了規(guī)定；2012年6月5日，工信部發(fā)布《關于加強移動智能終端進網管理的通知》，明確規(guī)定智能終端生產企業(yè)不得預裝擅自收集、修改用戶個人信息的軟件；2012年6月7日，國務院法制辦、國家互聯(lián)網信息辦公室聯(lián)合發(fā)布《互聯(lián)網信息服務管理辦法（修訂草案征求意見稿）》，設專條規(guī)定了信息義務主體對于個人信息的保密義務。2012年12月28日下午，全國人大通過《關于加強網絡信息保護的決定》，專設5條規(guī)定個人信息保護問題。這是我國歷史上第一次以最高層級國家立法形式對個人信息保護進行的立法判定，不斷通過標準化運動試圖使個人信息保護達到與國際接軌2012年4月26日，工信部宣布《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》已編制完成，正按照國家標準審批程序上報國家標準化管理委員會批準。我國相關政府管理部門采取的行動

二、2012年網絡與信息安全熱點分析（三）用戶信息安全受到嚴峻挑戰(zhàn)，保護體系構建任重道遠我國目前尚存在的問題需要在個人信息保護多個政府事務部門之間建立相應的綜合協(xié)調機制。據不完全統(tǒng)計，截至目前，工信部、公安部、國家保密局、國家密碼管理局、衛(wèi)生部、食品藥品監(jiān)督管理局、銀監(jiān)會、證監(jiān)會、鐵道部等多個部門所頒行的多個規(guī)章文件中，均涉及個人信息保護的內容。二、2012年網絡與信息安全熱點分析（三）用戶信息安全受到嚴峻挑戰(zhàn)，保護體系構建任重道遠個人信息保護是互聯(lián)網國際治理運動的核心主線2012年1月3日，美國國土安全部發(fā)布《愛因斯坦隱私保護審查報告》，對國家網絡安全處部署“愛因斯坦2”、“愛因斯坦3”過程中遵守現行隱私保護政策的情況進行了全面評估，指出國家網絡安全盡管盡了最大努力，但是依然需要充分遵守現行隱私保護全部政策，并提出繼續(xù)改進和完善的物象措施建議。2012年5月，世界經濟論壇發(fā)表《重新審視個人數據：加強信任構建》，指出在個人、機構和政府這三者之間，有關個人數據的對話目前停留在恐懼、不確定和懷疑的氣氛當中，因此，確需建立一個可向利益相關方提供實時測試、了解個人數據保護狀況的大規(guī)模技術驗證環(huán)境。2012年2月23日，美國白宮發(fā)布了《用戶隱私權利憲章（theConsumerPrivacyBillofRights）》，作為非強制指導性政府倡議指南，供互聯(lián)網企業(yè)自愿選擇遵守并將其吸收、完善在自己的企業(yè)隱私政策框架之中。該《隱私權利憲章》旨在幫助美國人民更好地控制個人信息在網上的使用。我國應通過相關戰(zhàn)略設計，構建法律、行政、技術、行業(yè)和環(huán)境五位一體的個人信息安全保護體系。2012年云安全事件2月28日，“閏年bug”致全球大面積服務中斷超24小時；7月26日，Azure再次宕機，導致歐洲服務中斷2.5小時。6月15日，數據中心停電，AWS中斷約6小時；10月22日，AWS宕機，波及Reddit、Pinterest等知名大網站。10月26日，在線存儲公司Dropbox發(fā)生服務中斷2012年，蘋果的iCloud服務大大小小已出現17次故障，涉及的服務包括iMessage、FaceTime、iTunesMatch、郵件和Siri等，發(fā)生用戶資料丟失等后果。7月26日，Googletalk中斷了近5小時；10月26日，GAE平臺突然反應緩慢且出錯，持續(xù)了4個小時。8月6日，盛大云主機發(fā)生磁盤損壞，用戶數據丟失。國內外云計算安全事件屢屢出現（四）云計算的發(fā)展關注安全問題，安全風險亟待澄清應對Azure2012年，國內外各類云服務商出現了眾多安全問題，嚴重阻礙了云服務發(fā)展；國外云服務發(fā)展較快，安全問題暴露較多；國內云服務規(guī)模較小，安全事件鮮有報道；目前，云安全問題主要集中在傳統(tǒng)范圍內。諸如斷電、軟硬件BUG等引起的服務中斷，也存在由于黑客攻擊導致的用戶數據丟失或泄露；云安全事件頻發(fā)，嚴重打擊用戶本已脆弱的信心；面對云服務，企業(yè)的首席信息官們如履薄冰。二、2012年網絡與信息安全熱點分析二、2012年網絡與信息安全熱點分析云計算面臨六大安全風險共享環(huán)境下用戶數據的丟失或泄露虛擬化引發(fā)的新安全風險云計算應用程序及接口安全云終端引入的各種安全風險不良信息處理和數據跨境流動問題云服務業(yè)務不可持續(xù)問題(1)共享資源池使得相鄰租戶或黑客更有機可乘，虛擬化帶來跨虛擬機和存儲資源的惡意攻擊和竊?。?2)云計算的動態(tài)伸縮和遷移導致數據存儲和處理位置的不可控，甚至可能跨境流動，同時，使得對不良信息的溯源也更加困難；(3)云計算時代海量數據對云服務可用性以及內容過濾都提出了巨大挑戰(zhàn)；(4)云計算的服務模式是服務商得以優(yōu)先訪問的前提，用戶租用服務商的資源就不得不面臨失去資源和數據的控制權和依賴服務商來保障安全的局面。云計算新的特點和服務模式是其帶來威脅的主要根源（四）云計算的發(fā)展關注安全問題，安全風險亟待澄清應對二、2012年網絡與信息安全熱點分析我國云計算安全應對措施（四）云計算的發(fā)展關注安全問題，安全風險亟待澄清應對大力發(fā)展自主可控的云安全技術，優(yōu)先采用自主產品，加大資金支持力度，建立高級別云安全實驗室

堅持發(fā)展自主云安全技術，特別加密技術、隔離技術、安全芯片、可信計算技術等，以解決數據泄露、虛擬機隔離問題。在政府采購中優(yōu)先采用自主產品。加大資金投入，建立云安全實驗室，加強云安全研究。建立我國云計算安全標準規(guī)范，開展云服務商安全等級進行評估

制定統(tǒng)一云安全標準有利于用戶服務遷移，確保用戶業(yè)務可持續(xù)。優(yōu)先制定云安全基礎標準、個人隱私保護、安全等級評估等標準。開展云服務商安全等級認證，提升用戶使用云服務的信心，促進云服務發(fā)展。加快制定云計算安全監(jiān)管政策和法律法規(guī)，制定符合我國現狀的云安全指導手冊

建立云服務安全準入、退出及懲處機制，制定云安全監(jiān)管政策和法律法規(guī)，將云服務納入現有安全監(jiān)管框架，對泄露數據及隱私、發(fā)布不良信息進行懲處，并可先行制定我國云服務安全指導手冊。加強對云計算安全的宣傳教育，重視國際交流與合作

通過宣傳教育提升用戶安全意識是減少云終端引入風險的有效辦法。重視國際交流與合作，重點協(xié)調解決云數據跨境流動帶來的問題。主要內容

一、2012年網絡與信息安全總體形勢二、2012年網絡與信息安全熱點分析

三、2013年網絡與信息安全展望三、2013年網絡與信息安全展望

三網融合新技術的普及應用豐富了日常生活，但同時也將帶來新的安全威脅和挑戰(zhàn)。隨著兩化融合的推進，公共基礎設施面臨安全威脅不斷增加，安全防護有待繼續(xù)加強。伴隨開放度增加，我國網絡和信息安全領域將面臨安全管控到達法制化臨界期、國際貿易訴訟風險增加等諸多問題。隨著虛擬技術的發(fā)展，數據集中、共享、公開必然帶來重大安全風險。大數據安全風險規(guī)避和處理有待研究，相關舉措需要及早研究和部署。針對跨國家跨地域的信息傳播管理控制，目前階段難以形成國際合作共識，跨境數據安全將成信息安全監(jiān)管熱點。三、2013年網絡與信息安全展望（一）三網融合最新發(fā)展帶來全新安全挑戰(zhàn)（二）公共基礎設施安全防護有待繼續(xù)加強（三）大數據時代的來臨引發(fā)安全新的挑戰(zhàn)（四）跨境數據安全將成信息安全監(jiān)管熱點三、2013年網絡與信息安全展望（一）三網融合最新發(fā)展帶來全新安全挑戰(zhàn)三網融合新發(fā)展（OTTTV、多屏互動）OTTTVPC在線視頻移動視頻IPTV數字電視三網融合現階段典型業(yè)務傳輸網絡：互聯(lián)網終端：電視、PC、PAD、手機傳輸網絡：電信/廣電專網終端：電視

OTTTV、多屏切換互動等三網融合新技術的普及應用，引發(fā)安全風險應引起關注：多屏互動場景下，網絡行為溯源和定位難度加大；基于開放操作系統(tǒng)的智能電視大量接入互聯(lián)網，但安全保護和安全評測技術尚空白，潛在安全威脅應予以關注；基于互聯(lián)網的在線視頻信息安全管理機制和監(jiān)管能力存在缺陷；如何滿足國家信息安全監(jiān)管需求亟待研究。安全新挑戰(zhàn)

互聯(lián)網在線視頻播放發(fā)展迅速，大有超過IPTV和數字電視成為三網融合最熱點應用的趨勢，使得互聯(lián)網的視聽媒體特性更加突出，應進一步優(yōu)化在開放網絡環(huán)境下在線視頻業(yè)務的安全管理機制、積極研發(fā)相應的安全技術支撐手段，使能更好的適應視頻新技術的發(fā)展特性。公共基礎設施自身安全防護能力不足地鐵等公共基礎設施信號系統(tǒng)采用無線接入，存在認證缺失、信號干擾等安全問題某些重要行業(yè)的數據傳輸采用GPRS傳輸，無加密、認證等安全措施，存在數據泄密問題金融系統(tǒng)成為黑客攻擊的新熱點，并因此造成巨大損失三、2013年網絡與信息安全展望（二）公共基礎設施安全防護有待繼續(xù)加強公共基礎設施外部安全威脅不斷用戶位置、地理測繪和基站配置等海量關鍵信息被搜集和利用部分基礎設施被敵對勢力控制、常態(tài)下用于戰(zhàn)略威懾，非常態(tài)下可使信網設施癱瘓

有關部門表示：針對我國網絡攻擊形勢日趨嚴峻。據統(tǒng)計，今年上半年境外有2.79萬個IP地址對我境內780萬臺計算機實施攻擊，其中，24%來自美國，17.2%來自日本，11.4%來自韓國公共基礎設施防護能力欠缺原因分析公共基礎設施安全防護需求不明，現有信息系統(tǒng)安全防護體系無法適用。大部分工業(yè)控制系統(tǒng)由于實時性要求，無法安裝防火墻。由于缺乏可靠性驗證，大部分工業(yè)控制系統(tǒng)無法及時更新版本我國公共基礎設施安全防護產業(yè)匱乏，無成熟可靠設備可用。工業(yè)控制防護系統(tǒng)核心技術掌握在國外企業(yè)手中建立我國公共基礎設施安全風險綜合分析及評測平臺，梳理我國公共基礎設施安全防護需求，提供相應安全風險宏觀指標，為制定相應標準和法律法規(guī)提供技術支持推進我國公共基礎設施安全防護工作相關的法律法規(guī)和標準化工作。大力發(fā)展我國公共基礎設施安全防護產業(yè)，通過資金支持、政策優(yōu)惠等方法扶持相關企業(yè)需