安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能介绍
产品简介
下载中心
帮助中心
客户列表
关于安企神

2020年中国网络安全十大事件

最近更新时间:2022-08-17 16:43:07


本文简介:2021年2月25日,近日,由中国计算机学会主办、中国计算机学会计算机安全专业委员会承办的2020年中国网络安全大事在京发布。此次活动通过对2020年重大网络安全事件的梳理,采用征求业界部分专家意见和网络公开投票的方式,评选出10件2020年中国网络安全大事件。这些事件包括(以事件时间排序):1、公安机关网安部门疫情期间强化网络安全保卫2月4日,为贯彻落实中共中央政治局常务委员会疫情防控工作会议精

2020年中国网络安全十大事件

2020年中国网络安全十大事件(图1)

2021年2月25日,近日,由中国计算机学会主办、中国计算机学会计算机安全专业委员会承办的2020年中国网络安全大事在京发布。此次活动通过对2020年重大网络安全事件的梳理,采用征求业界部分专家意见和网络公开投票的方式,评选出10件2020年中国网络安全大事件。这些事件包括(以事件时间排序):

1、公安机关网安部门疫情期间强化网络安全保卫

2月4日,为贯彻落实中共中央政治局常务委员会疫情防控工作会议精神,公安部召开应对新型冠状病毒感染肺炎疫情工作第三次全国公安机关视频会议。会议强调,要强化网上巡查管控,推动落实主体责任、主管责任、监管责任,及时依法查处网上造谣滋事行为,与有关部门密切配合,及时公开透明准确发布信息,积极回应群众关切。新冠肺炎疫情发生后,全国公安机关网安部门在疫情期间严厉打击网上违法犯罪,及时消除网络安全风险隐患,为打赢疫情防控的人民战争、总体战、阻击战营造清朗的网络空间。

2、央行发布新版《网上银行系统信息安全通用规范》和《个人金融信息保护技术规范》

2月5日和2月13日,中国人民银行分别正式发布新修订的金融行业标准《网上银行系统信息安全通用规范》(JR/T 0068—2020)和金融行业标准《个人金融信息保护技术规范》(JR/T 0171—2020)。新版《网上银行系统信息安全通用规范》,立足于移动互联和云计算等新技术在网上银行系统的不断深入应用,以及手机银行使用愈加广泛的背景,规范了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据,建立了新规范。《个人金融信息保护技术规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。

3、新版国家标准《信息安全技术 个人信息安全规范》发布

3月6日,中国电子技术标准化研究院组织修订的《信息安全技术 个人信息安全规范》正式发布,该规范于2020年10月1日起实施,并替代GB/T 35273-2017版本国标。该标准由全国信息安全标准化技术委员会归口,相对于2017版标准,2020版标准结合网络和社会发展变化进行了针对性修订。该标准进一步契合了我国相关法律法规要求,增强了指导性和适用性,为保障人民利益、促进国家信息化产业健康发展提供了坚实基础。

4、《网络信息内容生态治理规定》正式实施

2020年3月1日起,《网络信息内容生态治理规定》正式实施,为了营造良好网络生态,保障公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《互联网信息服务管理办法》等法律、行政法规,制定本规定。政府、企业、社会、网民等主体,以培育和践行社会主义核心价值观为根本,以网络信息内容为主要治理对象,以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,开展弘扬正能量、处置违法和不良信息等相关活动。

5、公安部“净网2020”专项行动全面展开

2020年,全国公安机关网安部门发起“净网2020”打击网络黑产犯罪集群战役,重拳打击为电信网络诈骗、网络赌博、网络水军等突出违法犯罪提供网号恶意注册、技术支撑、支付结算、推广引流等服务的违法犯罪活动,共侦办刑事案件4453起,抓获违法犯罪嫌疑人14311名(含电信运营商内部工作人员152名),查处关停网络接码平台38个,捣毁“猫池”窝点60个,查获、关停涉案网络账号2.2亿余个。相关数据显示,网络活跃接码平台日接码量降幅67%,黑市手机号数量降幅近50%,有力维护了网络秩序。

6、中共中央、国务院要求加快培育数据要素市场 数据分类分级安全保护成热点

4月9日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》。《意见》提出,加快培育数据要素市场。具体包括,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。

7、十二部门联合发布网络安全审查办法

4月,国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》,该办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。办法明确,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照该办法进行网络安全审查,并明确了审查的原则、范围、方式、流程等。该办法的发布,是落实网络安全法要求、构建国家网络安全审查工作机制的重要举措,有力保障了国家安全、经济发展和社会稳定。

8、数据安全法(草案)面向社会公众征求意见

6月28日,《中华人民共和国数据安全法(草案)》在第十三届全国人大常委会第二十次会议审议;7月2日,中国人大网公布了数据安全法(草案),并于7月3日至8月16日期间对大众进行意见征求。本法规草案主要是对数据、数据活动、数据安全给出了明确的定义,从总体国家安全观的视角提出要求,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益。草案明确了数据安全主管机构的监管职责,建立健全了数据安全协同治理体系,提高了数据安全保障能力,促进了数据出境安全和自由流动,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。

9、公安部制定出台《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

7月22日,公安部下发1960号文《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,是落实等级保护2.0制度的重要标志,首次系统、明确地对关键性基础设施的保护提出了要求,具有非常强的实际操作性。文件中提到,加强重要数据和个人信息保护,采取多项关键技术措施,切实保护重要数据全生命周期安全。构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全技术保护体系。其中,需要产业链各端共享共治、协作配合,这是我国网络安全行业发展具有顶层设计意义的指导文件。

10、国内安全厂商持续曝光外方对我方的攻击行动

2020年,国内安全厂商持续对外方的网络攻击进行跟踪与分析,追踪其攻击行动、溯源幕后团伙,曝光相关攻击活动,并发布多篇分析报告。安天在《Darkhotel组织渗透隔离网络的Ramsay组件分析》报告中,披露了Darkhotel组织对我国的APT攻击活动技术细节。奇安信发布《提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击》等;360披露美国中央情报局黑客组织(APT-C-39)对中国关键领域进行的长达十一年的网络渗透攻击。安全厂商正在全面担当起国家网络安全保障和能力支撑的责任。

来源:经济参考报



企业的供应商可能给其带来最大的网络安全风险

确保供应商的网络安全实践符合企业的标准,这对于保护其系统和数据至关重要。事实上,它与业务的稳定性或产品和服务的交付情况一样重要。

企业的供应商可能给其带来最大的网络安全风险(图1)

虽然企业可以在多个层面上评估和管理风险,但第三方风险和缺乏强大的网络安全控制对业务弹性构成强大的威胁。与这些风险领域相关的漏洞和服务中断已经导致很多企业的关键系统瘫痪。2021年,在BlackKite公司对首席信息安全官的调查中,53%的首席信息安全官表示至少遭受过一次勒索软件攻击。

值得重申的是:网络安全和第三方风险是企业长期生存面临的两个最大问题。企业需要能够处理这些风险向量,以全面了解其风险状况。跨职能流程对于管理这些风险领域之间的重叠至关重要,以更好地保护企业并提高工作流效率。

确保供应商的网络安全实践符合企业的标准,这对于保护其系统和数据至关重要。事实上,它与业务的稳定性或产品和服务的交付情况一样重要。

常见的第三方网络安全风险

企业需要能够识别第三方风险的各个方面。以下是一些最常见的第三方网络安全漏洞,以及如何与合作伙伴合作来缓解这些漏洞。

  • 数据泄露:勒索软件、网络钓鱼和对供应商或其系统的直接攻击威胁企业的数据隐私。此外,供应商的组织安全性差和控制执行不力会给企业带来安全风险。
  • 服务中断:恶意软件和分布式拒绝服务攻击可能会破坏供应商的系统或为企业的IT基础设施提供的服务。因此,这可能会使其系统暴露在外,或者企业无法向客户提供服务。
  • 合规风险:监管机构越来越多地让企业及其供应商参与网络安全合规。了解需要在外部遵守的法规,并确保供应商遵守与其相关的法规。

企业面临持续的威胁,但减轻风险需要的不仅仅是单一的防御手段。缺乏集成的网络安全和第三方风险管理(TPRM)系统可能会使企业无法准备好预测、缓解或从漏洞中恢复。

与第三方一起解决网络安全问题

第三方风险管理(TPRM)和网络安全的跨职能方法可以减少重复工作,并为企业、供应商和合作伙伴提供更深入的企业风险洞察。在支持第三方风险管理(TPRM)工作时,需要考虑以下一些行动:

(1) 弥合第三方风险管理(TPRM)与网络安全之间的差距

网络安全和第三方风险管理(TPRM)的集成对于企业更好地理解和监控监管要求、控制以及内部政策和程序至关重要。企业应了解网络安全优先事项的作用是确定供应商在第三方风险管理(TPRM)中遵守的监管标准和控制措施。整合这两种方法的企业将这两种功能从孤岛中解放出来,以减少工作流处理、报告以及更重要的是风险决策方面的重叠。

企业必须了解第三方对其系统、数据和基础设施的访问权限。除此之外,努力确保采取充分和适当的措施和控制措施来保护这些系统和入口点。

(2) 进行深入的尽职调查

一旦企业为网络安全控制和指标建立了坚实的内部基础,它就可以开始对新的和现有的供应商进行尽职调查。第三方风险管理(TPRM)团队应尽可能收集最相关的信息,以了解供应商固有的和剩余的网络安全风险,包括他们的事件历史和未来状态展望。

仅当潜在供应商的网络安全实践符合企业的政策时,才应选择并加入他们,并且应根据他们对企业构成的风险级别对他们进行分层。

(3) 持续进行监控

时间点评估不足以捕捉供应商不断变化的风险态势。通过执行持续监控以了解其网络安全控制和状态的变化,定期评估供应商群体的安全性至关重要。在初始尽职调查期间完成的网络安全评级可以提供供应商安全性的评分,从而为企业的评估计划提供信息。根据供应商在一年、两年或三年时间框架内的总体风险评级确定评估范围和频率。

了解并实施集成网络安全和第三方风险管理(TPRM)系统的企业可以全面了解其供应商的风险状况,为可能的威胁和合规性违规行为做好全面的准备,并与值得信赖的安全供应商一起改善业务成果。

本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/15530.html