2018年网络安全大事记

发布时间：2019-01-26 07:14:39 所属栏目：评论来源：李少鹏

导读：副标题#e# 一、信息泄露与网络攻击篇 1. 信息泄露连续五年创历史记录自2013年斯诺登事件以来，全球信息泄露规模连年加剧。尽管目前还没有信息泄露统计的确切数字，但2018年的数据泄露规模又将创下新的历史记录已是大概率事件。根据Gemalto发布的《数据泄露

11月：

加拿大新的数据泄露法《个人信息保护和电子文件法》正式生效，其要求加拿大公司如发生信息泄露事件时必须尽快通知受影响用户，否则将面临处罚。每次违规的罚款数额最高可达10万加元。
由英国政府通信总部国家网络安全中心参与指导的，英国金融系统网络攻击演习举行，以测试金融系统在攻击面前的弹性。英国40家金融机构，和英国财政部、英国金融市场行为监管局参加演习。
英国间谍机构政府通信总部(GCHQ)及其信息安全部门NCSC发布了安全漏洞披露策略。其“漏洞公平裁决过程”由三层决策系统组成，包括安全专家、情报机构成员、政府机构代表和由NCSC主导的公平监管委员会。
美国司法部长和国家情报总监联合领导下的国家内部威胁特别工作组(NITTF)，发布了一份新的《内部人员威胁项目成熟度框架》。其目的是帮助行政部门及机构ITP超越《最低标准》，变得更主动、更全面、更能威慑、检测和缓解内部人员威胁风险。
美国国会一致通过之前参议院通过的《网络安全与基础设施安全局法案》(H.R. 3359)，并将由总统签署。该法案旨在保护联邦网络，保护关键基础设施免受网络和物理威胁。

12月：

美国众议院能源和商业委员会发布《网络安全战略报告》，提出6个应对网络安全事件的核心内联概念以及解决网络安全问题的6个重点。
GPDR今年正式实施。对安全行业而言，一方面，GDPR合规是企业数字化转型的有效驱动力，给安全带来了新的市场。另一方面，法规往往会“约束好人，放纵坏人”的现象不可忽视。GDPR对安全行业带来的真正影响还有待观察。
个人隐私与数据分析同样是一把双刃剑。数据时代，如何在保护个人隐私的条件下，利用数据的流动为全人类创造价值，可能是一个永远的话题。但保护自己数据，查看别人的数据，至少是现阶段的一致做法。
漏洞众测及漏洞资源受到美国政府的重视。美国国防部不断加大众测力度，并尝试从立法上平衡社会商业利益与国家安全的关系。
网络安全在国与国之间对政治和经济的影响已经十分明显，商业禁令、政治抨击、舆论影响，无不以其为重要依据。对于先进国家而言，保护只是基本，威慑与打击已经写入国家战略，军事对抗更是暗流涌动。

2. 国内重大政策法规

1月：

中央政法工作会议为推动网络综合治理体系建设，提出维护网络意识形态安全、打击防范网络犯罪、保护国家关键信息基础设施安全、加强网络治理能力建设等四项部署。
中国互联网协会成立个人信息保护工作委员会。委员会将开展法律法规研究、个人信息保护领域公众监督、个人信息保护领域行业自律、相关课题研究等工作，并为政府部门执法及行业监管提供支撑。

2月：

国家互联网信息办公室公布《微博客信息服务管理规定》，自3月20日起施行。《规定》共十八条，包括微博客服务提供者主体责任、真实身份信息认证、分级分类管理、辟谣机制、行业自律、社会监督及行政管理等条款。

4月：

全国信息安全标准化技术委员会正式发布《大数据安全标准化白皮书(2018版)》。白皮书重点介绍了国内外的大数据安全法规政策、标准化现状，分析了大数据安全所面临的风险和挑战，给出了大数据安全标准化体系框架，规划了大数据安全标准工作重点，提出了开展大数据安全标准化工作的建议。
中央网信办和中国证监会联合印发《关于推动资本市场服务网络强国建设的指导意见》，指导网信企业提高网络与信息安全意识，建立健全网络与信息安全保障措施，维护国家网络空间主权、安全和发展利益，保障个人信息和重要数据安全。

5月：

中国人民银行下发《关于进一步加强征信信息安全管理的通知》，进一步加强金融信用信息基础数据库运行机构和接入机构征信信息安全管理。通知要求，运行机构和接入机构要健全征信信息查询管理，严格授权查询机制，未经授权严禁查询征信报告，规范内部人员和国家机关查询办理流程，严禁未经授权认可的APP接入征信系统。此外，要求成立征信信息安全工作领导小组，明确领导层中分管征信工作的负责人为第一责任人。
全国信息安全标准化技术委员会在2017年底发布的《信息安全技术个人信息安全规范》正式实施。规范以国家标准的形式，明确了个人信息的收集、保存、使用、共享的合规要求，为网络运营者制定隐私政策及完善内控提供了指引。

6月：

公安部发布《网络安全等级保护条例(征求意见稿)》。作为《网络安全法》的重要配套法规，《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求，为开展等级保护工作提供了重要的法律支撑。
国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室四部门发布了承担网络关键设备和网络安全专用产品安全认证和安全检测任务的机构名录(第一批)。认证和检测的范围有：网络关键设备和网络安全专用产品安全认证;网络关键设备安全检测;网络安全专用产品安全检测。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!