永新鸵吻水电安装有限公司

安全牛近日發(fā)布的《2014年網(wǎng)絡(luò)安全大事記》記述了2014年發(fā)生的重大安全要事，其文尾的最后一段話這樣寫道：“這就是即將過去的2014，未來的2015將發(fā)生什么、改變什么、揚棄什么，讓我們拭目以待！”

那么，未來的這一年即將發(fā)什么呢？在我們“拭目以待”的同時，安全牛依據(jù)過去已經(jīng)發(fā)生的事情和相關(guān)資料，結(jié)合相關(guān)專業(yè)領(lǐng)域標桿人物的評論，對未來一年中將會發(fā)生的網(wǎng)絡(luò)安全大事做出一些推測，希望能帶來一定的參考和借鑒作用。

趨勢一：安全漏洞不可避免

盡管《大事記》在漏洞一節(jié)表達了漏洞出現(xiàn)的不可預(yù)知性，但我們可以知道的是它一定會出現(xiàn)。而且，隨著安全意識和安全編程標準被人們逐漸接受，新開發(fā)的軟件和系統(tǒng)中出現(xiàn)重大漏洞的可能性變小。重大漏洞將更多的出現(xiàn)在過去開發(fā)出來的，但已經(jīng)得到普及和廣泛流行的軟件、系統(tǒng)或協(xié)議中。

尤為需要注意的是所謂“長老級”和“功能型”的漏洞，前者是指埋藏在系統(tǒng)中多年未被發(fā)現(xiàn)的漏洞，后者是指本來是系統(tǒng)為了方便用戶而提供的功能，但由于應(yīng)用環(huán)境的變化和技術(shù)的飛速發(fā)展，被黑客發(fā)現(xiàn)并加以利用因而成了漏洞。

按照這個思路，明年將有可能爆出通信協(xié)議和操作系統(tǒng)級別的嚴重漏洞，同時，那些建立在通信協(xié)議和傳統(tǒng)操作系統(tǒng)之上的，成熟期較早并在目前得到廣泛應(yīng)用的軟件和系統(tǒng)可能性較大，比如Java，安卓。至于智能家居或可穿戴設(shè)備，雖然生產(chǎn)商缺乏安全考慮，但由于未得到大規(guī)模應(yīng)用，盡管可以預(yù)見很多漏洞的發(fā)現(xiàn)，但巨大影響力的漏洞無法形成。

“操作系統(tǒng)級別的漏洞每年都會有，新的嚴重漏洞出現(xiàn)的可能性依然很大，但漏洞利用越來越難?！薄狵een Team CEO王琦

趨勢二：信息泄露在劫難逃

人類生活越來越依靠現(xiàn)代科技、互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)，以及隨之而來的大數(shù)據(jù)和云服務(wù)，加上黑客行為的組織化和產(chǎn)業(yè)化，下一次重大信息泄露事件的發(fā)生可以說是板上釘釘。

新興社交網(wǎng)絡(luò)和電子商務(wù)由于與互聯(lián)網(wǎng)緊密相關(guān)，較早的具備一定的安全認識和網(wǎng)絡(luò)基礎(chǔ)，因此發(fā)生重大隱私泄露的可能性較小。目前網(wǎng)上泄露出的個人信息，多為用戶自行泄露或被黑客利用撞庫技術(shù)而得到。

相比而言，醫(yī)療行業(yè)、物流行業(yè)、零售業(yè)等傳統(tǒng)行業(yè)，其數(shù)據(jù)大多是用戶的真實身份，而且這些行業(yè)的網(wǎng)絡(luò)安全意識落后，信息技術(shù)基礎(chǔ)薄弱，隨著線上業(yè)務(wù)與線下業(yè)務(wù)的交融，這些行業(yè)必將是隱私泄露的重災(zāi)區(qū)。

此外，云服務(wù)的快速普及和應(yīng)用，越來越受到惡意黑客的關(guān)注。而且其完全依賴在線服務(wù)和一套登錄口令對應(yīng)所有信息存儲服務(wù)的特性，更有可能使其曝發(fā)出大規(guī)模的惡性信息泄露事件。

“信息泄露屢發(fā)不止，根源不在于數(shù)據(jù)安全技術(shù)，而在于收集用戶信息的服務(wù)商不重視保護用戶隱私信息，并且法律上對這些服務(wù)商沒有嚴肅追究刑責?！薄鞒f達總裁王志海

趨勢三：攻防技術(shù)的矛與盾

攻擊者的技術(shù)也在不斷進化。從自動化工具、邊信道攻擊和圖片密寫技術(shù)，到零日漏洞、APT攻擊和社會工程。

同樣，隨著網(wǎng)絡(luò)攻防強度、頻率、規(guī)模，以及影響力的不斷升級，未來的安全技術(shù)將逐漸朝自動化、智能化、定制化和整體化等方向發(fā)展，在單點防護和檢測上越來越深，同時在整體防護上更加系統(tǒng)和智能。不僅能夠防范已知的攻擊，還能夠感知即將發(fā)生的威脅，預(yù)先采取措施。

提到社會工程，不得不強調(diào)“人”的重要性。人是需要處理事務(wù)的，不斷發(fā)展的事務(wù)以及人的思想認識中的“漏洞”永遠無法避免，社會工程學(xué)的威力正在被發(fā)揮到極致。“道高一尺，魔高一丈”的斗爭不斷上演，這是一個矛與盾的寓言，也是一個永不停息的貓和老鼠的故事。

“攻防對抗是信息安全最重要的內(nèi)容，背后是人和人的較量。隨著對抗的發(fā)展，其中也逐漸呈現(xiàn)出像SR-71偵察機和燃料空氣炸彈一樣或精妙或宏大或優(yōu)雅或暴力的智慧之美?！薄v訊玄武實驗室負責人于旸

趨勢四：互聯(lián)網(wǎng)巨頭進軍企業(yè)市場

從互聯(lián)網(wǎng)公司來看，BAT3全部擁有基于云服務(wù)的大數(shù)據(jù)，自然而然的云安全和大數(shù)據(jù)安全是四國火拼的最為重要的戰(zhàn)場。

各家的云服務(wù)用戶的基礎(chǔ)是各自基因的用戶，百度是搜索引擎、阿里是淘寶和阿里巴巴，騰訊是QQ，360則是360殺毒和安全衛(wèi)士。各自的用戶發(fā)展到現(xiàn)在，已經(jīng)達到基本平衡的狀態(tài)。如果要有大的變化，比較大的可能是從企業(yè)級市場入手。這里談的市場已經(jīng)超出安全市場，而是以安全市場為入口的互聯(lián)網(wǎng)市場。

但目前，企業(yè)市場的基礎(chǔ)主要還聚攏在傳統(tǒng)的安全專業(yè)廠商，如天融信、啟明星辰、綠盟、衛(wèi)士通、北信源等，各種硬件設(shè)備、軟件工具、解決方案等安全產(chǎn)品和服務(wù)掌握在此類企業(yè)的手中。但隨著互聯(lián)網(wǎng)服務(wù)的無孔不入，四大巨頭已經(jīng)開始侵入到傳統(tǒng)安全業(yè)務(wù)中來。明年將會有更多的安全公司被更大的企業(yè)兼并聯(lián)合，或投資，或入股、或收購。

“企業(yè)IT正走在云化、移動化、消費化的大路上，企業(yè)安全在2015年是否將在這幾個技術(shù)制高點上決戰(zhàn)？是傳統(tǒng)完成自我顛覆還是被顛覆，正如文始所言，讓我們拭目以待?！薄G盟科技首席戰(zhàn)略官趙糧

趨勢五：漏洞獎勵、眾測服務(wù)持續(xù)升溫

近年來，幾乎所有提供在線服務(wù)大型互聯(lián)網(wǎng)公司都成立了自己的安全應(yīng)急響應(yīng)中心（SRC），而這些SRC最重要的作用之一就是給白帽子提供一個漏洞提交的平臺。

此外，第三方漏洞平臺的作用也不可小覷。首先，第三方漏洞平臺的出現(xiàn)以及產(chǎn)生的影響和效果，激起了各大公司爭相建立SRC的浪潮。再者，第三方漏洞平臺相比于廠商自己的SRC，其優(yōu)勢在于更加公開、中立和范圍廣。

值得關(guān)注的是，始源于漏洞獎勵基礎(chǔ)之上的眾測服務(wù)也開始逐漸被行業(yè)認可。對新興服務(wù)一向反應(yīng)謹慎和緩慢的重要行業(yè)，也開始逐漸接受眾測服務(wù)，并收到良好效果。預(yù)期明年，在一些在線服務(wù)應(yīng)用比較廣泛的重點行業(yè)如金融、支付領(lǐng)域?qū)懈蟮膭幼鳌６硪恍┥形磳嵤┻^眾測服務(wù)的重要行業(yè)、央企則可能進行試探性的嘗試。

“眾測的崛起有著重大意義，意味著企業(yè)安全觀的更加成熟。過去企業(yè)與白帽子的關(guān)系是正負對抗，結(jié)果往往還是負數(shù)?，F(xiàn)在企業(yè)主動與白帽子合作，結(jié)果就成了1+N，這對整個安全行業(yè)都是好事?！薄獮踉凭W(wǎng)創(chuàng)始人方小頓

趨勢六：網(wǎng)絡(luò)安全立法指日可待

網(wǎng)絡(luò)安全法規(guī)出臺的緩慢已經(jīng)成為我國網(wǎng)絡(luò)信息發(fā)展的重大羈絆，但立法的進程快慢又與公眾思想的成熟度密切相關(guān)。即使目前已有的一些地區(qū)或部門的規(guī)章制度，在實踐中也難以正常地操作執(zhí)行。多年來，民間協(xié)會、研學(xué)機構(gòu)、人大會議、政府部門一直都在關(guān)注和籌備著網(wǎng)絡(luò)安全立法工作。

今年2月27日，習(xí)近平總書記在主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議時要求，“要抓緊制定立法規(guī)劃，完善互聯(lián)網(wǎng)信息內(nèi)容管理、關(guān)鍵基礎(chǔ)設(shè)施保護等法律法規(guī)，依法治理網(wǎng)絡(luò)空間，維護公民合法權(quán)益”。10月底，十八屆四中全會通過了《中共中央關(guān)于全面推進依法治國若干重大問題的決定》?！稕Q定》提出加強互聯(lián)網(wǎng)領(lǐng)域立法，完善網(wǎng)絡(luò)信息服務(wù)、網(wǎng)絡(luò)安全保護、網(wǎng)絡(luò)社會管理等方面的法律法規(guī)，依法規(guī)范網(wǎng)絡(luò)行為。

網(wǎng)絡(luò)安全立法，盡管存在各種監(jiān)督管理、執(zhí)行操作上的難度，但國家最高領(lǐng)導(dǎo)機構(gòu)已經(jīng)明確指出立法的方向，并敦促加快立法進程，這種推動力度前所未有。因此可以大膽預(yù)見，2015年有可能看到立法草案的出臺。

“網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的出臺，將有效推動創(chuàng)建網(wǎng)絡(luò)法制社會，實現(xiàn)‘依法建網(wǎng)、依法用網(wǎng)、依法管網(wǎng)’，有效保障網(wǎng)絡(luò)社會規(guī)范、有序、安全、文明運行?！薄泊髮W(xué)警務(wù)信息工程院院長李欣

趨勢七：網(wǎng)絡(luò)空間戰(zhàn)爭危及國家安全

2014年國家支持的黑客攻擊事件頻發(fā)，其中最大的一起莫過于索尼影業(yè)遭攻擊，包括員工信息、財務(wù)信息、通信郵件及影片劇本等多種數(shù)據(jù)泄露，此事牽動了朝鮮政府、美國總統(tǒng)、韓國總統(tǒng)及中國外交部。正在由一場普通的企業(yè)信息泄露事件，演化成國際政治事件。

虛擬世界已經(jīng)和現(xiàn)實世界密不可分，這也正是“網(wǎng)絡(luò)空間”（Cyber）一詞的含義所在。做為國家安全極為重要的一部分——工控安全，更是極易遭到敵對勢力攻擊的目標。截止到目前，全世界各地發(fā)生的攻擊關(guān)鍵基礎(chǔ)設(shè)施的嚴重事件至少數(shù)百起，或民間或政府的網(wǎng)絡(luò)間諜活動遍布互聯(lián)網(wǎng)，歐美大國情報機關(guān)監(jiān)控全球互聯(lián)網(wǎng)的行為幾近公開，數(shù)十個國家紛紛成立了網(wǎng)絡(luò)部隊。網(wǎng)絡(luò)戰(zhàn)爭已不再遙遠。

由于網(wǎng)絡(luò)空間的攻擊更為隱蔽、難以確定來源以及成本低但影響或收獲大等特點，這種攻擊形式肯定會被越來越多的國家采用。明年，國家支持的黑客活動將愈演愈烈，很有可能爆發(fā)出更加嚴重的網(wǎng)絡(luò)攻擊事件，并進一步造成國與國之間的政治危機。

“大國間的相互尊重和規(guī)則的達成，取決于相互傷害的能力，網(wǎng)絡(luò)空間的規(guī)則也注定要這樣建立起來。中國在網(wǎng)絡(luò)空間的問題上具有雙重特質(zhì)，在對抗中顯示出能力不足的尷尬，但在發(fā)展中卻有著空前體量和勃勃生機?！薄蔡鞂嶒炇沂紫夹g(shù)架構(gòu)師肖新光