“

2021年，網(wǎng)絡(luò )安全發(fā)展態(tài)勢如何？2022年，網(wǎng)絡(luò )安全發(fā)展將面臨哪些挑戰？

”

2021年網(wǎng)絡(luò )安全形勢分析

2021年，百年變局和世紀疫情交織疊加，國際環(huán)境日趨復雜，網(wǎng)絡(luò )霸權主義對世界和平與發(fā)展構成威脅，全球產(chǎn)業(yè)鏈供應鏈遭受沖擊，網(wǎng)絡(luò )空間安全面臨的形勢持續復雜多變。網(wǎng)絡(luò )空間對抗趨勢更加突出，大規模針對性網(wǎng)絡(luò )攻擊行為增加，安全漏洞、數據泄露、網(wǎng)絡(luò )詐騙等風(fēng)險增加。

世界主要國家和地區不斷推出關(guān)鍵信息基礎設施保護、供應鏈安全、數據安全、個(gè)人信息保護等方面法規和政策，平臺反壟斷監管不斷強化。

網(wǎng)絡(luò )安全企業(yè)積極探索以網(wǎng)絡(luò )彈性技術(shù)為代表的網(wǎng)絡(luò )風(fēng)險防范能力、以安全多方計算為代表的數據隱私保護技術(shù)等。全球網(wǎng)絡(luò )安全產(chǎn)業(yè)保持穩定增長(cháng)，網(wǎng)絡(luò )安全人才缺口不斷增大。

1

各國加強網(wǎng)絡(luò )安全頂層設計、保障體系和能力建設

面對日益復雜嚴峻的網(wǎng)絡(luò )安全形勢，美國、俄羅斯、歐盟、日本、意大利等重點(diǎn)國家和地區強化網(wǎng)絡(luò )安全在國家安全中的重要戰略地位，不斷完善網(wǎng)絡(luò )安全戰略布局，持續完善網(wǎng)絡(luò )安全政策戰略，重點(diǎn)加強供應鏈安全、關(guān)鍵信息基礎設施保護、數據安全、個(gè)人信息保護等領(lǐng)域工作。

戰略法規方面，美國發(fā)布《2021財年國防授權法案》《臨時(shí)國家安全戰略綱要》《改善國家網(wǎng)絡(luò )安全行政令》等，將網(wǎng)絡(luò )安全作為重中之重，致力于加強網(wǎng)絡(luò )空間安全能力、就緒度和彈性。

俄羅斯總統普京簽署的新版《國家安全戰略》首次加入信息安全章節，對網(wǎng)絡(luò )信息安全的重視程度日益增加。

歐盟發(fā)布《歐盟數字十年網(wǎng)絡(luò )安全戰略》等數字政策，打響“數字主權”保衛戰。

英國發(fā)布《網(wǎng)絡(luò )戰略2022》《安全、防務(wù)、發(fā)展和外交政策綜合評估報告》，將網(wǎng)絡(luò )安全作為戰略重點(diǎn)，以提升英國在全球網(wǎng)絡(luò )空間的地位。

日本發(fā)布《未來(lái)三年網(wǎng)絡(luò )安全戰略綱要》，強化網(wǎng)絡(luò )空間安全的戰略指導。

 

供圖/視覺(jué)中國

體制機制建設方面，多國新設機構協(xié)調指導安全建設。美國設置國家網(wǎng)絡(luò )總監作為總統在網(wǎng)絡(luò )安全及相關(guān)新興技術(shù)領(lǐng)域的首席顧問(wèn)，負責監督和協(xié)調聯(lián)邦政府給出網(wǎng)絡(luò )威脅應對方案；日本設立數字廳指導制定日本網(wǎng)絡(luò )安全戰略方針；意大利批準成立了國家網(wǎng)絡(luò )安全局。

安全投入方面，拜登政府推出“美國救援計劃”和“美國就業(yè)計劃”等，加強國內基礎設施建設，增加對科研和教育的投入，增強網(wǎng)絡(luò )安全和技術(shù)競爭優(yōu)勢。

美國2021財年IT總預算為922億美元，其中網(wǎng)絡(luò )安全領(lǐng)域總預算為188億美元，比2020財年高出14億美元，網(wǎng)絡(luò )安全預算占IT預算的比例為20.4％。

西班牙政府將計劃在三年內投資超過(guò)4.5億歐元，以促進(jìn)國家網(wǎng)絡(luò )安全技術(shù)、產(chǎn)業(yè)和人才發(fā)展。

2

關(guān)鍵信息基礎設施成為攻擊重點(diǎn)目標，安全保護舉措持續出臺

2021年，多國基礎設施和重要信息系統遭受網(wǎng)絡(luò )攻擊，引發(fā)全球震蕩，對國家安全穩定造成巨大風(fēng)險，引發(fā)了全球關(guān)于加強關(guān)鍵信息基礎設施安全保護的思考。

一是勒索軟件成為主要威脅，破壞范圍廣、后果嚴重。勒索軟件即服務(wù)（RaaS）型商業(yè)模式成為新的關(guān)注點(diǎn)，使得攻擊者的溯源變得更加困難。勒索軟件攻擊呈現出破壞涉及行業(yè)領(lǐng)域增多、索要贖金增長(cháng)、支付贖金機構比例上升、破壞后果嚴重等特點(diǎn)。

據相關(guān)報告不完全統計，2021年上半年全球就至少發(fā)生了1200多起勒索軟件發(fā)起的攻擊事件，接近2020年公布的1420起，其中針對醫療系統和教育行業(yè)的攻擊增加了45%，平均贖金從2020年的40萬(wàn)美元提高到2021年的80萬(wàn)美元 。

二是金融、交通、醫療、能源等領(lǐng)域成為新的攻擊對象。2021年5月，美國油管道運營(yíng)商Colonial遭受勒索攻擊引發(fā)全球高度重視。5月，愛(ài)爾蘭衛生服務(wù)主管部門(mén)被勒索軟件攻擊，被迫暫時(shí)關(guān)閉IT系統，多家醫院運營(yíng)遭受影響。7月，伊朗鐵路遭受網(wǎng)絡(luò )攻擊，數百輛列車(chē)被延誤或取消。

三是國內外關(guān)鍵信息基礎設施安全保護措施頻出。美國除了大幅增加關(guān)鍵基礎設施安全防護的資金投入，還推出多部有關(guān)強化關(guān)鍵基礎設施網(wǎng)絡(luò )安全、預防勒索軟件攻擊等方面的法案和指南文件。

2021年2月，美國網(wǎng)絡(luò )安全與基礎設施安全局（CISA）發(fā)布了《CISA全球參與》文件，通過(guò)加強國際合作以增強全球關(guān)鍵信息基礎設施的安全性和韌性。此外，還分別于5月和7月出臺針對關(guān)鍵信息基礎設施安全防護的行政令，并于9月批準了一項修正案，為CISA增加8.65億美元，用于相關(guān)行政令的落實(shí)、安全運營(yíng)和人才培養。

歐盟也在《歐盟安全聯(lián)盟戰略》中將提升關(guān)鍵基礎設施的保護和恢復能力作為未來(lái)五年網(wǎng)絡(luò )安全工作的重中之重。

2021年5月，澳大利亞政府提出了關(guān)鍵基礎設施提升計劃(CI-UP)，旨在識別和解決關(guān)鍵基礎設施中的漏洞，提升網(wǎng)絡(luò )安全成熟度。

我國也于2021年8月出臺了《關(guān)鍵信息基礎設施安全保護條例》，這是我國首部專(zhuān)門(mén)針對關(guān)鍵信息基礎設施安全保護工作的行政法規，為開(kāi)展關(guān)鍵信息基礎設施安全保護工作提供了基本遵循。

3

數據泄露事件持續頻發(fā)，數據安全治理加快推進(jìn)

2021年，工業(yè)制造、政務(wù)、醫療、金融、交通等領(lǐng)域數據泄露事件頻發(fā)，數據交易黑色地下產(chǎn)業(yè)鏈活動(dòng)猖獗。據相關(guān)統計，2021年公開(kāi)報告的數據泄露事件1291起，已經(jīng)超過(guò)2020年的1108起。

數據安全問(wèn)題已成為全球的關(guān)注重點(diǎn)，各國紛紛將數據安全上升至國家安全層面，設立相關(guān)機構，完善數據安全法規和政策。美國、韓國、新加坡、日本等國針對個(gè)人信息相關(guān)法規進(jìn)行修訂，歐盟發(fā)布多個(gè)指南文件，明確和細化GDPR的相關(guān)要求。加拿大、澳大利亞、印度尼西亞等國家均已制定新的個(gè)人數據保護法規。

4

供應鏈網(wǎng)絡(luò )安全重要性凸顯，安全審查和能力建設不斷加強

2021年，軟件供應鏈攻擊事件頻發(fā)，例如Codecov、Kaseya等遭受供應鏈攻擊，直接影響關(guān)鍵基礎設施和重要信息系統安全。

據歐盟網(wǎng)絡(luò )安全局（ENISA）《供應鏈攻擊威脅態(tài)勢》統計， 2020年1月-2021年7月，共有24起供應鏈攻擊事件。軟件供應鏈安全影響重大，各國高度重視，紛紛推行政策法規推動(dòng)軟件供應鏈安全保護工作。

2021年1月，美國商務(wù)部等部門(mén)陸續發(fā)布了《確保信息通信技術(shù)及服務(wù)供應鏈安全》《出口管制條例》等文件，不斷加強網(wǎng)絡(luò )安全產(chǎn)品和服務(wù)對外依賴(lài)的安全風(fēng)險識別、評估和處理等流程管理。5 月，拜登簽署發(fā)布《改善國家網(wǎng)絡(luò )安全行政令》，明確提出改善軟件供應鏈安全。

 

供圖/視覺(jué)中國

2022年網(wǎng)絡(luò )安全預測

1

國家級網(wǎng)絡(luò )攻擊愈演愈烈

受地緣政治的影響，全球網(wǎng)絡(luò )空間局部沖突將不斷升級。以竊取敏感數據、破壞關(guān)鍵信息基礎設施為目的的國家級網(wǎng)絡(luò )攻擊復雜性將持續上升。

2

全球大規模數據泄露趨于常態(tài)化

隨著(zhù)數字化、網(wǎng)絡(luò )化進(jìn)程加快，越來(lái)越多的在線(xiàn)資產(chǎn)和數字系統收集了海量數據。大量數據和設備暴露在網(wǎng)上，它們被入侵的風(fēng)險逐漸增大。數據泄露事件將愈加頻繁，而且規模將更大，涉及各行各業(yè)，影響深遠。

3

供應鏈攻擊持續高發(fā)

軟件系統規模、程序邏輯和生產(chǎn)方式等越發(fā)復雜多元，極大增加了供應鏈的攻擊面，供應鏈攻擊將變得更加普遍。供應鏈攻擊具有難發(fā)現、難溯源、不可避免的特點(diǎn)，已成為各國面臨的最重要安全威脅之一。

各國政府應積極制定法規，建立聯(lián)防聯(lián)控體系，提升應對供應鏈攻擊的發(fā)現、分析、響應處置和恢復能力。

4

加密貨幣成為網(wǎng)絡(luò )攻擊的重要目標

加密貨幣平臺Bitmart近日發(fā)表聲明，稱(chēng)被黑客盜走了價(jià)值約1.5億美元的資產(chǎn)。因具有匿名付款和不斷升值的特點(diǎn)，加密貨幣正在被廣泛使用，到 2022年，加密貨幣相關(guān)的攻擊預計將會(huì )繼續增加，成為黑客攻擊的重要目標。

5

網(wǎng)絡(luò )安全保險市場(chǎng)規模將激增

網(wǎng)絡(luò )攻擊和數據泄露已成為商業(yè)領(lǐng)域的最大風(fēng)險之一，敏感數據泄露給全球的公司和組織造成了巨大的財務(wù)損失和負面影響。據測算，單次數據泄露事件的平均損失為392萬(wàn)美元。網(wǎng)絡(luò )安全保險通過(guò)分散和轉移殘余風(fēng)險，成為重要的風(fēng)險管理手段。

網(wǎng)絡(luò )安全風(fēng)險頻出推高網(wǎng)絡(luò )安全保險市場(chǎng)需求。美國、歐盟等國家和地區通過(guò)立法強化企業(yè)網(wǎng)絡(luò )安全風(fēng)險意識，優(yōu)化網(wǎng)絡(luò )安全保險服務(wù)，持續擴大市場(chǎng)規模。據測算，未來(lái)5年全球網(wǎng)絡(luò )安全保險市場(chǎng)的年化復合增長(cháng)率將達30%左右。2021年，我國網(wǎng)絡(luò )安全保險保費規模突破 7000 萬(wàn)元，最高保額超 4 億元，未來(lái)網(wǎng)絡(luò )安全保險市場(chǎng)具有巨大的增長(cháng)空間。

6

數據合規成為企業(yè)的重要關(guān)心點(diǎn)

隨著(zhù)我國《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》等法規的相繼出臺，如何規范數據處理活動(dòng)，保障數據安全，成為企業(yè)面臨的一個(gè)重要的課題。

企業(yè)收集數據后的保管和使用都使得數據安全風(fēng)險增大，需要認真研判法律法規、監管規定、行業(yè)準則、國際標準有關(guān)合規管理的新變化，建立健全企業(yè)數據合規管理體系。2022年，數據合規將逐漸發(fā)展成一個(gè)獨立的行業(yè)或專(zhuān)業(yè)領(lǐng)域，數據合規人才需求旺盛。

7

網(wǎng)絡(luò )安全高端人才供給缺口巨大

根據Cybersecurity Ventures最新發(fā)布的全球網(wǎng)絡(luò )安全人才報告，過(guò)去八年全球網(wǎng)絡(luò )安全空缺職位的數量增長(cháng)了350%，從2013年的100萬(wàn)個(gè)職位增加到2021年的350萬(wàn)個(gè)。

2021年8月，美國白宮稱(chēng)，美國大約有50萬(wàn)個(gè)網(wǎng)絡(luò )安全職位仍然空缺。我國170余所高校設有與網(wǎng)絡(luò )安全直接相關(guān)的專(zhuān)業(yè)，每年網(wǎng)絡(luò )安全畢業(yè)生約2萬(wàn)人，缺口高達50萬(wàn)至100萬(wàn)人。2022年，網(wǎng)絡(luò )安全行業(yè)高端人才供需矛盾將繼續加劇，實(shí)戰型、實(shí)用型等人才更加急缺。

8

數字平臺反壟斷監管常態(tài)化

近年來(lái)，美國和歐盟先后掀起對數字平臺的反壟斷監管，表明監管常態(tài)化與執法嚴厲化已成為全球趨勢。2021年，我國反壟斷工作在頂層設計、立法、執法、司法、健全反壟斷執法體制機制方面取得了突出成績(jì)。2022年，反壟斷相關(guān)制度建設還要繼續推進(jìn)，加強反壟斷和反不正當競爭成為一項重要的常態(tài)化工作。

 

供圖/視覺(jué)中國

對策與建議

要深入貫徹落實(shí)習近平總書(shū)記關(guān)于網(wǎng)絡(luò )強國的重要思想，堅持總體國家安全觀(guān)和正確的網(wǎng)絡(luò )安全觀(guān)，貫徹新發(fā)展理念，構建網(wǎng)絡(luò )安全新格局，全面加強網(wǎng)絡(luò )安全保障體系和能力建設。

健全國家網(wǎng)絡(luò )安全法律法規和制度標準。細化相關(guān)法律法規實(shí)施細則和相關(guān)指導意見(jiàn)，進(jìn)一步完善配套標準規范體系，構建個(gè)人信息、重要領(lǐng)域數據資源、重要網(wǎng)絡(luò )和信息系統安全保障體系。

加強網(wǎng)絡(luò )安全風(fēng)險評估和審查。強化新技術(shù)新應用安全評估管理。建立健全關(guān)鍵信息基礎設施保護體系，提升安全防護和維護政治安全能力。

加強網(wǎng)絡(luò )安全基礎設施建設，提高網(wǎng)絡(luò )安全綜合治理能力。強化跨領(lǐng)域網(wǎng)絡(luò )安全信息共享和工作協(xié)同，提升網(wǎng)絡(luò )安全威脅發(fā)現、監測預警、應急指揮、攻擊溯源能力。

推動(dòng)網(wǎng)絡(luò )安全教育、技術(shù)、產(chǎn)業(yè)融合發(fā)展。加強網(wǎng)絡(luò )安全宣傳教育和人才培養。強化網(wǎng)絡(luò )安全關(guān)鍵技術(shù)創(chuàng )新，提升網(wǎng)絡(luò )安全產(chǎn)業(yè)綜合競爭力，形成人才培養、技術(shù)創(chuàng )新、產(chǎn)業(yè)發(fā)展的良好生態(tài)。

加強網(wǎng)絡(luò )安全國際交流合作。積極參與網(wǎng)絡(luò )安全、數據安全等國際規則和數字安全技術(shù)標準制定。深化在人才培養、技術(shù)創(chuàng )新、應急響應和網(wǎng)絡(luò )犯罪打擊等領(lǐng)域國際合作，推動(dòng)國際網(wǎng)絡(luò )安全保障合作機制建設。

作者：中國網(wǎng)絡(luò )空間研究院網(wǎng)絡(luò )安全研究所所長(cháng)、研究員

來(lái)源：網(wǎng)絡(luò )傳播雜志