“
2021年,網(wǎng)絡(luò)安全發(fā)展態(tài)勢如何?2022年,網(wǎng)絡(luò)安全發(fā)展將面臨哪些挑戰(zhàn)?
”
2021年網(wǎng)絡(luò)安全形勢分析
2021年,百年變局和世紀疫情交織疊加,國際環(huán)境日趨復(fù)雜,網(wǎng)絡(luò)霸權(quán)主義對世界和平與發(fā)展構(gòu)成威脅,全球產(chǎn)業(yè)鏈供應(yīng)鏈遭受沖擊,網(wǎng)絡(luò)空間安全面臨的形勢持續(xù)復(fù)雜多變。網(wǎng)絡(luò)空間對抗趨勢更加突出,大規(guī)模針對性網(wǎng)絡(luò)攻擊行為增加,安全漏洞、數(shù)據(jù)泄露、網(wǎng)絡(luò)詐騙等風(fēng)險增加。
世界主要國家和地區(qū)不斷推出關(guān)鍵信息基礎(chǔ)設(shè)施保護、供應(yīng)鏈安全、數(shù)據(jù)安全、個人信息保護等方面法規(guī)和政策,平臺反壟斷監(jiān)管不斷強化。
網(wǎng)絡(luò)安全企業(yè)積極探索以網(wǎng)絡(luò)彈性技術(shù)為代表的網(wǎng)絡(luò)風(fēng)險防范能力、以安全多方計算為代表的數(shù)據(jù)隱私保護技術(shù)等。全球網(wǎng)絡(luò)安全產(chǎn)業(yè)保持穩(wěn)定增長,網(wǎng)絡(luò)安全人才缺口不斷增大。
1
各國加強網(wǎng)絡(luò)安全頂層設(shè)計、保障體系和能力建設(shè)
面對日益復(fù)雜嚴峻的網(wǎng)絡(luò)安全形勢,美國、俄羅斯、歐盟、日本、意大利等重點國家和地區(qū)強化網(wǎng)絡(luò)安全在國家安全中的重要戰(zhàn)略地位,不斷完善網(wǎng)絡(luò)安全戰(zhàn)略布局,持續(xù)完善網(wǎng)絡(luò)安全政策戰(zhàn)略,重點加強供應(yīng)鏈安全、關(guān)鍵信息基礎(chǔ)設(shè)施保護、數(shù)據(jù)安全、個人信息保護等領(lǐng)域工作。
戰(zhàn)略法規(guī)方面,美國發(fā)布《2021財年國防授權(quán)法案》《臨時國家安全戰(zhàn)略綱要》《改善國家網(wǎng)絡(luò)安全行政令》等,將網(wǎng)絡(luò)安全作為重中之重,致力于加強網(wǎng)絡(luò)空間安全能力、就緒度和彈性。
俄羅斯總統(tǒng)普京簽署的新版《國家安全戰(zhàn)略》首次加入信息安全章節(jié),對網(wǎng)絡(luò)信息安全的重視程度日益增加。
歐盟發(fā)布《歐盟數(shù)字十年網(wǎng)絡(luò)安全戰(zhàn)略》等數(shù)字政策,打響“數(shù)字主權(quán)”保衛(wèi)戰(zhàn)。
英國發(fā)布《網(wǎng)絡(luò)戰(zhàn)略2022》《安全、防務(wù)、發(fā)展和外交政策綜合評估報告》,將網(wǎng)絡(luò)安全作為戰(zhàn)略重點,以提升英國在全球網(wǎng)絡(luò)空間的地位。
日本發(fā)布《未來三年網(wǎng)絡(luò)安全戰(zhàn)略綱要》,強化網(wǎng)絡(luò)空間安全的戰(zhàn)略指導(dǎo)。
供圖/視覺中國
體制機制建設(shè)方面,多國新設(shè)機構(gòu)協(xié)調(diào)指導(dǎo)安全建設(shè)。美國設(shè)置國家網(wǎng)絡(luò)總監(jiān)作為總統(tǒng)在網(wǎng)絡(luò)安全及相關(guān)新興技術(shù)領(lǐng)域的首席顧問,負責(zé)監(jiān)督和協(xié)調(diào)聯(lián)邦政府給出網(wǎng)絡(luò)威脅應(yīng)對方案;日本設(shè)立數(shù)字廳指導(dǎo)制定日本網(wǎng)絡(luò)安全戰(zhàn)略方針;意大利批準成立了國家網(wǎng)絡(luò)安全局。
安全投入方面,拜登政府推出“美國救援計劃”和“美國就業(yè)計劃”等,加強國內(nèi)基礎(chǔ)設(shè)施建設(shè),增加對科研和教育的投入,增強網(wǎng)絡(luò)安全和技術(shù)競爭優(yōu)勢。
美國2021財年IT總預(yù)算為922億美元,其中網(wǎng)絡(luò)安全領(lǐng)域總預(yù)算為188億美元,比2020財年高出14億美元,網(wǎng)絡(luò)安全預(yù)算占IT預(yù)算的比例為20.4%。
西班牙政府將計劃在三年內(nèi)投資超過4.5億歐元,以促進國家網(wǎng)絡(luò)安全技術(shù)、產(chǎn)業(yè)和人才發(fā)展。
2
關(guān)鍵信息基礎(chǔ)設(shè)施成為攻擊重點目標,安全保護舉措持續(xù)出臺
2021年,多國基礎(chǔ)設(shè)施和重要信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊,引發(fā)全球震蕩,對國家安全穩(wěn)定造成巨大風(fēng)險,引發(fā)了全球關(guān)于加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的思考。
一是勒索軟件成為主要威脅,破壞范圍廣、后果嚴重。勒索軟件即服務(wù)(RaaS)型商業(yè)模式成為新的關(guān)注點,使得攻擊者的溯源變得更加困難。勒索軟件攻擊呈現(xiàn)出破壞涉及行業(yè)領(lǐng)域增多、索要贖金增長、支付贖金機構(gòu)比例上升、破壞后果嚴重等特點。
據(jù)相關(guān)報告不完全統(tǒng)計,2021年上半年全球就至少發(fā)生了1200多起勒索軟件發(fā)起的攻擊事件,接近2020年公布的1420起,其中針對醫(yī)療系統(tǒng)和教育行業(yè)的攻擊增加了45%,平均贖金從2020年的40萬美元提高到2021年的80萬美元 。
二是金融、交通、醫(yī)療、能源等領(lǐng)域成為新的攻擊對象。2021年5月,美國油管道運營商Colonial遭受勒索攻擊引發(fā)全球高度重視。5月,愛爾蘭衛(wèi)生服務(wù)主管部門被勒索軟件攻擊,被迫暫時關(guān)閉IT系統(tǒng),多家醫(yī)院運營遭受影響。7月,伊朗鐵路遭受網(wǎng)絡(luò)攻擊,數(shù)百輛列車被延誤或取消。
三是國內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施安全保護措施頻出。美國除了大幅增加關(guān)鍵基礎(chǔ)設(shè)施安全防護的資金投入,還推出多部有關(guān)強化關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全、預(yù)防勒索軟件攻擊等方面的法案和指南文件。
2021年2月,美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了《CISA全球參與》文件,通過加強國際合作以增強全球關(guān)鍵信息基礎(chǔ)設(shè)施的安全性和韌性。此外,還分別于5月和7月出臺針對關(guān)鍵信息基礎(chǔ)設(shè)施安全防護的行政令,并于9月批準了一項修正案,為CISA增加8.65億美元,用于相關(guān)行政令的落實、安全運營和人才培養(yǎng)。
歐盟也在《歐盟安全聯(lián)盟戰(zhàn)略》中將提升關(guān)鍵基礎(chǔ)設(shè)施的保護和恢復(fù)能力作為未來五年網(wǎng)絡(luò)安全工作的重中之重。
2021年5月,澳大利亞政府提出了關(guān)鍵基礎(chǔ)設(shè)施提升計劃(CI-UP),旨在識別和解決關(guān)鍵基礎(chǔ)設(shè)施中的漏洞,提升網(wǎng)絡(luò)安全成熟度。
我國也于2021年8月出臺了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,這是我國首部專門針對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的行政法規(guī),為開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供了基本遵循。
3
數(shù)據(jù)泄露事件持續(xù)頻發(fā),數(shù)據(jù)安全治理加快推進
2021年,工業(yè)制造、政務(wù)、醫(yī)療、金融、交通等領(lǐng)域數(shù)據(jù)泄露事件頻發(fā),數(shù)據(jù)交易黑色地下產(chǎn)業(yè)鏈活動猖獗。據(jù)相關(guān)統(tǒng)計,2021年公開報告的數(shù)據(jù)泄露事件1291起,已經(jīng)超過2020年的1108起。
數(shù)據(jù)安全問題已成為全球的關(guān)注重點,各國紛紛將數(shù)據(jù)安全上升至國家安全層面,設(shè)立相關(guān)機構(gòu),完善數(shù)據(jù)安全法規(guī)和政策。美國、韓國、新加坡、日本等國針對個人信息相關(guān)法規(guī)進行修訂,歐盟發(fā)布多個指南文件,明確和細化GDPR的相關(guān)要求。加拿大、澳大利亞、印度尼西亞等國家均已制定新的個人數(shù)據(jù)保護法規(guī)。
4
供應(yīng)鏈網(wǎng)絡(luò)安全重要性凸顯,安全審查和能力建設(shè)不斷加強
2021年,軟件供應(yīng)鏈攻擊事件頻發(fā),例如Codecov、Kaseya等遭受供應(yīng)鏈攻擊,直接影響關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全。
據(jù)歐盟網(wǎng)絡(luò)安全局(ENISA)《供應(yīng)鏈攻擊威脅態(tài)勢》統(tǒng)計, 2020年1月-2021年7月,共有24起供應(yīng)鏈攻擊事件。軟件供應(yīng)鏈安全影響重大,各國高度重視,紛紛推行政策法規(guī)推動軟件供應(yīng)鏈安全保護工作。
2021年1月,美國商務(wù)部等部門陸續(xù)發(fā)布了《確保信息通信技術(shù)及服務(wù)供應(yīng)鏈安全》《出口管制條例》等文件,不斷加強網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)對外依賴的安全風(fēng)險識別、評估和處理等流程管理。5 月,拜登簽署發(fā)布《改善國家網(wǎng)絡(luò)安全行政令》,明確提出改善軟件供應(yīng)鏈安全。
供圖/視覺中國
2022年網(wǎng)絡(luò)安全預(yù)測
1
國家級網(wǎng)絡(luò)攻擊愈演愈烈
受地緣政治的影響,全球網(wǎng)絡(luò)空間局部沖突將不斷升級。以竊取敏感數(shù)據(jù)、破壞關(guān)鍵信息基礎(chǔ)設(shè)施為目的的國家級網(wǎng)絡(luò)攻擊復(fù)雜性將持續(xù)上升。
2
全球大規(guī)模數(shù)據(jù)泄露趨于常態(tài)化
隨著數(shù)字化、網(wǎng)絡(luò)化進程加快,越來越多的在線資產(chǎn)和數(shù)字系統(tǒng)收集了海量數(shù)據(jù)。大量數(shù)據(jù)和設(shè)備暴露在網(wǎng)上,它們被入侵的風(fēng)險逐漸增大。數(shù)據(jù)泄露事件將愈加頻繁,而且規(guī)模將更大,涉及各行各業(yè),影響深遠。
3
供應(yīng)鏈攻擊持續(xù)高發(fā)
軟件系統(tǒng)規(guī)模、程序邏輯和生產(chǎn)方式等越發(fā)復(fù)雜多元,極大增加了供應(yīng)鏈的攻擊面,供應(yīng)鏈攻擊將變得更加普遍。供應(yīng)鏈攻擊具有難發(fā)現(xiàn)、難溯源、不可避免的特點,已成為各國面臨的最重要安全威脅之一。
各國政府應(yīng)積極制定法規(guī),建立聯(lián)防聯(lián)控體系,提升應(yīng)對供應(yīng)鏈攻擊的發(fā)現(xiàn)、分析、響應(yīng)處置和恢復(fù)能力。
4
加密貨幣成為網(wǎng)絡(luò)攻擊的重要目標
加密貨幣平臺Bitmart近日發(fā)表聲明,稱被黑客盜走了價值約1.5億美元的資產(chǎn)。因具有匿名付款和不斷升值的特點,加密貨幣正在被廣泛使用,到 2022年,加密貨幣相關(guān)的攻擊預(yù)計將會繼續(xù)增加,成為黑客攻擊的重要目標。
5
網(wǎng)絡(luò)安全保險市場規(guī)模將激增
網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露已成為商業(yè)領(lǐng)域的最大風(fēng)險之一,敏感數(shù)據(jù)泄露給全球的公司和組織造成了巨大的財務(wù)損失和負面影響。據(jù)測算,單次數(shù)據(jù)泄露事件的平均損失為392萬美元。網(wǎng)絡(luò)安全保險通過分散和轉(zhuǎn)移殘余風(fēng)險,成為重要的風(fēng)險管理手段。
網(wǎng)絡(luò)安全風(fēng)險頻出推高網(wǎng)絡(luò)安全保險市場需求。美國、歐盟等國家和地區(qū)通過立法強化企業(yè)網(wǎng)絡(luò)安全風(fēng)險意識,優(yōu)化網(wǎng)絡(luò)安全保險服務(wù),持續(xù)擴大市場規(guī)模。據(jù)測算,未來5年全球網(wǎng)絡(luò)安全保險市場的年化復(fù)合增長率將達30%左右。2021年,我國網(wǎng)絡(luò)安全保險保費規(guī)模突破 7000 萬元,最高保額超 4 億元,未來網(wǎng)絡(luò)安全保險市場具有巨大的增長空間。
6
數(shù)據(jù)合規(guī)成為企業(yè)的重要關(guān)心點
隨著我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法規(guī)的相繼出臺,如何規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,成為企業(yè)面臨的一個重要的課題。
企業(yè)收集數(shù)據(jù)后的保管和使用都使得數(shù)據(jù)安全風(fēng)險增大,需要認真研判法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則、國際標準有關(guān)合規(guī)管理的新變化,建立健全企業(yè)數(shù)據(jù)合規(guī)管理體系。2022年,數(shù)據(jù)合規(guī)將逐漸發(fā)展成一個獨立的行業(yè)或?qū)I(yè)領(lǐng)域,數(shù)據(jù)合規(guī)人才需求旺盛。
7
網(wǎng)絡(luò)安全高端人才供給缺口巨大
根據(jù)Cybersecurity Ventures最新發(fā)布的全球網(wǎng)絡(luò)安全人才報告,過去八年全球網(wǎng)絡(luò)安全空缺職位的數(shù)量增長了350%,從2013年的100萬個職位增加到2021年的350萬個。
2021年8月,美國白宮稱,美國大約有50萬個網(wǎng)絡(luò)安全職位仍然空缺。我國170余所高校設(shè)有與網(wǎng)絡(luò)安全直接相關(guān)的專業(yè),每年網(wǎng)絡(luò)安全畢業(yè)生約2萬人,缺口高達50萬至100萬人。2022年,網(wǎng)絡(luò)安全行業(yè)高端人才供需矛盾將繼續(xù)加劇,實戰(zhàn)型、實用型等人才更加急缺。
8
數(shù)字平臺反壟斷監(jiān)管常態(tài)化
近年來,美國和歐盟先后掀起對數(shù)字平臺的反壟斷監(jiān)管,表明監(jiān)管常態(tài)化與執(zhí)法嚴厲化已成為全球趨勢。2021年,我國反壟斷工作在頂層設(shè)計、立法、執(zhí)法、司法、健全反壟斷執(zhí)法體制機制方面取得了突出成績。2022年,反壟斷相關(guān)制度建設(shè)還要繼續(xù)推進,加強反壟斷和反不正當(dāng)競爭成為一項重要的常態(tài)化工作。
供圖/視覺中國
對策與建議
要深入貫徹落實習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強國的重要思想,堅持總體國家安全觀和正確的網(wǎng)絡(luò)安全觀,貫徹新發(fā)展理念,構(gòu)建網(wǎng)絡(luò)安全新格局,全面加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)。
健全國家網(wǎng)絡(luò)安全法律法規(guī)和制度標準。細化相關(guān)法律法規(guī)實施細則和相關(guān)指導(dǎo)意見,進一步完善配套標準規(guī)范體系,構(gòu)建個人信息、重要領(lǐng)域數(shù)據(jù)資源、重要網(wǎng)絡(luò)和信息系統(tǒng)安全保障體系。
加強網(wǎng)絡(luò)安全風(fēng)險評估和審查。強化新技術(shù)新應(yīng)用安全評估管理。建立健全關(guān)鍵信息基礎(chǔ)設(shè)施保護體系,提升安全防護和維護政治安全能力。
加強網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè),提高網(wǎng)絡(luò)安全綜合治理能力。強化跨領(lǐng)域網(wǎng)絡(luò)安全信息共享和工作協(xié)同,提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測預(yù)警、應(yīng)急指揮、攻擊溯源能力。
推動網(wǎng)絡(luò)安全教育、技術(shù)、產(chǎn)業(yè)融合發(fā)展。加強網(wǎng)絡(luò)安全宣傳教育和人才培養(yǎng)。強化網(wǎng)絡(luò)安全關(guān)鍵技術(shù)創(chuàng)新,提升網(wǎng)絡(luò)安全產(chǎn)業(yè)綜合競爭力,形成人才培養(yǎng)、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展的良好生態(tài)。
加強網(wǎng)絡(luò)安全國際交流合作。積極參與網(wǎng)絡(luò)安全、數(shù)據(jù)安全等國際規(guī)則和數(shù)字安全技術(shù)標準制定。深化在人才培養(yǎng)、技術(shù)創(chuàng)新、應(yīng)急響應(yīng)和網(wǎng)絡(luò)犯罪打擊等領(lǐng)域國際合作,推動國際網(wǎng)絡(luò)安全保障合作機制建設(shè)。
作者:中國網(wǎng)絡(luò)空間研究院網(wǎng)絡(luò)安全研究所所長、研究員
來源:網(wǎng)絡(luò)傳播雜志