网安治理“开花结果” 数字化催生新时代挑战-合肥网

自2017年6月1日生效起至今, 《网络安全法》已正式施行五年，作为我国网络安全领域第一部专门法律, 自其诞生后，网络空间安全建设敲响了“晨钟”。

伴随着数字化进程加快，《数据安全法》《个人信息保护法》在去年相继落地，维护网络空间安全的政策和法规逐步完善，催生网络安全技术、产品不断推陈出新，网络空间迎来“大考”，也展现出新的面貌。

法应“时”而生，网络安全需求伴随技术升级“井喷”

在《网络安全法》与其相关政策、法规施行这些年里，数字化与生产、生活的结合日益紧密，数据洪流裹挟大量信息在网络空间翻涌，远程办公成为全球流行趋势，网络安全问题日益凸显，安全需求随之“井喷”。

根据智研咨询数据显示，网民网络安全事件频发，截至2021年12月，过去半年在上网过程中未遭遇过网络安全问题的网民占比62%，与2020年12月基本保持一致；遭遇个人信息泄露的网民比例高达22.1%；遭遇网络诈骗的网民比例为16.6%；遭遇设备中病毒或木马的网民比例为9.1%；遭遇账号或密码被盗的网民比例为6.6%。

此外，2021年，工业和信息化部网络安全威胁和漏洞信息共享平台收集整理信息系统安全漏洞143319个；其中，高危漏洞40498个，占比28.26%；中危漏洞 86217个，占比60.16%；低危漏洞16604个，占比11.59%。

5月18日凌晨，搜狐部分员工邮箱收到一封名为《5月份员工工资补助通知》的诈骗邮件。经调查，实为某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件，该事件造成搜狐24名员工被骗取四万余元人民币。

事实上，钓鱼邮件只是网络安全威胁的冰山一角。盛邦安全技术副总裁方伟表示，随着物联网、5G、大数据等新业态和技术的应用，网络空间的资产暴露面乃至攻击面在持续扩大，安全防护的压力随之递增；业务的复杂化和多变性也让新型攻击手段不断出现，给安全风险识别和应急处置带来了新的挑战。可见，虽然网络安全的资源投入和技术创新在不断加大，但网络空间的复杂度也在逐年增加，网络安全现状仍不容乐观。

360天枢智库安全专家认为，当前网络空间呈现技术飞速发展、安全依然严峻的态势。“因为技术永远是一把双刃剑。从安全的视角看，当前网络空间形势呈现高级别专业力量入场、关键的基础设施、主要城市成为主要的攻击目标、数据成为新的攻击对象、漏洞是安全的命门、人（安全意识）是最大的弱点等五个新特点。”

知道创宇网络安全专家提出，网络空间不仅存在自身的网络安全问题，还为各种通过网络影响到现实空间中的威胁、攻击形态提供了条件和媒介，这就会通过网络空间催化放大出对现实空间更具威胁性的安全事件，给数字时代下的国家安全、社会安全带来前所未有的挑战。

知道创宇网络安全专家表示，“网络空间已经成为了国家间对抗的新战场，未来的局部冲突或战争都极有可能从网络空间先打响。因此，维护好网络空间安全与秩序将是未来保障国家稳定运行的基石之一，加速出台与完善网络空间的相关法律法规更是维护我国网络空间主权的集中体现。”

网安法生新貌，新生重点行业亟待关注

2017年6月1日，《网络安全法》正式施行，定义了国家、地区、企业和公民的网络安全责任、义务和权利。作为这部网络安全基本法的配套措施，我国陆续出台了相关的法律法规和标准，包括《数据安全法》《个人信息保护法》《网络安全审查办法》《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》等，为网安法落地执行提供了重要依据。

360天枢智库安全专家认为，目前看，密集出台的网络安全相关法律法规起到了三个作用。“一是压实了重点领域网络安全的主体责任。金融、能源、电力、通信、工业等领域企业的安全合规有了清晰的指引；二是规范了数字经济发展，让数字经济沿着公平、公正、安全的方向发展；三是推进了数字安全的一体化治理。网络安全法及其配套法律法规和地方落地政策制定一方面强化了基础设施、网络和数据安全保障体系的同步规划、建设、运营，另一方面，通过落实数据隐私保护、数据分级分类管理、安全审查等制度，促进数据资源的开放利用，培养数据要素市场，释放数据的价值。”他说道。

《网络安全法》正式施行后，网络安全问题逐步引起社会重视，近几年各级政府继续高度重视网络安全工作，在各行业相继发布了发展规划，并在关键信息基础设施、数据安全与个人信息保护、工业互联网、车联网、物联网等多个领域密集出台了多项网络安全法律法规和政策文件，促进了网络安全领域的技术创新和应用落地。

亚信安全首席研发官吴湘宁表示，《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规规章的落地，对于我国网络空间安全建设整体起到了非常大的推动作用，切实提升了关键信息基础设施等重点领域、重点目标的安全保障能力，网络安全态势感知、网络攻击追踪溯源、监测预警等技术得到了持续创新和补充，实战演练能力也得到了大力加强。

在企业端，知道创宇近期发布的互联网宙斯盾、企业数字堡垒两大战略方案基于大数据联防联控的实战化防御体系。它们能在拥有攻防实战能力的基础上，以实战化防御帮助客户守护网络空间安全。360利用常年处于攻防对抗一线收获的世界规模最大的安全大数据和攻击样本库，分析提炼形成全球独有的攻击知识库，建立了以安全大数据分析为核心的云端安全大脑，形成了强大的网络空间预警能力，解决了“看见”高级攻击的难题，累计捕获境外50个APT组织。

随着“十四五”期间企业上云的加速，对云等保的需求在快速增长，奇安信推出了合规一体机、云安全管理平台（CSMP）等产品，保企业合规要求之余，提供按需赋能、可弹性拓展的云安全解决方案，实现安全事件的处置闭环。此外，奇安信推出的隐私卫士系统，针对安卓App、iOS App、小程序、IoT设备进行隐私合规检测与分析，通过技术手段辅助发现隐私安全风险，避免由此带来的数据泄露、资产损失、监管处罚等风险。

对于易受网络安全威胁的细分领域，吴湘宁认为，金融、能源、制造等行业的网络攻击数量正在大幅提升。

在金融行业中，随着数字化风险的逐渐攀升，网络安全的敏感性与重要性凸显。吴湘宁表示，“如今，黑产在不断进化，高级恶意代码以快速变种、多样化和动态交互的形式不断演化，互联网每天新增的恶意代码和恶意网页都在数十万量级，还出现了威胁巨大的勒索软件新型病毒，严重威胁着金融用户的网络安全。与此同时，针对外部安全堡垒”建设通常较为完善的金融系统，高级黑客往往借助钓鱼邮件、水坑攻击、勒索病毒等结合社会工程学发动APT攻击，从内部瓦解金融系统坚实的安全堡垒。”

在工业互联网领域，据国家工业信息安全发展研究中心发布的《2021年工业信息安全态势报告》显示，我国工业信息安全指数为53.7，处于“中危”水平；全年共捕获来自境外105个国家和地区对我国实施的扫描探测、信息读取等恶意行为超过600万次；CICSVD新收录工业信息安全漏洞1504个。

“在高利润和高回报率的影响下，勒索病毒、APT攻击、数据泄露等传统网络威胁持续向工业领域蔓延，严重影响了工业企业的生产和业务运营。”吴湘宁说道。

此外，知道创宇安全专家认为，以新基建为代表的“数字基础设施建设”和国家重要单位与企业也易成为黑客攻击的重要目标。“新基建的关键核心是‘数据’。随着新基建的开展，各类数据中心承载着国家、社会和个人的海量大数据，肩负着数据流的接收、处理、存储与转发，而这一核心也正面临着严峻的安全挑战。”他说道。

对个人来说，360天枢智库安全专家表示，用户点击一些不安全的链接、轻易相信陌生电话按电话操作手机，容易造成网络安全问题。“但有时候，也并非用户自身行为引起网络安全问题，而是用户使用互联网设备时，设备本身的漏洞易造成网络安全问题。比如，利用漏洞，网络不法分子可以向用户的手机注入恶意代码。也就是说，如果用户的手机被攻击，那么用户手机中的短信、通话记录等敏感信息就将没有任何隐私可言，甚至可能发生用户通话被监听、SIM卡被远程解锁等骇人听闻的安全事件。”

数字化带来新挑战，维护网络安全需多维视角

《网络安全法》施行五年以来，随着网络安全相关法规的颁布，网络安全建设逐渐规范，网络安全专项治理在保护个人信息安全、数据安全等方面成效初显，但随着技术的进步和社会的发展，数字安全场景已经扩展到关键基础设施、工业互联网、车联网、能源互联网、数字金融、数字政府、智慧城市等多个新场景。

在新旧交替的发展过程中，也出现了一些容易引发网络安全的问题需要被重视，方伟表示，当前部分单位业务迁移缓慢，老旧系统带病运行，存在较大安全隐患；部分行业对热点漏洞跟踪不及时，响应缓慢，给攻击者留下了可乘之机；供应链安全风险难以排除，风险点多，管理困难，需要各个环节高度协同；大众网络安全意识仍然较低，弱口令现象普遍，个人信息保护不足，需持续引导……这些都是需要我们继续努力去解决的问题。

奇安信集团董事长齐向东不久前在2022中国国际大数据产业博览会上表示，很多企业机构的数据处在“裸奔”状态，这是数据安全的首要问题，防裸奔、补短板迫在眉睫。奇安信总结了保障数据安全的“五件套”：特权账号管理、堡垒机、数据库审计、API安全卫士和数据安全态势感知，帮助企业兼顾业务发展和安全合规问题。

此外，360天枢智库安全专家认为，传统安全在指导思想上是信息化的附庸，延续卖货的思路，没有顶层设计，依靠单个产品或者单个产品的不断堆砌，停留在碎片化产品层面，形不成体系化的解决方案，无法应对数字化带来的安全新挑战。

“在与世界各国网军和国家级背景黑客的较量过程中，我们意识到，只有汇聚全网全维全时的安全数据，才能从大数据中建立攻击行为的全局视角。”他说道。

在网络安全防范和技术研发过程中，Fortinet北亚区首席技术顾问谭杰发现，目前网络安全管理仍有“顽疾”待解决，他表示，“首先是安全孤岛化，企业机构在法律、法规的指导下对网络安全进行了大量的建设部署，但目前很多网络中部署的安全产品、技术仍是单点化的，缺乏产品间的交互、联动能力。其次是管理难度，一方面，网络安全从业人员还存在较大缺口，很多企业机构的安全团队无论人数还是技术能力都有所不足；另一方面，不少安全产品在技术分析、处置上还十分依赖人力，在可编程管理、响应、API支持等自动化能力上有所欠缺。两者叠加，使得当前安全管理运维难度大、负担重，无法充分发挥安全体系的能力。”

谭杰提出，在网络安全建设中，一劳永逸的“黑科技”是不存在的。网络与安全的融合、体系化安全才是网络安全的坚实基础。“首先，安全能力应融入到网络及应用的每一个环节中，包括终端、有线及无线局域网、网络边界、广域网、数据中心（私有云）、公有云、业务应用等。所有环节都应具备信息可视化、安全分析、动态管控处置的能力，杜绝漏洞或短板。同时，安全产品技术应避免碎片化，孤立的单点技术的叠加并非真正的安全解决方案。各个产品和技术间应具备强大的交互能力，包括信息交换、联动响应等，从而交织成一张零信任、智能化、自动化的安全网络。”他说道。

作者：林梦雪