2021年,網絡安全發展態勢如何?2022年,網絡安全發展將面臨哪些挑戰?
2021年網絡安全形勢分析
2021年,百年變局和世紀疫情交織疊加,國際環境日趨複雜,網絡霸權主義對世界和平與發展構成威脅,全球産業鏈供應鏈遭受沖擊,網絡空間安全面臨的形勢持續複雜多變。網絡空間對抗趨勢更加突出,大規模針對性網絡攻擊行爲增加,安全漏洞、數據泄露、網絡詐騙等風險增加。
世界主要國家和地區不斷推出關鍵信息基礎設施保護、供應鏈安全、數據安全、個人信息保護等方面法規和政策,平台反壟斷監管不斷強化。
網絡安全企業積極探索以網絡彈性技術爲代表的網絡風險防範能力、以安全多方計算爲代表的數據隱私保護技術等。全球網絡安全産業保持穩定增長,網絡安全人才缺口不斷增大。
1
各國加強網絡安全頂層設計、保障體系和能力建設
面對日益複雜嚴峻的網絡安全形勢,美國、俄羅斯、歐盟、日本、意大利等重點國家和地區強化網絡安全在國家安全中的重要戰略地位,不斷完善網絡安全戰略布局,持續完善網絡安全政策戰略,重點加強供應鏈安全、關鍵信息基礎設施保護、數據安全、個人信息保護等領域工作。
戰略法規方面,美國發布《2021財年國防授權法案》《臨時國家安全戰略綱要》《改善國家網絡安全行政令》等,將網絡安全作爲重中之重,致力于加強網絡空間安全能力、就緒度和彈性。
俄羅斯總統普京簽署的新版《國家安全戰略》首次加入信息安全章節,對網絡信息安全的重視程度日益增加。
歐盟發布《歐盟數字十年網絡安全戰略》等數字政策,打響“數字主權”保衛戰。
英國發布《網絡戰略2022》《安全、防務、發展和外交政策綜合評估報告》,將網絡安全作爲戰略重點,以提升英國在全球網絡空間的地位。
日本發布《未來三年網絡安全戰略綱要》,強化網絡空間安全的戰略指導。
供圖/視覺中國
體制機制建設方面,多國新設機構協調指導安全建設。美國設置國家網絡總監作爲總統在網絡安全及相關新興技術領域的首席顧問,負責監督和協調聯邦政府給出網絡威脅應對方案;日本設立數字廳指導制定日本網絡安全戰略方針;意大利批准成立了國家網絡安全局。
安全投入方面,拜登政府推出“美國救援計劃”和“美國就業計劃”等,加強國內基礎設施建設,增加對科研和教育的投入,增強網絡安全和技術競爭優勢。
美國2021財年IT總預算爲922億美元,其中網絡安全領域總預算爲188億美元,比2020財年高出14億美元,網絡安全預算占IT預算的比例爲20.4%。
西班牙政府將計劃在三年內投資超過4.5億歐元,以促進國家網絡安全技術、産業和人才發展。
2
關鍵信息基礎設施成爲攻擊重點目標,安全保護舉措持續出台
2021年,多國基礎設施和重要信息系統遭受網絡攻擊,引發全球震蕩,對國家安全穩定造成巨大風險,引發了全球關于加強關鍵信息基礎設施安全保護的思考。
一是勒索軟件成爲主要威脅,破壞範圍廣、後果嚴重。勒索軟件即服務(RaaS)型商業模式成爲新的關注點,使得攻擊者的溯源變得更加困難。勒索軟件攻擊呈現出破壞涉及行業領域增多、索要贖金增長、支付贖金機構比例上升、破壞後果嚴重等特點。
據相關報告不完全統計,2021年上半年全球就至少發生了1200多起勒索軟件發起的攻擊事件,接近2020年公布的1420起,其中針對醫療系統和教育行業的攻擊增加了45%,平均贖金從2020年的40萬美元提高到2021年的80萬美元 。
二是金融、交通、醫療、能源等領域成爲新的攻擊對象。2021年5月,美國油管道運營商Colonial遭受勒索攻擊引發全球高度重視。5月,愛爾蘭衛生服務主管部門被勒索軟件攻擊,被迫暫時關閉IT系統,多家醫院運營遭受影響。7月,伊朗鐵路遭受網絡攻擊,數百輛列車被延誤或取消。
三是國內外關鍵信息基礎設施安全保護措施頻出。美國除了大幅增加關鍵基礎設施安全防護的資金投入,還推出多部有關強化關鍵基礎設施網絡安全、預防勒索軟件攻擊等方面的法案和指南文件。
2021年2月,美國網絡安全與基礎設施安全局(CISA)發布了《CISA全球參與》文件,通過加強國際合作以增強全球關鍵信息基礎設施的安全性和韌性。此外,還分別于5月和7月出台針對關鍵信息基礎設施安全防護的行政令,並于9月批准了一項修正案,爲CISA增加8.65億美元,用于相關行政令的落實、安全運營和人才培養。
歐盟也在《歐盟安全聯盟戰略》中將提升關鍵基礎設施的保護和恢複能力作爲未來五年網絡安全工作的重中之重。
2021年5月,澳大利亞政府提出了關鍵基礎設施提升計劃(CI-UP),旨在識別和解決關鍵基礎設施中的漏洞,提升網絡安全成熟度。
我國也于2021年8月出台了《關鍵信息基礎設施安全保護條例》,這是我國首部專門針對關鍵信息基礎設施安全保護工作的行政法規,爲開展關鍵信息基礎設施安全保護工作提供了基本遵循。
3
數據泄露事件持續頻發,數據安全治理加快推進
2021年,工業制造、政務、醫療、金融、交通等領域數據泄露事件頻發,數據交易黑色地下産業鏈活動猖獗。據相關統計,2021年公開報告的數據泄露事件1291起,已經超過2020年的1108起。
數據安全問題已成爲全球的關注重點,各國紛紛將數據安全上升至國家安全層面,設立相關機構,完善數據安全法規和政策。美國、韓國、新加坡、日本等國針對個人信息相關法規進行修訂,歐盟發布多個指南文件,明確和細化GDPR的相關要求。加拿大、澳大利亞、印度尼西亞等國家均已制定新的個人數據保護法規。
4
供應鏈網絡安全重要性凸顯,安全審查和能力建設不斷加強
2021年,軟件供應鏈攻擊事件頻發,例如Codecov、Kaseya等遭受供應鏈攻擊,直接影響關鍵基礎設施和重要信息系統安全。
據歐盟網絡安全局(ENISA)《供應鏈攻擊威脅態勢》統計, 2020年1月-2021年7月,共有24起供應鏈攻擊事件。軟件供應鏈安全影響重大,各國高度重視,紛紛推行政策法規推動軟件供應鏈安全保護工作。
2021年1月,美國商務部等部門陸續發布了《確保信息通信技術及服務供應鏈安全》《出口管制條例》等文件,不斷加強網絡安全産品和服務對外依賴的安全風險識別、評估和處理等流程管理。5 月,拜登簽署發布《改善國家網絡安全行政令》,明確提出改善軟件供應鏈安全。
供圖/視覺中國
2022年網絡安全預測
1
國家級網絡攻擊愈演愈烈
受地緣政治的影響,全球網絡空間局部沖突將不斷升級。以竊取敏感數據、破壞關鍵信息基礎設施爲目的的國家級網絡攻擊複雜性將持續上升。
2
全球大規模數據泄露趨于常態化
隨著數字化、網絡化進程加快,越來越多的在線資産和數字系統收集了海量數據。大量數據和設備暴露在網上,它們被入侵的風險逐漸增大。數據泄露事件將愈加頻繁,而且規模將更大,涉及各行各業,影響深遠。
3
供應鏈攻擊持續高發
軟件系統規模、程序邏輯和生産方式等越發複雜多元,極大增加了供應鏈的攻擊面,供應鏈攻擊將變得更加普遍。供應鏈攻擊具有難發現、難溯源、不可避免的特點,已成爲各國面臨的最重要安全威脅之一。
各國政府應積極制定法規,建立聯防聯控體系,提升應對供應鏈攻擊的發現、分析、響應處置和恢複能力。
4
加密貨幣成爲網絡攻擊的重要目標
加密貨幣平台Bitmart近日發表聲明,稱被黑客盜走了價值約1.5億美元的資産。因具有匿名付款和不斷升值的特點,加密貨幣正在被廣泛使用,到 2022年,加密貨幣相關的攻擊預計將會繼續增加,成爲黑客攻擊的重要目標。
5
網絡安全保險市場規模將激增
網絡攻擊和數據泄露已成爲商業領域的最大風險之一,敏感數據泄露給全球的公司和組織造成了巨大的財務損失和負面影響。據測算,單次數據泄露事件的平均損失爲392萬美元。網絡安全保險通過分散和轉移殘余風險,成爲重要的風險管理手段。
網絡安全風險頻出推高網絡安全保險市場需求。美國、歐盟等國家和地區通過立法強化企業網絡安全風險意識,優化網絡安全保險服務,持續擴大市場規模。據測算,未來5年全球網絡安全保險市場的年化複合增長率將達30%左右。2021年,我國網絡安全保險保費規模突破 7000 萬元,最高保額超 4 億元,未來網絡安全保險市場具有巨大的增長空間。
6
數據合規成爲企業的重要關心點
隨著我國《網絡安全法》《數據安全法》《個人信息保護法》等法規的相繼出台,如何規範數據處理活動,保障數據安全,成爲企業面臨的一個重要的課題。
企業收集數據後的保管和使用都使得數據安全風險增大,需要認真研判法律法規、監管規定、行業准則、國際標准有關合規管理的新變化,建立健全企業數據合規管理體系。2022年,數據合規將逐漸發展成一個獨立的行業或專業領域,數據合規人才需求旺盛。
7
網絡安全高端人才供給缺口巨大
根據Cybersecurity Ventures最新發布的全球網絡安全人才報告,過去八年全球網絡安全空缺職位的數量增長了350%,從2013年的100萬個職位增加到2021年的350萬個。
2021年8月,美國白宮稱,美國大約有50萬個網絡安全職位仍然空缺。我國170余所高校設有與網絡安全直接相關的專業,每年網絡安全畢業生約2萬人,缺口高達50萬至100萬人。2022年,網絡安全行業高端人才供需矛盾將繼續加劇,實戰型、實用型等人才更加急缺。
8
數字平台反壟斷監管常態化
近年來,美國和歐盟先後掀起對數字平台的反壟斷監管,表明監管常態化與執法嚴厲化已成爲全球趨勢。2021年,我國反壟斷工作在頂層設計、立法、執法、司法、健全反壟斷執法體制機制方面取得了突出成績。2022年,反壟斷相關制度建設還要繼續推進,加強反壟斷和反不正當競爭成爲一項重要的常態化工作。
供圖/視覺中國
對策與建議
要深入貫徹落實習近平總書記關于網絡強國的重要思想,堅持總體國家安全觀和正確的網絡安全觀,貫徹新發展理念,構建網絡安全新格局,全面加強網絡安全保障體系和能力建設。
健全國家網絡安全法律法規和制度標准。細化相關法律法規實施細則和相關指導意見,進一步完善配套標准規範體系,構建個人信息、重要領域數據資源、重要網絡和信息系統安全保障體系。
加強網絡安全風險評估和審查。強化新技術新應用安全評估管理。建立健全關鍵信息基礎設施保護體系,提升安全防護和維護政治安全能力。
加強網絡安全基礎設施建設,提高網絡安全綜合治理能力。強化跨領域網絡安全信息共享和工作協同,提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力。
推動網絡安全教育、技術、産業融合發展。加強網絡安全宣傳教育和人才培養。強化網絡安全關鍵技術創新,提升網絡安全産業綜合競爭力,形成人才培養、技術創新、産業發展的良好生態。
加強網絡安全國際交流合作。積極參與網絡安全、數據安全等國際規則和數字安全技術標准制定。深化在人才培養、技術創新、應急響應和網絡犯罪打擊等領域國際合作,推動國際網絡安全保障合作機制建設。
作者:中國網絡空間研究院網絡安全研究所所長、研究員
征訂:《中國網信》雜志郵發代號:80-199