2020年中國網(wǎng)絡(luò)安全發(fā)展形勢展望

賽迪智庫 網(wǎng)絡(luò)安全形勢分析課題組

2019年，我國關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)能力不斷提升，網(wǎng)絡(luò)安全保障能力不斷夯實(shí)，網(wǎng)絡(luò)安全形勢整體向好。展望2020年，全球網(wǎng)絡(luò)攻擊事件將更加頻發(fā)，全球網(wǎng)絡(luò)戰(zhàn)形勢將更加嚴(yán)峻，個人信息安全與隱私保護(hù)政策將不斷完善。我國網(wǎng)絡(luò)安全能力逐步提升，但需要處理好網(wǎng)絡(luò)安全核心技術(shù)亟需實(shí)現(xiàn)自主可控、關(guān)鍵信息基礎(chǔ)設(shè)施安全保障需進(jìn)一步加強(qiáng)、數(shù)據(jù)安全治理能力有待提升、網(wǎng)絡(luò)可信身份生態(tài)建設(shè)需進(jìn)一步加快等問題，以提升我國網(wǎng)絡(luò)安全保障能力。

對2020年形勢的基本判斷

1.全球網(wǎng)絡(luò)攻擊事件更加頻發(fā)。世界經(jīng)濟(jì)論壇《2019年全球風(fēng)險報(bào)告》中指出，網(wǎng)絡(luò)攻擊已成為全球五大風(fēng)險之一。一是軟硬件設(shè)備安全漏洞頻出給網(wǎng)絡(luò)空間安全帶來嚴(yán)重威脅。2019年2月，WinRAR的漏洞被網(wǎng)絡(luò)罪犯和黑客廣泛使用，影響了自2000年以來發(fā)行的所有WinRAR版本，超過5億WinRAR 用戶面臨風(fēng)險。9月，Demant集團(tuán)的勒索軟件事件造成了高達(dá)9500萬美元的損失。二是多行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施遭受攻擊。1月，韓國國防部30臺計(jì)算機(jī)被破壞，重要武器和彈藥采購的數(shù)據(jù)丟失。3月，委內(nèi)瑞拉電力系統(tǒng)遭“電磁攻擊”，導(dǎo)致全國大范圍停電。三是個人信息與商業(yè)數(shù)據(jù)遭遇大規(guī)模泄露與違規(guī)利用。3月，美國思杰（Citrix）公司遭受嚴(yán)重的黑客攻擊，大量政府機(jī)構(gòu)和財(cái)富500強(qiáng)企業(yè)的文件被盜。9月，IT安全和云數(shù)據(jù)管理巨頭Rubrik數(shù)據(jù)庫中近10GB的客戶信息數(shù)據(jù)遭到泄露。

2020年，隨著當(dāng)前生產(chǎn)生活對網(wǎng)絡(luò)信息系統(tǒng)依賴性的增強(qiáng)，網(wǎng)絡(luò)攻擊事件的數(shù)量仍將不斷增多，影響范圍也將更加廣泛。

2. 全球網(wǎng)絡(luò)戰(zhàn)威脅更加嚴(yán)重。各國為了維護(hù)本國在網(wǎng)絡(luò)空間的核心利益，持續(xù)加大網(wǎng)絡(luò)空間的軍事投入，各國網(wǎng)絡(luò)戰(zhàn)威脅更加嚴(yán)重。2019年2月，美國防部發(fā)布《國防部云戰(zhàn)略》，美軍網(wǎng)絡(luò)部隊(duì)將融合人工智能等復(fù)合元素，打造更具優(yōu)勢的強(qiáng)力“網(wǎng)軍”。7月，美國防部發(fā)布2018版《國家軍事戰(zhàn)略》概要，提出美國要實(shí)行“一體化軍事戰(zhàn)略”，聯(lián)合部隊(duì)及指揮官必須高度重視“網(wǎng)絡(luò)空間的多樣化”。二是網(wǎng)絡(luò)作戰(zhàn)機(jī)構(gòu)設(shè)置日益完善。美國網(wǎng)絡(luò)司令部升格為獨(dú)立作戰(zhàn)司令部;日本防衛(wèi)省宣布組建專門部隊(duì)保護(hù)國防通信網(wǎng)絡(luò)。三是構(gòu)建網(wǎng)絡(luò)防御軍事行動同盟。北約提出成立網(wǎng)絡(luò)指揮部，以全面及時掌握網(wǎng)絡(luò)空間狀況;美澳、美日等也結(jié)成了網(wǎng)絡(luò)防御軍事同盟，一國受到網(wǎng)絡(luò)攻擊，兩國將共同采取行動。四是積極開展網(wǎng)絡(luò)安全軍事演習(xí)。2019年4月，北約舉行全球規(guī)模最大的網(wǎng)絡(luò)安全演習(xí)——“鎖盾—2019”，4000個虛擬軍事系統(tǒng)承受了2000多次網(wǎng)絡(luò)攻擊;6月，美國舉行“網(wǎng)絡(luò)旗幟”演習(xí)，專注于演練“持久交戰(zhàn)”。

2020年，隨著全球網(wǎng)絡(luò)戰(zhàn)政策的完善以及網(wǎng)絡(luò)軍事力量建設(shè)加速，全球網(wǎng)絡(luò)戰(zhàn)威脅將更加種嚴(yán)重。

3. 我國將更為重視個人信息安全與隱私保護(hù)。大數(shù)據(jù)時代，數(shù)據(jù)是重要的戰(zhàn)略資源。在充分挖掘數(shù)據(jù)價值的同時，我國對個人信息安全與隱私保護(hù)問題也越來越重視。一是進(jìn)一步完善個人信息安全與隱私保護(hù)政策文件。2019年5月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法（征求意見稿）》，在個人信息收集、廣告精準(zhǔn)推送等問題上做出了明確規(guī)定。9月，《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》正式發(fā)布，作為我國第一部專門針對兒童網(wǎng)絡(luò)保護(hù)的立法，具有里程碑意義。二是研究制定數(shù)據(jù)跨境流動規(guī)則。6月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境安全評估辦法（征求意見稿）》，加強(qiáng)了出境數(shù)據(jù)非法利用的限制。三是積極開展個人信息安全與隱私保護(hù)治理工作。信安標(biāo)委秘書處組織編制了《移動互聯(lián)網(wǎng)應(yīng)用個人信息收集指引》，并研發(fā)了App專項(xiàng)行動評估輔助工具、App個人信息保護(hù)檢測系統(tǒng)等，為專項(xiàng)行動的開展提供支撐。

2020年，個人信息安全風(fēng)險將更加突出，我國將繼續(xù)完善相應(yīng)法規(guī)體系，提升監(jiān)管能力和個人信息保護(hù)力度。

4. 我國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力將顯著提升。隨著信息技術(shù)的廣泛應(yīng)用，我國高度重視關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)管。一是開展安全檢查和評估。工業(yè)和信息化部連續(xù)十年組織基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、域名機(jī)構(gòu)對自身網(wǎng)絡(luò)系統(tǒng)開展安全性檢查，年均處置數(shù)萬起網(wǎng)絡(luò)安全事件，有效保障了電信網(wǎng)和互聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行。二是加強(qiáng)對企業(yè)的考核通報(bào)。組織基礎(chǔ)電信企業(yè)開展網(wǎng)絡(luò)與信息安全責(zé)任考核，將監(jiān)督檢查及整改結(jié)果、安全事件和處置情況納入年度考核。三是強(qiáng)化應(yīng)急指揮能力建設(shè)。工業(yè)和信息化部構(gòu)建了由各地通信管理局、基礎(chǔ)電信企業(yè)等單位參與的行業(yè)一體化指揮體系。

2020年，面臨嚴(yán)峻的內(nèi)外部網(wǎng)絡(luò)安全形勢，我國關(guān)鍵信息基礎(chǔ)設(shè)施安全能力將進(jìn)一步提升。

5. 我國網(wǎng)絡(luò)安全保障能力將進(jìn)一步提升。為積極應(yīng)對國內(nèi)外網(wǎng)絡(luò)安全產(chǎn)業(yè)形勢的變化和技術(shù)發(fā)展趨勢，我國相關(guān)主管部門不斷夯實(shí)網(wǎng)絡(luò)安全保障能力。一是強(qiáng)化網(wǎng)絡(luò)安全技術(shù)保障。工業(yè)和信息化部依托制造業(yè)高質(zhì)量發(fā)展工程，加快推進(jìn)網(wǎng)絡(luò)安全技術(shù)手段的建設(shè)，提升行業(yè)的網(wǎng)絡(luò)安全手段建設(shè)水平和保障能力。二是著力發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)。印發(fā)了《國家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)發(fā)展規(guī)劃》，深入推進(jìn)北京國家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)建設(shè)。三是積極開展網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范工作。工業(yè)和信息化部從2016年起，連續(xù)四年開展網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范，共遴選出231個優(yōu)秀項(xiàng)目。

2020年，我國將繼續(xù)加強(qiáng)網(wǎng)絡(luò)安全核心技術(shù)的研發(fā)，優(yōu)化網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展環(huán)境，進(jìn)一步提升我國網(wǎng)絡(luò)安全保障能力。

需要關(guān)注的幾個問題

1.我國網(wǎng)絡(luò)安全核心技術(shù)亟需實(shí)現(xiàn)自主。我國對國外信息技術(shù)產(chǎn)品的依賴度較高，CPU主要依賴英特爾和AMD等廠商;內(nèi)存主要依賴三星、鎂光等廠商;硬盤主要依賴東芝、日立和希捷等廠商;操作系統(tǒng)則被微軟所壟斷。國家安全體系的構(gòu)建，一是亟需研發(fā)出可使用的核心信息技術(shù)產(chǎn)品，另一方面是亟需對網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行評估、扶持和推廣，進(jìn)而構(gòu)建良好的生態(tài)。

2.我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保障需進(jìn)一步加強(qiáng)。關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊不斷升級，我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)力度仍然不足。一是網(wǎng)絡(luò)安全檢查評估機(jī)制不健全。當(dāng)前的網(wǎng)信安全檢查側(cè)重漏洞發(fā)現(xiàn)，缺乏對漏洞修復(fù)的激勵措施以及危害等級的評估體系。二是關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作存在標(biāo)準(zhǔn)缺失的問題。盡管行業(yè)內(nèi)已加速開展相關(guān)標(biāo)準(zhǔn)的研究工作，但仍缺少金融、電力和通信等細(xì)分領(lǐng)域的安全保障標(biāo)準(zhǔn)研究。面對日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，我國應(yīng)盡快完善關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。