《網絡安全法》施行第五年：網安治理“開花結果”，數字化催生新時代挑戰

2022-06-01

*【環球網科技報道記者林夢雪】*自2017年6月1日生效起至今, 《網絡安全法》已正式施行五年，作為我國網絡安全領域第一部專門法律, 自其誕生後，網絡空間安全建設敲響了“晨鐘”。

伴隨着數字化進程加快，《數據安全法》《個人信息保護法》在去年相繼落地，維護網絡空間安全的政策和法規逐步完善，催生網絡安全技術、產品不斷推陳出新，網絡空間迎來“大考”，也展現出新的面貌。

法應“時”而生，網絡安全需求伴隨技術升級“井噴”

在《網絡安全法》與其相關政策、法規施行這些年裏，數字化與生產、生活的結合日益緊密，數據洪流裹挾大量信息在網絡空間翻湧，遠程辦公成為全球流行趨勢，網絡安全問題日益凸顯，安全需求隨之“井噴”。

根據智研諮詢數據顯示，網民網絡安全事件頻發，截至2021年12月，過去半年在上網過程中未遭遇過網絡安全問題的網民佔比62%，與2020年12月基本保持一致；遭遇個人信息泄露的網民比例高達22.1%；遭遇網絡詐騙的網民比例為16.6%；遭遇設備中病毒或木馬的網民比例為9.1%；遭遇賬號或密碼被盜的網民比例為6.6%。

此外，2021年，工業和信息化部網絡安全威脅和漏洞信息共享平台收集整理信息系統安全漏洞143319個；其中，高危漏洞40498個，佔比28.26%；中危漏洞 86217個，佔比60.16%；低危漏洞16604個，佔比11.59%。

5月18日凌晨，搜狐部分員工郵箱收到一封名為《5月份員工工資補助通知》的詐騙郵件。經調查，實為某員工使用郵件時被意外釣魚導致密碼泄露，進而被冒充財務部盜發郵件，該事件造成搜狐24名員工被騙取四萬餘元人民幣。

事實上，釣魚郵件只是網絡安全威脅的冰山一角。盛邦安全技術副總裁方偉表示，隨着物聯網、5G、大數據等新業態和技術的應用，網絡空間的資產暴露面乃至攻擊面在持續擴大，安全防護的壓力隨之遞增；業務的複雜化和多變性也讓新型攻擊手段不斷出現，給安全風險識別和應急處置帶來了新的挑戰。可見，雖然網絡安全的資源投入和技術創新在不斷加大，但網絡空間的複雜度也在逐年增加，網絡安全現狀仍不容樂觀。

360天樞智庫安全專家認為，當前網絡空間呈現技術飛速發展、安全依然嚴峻的態勢。“因為技術永遠是一把雙刃劍。從安全的視角看，當前網絡空間形勢呈現高級別專業力量入場、關鍵的基礎設施、主要城市成為主要的攻擊目標、數據成為新的攻擊對象、漏洞是安全的命門、人（安全意識）是最大的弱點等五個新特點。”

知道創宇網絡安全專家提出，網絡空間不僅存在自身的網絡安全問題，還為各種通過網絡影響到現實空間中的威脅、攻擊形態提供了條件和媒介，這就會通過網絡空間催化放大出對現實空間更具威脅性的安全事件，給數字時代下的國家安全、社會安全帶來前所未有的挑戰。

知道創宇網絡安全專家表示，“網絡空間已經成為了國家間對抗的新戰場，未來的局部衝突或戰爭都極有可能從網絡空間先打響。因此，維護好網絡空間安全與秩序將是未來保障國家穩定運行的基石之一，加速出台與完善網絡空間的相關法律法規更是維護我國網絡空間主權的集中體現。”

網安法生新貌，新生重點行業亟待關注

2017年6月1日，《網絡安全法》正式施行，定義了國家、地區、企業和公民的網絡安全責任、義務和權利。作為這部網絡安全基本法的配套措施，我國陸續出台了相關的法律法規和標準，包括《數據安全法》《個人信息保護法》《網絡安全審查辦法》《關鍵信息基礎設施安全保護條例》《網絡產品安全漏洞管理規定》等，為網安法落地執行提供了重要依據。

360天樞智庫安全專家認為，目前看，密集出台的網絡安全相關法律法規起到了三個作用。“一是壓實了重點領域網絡安全的主體責任。金融、能源、電力、通信、工業等領域企業的安全合規有了清晰的指引；二是規範了數字經濟發展，讓數字經濟沿着公平、公正、安全的方向發展；三是推進了數字安全的一體化治理。網絡安全法及其配套法律法規和地方落地政策制定一方面強化了基礎設施、網絡和數據安全保障體系的同步規劃、建設、運營，另一方面，通過落實數據隱私保護、數據分級分類管理、安全審查等制度，促進數據資源的開放利用，培養數據要素市場，釋放數據的價值。”他説道。

《網絡安全法》正式施行後，網絡安全問題逐步引起社會重視，近幾年各級政府繼續高度重視網絡安全工作，在各行業相繼發佈了發展規劃，並在關鍵信息基礎設施、數據安全與個人信息保護、工業互聯網、車聯網、物聯網等多個領域密集出台了多項網絡安全法律法規和政策文件，促進了網絡安全領域的技術創新和應用落地。

亞信安全首席研發官吳湘寧表示，《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規規章的落地，對於我國網絡空間安全建設整體起到了非常大的推動作用，切實提升了關鍵信息基礎設施等重點領域、重點目標的安全保障能力，網絡安全態勢感知、網絡攻擊追蹤溯源、監測預警等技術得到了持續創新和補充，實戰演練能力也得到了大力加強。

在企業端，知道創宇近期發佈的互聯網宙斯盾、企業數字堡壘兩大戰略方案基於大數據聯防聯控的實戰化防禦體系。它們能在擁有攻防實戰能力的基礎上，以實戰化防禦幫助客户守護網絡空間安全。360利用常年處於攻防對抗一線收穫的世界規模最大的安全大數據和攻擊樣本庫，分析提煉形成全球獨有的攻擊知識庫，建立了以安全大數據分析為核心的雲端安全大腦，形成了強大的網絡空間預警能力，解決了“看見”高級攻擊的難題，累計捕獲境外50個APT組織。

隨着“十四五”期間企業上雲的加速，對雲等保的需求在快速增長，奇安信推出了合規一體機、雲安全管理平台（CSMP）等產品，保企業合規要求之餘，提供按需賦能、可彈性拓展的雲安全解決方案，實現安全事件的處置閉環。此外，奇安信推出的隱私衞士系統，針對安卓App、iOS App、小程序、IoT設備進行隱私合規檢測與分析，通過技術手段輔助發現隱私安全風險，避免由此帶來的數據泄露、資產損失、監管處罰等風險。

對於易受網絡安全威脅的細分領域，吳湘寧認為，金融、能源、製造等行業的網絡攻擊數量正在大幅提升。

在金融行業中，隨着數字化風險的逐漸攀升，網絡安全的敏感性與重要性凸顯。吳湘寧表示，“如今，黑產在不斷進化，高級惡意代碼以快速變種、多樣化和動態交互的形式不斷演化，互聯網每天新增的惡意代碼和惡意網頁都在數十萬量級，還出現了威脅巨大的勒索軟件新型病毒，嚴重威脅着金融用户的網絡安全。與此同時，針對外部安全堡壘”建設通常較為完善的金融系統，高級黑客往往藉助釣魚郵件、水坑攻擊、勒索病毒等結合社會工程學發動APT攻擊，從內部瓦解金融系統堅實的安全堡壘。”

在工業互聯網領域，據國家工業信息安全發展研究中心發佈的《2021年工業信息安全態勢報告》顯示，我國工業信息安全指數為53.7，處於“中危”水平；全年共捕獲來自境外105個國家和地區對我國實施的掃描探測、信息讀取等惡意行為超過600萬次；CICSVD新收錄工業信息安全漏洞1504個。

“在高利潤和高回報率的影響下，勒索病毒、APT攻擊、數據泄露等傳統網絡威脅持續向工業領域蔓延，嚴重影響了工業企業的生產和業務運營。”吳湘寧説道。

此外，知道創宇安全專家認為，以新基建為代表的“數字基礎設施建設”和國家重要單位與企業也易成為黑客攻擊的重要目標。“新基建的關鍵核心是‘數據’。隨着新基建的開展，各類數據中心承載着國家、社會和個人的海量大數據，肩負着數據流的接收、處理、存儲與轉發，而這一核心也正面臨着嚴峻的安全挑戰。” 他説道。

對個人來説，360天樞智庫安全專家表示，用户點擊一些不安全的鏈接、輕易相信陌生電話按電話操作手機，容易造成網絡安全問題。“但有時候，也並非用户自身行為引起網絡安全問題，而是用户使用互聯網設備時，設備本身的漏洞易造成網絡安全問題。比如，利用漏洞，網絡不法分子可以向用户的手機注入惡意代碼。也就是説，如果用户的手機被攻擊，那麼用户手機中的短信、通話記錄等敏感信息就將沒有任何隱私可言，甚至可能發生用户通話被監聽、SIM卡被遠程解鎖等駭人聽聞的安全事件。”

數字化帶來新挑戰，維護網絡安全需多維視角

《網絡安全法》施行五年以來，隨着網絡安全相關法規的頒佈，網絡安全建設逐漸規範，網絡安全專項治理在保護個人信息安全、數據安全等方面成效初顯，但隨着技術的進步和社會的發展，數字安全場景已經擴展到關鍵基礎設施、工業互聯網、車聯網、能源互聯網、數字金融、數字政府、智慧城市等多個新場景。

在新舊交替的發展過程中，也出現了一些容易引發網絡安全的問題需要被重視，方偉表示，當前部分單位業務遷移緩慢，老舊系統帶病運行，存在較大安全隱患；部分行業對熱點漏洞跟蹤不及時，響應緩慢，給攻擊者留下了可乘之機；供應鏈安全風險難以排除，風險點多，管理困難，需要各個環節高度協同；大眾網絡安全意識仍然較低，弱口令現象普遍，個人信息保護不足，需持續引導……這些都是需要我們繼續努力去解決的問題。

奇安信集團董事長齊向東不久前在2022中國國際大數據產業博覽會上表示，很多企業機構的數據處在“裸奔”狀態，這是數據安全的首要問題，防裸奔、補短板迫在眉睫。奇安信總結了保障數據安全的“五件套”：特權賬號管理、堡壘機、數據庫審計、API安全衞士和數據安全態勢感知，幫助企業兼顧業務發展和安全合規問題。

此外，360天樞智庫安全專家認為，傳統安全在指導思想上是信息化的附庸，延續賣貨的思路，沒有頂層設計，依靠單個產品或者單個產品的不斷堆砌，停留在碎片化產品層面，形不成體系化的解決方案，無法應對數字化帶來的安全新挑戰。

“在與世界各國網軍和國家級背景黑客的較量過程中，我們意識到，只有匯聚全網全維全時的安全數據，才能從大數據中建立攻擊行為的全局視角。”他説道。

在網絡安全防範和技術研發過程中，Fortinet北亞區首席技術顧問譚傑發現，目前網絡安全管理仍有“頑疾”待解決，他表示，“首先是安全孤島化，企業機構在法律、法規的指導下對網絡安全進行了大量的建設部署，但目前很多網絡中部署的安全產品、技術仍是單點化的，缺乏產品間的交互、聯動能力。其次是管理難度，一方面，網絡安全從業人員還存在較大缺口，很多企業機構的安全團隊無論人數還是技術能力都有所不足；另一方面，不少安全產品在技術分析、處置上還十分依賴人力，在可編程管理、響應、API支持等自動化能力上有所欠缺。兩者疊加，使得當前安全管理運維難度大、負擔重，無法充分發揮安全體系的能力。”

譚傑提出，在網絡安全建設中，一勞永逸的“黑科技”是不存在的。網絡與安全的融合、體系化安全才是網絡安全的堅實基礎。“首先，安全能力應融入到網絡及應用的每一個環節中，包括終端、有線及無線局域網、網絡邊界、廣域網、數據中心（私有云）、公有云、業務應用等。所有環節都應具備信息可視化、安全分析、動態管控處置的能力，杜絕漏洞或短板。同時，安全產品技術應避免碎片化，孤立的單點技術的疊加並非真正的安全解決方案。各個產品和技術間應具備強大的交互能力，包括信息交換、聯動響應等，從而交織成一張零信任、智能化、自動化的安全網絡。”他説道。