邬贺铨：网络安全面临新的挑战，新安全时代也即将到来

　　光明网讯 在《网络安全法》实施五周年之际，由中国网络空间安全协会、中国安全防范产品行业协会、北京网络空间安全协会、天津市网络空间安全协会和光明网共同举办的《网络安全法》实施五周年座谈会于5月31日在线上举行。

　　会上，中国工程院院士邬贺铨表示，在进一步完善网络安全相关法规及标准方面，近年来陆续出台《数据安全法》《个人信息保护法》《国家网络空间安全战略》《关键信息基础设施安全保护条例》，相关部委联合发布《网络安全审查办法》《云计算服务安全评估办法》《汽车数据安全管理若干规定（试行）》《区块链信息服务管理规定》等。这些基本构建了网络安全法律法规体系。

　　邬贺铨介绍，在建立网络安全审查和评估制度方面，近年来，相关部门开展了对平台的安全评估，以及对关键信息基础设施采购网络产品和服务活动的网络安全审查。通过每年组织的护网行动，开展网络安全攻防演练，发现基础设施和网络应用系统的安全漏洞，提升了党政机关与企业的网络安全防护能力。

　　在开展网络安全专项治理行动方面，从2019年以来开展了App违法违规收集使用个人信息专项治理，“净网2020”打击网络黑产犯罪行动，对摄像头偷窥等黑产集中治理，互联网行业市场秩序专项整治等。尤其对金融、能源、通信、交通等领域，修订了本行业的应急安全预案，不断完善安全防护体系。

　　在促进网安产业发展方面，随着《网络安全法》的贯彻落实，网安产业发展迈入快车道。2021年7月，工信部发布的《网络安全产业高质量发展三年行动计划（征求意见稿）》中提出，到2023年，网络安全产业规模超过2500亿元，年复合增长率超过15%。国内网络安全厂商能力加强，积极参与国家网络安全保障支撑；网络安全大厂持续对外方的网络攻击进行跟踪分析，追踪溯源幕后团伙，曝光相关攻击活动。

　　在网安人才培养方面，中央网信办联合六部委发布《关于加强网络安全学科建设和人才培养的意见》，网络安全上升为一级学科，不少高校建设了网络安全专业。中央网信办、教育部还实施了一流网络安全学院建设示范项目，有11所高校入选。

　　邬贺铨表示，站在《网络安全法》实施5周年的起点向前看，网络安全面临新的挑战，一个新的安全时代即将到来。

　　一是疫情的持续让居家办公、远程学习、网上生活成为人们的长期习惯，随着网络环境开放、用户角色增加、防护边界扩张，带来各类新型安全风险，零信任安全应运而生；二是5G商用推进工业互联网发展，企业内外网关联增加了工业网络安全风险；三是智慧城市、物联网和车联网在开启万物互联的同时，城市安全越来越受重视；四是“上云”成为政企用户和网民的常态，网络攻击中关键基础设施成为网络攻击首选，网络安全覆盖范围更宽、安全防护边界更广；五是大数据应用凸显数据安全的重要性，网络攻击从破坏到勒索、从偷取个人用户隐私和流量劫持到争取更有价值的对象，基于人工智能技术实施APT攻击加大了发现和溯源难度；六是逆全球化和冷战思维将网络战推向前台，黑客从散兵游勇向装备更精良的有组织部队发展。

　　从具体方面展开来看，邬贺铨坦言，关键基础设施成为攻击重点。从2019年3月委内瑞拉电网遭遇网络攻击，到今年4月北京健康宝在使用高峰期间遭受境外网络攻击，这些都反映了关键基础设施正成为攻击重点。

　　供应链攻击激增。供应链是由从参与创建到交付过程的人员、组织和分销商组成的生态系统，涉及产业链上下游。供应链攻击往往从某一个环节切入，首先获得这个企业的资产、人员等访问权限，58%供应链攻击旨在获得数据访问权限，16%旨在获得个人访问权限。供应链攻击并不限于某个企业，而是通过网络攻击渗透到这个企业的客户。据统计，去年发生的供应链攻击事件是前年的4倍，去年针对开源软件的供应链攻击暴增650%。

　　勒索病毒上升为主要威胁。2020年，勒索软件成为主要威胁，主要通过钓鱼软件和暴力破解，而现在“勒索软件即服务”已在市场上出现。实施勒索行为的黑客不需要自己开发，到暗网市场上就可以买到这种软件。“勒索软件即服务”形成了完整的商业产业链和商业模式，使得勒索软件行为泛滥。同时，勒索软件的“胃口”越来越大，去年的平均赎金比前年翻了一番。除一般勒索软件，现在还有伪装型勒索软件，表面上是要赎金、加密数据，实际是以勒索软件的形式来删除企业数据。

　　数据安全问题频发。去年1月份，有公民个人数据在国外被出售。在去年1月份，国内某银行1679万笔数据在网上出售。去年6月份，淘宝近12亿条用户数据遭泄漏。从去年以来，跨境数据安全问题频频发生，其中许多是跟城市安全有关的敏感数据。

　　开源代码安全面临隐患。开源代码因为使用方便，已被各类信息系统广泛应用。然而，开源软件中有很多共享代码由个人开发，没有经过安全设计和安全测试，常包含大量漏洞，导致开源代码的安全性难以保障。

　　云安全风险愈演愈烈。2020年，我国公有云市场规模大幅超过私有云，以容器、服务网格、微服务等为代表的云原生技术，正在影响各行各业。云原生成为云计算市场的新趋势，但是其所带来的安全问题也更复杂。一系列针对云原生的安全攻击事件愈演愈烈。与云安全相关的加密劫持（挖矿劫持）崭露头角，在未经授权的情况下，利用被植入恶意脚本程序的他人硬件设备进行加密挖矿。

　　“深度造假”影响社会稳定。由于社交媒体平台和在线媒体的使用增加，以及疫情导致在线人数增加，人工智能技术被泛用，虚假信息和错误信息攻击也在增加。虚假信息、错误信息活动经常跟其他网络安全威胁融合在一起，通过造谣破坏网络安全信任基础，扰乱社会稳定。

　　邬贺铨认为，随着新一代信息技术发展与数字化转型深入推进，国际形势的不确定性，让我国网络安全面临的挑战更加严峻。我们要继续坚持以良法保善治，加强网络安全企业与数字产业化及产业数字化各方协力，引导广大网民积极参与，共同为我国经济社会发展的“安全长城”护航。（姚坤森）