2018年網絡安全十大發展趨勢

劉權 王龍康

摘 要：2017年，全球網絡安全事件頻發，對國家網絡空間安全、個人隱私保護造成了嚴重的威脅。因此，為了提高我國網絡空間的治理能力，保護我國網絡空間安全，對2017年全球網絡安全事件進行了全面的梳理、歸納和總結。在此基礎上，結合我國網絡安全發展的現狀，對2018年網絡安全發展的趨勢進行了全面的分析和預測。

關鍵詞：網絡安全；信息泄露；可信身份；趨勢

中圖分類號：393 文獻標識碼：A

Ten cyber security trends of 2018

Abstract： 2017 saw frequent occurrence of global cyber security issues， posing a severe threat to Chinas cyberspace and personal privacy. In order to improve its cyberspace governance and protect cyberspace security， the author makes a comprehensive analysis and then summarizes the global cyber security incidents of 2017.Then， with the current facts on Chinas cyber security， the author makes a comprehensive study and forecasts of the security trends of 2018， aiming to shine a light on the decision-making of related departments.

Key words： cyber security； information leakage； trusted identity； trends

1 引言

2017年，中國網絡安全立法取得重大突破[1，2]，網絡安全自身能力建設持續推進，網絡安全產業實現了快速發展。與此同時，大規模信息泄露事件頻發[3]，關鍵信息基礎設施[4]、個人隱私保護等網絡安全問題日益凸顯[5，6]，全球局部地區爆發網絡戰的可能性進一步加大，我國網絡安全形勢日益嚴峻。基于以上背景，賽迪智庫網絡空間研究所提出了2018年我國網絡空間安全的十大發展趨勢[7]。

2 網絡安全十大趨勢

2.1 網絡安全法律法規體系將進一步完善

2017年6月1日，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）正式實施，作為我國網絡空間安全管理的基本法，框架性地構建了多項法律制度和要求，但其真正落地需要完善相關配套規范。2017年，國家相關部門制定了多項配套規范，包括《關鍵信息基礎設施安全保護條例》等行政法規；《網絡產品和服務安全審查辦法》《個人信息和重要數據出境安全評估辦法》等規范性文件；《信息安全技術信息技術產品安全可控評價指標》《數據出境安全評估指南》等配套標準規范。但是，上述配套法規標準多未正式出臺，2017年底全國人大常委會組織開展了《網絡安全法》執法檢查，主要問題之一仍是網絡安全法配套法規有待完善。

預計2018年，國家有關部門將圍繞《網絡安全法》進一步完善關鍵信息基礎設施保護、數據出境安全評估、企業間數據共享規則、數據脫敏標準等配套法規標準，加快推動法律落實，加大網絡安全執法力度。

2.2 信息泄露的規模和頻率將進一步增加

2017年，大規模信息泄露的次數較多，上半年泄露的數據量超過2016年全年的數據量。1月，暗網出售多家中國互聯網巨頭數據，數據高達10億條以上。3月，公安部破獲的一起盜賣公民信息的特大案件中，京東網絡安全部員工與黑客長期勾結，泄露50億公民信息。5月，印度4家政府門戶網站泄露公民身份信息1.35億條，以及1億銀行賬戶信息。9月，美國征信機構Equifax由于網站漏洞，導致1.43億消費者信息泄露。10月，美國雅虎公司承認30億用戶賬戶全部泄露。11月，谷歌和加州大學伯克利分校的研究員發現，黑市上約有19億個賬戶密碼信息在出售，并且有25%的賬戶密碼仍能登錄谷歌賬戶。12月，美國加州數據分析公司Alteryx的亞馬遜AWS S3存儲桶因配置錯誤，導致1.23億美國家庭的敏感數據泄露。

2018年，隨著大數據、云計算的普及，大規模信息泄露事件將頻發，涉及行業范圍將不斷擴大，并將主要集中在互聯網、通信和金融行業。

2.3 勒索攻擊成為網絡攻擊的新趨勢

2017年，勒索攻擊肆虐全球。黑客通過蠕蟲病毒、網絡滲透、電子郵件等多種方式對目標發起攻擊，加密系統文件，索要贖金[8，9]。5月，全球150個國家和地區被勒索病毒攻擊，被攻擊電腦文件被病毒加密，只有支付贖金才能恢復，教育、企業、醫療、電力、能源、銀行、交通等多個行業受到影響。6月，韓國網絡托管公司Nayana旗下153臺Linux服務器和3400個網站感染Erebus勒索軟件，并向黑客支付了贖金。10月，俄羅斯、烏克蘭和其它國家的組織機構遭遇Etya勒索軟件的新變種“壞兔子”的網絡攻擊。

2018年，勒索軟件將會有更多的變種，攻擊手段將會不斷翻新，勒索攻擊的范圍將會不斷擴大，造成的經濟損失將會越來越大。

2.4 國家將更加重視關鍵信息基礎設施的網絡安全

2017年，針對關鍵信息基礎設施的攻擊較為頻繁，范圍不斷擴大。4月，全球超過4000家基礎設施企業遭受網絡攻擊，涉及石油、天然氣、制造業、銀行業等多個行業。6月，韓國網絡托管公司Nayana遭遇網絡攻擊，153臺Linux服務器出現故障。7月，美國國土部官員證實，美國多個核電站遭受網絡攻擊。8月，烏克蘭國家郵政服務機構Ukrposhta遭受黑客攻擊，導致計算機網絡系統運行緩慢，甚至出現中斷現象。10月，瑞典三家交通機構的 IT 系統遭到黑客攻擊，導致官網服務掉線、列車運行延誤。11月，美國遭遇網絡攻擊，從西海岸的加利福尼亞到東邊的紐約，出現了大范圍的斷網。

同時，各國更加重視關鍵信息基礎設施的保護。5月，美國總統特朗普簽署了《增強聯邦政府網絡與關鍵性基礎設施網絡安全》總統行政令。9月，美國政府與電力企業合作建立網絡戰演習，重點保護電力基礎設施。7月，我國有關部門出臺了《關鍵信息基礎設施保護條例》的征求意見稿。

2018年，針對關鍵信息基礎設施的網絡攻擊將逐漸升級，攻擊范圍將會擴大，攻擊手段呈現多樣化，新型惡意軟件和攻擊工具將會增加。國家將加大投入，提升關鍵信息基礎設施的保護能力。

2.5 硬件網絡安全問題將全面爆發

2017年，全球各大漏洞庫公布的漏洞數量與2016年相比，至少上漲了70%。硬件漏洞明顯增長，漏洞出現在各個環節，以各種形式出現。4月，博通WiFi芯片固件出現“堆溢出”漏洞，約10億臺蘋果和安卓受此影響。8月，英特爾CPU安全控制機制ME上運行的固件出現漏洞，可被利用成為后門。10月，德國半導體制造商英飛凌的某些芯片，可信平臺模塊出現漏洞，該漏洞允許知曉RSA公鑰的攻擊者獲取私鑰。11月，英特爾承認，在近兩年出售的英特爾處理器（包括最新的第8代核心處理器系列）上都被發現了多個嚴重的安全漏洞。

2018年，漏洞數量將會持續增加，硬件漏洞的危害程度大于軟件漏洞，黑客極有可能利用硬件漏洞發起網絡攻擊。

2.6 個人隱私保護工作將穩步推進

2017年，隨著我國信息化建設的不斷推進和互聯網應用的日趨普及，個人隱私泄露所引發的侵權、欺詐等信息犯罪行為日益嚴重，個人隱私保護將受到空前的重視。

一方面，個人隱私保護的法律制度不斷完善。5月，兩高發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，完善了我國關于個人信息侵害行為的刑事規范體系。6月《網絡安全法》正式施行，個人信息保護法律規范作為本法的重要內容得到貫徹執行。

另一方面，國家有關部門加大個人隱私保護的工作力度。9月，中央網信辦、公安部、工信部及國家標準委組織開展“四部委隱私政策審查”，對國內十家大型互聯網企業隱私政策規范進行了評審，并公布評審結果。

為深入落實《網絡安全法》，積極應對網絡詐騙、網絡犯罪、隱私信息泄露等安全問題，2018年我國政府將會進一步加大對相關企業和機構的審查力度，加強個人信息保護。

2.7 網絡可信身份生態體系建設進一步加快

《網絡安全法》明確提出，國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認[10，11]。目前，國內多種身份認證體系并存，如基于PKI的電子認證、人臉生物特征識別、大數據行為分析等。但是，這些體系各自獨立，國家層面缺乏統籌規劃，尚未形成一個統一的網絡身份生態體系。在12月舉辦的“網絡空間可信峰會暨中國網絡可信身份研討會”上，與會院士、專家一致認為，國家應當加強頂層設計，相關部門應當牽頭，盡快推動網絡身份生態體系建設工作。

2018年，我國勢必會加快出臺國家網絡可信身份戰略，推動網絡可信身份生態體系建設，實現線上線下身份的統一管理，推動網絡空間的繁榮發展。

2.8 局部地區爆發網絡戰的可能性進一步加大

網絡空間已成為國家、地區之間安全博弈的新戰場，各國為了維護本國在網絡空間的核心利益，持續加大網絡空間的軍事投入，國家級網絡沖突爆發的風險不斷增加。

一是網絡空間“軍備競賽”持續升級。2017年2月，美國國防部高級研究計劃局啟動SHARE項目，試圖創建一種新的數據共享技術，使美軍可以在世界各地安全地發出或者接收遠程敏感信息。4月，韓國國防部公布《2018-2022年國防中期計劃》，計劃5年間將投入2500億韓元加強網絡安全建設。

二是有政府背景的網絡攻擊行為日益猖獗。2017年8月，美國網絡安全公司FireEye研究人員發現伊朗黑客組織APT33瞄準多國航空、國防與能源設施展開新一輪網絡攻擊活動。9月，網絡安全公司Palo Alto Networks發現黑客組織利用惡意軟件Babar操控剛果民主共和國常設理事會官方網站，竊取國家重要信息。

三是國際社會不斷強化網絡安全軍事演習。2017年7月，美國網絡司令部舉行年度奪旗軍事演習，將關鍵設施遭受攻擊應對作為演習目標。9月，歐盟多國國防部長參加大規模網絡防御演習，模擬歐盟軍隊在受到網絡攻擊時所能作出的反應。

2018年，全球各國將會繼續加強網絡“軍備競賽”投入，提高本國網絡戰的能力，全球局部地區爆發網絡沖突的風險進一步提高。

2.9 網絡安全行業融資并購更加頻繁

2017年，國內外網絡安全企業融資并購事件頻發。

國外較大的融資并購事件多起。1月，思科宣布以37億美元收購專注于改善應用程序性能的初創公司AppDynamics。2月，英國老牌安全公司Sophos以1億美元外加首年達成業務目標的2000萬美元，買下終端檢測與響應公司Invincea。3月，CA Technologies以6.14億美元收購了應用安全及滲透測試公司Veracode。8月，賽門鐵克宣布，將其SSL/TLS證書業務以9.5億美元現金加30%DigiCert普通股的價格售出。10月物聯網安全公司ForeScout上市，首次公開募股1.16億美元。

國內網絡安全公司投融資事件也不在少數。2月，身份認證安全公司九州云騰Pre-A融資1000萬元，投資方為綠盟科技。4月，數字證書公司格爾軟件上交所上市，IPO募資總額2.76億元。6月，智能身份認證公司芯盾時代B輪融資近億元。7月，大數據安全公司瀚思安信B輪融資1億元。

2018年，在國家政策引導、網絡安全技術進步、網絡安全產業園建設加快等因素影響下，網絡安全企業將繼續加大融資并購力度，促進網絡安全產業快速發展。

2.10 網絡安全人才培養體系將進一步完善

2017年，中央網信辦聯合相關部門，制定了人才獎勵、學院建設等一系列實施辦法[12]。如《關于加強網絡安全學科建設和人才培養的意見》《一流網絡安全學院建設示范項目管理辦法》《“網絡安全優秀教師獎”獎勵辦法》等，有力地推動了我國網絡安全人才建設的步伐。4月，貴州師范大學聯合中科院計算所、阿里巴巴、匡恩網絡、梆梆安全、安恒信息等企業，共同建立了我國首個大數據安全重點實驗室，旨在深入研究大數據安全基礎理論和共性關鍵技術，完善大數據安全人才培養的產學研體系。8月，武漢臨空港經濟技術開發區管委會與杭州安恒信息簽署戰略合作協議，共同建設國家網絡安全人才與創新基地。9月，在國家網絡安全宣傳周上，首批一流網絡安全學院建設示范項目正式對外公布，包括西安電子科技大學、東南大學、武漢大學等7所高校。

2018年，我國將通過多種途徑完善網絡安全人才培養體系，加快網絡安全人才培養力度，營造優秀人才脫穎而出的成長環境。

3 結束語

經過全面梳理2017年全球網絡安全事件，2018年網絡空間將會存在一些列問題，包括國際社會爆發網絡戰的風險進一步加強；軟硬件漏洞的數量將會更多；大規模信息泄露事件仍將頻發；關鍵信息基礎設施的網絡攻擊將進一步升級；勒索病毒攻擊范圍將會繼續擴大等。針對于此，我國政府將會更加重視網絡安全，進一步完善網絡安全方面的法律法規，加強網絡空間的治理和網絡產品的審查力度；完善網絡可信身份的發展戰略；出臺系列網絡安全的相關政策，促進網絡安全產業的發展；營造網絡安全人才成長的環境。

參考文獻

[1] 李欲曉，鄔賀銓，謝永江，等.論我國網絡安全法律體系的完善[J].中國工程科學，2016，18（6）：28-33.

[2] 陸冬華，齊小力.我國網絡安全立法問題研究[J].中國人民公安大學學報（社會科學版），2014， 30（3）：58-64.

[3] 董思薇.金融消費者信息秘密與安全權保護研究[J].東南大學學報：哲學社會科學版， 2017（S1）：150-154.

[4] 劉京娟.美、日、韓關鍵信息基礎設施保護立法研究[J].保密科學技術，2016（7）：16-20.

[5] 唐琦.從銀行員工泄露個人信息事件探析商業銀行征信監管機制[J].海南金融， 2017（11）.

[6] 王寅.消費者網購時行為意向對個人信息泄露的影響研究[J].重慶郵電大學學報（自然科學版）， 2017（6）：830-836.

[7] 劉權.2017年網絡安全十大發展趨勢[J].網絡空間安全，2017，8（1）：32-34.

[8] 劉為軍，天蘆亮.論技術勒索的綜合治理[J].山東警察學院學報，2017， 29（3）：39-47.

[9] 林建寶，崔翔，張方嬌.勒索攻擊愈演愈烈，安全意識亟待加強[J].中國信息安全，2016，（8）：79-83.

[10] 李以斌，牟大偉.基于數字證書的教育云可信實名身份認證和授權的研究[J].信息安全與技術， 2016，7（9-10）：40-44.

[11] 蔣文保，朱國庫.一種安全可信的網絡互聯協議（STiP）模型研究[J].網絡空間安全，2017，8（1）：24-31.

[12] 梁榕尹.大學生網絡安全意識教育研究[D].廣西師范大學，2017.