2020年中國網絡安全發展形勢展望

賽迪智庫 網絡安全形勢分析課題組

2019年，我國關鍵基礎設施安全防護能力不斷提升，網絡安全保障能力不斷夯實，網絡安全形勢整體向好。展望2020年，全球網絡攻擊事件將更加頻發，全球網絡戰形勢將更加嚴峻，個人信息安全與隱私保護政策將不斷完善。我國網絡安全能力逐步提升，但需要處理好網絡安全核心技術亟需實現自主可控、關鍵信息基礎設施安全保障需進一步加強、數據安全治理能力有待提升、網絡可信身份生態建設需進一步加快等問題，以提升我國網絡安全保障能力。

對2020年形勢的基本判斷

1.全球網絡攻擊事件更加頻發。世界經濟論壇《2019年全球風險報告》中指出，網絡攻擊已成為全球五大風險之一。一是軟硬件設備安全漏洞頻出給網絡空間安全帶來嚴重威脅。2019年2月，WinRAR的漏洞被網絡罪犯和黑客廣泛使用，影響了自2000年以來發行的所有WinRAR版本，超過5億WinRAR 用戶面臨風險。9月，Demant集團的勒索軟件事件造成了高達9500萬美元的損失。二是多行業關鍵信息基礎設施遭受攻擊。1月，韓國國防部30臺計算機被破壞，重要武器和彈藥采購的數據丟失。3月，委內瑞拉電力系統遭“電磁攻擊”，導致全國大范圍停電。三是個人信息與商業數據遭遇大規模泄露與違規利用。3月，美國思杰（Citrix）公司遭受嚴重的黑客攻擊，大量政府機構和財富500強企業的文件被盜。9月，IT安全和云數據管理巨頭Rubrik數據庫中近10GB的客戶信息數據遭到泄露。

2020年，隨著當前生產生活對網絡信息系統依賴性的增強，網絡攻擊事件的數量仍將不斷增多，影響范圍也將更加廣泛。

2. 全球網絡戰威脅更加嚴重。各國為了維護本國在網絡空間的核心利益，持續加大網絡空間的軍事投入，各國網絡戰威脅更加嚴重。2019年2月，美國防部發布《國防部云戰略》，美軍網絡部隊將融合人工智能等復合元素，打造更具優勢的強力“網軍”。7月，美國防部發布2018版《國家軍事戰略》概要，提出美國要實行“一體化軍事戰略”，聯合部隊及指揮官必須高度重視“網絡空間的多樣化”。二是網絡作戰機構設置日益完善。美國網絡司令部升格為獨立作戰司令部;日本防衛省宣布組建專門部隊保護國防通信網絡。三是構建網絡防御軍事行動同盟。北約提出成立網絡指揮部，以全面及時掌握網絡空間狀況;美澳、美日等也結成了網絡防御軍事同盟，一國受到網絡攻擊，兩國將共同采取行動。四是積極開展網絡安全軍事演習。2019年4月，北約舉行全球規模最大的網絡安全演習——“鎖盾—2019”，4000個虛擬軍事系統承受了2000多次網絡攻擊;6月，美國舉行“網絡旗幟”演習，專注于演練“持久交戰”。

2020年，隨著全球網絡戰政策的完善以及網絡軍事力量建設加速，全球網絡戰威脅將更加種嚴重。

3. 我國將更為重視個人信息安全與隱私保護。大數據時代，數據是重要的戰略資源。在充分挖掘數據價值的同時，我國對個人信息安全與隱私保護問題也越來越重視。一是進一步完善個人信息安全與隱私保護政策文件。2019年5月，國家互聯網信息辦公室發布《數據安全管理辦法（征求意見稿）》，在個人信息收集、廣告精準推送等問題上做出了明確規定。9月，《兒童個人信息網絡保護規定》正式發布，作為我國第一部專門針對兒童網絡保護的立法，具有里程碑意義。二是研究制定數據跨境流動規則。6月，國家互聯網信息辦公室發布《個人信息出境安全評估辦法（征求意見稿）》，加強了出境數據非法利用的限制。三是積極開展個人信息安全與隱私保護治理工作。信安標委秘書處組織編制了《移動互聯網應用個人信息收集指引》，并研發了App專項行動評估輔助工具、App個人信息保護檢測系統等，為專項行動的開展提供支撐。

2020年，個人信息安全風險將更加突出，我國將繼續完善相應法規體系，提升監管能力和個人信息保護力度。

4. 我國關鍵信息基礎設施安全防護能力將顯著提升。隨著信息技術的廣泛應用，我國高度重視關鍵信息基礎設施保護，加強關鍵信息基礎設施安全監管。一是開展安全檢查和評估。工業和信息化部連續十年組織基礎電信企業、互聯網企業、域名機構對自身網絡系統開展安全性檢查，年均處置數萬起網絡安全事件，有效保障了電信網和互聯網安全穩定運行。二是加強對企業的考核通報。組織基礎電信企業開展網絡與信息安全責任考核，將監督檢查及整改結果、安全事件和處置情況納入年度考核。三是強化應急指揮能力建設。工業和信息化部構建了由各地通信管理局、基礎電信企業等單位參與的行業一體化指揮體系。

2020年，面臨嚴峻的內外部網絡安全形勢，我國關鍵信息基礎設施安全能力將進一步提升。

5. 我國網絡安全保障能力將進一步提升。為積極應對國內外網絡安全產業形勢的變化和技術發展趨勢，我國相關主管部門不斷夯實網絡安全保障能力。一是強化網絡安全技術保障。工業和信息化部依托制造業高質量發展工程，加快推進網絡安全技術手段的建設，提升行業的網絡安全手段建設水平和保障能力。二是著力發展網絡安全產業。印發了《國家網絡安全產業園區發展規劃》，深入推進北京國家網絡安全產業園區建設。三是積極開展網絡安全技術應用試點示范工作。工業和信息化部從2016年起，連續四年開展網絡安全技術應用試點示范，共遴選出231個優秀項目。

2020年，我國將繼續加強網絡安全核心技術的研發，優化網絡安全產業的發展環境，進一步提升我國網絡安全保障能力。

需要關注的幾個問題

1.我國網絡安全核心技術亟需實現自主。我國對國外信息技術產品的依賴度較高，CPU主要依賴英特爾和AMD等廠商;內存主要依賴三星、鎂光等廠商;硬盤主要依賴東芝、日立和希捷等廠商;操作系統則被微軟所壟斷。國家安全體系的構建，一是亟需研發出可使用的核心信息技術產品，另一方面是亟需對網絡產品和服務進行評估、扶持和推廣，進而構建良好的生態。

2.我國關鍵信息基礎設施安全保障需進一步加強。關鍵信息基礎設施的網絡攻擊不斷升級，我國關鍵信息基礎設施的安全保護力度仍然不足。一是網絡安全檢查評估機制不健全。當前的網信安全檢查側重漏洞發現，缺乏對漏洞修復的激勵措施以及危害等級的評估體系。二是關鍵信息基礎設施安全保障工作存在標準缺失的問題。盡管行業內已加速開展相關標準的研究工作，但仍缺少金融、電力和通信等細分領域的安全保障標準研究。面對日益嚴峻的網絡安全挑戰，我國應盡快完善關鍵信息基礎設施安全保障體系。