數字時代的網絡安全發展

李陽 苗張旺

數字時代新一代信息技術深化應用，云計算、區塊鏈、人工智能等數字技術，為產業數字化高速發展奠定了堅實基礎，衍生的網絡安全內涵與外延也在逐漸發生變化（包括突破傳統性、引發復雜性、催生演進性等）。數字時代的網絡安全面臨挑戰，宜從筑牢安全防線、提升治理能力、優化產業布局等入手，提升網絡安全防護水平，為產業數字化的健康發展做好安全保障。

一、數字時代的網絡安全

（一）網絡安全的概念

我國《網絡安全法》對網絡安全進行了界定，特指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。

（二）網絡安全概念的發展變化

網絡安全最初主要以“信息安全”的概念為主，包含要素多，涵蓋范圍廣。隨著經濟社會的數字化進程持續深入發展，以云計算、量子計算、人工智能為代表的新一代信息技術與安全技術的深度融合，網絡側面臨新的安全環境、安全需求、安全挑戰等，全球網絡在互聯互通中加速演化，跨域系統在網絡空間中相互映射，面臨的安全問題內涵和外延都在延展和深化，網絡安全的概念也隨之而來，從早期的“以網絡為中心的安全體系”，形成了以防火墻、入侵檢測等為代表的網絡訪問控制社的廣泛應用，后來逐漸延伸到云、終端等，并發展到網絡空間的安全。

（三）網絡安全保障的重要意義

第一，網絡安全是維護國家安全的重要基礎。網絡是信息化社會的重要基礎，網絡空間的安全深刻影響著經濟社會和國家安全，隨著時代的發展網絡安全問題愈發復雜和嚴峻。2022年6月，西北工業大學遭受境外網絡攻擊引發了行業和民眾對網絡安全的關注，維護網絡安全就是維護國家安全。

第二，網絡安全是實現網絡強國的堅定基石。第49次《中國互聯網絡發展狀況統計報告》顯示，截至2022年6月，我國網民規模為10.51億人，互聯網普及率達74.4%，形成了全球最為龐大、生機勃勃的數字社會，構建堅實的網絡安全對于我國從網絡大國邁向網絡強國尤為關鍵。

第三，網絡安全是維護公眾利益的應有之義。網絡深度融入經濟社會的方方面面，深刻改變人類生產生活方式。當前，網絡攻擊、隱私泄露、數據勒索等網絡違法犯罪活動嚴重威脅網絡空間的健康發展，對公眾利益利益帶來嚴重危害，保障數據安全與個人隱私迫在眉睫。

二、國內網絡安全發展情況

（一）頂層設計

一是高度重視網絡安全戰略規劃。2021年3月，我國發布《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》，重點強調要全面加強網絡安全保障體系和能力建設。2021年12月，國家發展改革委印發《“十四五”推進國家政務信息化規劃》，強調提升政務網絡安全保障水平。2021年12月，中央網絡安全和信息化委員會印發《“十四五”國家信息化規劃》，強調以網絡安全自主防御能力為主的網絡安全保障體系和能力建設。2022年1月，國務院印發《“十四五”數字經濟發展規劃》強調要加強網絡安全防護能力建設和提升數字安全保障水平。2023年2月，中共中央、國務院發布《數字中國建設整體布局規劃》明確數字中國建設按照“2522”的整體框架進行布局，著力筑牢可信可控的數字安全屏障。

二是充分發揮法律法規的引領作用。網絡安全治理是各個國家都面臨的嚴峻挑戰，我國高度重視網絡安全的規范治理工作，相繼出臺系列重要的網絡安全法律法規。2015年7月1日，第十二屆全國人民代表大會常務委員會第十五次會議通過新的《國家安全法》，對包括網絡安全在內的多個領域的國家安全任務進行了明確。《網絡安全法》自2017年6月1日起施行，作為我國網絡安全領域的基礎性法律。2021年1月1日起正式施行的《民法典》對由網絡衍生出的民事權利進行保護，全面強化公民信息網絡相關權利保障。2021年6月，我國數據安全領域的基礎性法律《數據安全法》正式發布，并于2021年9月1日起施行，數據分類分級保護、風險評估、安全審查等相關工作機制也逐步出臺。2021年8月，《個人信息保護法》審議通過，推動開啟我國個人信息立法保護的新格局。在網絡安全相關法律法規的指引下，《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》《云計算服務安全評估辦法》《汽車數據安全管理若干規定（試行）》《工業互聯網企業網絡安全分類分級管理指南》等辦法條例陸續出臺，在相關行業和領域不斷細化，網絡安全法律體系逐步完善。

三是網絡安全標準化工作不斷取得突破。2016年8月，中央網信辦聯合國家質檢總局與國家標準化委員會聯合發布了《關于加強網絡安全標準化工作的若干意見》，從七個方面對網絡安全標準工作進行指導。《網絡安全法》強調“建立和完善網絡安全標準體系”，全國信息安全標準化技術委員會圍繞基礎、技術、管理、測評等，組織制定了一系列網絡安全的國家標準，已累計發布300余項，并持續開展宣貫工作。

（二）產業發展情況

一是我國網絡安全產業總體保持增長態勢。據中國信息通信研究院測算，2022年我國網絡安全產業保持高速增長，產業規模約為2169.9億元，2016—2022年中國網絡安全行業規模的年均復合增長率為14.2%。

工業和信息化部在《網絡安全產業高質量發展三年行動計劃（2021—2023年）（征求意見稿）》中明確提出，2023年我國網絡安全產業規模超過2500億元。“十四五”時期，我國網絡安全產品體系進一步完善，服務創新能力顯著增強，安全內需市場持續擴大。

二是產業發展呈現新形勢新變化。網絡安全風險由傳統領域擴展到經濟社會的方方面面，網絡安全的破壞和影響大幅增加。從國際趨勢來看，要加強網絡安全產業體系建設，成為積極維護國家利益的關鍵所在。從國內進展來看，要堅守合規基線和加強平臺建設，成為需求延伸和賦能輸出的創新方向。

三是網絡安全人才培養協同發力。黨的十八大以來，網絡安全系列政策加快推動了網絡安全人才培養進程，持續健全網絡安全人才的培養與實踐。在學科建設方面，2016年7月，中央網信辦、國家發展改革委等6部門聯合印發《關于加強網絡安全學科建設和人才培養的意見》，加快網絡安全學科專業和院系建設。根據2022年《網絡安全產業人才發展報告》數據顯示，截至2022年7月底，全國共有500余所本科和高職院校開設網絡安全專業。2022年7月，在中央網信辦指導下，網絡安全學院學生創新資助計劃正式啟動。

在活動宣貫方面，中央網信辦等舉辦國家網絡安全宣傳周活動，組織相關部門、高校研所、企業協會等開展多樣式的網絡安全競賽活動，“網鼎杯” “強網杯”“長城杯”“藍橋杯”等活動突出實戰演練、網絡靶場、產品測試、人才交流，奇安信、永信至誠等企業積極參與、強化支撐，對于提升網絡安全意識、促進技術交流、培養實踐人才等發揮了重要的推動作用。

（三）各地方實踐進展

黨的十八大以來，我國網絡安全保障能力進一步鞏固加強。全國各地扎實推進網絡安全發展，取得顯著成效。

一是制定網絡安全地方規劃。北京、上海、天津、廣東、海南等地分別出臺了《關于加快推進國家網絡安全產業園區（通州園）產業發展若干措施（試行）》《上海市建設網絡安全產業創新高地行動計劃（2021-2023年）》《天津市數據安全管理辦法（暫行）》《廣東省公共數據安全管理規定》《海南省“十四五”網絡安全專項規劃》等政策文件，對各省市的網絡安全進行規劃部署，網絡安全政策支撐體系日趨完善。

二是重視網絡安全產業特色發展。北京市國家網絡安全產業園區重點推動了網絡安全高端產業集聚發展。武漢市國家網絡安全基地構建了優勢突出的網安產業生態，推進網絡安全領域的發展和產業的壯大。2022年5月，川渝地區獲批“國家網絡安全產業園區”，共引進300多家網絡安全企業，形成了技術研發、成果轉化和運營服務的產業體系。

三是網絡安全頭部企業積極創新。奇安信以“數據驅動安全”為技術指引，研發了新一代網絡空間安全態勢感知與協調指揮平臺。360數字安全大腦全面掃描資產漏洞，構建終端、云端協同響應機制和APT防護、勒索防護專項工作平臺。

三、網絡安全面臨的挑戰

（一）數字時代突破網絡安全的傳統性

數字時代的網絡安全，在內涵和外延上不斷變化，傳統的網絡安全防護已經逐漸失效。一是傳統的網絡邊界變化。傳統的網絡安全以邊界防護為主，依靠防火墻、入侵檢測、VPN和運維安全審計等系列安全產品的集成化部署來實現，隨著網絡安全外延的不斷擴大，傳統的物理邊界逐漸的消失，與虛擬邊界進行融合。二是傳統的IT架構變化。云計算、人工智能、物聯網等新一代信息技術的深化應用，促使原有的IT架構發生變化，逐漸過渡為按需擴展、柔性管控、智能調度等特征的平臺環境，全方位的網絡安全服務越來越成為主流趨勢。三是傳統的防護位勢變化。隨著產業數字化進程的推進，企業的生產、研發、制造等環節的網絡安全事件頻發，網絡安全也逐漸從IT的網絡防護深入到與OT的安全防護進行融合，傳統的網絡安全防護位勢不斷提升和深化，成為數字安全的底座。

根據以色列Check Point軟件技術公司《2023云安全報告》調查顯示，2022年基于云的網絡攻擊同比增長48%。據報道，2022年澳大利亞最大的健康保險公司之一Medibank遭遇數據泄露，黑客通過入侵該公司基于云計算的數據網絡來竊取客戶信息。根據Fortinet《2022年全球運營技術與網絡安全態勢報告》數據顯示，OT環境仍然是網絡犯罪分子重要的攻擊目標，93%的OT組織曾在過去一年內至少經歷過一次威脅入侵，而遭受三次以上威脅入侵的組織仍然高達78%。

（二）數字時代引發網絡安全的復雜性

數字時代的網絡安全，在影響復雜性上逐漸擴大，從信息系統延展到經濟社會。一是攻擊自動化提升防護難度。隨著數字技術的不斷提升和社會工程學的運用，促使了網絡攻擊工具的自動化，投入低成效大、攻擊易防護難等特點，攻防不對等大幅度提升了防護難度。二是勒索攻擊中斷業務運行。近年來，針對企業的勒索攻擊成為一些黑客或者非法組織的目標，從高額贖金的利益驅動到中斷企業的業務運行，尤其是對一些企業數字化過程中，網絡安全防護的滯后性可能導致了企業的數字資產成為重災區。三是攻擊“關基”影響經濟社會。關鍵信息基礎設施是指面向公眾提供網絡信息服務或支撐重要行業運行的信息系統或工業控制系統，例如能源、金融、交通等系統平臺一旦發生網絡安全事故，不僅會影響社會穩定和公眾生活，而且嚴重影響經濟社會運行。

IDC有關報告顯示，2022年全球35%的組織經歷了3～4起勒索軟件事件。2021年，挪威能源及基礎設施技術方案供應商Volue公司遭受勒索軟件攻擊，并關閉了挪威200座城市的供水相關系統，影響了全國85%的居民。2022年12月，據美國一份聯合安全公告中披露，Cuba勒索軟件團伙針對美國的金融服務、政府設施、醫療保健和公共衛生、關鍵制造和信息技術等關鍵基礎設施領域進行多次攻擊。2023年7月，據日本時報報道，勒索軟件針對日本名古屋港發動了攻擊，導致該港口的貨柜調度系統暫停運作一天，影響全國各地的貨物運輸。

（三）數字時代催生網絡安全的演進性

在新興技術、新興領域持續融合應用中，數字時代的網絡安全不斷演進和變化。一是數字技術的持續融合。新一代數字技術的持續涌現，量子計算、人工智能、區塊鏈等不斷與網絡攻擊技術進行融合，衍生了許多新型網絡攻擊手段。二是新興領域的廣泛應用。網聯汽車、工業互聯網、能源互聯網等新興領域，在數字化進程中網絡安全問題日趨嚴重，尤其是一些供應鏈成為網絡攻擊的重點。三是開源平臺的安全風險。隨著開源組件的增多，基于開源平臺、計算框架的開發應用隨之增加，存在架構不同、版本多樣、接口不統一等特點，可能產生的算法漏洞、安全風險等的幾率也隨之增大。

Gartner預測，到2025年，全球45%的組織將遭受一次或多次軟件供應鏈攻擊。根據Upstream 2022年全球汽車網絡安全報告，從2010年至2021年間，攻擊者對智能網聯汽車最常見的攻擊載體有11種，且大多為黑客攻擊，僅2021年，黑客攻擊所占比例高達56.9%。根據中國信通院面向工業互聯網設備的安全能力評測數據，70%的工業防火墻存在針對工業協議的解析深度不夠，行業專業能力不足等問題，大大降低了攻擊門檻，網絡安全威脅持續增加。2021年12月，開源組件Apache Log4j2被發現存在遠程代碼執行高危漏洞。從2021年到2022年初，黑客組織分別對代碼管理平臺SonarQube、Gitblit、Gogs等進行了攻擊，主要利用平臺的未授權訪問漏洞實現入侵。

四、有關建議

（一）加速完善政策措施，筑牢網絡安全堅實防線

不斷完善網絡安全法規制度、標準體系等，加強合規建設工作，不斷增強保障體系與能力，筑牢網絡安全堅實防線。

一是健全網絡安全法律法規基礎。進一步落實和細化《網絡安全法》《數據安全法》等法規條例，在重點行業、關鍵領域、典型場景等開展合規性建設，構建網絡安全的基線標準、法律責任和綜合防護，為網絡安全治理筑牢法律基礎。

二是加強網絡安全制度頂層設計。加強對網絡安全工作的統籌規劃，將網絡安全相關法規、制度等納入到各級政府的制度建設中，堅持信息化建設中網絡安全的三同步原則，將技術體系、管理體系、運維體系、組織協調、評估考核等進行有機協同，持續完善制度體系的頂層設計。

三是完善網絡安全標準體系。加快推進網絡安全、數據安全、人工智能安全等方面的系列標準研究制定；強化車聯網、工業互聯網、能源互聯網等新興領域的網絡安全標準制定，加強安全事件管理、威脅情報共享、態勢感知等標準修訂工作，積極參與網絡安全國際標準的相關制定工作。

（二）建立健全防護體系，提升網絡安全防護能力

堅持整體防護的原則和理念，構建系統化防護體系，立足重點目標、場景化需求來提升網絡安全防護能力。

一是建立系統化防護體系。堅持平臺化管理，建設網絡化、數字化、智能化的網絡安全平臺；建立跨部門、跨業務、跨系統的網絡安全協同機制，健全協同監測、共享通報的常態化機制；構建閉環的網絡安全聯動機制，提升規范建設、安全測試、風險評估、威脅預警和應急響應的綜合防護能力。

二是聚焦重點防護目標。聚焦政務、交通、金融、能源等關鍵信息基礎設施的網絡安全防護，完善重點行業網絡安全、數據安全防護態勢感知體系，加強網絡安全的風險識別，建立網絡安全復合型的專家團隊，強化對網絡安全事件工作預案的針對性指導，以及對網絡安全事件應急響應的時效性。

三是提升場景化防護水平。針對區域級、行業級、城市級等典型場景的網絡安全與數據安全防護需求，制定網絡安全防護方案，持續加強網絡安全的風險防控與攻防演練，開展對零信任、可信計算、主動防御等網絡安全架構的部署與測試，提升新興技術的應用適配性。

（三）推動產業發展壯大，優化產業整體布局水平

加快推進網絡安全產業的高質量發展，培育開放創新產業生態，提升網絡安全服務能力，緊抓網絡安全人才培養，持續筑牢網絡安全的基石。

一是培育開放創新的網絡安全產業生態。聯合產學研建設技術研發、標準驗證、成果轉化等共性研發平臺，推進創新能力共享、創新成果轉化和產品測試應用；鼓勵頭部企業加強平臺化、標準化的服務輸出和賦能，助力網絡安全產業鏈與價值鏈深化融合，積極探索網絡安全服務與數字化轉型、產業化升級等進行場景融合，拓展產品方案與服務模式。

二是促進網絡安全服務高質量發展。引導網絡安全產業規范發展，鼓勵產學研協同合作開展網絡安全服務標準化研究，組織制定網絡安全行業標準及規范；加強網絡安全意識宣傳推廣力度，提升網絡安全企業及機構對于網絡安全風險的認知；推動安全數據要素流動，積極探索網絡安全保險服務市場，不斷拓展網絡安全服務模式。

三是健全網絡安全人才培養體系。積極拓展層次化的網絡安全教育體系，加強高校網絡空間安全學院建設；充分依托網絡安全宣傳周，擴大網絡安全的社會影響力；建立網絡安全人才實訓基地，定期舉辦高規格的技能比拼、網絡攻防等競賽活動，挖掘高端網絡安全人才；鼓勵網絡安全企業與高校合作，建立一批創新合作、優勢互補的網絡安全技術試驗與人才培養平臺。

本研究受國家社科基金重大項目“國家關鍵信息基礎設施系統安全協同防護體系研究”（19ZDA127）、國家社科基金一般項目“大規模社交網絡中正負影響力競爭傳播的量化計算及引導管控研究”（19BXW107）的資助。