1.1 網絡安全概述

網絡空間已成為繼海洋、陸地、天空、外太空之外人類活動的第五空間，網絡空間主權是國家主權的一個新方向，合理治理網絡空間安全已成為國家治理體系的重要組成部分。2017年6月1日實施的《網絡安全法》明確給出網絡安全的定義。網絡安全是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。當前，國際網絡安全發展勢頭迅猛，在網絡安全政策、建設、安全技術及產品等方面成果顯著，各國都在積極適應當前國際網絡安全形勢，積極調整和出臺網絡空間安全戰略部署，維護網絡安全，網絡安全也呈現出一些新的特點。

1.1.1 網絡安全發展現狀與形勢

雖然我國網絡信息技術和網絡安全保障工作成績斐然，但是由于發展時間較短以及技術障礙等因素，目前與世界先進水平相比仍然存在較大差距。國際與國內網絡安全現狀與形勢既存在相同點，又有很多不同之處。

1.國際網絡安全現狀與形勢

世界各國普遍面臨嚴重的網絡安全威脅。國際網絡安全現狀與形勢具有下面幾個特點：

（1）全球網絡空間安全態勢嚴峻，攻防呈現新特性

全球網絡攻防對抗的頻率、強度、規模和影響力持續升級。包括我國在內的多個國家成為黑客攻擊的主要目標。例如，國際黑客組織匿名者（Anonymous）曾聯合多國黑客發動對我國的網絡攻擊；2013年，“棱鏡門”事件曝光美國網絡監控多國；2016年，Mirai僵尸網發起物聯網DDoS攻擊，致使半個美國癱瘓；2017年，WannaCry勒索病毒全球肆虐；2020年，疫情蔓延全球期間，眾多APT組織發起的針對美國、德國等國家的網絡攻擊日益頻繁。隨著新時期網絡信息化的迅速發展，網絡攻防呈現新特性、新趨勢：網絡攻擊手段日趨復雜多變；網絡攻擊工具化、規?；?；攻擊類型從短時、突發攻擊向高級別、持續性攻擊轉變；攻擊范圍從局部地區逐步向全球范圍擴散；網絡攻擊性質從簡單的以破壞為目的，轉向利用網絡攻擊獲取情報或進行金融犯罪；網絡攻擊對象從最初的計算機逐步向通過網絡連接的人、物、事滲透；網絡攻擊形式從個體作案轉向平臺、組織與高科技作案；網絡攻擊行為主體具有自組織性，既有來自普通黑客、恐怖分子的攻擊，也有國家級、有組織的攻擊，甚至還有來自政府、網絡部隊的攻擊；網絡攻擊危害程度嚴重，可導致國家關鍵信息基礎設施系統癱瘓、重要數據資源泄露、工業領域停產等嚴重后果。

（2）數據安全和個人信息保護形勢嚴峻，超大規模數據泄露趨于常態化

數據泄露事件頻發，危害觸目驚心，泄露的數據涉及政府數據、醫療信息、個人賬號、軍工情報等信息，對國家安全、企業利益、個人隱私造成了極大威脅。例如，Facebook數據“泄露門”事件涉嫌操控美國大選；2017年，五角大樓AWS S3配置錯誤，意外在線暴露包含全球18億用戶的社交信息；2018年，數據庫Aadhaar被曝遭網絡攻擊，導致印度11億公民身份敏感信息泄露，引起恐慌；2020年，美國維瑟精密公司遭受勒索軟件的網絡攻擊，導致國防工業敏感文件被竊取，對相關技術知識產權和國家安全構成了潛在威脅。

隨著數據價值的急速攀升，保護難度也在逐漸增大。近年來，各國加快推進數據安全和個人信息保護立法，加快構建國家數據安全保障體系。例如，歐盟已形成完善的數據利用和保護法律體系，以GDPR為核心，促進歐盟境內數據自由流動、控制數據向境外流動的法律保障體系逐漸成形；英國發布《新數據保護法案》，強化個人數據保護，增加數據可攜帶權、被遺忘權，強化機構的數據保護責任，并增進與刑事司法機構合作，確保與歐盟GDPR條例和指令的協調。

（3）新技術、新業務領域活力涌現，帶來全新安全挑戰

大數據、物聯網、人工智能、區塊鏈等新技術市場規模保持高位增長，發展潛力巨大，新技術、新應用在為產業發展提供強大動力的同時，也帶來了管理和技術上的雙重挑戰。人工智能可驅動自動化、智能化的網絡攻擊，加大安全防御難度，2018年2月，牛津大學、劍橋大學等全球14家頂尖機構專家發布報告，警惕人工智能催生新型網絡犯罪、實體攻擊和政治顛覆。物聯網安全風險威脅賬戶隱私保護，2017年2月，互聯網填充智能玩具泰迪熊的用戶數據泄露，暴露了超過80萬個賬戶的電子郵件地址及密碼。區塊鏈的匿名性、防篡改等技術特性可為惡意行為提供逃避監管的天然庇護。2017年，美國參議院通過國防法案，研究網絡罪犯利用區塊鏈技術造成的危害。

（4）歐美等國網絡安全人才培養體制趨于成熟

美國、英國等國家將網絡安全人才培養列入國家戰略，進行立法保障，并加強高校的學歷教育培養，注重各年齡段的全面動員普及，已形成政、產、學、研、用一體化的培養體系。美國多維度完善網絡安全人才培養機制，出臺系統的網絡安全人才戰略規劃，建立多層次、貫穿終生的培養機制。歐洲注重專業教育和全民安全普及，制定網絡安全人才戰略規劃，加強高校對網絡安全專家培養，建立專業認證培訓方案，注重提升全民網絡安全意識。

2.我國網絡安全現狀與形勢

沒有網絡安全就沒有國家安全。我國高度重視網絡安全，不斷加大對網絡安全領域的投入力度，相繼出臺多部法律、多項政策等，推動國內網絡安全行業持續健康發展。當前我國網絡安全現狀與形勢具有以下特點。

（1）國家加速網絡安全領域立法工作

2017年6月1日，我國首部網絡安全領域的法律——《網絡安全法》正式施行，加速了我國網絡安全領域的立法工作。近年來，我國出臺的網絡安全相關法律法規有《中華人民共和國密碼法》《網絡安全審查辦法》《網絡安全等級保護條例（征求意見稿）》《中華人民共和國數據安全法》《公共互聯網網絡安全威脅監測與處置辦法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等。

（2）高危漏洞被曝，危害我國網絡安全

攻擊者通常利用漏洞對目標網站或系統發起植入后門、網頁篡改等遠程攻擊操作，對網絡安全構成了嚴重的安全隱患。2022年上半年，國家信息安全漏洞共享平臺（CNVD）新收錄的通用軟硬件漏洞數量創下歷史新高，達12466個，影響范圍非常廣。2019年，CNVD聯合國內網絡安全產品廠商、企業、科研機構和白帽子個體，完成對約3.2萬起漏洞事件的驗證、通報和處置工作。安全漏洞主要涵蓋的廠商或平臺為谷歌、WordPress和甲骨文，按影響對象分類統計，排名前三的是應用程序漏洞（占57.8%）、Web應用漏洞（占18.7%）、操作系統漏洞（占10.6%）。此外，近年來，“零日”漏洞收錄數量持續走高，年均增長率達47.5%，使得我國網絡安全可能面臨嚴重的安全威脅。

（3）數據安全防護意識薄弱，個人信息和數據泄露事件頻發

近年來，MongoDB和Elastic Search數據庫被曝出存在嚴重的安全漏洞，使得我國境內使用這兩類數據庫的大量用戶存在或面臨數據泄露的安全風險。2019年，國家計算機網絡應急技術處理協調中心（CNCERT）全年累計發現我國重要數據泄露風險與事件3000余起，涉及我國多個重要行業。此外，涉及公民個人信息的數據庫數據安全事件頻發，違法交易藏入“暗網”。數據泄露、未授權訪問及個人信息非法販賣等事件頻發，使得我國數據安全與個人隱私面臨嚴重挑戰。

（4）積極推進網絡安全人才隊伍建設與培養

隨著網絡安全態勢的日益嚴峻，我國目前的網絡安全人才數量無法滿足社會需求。近年來，我國多措并舉，從人才培養政策、一級學科建設、安全產業園區、開展競賽、校企合作以及網絡安全宣傳周活動等方面，積極推動網絡安全人才隊伍的建設與培養。在政策支持方面，我國出臺的《關于加強網絡安全學科建設和人才培養的意見》《網絡安全法》等政策文件，明確提出強化網絡安全人才培養；在學科建設方面，2015年，教育部將“網絡空間安全”設為一級學科，并制定了學位基本要求和教學質量國家標準，我國高校網絡安全相關專業點持續增多；在產業園區建設與安全宣傳方面，2017年啟動國家級網絡安全產業園區建設，自2014年以來，每年開展網絡安全宣傳周活動，大力宣傳普及網絡安全知識；在競賽方面，通過強網杯、天府杯、網鼎杯等網絡安全競賽“以賽代練”，挖掘網絡安全專門人才，已經成為網絡安全人才培養的重要路徑；在校企合作方面，校企合作模式在高校和企業間得到有力推動。

（5）網絡安全產業發展態勢良好，但規模較小

隨著關鍵信息基礎設施保護、等級保護2.0系列標準等政策標準的推動，網絡安全產業呈現良好態勢。信息技術應用創新、安全可控市場需求的逐步釋放，將有望推動整體網絡安全產業進入下個上升周期。

1.1.2 網絡安全面臨的挑戰

近年來，國內外網絡安全事件頻發，如2018年4月，黑客利用思科智能安裝漏洞，攻擊俄羅斯與伊朗的網絡基礎設施；2019年1月，韓國國防部30臺計算機被破壞，存儲重要武器和彈藥采購信息的數據丟失；2019年9月，IT安全和云數據管理巨頭Rubrik數據庫中近10GB的客戶信息數據遭到泄露；2020年5月5日，委內瑞拉國家電網干線遭到攻擊，造成全國大面積停電。隨著當前生產生活對網絡信息系統依賴性的增強，網絡攻擊事件的數量仍將不斷增多，影響范圍也將更加廣泛。網絡安全領域未來面臨的十大網絡安全挑戰見表1-1。

1.1.3 我國網絡安全需關注的問題

面對當前的網絡安全形勢和挑戰，我國網絡安全需關注的主要問題有下列幾個。

（1）網絡安全核心技術亟須實現自主可控，告別“缺芯少魄”進程

我國對國外信息技術產品的依賴度較高，CPU主要依賴英特爾和AMD等廠商，內存主要依賴三星、鎂光等廠商，硬盤主要依賴東芝、日立和希捷等廠商，操作系統則被微軟所壟斷。面對這種不利局面，我國一方面亟須研發出可使用的核心信息技術產品，另一方面亟須對自主可控的網絡產品和服務進行評估、扶持與推廣，進而構建良好的自主可控生態。

（2）關鍵信息基礎設施安全保障進一步加強，完善安全保障體系

關鍵信息基礎設施的網絡攻擊不斷升級，我國關鍵信息基礎設施的安全保護力度仍然不足。一是網絡安全檢查評估機制不健全，當前的網絡信息安全檢查側重漏洞發現，缺乏對漏洞修復的激勵措施以及危害等級的評估體系。二是關鍵信息基礎設施安全保障工作存在標準缺失的問題，盡管行業內已加速開展相關標準的研究工作，但仍缺少金融、電力和通信等細分領域的安全保障標準研究。面對日益嚴峻的網絡安全挑戰，我國應盡快制定、完善關鍵信息基礎設施安全保護標準體系、保障體系。

（3）盡快制定國家網絡可信身份戰略，創建可信網絡空間

網絡可信身份生態建設仍需進一步加快。一是網絡可信身份體系建設的頂層設計不完善，我國還未明確將網絡身份管理納入國家安全戰略，也未形成推進網絡可信身份體系建設的整體框架和具體路徑。二是身份基礎資源尚未實現廣泛的互聯互通，基礎可信身份資源數據庫還未實現廣泛的互通共享，使得數據核查成本較高、效率較低。三是認證技術發展滯后，還不能滿足新興技術和應用的要求。

（4）完善人才培養、激勵等機制，加快人才隊伍建設

一是加快建立多層次的網絡安全人才培養體系。加強高等院校網絡空間安全專業建設，支持高等院校創新人才培養模式，與網絡安全企業合作，通過產教結合共同培養人才。二是深化網絡安全人才流動、評價、激勵等機制創新，組織開展網絡安全國有企事業單位股權期權激勵試點，制定網絡安全人才職稱評價標準。三是強化重點行業和領域網絡安全人員能力建設，開展黨政機關網絡安全關鍵崗位梳理工作，制定關鍵崗位分類規范及能力標準。