《網絡安全法》實施五周年：網絡安全“防護網”織牢織密

2022年6月1日是《網絡安全法》正式施行五周年。作為我國互聯網領域第一部專門法律，《網絡安全法》為構建網絡安全法律法規體系提供了基礎性依據。

繼《網絡安全法》實施后，《數據安全法》《個人信息保護法》等法律法規陸續出臺，網絡安全法治化進程不斷演進，構筑了一張新時代的網絡安全防護網。

為何近幾年業界格外重視網絡空間安全?政策、法規的相繼出臺在網絡安全領域產生了怎樣的影響?目前維護網絡安全行之有效的手段主要有哪些?針對上述問題，記者與業內人士進行了交流。

構筑網絡安全防線勢在必行

談到網絡安全的重要性，遠江盛邦(北京)網絡安全科技股份有限公司技術副總裁方偉表示，“在現代國家安全觀的理論體系下，網絡安全是國家安全16個基本面中的一個，而且是非常重要的一個。隨著各產業數字化轉型進程的快速推進，網絡安全已經成為各大領域安全的基礎保障，關系著社會運行、科學研究、生產制造和人民生活等方方面面?！?/p>

對于企業而言，隨著數字化轉型駛入“快車道”，協同辦公模式逐漸普及，既有安全策略在新模式下的適配性風險也隨之增加。Fortinet 北亞區首席技術顧問譚杰認為，數字化轉型的加速，業務與互聯網的融合，將海量傳統資產及生產過程數字化。IT資產價值、安全風險及潛在損失都在迅速提高，必然要求對安全理念、管理規范、技術能力等進行規范和重構。

艾媒咨詢數據顯示，2021年中國協同辦公市場規模達264.2億元，預計2021-2023年，中國協同辦公行業將保持每年10%以上的增長率，2023年的市場規模將達330.1億元?！昂Ａ窟h程辦公要求使得無數非IT部門工作人員都直接暴露在信息安全風險面前，也對網絡信息安全提出了更高的要求?！弊T杰說。

而從具體行業角度來看，方偉強調，金融、交通、能源、電信等關基行業，以及互聯網、電商、物流等平臺企業，都需要重點關注網絡安全。

以金融業為例，由于行業相關數據的高敏感性和高價值性，全面保障數據安全和個人信息權益成為金融行業數據治理的新內核。2021年12月，由中國人民銀行科技司司長李偉主編的《金融科技發展規劃(2022-2025年)》提出，全面加強數據能力建設，在保障安全和隱私前提下推動數據有序共享與綜合應用，充分激活數據要素潛能，有力提升金融服務質效。

對此，亞信安全首席研發官吳湘寧表示，“如今互聯網每天新增的惡意代碼和惡意網頁都在數十萬量級，還出現了威脅巨大的勒索軟件新型病毒，嚴重威脅著金融用戶的網絡安全。與此同時，針對‘外部安全堡壘’建設通常較為完善的金融系統，高級黑客往往借助釣魚郵件、水坑攻擊、勒索病毒等結合社會工程學發動APT攻擊，從內部瓦解金融系統堅實的安全堡壘?！?/p>

“在這種安全攻防信息持續不對等的情況下，金融系統一旦被攻破，波及范圍和損失都是巨大的。為此，我國密集發布了一系列金融規范和標準，以及《網絡安全法》、‘等級保護’中的具體法規條款，都反復強調了人員、制度、防治、容災、預警機制、應急預案、應急處置等詳細要求。這些監管政策不但需要金融機構敬畏、守住底線，更是金融企業品牌、可信度的有力體現，也是網絡安全技術持續演化的目標。”吳湘寧說。

網絡安全防護仍有“頑疾”

基于這樣的背景，《網絡安全法》等一系列法規的出臺也有了重要的現實意義和時代價值。吳湘寧告訴記者，“相關法律法規規章的落地，對于我國網絡空間安全建設整體起到了非常大的推動作用，切實提升了關鍵信息基礎設施等重點領域、重點目標的安全保障能力，網絡安全態勢感知、網絡攻擊追蹤溯源、監測預警等技術得到了持續創新和補充，實戰演練能力也得到了大力加強?！?/p>

譚杰也表示，“一方面，政策法規的相繼出臺，指明了安全建設的原則和方向;另一方面，業務與網絡的融合，對安全提出了更加專業化、精細化的要求?！弦帯畼I務’雙輪驅動，使企業機構對安全建設的重視和投入大大提高，網絡安全體系的規范性和全面性也有很大提升?！?/p>

IDC發布的數據顯示，2021年中國網絡安全相關支出有望達到102.6億美元。預計到2025年，中國網絡安全支出規模將達214.6億美元。在2021-2025的五年預測期內，中國網絡安全相關支出將以20.5%的年復合增長率增長，增速位列全球第一?？梢钥闯觯袠I正在加速入局，并在網絡安全領域持續加碼。

更重要的是，相關部門也在積極部署，加快構建網絡安全保障體系。工信部網絡安全威脅和漏洞信息共享平臺上線運行;工業互聯網企業網絡安全分類分級管理制度建立;工業互聯網安全技術監測體系累計覆蓋165個重點工業互聯網平臺;車聯網卡實名登記管理全面實施……

雖然網絡安全“防護網”越織越牢，但值得關注的是，業界還有一系列“頑疾”亟待解決?！安糠謫挝粯I務遷移緩慢，老舊系統帶病運行，存在較大安全隱患;部分行業對熱點漏洞跟蹤不及時，響應緩慢，給攻擊者留下了可乘之機;供應鏈安全風險難以排除，風險點多，管理困難，需要各個環節高度協同;大眾網絡安全意識仍然較低，弱口令現象普遍，個人信息保護不足，需持續引導……”方偉舉例稱，這些都是需要行業繼續努力去解決的問題。

此外，吳湘寧表示，勒索病毒仍被視為全球最大網絡威脅之一。根據威瑞森《2021 年數據泄露調查報告》，勒索軟件攻擊頻率在去年翻了一番，占全部網絡安全事件的10%。據亞信安全的研究數據，2021年亞信安全共攔截勒索病毒58，412次，在數量增長的同時，其攻擊手段、目標和平臺也在不斷升級，特別是“勒索軟件即服務”(RaaS)市場的發展，高級黑客將自己的專業知識售賣給犯罪分子，使得勒索攻擊的門檻越來越低。

據吳湘寧介紹，“雙重勒索”攻擊也是網絡犯罪分子用得越來越多的一種策略。攻擊者加密目標系統數據之前會先竊取數據，這樣一來，即便受害者有備份數據，勒索軟件仍然可以用泄露數據作威脅要求其支付贖金。同時，“雙重”勒索還帶來了“點名羞辱”的新威脅。

根據調查數據顯示，在收到的勒索軟件攻擊企業和公共部門機構的100，101份報告中，其中11.6%是由竊取和公布數據的犯罪團伙發起的“點名羞辱”式攻擊，這無疑讓受害者承受更大的數據泄露壓力，同時使得受害者被迫支付贖金的可能性大幅提高。

通過分析一些案例，亞信安全技術團隊還發現，一些APT攻擊會披上勒索軟件的外套，作為探路的手段，或者逃跑的“煙霧彈”，甚至是作為攻擊結束后毀滅蹤跡的方法，幫助掩蓋和抹去更嚴重攻擊的證據?！袄缒承┕ぞ弑砻婵此评账鬈浖瑫用軘祿l布勒索通知以及索要贖金，但實際上，這些軟件會悄悄刪除端點上的數據，同時讓防御者相信數據丟失的原因是勒索軟件的隨機攻擊。”吳湘寧說。

網絡空間新生態未來可期

事實上，如今對于網絡安全攻防雙方而言，一邊是“摩拳擦掌”，另一邊也同樣“躍躍欲試”，雙方的博弈日趨激烈。對此，譚杰坦言，“企業往往希望追求一勞永逸的‘黑科技’，但在網絡安全建設中，它是不存在的。網絡與安全的融合、體系化安全才是網絡安全的堅實基礎?！?/p>

因此，譚杰建議，企業應將安全能力融入到網絡及應用的每一個環節中，包括終端、有線及無線局域網、網絡邊界、廣域網、數據中心(私有云)、公有云、業務應用等。所有環節都應具備信息可視化、安全分析、動態管控處置的能力，杜絕漏洞或短板。

譚杰同時強調，“安全產品技術應避免碎片化，孤立的單點技術的疊加并非真正的安全解決方案。各個產品和技術間應具備強大的交互能力，包括信息情報交換、聯動響應等，從而交織成一張零信任、智能化、自動化的安全網絡。”

方偉進一步表示，從技術手段而言，企業要做到精準檢測、精確防御，既要保證風險發現的全面性，又要保證威脅判定的準確性，同時還要做到細粒度的靈活處置，因此機器學習、大數據分析和業務建模等手段需要運用到網絡安全實踐當中。

而從安全建設而言，方偉建議，“企業首先要摸清家底，清晰掌握單位自身的網絡資產;其次要加強備案和管控，保證網絡安全責任到人，業務管理有流程可依;然后做到立體化的安全防護和自動化的安全運營，采用主動檢測和被動監測相結合的手段來提升風險發現和防護;最后還要做好應急響應，提升各個安全能力的協同配合能力，做到聯防聯控?！?/p>

“從國家層面上看，我們需要加快提升應對規模化攻擊的防御能力，實現全網安全態勢的全面分析和綜合展現，為構建和完善國家級安全防護體系奠定基礎。”方偉說。

近年來，我國網絡安全頂層設計加速構建，網絡安全政策體系日臻完善。據不完全統計，截至2021年6月底，我國已出臺關于網絡信息安全與數據合規的法律、行政法規等二百多部，形成了覆蓋網絡安全等級保護、關鍵信息基礎設施保護、數據安全管理、個人信息保護等領域的網絡安全法律法規體系。

在健全完善的法律法規、豐富多樣的應用實踐、成熟可用的技術等多方生態催化下，我國網絡空間環境也將不斷優化，為數字經濟的高質量發展構筑堅實的底座。