邬贺铨:网络安全面临新的挑战,新安全时代也即将到来

来源:光明网

5月31日,由中国网络空间安全协会、中国安全防范产品行业协会、北京网络空间安全协会、天津市网络空间安全协会和光明网共同主办的《网络安全法》实施五周年座谈会暨《个人信息保护通识》发布会以线上形式举行。

会上,中国工程院院士邬贺铨表示,近年来陆续出台了《数据安全法》、《个人信息保护法》、《国家网络空间安全战略》、《关键信息基础设施安全保护条例》,相关部门联合发布了《网络安全审查办法》《云计算服务安全评估办法》《汽车数据安全管理若干规定(试行)》《区块链信息服务管理规定》等,进一步完善了网络安全相关的法规及标准。

邬贺铨介绍,在建立网络安全审查和评估制度方面,相关部门开展了对平台的安全评估,以及对关键信息基础设施采购网络产品和服务活动的网络安全审查。通过开展护网行动、网络安全攻防演练,提升党政机关与企业的网络安全防护能力。

在开展网络安全专项治理行动方面,从2019年以来开展了App违法违规收集使用个人信息专项治理,“净网2020”打击网络黑产犯罪行动,互联网行业市场秩序专项整治等。针对金融、能源、通信、交通等领域,修订了本行业的应急安全预案,不断完善安全防护体系。

在促进网安产业发展方面,随着《网络安全法》的贯彻落实,网安产业发展迈入快车道。2021年7月,工信部发布的《网络安全产业高质量发展三年行动计划(征求意见稿)》中提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。国内网络安全厂商能力加强,积极参与国家网络安全保障支撑;网络安全大厂持续对外方的网络攻击进行跟踪分析,追踪溯源幕后团伙,曝光相关攻击活动。

在网安人才培养方面,中央网信办等六部门发布《关于加强网络安全学科建设和人才培养的意见》,网络空间安全上升为一级学科,不少高校建设了网络安全专业。中央网信办、教育部还实施了一流网络安全学院建设示范项目,有11所高校入选。

邬贺铨表示,站在《网络安全法》实施5周年的起点向前看,网络安全面临新的挑战,一个新的安全时代即将到来。

一是疫情的持续让居家办公、远程学习、网上生活成为人们的长期习惯,随着网络环境开放、用户角色增加、防护边界扩张,带来各类新型安全风险,零信任安全应运而生;二是5G商用推进工业互联网发展,企业内外网关联增加了工业网络安全风险;三是智慧城市、物联网和车联网在开启万物互联的同时,城市安全越来越受重视;四是“上云”成为政企用户和网民的常态,网络攻击中关键基础设施成为网络攻击首选,网络安全覆盖范围更宽、安全防护边界更广;五是大数据应用凸显数据安全的重要性,网络攻击从破坏到勒索、从偷取个人用户隐私和流量劫持到争取更有价值的对象,基于人工智能技术实施APT攻击加大了发现和溯源难度;六是逆全球化和冷战思维将网络战推向前台,黑客从散兵游勇向装备更精良的有组织部队发展。

从具体方面展开来看,邬贺铨坦言,关键基础设施成为攻击重点。从2019年3月委内瑞拉电网遭遇网络攻击,到今年4月北京健康宝在使用高峰期间遭受境外网络攻击,这些都反映了关键基础设施正成为重点攻击目标。

供应链攻击激增。供应链是由从参与创建到交付过程的人员、组织和分销商组成的生态系统,涉及产业链上下游。供应链攻击往往从某一个环节切入,首先获得这个企业的资产、人员等访问权限,58%供应链攻击旨在获得数据访问权限,16%旨在获得个人访问权限。供应链攻击并不限于某个企业,而是通过网络攻击渗透到这个企业的客户。据统计,去年发生的供应链攻击事件是前年的4倍,去年针对开源软件的供应链攻击暴增650%。

勒索病毒上升为主要威胁。2020年,勒索软件成为主要威胁,主要通过钓鱼软件和暴力破解,而现在“勒索软件即服务”已在市场上出现。实施勒索行为的黑客不需要自己开发,到暗网市场上就可以买到这种软件。“勒索软件即服务”形成了完整的商业产业链和商业模式,使得勒索软件行为泛滥。同时,勒索软件的“胃口”越来越大,去年的平均赎金比前年翻了一番。除一般勒索软件,现在还有伪装型勒索软件,表面上是要赎金、加密数据,实际是以勒索软件的形式来删除企业数据。

数据安全问题频发。2021年,有公民个人数据在国外被出售、国内某银行1679万笔数据在网上出售、淘宝近12亿条用户数据遭泄漏。从去年以来,跨境数据安全问题频频发生,其中许多是跟城市安全有关的敏感数据。

开源代码安全面临隐患。开源代码因为使用方便,已被各类信息系统广泛应用。然而,开源软件中有很多共享代码由个人开发,没有经过安全设计和安全测试,常包含大量漏洞,导致开源代码的安全性难以保障。

云安全风险愈演愈烈。2020年,我国公有云市场规模大幅超过私有云,以容器、服务网格、微服务等为代表的云原生技术,正在影响各行各业。云原生成为云计算市场的新趋势,但是其所带来的安全问题也更复杂。一系列针对云原生的安全攻击事件愈演愈烈。与云安全相关的加密劫持(挖矿劫持)崭露头角,在未经授权的情况下,利用被植入恶意脚本程序的他人硬件设备进行加密挖矿。

“深度造假”影响社会稳定。由于社交媒体平台和在线媒体的使用增加,以及疫情导致在线人数增加,人工智能技术被泛用,虚假信息和错误信息攻击也在增加。虚假信息、错误信息活动经常跟其他网络安全威胁融合在一起,通过造谣破坏网络安全信任基础,扰乱社会稳定。

邬贺铨认为,随着新一代信息技术发展与数字化转型深入推进,国际形势的不确定性,让我国网络安全面临的挑战更加严峻。我们要继续坚持以良法保善治,加强网络安全企业与数字产业化及产业数字化各方协力,引导广大网民积极参与,共同为我国经济社会发展的“安全长城”护航。

中国网络空间安全协会 © 版权所有

地址:北京市西城区车公庄大街9号院五栋大楼A2座三层

技术协办:中云技术股份有限公司

津ICP备19007168号

津公网安备 12011102000196号