预见2022 | 良方医痛点,把脉“网络安全”
作者:中国联通研究院 王姗姗 徐雷 张曼君
【慧聪通信网】没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。网络安全保障能力的增强和产业的健康发展,是建设网络强国、数字中国和智慧社会的基础保障,因此把脉网络安全战略动向和发展趋势至关重要。本文将对未来网络安全趋势进行分析,综述国际和国内网络安全发展新形势、新要求,并提出网络安全领域技术和产业发展趋势,以及推动我国网络安全发展的建议。
当前网络安全发展形势
当今世界正经历百年未有之大变局,新一轮科技革命和产业变革突飞猛进,极大地促进了经济社会发展。随着5G、云计算、大数据、AI、物联网、工业互联网、量子计算等新一代信息技术融合发展,人们的生产生活方式被极大改变,同时网络安全面临着新的机遇和挑战。2020年暴发的新冠肺炎疫情席卷全球,对全球网络治理产生了巨大影响,呈现出一些特有变化,例如网络攻击、个人隐私等问题被疫情放大。
近年来,全球网络安全局势不容乐观,安全漏洞、勒索病毒、数据泄露、APT攻击等网络安全威胁在疫情影响下日趋严峻,国内外针对基础设施和重要信息系统的网络入侵事件频发,攻击手段不断升级,网络威胁呈逐年上升趋势,民众生活、经济生产、社会稳定、国家安全遭遇巨大风险。
2021年,全球金融、能源、电力、通信、交通等领域相关企业遭到DDoS、勒索病毒、APT等攻击,引发了业务停滞、民众恐慌等不良后果。2021年5月美国最大成品油管道运营商Colonial Pipeline因受到勒索软件攻击,被迫关闭其为美国东部沿海各州供油的关键燃油网络,严重影响部分成品油供应;9月,新西兰电信运营商Vocus遭受DDoS攻击,导致多地区网络服务中断达30分钟,严重影响疫情下大量居家办公居民的工作和生活;7—10月,黑客组织Lyceum针对以色列和沙特阿拉伯等国家的电信运营商开展了一系列APT攻击……我国网络安全形势同样严峻,据统计,2021年上半年在疫情影响下,我国各类企业业务持续向线上迁移,DDoS攻击次数已连续4年高速增长,且量级强度、手段方式、攻击来源相较以往都有明显的升级。
网络安全战略成为国家发展的重要部分,欧盟、美国等积极推动网络安全政策出台,通过战略合作、战略升级防范疫情带来的网络空间安全风险,加快布局关键信息基础设施保护建设,持续向新领域深化扩展。信息技术领域全球供应链、产业链风险增大,全球网络空间进入动荡变革期。
2020年,美国政府接连发布《5G安全国家战略》《关键与新兴技术国家战略》等重要文件,持续加强在网络空间安全的投入力度,完善网络空间布局,持续提升网络攻防能力,加速推进新技术、新应用融合落地。2021年1月,欧盟发布升级后的网络安全战略——《欧盟数字十年的网络安全战略》,加强欧盟对抗网络威胁的能力,增强集体防御的可靠性,确保所有公民和企业都能充分受益于可靠的数字工具。2020年澳大利亚政府发布《2020年网络安全战略》,概述确保家庭、弱势群体、关键基础设施提供商和企业在线安全的方法,公布网络增强态势感知和响应计划。
● 我国网络安全发展持续完善,立法监管密集出台
网络强国战略思想是习近平新时代中国特色社会主义思想的重要组成部分,目前网络安全已上升至国家战略高度,“十四五”规划确定网络安全成为未来中国发展建设工作的重点之一。我国网络安全法制建设取得初步成就,2021年监管层密集制定和发布重量级法律法规,《数据安全法》《个人信息保护法》《关键信息基础设施保护条例》相继发布,重点关注网络建设规划、安全防护、安全管理、风险评估等方面内容。
我国网络安全监管趋严的同时,安全执法力度也持续加强。工信部持续开展APP专项治理工作,据统计2021年前三季度,工信部累积通报1494款违规APP,下架408款拒不整改的APP;监管层先后启动对滴滴出行、运满满等企业的网络安全审查,驱动企业增加对网络安全的重视程度。
网络安全未来发展趋势
研发安全新技术,提升网络安全保障能力,健全关键信息基础设施保障体系,加强数据安全保护,推动网络安全产业快速发展,对维护国家安全、经济社会稳定运行、人民群众利益具有重要作用,也是网络安全未来关注重点和发展趋势。
网络安全新技术蓬勃发展
云边协同、云网融合、算网一体等网络架构的创新升级,推动网络安全防护向内生化、主动化和智能化的方向发展。网络空间内生安全防御体系发展日新月异,包括“零信任”、拟态防御、去中心化、可信计算等典型技术的内生安全技术体系将从根本上解决安全可信问题;积极开展动态边界防护、欺骗防御、威胁狩猎等主动防御技术研究,能够更加准确快速地检测并应对安全威胁;针对用户实体行为分析、安全编排与自动化响应、扩展检测与响应等智能化安全技术,将助力实现网络安全动态防御。此外,疫情造成了“随处办公”不可逆转的趋势,安全访问服务边缘、“零信任”等方案成为解决随处工作的安全措施,对保障“远程办公”时代下的企业网络安全至关重要。
重点关注关键信息基础设施保护
全球日益突出的安全威胁向国家重要领域传导渗透,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济运行的神经中枢,是国家网络安全的重中之重,是可能遭到重点攻击的目标。关键信息基础设施受到的网络威胁和网络攻击也呈逐年上升趋势,关键信息基础设施的安全保护越来越受到各国的重视。
2021年9月1日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式实施,网络安全正式进入了“关保”时代。《条例》强化了政府指导和监管职责、落实了关键信息基础设施运营单位主体责任,也就意味着企业必须加大对关键信息基础设施安全保障的重视程度和资金投入,做好“关基”安全防护工作。建立关键信息基础设施智能协同的安全保障体系,强化网络安全态势感知、监测预警、风险评估、攻击溯源、事件处置等能力;加大安全自主产品的部署应用,加快国产化产品在“关基”保护中的创新应用;落实“关基”供应链管理和安全风险评估工作,开展重要网络产品和服务的采购、部署、使用及维护,降低供应链安全风险。因此,关键信息基础设施安全防护的关注度将持续提升。
数据保护和个人信息隐私保护力度加大
在数字经济时代,数据作为生产要素,已成为网络安全的核心命题,全球范围的数据安全威胁日益泛化使数据安全面临着较为严峻的形势。同时新冠肺炎疫情防控常态化、经济全球化给个人隐私保护和数据安全带来了新的挑战。数据安全和个人信息隐私保护将成为人们关注的重点。
欧盟GDPR的发布,保护了消费者和欧盟公民的个人数据和信息安全,给企业带来了巨大的影响;我国2021年相继实施《数据安全法》《个人信息保护法》,确立了对数据领域的全方位保护,其重要程度不言而喻,数据安全建设在各行业、各企业必将加速提上日程,数据安全建设依靠技术和管理相结合实现数据全生命周期保护。同时需要健全个人信息保护机制,加强隐私保护力度。此外,隐私增强计算技术是Gartner 2022年网络安全八大趋势预测之一,可在数据静止、使用和转移的过程中提供保护,实现安全的数据处理、共享、跨境传输和分析,在降低数据泄露风险的同时,支持新形式的计算和共享,目前正在加速转化为具有商业价值的实际项目。此外,联邦学习、多方安全技术、密态计算、安全检索、多域协同追踪等数据安全技术研究也将得到应用。
数字化新场景新业务安全应用逐步落地
针对工业互联网、车联网、物联网、人工智能等新技术、新业务安全问题的跟踪研究进一步加强,提高其安全监测和防护水平、降低安全风险的多项举措逐步落地。
未来覆盖车辆、平台及应用的车联网全环节防护体系将加快建立,远程监控、自动驾驶、车路协同等重点场景的应用部署也将逐步实施。围绕设备、控制、网络、标识、平台、数据的工业互联网和工控安全场景化防护以及智慧农业、智能家居、穿戴设备等物联网安全应用的需求将进一步增加。人工智能与网络安全融合应用持续深化,基于人工智能的防御、安全威胁监测和自主响应、同态加密等技术正在快速发展,同时人工智能本身的安全性、恶意滥用和侵犯隐私可能成为焦点。此外,量子计算、空天一体化等新技术新场景也将成为研究的关注点。
网络安全产业持续稳定增长
近年来,数字经济新产业、新业态蓬勃发展,在国家政策和技术创新等多重因素驱动下,安全需求持续释放,良好环境将持续推动我国网络安全产业稳步增长。
据统计,2020年我国网络安全市场规模约为532亿元,增速高于全球平均水平。2021年前三季度绝大部分上市网安企业收入保持了正增长,行业总体营业收入同比增长23.32%。随着政策资本加码和新应用场景的出现,网络安全产业中数据安全、安全服务、工控安全等重要细分领域将获得增长动能,带动市场整体发展势头,同时用户对网络安全需求呈现多元化趋势,包括等级保护、容器安全、云平台、风险评估等产品品类成为热点。
网络安全发展建议
面对网络安全的复杂形势和艰巨任务,必须坚持积极防御、科学求变、攻坚克难,全面落实“十四五”规划部署和要求,加快推动我国网络安全技术研究和应用高质量发展。
强化政策标准引导
政府和相关机构监管对网络安全发展至关重要,应加强网络安全政策制度体系建设,贯彻落实《网络安全法》等相关法律法规,及时出台配套法律制度;加快网络安全标准制定,提高标准的针对性、规范性、可执行性,运用标准引领和规范网络安全工作。
聚焦安全技术突破
经过多年发展,我国互联网和数字经济的进步有目共睹,但是核心技术受制于人等问题依然存在,未来需要着力突破制约我国网络安全发展的核心技术,强化网络安全技术创新,进一步加强网络安全保障体系和能力建设,筑牢国家网络安全屏障。
培育融合发展生态
积极拥抱大安全时代,深化产业链上下游合作共赢,协同推进人才培养机制,发挥“产学研”各方积极性,共建网络防御新体系,共享产业链资源,共筑产业新生态,开辟网络安全发展新局面,确保数字经济“大动脉”循环畅通。