数字时代的网络安全发展

李阳 苗张旺

数字时代新一代信息技术深化应用，云计算、区块链、人工智能等数字技术，为产业数字化高速发展奠定了坚实基础，衍生的网络安全内涵与外延也在逐渐发生变化（包括突破传统性、引发复杂性、催生演进性等）。数字时代的网络安全面临挑战，宜从筑牢安全防线、提升治理能力、优化产业布局等入手，提升网络安全防护水平，为产业数字化的健康发展做好安全保障。

一、数字时代的网络安全

（一）网络安全的概念

我国《网络安全法》对网络安全进行了界定，特指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

（二）网络安全概念的发展变化

网络安全最初主要以“信息安全”的概念为主，包含要素多，涵盖范围广。随着经济社会的数字化进程持续深入发展，以云计算、量子计算、人工智能为代表的新一代信息技术与安全技术的深度融合，网络侧面临新的安全环境、安全需求、安全挑战等，全球网络在互联互通中加速演化，跨域系统在网络空间中相互映射，面临的安全问题内涵和外延都在延展和深化，网络安全的概念也随之而来，从早期的“以网络为中心的安全体系”，形成了以防火墙、入侵检测等为代表的网络访问控制社的广泛应用，后来逐渐延伸到云、终端等，并发展到网络空间的安全。

（三）网络安全保障的重要意义

第一，网络安全是维护国家安全的重要基础。网络是信息化社会的重要基础，网络空间的安全深刻影响着经济社会和国家安全，随着时代的发展网络安全问题愈发复杂和严峻。2022年6月，西北工业大学遭受境外网络攻击引发了行业和民众对网络安全的关注，维护网络安全就是维护国家安全。

第二，网络安全是实现网络强国的坚定基石。第49次《中国互联网络发展状况统计报告》显示，截至2022年6月，我国网民规模为10.51亿人，互联网普及率达74.4%，形成了全球最为庞大、生机勃勃的数字社会，构建坚实的网络安全对于我国从网络大国迈向网络强国尤为关键。

第三，网络安全是维护公众利益的应有之义。网络深度融入经济社会的方方面面，深刻改变人类生产生活方式。当前，网络攻击、隐私泄露、数据勒索等网络违法犯罪活动严重威胁网络空间的健康发展，对公众利益利益带来严重危害，保障数据安全与个人隐私迫在眉睫。

二、国内网络安全发展情况

（一）顶层设计

一是高度重视网络安全战略规划。2021年3月，我国发布《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，重点强调要全面加强网络安全保障体系和能力建设。2021年12月，国家发展改革委印发《“十四五”推进国家政务信息化规划》，强调提升政务网络安全保障水平。2021年12月，中央网络安全和信息化委员会印发《“十四五”国家信息化规划》，强调以网络安全自主防御能力为主的网络安全保障体系和能力建设。2022年1月，国务院印发《“十四五”数字经济发展规划》强调要加强网络安全防护能力建设和提升数字安全保障水平。2023年2月，中共中央、国务院发布《数字中国建设整体布局规划》明确数字中国建设按照“2522”的整体框架进行布局，着力筑牢可信可控的数字安全屏障。

二是充分发挥法律法规的引领作用。网络安全治理是各个国家都面临的严峻挑战，我国高度重视网络安全的规范治理工作，相继出台系列重要的网络安全法律法规。2015年7月1日，第十二届全国人民代表大会常务委员会第十五次会议通过新的《国家安全法》，对包括网络安全在内的多个领域的国家安全任务进行了明确。《网络安全法》自2017年6月1日起施行，作为我国网络安全领域的基础性法律。2021年1月1日起正式施行的《民法典》对由网络衍生出的民事权利进行保护，全面强化公民信息网络相关权利保障。2021年6月，我国数据安全领域的基础性法律《数据安全法》正式发布，并于2021年9月1日起施行，数据分类分级保护、风险评估、安全审查等相关工作机制也逐步出台。2021年8月，《个人信息保护法》审议通过，推动开启我国个人信息立法保护的新格局。在网络安全相关法律法规的指引下，《关键信息基础设施安全保护条例》《网络安全审查办法》《云计算服务安全评估办法》《汽车数据安全管理若干规定（试行）》《工业互联网企业网络安全分类分级管理指南》等办法条例陆续出台，在相关行业和领域不断细化，网络安全法律体系逐步完善。

三是网络安全标准化工作不断取得突破。2016年8月，中央网信办联合国家质检总局与国家標准化委员会联合发布了《关于加强网络安全标准化工作的若干意见》，从七个方面对网络安全标准工作进行指导。《网络安全法》强调“建立和完善网络安全标准体系”，全国信息安全标准化技术委员会围绕基础、技术、管理、测评等，组织制定了一系列网络安全的国家标准，已累计发布300余项，并持续开展宣贯工作。

（二）产业发展情况

一是我国网络安全产业总体保持增长态势。据中国信息通信研究院测算，2022年我国网络安全产业保持高速增长，产业规模约为2169.9亿元，2016—2022年中国网络安全行业规模的年均复合增长率为14.2%。

工业和信息化部在《网络安全产业高质量发展三年行动计划（2021—2023年）（征求意见稿）》中明确提出，2023年我国网络安全产业规模超过2500亿元。“十四五”时期，我国网络安全产品体系进一步完善，服务创新能力显著增强，安全内需市场持续扩大。

二是产业发展呈现新形势新变化。网络安全风险由传统领域扩展到经济社会的方方面面，网络安全的破坏和影响大幅增加。从国际趋势来看，要加强网络安全产业体系建设，成为积极维护国家利益的关键所在。从国内进展来看，要坚守合规基线和加强平台建设，成为需求延伸和赋能输出的创新方向。

三是网络安全人才培养协同发力。党的十八大以来，网络安全系列政策加快推动了网络安全人才培养进程，持续健全网络安全人才的培养与实践。在学科建设方面，2016年7月，中央网信办、国家发展改革委等6部门联合印发《关于加强网络安全学科建设和人才培养的意见》，加快网络安全学科专业和院系建设。根据2022年《网络安全产业人才发展报告》数据显示，截至2022年7月底，全国共有500余所本科和高职院校开设网络安全专业。2022年7月，在中央网信办指导下，网络安全学院学生创新资助计划正式启动。

在活动宣贯方面，中央网信办等举办国家网络安全宣传周活动，组织相关部门、高校研所、企业协会等开展多样式的网络安全竞赛活动，“网鼎杯” “强网杯”“长城杯”“蓝桥杯”等活动突出实战演练、网络靶场、产品测试、人才交流，奇安信、永信至诚等企业积极参与、强化支撑，对于提升网络安全意识、促进技术交流、培养实践人才等发挥了重要的推动作用。

（三）各地方实践进展

党的十八大以来，我国网络安全保障能力进一步巩固加强。全国各地扎实推进网络安全发展，取得显著成效。

一是制定网络安全地方规划。北京、上海、天津、广东、海南等地分别出台了《关于加快推进国家网络安全产业园区（通州园）产业发展若干措施（试行）》《上海市建设网络安全产业创新高地行动计划（2021-2023年）》《天津市数据安全管理办法（暂行）》《广东省公共数据安全管理规定》《海南省“十四五”网络安全专项规划》等政策文件，对各省市的网络安全进行规划部署，网络安全政策支撑体系日趋完善。

二是重视网络安全产业特色发展。北京市国家网络安全产业园区重点推动了网络安全高端产业集聚发展。武汉市国家网络安全基地构建了优势突出的网安产业生态，推进网络安全领域的发展和产业的壮大。2022年5月，川渝地区获批“国家网络安全产业园区”，共引进300多家网络安全企业，形成了技术研发、成果转化和运营服务的产业体系。

三是网络安全头部企业积极创新。奇安信以“数据驱动安全”为技术指引，研发了新一代网络空间安全态势感知与协调指挥平台。360数字安全大脑全面扫描资产漏洞，构建终端、云端协同响应机制和APT防护、勒索防护专项工作平台。

三、网络安全面临的挑战

（一）数字时代突破网络安全的传统性

数字时代的网络安全，在内涵和外延上不断变化，传统的网络安全防护已经逐渐失效。一是传统的网络边界变化。传统的网络安全以边界防护为主，依靠防火墙、入侵检测、VPN和运维安全审计等系列安全产品的集成化部署来实现，随着网络安全外延的不断扩大，传统的物理边界逐渐的消失，与虚拟边界进行融合。二是传统的IT架构变化。云计算、人工智能、物联网等新一代信息技术的深化应用，促使原有的IT架构发生变化，逐渐过渡为按需扩展、柔性管控、智能调度等特征的平台环境，全方位的网络安全服务越来越成为主流趋势。三是传统的防护位势变化。随着产业数字化进程的推进，企业的生产、研发、制造等环节的网络安全事件频发，网络安全也逐渐从IT的网络防护深入到与OT的安全防护进行融合，传统的网络安全防护位势不断提升和深化，成为数字安全的底座。

根据以色列Check Point软件技术公司《2023云安全报告》调查显示，2022年基于云的网络攻击同比增长48%。据报道，2022年澳大利亚最大的健康保险公司之一Medibank遭遇数据泄露，黑客通过入侵该公司基于云计算的数据网络来窃取客户信息。根据Fortinet《2022年全球运营技术与网络安全态势报告》数据显示，OT环境仍然是网络犯罪分子重要的攻击目标，93%的OT组织曾在过去一年内至少经历过一次威胁入侵，而遭受三次以上威胁入侵的组织仍然高达78%。

（二）数字时代引发网络安全的复杂性

数字时代的网络安全，在影响复杂性上逐渐扩大，从信息系统延展到经济社会。一是攻击自动化提升防护难度。随着数字技术的不断提升和社会工程学的运用，促使了网络攻击工具的自动化，投入低成效大、攻击易防护难等特点，攻防不对等大幅度提升了防护难度。二是勒索攻击中断业务运行。近年来，针对企业的勒索攻击成为一些黑客或者非法组织的目标，从高额赎金的利益驱动到中断企业的业务运行，尤其是对一些企业数字化过程中，网络安全防护的滞后性可能导致了企业的数字资产成为重灾区。三是攻击“关基”影响经济社会。关键信息基础设施是指面向公众提供网络信息服务或支撑重要行业运行的信息系统或工业控制系统，例如能源、金融、交通等系统平台一旦发生网络安全事故，不仅会影响社会稳定和公众生活，而且严重影响经济社会运行。

IDC有关报告显示，2022年全球35%的组织经历了3～4起勒索软件事件。2021年，挪威能源及基础设施技术方案供应商Volue公司遭受勒索软件攻击，并关闭了挪威200座城市的供水相关系统，影响了全国85%的居民。2022年12月，据美国一份联合安全公告中披露，Cuba勒索软件团伙针对美国的金融服务、政府设施、医疗保健和公共卫生、关键制造和信息技术等关键基础设施领域进行多次攻击。2023年7月，据日本时报报道，勒索软件针对日本名古屋港发动了攻击，导致该港口的货柜调度系统暂停运作一天，影响全国各地的货物运输。

（三）数字时代催生网络安全的演进性

在新兴技术、新兴领域持续融合应用中，数字时代的网络安全不断演进和变化。一是数字技术的持续融合。新一代数字技术的持续涌现，量子计算、人工智能、区块链等不断与网络攻击技术进行融合，衍生了许多新型网络攻击手段。二是新兴领域的广泛应用。网联汽车、工业互聯网、能源互联网等新兴领域，在数字化进程中网络安全问题日趋严重，尤其是一些供应链成为网络攻击的重点。三是开源平台的安全风险。随着开源组件的增多，基于开源平台、计算框架的开发应用随之增加，存在架构不同、版本多样、接口不统一等特点，可能产生的算法漏洞、安全风险等的几率也随之增大。

Gartner预测，到2025年，全球45%的组织将遭受一次或多次软件供应链攻击。根据Upstream 2022年全球汽车网络安全报告，从2010年至2021年间，攻击者对智能网联汽车最常见的攻击载体有11种，且大多为黑客攻击，仅2021年，黑客攻击所占比例高达56.9%。根据中国信通院面向工业互联网设备的安全能力评测数据，70%的工业防火墙存在针对工业协议的解析深度不够，行业专业能力不足等问题，大大降低了攻击门槛，网络安全威胁持续增加。2021年12月，开源组件Apache Log4j2被发现存在远程代码执行高危漏洞。从2021年到2022年初，黑客组织分别对代码管理平台SonarQube、Gitblit、Gogs等进行了攻击，主要利用平台的未授权访问漏洞实现入侵。

四、有关建议

（一）加速完善政策措施，筑牢网络安全坚实防线

不断完善网络安全法规制度、标准体系等，加强合规建设工作，不断增强保障体系与能力，筑牢网络安全坚实防线。

一是健全网络安全法律法规基础。进一步落实和细化《网络安全法》《数据安全法》等法规条例，在重点行业、关键领域、典型场景等开展合规性建设，构建网络安全的基线标准、法律责任和综合防护，为网络安全治理筑牢法律基础。

二是加强网络安全制度顶层设计。加强对网络安全工作的统筹规划，将网络安全相关法规、制度等纳入到各级政府的制度建设中，坚持信息化建设中网络安全的三同步原则，将技术体系、管理体系、运维体系、组织协调、评估考核等进行有机协同，持续完善制度体系的顶层设计。

三是完善网络安全标准体系。加快推进网络安全、数据安全、人工智能安全等方面的系列标准研究制定；强化车联网、工业互联网、能源互联网等新兴领域的网络安全标准制定，加强安全事件管理、威胁情报共享、态势感知等标准修订工作，积极参与网络安全国际标准的相关制定工作。

（二）建立健全防护体系，提升网络安全防护能力

坚持整体防护的原则和理念，构建系统化防护体系，立足重点目标、场景化需求来提升网络安全防护能力。

一是建立系统化防护体系。坚持平台化管理，建设网络化、数字化、智能化的网络安全平台；建立跨部门、跨业务、跨系统的网络安全协同机制，健全协同监测、共享通报的常态化机制；构建闭环的网络安全联动机制，提升规范建设、安全测试、风险评估、威胁预警和应急响应的综合防护能力。

二是聚焦重点防护目标。聚焦政务、交通、金融、能源等关键信息基础设施的网络安全防护，完善重点行业网络安全、数据安全防护态势感知体系，加强网络安全的风险识别，建立网络安全复合型的专家团队，强化对网络安全事件工作预案的针对性指导，以及对网络安全事件应急响应的时效性。

三是提升场景化防护水平。针对区域级、行业级、城市级等典型场景的网络安全与数据安全防护需求，制定网络安全防护方案，持续加强网络安全的风险防控与攻防演练，开展对零信任、可信计算、主动防御等网络安全架构的部署与测试，提升新兴技术的应用适配性。

（三）推动产业发展壮大，优化产业整体布局水平

加快推进网络安全产业的高质量发展，培育开放创新产业生态，提升网络安全服务能力，紧抓网络安全人才培养，持续筑牢网络安全的基石。

一是培育开放创新的网络安全产业生态。联合产学研建设技术研发、标准验证、成果转化等共性研发平台，推进创新能力共享、创新成果转化和产品测试应用；鼓励头部企业加强平台化、标准化的服务输出和赋能，助力网络安全产业链与价值链深化融合，积极探索网络安全服务与数字化转型、产业化升级等进行场景融合，拓展产品方案与服务模式。

二是促进网络安全服务高质量发展。引导网络安全产业规范发展，鼓励产学研协同合作开展网络安全服务标准化研究，组织制定网络安全行业标准及规范；加强网络安全意识宣传推广力度，提升网络安全企业及机构对于网络安全风险的认知；推动安全数据要素流动，积极探索网络安全保险服务市场，不断拓展网络安全服务模式。

三是健全网络安全人才培养体系。积极拓展层次化的网络安全教育体系，加强高校网络空间安全学院建设；充分依托网络安全宣传周，扩大网络安全的社会影响力；建立网络安全人才实训基地，定期举办高规格的技能比拼、网络攻防等竞赛活动，挖掘高端网络安全人才；鼓励网络安全企业与高校合作，建立一批创新合作、优势互补的网络安全技术试验与人才培养平台。

本研究受國家社科基金重大项目“国家关键信息基础设施系统安全协同防护体系研究”（19ZDA127）、国家社科基金一般项目“大规模社交网络中正负影响力竞争传播的量化计算及引导管控研究”（19BXW107）的资助。