2022年數字安全大事記

2022年是數世咨詢正式提出“數字安全”概念的第三個年頭，在三年的疫情期間，數字化辦公已成為白領工作者的常態，習總書記提出的“筑牢數字安全屏障”的指導思想在安全領域深入人心。為了記述數字安全領域發生的大事件以反映行業現狀與趨勢，數世咨詢于今日正式發布《2022年數字安全大事記》。

一、2022年度數字安全十大態勢

1、網絡對抗開始全面泛化

從俄烏戰爭進程來看，網絡戰作為現代戰爭中的一種新型攻擊力量，開始走向前臺。隨著全球網絡化、數字化的普及大潮，信息基礎設施已經成為關鍵基礎設施，因此在戰爭中一定是重點攻擊對象。不僅如此，網絡攻防技術還廣泛用于竊取商業機密、切斷生產供應的貿易戰，用于操縱輿情民意、影響意識形態的文化戰。數字安全已經成為國家安全有機且重要的組成部分。

2、數據安全的重要性突顯

自2021年《數據安全法》頒布以來，各行業監管機構隨之也在出臺本領域的數據安全條例、辦法。關鍵基礎設施部門和企業，或計劃或已經設立數據安全部門或崗位。業界已經開始認識到，網絡安全是數據安全的基礎和重要手段，其最大價值與核心目的在于保障數據安全。

3、合規與創新的雙輪驅動

網絡安全行業發展了三十年，從計算機安全等級保護，到信息安全等級保護，再到網絡安全等級保護，充分體現出合規的第一驅動作用。但數字安全的復雜性和碎片性，只能依靠創新來引領和解決。數字安全行業的未來，一定是合規與創新雙輪驅動。

4、一體化解決方案的涌現

用戶開始擺脫安全產品的“最佳選擇”，轉向產品和供應商整合，集成多種具備某種共性產品的安全平臺，即基于平臺的一體化解決方案。如云原生應用保護平臺CNAPP、安全可見性/優先級和驗證的SOPV、擴展檢測和響應XDR、零信任訪問架構ZTNA、安全訪問服務邊緣SASE，以及數世咨詢提出的持續應用安全CAS、數據訪問安全域DASS、一體化端點安全IES等。

5、安全運營成為業界共識

安全的動態性、伴生性、系統性和服務性，要求必須引入運營的方法論。用戶真正需要的是安全能力、安全效果的提升，而不是安全設備、軟件等產品的堆砌。具備一定信息化水平并擁有獨立安全團隊的用戶，已經開始落地安全運營。根據對甲乙雙方實際情況的調研，數世咨詢提出安全運營的五要素：工具、人、平臺、流程和管理。

6、網絡安全保險初現端倪

隨著工信部發布《關于促進網絡安全保險規范健康發展的意見（征求意見稿）》，網絡安全保險的概念在國內業已歷經九個年頭。各大保險公司已經開展相應試點業務，安全評估、安全服務+保險業務，以實現事前中后的網絡保障并減少經濟損失的模式，逐漸形成一條切實可行的道路。“有風險就會有保險，有網絡風險就會有網絡保險—數世咨詢。”

7、基于風險的產品待觀察

對于許多用戶來說，大多數漏洞都與自身沒有關系，所有的數字資產暴露面也不一定都是攻擊面，海量的警告等于沒有警告，絕大多數的安全分析人員都在疲于奔命。這些實際情況，決定了基于風險角度來做安全的必要性。但目前，國內絕大多數安全廠商的產品并未達到這一要求，大多停留在理念的層面，實際應用效果有待觀察。

8、數字安全能力呈階梯狀

國內用戶的數字安全能力呈階梯狀。既有豐足的安全預算投入、全套的安全工具和豪華安全團隊的超大型企業，也有無預算、無工具、無人員的三無用戶。究其原因，中國各地區的經濟發展水平差異較大，信息化、數字化程度也參差不齊，數字安全的水平或能力自然也是高低不等。但這種階梯狀，意味著國內不僅有創新安全產品的發展空間，還會有對傳統安全產品的大量需求。

9、警惕供需不匹配的可能

2022年，整個安全行業的凈利潤繼續下降，甚至有可能出現負利潤。許多企業的研發投入、業務活動以及人員數量都在收縮。但明年政企的安全預算有明顯增加的趨勢，因此在技術、產品和服務的購買、部署、交付和維護方面，有可能出現供需能力不匹配的現象。

10、2022年突破千億市場

據數世咨詢的年度統計，數字安全市場2020年達到歷史增長記錄29.9%，但在2021年增長率下降為18.6%。原因在于2021年政府的安全投入大幅度下降，而2022年不僅政府，央企的預算也在收縮。因此，2022年的增長率會進一步下降，預計約在11%左右。但即使以10%的增長率估計，2022年數字安全市場規模也將歷史性的步入千億市場。

二、數據泄露與網絡攻擊篇

1、重要結論

● 2022年是數世咨詢核心成員撰寫大事記八年來，首次出現數據泄漏事件在統計數量、規模，以及影響程度上均有所下降的趨勢。可能的原因有二，一是安全意識和防護措施普遍提高，不容易發生巨大規模的泄露事件。二是數據泄露已是常態，難以引起更多人的關注。

● 和往年類似，數據庫的配置錯誤（無意）、勒索軟件和針對性的網絡攻擊，仍是數據泄露的三大主要原因。但配置錯誤的事件數量有所下降，勒索軟件由過去純粹的加密勒索轉變成盜竊數據，然后勒索贖金或暗網售賣的事件明顯增多。

● 2022年，與國家政治相關的攻擊活動激增，尤其是以俄烏戰爭、伊朗和以色列兩國沖突相關的網絡攻擊為典型代表。

● 攻擊造成的影響主要有兩大類，一是造成生產制造業、醫療教育、政府事務類的業務中斷。二是直接盜取數字資產。據網絡安全公司的統計，2022年黑客攻擊竊取的加密貨幣價值約43億美元，比2021年同期增長37%。

2、2022年度十大數據泄漏事件

1月，美國佛羅里達醫院通知130萬名患者發生數據泄露事件，泄露的信息包括姓名、地址、電話號碼外、社會安全號碼、銀行賬戶信息和病歷。

1月，紅十字國際委員會聲稱，其某托管服務器被入侵，該服務器存儲著因沖突、移民和災難而與家人失散的、失蹤人員，及其家人和被拘留者信息，共51.5萬人。

3月，信用報告公司TransUnion的服務器遭入侵，涉及5400 萬南非公民的信息，其中包括2400萬南非人的信貸信用數據。黑客要求支付1500萬美元的贖金。

5月，一個包含 2100 萬用戶個人詳細信息和登錄憑據的數據庫在Telegram群組中泄露。該數據庫上一年曾在暗網上出售，但現在可以在Telegram上免費獲得。

6月30日，某地下論壇公開出售包含有十億中國居民信息的數據庫，包括姓名、地址、出生地、身份證、手機號及相關犯罪/案件記錄。

8月，某地下論壇以4000美元的價格出售包含4850萬用戶的隨申碼數據庫，并公開了其中一些數據樣本。包含用戶姓名、手機號碼、身份證號、隨申碼顏色、UUID等。

8月，研究人員發現印度聯邦警察的金融欺詐調查記錄和其他敏感數據在云上暴露，包括姓名、余額、帳號、交易金額、目的地和印度中央情報局處理的案件等信息，共約3.35 億條記錄。

9月，威脅情報公司SOCRadar通報微軟，由于Azure中存儲數據庫的配置錯誤，導致數據泄露，涉及111個國家/地區約6.5萬個實體，是近年來最大的B2B泄漏之一。

11月，一個包含4.87億WhatsApp用戶手機號碼的數據庫在地下論壇出售，該數據集來自超過84個國家的WhatsApp用戶的信息。

12月，蔚來汽車發布公告稱，黑客以信息泄露為名勒索225萬美元價值等額的比特幣。經初步調查，蔚來汽車2021年8月之前的百萬條用戶基本信息和車輛銷售信息遭竊。

3、2022年度十大網絡攻擊事件

1月，一個名為“網絡游擊隊”的黑客組織用勒索軟件加密了白俄羅斯鐵路網絡的“一些服務器、數據庫和工作站”，但并未主動破壞“自動化和安全系統”的運行以避免緊急情況。黑客要求“釋放需要醫療援助的50名政治犯”。

2月，由于一個智能合約漏洞，加密貨幣平臺Wormhole被攻擊者竊取了價值3.2億美元的以太幣。事后，Wormhole發布通告，希望能用1000萬美元的漏洞賞金換取被盜的以太幣。

2月，烏克蘭軍方和金融機構被DDoS攻擊，國防部和一些軍事基地的網站，以及兩家最大的銀行網站宕機。

2月，愛爾蘭衛生服務首席信息官在一封信中表示，2021年勒索軟件Conti導致該國醫療系統中斷數周，新冠疫苗門戶網站被關閉，數十項門診服務被取消，預計恢復系統的最終成本將超過1億美元。

3月，日本汽車巨頭豐田表示，由于受到“某種網絡攻擊”，導致供應商系統故障及生產控制系統出現問題，決定暫停其在日本14家工廠的所有28條生產線的生產。

3月，區塊鏈平臺Ronin遭網絡入侵，攻擊者從其平臺上提走總價值約6.15億美元的以太幣和穩定幣，堪稱有史以來加密貨幣最大的網絡攻擊事件。

6月，在圣彼得堡舉行的俄羅斯經濟論壇上，由于其在線直播系統遭受DDoS攻擊，導致總統普京的講話被推遲了約100分鐘。

6月，中國西北工業大學發布聲明遭網絡入侵，經國家計算機病毒應急處理中心和360的調查分析發現，美國國家安全局“特定入侵行動辦公室”，在數年的時間里針對西北工業大學發動了上千次網絡攻擊，長期竊密并將信息打包加密后回傳至美國國家安全局總部。

8月，谷歌聲稱阻止了有史以來最大的基于HTTPS的DDoS攻擊，該攻擊的峰值達到每秒4600萬個請求(RPS)。在兩個月前Cloudflare披露了一次史上規模最大的DDoS攻擊，攻擊流量來自全球132個國家的5256個源IP。

10月，近日，黑客利用跨鏈橋的合約漏洞入侵了加密交易所幣安旗下的BNB Chain，通過增發BNB（幣安幣）的方式分兩次共獲取200萬枚BNB，共計價值約5.66億美元。

三、漏洞篇

1、重要結論

● 漏洞數量持續上升，并在可預期的未來看不到減緩的趨勢。本質原因在于，數字化系統（如硬件、設備、軟件、應用、數據等）的規模和復雜程度激增，而數字安全意識、技術、產品、服務滯后于數字化的發展。

● 某廠商或某產品的漏洞數量，主要取決于應用規模，即漏洞數量與應用規模呈正比。其原因在于，漏洞數量的多少在于有多少人去“挖掘”（發現）漏洞。“理論上，漏洞永遠存在。甚至可以說，功能即漏洞——數世咨詢”。

2、漏洞情況綜述

截止到目前（12月29日）為止，CNNVD（國家信息安全漏洞庫），2022年總漏洞數為24644個，同比去年增長了約17.42%。截止12月26日，NVD共發布漏洞數量24731個，較去年同期增長18.49%。

2022年CNVD的漏洞分布顯示排名第一的漏洞類型為“設計錯誤”，占比68.0%，再次為“輸入驗證錯誤”，占比27.5%。 

2022年VULHUB開源網站威脅庫收錄的總漏洞數為27193，同比去年增長了約16.69%。其中嚴重漏洞3389個，高危漏洞7754個，中危漏洞7735個，低危漏洞403個。

 VULHUB采用CWE作為漏洞分類標準，其中排名前10的漏洞類型分別為：在Web頁面生成時對輸入的轉義處理不恰當（CWE-79），內存緩沖區邊界內操作的限制不恰當（CWE-119），輸入驗證不恰當（CWE-20），信息暴露（CWE-200），SQL命令中使用的特殊元素轉義處理不恰當（CWE-89），權限、特權與訪問控制（CWE-264），跨界內存寫（CWE-787），對路徑名的限制不恰當（CWE-22），跨界內存讀（CWE-125），跨站請求偽造（CWE-352）。（注：漏洞分析數據由丈八網安提供）

截止2022年，據VULHUB統計，歷史累計漏洞最多的廠商如下：

微軟（9286）

甲骨文（8738）

谷歌（8233）

惠普（6399）

蘋果（5836）

IBM（5820）

思科（4492）

紅帽（4282）

Fedora Project（4018）

Mozilla（2351）

阿帕奇（1881）

Joomla（820）

2022年度漏洞最多的廠商如下：

谷歌（1190）

微軟（943）

甲骨文（471）

蘋果（448）

思科（222）

阿帕奇（172）

IBM（162）

紅帽（148）

惠普（123）

Adobe（79）

截止2022年，歷史累計漏洞最多的操作系統及瀏覽器如下：

Android（7134）

Debian（6824）

macOS（5112）

Windows XP（3754）

Ubuntu（3352）

Windows10（3021）

Windows Server 2008（2794）

Chrome（2653）

Windows7（2298）

Windows8.1（2214）

Firefox（2043）

2022年度漏洞最多的操作系統及瀏覽器如下

Android（807）

Windows10 （525）

Debian （520）

macOS （442）

Windows7 （315）

Chrome （288）

Linux Kernel（246）

iOS （146）

Ubuntu （9個）

由于2022年12月重大漏洞頻發，截止2022年12月26日，VULHUB通過對近期漏洞風險狀況進行綜合評估計算得出當前的漏洞風險指數為“危急”。 

3、2022年度十大利用率最高漏洞

1、Log4shell（CVE-2021-44228）[CVSS V3:10.0]

2、Spring4Shell（CVE-2022-22965）[CVSS V3:9.8]

3、F5 BIG-IP（CVE-2022-1388）[CVSS V3:9.8]

4、Atlassian Confluence RCE漏洞（CVE-2022-26134）[CVSS V3:9.8]

5、Zyxel RCE漏洞（CVE-2022-30525）[CVSS V3:9.8]

6、Zimbra協作套件漏洞（CVE-2022-27925、CVE-2022-41352）[CVSS V3:分別為7.2和9.8]

7、ProxyNotShell（CVE-2022-41082、CVE-2022-41040）[CVSS V3:均為8.8]

8、谷歌Chrome零日漏洞（CVE-2022-0609）[CVSS V3:8.8]

9、Follina（CVE-2022-30190）[CVSS V3:7.8]

10、微軟Office漏洞（CVE-2017-11882）[CVSS V3:7.8]

（注：漏洞排名依照Vulhub CVSS分值排序，數據由蛇矛實驗室提供）

四、事件處罰篇

1、重要結論

● 2022年數字安全處罰的大事件，幾乎全部為數據安全相關。或因數據泄露，或因個人隱私。“網絡安全只是手段，數據安全才是目的--數世咨詢”。

● 據數世咨詢依據公開的處罰事件統計，2022年的處罰金額高達80億美元，約560億元人民幣。被處罰方絕大多數為互聯網巨頭，即擁有大數據并因此而成長為超大規模的企業。

2、2022年度數字安全十大處罰事件

1月，法國數據保護監管機構國家信息與自由委員會對Facebook和谷歌分別處以1.5億歐元和6000萬歐元的罰款，因為兩家互聯網巨頭違反了歐盟的隱私規定，未能為用戶提供拒絕cookie跟蹤的簡單選項。

5月，美國弗吉尼亞州費爾法克斯法院判決云服務商Pegasystems支持23億美元的賠償金，因其在八年內使用包括各種手段竊取競爭對手Appian的商業數據。Pegasystems表示將對裁決提出上訴。

5月，哥倫比亞特區總檢察長起訴Meta首席執行官馬克?扎克伯格，對“劍橋分析”事件承擔個人責任。該起事件侵犯了8700萬Facebook用戶的個人隱私，用于影響2016年的總統大選。2020年，Facebook與美國聯邦貿易委員會就此事達成50億美元的和解協議。

5月，社交平臺Twitter同意向美國聯邦貿易委員會支付1.5億美元的罰金，因其未經同意利用平臺采集的用戶數據投放廣告。

7月，美國電信運營商T-Mobile US因網絡犯罪分子盜竊其7700萬的客戶數據并在地下論壇上出售一事，同意支付約4億美元的法律費用及集體訴訟賠償，外加1.5億美元的增量支出，投入到數據安全相關技術。

7月21日，國家互聯網信息辦公室依據《網絡安全法》、《數據安全法》、《個人信息保護法》、《行政處罰法》等法律法規，對網約車平臺滴滴處以80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處100萬元罰款。

9月，美國證券交易委員會華爾街16家銀行和券商處以18億美元的罰款，因其員工使用即時通訊工具作為未經授權的通信渠道討論工作，而且并未留存這些信息。

11月，谷歌同意與美國40個州達成3.915億美元的和解協議，以解決對該公司跟蹤用戶位置的法律調查。

12月，美國聯邦貿易委員會宣布向Fortnite游戲開發商Epic Games收取5.2億美元的和解費用，因其涉嫌違反《兒童在線隱私保護法》。

12月，Meta同意支付7.25億美元來解決一項長期訴訟，該訴訟指控社交網絡Facebook允許包括劍橋分析在內的第三方，訪問用戶私人數據。

五、技術產品與資本市場篇

1、重要結論

● 工業互聯網安全、數據安全、開發安全、零信任、威脅檢測與響應依然是融資額度排在前十的技術領域。云安全雖然跌出前十，但上述所有領域都與云相關。目前來看，云安全的傳統技術格局已定，但云原生安全技術尚處于早期發展階段。 

● 受疫情之下的全球經濟影響，2022年數字安全行業一、二級資本市場活躍度均大幅下降。尤其是以科技創新為標桿的納斯達克證券交易所，無一家新上市的數字安全企業。收并購事件的規模和數量也均有所下降。

● 國外私募股權公司發起的收并購，是數字安全企業，除上市之外能得到的最重要資本及管理支持。2022年Thoma Bravo先后三次收購安全廠商，總金額超過120億美元。而在2021年，Thoma Bravo還以123億美元的價格收購了Proofpoint。

2、技術產品

在2021年12月數世咨詢首次推出的“數字安全能力圖譜”的基礎上，經過一年時間的大量交流溝通、深度思考與修改迭代。

能力圖譜的基礎架構源自圍繞“數據安全”為核心價值的“網絡安全三元論“，兩者的結合即“數字安全模型”。

“以網絡安全為基礎手段，以數據安全為核心目的，就構成了數字安全的概念。”——數世咨詢

從信息技術、業務應用與網絡攻防三大支點和位于中心的數據安全共四大維度出發，能力圖譜劃分出八大方向。每個方向又包含各自一級或子級的細分領域。 

根據“專精特新”的技術先進性和落地可行性，數世咨詢提出：

2022年度數字安全十大創新項目

1、一體化端點安全(IES)—典型廠商：360數字安全

2、應用檢測與響應(ADR)—典型廠商：邊界無限

3、數據訪問安全域(DASS)—典型廠商：一知安全

4、持續應用安全(CAS)—典型廠商：比瓴科技

5、攻擊面收斂(ASC)—典型廠商：華云安

6、標準化檢測與響應(SDAR)—典型廠商：蘭云科技

7、安全托管運營(MSO)—典型廠商：安恒信息

8、擴展數據防泄露(XDLP)—典型廠商：天空衛士

9、數據治理安全平臺(DGS)—典型廠商：霍因科技

10、安全有效性驗證(SEV)—典型廠商：知其安

3、資本市場

據數世咨詢統計，2022年國內數字安全融資將近百余筆，與2021年相比下降45%。股權投資總額約70億元，與2021年相比下降56%。

（數世咨詢供圖，轉載請注明來源） 

（數世咨詢供圖，轉載請注明來源）

海外資本市場方面，融資次數217筆，與2021年相比略增8%。股權融資總額約為114.53美元，與2021年相比下降34%。 

（數世咨詢供圖，轉載請注明來源）

（數世咨詢供圖，轉載請注明來源）

2022年度數字安全十大收購事件

1、Thoma Bravo收購身份安全廠商SailPoint，69億美元

2、Kaseya收購安全托管廠商Datto，62億美元

3、谷歌收購威脅響應廠商曼迪安特，54億美元

4、Vista Equity Partners收購安全意識與培訓公司KnowBe4，46億美元

5、Carlyle收購美國國防承包商ManTech，42億美元

6、KRR收購辦公安全與應用安全廠商梭子魚，40億美元

7、Thoma Bravo收購身份安全廠商Ping Identity，28億美元

8、Thoma Bravo收購身份安全廠商ForgeRock，23億美元

9、SentinelOne收購欺騙防御廠商Attivo Networks，6.17億美元

10、Turn/River Capital收購安全策略管理廠商Tufin，5.7億美元

六、國家安全與法規政策篇

1、重要結論

● 俄羅斯與烏克蘭戰爭相關的網絡戰，是2022年影響面最廣、影響力最大的國家網絡安全事件。網絡戰，從之前大多為隱性的活動開始走向前臺，公開化，作為現代戰爭中的一種新型攻擊力量，其重要性愈加明顯。

● 隨著全球網絡化、數字化的普及大潮，網絡攻防技術不僅用于軍事戰爭，還廣泛用于竊取商業機密、切斷生產供應的貿易戰，用于操縱輿情民意、影響意識形態的文化戰。數字安全/網絡安全，已經成為國家安全的有機且重要的組成部分。

● 數據安全與軟件供應鏈安全為近幾年國內外法規政策發布的密集區，除此之外，美國的法規政策還涉及到了零信任、5G安全、IPV6安全、后量子密碼等新興、前沿安全領域。

2、2022年度國家級網絡安全十件大事

1月，美國總統拜登發布國家安全備忘錄，其中包含新的網絡安全要求，確保國家敏感系統采取更嚴格的網絡安全措施。強調了“網絡衛生和保護措施、網絡事件上報、建立約束性的運營指令、列出跨域解決方案的清單”等四個安全增強領域。

4月，五眼國家（美國、澳大利亞、加拿大、新西蘭、英國）的網絡安全機構發布了一份聯合網絡安全通告。概述了俄羅斯國家資助的APT組織、與俄羅斯結盟的網絡威脅團體，提出了加強網絡防御和緩解措施的建議。

5月，俄羅斯總統普京簽署了確保俄羅斯信息安全額外措施的總統令，要求在每個部門、機構和骨干組織里設立IT安全部門。從2025年1月1日起，俄羅斯國有企業和機構禁止使用不友好國家生產的信息安全設備。

5月4日，美國總統拜登發布兩項指令，旨在確保美國和其盟友在量子計算領域保持領先于其他對手國家。第一項指令是行政命令，即建立由26名專家組成的國家量子計劃咨詢委員會，專家全部由總統任命。另一項指令是一份備忘錄，旨在促進美國在量子計算領域的領導地位，同時降低加密系統被破解的風險。

5月，哥斯達黎加總統羅德里戈?查韋斯宣布，勒索軟件團伙Conti針對該國的攻擊事件升級，“處于戰爭狀態，這并不夸張”。不僅無法開展征稅工作，因為海關系統被破壞，國際貿易也受到嚴重影響。Conti聲稱，如果不支付2000萬美元的贖金，將“通過網絡攻擊推翻政府”。

9月5日，國家計算機病毒應急處理中心和360公司分別發布了關于西北工業大學遭受美國國家安全局網絡攻擊的調查報告，美國國家安全局下屬的特定入侵行動辦公室(TAO)使用了40余種網絡攻擊武器，長達數年對西北工業大學進行網絡攻擊，竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。

9月，阿爾巴尼亞總理埃迪?拉馬宣布斷絕與伊朗的外交關系，并命令伊朗外交官在24小時內離開。因伊朗在今年7月份的網絡攻擊，造成公共服務癱瘓，擦除入侵記錄，竊取政府內網電子通信，并引發國內的混亂。

11月，美國聯邦通信委員會宣布禁止進口或銷售被認為“對國家安全構成不可接受的風險”的通信設備，其中包括了兩家中國公司華為和中興。早在2019年，美國就將華為列入貿易黑名單，之前還以國家安全為由，限制中國三大運營商開展電信業務。

11月，烏克蘭總統沃洛德米爾?澤倫斯基在G20峰會的小組會議上發表講話，向G20盟國提供俄烏戰爭中的網絡防護經驗。澤倫斯基表示，烏克蘭的“IT軍隊”由來自全國各地的企業人才組成。自開戰以來，已成功阻止了1300多次俄羅斯支持的網絡攻擊。

12月，眾議院和參議院撥款委員會同意了一項1.7萬億美元的綜合支出法案，該法案中數十次提到網絡安全，強調了聯邦政府的常規網絡安全支出。其中，為網絡安全和基礎設施安全局撥款29億美元，較2022財年高出12%，比總統2022年3月提出的預算要求高出3.964億美元。法案還禁止在聯邦行政機構的手機上使用TikTok，以及限制這些機構采購中國、朝鮮和伊朗的生物科技及數字、通信和網絡產品。

3、2022年度國內數字安全十大法規政策

2月15日，由國家互聯網信息辦公室等13家部委聯合公布的《網絡安全審查辦法》正式施行。《辦法》將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍，并明確要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查。

5月，國家互聯網信息辦公室審議通過并發布《數據出境安全評估辦法》，自2022年9月1日起施行。《辦法》規定了數據出境安全評估的范圍、條件和程序，為數據出境安全評估工作提供了具體指引。《辦法》明確，數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估適用本辦法。提出數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等原則。

6月，國家互聯網信息辦公室發布新修訂的《移動互聯網應用程序信息服務管理規定》。新《規定》共27條，包括信息內容主體責任、真實身份信息認證、分類管理、行業自律、社會監督及行政管理等條款。旨在進一步依法監管移動互聯網應用程序，促進應用程序信息服務健康有序發展。新《規定》于2022年8月1日起施行。

9月2日，十三屆全國人大常委會第三十六次會議表決通過了《中華人民共和國反電信網絡詐騙法》，自2022年12月1日起施行。該法共七章50條，堅持以人民為中心，統籌發展和安全，立足各環節、全鏈條防范治理電信網絡詐騙，精準發力，為反電信網絡詐騙工作提供有力法律支撐。

9月，為了規范和保障網信部門依法履行職責，保護公民、法人和其他組織的合法權益，維護國家安全和公共利益，國家互聯網信息辦公室對《互聯網信息內容管理行政執法程序規定》進行修訂，形成了《網信部門行政執法程序規定（征求意見稿）》，并面向社會公開征求意見。

9月，國家網信辦會同相關部門起草了《關于修改〈中華人民共和國網絡安全法〉的決定（征求意見稿）》（以下簡稱《網安法修訂稿》），并且公開征求意見。本次修改的四個主要點為：提高處罰力度且可按照營業額比例處罰；修改關鍵信息基礎設施安全保護的法律責任制度；調整了行政處罰幅度和從業禁止措施；原有關個人信息保護的法律責任修改為轉致性規定（個人信息保護法）；

11月，工業和信息化部發布《關于促進網絡安全保險規范健康發展的意見（征求意見稿）》，鼓勵保險公司面向不同行業場景的差異化網絡安全風險管理需求，開發多元化網絡安全保險產品。面向重點行業企業開發網絡安全財產損失險、責任險和綜合險等，提升企業網絡安全風險應對能力。

11月，國家能源局印發修訂后的《電力行業網絡安全管理辦法》（國能發安全規〔2022〕100號）。本次修訂根據國家法律法規和標準規范等，明確了行業部門監督管理職責和電力企業主體責任，強調了電力調度機構的技術監督職責，完善了關鍵信息基礎設施安全保護、網絡安全等級保護、數據安全、電力監控系統安全防護、密碼、網絡安全審查等內容。

12月，工業和信息化部印發《工業和信息化領域數據安全管理辦法（試行）》，《辦法》全面對接《數據安全法》要求，定位為工業和信息化領域數據安全管理的頂層設計，在工業和信息化領域對國家數據安全管理制度進行細化，為行業數據安全監管提供制度保障。《辦法》共八章四十二條，主要內容涵蓋法律適用、分類分級、重要數據與核心數據特殊保護、數據生命周期合規要求、數據安全認證與評估等。

12月，國務院公布《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》，意見全文提及“安全”48次、“數據安全”14次之多。“強化數據安全保障體系建設，把安全貫穿數據供給、流通、使用全過程，劃定監管底線和紅線。加強數據分類分級管理，把該管的管住、該放的放開，積極有效防范和化解各種數據風險，形成政府監管與市場自律、法治與行業自治協同、國內與國際統籌的數據要素治理結構。”

4、2022年度國外數字安全十大法規政策

1月，美國總統辦公室發布《行政部門與機構備忘錄》(M-22-09)，要求各聯邦機構轉向“零信任”戰略。各機構必須在2024財年結束之前實施該計劃中描述的許多措施，其中包括更嚴格的網絡分段、多因素身份驗證和廣泛的加密。

3月，美國國家安全局發布《網絡安全技術報告(CTR)：網絡基礎設施安全指南》。內容涵蓋網絡設計、口令管理、遠程登錄和管理、安全更新、密鑰交換算法以及NTP、SSH、HTTP 和SNMP等重要協議，以增強美國網絡系統抵御國家支持的網絡攻擊。

5月，美國總統拜批準簽署“優化網絡犯罪度量法案”(S.2629)。該法案從網絡犯罪分類、網絡犯罪報告、全國犯罪被害調查、網絡犯罪指標研究四大維度出發，改善了聯邦政府“追蹤、衡量、分析、起訴網絡犯罪的方式”，以幫助執法機構更好地識別網絡安全威脅、防范黑客勒索攻擊、起訴網絡犯罪案件。

5月，美國司法部公布《計算機欺詐和濫用法案》(CFAA)的修訂版，為正當工作的網絡安全研究人員（白帽子）明確了行為規定，防止某些情況下利用之前CFAA的法律條款來起訴這些善意的研究人員，以促進網絡安全的良性發展。

5月，美國商務部工業和安全局發布文件《信息安全控制：網絡安全物項》，提出了網絡安全領域的最新出口管制規定。新規要求，美國各實體在與D類（受限制的國家或地區）政府相關部門或個人進行合作時，如果發現安全漏洞和信息，不能直接公布，要先經商務部審核。如果是出于合法的網絡安全目的，如披露公共漏洞或安全事件響應，無需審核。

9月，美國總統辦公室發布《行政部門與機構備忘錄》(M-22-18)，概述了軟件供應鏈安全的指導方針，建議聯邦機構首席信息官要求供應商提供安全開發和軟件物料清單，并說明其產品符合NIST發布的供應鏈安全框架。

9月，歐盟公布最新的網絡安全基本要求提案《網絡彈性法案》，要求數字設備與軟件開發廠商證明產品滿足法案中的要求，所有出口歐洲的數字產品都必須提供安全保障、軟件物料清單、漏洞報告機制和為期五年的補丁更新。違反規定的企業將面臨最高1500萬歐元或全球營收2.5%的罰款。

9月，美國總統喬?拜登發布一項事關國家安全風險的行政命令，要求美國財政部外國投資委員會對外國在美投資和企業并購做出更嚴格和明確的審查，并再次提及“中國特別政策”。具體的審查領域內容涉及：一是取得美企控制權的交易，二是涉及美企芯片、半導體、飛機、航天、電子計算機等27個行業關鍵技術的投資。

9月，美國網絡安全和基礎設施安全局(CISA)發布《2023-2025年戰略計劃》，該計劃聚焦共同降低風險并建立國家關鍵基礎設施的網絡和物理威脅的韌性能力。該戰略計劃描述了四個遠大目標。其中三個目標側重于該機構將“如何”努力降低風險和建立韌性，第四個目標側重于確保CISA在執行戰略計劃方面處于有利地位。

12月，美國總統拜登簽署《量子計算網絡安全準備法案》(H.R.7535)，該法案有兩個主要組成部分。第一是管理和預算辦公室要在NIST發布新指南后的一年內“優先考慮”切換到PQC（后量子密碼）。第二是管理和預算辦公室要在法案簽署后一年內，向國會提交一份報告，概述其戰略，提出向量子安全系統過渡所需資金的需求，并詳細說明這一段時間內所做出的具體工作。

結語

新年新氣象。隨著疫情封控的結束，各類社會活動逐漸恢復，經濟發展趨勢開始向好。人類在遭遇了百年不遇的疫情時代之后，2023年很有可能成為承前啟后的拐點年。

回到數字安全領域，上有國家政府層面的政策推動，中有關鍵基礎設施的大量投入，下有數字經濟發展的強勁需求，在合規與創新的雙輪驅動和信創浪潮下，數字安全產業將重新回到快速增長的軌道。

自習總書記在2021年世界互聯網大會賀信中強調“筑牢數字安全屏障”以來，“數字安全”的概念已經深入人心。數字世界、數字時代，數字中國、數字經濟的健康良性發展，離不開“數字安全”的底座。為此，數世咨詢將2021年定義為數字安全的開啟元年，在2021年和2022年先后舉辦了兩屆“數字安全大會”，并將所有的年度重磅報告從“網絡安全”升級為“數字安全”。