2022年國家網絡安全總體態勢與風險評估 - 網安 - 專業的網絡安全產業、社區、知識平臺

2022 年，世界百年未有之大變局加速演進，世紀疫情影響深遠。在美西方持續加大對我國芯片產業打壓圍獵力度，國內重要行業、重點機構、“新基建”領域頻頻遭受境外網絡攻擊，數據安全事件高發頻發，在網絡謠言、網絡詐騙等違法犯罪行為增勢迅猛的背景下，我國網信事業發展面臨的形勢環境變化之快、矛盾風險挑戰之多、治“網”理政考驗之大前所未有。

一、2022 年我國網信領域面臨的主要風險

2022 年，國內網絡安全威脅事件加速攀升，嚴峻復雜程度異常突出，風險點主要表現在以下四個方面。

（一）科技霸凌愈演愈烈：美國對中國半導體產業的重拳政策是我國網信發展面臨的長期持久威脅

無論是特朗普政府，還是拜登時期，美國都強調對華采取科技霸凌的重拳政策，頻頻對我挑起科技爭端、祭出科技霸權主義大旗，利用拉攏盟友搞合圍、長臂管轄勒脖頸、構建排華硬規則等多重組合拳手段，對我國半導體產業的制造與發展進行出口限制、惡意打壓，竭力維護美國自身在高科技領域的世界霸權。在科技霸凌愈演愈烈的情況下，2022 年美國對我的動態趨勢主要呈現三大特征。

一是借政策審查、出口管制之名，行長臂管轄、技術封鎖之實。在打壓我國半導體產業方面，美國注重使用法律政策手段。2018 年 2 月，美國國會以立法形式增強了美國政府審查外國投資和國內資金外流的能力。同年生效的《出口管制改革法案》（ECRA）授權美國總統可以對新興和基礎技術制定全新的出口管制措施，使美政府可以隨意將半導體供應鏈與泛化后的“國家安全”概念掛鉤，成為打壓競爭對手的重要政策依據。2022 年 2 月，美國商務部工業與安全局則進一步擴大了《外國直接產品規則》（FDP Rule）的適用范圍。該規則作為美國法律的域外應用，允許美國政府行“世界警察”“長臂管轄”之實，對外國企業使用美國技術和設備生產相關產品出口到美國實體清單目錄國家的相關行為進行監督限制甚至制裁打壓。美國通過出口管制、長臂管轄等政策釋放的“寒蟬效應”，強迫盟友及世界其他國家在對中國半導體產業發展的“技術封鎖”上，必須惟“美”是從，亦步亦趨。

二是借集結盟友、以眾暴寡之機，行強權霸凌、數字鐵幕之實。在打壓競爭對手方面，美國慣常的手法就是拉幫結派、組建陣營。2022 年 3 月，美國提出了意欲拉攏日本、韓國和中國臺灣地區共同組建“芯片四方聯盟”的戰略構想。總體來看，當前美國在全球尖端芯片開發設計和專利技術方面保持關鍵優勢，日本是芯片制造關鍵化學品和相關材料設備的主要供應商；韓國和中國臺灣地區則在非存儲和存儲芯片的大規模生產制造方面國際領先。美國通過“芯片四方聯盟”搞所謂“小圈子”“小集團”，迫使全球相關國家和地區的主要芯片制造商在重要貿易伙伴中國和主要戰略盟友美國之間做出戰略選擇，利用強權綁架、利益綁架，實現對華技術打壓、技術遏制的戰略目的。

三是借資金投資、生產回流之名，行科技壁壘、卡脖斷供之實。2022 年 8 月，美國通過的《芯片與科學法案》表面上是為推動美國國內半導體生產和研發提供超過 527 億美元的資金投資，實際上是一部針對中國半導體產業發展打壓色彩十分濃厚的政治法案。該法案特別增加了針對中國的所謂“護欄規定”，禁止受資助實體在“對美國構成國家安全威脅的特定國家擴大或建設某些先進半導體制造能力”，要求拿美國法案補貼的相關晶圓廠 10 年內不得在中國新建或擴產先進于 28 納米制程以上的芯片，28 納米及以下成熟芯片制程產能的新建與擴產也被嚴格限制，這相當于直接讓世界芯片制造商在中美之間選邊站隊。同時，迫于美國政府壓力，2022 年以來，英特爾公司宣布將投資 200 億美元在美國本土俄亥俄州建廠；臺積電將斥資 120 億美元在亞利桑那州建廠；韓國三星將投資 170 億美元在得克薩斯州新建 5 納米晶圓代工廠。一方面，美國以芯片法案的巨額投資為誘餌，用“中國護欄”條款給全球主要芯片制造商戴上了“金箍”；另一方面，美國又施以政治強權、政治霸凌，迫使主要芯片廠商紛紛選“美”站隊，承諾赴美投資建廠，進而實現了對世界芯片供應鏈各主要環節的壟斷控制，極力打壓我國境內芯片企業的設計生產制造與發展。

（二）數據泄露來勢洶洶：重要數據被竊被泄的居高不下是我國網絡安全治理中的急難險重問題

2022 年，境外勢力、網絡黑客和不法分子對國內重要行業、關鍵領域和重點機構的網絡數據竊密行為既有以往的共性特點，也呈現全新的趨勢特征。

一是公民隱私數據是網絡竊密的“主攻地”。近年來，數據的商業價值被不斷深度挖掘，為了獲取數據背后高額的經濟利益，網絡黑客、不良應用軟件開發商等均將目光鎖定在公民個人隱私數據上。根據國內媒體的公開報道顯示，2022 年 8 月，網絡黑客就曾以 4000 美元價格在暗網論壇上兜售“上海隨申碼數據”，并聲稱已獲得 4850 萬“隨申碼”用戶的個人信息，包括用戶姓名、手機號、身份證號和“隨申碼”顏色等重要敏感數據。“隨申碼”是上海作為國際化大都市精細化、智能化管理的重要舉措之一，依托“隨申辦”App、支付寶小程序、微信小程序等，政府可以向上海市民提供多渠道的生活便利服務。然而，這些海量的隱私數據卻成為網絡不法分子的撈金對象之一。今后，隨著“數字中國”戰略的深入實施，一旦國內重要部門、重點行業、重要應用程序內部的公民隱私數據被不法分子非法竊取，可被境外勢力用于大數據深度萃取分析，或肆意炒作制造負面輿論影響，直接威脅我社會穩定和公民隱私安全。

二是生物醫療數據是境外竊密的“重災區”。2022 年，在我國疫情防控特殊時期，境外勢力伺機趁火打劫，進一步加大了對我國醫療行業，尤其是生物醫藥數據的網絡攻擊頻次和竊密力度。一方面，加大了對國內多家醫療機構內網數據庫的竊密行為，企圖獲取病人病情、藥品研制、藥品編碼、藥品數量等重要敏感信息；另一方面，還瞄準存儲公民生物醫療數據的國內重點應用程序開展持續攻擊。2022 年 4 月，在北京、上海新冠疫情防控的關鍵時期，北京健康寶就曾在使用高峰期遭受了境外網絡黑客攻擊。得益于國家技術保障支撐團隊的有效應對，北京健康寶服務未受到相關影響。但這樣重大的網絡安全突發事件一旦被境外勢力得逞，所帶來的數據安全威脅將難以估量。在疫情特殊時期，我國推出的健康碼大數據管理平臺在強化疫情防控、保障民生安全、推動健康出行等方面均發揮了重要作用。北京健康寶存儲著公民姓名、身份證號、聯系方式、家庭住址、人臉識別、核酸檢測、疫苗接種、健康風險、行程軌跡、來訪登記等重要敏感數據。在我國網絡安全處于并將長期處于戰略承壓期和高危風險期的大背景下，醫療數據、生物醫藥數據安全與否將直接影響國家生物安全、人民生命安全和公民隱私安全，其面臨的安全保障壓力和未知挑戰風險也將呈現指數級增長，總體形勢不容樂觀、安全防范刻不容緩。

三是“新基建”數據竊密敲響國家安全“新警鐘”。數字經濟時代，以 5G 網絡、工業互聯網、數據中心、城際高速鐵路和城市軌道交通等為代表的信息基礎設施、融合基礎設施和創新基礎設施三方面內容，共同構成當前新型基礎設施建設（簡稱“新基建”）的主要框架體系。“新基建”的本質是數字化，“新基建”領域的數據安全問題必然首當其沖、日益突出。2022 年 4 月，根據央廣網報道，國家安全機關成功破獲首例為境外刺探、非法提供我國高鐵重要敏感數據的情報案件。該案中，上海某信息科技公司非法對北京、上海等國內 16 個重點城市及相應的高鐵線路上的中國鐵路數據進行非法采集，其中就包括高鐵移動通信專網（GSM-R）敏感信號，該數據直接用于高鐵列車運行控制和行車調度指揮，承載著高鐵運行管理和指揮調度等各項重要指令，直接關乎我高鐵運行安全和旅客生命安全。在數字經濟時代，隨著“新基建”項目的大面積鋪開，境外勢力針對我國“新基建”領域敏感數據的竊密行為必將成為常態，數據安全將敲響國家安全的“新警鐘”，也將給社會經濟穩定運行埋下未知的風險隱患。

（三）網絡攻擊無孔不入：有國家背景、有組織的境外網絡攻擊是我國網絡安全面臨的現實緊迫威脅

2022 年，隨著網絡空間大國博弈較量的持續深入，美西方不斷加大對我國境內重要單位、重點目標等的網絡攻擊頻度與力度。

一是境外網絡攻擊呈現無差別化特征。當前，世界超級大國利用自身技術優勢成立國家級黑客組織，對他國開展網絡攻擊、網絡竊密等活動已屢見不鮮。3 月，國內 360 公司就曾披露具有美國國家安全局（NSA）背景的境外黑客組織 APT-C-40 對我國開展無差別網絡攻擊，攻擊行為極為隱蔽，持續長達十余年，目標對象涵蓋了我國黨政機關、科研院所、高等院校、醫療機構、行業龍頭企業，以及關乎國計民生的關鍵信息基礎設施運維單位等各行各業機構組織。

二是網絡攻擊目標鎖定科研重點單位。9 月，國家計算機病毒應急處理中心和 360 公司分別發布了關于西北工業大學遭受境外網絡攻擊的調查報告。調查顯示，美國國家安全局下屬的“特定入侵行動辦公室”（TAO），使用 40 余種網絡攻擊武器，對我國西北工業大學發起上千次的攻擊竊密行動，竊取了學校大量關鍵網絡設備配置、網管數據、運維數據等核心敏感信息。多年來，西北工業大學為我國培養了一大批軍工領域的頂尖技術人才，承擔了載人航天、探月工程等多項國家重大專項課題任務，美國機構的攻擊目的不言而喻。與此同時，調查中還發現，“特定入侵行動辦公室”對我國諸多網絡目標實施了上萬次的惡意網絡攻擊，控制了包括網絡服務器、上網終端、網絡交換機、路由器、防火墻等數以萬計的網絡設備，疑似竊取的高價值數據超過140GB。從近年網絡攻擊態勢看，境外國家級黑客組織的猖獗活動將愈發增多、愈演愈烈，我國網絡安全處于并將長期處于前所未有的戰略承壓期和高危風險期，這一特征在相當長一段時間內不會改變。

（四）網絡亂象惑民禍眾：網絡謠言和網絡詐騙是阻礙網絡空間清朗建設的亂象根本

2022 年，國內網絡空間亂象的整治壓力遠超以往。尤其是，網絡謠言和虛假信息以及網絡詐騙行為帶來的社會危害程度最為明顯。

一是網絡謠言和虛假信息是網絡治理的一大痼疾。隨著互聯網技術迭代和網絡新媒體、自媒體傳播的不斷加速，網絡謠言也以更加隱蔽、更為惡劣的新方式，不斷造謠傳謠各類虛假信息。根據中國互聯網聯合辟謠平臺的梳理數據分析顯示，2022 年國內網絡謠言和虛假信息主要集中在歪曲解讀國家政策內容、編造涉疫虛假信息、惡意拼湊剪輯視頻、虛構炒作社會事件等幾大方面。例如，1-11 月，境外勢力和不法分子陸續惡意虛假編造了“大陸將開放進口日本‘核食’”“首鋼滑雪大跳臺是核電站”“核酸檢測和抗原檢測的采樣棉簽有毒”“富士康鄭州科技園 726 房發生死亡事件”“長沙用集裝箱運送陽性患者”“庫爾勒在建 5 萬-10 萬人方艙”等網絡謠言和虛假信息。這些嚴重失實的虛假謠言被中央網信辦和中國互聯網聯合辟謠平臺作為網絡謠言典型案例列入辟謠榜，并造成危害國家安定、損害政府形象、加劇社會恐慌、擾亂社會秩序、損害公眾利益等后果，給網絡空間治理和網絡生態健康建設帶來巨大沖擊。

二是電信網絡詐騙是影響社會穩定的一大毒瘤。2022 年，電信網絡詐騙犯罪持續多發高發，犯罪分子利用網絡的虛擬性、匿名性特征，大肆從事網絡違法犯罪活動，手段日益復雜、新騙術層出不窮。在犯罪數量方面，據公安部數據顯示，截至 2022 年 11 月底，全國共破獲電信網絡詐騙案 39.1 萬起，同比上升 5.7%，抓獲犯罪嫌疑人數同比上升 64.4%。在犯罪形式方面，當前，電信網絡詐騙主要通過冒充公檢法機關、利用跨境電話、仿冒 App、誘導轉賬、發送涉詐網絡等形式展開。其中，利用 App 進行詐騙已成為當前電信網絡詐騙案中的主要犯罪手段之一，約占整體案發量的六成，具有很強的迷惑性和欺騙性，其對網絡空間和社會穩定的沖擊影響難以估量。

二、2022 年國家應對網信領域風險的主要舉措

針對我國網絡安全和信息化發展中遇到的新形勢新挑戰新問題，以習近平同志為核心的黨中央總攬全局、沉著應對、高瞻遠矚、把舵領航，黨的二十大站在推進國家安全體系和能力現代化的戰略高度，對完善國家網絡安全治理體系作出新的部署，縱深推進我國網信事業發展繁榮有序、穩步前行。

（一）以頂層規劃為引領，通過全局性戰略部署，統籌網信發展與安全

2022 年，為切實推動網信事業的安全繁榮發展，黨的二十大報告提出了“加快建設網絡強國、數字中國”“健全網絡綜合治理體系，推動形成良好網絡生態”“強化網絡、數據安全保障體系建設”等重要部署要求，首次以專章形式對“推進國家安全體系和能力現代化，堅決維護國家安全和社會穩定”進行全局部署，為今后國家網絡安全和信息化的發展定下了主旋律、主基調和最強音。

同時，黨中央的頂層規劃設計一直貫穿全年網信工作始終。2022 年 1 月發布的《“十四五”數字經濟發展規劃》，就明確提出要建立健全數據安全治理體系，研究完善行業數據安全管理政策。推動提升重要設施設備的安全可靠水平，增強重點行業數據安全保障能力。支持開展常態化安全風險評估，加強網絡安全等級保護和密碼應用安全性評估，等等。3 月，國務院在《2022 年政府工作報告》中又進一步強調，強化網絡安全、數據安全和個人信息保護是全年政府工作的重點。從“十四五”發展規劃，到年度政府工作報告，再到黨的二十大的全局統籌，這一系列頂層規劃設計所發揮的謀篇布局和把舵領航作用，使網信工作在抵御全局性、系統性風險，實現穩定有序闊步前行上有了強有力的戰略支撐和明確的方向指引。

（二）以依法治網為重點，通過法治化戰略布局，構建良法善治新格局

為應對數據安全風險帶來的嚴峻威脅，在去年頒布《數據安全法》《個人信息保護法》的基礎上，2022 年國家進一步強化了前期法規的縱深推進與落地實施。2 月，由國家網信辦等十三部門聯合修訂發布的《網絡安全審查辦法》正式施行，此次《辦法》將網絡平臺運營者開展影響或者可能影響國家安全的數據處理活動納入網絡安全審查范疇，并明確要求掌握超過 100 萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查，有力夯實了國家數據安全保障基石，使企業赴國外上市融資必須堅守國家安全底線。

同時，7 月，國家網信辦又公布了《數據出境安全評估辦法》。該《辦法》明確提出，數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估適用本辦法；規定了應當申報數據出境安全評估的情形；提出了數據出境安全評估的具體要求；并明確了數據出境安全評估程序、監督管理制度、法律責任以及合規整改要求等。通過規范數據出境活動，國家能進一步促進數據跨境安全、自由流動，進而實現保護個人信息權益，維護國家安全和社會公共利益的目的。

（三）以專項行動為抓手，發揮頭懸利劍效應，重拳整治網絡空間亂象

在數據安全保護方面，國家進一步加強了對網絡安全、數據安全和個人信息的保護力度。根據《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》《數據出境安全評估辦法》等相關法律法規要求，國家網信領域相關主管部門通過執法約談、責令整改、通報批評、暫停業務、處理相關責任人等處罰方式，對危害國家網絡安全、數據安全、侵害公民個人隱私信息等違法行為進行嚴厲打擊。2022 年 7 月，國家網信辦依法對滴滴全球股份有限公司違反《網絡安全法》《數據安全法》《個人信息保護法》的違法違規行為處以 80.26 億元人民幣的罰款。通過頭懸利劍形成強大聲勢和有力震懾，做到以一儆百，教育引導國內互聯網企業依法合規運營，促進網絡安全規范有序發展。

在治理網絡亂象方面，國家相關職能部門開展了多個專項整治行動。2022 年，國家網信辦持續深入推進“清朗打擊網絡謠言和虛假信息”專項行動，督促指導微博、騰訊、抖音、快手、小紅書、豆瓣等網站平臺加強監測查證，做好全面排查，重拳整治疫情防控、突發事件、社會民生等領域的造謠傳謠行為。同時，國家有關部門還積極開展聯合行動，深入整治電信網絡新型違法犯罪，建設國家涉詐黑樣本庫，建立互聯網預警勸阻平臺，切實維護人民群眾切身利益。

三、結語

2022 年，是中國網絡安全事業發展極不平凡的一年。我們遭遇的風險挑戰持續風高浪急，承受的外部高強度打壓更是驚濤駭浪。面對前所未有的歷史機遇和前所未有的風險挑戰，我們深知：溫室里長不出參天大樹，畏懼者干不出宏圖偉業。

在以習近平同志為核心的黨中央的堅強領導和把舵領航下，國家始終堅持對關乎網信事業長遠發展的重大問題作出前瞻性思考、全局性謀劃、戰略性布局，不斷強化相關職能部門與產學研用的工作銜接，堅實統籌發展與安全，牢牢織密安全防線，形成體系合力，攻克了許多長期想解決而沒有解決的難題痛點，辦成了許多過去想辦而沒有辦成的大事要事，網信發展成就可感可知可敬。

2023 年，隨著中美大國博弈較量的持續深入和網絡技術的快速迭代，我國網信領域面臨的全局性、系統性、未知性風險和挑戰只會遠超以往、指數遞增。我們需要把歷史、現實和未來發展貫通起來審視，把近期、中期和遠期目標統籌起來謀劃，緊盯實現中華民族偉大復興和網絡強國奮斗目標的重大戰略問題，抓住主要矛盾和矛盾的主要方面，聚焦重點領域和關鍵環節，拿出“愚公移山”的干勁、“鐵杵磨針”的恒勁、“咬定青山”的韌勁，保持“千磨萬擊還堅勁，任爾東西南北風”的定力，才能在新的一年里推動網信事業發展建設未雨綢繆、把握主動、蹄疾步穩、走深走實。