2021年國內網絡安全風險評估與總體態勢

2021年，新冠肺炎疫情持續席卷全球，加劇了國際關系和國際格局的大裂變，世界加速步入動蕩變革期。在中美戰略博弈進入近身纏斗的大背景下，我國面臨的外部環境不穩定性、不確定性更加凸顯，傳統安全和非傳統安全挑戰不斷增多。尤其是在網絡空間領域，各類風險的跨界性、關聯性、穿透性、放大性特征顯著增強，形成系統性風險的趨勢急速攀升。面對空前尖銳的網絡安全威脅挑戰，黨中央、習近平總書記高瞻遠矚、把舵領航，從統籌中華民族偉大復興戰略全局和世界百年未有之大變局出發，以大韜略、大智慧總攬發展和安全兩件大事，以大氣魄、大手筆謀劃中國網絡安全發展新格局。

一、2021 年我國網絡安全領域面臨的主要風險

2021 年以來，我國網絡安全風險呈現“新舊交融、復雜交織、連鎖聯動”的特點。美國對我國網絡科技領域的極限施壓是當前和今后相當長一段時期影響我國發展外部環境的最大挑戰因素。同時，隨著數字經濟的深入遞進，數據安全、供應鏈安全、新技術新應用安全等風險挑戰更是異常突出，必須引起高度警惕。

(一）美國持續濫用國家力量、泛化國家安全概念，強化對我國網絡科技企業的技術封鎖和極限施壓

2021 年，拜登政府上臺執政后，雖比特朗普政府略顯理性，但在全面圍堵、遏制打壓中國這一基本戰略上并未發生根本轉變，一直秉承競爭、對抗與合作“三位一體”的對華戰略，尤其是在對華網絡安全政策方面，仍延續特朗普政府的強硬政治作風，并在此基礎上逐級優化、層層加碼，通過疊加效應實現對華技術遏制效果的最優化、最大化。具體手段表現如下。

一是美國頒布系列行政令并斥巨資限制打壓華為、中興等中國網絡科技企業的正常經營活動。7 月，美國聯邦通信委員會(FCC)濫用科技霸凌，通過了一項價值 19 億美元(約合 123 億人民幣)的工作計劃，鼓勵美國通信運營商從其電信網絡中拆除華為和中興等所謂“威脅美國國家安全”的中國公司設備，并由美政府為其報銷相關費用。11 月，拜登簽署了《2021 安全設備法》，防止華為和中興從美國監管機構獲得新設備許可證，并要求美國聯邦通信委員會(FCC)不再審查或批準對國家安全構成威脅的相關設備的任何授權申請，極力阻撓中國高科技企業的正常發展與生產經營。

二是在網絡新技術領域，美國持續發動對華“科技冷戰”、高筑“數字鐵幕”。7 月，美國修訂了《出口管理條例》，將 23 家包括眾多中國高科技企業在內的中國實體列入出口管制“實體清單”。11 月，在強制要求全球各大半導體制造商向美國提供客戶信息等核心機密數據后，美國商務部又火速將中國在量子計算及芯片領域的 12 家中國企業列入“實體清單”，通過推行精準打壓、強化對華技術出口管制，實現對我網絡科技的封堵圍獵與卡脖斷供目的。

三是美國全面升級對華情報機構職能體系建設，為開展全方位諜報作戰，尤其是為打好數字技術情報戰做足充分準備。據美聯社報道，10 月，美國中央情報局(CIA)在其內部正式成立專職部門“中國任務中心”。該中心是中情局為數不多的任務中心之一，每周會定期舉行局長級會議，定期聽取對華情報工作研判與匯報，并積極擴充人員編制，大范圍招募精通中國國情和中文的情工人員為美國服務，妄圖實現對中國各方咨詢的立體式搜集，將遏制封堵中國、打壓對抗中國的意圖和手段明目化、臺面化，絲毫不加掩飾。

四是美國施壓敦促全球伙伴及其盟友，強迫其選邊站隊，跟隨美國執行所謂的“中國技術轉移戰略”。6 月，歐盟委員會主席和美國總統拜登在布魯塞爾舉行美歐峰會 , 正式啟動“跨大西洋貿易和技術理事會”(TTC)。成立該理事會是拜登政府利用美國和歐洲的聯合經濟實力，全面壓制中國技術發展的最新舉措。美歐甚至揚言，要聯手放慢中國創新腳步，通過向中國施壓，力圖將中國排除在世界先進技術貿易體系之外。8 月，美國政府召開聽證會，誣稱中國的“長臂管轄”對美國社會造成“不利影響”，呼吁建立全球“科技合作戰線”以抗衡中國的世界影響，通過群起攻之、技術脫鉤的方式，實現對我國網絡科技崛起的強勢打壓態勢。

(二）國內網絡平臺行業龍頭企業赴美上市，使數據跨境傳輸的深層危害顯露無疑

2021 年，中國互聯網領域的多家獨角獸企業出于商業目的紛紛選擇赴美上市。6 月 11 日，國內最大的在線招聘平臺“BOSS 直聘”于美國納斯達克掛牌上市；6 月底，國內最大移動出行平臺“滴滴出行”及最大城際貨運數字平臺“滿幫集團”均在紐交所掛牌上市。這些赴美上市企業分別是國內大眾求職、日常出行、網絡貨運領域的頭部企業，掌握了所屬行業領域至少 80% 以上的用戶隱私和深度數據，其業務更與關鍵信息基礎設施直接關聯，可以直接或間接地反映出我國國情、社情、民情動態等真實狀況。3 月，美國證券交易委員會通過了《外國公司問責法案》最終修正案。該法案明確規定，在美國上市的外國企業必須根據美國公認會計原則編報其財務報表，必須根據美國證券法律規定，對公司重大信息，例如用戶數據、會議記錄、溝通文件、電子文檔等進行及時披露，否則將被強制退市。這些要求勢必涉及相關企業在我國境內開展業務時所搜集的大量重要敏感數據的出境問題，對我國政治安全、國土安全、軍事安全、經濟安全、社會安全和數據安全等均構成嚴重威脅。

以“滴滴出行”為例，其掌握的交通大數據包含我國真實坐標的地理道路數據、道路交通流量、人口產業聚集區、人員流動軌跡等重要敏感信息。這些數據有的直接涉及我國黨政軍等核心要害部門和重要敏感設施的地理位置和移動出行狀況，有的屬于長期秘密級，甚至是絕密級別，一旦數據跨境傳輸被美國等境外國家掌握利用，運用大數據分析等高科技手段，完全可能實現對我國國情政情、社會狀況的精準立體式刻畫和多維情報刺探，進而開展有針對性的情報收集和間諜破壞活動，其危害遠超境外人員對我國地理信息的非法測繪，對數據主權和國家安全的危害難以估量。

(三）供應鏈攻擊成為網絡空間常態，其“一點擊破、全線崩潰”特性置網絡安全于危險境地

當前，供應鏈攻擊是世界各國網絡空間領域普遍面臨的一個最顯著威脅之一。它存在難發現、難溯源、難清除等特點，一旦網絡攻擊者針對供應鏈發起攻擊，可以實現“以一攻百、全線崩潰”的巨大危害效果，這暴露出網絡安全領域“易攻難守”的非對稱性特征。例如，2020 年 12 月，震驚全球的美國太陽風事件，就是網絡攻擊者從美國軟件供應鏈廠商下手，從而實現對美國眾多高涉密政府機構的網絡滲透。美國作為世界首屈一指的網絡強國尚且難以自保，世界其他國家在供應鏈攻擊面前更不可能獨善其身。

當前，我國核心要害部門、關鍵信息基礎設施以及重要領域尚無法完全擺脫使用源自美國等西方國家的軟硬件信息技術產品。例如，路由器、交換機等網絡設備，操作系統、數據庫管理系統等重要基礎軟件，處理器、芯片等底層硬件產品，重要應用軟件及其他具有智能處理能力的專用設備等都存在類似于“太陽風事件”的供應鏈安全風險。以芯片進口為例，據中國海關相關數據統計，2021 年 1月至 9 月，我國進口集成電路 4784.2 億個，同比增長 23.7%；進口金額為 3126.1 億美元(約合19951億元人民幣)， 同比增長23.7%；而 2021 年 1 月至 9 月，全球半導體市場銷售額為 3979 億美元，意味著我國進口的芯片占到全球總額的 78%。同時，2020 年，我國集成電路的進口總量和進口總額分別為 5435 億個和 3500.3 億美元。但 2021 年前三季度，進口芯片總數就達到了去年的 88%、進口總額的 89%。這表明，今年國內芯片進口的數量和金額將較去年再創新高，情況非常不容樂觀。

在我國，黨政軍等核心要害部門、關鍵信息基礎設施及重要領域的供應鏈安全，涉及的角色環節眾多、結構復雜、流程鏈條較長，暴露給網絡攻擊者的攻擊面也越來越多，供應鏈的各個環節及其薄弱點都可能成為攻擊者的切入點和重點目標，這些攻擊既可涉及系統和業務漏洞、非后門植入、軟件預裝等，也可能涉及更高級的供應鏈預制問題。供應鏈安全隱患給網絡安全埋下深層痛根，一旦“病情”發作，將給國家安全帶來難以估量的負面影響、遭受不可承受之痛。

(四）網絡攻擊已從數字空間延展至物理空間，網絡安全成為“新基建”最大挑戰

近年來，我國搶抓新科技革命契機，對加快推進 5G、物聯網、工業互聯網、人工智能、區塊鏈等新型基礎設施建設作出了一系列重要戰略部署，“新基建”成為我國經濟增長的新引擎。但在助力產業新秩序的同時，其所面臨的網絡安全新挑戰也如影隨形。特別是伴隨著傳統產業網絡化、智能化和數字化的轉型升級，越來越多的網絡設備接入新型基礎設施，數字化設施數量呈幾何級增長，海量數據應運而生，由此衍生出的新型網絡安全問題成為制約數字經濟時代創新發展的關鍵要素，直接關乎國家關鍵信息基礎設施安全和國家安全。

以工業互聯網為例，今年 2 月，國家工業信息安全發展研究中心發布的《2020 年工業信息安全態勢報告》顯示，隨著工業互聯網、智能制造加速發展，海量工業設備泛在互聯，我國工業信息安全呈現風險威脅擴散化、攻擊手段智能化等特點，傳統信息安全技術在風險識別、威脅發現、安全防護等方面難以有效發揮很好的作用，各類新型網絡安全威脅挑戰此起彼伏地涌現出來。2021 年，以 5G、物聯網、工業互聯網、人工智能、區塊鏈等為代表的“新基建”仍然是網絡攻擊的重點目標，“新基建”網絡安全防范仍任重道遠。

(五）暗網平臺非法交易重要敏感數據，給國家安全和關鍵信息基礎設施安全埋下深層隱患

今年，不法分子在暗網平臺售賣各類數據資源的行為異常猖獗。1 月，國外某暗網論壇大肆出售與中國公民相關的個人信息，數量總數超過 2 億，多數信息來自國內常用的社交媒體。從上游敏感數據被非法獲取，到中游數據在各種暗網黑市的販賣交易，再到下游各類數據被用于詐騙、勒索、情報搜集等，暗網販賣數據的背后已然形成了一條完整的黑灰產業鏈，幾乎成為信息販賣的“大本營”。犯罪分子借助暗網匿名、無法追蹤等特點，采用虛擬貨幣、賭博平臺等層層加密手段，游走于“暗網”之中，不僅嚴重危害個人隱私安全、企業合法權益，更給關鍵信息基礎設施安全和國家安全埋下潛在的深層隱患。

在暗網交易中，不僅大量充斥著姓名、性別、聯系方式、家庭住址、地理位置、工作單位、銀行賬戶等各種敏感的個人隱私數據，更有關乎國家安全和關鍵信息基礎設施安全的重要敏感數據，例如，某些政府機構的內部組織框架、人員構成信息、工程項目方案；某些重要行業的從業人員信息、業務工作方向；某些關鍵信息基礎設施領域的核心敏感數據等。由于暗網交易的隱匿性、特殊性等特點，相關個人和部門對信息泄露的感知存在嚴重滯后性，這些數據一旦被不法分子獲取，尤其是境外國家機構利用，極有可能危害到國家安全、社會穩定和關鍵信息基礎設施的正常運行，其所帶來的巨大隱患和安全風險值得高度警惕。

二、2021 年我國應對網絡安全風險的態勢舉措

面對中美大國博弈之勢、內外環境發展之變，以習近平同志為核心的黨中央舉旗定向、掌舵領航，把深入推進依法治網工作、構建網絡安全新發展格局提到“戰略抉擇”高度進行全局謀劃、系統統籌。2021 年 3 月，十三屆全國人大四次會議政府工作報告明確提出，要加強數字政府建設，增強產業鏈供應鏈自主可控能力；發展工業互聯網，促進產業鏈和創新鏈融合；加強網絡安全、數據安全和個人信息保護；建設信息網絡等新型基礎設施。按照總體規劃部署，今年國家在網絡安全立法方面頗有建樹，并頒布實施了一系列網絡安全治理新法規、新政策和新舉措，以變應變，謀求戰略主動，適應了我國由大國邁向強國的網絡安全新需求。

(一）充分發揮網絡安全審查的“利劍作用”，壓實赴美上市企業網絡安全主體責任

今年，數據安全威脅國家安全問題尤為突出。為給國內企業赴境外上市的商業行為帶上緊箍咒、劃好警戒線，國家果斷采取專項治理行動，綜合運用法治與審查手段，整治亂象風險、做好合規監管。6 月底，在滴滴出行、BOSS 直聘、運滿滿、貨車幫集中赴美上市之后，7 月初，國家網絡安全審查辦公室立刻發布針對上述四家上市企業的網絡安全審查公告，審查期間停止其新用戶注冊，并通知應用商店下架滴滴出行及其旗下 25 款 App；7 月 16 日，國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局七部門聯合進駐滴滴出行科技有限公司，實施網絡安全審查。

與此同時，多個與網絡安全領域相關的重磅政策和文件接連推出。7 月 10 日，國家網信辦發布《網絡安全審查辦法(修訂草案征求意見稿)》；12 日，工信部發布《網絡安全產業高質量發展三年行動計劃(2021-2023)（征求意見稿）》；13日，工信部、網信辦、公安部印發《網絡產品安全漏洞管理規定》。9 月 1 日，交通運輸部會同國家網信辦、工信部、公安部等五部委，對 T3 出行、美團出行、高德、滴滴出行、首汽約車、陽光出行等 11 家網約車平臺公司進行聯合約談，明令要求各平臺公司要采取必要的安全技術和管理措施，嚴格落實用戶信息和數據安全相關法律法規要求。短短兩個月內，國家采取的一系列組合拳措施，對外釋放了一個強烈信號：沒有網絡安全就沒有國家安全，加強對重要敏感數據的安全監管、切實捍衛國家數據主權安全勢在必行、刻不容緩。

(二）強化依法治網的頂層設計和監管落地，切實筑牢國家網絡安全防護屏障

今年，為切實加強數據安全的立法監管，國家相繼頒布了數份重磅級數據安全法律法規，嚴密織牢數據安全治理體系。1 月，國家網信辦就《互聯網信息服務管理辦法（修訂草案征求意見稿）》公開征求意見。明確規定了互聯網信息服務提供者，網絡接入服務提供者及其工作人員在保護個人隱私、維護數據安全方面的法律義務；4 月，交通運輸部發布了《交通運輸政務數據共享管理辦法》，明確要求政務部門應建立健全政務數據安全保障機制，落實安全管理責任和數據分類分級要求。8 月，國家網信辦、國家發改委等五部委聯合發布《汽車數據安全管理若干規定(試行)》，旨在規范汽車數據處理活動，保護個人、組織的合法權益，維護國家安全和社會公共利益，促進汽車數據合理開發利用。

同時，今年 6 月和 8 月，全國人大常委會還審議通過了我國網絡安全領域最重要的兩部法律《數據安全法》和《個人信息保護法》。《數據安全法》首次確立了“國家核心數據”概念，明確了關乎國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據；同時，提出要建立數據分類分級保護制度，加強重要數據出境安全管理，積極開展數據安全教育培訓，從頂層設計層面和統籌發展與安全角度進一步完善了我國數據安全治理體系。《個人信息保護法》則是我國首部個人信息保護領域的單獨立法，該法厘清了個人信息、敏感個人信息、個人信息處理者、去標識化、匿名化等的基本概念，從適用范圍、個人信息處理的基本原則、個人信息及敏感個人信息處理規則、個人信息跨境傳輸規則、個人信息保護領域各參與主體的職責與權力，以及法律責任等方面對個人信息保護進行了全面規定，建立起了個人信息保護領域的基本制度體系。11 月，為配合《網絡安全法》《數據安全法》《個人信息保護法》等法律中關于數據安全管理的規定，國家網信辦發布了《網絡數據安全管理條例(征求意見稿)》，建立了數據分類分級保護制度、數據跨境安全管理、互聯網平臺運營者監管、第三方機構評估等監管配套落地措施。這些重要法律法規、落地舉措的頒布出臺，是對當前數據安全內外部形勢的回應，是護航數字經濟發展的重要舉措，共同構建了我國數據治理立法框架，翻開了我國數據安全法治事業的新篇章，具有劃時代的重要意義。

(三）夯實關鍵信息基礎設施保護的關鍵環節，推動良法善治向走深、走穩、走實前行

近年來，全球范圍內針對關鍵信息基礎設施的網絡攻擊事件層出不窮。今年 5 月，美國最大成品油運輸管道運營商的工控系統遭到勒索病毒攻擊導致大范圍停機，造成近 100G 敏感數據泄露及成品油運輸管道運營中斷。為應對關鍵信息基礎設施與日俱增的網絡安全威脅，各國在頂層立法和戰略設計方面都毫無例外地將關鍵信息基礎設施安全保護列為頭等大事。

習近平總書記曾多次強調，關鍵信息基礎設施是網絡安全的重中之重，也是可能遭受到重點攻擊的目標。為應對與日俱增、復雜多變的網絡安全風險挑戰，今年 8 月 17 日，國務院正式公布了備受矚目的《關鍵信息基礎設施安全保護條例》，這是我國首部專門針對關鍵信息基礎設施安全保護工作的行政法規。《條例》從突出重點保護、堅持問題導向、加強法律銜接三個角度出發，站在總體國家安全觀的視角，明晰了我國關鍵信息基礎設施的定義范圍，明確了各級保護工作部門的監管職責分工，強化了關鍵信息基礎設施運營者的安全主體責任，細化了定期開展安全檢測和風險評估、履行安全事件和威脅報告義務、落實網絡安全審查要求、建立健全網絡安全監測預警和信息共享機制等方面的安全保護要求，宣告我國關鍵信息基礎設施的安全保護工作進入強監管時代。

三、結語

2021 年是“在危機中育新機、于變局中開新局”的關鍵一年，更是愈進愈難、愈進愈險而又不進則退、非進不可的關鍵時期。面對新冠肺炎疫情的長期化態勢、西方霸權的極限科技施壓以及來勢洶洶的網絡安全威脅挑戰，以習近平同志為核心的黨中央高瞻遠矚、精準施策，帶領全國各族人民鍛長板、補短板、固根基、揚優勢，沉著應對了網絡安全領域的各類風險，筑牢了網絡安全防護的國家屏障，充分展現出“無限風光在險峰”的戰略視野和“亂云飛渡仍從容”的戰略定力。

2022 年，我國在數據安全保護、關鍵信息基礎設施安全防護、“新基建”網絡安全防范等方面仍將承受巨大的內外安全壓力。我們既要統籌好發展和安全的關系，織密織牢開放安全網，增強在對外開放環境中動態維護網絡安全和國家安全的本領；更要著力防范化解各種重大網絡安全風險，做到有識變之智、應變之方、求變之勇，牢牢守住安全發展這條底線。