十大網絡暴力事件

一、網絡安全最強音

十四五規劃發布，網絡安全迎來高速發展。十三屆全國人大四次會議通過《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》（以下簡稱“十四五規劃”）。其中，十四五規劃中提及“網絡安全”14次、“數據安全”4次，涉及數字經濟、數字生態、國家安全、能源資源安全四大領域。

在“十四五”期間，網絡安全產業已經在國家政策層面確定會被進一步地“培育壯大”，這意味著中國的網絡安全產業規模會繼續保持快速而穩健的增長，并有望在2035年達到萬億左右規模。

圖注：十四五規劃中關于網絡安全的表述

未來一段時間，國家將培育網絡安全產業，建立健全國家公共數據資源體系和數據要素市場規則，加強關鍵信息基礎設施安全保護，并推動構建網絡空間命運共同體，加強國家安全體系和能力建設。

網絡安全不僅關乎國家安全、社會安全、城市安全、基礎設施安全，也和每個人的生活密切相關。“安全”成為繼“發展”之后，又一重要關鍵詞，已成為國民經濟和社會發展的重要風向標，也是“十四五”期間中發展建設的重點工作之一。

二、“史詩級”漏洞

Apachelog4j2遠程代碼執行漏洞，2021年12月9日，國內多家機構監測到ApacheLog4j存在任意代碼執行漏洞，并緊急通報相關情況。該漏洞CVSS評分達到了滿分10分，影響全球一大半的互聯網企業，包括百度、蘋果等企業都被爆出存在該漏洞。

此次漏洞是由Log4j2提供的lookup功能造成的，該功能允許開發者通過一些協議去讀取相應環境中的配置。但在處理數據時，并未對輸入（如${jndi）進行嚴格的判斷，從而造成注入類代碼執行。目前，已發現的受影響應用及組件（包括但不限于）：ApacheSolr、ApacheFlink、ApacheDruid、ApacheStruts2、srping-boot-strater-log4j2等。

研究員認為，該漏洞暴漏出了軟件研發存在的普遍問題：一方面研發團隊喜歡使用開源代碼，另一方面又希望開源代碼擁有企業級的安全支撐。然而，事實上Log4j庫是由開源代碼程序員在業余時間自發維護的，這就使得開源代碼的安全性難以得到保障。

2021年的Apachelog4j2遠程代碼執行漏洞（CNVD-2021-95914）眾多媒體將這個漏洞形容成“史詩級”“核彈級”漏洞，警醒人們關注軟件基礎庫及代碼的安全性。

圖注：Apachelog4j2遠程代碼執行漏洞時間表

三、最典型的網安執法事件

網絡安全審查，2021年7月10日，國家互聯網信息辦公室發布關于《網絡安全審查辦法（修訂草案征求意見稿）》公開征求意見的通知。

網絡安全審查重點評估關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國家安全風險，包括：產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；產品和服務提供者遵守中國法律、行政法規、部門規章情況；其他可能危害關鍵信息基礎設施安全和國家安全的因素。

2021年7月5日，網絡安全審查辦公室發布公告，對“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查。7月2日，該辦公室還曾發布公告，對“滴滴出行”實施網絡安全審查。審查期間“滴滴出行”停止新用戶注冊。這是《網絡安全審查辦法》發布以來，正式開展的首輪審查行動。

四、損失最大安全事件

美國最大燃油管道被黑客攻擊慘遭關閉，2021年5月9日，美國宣布進入國家緊急狀態，原因是當地最大燃油管道運營商遭網絡攻擊下線。據報道稱，美國最大的成品油管道運營商ColonialPipeline在當地時間周五(5月7日)因受到勒索軟件攻擊，被迫關閉其美國東部沿海各州供油的關鍵燃油網絡。受影響的Colonial管道每天運輸汽油、柴油、航空燃油等約250萬桶，其中美國東海岸近一半燃油供應依賴于此。該事件涉事的黑客團隊DarkSide索要高達數百萬美元虛擬幣。該事件也是2021年造成實質影響最大的網絡安全事件。

研究員認為一些重要行業和領域的，關乎國家安全、國計民生、公共利益的重要網絡設備、信息系統等，需要高度關注和保障其安全可控。否則一旦遭到破壞或數據泄露，將會造成嚴重后果。結合今年《關鍵信息基礎設施安全保護條例》的發布，關鍵信息基礎設施是國家數字經濟穩定運行的基石，是經濟社會的神經中樞，也是國家網絡安全的重中之重。2021年將是我國“關基保護”的元年，相應的工業互聯網安全、物聯網安全等也將迎來快速發展。

五、最大信息泄露案

江蘇警方破獲數據泄露量達54億條的重大案件，2021年10月，江蘇無錫警方成功破獲了一起侵犯公民個人信息案，犯罪嫌疑人非法獲取各類公民信息，數據累計高達54億多條，并通過非法網絡平臺以查詢、出售等方式牟利。該犯罪團伙為他人查詢某大型社交網絡賬號關聯的手機號碼等個人信息數據，并將查詢信息以每條1000美元（約合人民幣6384元）的價格出售。該案件是我國迄今為止查獲單體數據泄露最大案件。也提醒人們數據泄露、信息倒賣等現象其實就在我們的身邊，在公民加強自身防范意識和隱私保護能力的同時，最核心的解決辦法應該是在數據傳輸、存儲、處理側加強法律監管和技術管控手段。未來，在公共數據、公共服務方面，網絡安全產品及解決方案將產生較大的社會需求。

六、最大力度曝光

3·15報道人臉信息濫用、簡歷泄露等亂象2021年3月15日，“3·15”晚會（國際消費者權益日）在央視財經頻道播出。今年晚會以“提振消費從心開始”為主題，希望通過誠信的力量讓每個人把平凡的日子過得更加幸福美滿，穩步提高消費能力，改善消費環境，讓居民能消費、愿消費。

此次“3·15”晚會曝光了人臉數據濫用、個人簡歷泄露、老年人手機里的安全陷阱、搜索之病、又見瘦肉精、追蹤“瘦身”鋼筋、名表維修貓膩多、福特翼搏變速箱生銹內幕、英菲尼迪QX60變速箱故障頻發等九大問題。值得一得的是，互聯網行業成為“3·15”晚會上半場的重點曝光對象，前四個被點名的案例都與互聯網有關，信息安全和隱私泄露成為重災區。

該類現象主要原因是互聯網企業數據處理不合規，這也跟之前很長一段時間，數據安全、個人信息、網絡安全等法律法規不完善或界定不清晰有關，但是隨著《數據安全法》、《網絡安全法》、《個人信息保護法》、《網絡安全審查辦法》等法律法規頒布實施，個人信息保護工作將進入“有法可依、有法必依、執法必嚴、違法必究”的階段。

七、最值得關注的機構

上海數據交易所揭牌成立2021年11月25日，上海數據交易所揭牌成立儀式在滬舉行。上海市人大常委會表決通過了《上海市數據條例》。比較起之前國內成立的數據交易機構，上海數據交易所揭牌成立的時間，正是我國法律法規、業界產品技術均取得長足進步，全社會的網絡安全、個人隱私保護意識不斷加強的新背景下。正是因此，上海數據交易所值得網絡安全行業關注，關注網絡安全、數據安全技術的在這里的應用創新。

據了解，上海數據交易所的設立，重點是聚焦確權難、定價難、互信難、入場難、監管難等關鍵共性難題，形成系列創新安排。上海數據交易所有“五大首發“：

• 全國首發數商體系。全新構建“數商”新業態，涵蓋數據交易主體、數據合規咨詢、質量評估、資產評估、交付等多領域，培育和規范新主體，構筑更加繁榮的流通交易生態。
• 全國首發數據交易配套制度。率先針對數據交易全過程提供一系列制度規范，涵蓋從數據交易所、數據交易主體到數據交易生態體系的各類辦法、規范、指引及標準，確立了“不合規不掛牌，無場景不交易”的基本原則，讓數據流通交易有規可循、有章可依。
• 全國首發全數字化數據交易系統。上線新一代智能數據交易系統，保障數據交易全時掛牌、全域交易、全程可溯。
• 全國首發數據產品登記憑證。首次通過數據產品登記憑證與數據交易憑證的發放，實現一數一碼，可登記、可統計、可普查。
• 全國首發數據產品說明書。以數據產品說明書的形式使數據可閱讀，將抽象數據變為具象產品。

八、最重磅產業發展文件

《網絡安全產業高質量發展三年行動計劃(2021-2023年)》2021年7月12日，工信部公開征求對《網絡安全產業高質量發展三年行動計劃（2021-2023年）（征求意見稿）》的意見。行動計劃中提出：到2023年，網絡安全產業規模超過2500億元，年復合增長率超過15%。一批網絡安全關鍵核心技術實現突破，達到先進水平。新興技術與網絡安全融合創新明顯加快，網絡安全產品、服務創新能力進一步增強。在企業發展方面，培養質量品牌、經營效益優勢明顯的具有網絡安全生態引領能力的領航企業。面向車聯網、工業互聯網、物聯網、智慧城市等新賽道，培養“專精特新”中小企業和網絡安全產品、服務、解決方案單項冠軍。并且指出，未來幾年電信等重點行業網絡安全投入占信息化投入比例將達10%。

圖注：行動計劃中提出的未來網絡安全關鍵技術方向

圖注：行動計劃中提出的未來網絡安全重要產業方向

九、最受關注的網絡安全理念

零信任（ZeroTrust）涉及零信任的相關政策、行業標準相繼出臺，讓零信任成為2021年最受矚目的具體的網絡安全理念。

2021年4月，美國國防部宣稱計劃推出一個零信任戰略。隨后，5月美國總統簽署了行政命令，強制要求政府部門全面邁向零信任架構。這一年后續的時間里，美國聯邦政府發布《聯邦零信任戰略》、美國國防部要求撥款6.15億美元用于與零信任網絡安全架構相關的工作……

國內也有多個團體、行業的零信任標準出臺。國際電信標準組織ITU-T正式對外發布《Guidelines for continuous protection of the service access process》（《服務訪問過程持續保護指南》）標準，這被認為是全球首個零信任的國際標準。

零信任代表了新一代的網絡安全防護理念，它的關鍵在于打破默認的“信任”，用一句通俗的話來概括，就是“持續驗證，永不信任”。默認不信任企業網絡內外的任何人、設備和系統，基于身份認證和授權重新構建訪問控制的信任基礎，從而確保身份可信、設備可信、應用可信和鏈路可信。基于零信任原則，可以保障辦公系統的三個“安全”：終端安全、鏈路安全和訪問控制安全。

據Gartner《Hype Cycle for Network Security,2020》報告，零信任的技術成熟度正在接近泡沫破裂期的谷底。根據曲線，未來1-2年內將越過谷底的拐點，市場泡沫衰退之后，零信任相關技術的應用會趨于成熟，產品成熟度將進一步提高并步入穩定增長階段。

圖注：Gartner2020年網絡安全技術成熟度曲線

零信任網絡基于應用遠程訪問的業務特性決定了零信任網絡訪問本身就不是某個點或某個網絡的安全防護，而是基于業務完整性的、跨網絡連接的立體范疇的防護。這也決定了零信任的構建無法依賴某一種特定的技術實現，而是融合了網絡安全、認證、計算環境安全、加密、數據安全等技術構建的基于熵減原則的開放的安全系統。為保證業務完整性，還需要包含與傳輸過程、訪問環境、資源管理相關的必要的支撐技術，具體體現為流量加密和認證、資產識別和威脅感知。

當前，78.9%國內用戶認為零信任還處于概念熱度期，但對運用零信任安全相關解決企業數據中心遠程訪問、云計算服務訪問、邊緣計算、5G、新興互聯網等場景下的安全問題充滿信心，超過80%的調研用戶表示有零信任應用計劃，其驅動因素包括有外來的互聯網風險、業務發展及疫情影響。

十、網絡安全領域

非上市投融資事件快速增長。日前，國家工業信息安全發展研究中心發布2021年1月-11月網絡安全產業投融資監測情況，數據顯示，2021年1月-11月，我國網絡安全領域非上市投融資事件共110起，披露金額超115億元。相較去年同期，投融資事件數量增長近90%，投融資金額增長約1.5倍。

其中，2021年11月非上市投融資事件共9起，披露金額超3億元，投融資熱度較10月略有下降。1月-11月，近四成投融資事件的融資額超過1億元，近兩成事件融資額超過2億元，超億元融資事件數量較去年同期增長約70%。

從融資階段來看，1月-11月，投資機構對網絡安全領域中后期項目及早期項目的關注度持平，中后期項目及早期項目占比均為42.7%，值得注意的是自9月以來，資本市場對早期項目的布局明顯增多。

從細分賽道來看，1月-11月，早期項目融資關注度排名前三的細分賽道分別為云安全、安全管理與運營和工控安全(并列)，其中云安全賽道融資交易數量最多，為8起。

從企業市值來看，1月-11月，網絡安全上市企業市值波動幅度較大。11月，網絡安全上市企業總市值為4822.9億元，較10月呈現上升趨勢，增長幅度約為5.8%，同大盤相比呈現同步上升趨勢。與去年同期相比，上市企業數量由23家增至25家。在受監測的網絡安全上市企業中，較2021年10月市值上漲的企業數量為22家，市值下跌的企業數量為3家。

來源：星星號

原文鏈接：https://www.ntxgf369.com/3681.html