《網絡空間測繪年報》：從安全事件透析網絡空間資產安全熱門風險點

2021年國家“十四五”規劃強調，加快數字化發展和建設數字中國，加快建設數字經濟、數字社會、數字政府，以數字化轉型整體驅動生產方式、生活方式和治理方式變革。這也將極大地推動企業數字化轉型的進程。企業通過應用云、大、物、移、智等新技術實現以數據推動業務和管理的目標。在數字化轉型穩步推進的背景下，必定會有越來越多新興的資產服務出現在互聯網上，對這些服務的暴露面以及脆弱性管理對于網絡安全而言仍是重要挑戰。

因此，2021年我們將過去的物聯網安全年報（2017-2020）升級擴展為《2021網絡空間測繪年報》（下文簡稱“《報告》”），覆蓋物聯網、公有云、工業控制系統、安全設備、數據庫、智慧平臺等關鍵領域資產在互聯網上的暴露情況，并對物聯網、云原生、工業控制系統等專題的脆弱性情況進行分析，希望能夠幫助大家把握網絡空間安全態勢，促進網絡空間安全發展。本文將對2021年網絡空間安全事件章節的核心內容進行解讀。

《報告》介紹了2021年的10起安全事件，包括物聯網、工控、安全設備、數據庫以及公有云相關領域，從這些安全事件中，我們總結了近年來網絡空間資產的安全熱門風險點。

第一， 供應鏈安全。對類似物聯網產業這種軟硬件產業結構復雜的產業，廠商在管理好自身安全的同時還需要關注供應鏈安全，采購安全可信的網絡產品和服務。

第二， 勒索病毒。自從2017年WannaCry利用“永恒之藍”漏洞進行全球大范圍的勒索，勒索病毒才真正被關注到，直至今天各類新型勒索病毒以及變種依層出不窮，尤其是大型的工業生產企業更應該關注暴露服務是否存在被勒索的風險，業務與安全應同步建設。

第三， 錯誤配置。弱口令和未授權訪問等是老生常談的問題，但仍然有大量存在錯誤配置的資產服務暴露在互聯網上，甚至包括安全設備。錯誤配置雖然是低級漏洞，但是有著很高的風險，企業安全管理人員需做好資產核查工作，收斂企業的露面。

第四， 敏感數據泄露。近年來數字化轉型的步伐加快，數據價值進一步突顯，敏感數據泄露不僅損害企業的聲譽和業務，如果隱私數據被詐騙團伙利用，將會影響人身財產安全。所以為了避免企業相關數據泄露事件發生，應該未雨綢繆，對重要的數據資產服務器進行重點防護與安全配置檢查，定期進行漏洞掃描與評估等措施。