2021年數字安全大事記

前言

2021年可謂是數字安全時代的開啟元年。習近平總書記在2021年世界互聯網大會烏鎮峰會開幕的賀信中強調，“筑牢數字安全屏障，讓數字文明造福各國人民，推動構建人類命運共同體。” 中央網絡安全和信息化委員會在2021年11月印發了《提升全民數字素養與技能行動綱要》，綱要在部署的第六個主要任務中明確了“提高數字安全保護能力”的要求。

隨著國家層面的大力推動，數字經濟的蓬勃發展，為了記述數字安全產業發生的大事件以反映行業現狀與趨勢，數世咨詢于今日正式發布《2021年數字安全大事記》。

一、信息泄露與網絡攻擊篇

1、信息泄露

數世咨詢根據公開的200余起影響較大的信息泄露事件統計，2021年全球信息泄露用戶憑證數達4億個，泄露信息記錄達356億條，涉及人數約18.6億人。

數世咨詢供圖，轉載請注明來源

重要結論

? 信息泄露的行業分布中，軟件與互聯網占比明顯下降，但政府與國防、金融、運營商、制造業、交通物流等關鍵基礎設施相關行業占比有所上漲，與此同時，針對特定目標的“黑客攻擊”導致的信息泄露數量大幅增加，占比達到六成。

? 地域分布方面，北美、歐洲與亞太地區信息泄露數量合計占到了全球信息泄露事件的85%，這一點與去年保持一致，側面反應出信息技術發達地區與落后地區的數字鴻溝，也意味后者仍然蘊含著較大的數字經濟發展機遇和潛在的數字安全風險。

2021年度十大信息泄露事件

時間：1月

泄露公司：笨鳥社交

國家：中國

泄露信息：賬號信息，2.14億個，408GB

泄露原因：ElasticSearch錯誤配置

其他信息：大約2.14億個賬號的信息被泄露，包括部分個人信息。同時泄露關聯賬號信息，超過1,100萬個Instagram賬號、6,600萬個LinkedIn賬號、8,100萬個Facebook賬號。

鏈接：https://www.hackread.com/chinese-firm-leak-facebook-instagram-linkedin-user-data/

時間：3月

泄露公司：FBS

國家：塞浦路斯

泄露信息：個人信息，20TB，160億條記錄

泄露原因：ElasticSearch錯誤配置

其他信息：

鏈接：https://www.hackread.com/online-trading-broker-fbs-exposes-data/

時間：4月

泄露公司：Facebook

國家：美國

泄露信息：個人信息，5.33億人

泄露原因：黑客攻擊

其他信息：

鏈接：https://www.zdnet.com/article/facebook-data-on-533-million-users-posted-online/

時間：4月

泄露公司：

國家：全球

泄露信息：32.8億個密碼、21.8億郵件地址

泄露原因：未知

其他信息：

鏈接：https://thehackernews.com/2021/04/32-billion-leaked-passwords-contain-15.html

時間：6月

泄露公司：Cognyte

國家：以色列

泄露信息：50億條

泄露原因：配置不當

其他信息：帶有50億條記錄的數據庫直接暴露在公網上。該數據庫為記錄過去泄露事件的數據庫，包括相關的郵件地址、密碼等。

鏈接：https://www.darkreading.com/attacks-breaches/cyber-analytics-database-exposed-5-billion-records-online/d/d-id/1341297

時間：6月

泄露公司：淘寶

國家：中國

泄露信息：11.8億條

泄露原因：黑客攻擊

其他信息：攻擊者從2019年開始對淘寶進行惡意爬蟲，總共爬取淘寶用戶信息11.8億條。

鏈接：https://www.theregister.com/2021/06/16/alibaba_tabao_scraped_data_leak/

時間：8月

泄露公司：T-Mobile

國家：美國

泄露信息：個人信息、賬號信息，1310萬人、1億賬號

泄露原因：黑客攻擊

其他信息：

鏈接：https://www.theregister.com/2021/08/18/t_mobile_us_admits_hack_48m_users/

時間：10月

泄露公司：Syniverse

國家：美國

泄露信息：

泄露原因：黑客攻擊

其他信息：泄露從2016年五月開始，但到2021年5月才被發現。尚不可知具體有多少信息被泄露，但是考慮到攻擊接入了內部系統，并且該運營商每年處理7,400億條短信記錄，泄露體量可能極大。

鏈接：https://www.darkreading.com/attacks-breaches/five-year-breach-may-have-exposed-billions-of-text-messages

時間：10月

泄露公司：Hariexpress

國家：巴西，電商

泄露信息：文件信息，17.5億個

泄露原因：ElasticSearch錯誤配置

其他信息：

鏈接：https://www.zdnet.com/article/brazilian-e-commerce-firm-hariexpress-leaks-1-75-billion-sensitive-files/

時間：10月

泄露公司：

國家：中國，互聯網

泄露信息：中國公民信息，54億條記錄

泄露原因：暗網

其他信息：

鏈接：https://mp.weixin.qq.com/s/bpmNRrD7BtqfSkm5y1Fm6Q

2、網絡攻擊

2021年，數世咨詢對全球200余起大型攻擊事件進行了統計分析，見下圖：

 數世咨詢供圖，轉載請注明來源

重要結論

? 美國、英國、法國、中國、新西蘭是遭受攻擊事件最多的國家，對應地區分別為北美、歐洲和亞太。

? 勒索病毒占所有攻擊事件的21%，相比去年略有下降，但相比其他方式仍明顯處于繼續爆發的趨勢。

? “加密貨幣”成為今年新的一大攻擊目標。在多起此類攻擊事件中，黑客利用智能合約錯誤導致的漏洞盜取了大量資金。毫無疑問，瘋狂的虛擬貨幣價格是此類攻擊事件背后的主要驅動力。

? 今年另一個較為突出的新攻擊方式是“供應鏈攻擊”。攻擊目標也多為政府、金融等關鍵基礎設施行業。結合0day漏洞利用、社會工程等方式，國與國之間的網絡攻擊態勢依然明顯，且趨于深化，攻擊方式亦越來越多樣化。

2021年度十大網絡攻擊事件

時間：2月

攻擊方：

受攻擊方：佛州某城市供水系統

國家：美國

行業：基礎設施

攻擊方式：

損失：

影響：

其他：攻擊者通過TeamViewer成功進入該城供水系統，并試圖將水中氫氧化鈉投入倍數調整到原比例的100倍，被相關人員實時發現并阻斷。

鏈接：https://www.securityweek.com/remote-hacker-caught-poisoning-florida-city-water-supply

時間：3月

攻擊方：

受攻擊方：Universal Health Services

國家：美國

行業：醫療健康

攻擊方式：勒索病毒

損失：6,700萬美元

影響：業務中斷

其他：攻擊發生在去年，造成稅前損失達6,700萬美元。

鏈接：https://www.darkreading.com/attacks-breaches/universal-health-services-suffered-$67-million-loss-due-to-ransomware-attack/d/d-id/1340285

時間：3月

攻擊方：

受攻擊方：Molson Coors

國家：美國

行業：制造業

攻擊方式：

損失：1.4億美元

影響：業務中斷

其他：攻擊導致業務中斷，無法進行釀酒工作以及運輸，短期損失預計達到1.4億美元。

鏈接：https://www.zdnet.com/article/molson-coors-discloses-cyberattack-disrupting-its-brewery-operations/

時間：3月

攻擊方：

受攻擊方：CNA Financial Corporation

國家：美國

行業：金融

攻擊方式：勒索病毒

損失：4,000萬美元

影響：業務中斷

其他：美國最大的商業保險公司之一。最終為了恢復系統，同意支付4,000萬美元的贖金。

鏈接：https://www.securityweek.com/insurer-cna-says-cyberattack-caused-network-disruption

時間：5月

攻擊方：Darkside

受攻擊方：Colonial Pipeline

國家：美國

行業：基礎設施

攻擊方式：勒索病毒

損失：

影響：業務中斷

其他：Colonial Pipeline的IT系統遭到攻擊，導致企業不得不關閉油氣傳輸管道，影響5,000萬人的生活。

鏈接：https://www.secrss.com/articles/31069

時間：7月

攻擊方：REvil

受攻擊方：Kaseya VSA

國家：美國

行業：IT

攻擊方式：勒索病毒

損失：

影響：業務中斷

其他：Kaseya VSA的遠程設備管理平臺遭到REvil勒索病毒攻擊，通過供應鏈影響超過1,500家公司。攻擊者要求贖金7,000萬美元。攻擊的影響之一，導致瑞典800多家超市停止運作。

鏈接：https://thehackernews.com/2021/07/revil-used-0-day-in-kaseya-ransomware.html

時間：8月

攻擊方：

受攻擊方：Poly Network

國家：

行業：加密貨幣

攻擊方式：漏洞利用

損失：

影響：

其他：攻擊者利用智能合約中的漏洞，轉移了價值6億美元的加密貨幣。之后，攻擊者幾乎退回了所有轉移的加密貨幣。

鏈接：https://www.zdnet.com/article/poly-network-hackers-potentially-stole-610-million-is-bitcoin-still-safe/

時間：10月

受攻擊方：Cream Finance

國家：中國臺灣

行業：加密貨幣

攻擊方式：漏洞利用

損失：價值1.3億美元的加密貨幣

影響：經濟損失

其他：

鏈接：https://www.theregister.com/2021/10/28/cream_ethereum_theft/

時間：12月

受攻擊方：BadgerDAO

國家：美國

行業：加密貨幣

攻擊方式：漏洞利用

損失：1.2億美元的加密貨幣

影響：經濟損失

其他：

鏈接：https://www.hackread.com/hackers-steal-badger-defi-monox/

時間：12月

受攻擊方：BitMart

國家：開曼群島

行業：加密貨幣

攻擊方式：N/A

損失：1.5億美元的加密貨幣

影響：經濟損失

其他：有安全研究人員認為，損失估計應接近2億美元。

鏈接：https://www.theregister.com/2021/12/06/bitmart_breach/

二、漏洞篇

截止到目前（12月27日）為止，CNVD（國家信息安全漏洞共享平臺）今年漏洞總數為18242，比去年20248減少約11%。CNNVD（國家信息安全漏洞庫），2021年總漏洞數為20350，同比去年增長了約6.85%。截止12月28日，NVD共發布漏洞數量21859個，較去年同期增長13.6%。

2021年CNVD的漏洞分布顯示排名第一的漏洞類型為“設計錯誤”，占比52.4%，再次為“輸入驗證錯誤”，占比28.8%。

2021年VULHUB收錄的總漏洞數為25430，同比去年增長了約4.43%。其中高危漏洞6753個，中危漏洞11487個，低危漏洞7190個。VULHUB采用CWE作為漏洞分類標準，其中排名前10的漏洞類型分別為：在Web頁面生成時對輸入的轉義處理不恰當（CWE-79），內存緩沖區邊界內操作的限制不恰當（CWE-119），輸入驗證不恰當（CWE-20），信息暴露（CWE-200），權限、特權與訪問控制（CWE-264），SQL命令中使用的特殊元素轉義處理不恰當（CWE-89），跨界內存寫（CWE-787），對路徑名的限制不恰當（CWE-22），訪問控制不恰當（CWE-284），資源管理錯誤（CWE-399）。 （注：漏洞內容由丈八網安提供）

截止2021年，據VULHUB統計累計漏洞發現最多的廠商如下：

微軟（漏洞8996個）

甲骨文（漏洞6081個）

蘋果（漏洞5962個）

谷歌（漏洞5159個）

IBM（漏洞4724個）

思科（漏洞4186個）

Linux（漏洞3454個）

Debian（漏洞3406個）

Adobe（漏洞3329個）

紅帽（漏洞2962個）

Mozilla（漏洞2246個）

Canonical（漏洞2124個）

惠普（漏洞1853個）

SUN（漏洞1741個）

Novell（漏洞1569個）

OpenSUSE（漏洞1322個）

阿帕奇（漏洞1252個）

Joomla（漏洞820個）

Fedora Project（漏洞772個）

Drupal（漏洞771個）

截止2021年，VULHUB統計漏洞最多的產品如下：

macOS（漏洞3811個）

Linux Kernel（漏洞3409個）

Debian（漏洞3271個）

Android（漏洞3065個）

Ubuntu（漏洞2203個）

Firefox（漏洞1920個）

iOS（漏洞1866個）

Chrome（漏洞1860個）

Windows（漏洞1857個）

Windows7（漏洞1681個）

Windows Server 2008（漏洞1616個）

Windows Vista（漏洞1333個）

Adobe Acrobat（漏洞1314個）

Windows XP（漏洞1310個）

Windows10（漏洞1260個）

Adobe Acrobat Pro DC（漏洞1182個）

Adobe Acrobat Reader DC（漏洞1182個）

Windows8.1（漏洞1139個）

Internet Explorer（漏洞1102個）

Enterprise Linux Desktop（漏洞1096個）

由于2021年12月重大漏洞頻發，截止2021年12月29日，VULHUB通過對近期漏洞風險狀況進行綜合評估計算得出當前的漏洞風險指數為“危急”。

參考：http://vulhub.org.cn/index

總體來看，2021年漏洞數量仍然呈現上升趨勢，而且出現了類似Log4j2遠程代碼執行（CVE-2021-44228/CVE-2021-45046）這種危害極大、影響面超廣的重大安全漏洞。

年度十大漏洞

1、Apache Log4j2 遠程代碼執行漏洞（CVE-2021-44228/CVE-2021-45046）

2、Microsoft MSHTML遠程代碼執行漏洞（CNVD-2021-69088，對應CVE-2021-40444）

3、SonarQube系統未授權訪問漏洞（CNVD-2021-84502）

4、GitLab命令執行漏洞（CVE-2021-22205）

5、Google Chrome遠程代碼執行漏洞（CNVD-2021-27989）

6、Google V8引擎遠程代碼執行漏洞（CNVD-2021-29059，對應CVE-2021-21220）

7、微信Windows客戶端遠程代碼執行漏洞（CNVD-2021-29068）

8、Microsoft Exchange Server遠程代碼執行漏洞（CNVD-2021-14768、CNVD-2021-14769、CNVD-2021-14770，對應CVE-2021-26854、CVE-2021-26412、CVE-2021-27078）、Microsoft Exchange Server任意文件寫入漏洞（CNVD-2021-14810、CNVD-2021-14811，對應CVE-2021-27065、CVE-2021-26858）、Microsoft Exchange Server反序列化漏洞（CNVD-2021-14812，對應CVE-2021-26857）、Microsoft Exchange Server請求偽造漏洞（CNVD-2021-14813，對應CVE-2021-26855）。

9、VMware vCenter Server遠程代碼執行漏洞（CNVD-2021-12322，對應CVE-2021-21972）、VMware ESXi OpenSLP堆溢出漏洞（CNVD-2021-12321，對應CVE-2021-21974）。

10、微軟Windows操作系統TCP/IP高危漏洞（CNVD-2021-10528，對應CVE-2021-24074，CNVD-2021-10529，對應CVE-2021-24086）。

三、技術產業與資本市場篇

1、技術產業

據數世咨詢對約600家具備原廠技術、產品與服務能力的安全企業的初步調查，預計2021年，中國數字安全技術、產品與服務的總收入約為900億元，同比增長19%。（注：此收入不包括IT廠商、行業三產公司、事業單位和分銷/渠道/代理商的收入）

基于首創的“網絡安全三元論”——信息技術、業務應用和網絡攻防，數世咨詢將能力圖譜分為八大方向：信息基礎設施保護、信息計算環境保護；行業環境安全、應用場景安全；基礎與通用技術、體系框架、安全運營和數據安全。同時，網絡安全能力圖譜的名稱也相應迭代成“數字安全能力圖譜”。 

根據“專精特新”的技術先進性和落地可行性，數世咨詢提出：

2021年度數字安全十大創新技術

1、內存保護

2、AD域安全

3、API安全

4、全棧云原生安全

5、IPV6架構安全

6、漏洞優先級技術

7、攻擊面管理

8、入侵攻擊模擬

9、數據訪問安全域

10、隱私計算

2、資本市場

據數世咨詢統計，2021年國內數字安全融資筆數達到180余次，股權投資總額約158.9億，與去年相比增長52%。

數世咨詢供圖，轉載請注明來源

海外資本市場方面，融資次數200余筆，股權融資總額約為173億美元，收并購金額達到592億美元。

數世咨詢供圖，轉載請注明來源

重要結論

? 2021年數字安全行業股權融資漲幅激增，但與國外500多億美元的收并購金額相比，國內的收并購微乎其微。一是反映出國內的安全企業體量較小，二是國內的安全產業還處于早期發展階段。 

? 數據安全、威脅檢測與響應、開發安全、安全運營、工業互聯網安全、身份安全是全球投融資方向熱點，意味著信息技術、業務場景與網絡安全的加速融合，數字安全時代已經來臨。

2021年度八大收并購事件

1、Partners收購McAfee，140億美元

2、Thoma Bravo收購proofpoint，123億美元

3、Avast PLC并購NortoLifeLock，86億美元

4、Okta收購Auth0，65億美元

5、Permiranhmq收購Mimecast，58億美元

6、TransUnion收購Neustar，31億美元

7、TPG Capital收購Thyoctic，14億美元

8、STG收購FireEye，12億美元

四、國家安全與法規政策篇

1、國家安全

1月，依據美國總統特朗普之前發布的行政令，紐交所取消三家中國電信公司上市資格，中國電信、中國移動和中國聯通（香港）于1月7日至11日退市。

1月，聯邦調查局（FBI）、國土安全部網絡安全和基礎設施安全局 (CISA)、國家情報總監辦公室 (ODNI) 和國家安全局 (NSA) 發表聯合聲明，稱最近發生的 SolarWinds 漏洞和對政府網絡的攻擊主要是“情報收集工作”，并指出俄羅斯可能是襲擊的肇事者。 

1月，行將卸任的美國總統特朗普簽署了一項新的行政命令，對 8 個中國應用程序發出禁令，包括支付寶、CamScanner、QQ錢包、SHAREit、騰訊QQ、VMate、微信支付、WPS Office。

1月，美國國務院宣布將成立一個新的網絡安全和技術機構——網絡空間安全與新興技術局 (CSET) ，其將作為美國網絡安全利益的外交機構。

2月，美國指控朝鮮三名軍事黑客在全球范圍內實施了“廣泛且長期”的網絡攻擊和金融犯罪，其中包括從世界各地的組織竊取 13 億美元的資金和加密貨幣。

2月，英國最高情報和安全機構 GCHQ 在“開拓新型國家安全”報告中披露其重磅投入的人工智能情況。由于GCHQ處理的大量數據給安全機構和執法機構帶來了巨大壓力，人工智能可以減輕這種負擔，不僅可以提高速度，還可以提高專家決策的質量。 

3月，美國網絡安全和基礎設施安全局 (CISA) 在發布針對 Microsoft Exchange 中的零日漏洞的修復程序后又發布了一項緊急指令，CISA 表示，合作伙伴組織已經檢測到“對 Microsoft Exchange 部署產品的漏洞利用”，要求聯邦機構立即著手解決。 

3月，《紐約時報》發表了一篇報道，闡述美國“在接下來的三周內將針對俄羅斯網絡進行一系列秘密行動”。

3月，美國國家情報局發布評估報告，稱俄羅斯、伊朗試圖干擾 2020 年選舉。報告中稱“在選舉日之前的州、地方政府網絡中出現了一些成功的網絡攻擊行為——以及大量不成功的嘗試”，這些攻擊“并非旨在改變選舉程序”，而是“散布虛假或夸大的聲明，聲稱所謂的投票系統妥協，以破壞公眾對選舉程序和結果的信心。”

4月，澳大利亞維多利亞州政府計劃總投資 3000 萬澳元，升級和現代化該州 28 家醫院和醫療服務機構的 IT 基礎設施，以防范進一步的網絡攻擊。3000 萬澳元將分配給墨爾本的醫院以及區域和農村衛生服務。墨爾本醫院將獲得近 2200 萬澳元的大部分份額，而剩余的 800 萬澳元將分配給區域和農村衛生服務。

4月，美國因 SolarWinds 網絡攻擊制裁俄羅斯并驅逐 10 名外交官。美國財政部對俄羅斯實施了全面制裁，理由是俄羅斯“破壞了美國自由公平選舉和民主制度的進行”，并因其在 SolarWinds 黑客活動中的作用而對俄羅斯實施了全面制裁，同時還禁止了六家科技公司在為俄羅斯情報部門運行的網絡計劃提供支持的國家。此外，拜登政府還驅逐了俄羅斯駐華盛頓外交使團的10 名成員，其中包括其情報部門的代表。

4月，拜登政府宣布了一系列強有力的、協調一致的懲罰措施，以應對俄羅斯日益增長的惡意行為，包括對 SolarWind 軟件的大規模黑客攻擊、試圖干預 2020 年大選以及其他針對美國的破壞性行為。

4月，聯邦調查局和國土安全部發布公告，就俄羅斯外國情報局 (SVR) 通過 APT 29（又名 Dukes、Cozy Bear、Yttrium 和 CozyDuke）的網絡威脅發布了聯合網絡安全咨詢。該公告主要著眼于 APT 29 帶來的威脅、其方法的演變以及防御最佳實踐。

5月，FBI、NSA、CISA 和 NCSC 就俄羅斯外國情報局 (SVR) 活動發布聯合咨詢報告，該報告描述了有關 SVR 活動的更多詳細信息，包括在 SolarWinds Orion 軟件泄露之后的漏洞利用，以及使用各種技術工具，針對全球范圍內的海外政府、外交、智囊團、醫療保健和能源等目標開展情報獲取行動。

5月，作為 2021 年聯邦預算的一部分，澳大利亞安全情報組織 (ASIO) 成為 19 億澳元國家安全資金池的大贏家，獲得了為期 10 年的資金支持。這筆 13 億澳元的資金將用于建立 ASIO 保護澳大利亞和澳大利亞人免受安全威脅的能力。

5月，英國將斥資 2200 萬英鎊影響印太國家針對“專制政權”的網絡安全政策。這筆資金將用于“國家級網絡響應團隊”，其目的是“加強網絡調查合作”，以應對可能由國家支持的對企業和數字基礎設施的攻擊。

5月，國土安全部在Colonial 油管事件后發布新的管道網絡安全指南，新規要求管道運營商向 CISA 報告任何網絡安全事件，并聘請可以 24/7 全天候待命的網絡安全協調員。

6月，拜登發布了一項行政命令，以擴大特朗普時代禁止中國科技和國防公司接受美國投資的禁令，黑名單將從 31 家增加到 59 家。拜登在命令中表示，有必要采取更多措施來應對“中國軍工綜合體及其參與軍事、情報和安全研究與開發計劃以及武器和相關中國軍民融合戰略下的裝備生產。”

6月，拜登與普京在日內瓦進行了近四個小時的會晤，他和俄羅斯總統弗拉基米爾普京同意將兩國的網絡安全專家召集在一起，就網絡活動的“禁區”以及美國和俄羅斯將如何“遵循”建立“具體理解”。他向普京提供了一份包括能源和水在內的大約 16 個關鍵基礎設施部門的清單，這些部門應該是黑客“禁區”。拜登沒有提供更多細節，但指出如果俄羅斯違反“這些基本規范”，美國將使用“重要的網絡能力”。

6月，俄羅斯電信和媒體監管機構 Roskomnadzor (RKN) 周四對該國的VyprVPN和Opera VPN服務實施了限制。2019 年 3 月 28 日，俄羅斯政府曾要求VPN、匿名器和搜索引擎運營商保證他們通過聯邦國家信息系統 (FSIS) 阻止 Roskomnadzor (RKN) 指定的站點。據俄羅斯國際文傳電訊社報道，卡巴斯基實驗室是唯一一家符合要求的公司。另一家網絡安全供應商 Avast遵循該命令退出了 VPN 市場。

6月，惡意軟件分析小組稱，韓國核研究機構被朝鮮附屬網絡攻擊者攻破。惡意軟件分析組織 IssueMakersLab 在一份報告中表示，它于 5 月 14 日檢測到針對韓國原子能研究所 (KAERI)的攻擊。這次攻擊的 13 個互聯網地址來源中，其中一個可以追溯到朝鮮黑客組織 Kimsuky。

6月，波蘭執政的右翼政黨表示，最近從俄羅斯發起了針對波蘭高級政客的“大規模”網絡攻擊。波蘭的高級官員、部長、各種政治派別的立法者都是網絡攻擊的對象。

6月，歐盟（EU）計劃成立一個新的網絡安全工作組，以應對整個歐盟的網絡攻擊。該工作組被稱為聯合網絡部門，將幫助遭受網絡攻擊的成員國尋求歐盟國家的幫助。此外，還將部署快速響應團隊，實時應對黑客。該工作組與華盛頓新提議的勒索軟件工作組非常相似，但歐盟的版本將協調整個歐盟網絡機構/當局之間的當前工作。

6月，澳大利亞聯邦政府已將其 7000 萬澳元的網絡安全技能合作創新基金中的 820 萬澳元用于八個項目，旨在提高澳大利亞網絡安全專業人員的技能和可用性。

7月，美國國家安全局 (NSA) 和美國國土安全部的網絡安全和基礎設施安全局 (CISA) 共同發布了一份警告，聲稱俄羅斯軍事情報機構 GRU 開始對美國和全球組織進行廣泛的網絡攻擊。攻擊目標覆蓋能源、政府、政治、國防、后勤、智庫、媒體、法律和高等教育等部門。

7月，美國國家標準技術研究所NIST 定義了具有廣泛安全功能的“關鍵軟件”，目的是為美國政府購買的軟件啟用更可靠的安全實踐。NIST 的定義“應反映功能所需的特權或訪問級別，與其他軟件的集成和依賴關系，對網絡和計算資源的直接訪問，對信任至關重要的功能與性能，以及如果受到損害的潛在危害。” 

7月，日本防衛省宣布計劃通過增加人員幫助其防御日益復雜的網絡攻擊。根據日經新聞的一份報告，該部希望在2022 年 3 月底之前再增加 800 名員工，這將使日本政府的網絡安全防御部門從大約 660 人增加到近 1,500 人。招聘人員的一部分將包括從私營企業招聘。

7月，美國國務院宣布懸賞 1000 萬美元，獎勵任何有關為外國政府工作的黑客的信息。這包括針對“關鍵基礎設施”的勒索軟件攻擊。 

7月，英國政府表示，今年早些時候的 Microsoft Exchange Server 攻擊是由中國國家黑客團隊實施的“系統性網絡破壞”，其中包括為一家間諜機構工作的私人承包商。通過在 Exchange Server 中使用四個0day漏洞，攻擊者對地方政府、國防和航空航天公司、教育機構等目標進行了間諜活動。

7月，美國司法部周一宣布對四名中國公民提出指控，指控他們是一個黑客組織的成員，該組織在 2011 年至 2018 年間襲擊了“美國和國外的公司、大學和政府實體”。該組織還襲擊了美國、印度尼西亞、馬來西亞、挪威、沙特阿拉伯、南非、瑞士、英國、奧地利、柬埔寨、加拿大和德國的公司。大多數攻擊針對國防、教育、醫療保健、生物制藥和航空領域的公司。 

8月，美國網絡安全和基礎設施安全局 (CISA) 宣布成立一個名為“聯合網絡防御協作組織”(JCDC) 的機構，目的是讓私營部門與政府機構合作，以便他們能夠制定和實施比目前實施的更好的網絡安全計劃。首批行業參與者是 Amazon Web Services、AT&T、Crowdstrike、FireEye Mandiant、谷歌、Lumen、微軟、Palo Alto Networks 和 Verizon。

8月，英國監控攝像頭專員就中國侵犯人權問題對海康威視進行質詢。擔心由在英國運營的海康威視等公司制造的面部識別攝像頭正在收集面部識別數據，這些數據可以然后被中國政府使用。

8月，瑞士郵政與法國漏洞賞金平臺 YesWeHack 合作推出漏洞賞金計劃，全球 800 多名安全研究人員可以在該計劃中尋找電子投票系統中的漏洞。現在，該組織表示愿意支付“高達 230,000 歐元甚至更高的獎勵，用于確認電子投票中的高危漏洞”。

9月，美國司法部 (DoJ) 于 9 月 14 日宣布與兩名美國公民和一名前美國公民達成延期起訴協議，這三人代表阿拉伯聯合酋長國 (UAE) 將受保護的信息 (ITAR/AECA) 轉移到阿聯酋，并進行了危害美國實體的網絡操作。這三人都是美國情報界（據信是國家安全局）或美國軍方的前成員。

9月，澳大利亞維多利亞州啟動為期五年、耗資 5000 萬澳元的網絡戰略。新戰略基于三個核心任務：改善政府服務提供、創建網絡安全場所和創建“充滿活力的”網絡經濟。

9月，美國聯邦通信委員會 (FCC)為小型運營商出臺補償計劃，小型運營商可申請共計 19 億美元的資金，以剝離和更換華為、中興通訊的網絡設備和服務。

9月，網絡安全公司 Group-IB 的首席執行官在俄羅斯因叛國罪被捕，這家俄羅斯網絡安全公司于 2018 年底將總部遷往新加坡。

10月，微軟發布數字防御報告：58% 的國家網絡攻擊來自俄羅斯，其次是朝鮮 (23%)、伊朗 (11%)、中國 (8%) 和韓國。數據顯示，俄羅斯的攻擊“越來越有效”，從去年的 21% 成功入侵率上升到今年的 32%。他們還針對更多政府機構進行情報收集，這一目標從去年的 3% 躍升至 2021 年的 53%。微軟數據顯示，俄羅斯的攻擊主要針對美國、烏克蘭和英國。

10月，網絡安全和基礎設施安全局 (CISA)、聯邦調查局和國家安全局 (NSA) 發布了關于 BlackMatter 勒索軟件的警告，警告說在過去幾個月中，兩家美國食品和農業公司以及關鍵基礎設施機構均遭受了惡意代碼攻擊。美國國家安全局局長表示，勒索軟件已成為“國家安全問題”。

10月，美國聯邦通信委員會（FCC）取消了中國電信在美國運營的權限，并給予其60天的時間停止提供國內和國際服務。該委員會援引特朗普時代司法部的建議稱，中國電信美國“未能反駁”委員會所提出的一系列擔憂。

11月，拜登政府計劃成立網絡空間和數字政策局。新機構將增加 500 個新的公務員職位、增加 50% 的信息技術預算，并將網絡安全作為核心優先事項。重點在制定必要的國際協議上，以懲罰經常受到中國等非盟國政府庇護的網絡攻擊者，俄羅斯、伊朗和朝鮮。

11月，美國商務部已制裁四家網絡安全公司，因為它們涉嫌向壓制性的外國政府出售間諜軟件和其他黑客工具。這四家公司分別是以色列公司 NSO Group 和 Candiru 以及總部位于俄羅斯的 Positive Technologies 和總部位于新加坡的Computer Security Initiative Consultancy (COSEINC) 。

11月，國會通過了拜登總統的標志性立法之一，即價值 1 萬億美元的基礎設施投資和就業法案。法案不僅承諾對國家基礎設施進行大規模升級，而且還將政府網絡安全支出增加 19 億美元。包括一項新的 10 億美元贈款計劃，以幫助州、地方、地區政府保護自己免受惡意攻擊者的侵害，保護敏感數據、信息和公共關鍵基礎設施。

重要結論

? 美國、英國、澳大利亞、日本等發達國家持續大力投入網絡安全，凸現出其在經濟、政治、國防、公共服務方面對網絡安全的擔憂。

? 供應鏈安全、軟件和系統漏洞、勒索軟件為網絡攻擊的重要手段，尤其是勒索軟件，已被美國國家安全局定義為“國家安全問題”。

? 美國持續加強網絡安全相關的禁令和制裁，從經濟、政治和司法等層面打壓和指控俄羅斯、朝鮮、伊朗、中國等國家。

2、法規政策

國內法規政策

1月，工信部印發《工業互聯網創新發展行動計劃（2021-2023年）》，提出5項發展目標，明確11項重點工作任務，這也是工業互聯網的第二個三年行動計劃。

1月，《中國銀保監會監管數據安全管理辦法（試行）》發布

1月，最高檢印發《人民檢察院辦理網絡犯罪案件規定》

2月，國家市場監督管理總局(國家標準化管理委員會)發布強制性國標GB40050-2021《網絡關鍵設備安全通用要求》

3月，“十四五”規劃與2035年目標發布，“發展”和“安全”作為兩個最重要關鍵詞，對網絡安全作出重要部署

4月，《中華人民共和國數據安全法（草案）》全文發布

4月，國家安全部公布2021年第1號令《反間諜安全防范工作規定》

4月，《數據安全法（草案）》（二次審議稿）全文發布

4月，《關鍵信息基礎設施安全保護條例》于國務院第133次常務會議通過

6月，《中華人民共和國數據安全法》于（2021年6月10日第十三屆全國人民代表大會常務委員會第二十九次會議通過，并于9月1日起施行

7月，中辦、國辦：加強跨境監管，壓實境外上市公司信息安全主體責任

7月，工信部、網信辦、公安部三部門聯合印發關于網絡產品安全漏洞管理規定的通知

8月，中央解密《黨委（黨組）網絡安全工作責任制實施辦法》

8月，網信辦、發改委、工信部、公安部、交通部五部門聯合發布《汽車數據安全管理若干規定（試行）》

8月，國務院公布《關鍵信息基礎設施安全保護條例》，2021年9月1日起施行

8月，人大常委會會議通過并公布《中華人民共和國個人信息保護法》，2021年11月1日起施行

9月，工信布發布《工業和信息化領域數據安全管理辦法（試行）（征求意見稿）》公開征求意見

10月，國家互聯網信息辦發布《數據出境安全評估辦法（征求意見稿）》 

11月，國家互聯網信息辦發布《網絡數據安全管理條例（征求意見稿）》

12月，湖南省第十三屆人民代表大會常務委員會第二十七次會議通過《湖南省網絡安全和信息化條例》，2022年1月1日起施行

重要結論

? 數據安全、個人信息保護、關鍵信息基礎設施保護是今年網絡安全政策中的重中之重。

國外法規政策

1月，美國發布海事部門網絡安全計劃，旨在為包括數十萬條主要水道、造船廠、港口和橋梁提供安全保護。

1月，美國國家安全局發布企業采用加密域名系統協議的指南。

2月，新加坡通過法案，用以管理警察使用密切接觸者追蹤數據。

2月，美國弗吉尼亞州立法者推進消費者數據保護法案。

2月，澳大利亞為成年人制定的網絡濫用移除計劃法案進入議會。

2月，歐洲網絡與信息安全局發布醫療保健服務云安全指南

2月，斐濟頒布《2021年網絡犯罪法》

2月，美國國會提交網絡外交法案，旨在提升美國的全球網絡安全地位

3月，美國國家安全局發布零信任安全指南

3月，新加坡發布遠程辦公安全風險管理指南

3月，美國弗吉尼亞州數據保護法案簽署通過成為法律

3月，美國國家安全局和國土安全部發布PDNS 聯合指南

3月，美國白宮發布《國家安全戰略臨時綱要》 

3月，澳大利亞政府建議通過凈化網絡環境以對抗勒索軟件

3月，美國眾議院擬公國法案允許美國人起訴外國網絡安全從業者

3月，英國計劃出臺新法律，以應對警察利用手機短信進行執法

3月，澳眾議院通過《在線安全法》，而參議院正以反對意見影響特別委員會

4月，美國白宮啟動防護計劃，保護美國關鍵基礎設施免受網絡攻擊

4月，美國網絡安全和基礎設施安全局發布防御軟件供應鏈攻擊指南

4月，保護英國免受有害外國投資的法案簽署通過成為法律

5月，美國國家安全局發布 IT-OT 連接保護指南

5月，拜登政府發布雄心勃勃的網絡安全行政命令，旨在制定“改善國家網絡安全和保護聯邦政府網絡的新途徑”

5月，歐盟擴大網絡攻擊制裁框架

5月，美國網絡安全和基礎設施安全局發布針對威脅情報分析MITRE ATT&CK 指南

6月，美國國家安全局發布企業通信系統保護指南

6月，美眾議院通過新法案旨在提高美國人的安全意識

7月，美國科羅拉多州成為最新一個通過數據隱私法的州

7月，美國針對Colonial勒索軟件攻擊，美國土安全部發布新的管道強制性網絡安全規定

7月，出于對中國的擔憂，美國土安全部發布針對管道運營商的第二道指令

7月，美眾議院通過多項網絡安全法案，重點關注關鍵基礎設施和工業控制系統網絡安全

7月，美國發布“關鍵軟件”安全指南

7月，美國國會18項新網絡安全法案出臺

7月，拜登政府指定網絡安全和基礎設施安全局和美國國家標準技術研究所為關鍵基礎設施制定網絡安全性能目標

7月，美國網絡安全和基礎設施安全局推出新的漏洞披露政策平臺

8月，美國國家安全局和網絡安全和基礎設施安全局發布Kubernetes安全指南

8月，美國基礎設施法案規定網絡安全撥款20億美元

8月，美國網絡安全和基礎設施安全局發布勒索軟件防御和響應指南

8月，澳大利亞議院作出60項修正案后，澳大利亞的“黑客”法案在參議院獲得通過

9月，美國國家安全局和網絡安全與基礎設施安全局發布關于VPN的選擇和保護指南

10月，美國運輸安全管理局發布針對火車和飛機的新網絡安全規定

10月，歐盟歐洲議會通過非約束性決議禁止面部識別

10月，美國政府宣布一項新倡議，要求承包商對網絡安全負責

10月，新加坡調整網絡安全戰略，新戰略以OT為重點

10月，拜登簽署《K-12學校網絡安全法案》

10月，30國承諾在美國主導的全球會議上打擊勒索軟件攻擊

10月，美國推出新規對網絡攻防工具出口進行管控

10月，美國國家安全局、網絡安全和基礎設施安全局發布5G云安全指南

11月，美國網絡安全和基礎設施安全局新指令以修補已知的被利用的漏洞

11月，美國美國會通過《基礎設施投資和就業法案》

11月，美國五角大樓宣布其備受爭議的CMMC計劃2.0版

11月，澳大利亞內政部發布關鍵技術供應鏈安全新規

11月，英國政府發布技術收購安全規則指南

11月，美國網絡安全和基礎設施安全局發布事件和漏洞響應手冊

11月，英國政府發布物聯網與智能手機安全法草案供議會審查

11月，美國網絡安全和基礎設施安全局發布企業移動設備保護指南

12月，美國土安全部：網絡安全協調員與漏洞脆弱性評估成為鐵路公司強制要求

12月，美國運輸安全管理局發布新的指令和建議，要求鐵路和機場加強網絡安全

12月，澳大利亞內政部發布第二項關鍵基礎設施法案，包含了《2021年安全立法修正案（關鍵基礎設施）法案》中排除的義務

12月，美國和澳大利亞就跨境獲取電子證據達成 “云法案”協議（澄清合法境外使用數據法案 Clarifying Lawful Overseas Use of Data Act - CLOUD Act）

12月，美國參議院通過7680億美元國防法案，其中包含網絡安全條款

重要結論

? 美國網絡安全監管機構聯合研究部門加強網絡安全的商業、技術、行業的管理，并有逐漸細化的趨勢。

結語

在網絡安全三十年的發展歷程中，從概念變遷的角度來看，網絡安全分別經歷了計算機安全時代，信息安全時代和網絡空間安全時代，市場規模也從不到數億元發展到近千億元的市場規模。過去這三十年來，我們一直談論的是計算機世界、網絡世界，而現在，我們已經站在數字世界時代的門口。

數字世界與網絡世界最大的區別在于兩點，一是萬物互聯，二是數據驅動。網絡世界的連接是為了提升人與工具以及人與人的交互，在這個基礎上，數字世界的連接是要創造一個數字孿生空間，而創造這個空間最重要的目的之一，就是要最大限度的挖掘數據的價值。簡而言之，網絡世界以信息交互為主，數據是交互產生的重要資產。而數字世界以萬物互聯為基礎，數據上升為生產要素。網絡連接與數據分析的結合就成為數字世界，網絡安全與數據安全的結合就是數字安全。

今天是2022年第一天，網絡安全行業也已邁入到一個新的時代，數字安全時代。讓我們開啟征程，共同迎接新的挑戰與機遇！