數據報告：新網絡攻擊日益橫生，自主可控是保護我國網絡安全的關鍵

當前，是我國數字經濟高速建設和發展的重要階段，大數據成為數字時代的核心戰略資源，對國家治理能力、經濟運行機制、社會生活方式產生深刻影響。在大量新型互聯網產品和服務應運而生的背景下，安全漏洞、數據泄露、電信網絡詐騙、勒索病毒等網絡安全威脅日益凸顯，有組織、有目的的網絡攻擊數量增多，給網絡安全防護工作帶來更多挑戰。如何確保數據安全和信息安全成為社會共同矚目的話題。

日前，國家計算機網絡應急技術處理協調中心（CNCERT）發布的《2020年中國互聯網網絡安全報告》顯示，APT攻擊行動高發，勒索病毒技術手段不斷升級，數據泄露風險突出，歷史重大漏洞利用問題嚴重；此外，網頁仿冒詐騙增多，工控系統安全風險嚴峻等新問題不斷涌現。

• 近五年來，勒索病毒持續活躍，2020年全年捕獲勒索病毒軟件78.1萬余個，較2019年增長6.8%。勒索病毒逐漸從“廣撒網”轉向定向攻擊，表現出更強的針對性，攻擊目標主要是大型高價值機構。
• 2020年全年新增收錄通用軟硬件漏洞數量創歷史新高，達20704個，同比增長27.9%；近五年來新增收錄漏洞數量呈顯著增長態勢，年均增長率為17.6%。
• 受新冠肺炎疫情影響，大量行政審批轉向線上。2020年年底，出現大量以“統一企業執照信息管理系統”為標題的仿冒頁面，僅11月~12月即監測發現此類仿冒頁面5.3萬余個。此外，監測還發現大量以“核酸檢測”“新冠疫苗預約”等為標題的仿冒頁面，其目的在于非法獲取用戶姓名、住址、身份證號、手機號等個人隱私信息。

另外，國外組織Datto發布了“2021年全球勒索軟件報告”，包括一項來自全球1000多家托管服務提供商（MSP）調查的統計數據顯示：

• 勒索軟件仍是第一大惡意軟件威脅。近70%的MSP報告說，勒索軟件是SMB最常見的惡意軟件威脅。
• 釣魚郵件在成功攻擊向量列表中名列前茅。

Datto認為網絡安全教育不足、密碼薄弱和用戶操作不當是造成這些網絡攻擊的主要原因。

越來越猖獗、越來越棘手的網絡攻擊是全球要面對的問題，也是我國要慎重看待的重要問題。隨著新興領域的大批興起，面對新型網絡攻擊的出現，我們應該如何應對。

1. 首先在技術設施領域，要持續提升數據安全的產業基礎能力，構筑技術領先、自主創新的數據基座，確保數據基礎設施安全可靠。密碼技術是保護數據安全最直接最有效的方式之一，要不斷強化數據安全領域關鍵基礎技術的研究與應用，在芯片、操作系統、人工智能等方面，加強密碼技術基礎研究，推進密碼技術的成果轉化，確保基礎軟件自主可控。
2. 針對網頁仿冒和釣魚郵件的問題，可以通過部署國密SSL證書和采用加密郵件的方式來進行保護。使用HTTPS加密是最基礎的網站數據加密手段，通過部署自主可控的國密SSL證書使 “HTTP”成為“HTTPS”，能夠確保企業網站的信息內容從客戶瀏覽器到服務器之間的傳送是具備高強度加密傳輸，抵抗頁面仿冒和勒索攻擊的危害。
3. 加密郵件是保證郵件傳輸安全和存儲安全的關鍵。使用國產加密郵件客戶端，實現電子郵件的全自動加密和數字簽名，保證數字簽名的全球信任和用戶身份的真實可信，不僅解決郵件泄密問題，而且同時解決郵件欺詐的難題。
4. 嚴格執行我國相關網絡安全法律法規規定。目前我國網絡安全法律法規體系日臻完善。國家互聯網信息辦公室等12個部門聯合制定和發布《網絡安全審查辦法》，全國人大法工委制定的《數據安全法》和《個人信息保護法》、《密碼法》等施行。中共中央印發《法治社會建設實施綱要（2020-2025年）》要求依法治理網絡空間。
5. 堅決執行等保測評和密評要求。等級保護制度是我國網絡安全的基本制度。指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。商用密碼應用安全性評估（簡稱“密評”），是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性進行評估。以評促建、以評促改、以評促用，逐步規范商用密碼的使用和管理，改變密碼應用不廣泛，不規范和不安全的現狀。