第1章 全球发展态势
2020年以来,全球网络空间安全形势复杂严峻,网络环境综合治理难度日益增大。网络安全产业发展增速放缓,新兴技术产品持续涌现。随着各国数字化进程向深走实,产业数字化、数字产业化、数据价值化等领域安全问题引发广泛关注,网络安全新技术不断成熟,推动安全实践和规模化应用,加快探索创新网络安全风险应对新路径。
1.1 网络空间安全形势复杂严峻,网络环境综合治理愈发困难
1.1.1 全球网络攻击强度提升加剧安全威胁
一是漏洞攻击风险加剧,零日漏洞价值凸显。近年来,利用已知漏洞实施的网络攻击事件频发。截至2021年11月,美国国家漏洞库(National Vulnerability Database, NVD)累计收录漏洞超过17万个 ,其中约4%的漏洞已被证明遭到过利用实施网络攻击,且在漏洞公布当天遭到利用的漏洞占比约为42%,在漏洞公布28天内遭到利用的漏洞占比高达75% 。例如,2021年11月曝出的阿帕奇(Apache)Log4j2开源组件漏洞,引发组件及采用组件的开源产品、设备等远程受控风险,漏洞影响波及全球,被认为是“核弹级”漏洞,且Mirai、Muhstic等僵尸网络及Minerd、SnakeMiner等挖矿木马已经开始利用漏洞传播。同时,发现的零日漏洞 数量持续增长。据“零日漏洞追踪计划”统计,2021年1月至11月,共发现零日漏洞超过80个,约为2020年发现零日漏洞数量的两倍 ,如图1.1所示。零日漏洞通常缺乏修补措施,利用其实施的网络攻击成功概率高、危害程度深,已成为网络攻防对抗的重要资源。
图1.1 2006~2021年零日漏洞数量统计
二是网络攻击模式演进升级,迂回规避趋势明显。防御方安全能力的提升加大了网络攻击的实施难度,致使攻击方开始转向以软件供应链、虚拟化逃逸等多种方式,迂回规避防御方网络安全防线,达到实施网络攻击入侵的目的。例如,利用软件供应链上下游信任关系,通过控制软件供应商设备、污染软件产品等方式,利用软件分发、升级等机制,迂回绕过下游用户网络安全防线,远程投递和传播勒索病毒、后门木马等恶意软件,或以虚拟化环境为通道,通过感染虚拟机、虚拟云服务器等,利用虚拟化产品漏洞、设备配置缺陷等实现虚拟化环境的逃逸,进而向用户和网络双向入侵渗透。2020年12月,美国网络安全管理软件供应商“太阳风”(Solar Winds)公司旗下猎户座(Orion)网络管理软件升级包被攻击者植入恶意代码,通过软件升级机制向下游软件用户实施“借道入侵”,多个政府机构和企业的1.8万用户受到影响,相关数据信息遭窃取 ;2021年7月,REvil勒索病毒攻击团伙利用安全漏洞,攻击入侵美国软件供应商卡西亚软件补丁和漏洞管理系统VSA服务器设备,并利用软件更新机制向下游用户软件工作站大规模传播勒索病毒,导致瑞典连锁超市巨头Coop关闭800多家商店服务 。2022年1月14日,由于乌克兰政府网站大规模使用了“OctoberCMS (内容管理系统)”建站程序,且大部分由乌克兰Kitsoft公司开发和管理,攻击者利用OctoberCMS 平台密码重置功能验证绕过漏洞直接获取网站的管理员权限,入侵Kitsoft公司网站管理平台,导致乌克兰外交部等70多个网站遭受攻击。2022年2月28日,黑客组织“匿名者”利用关键基础设施系统和工控系统中开源软件Rapid SCAD存在的安全漏洞,以及通过攻击设备供应商、第三方服务商等供应链获取安全凭证或管理权限来开展网络攻击,造成俄罗斯变电站等关键基础设施网络服务中断、关闭等情况。
三是勒索病毒事件频发,攻击影响侵扰现实世界。勒索病毒是一种极具破坏性、传播性的恶意软件,攻击者主要通过钓鱼邮件、网页挂马等形式传播勒索病毒,或利用漏洞、远程桌面入侵等发起攻击,利用复杂密码算法加密用户数据,从而勒索高额赎金。2021年,勒索病毒攻击事件频发,攻击影响加速向现实世界渗透蔓延,引发服务于生产生活的信息系统停运、工厂停产等严重后果。5月,美国*大成品油管道运营商科洛尼尔(Colonial Pipeline)公司遭到暗面(Darkside)勒索病毒攻击,被迫关闭成品油管道系统,严重影响美国东海岸成品油供应;5月,巴西肉类制造巨头企业JBS遭到REvil病毒勒索攻击,导致其位于美国和加拿大地区的部分工厂停产,影响当地肉类供应;7月,英国北方铁路公司自助售票机系统遭勒索病毒攻击,导致售票网络瘫痪,影响公民正常出行服务。2021年典型勒索病毒攻击事件及造成的影响如图1.2所示。
图1.2 2021年典型勒索病毒攻击事件
1.1.2 新技术网络安全成为国际竞合关注焦点
一是国家层面聚焦前沿技术颁布网络安全战略新方针。为应对复杂严峻的网络空间安全,美国等发达国家致力于通过技术应用增强网络安全防护,并围绕新兴技术构建新的网络安全战略布局。例如,日本从中长期的角度出发规划未来的技术发展及防护趋势,于2021年7月发布*新《网络安全战略》草案,提出在大力发展人工智能技术、量子计算技术等新技术的同时,积极应对新技术深度应用对网络安全防御带来的挑战,并对网络攻击进行分析与共享。美国则采取多措并举的推进路线,加快落地实施零信任等新安全架构。2021年9月,美国管理和预算办公室(Office of Management and Budget, OMB)发布《联邦零信任战略》草案,提出优先使用云技术推进零信任架构落地,应用领域覆盖从军事国防到民事机构等;英国致力于利用先进技术实现数字化转型,加强网络安全能力。11月,英国国防部发布《国防数据战略》,旨在开发基于先进技术的数据系统,通过标准化国防部门数字系统架构,确保数据生命周期的安全可靠;2022年1月,英国政府发布了《2022年国家网络战略》,将“在重要网络技术方面处于领先地位,开发框架确保未来技术安全” 列为五项“优先行动”之一。
二是积极推进安全标准化以实现技术发展的安全引领。各国利用安全技术联盟等战略路径,联合塑造国际网络安全新规则与标准体系,力争在国际网络空间的安全制度规范与技术标准推进方面占据主导地位。例如,为抢先实现6G技术的国际标准化,日本和芬兰的国际研究团队致力于合作开发6G的技术和标准[1]。欧盟、美国尤其重视网络安全的标准牵引和网络安全技术能力建设。美国在2021年发布了《改善国家网络安全行政命令》《确保信息和通信技术及服务供应链安全》《国防部零信任参考架构》等多项文件,多次强调网络安全标准化的重要性,不断提高对供应链安全管理、云计算和隐私保护等方面的网络安全标准重视程度。欧盟则在深化5G、区块链等重点领域技术标准国际合作基础上,进一步加强人工智能、数据安全等重点领域的国际标准的制定,欧盟委员会及欧盟数据保护委员会在2021年4月、9月分别发布了《人工智能法》提案和《GDPR下数据控制者和处理者概念指南1.0》,旨在利用新规推动人工智能标准制定,确保人工智能可信,增强治理和技术领域的话语权。
三是网络安全国际合作逐渐从战略层面下沉到实质性技术层面。各国聚焦网络安全技术国际合作,由早期签署战略层面的网络安全合作协议,转向通过关系社会共同利
展开
