1.1 网络安全概述

网络空间已成为继海洋、陆地、天空、外太空之外人类活动的第五空间，网络空间主权是国家主权的一个新方向，合理治理网络空间安全已成为国家治理体系的重要组成部分。2017年6月1日实施的《网络安全法》明确给出网络安全的定义。网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。当前，国际网络安全发展势头迅猛，在网络安全政策、建设、安全技术及产品等方面成果显著，各国都在积极适应当前国际网络安全形势，积极调整和出台网络空间安全战略部署，维护网络安全，网络安全也呈现出一些新的特点。

1.1.1 网络安全发展现状与形势

虽然我国网络信息技术和网络安全保障工作成绩斐然，但是由于发展时间较短以及技术障碍等因素，目前与世界先进水平相比仍然存在较大差距。国际与国内网络安全现状与形势既存在相同点，又有很多不同之处。

1.国际网络安全现状与形势

世界各国普遍面临严重的网络安全威胁。国际网络安全现状与形势具有下面几个特点：

（1）全球网络空间安全态势严峻，攻防呈现新特性

全球网络攻防对抗的频率、强度、规模和影响力持续升级。包括我国在内的多个国家成为黑客攻击的主要目标。例如，国际黑客组织匿名者（Anonymous）曾联合多国黑客发动对我国的网络攻击；2013年，“棱镜门”事件曝光美国网络监控多国；2016年，Mirai僵尸网发起物联网DDoS攻击，致使半个美国瘫痪；2017年，WannaCry勒索病毒全球肆虐；2020年，疫情蔓延全球期间，众多APT组织发起的针对美国、德国等国家的网络攻击日益频繁。随着新时期网络信息化的迅速发展，网络攻防呈现新特性、新趋势：网络攻击手段日趋复杂多变；网络攻击工具化、规模化；攻击类型从短时、突发攻击向高级别、持续性攻击转变；攻击范围从局部地区逐步向全球范围扩散；网络攻击性质从简单的以破坏为目的，转向利用网络攻击获取情报或进行金融犯罪；网络攻击对象从最初的计算机逐步向通过网络连接的人、物、事渗透；网络攻击形式从个体作案转向平台、组织与高科技作案；网络攻击行为主体具有自组织性，既有来自普通黑客、恐怖分子的攻击，也有国家级、有组织的攻击，甚至还有来自政府、网络部队的攻击；网络攻击危害程度严重，可导致国家关键信息基础设施系统瘫痪、重要数据资源泄露、工业领域停产等严重后果。

（2）数据安全和个人信息保护形势严峻，超大规模数据泄露趋于常态化

数据泄露事件频发，危害触目惊心，泄露的数据涉及政府数据、医疗信息、个人账号、军工情报等信息，对国家安全、企业利益、个人隐私造成了极大威胁。例如，Facebook数据“泄露门”事件涉嫌操控美国大选；2017年，五角大楼AWS S3配置错误，意外在线暴露包含全球18亿用户的社交信息；2018年，数据库Aadhaar被曝遭网络攻击，导致印度11亿公民身份敏感信息泄露，引起恐慌；2020年，美国维瑟精密公司遭受勒索软件的网络攻击，导致国防工业敏感文件被窃取，对相关技术知识产权和国家安全构成了潜在威胁。

随着数据价值的急速攀升，保护难度也在逐渐增大。近年来，各国加快推进数据安全和个人信息保护立法，加快构建国家数据安全保障体系。例如，欧盟已形成完善的数据利用和保护法律体系，以GDPR为核心，促进欧盟境内数据自由流动、控制数据向境外流动的法律保障体系逐渐成形；英国发布《新数据保护法案》，强化个人数据保护，增加数据可携带权、被遗忘权，强化机构的数据保护责任，并增进与刑事司法机构合作，确保与欧盟GDPR条例和指令的协调。

（3）新技术、新业务领域活力涌现，带来全新安全挑战

大数据、物联网、人工智能、区块链等新技术市场规模保持高位增长，发展潜力巨大，新技术、新应用在为产业发展提供强大动力的同时，也带来了管理和技术上的双重挑战。人工智能可驱动自动化、智能化的网络攻击，加大安全防御难度，2018年2月，牛津大学、剑桥大学等全球14家顶尖机构专家发布报告，警惕人工智能催生新型网络犯罪、实体攻击和政治颠覆。物联网安全风险威胁账户隐私保护，2017年2月，互联网填充智能玩具泰迪熊的用户数据泄露，暴露了超过80万个账户的电子邮件地址及密码。区块链的匿名性、防篡改等技术特性可为恶意行为提供逃避监管的天然庇护。2017年，美国参议院通过国防法案，研究网络罪犯利用区块链技术造成的危害。

（4）欧美等国网络安全人才培养体制趋于成熟

美国、英国等国家将网络安全人才培养列入国家战略，进行立法保障，并加强高校的学历教育培养，注重各年龄段的全面动员普及，已形成政、产、学、研、用一体化的培养体系。美国多维度完善网络安全人才培养机制，出台系统的网络安全人才战略规划，建立多层次、贯穿终生的培养机制。欧洲注重专业教育和全民安全普及，制定网络安全人才战略规划，加强高校对网络安全专家培养，建立专业认证培训方案，注重提升全民网络安全意识。

2.我国网络安全现状与形势

没有网络安全就没有国家安全。我国高度重视网络安全，不断加大对网络安全领域的投入力度，相继出台多部法律、多项政策等，推动国内网络安全行业持续健康发展。当前我国网络安全现状与形势具有以下特点。

（1）国家加速网络安全领域立法工作

2017年6月1日，我国首部网络安全领域的法律——《网络安全法》正式施行，加速了我国网络安全领域的立法工作。近年来，我国出台的网络安全相关法律法规有《中华人民共和国密码法》《网络安全审查办法》《网络安全等级保护条例（征求意见稿）》《中华人民共和国数据安全法》《公共互联网网络安全威胁监测与处置办法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等。

（2）高危漏洞被曝，危害我国网络安全

攻击者通常利用漏洞对目标网站或系统发起植入后门、网页篡改等远程攻击操作，对网络安全构成了严重的安全隐患。2022年上半年，国家信息安全漏洞共享平台（CNVD）新收录的通用软硬件漏洞数量创下历史新高，达12466个，影响范围非常广。2019年，CNVD联合国内网络安全产品厂商、企业、科研机构和白帽子个体，完成对约3.2万起漏洞事件的验证、通报和处置工作。安全漏洞主要涵盖的厂商或平台为谷歌、WordPress和甲骨文，按影响对象分类统计，排名前三的是应用程序漏洞（占57.8%）、Web应用漏洞（占18.7%）、操作系统漏洞（占10.6%）。此外，近年来，“零日”漏洞收录数量持续走高，年均增长率达47.5%，使得我国网络安全可能面临严重的安全威胁。

（3）数据安全防护意识薄弱，个人信息和数据泄露事件频发

近年来，MongoDB和Elastic Search数据库被曝出存在严重的安全漏洞，使得我国境内使用这两类数据库的大量用户存在或面临数据泄露的安全风险。2019年，国家计算机网络应急技术处理协调中心（CNCERT）全年累计发现我国重要数据泄露风险与事件3000余起，涉及我国多个重要行业。此外，涉及公民个人信息的数据库数据安全事件频发，违法交易藏入“暗网”。数据泄露、未授权访问及个人信息非法贩卖等事件频发，使得我国数据安全与个人隐私面临严重挑战。

（4）积极推进网络安全人才队伍建设与培养

随着网络安全态势的日益严峻，我国目前的网络安全人才数量无法满足社会需求。近年来，我国多措并举，从人才培养政策、一级学科建设、安全产业园区、开展竞赛、校企合作以及网络安全宣传周活动等方面，积极推动网络安全人才队伍的建设与培养。在政策支持方面，我国出台的《关于加强网络安全学科建设和人才培养的意见》《网络安全法》等政策文件，明确提出强化网络安全人才培养；在学科建设方面，2015年，教育部将“网络空间安全”设为一级学科，并制定了学位基本要求和教学质量国家标准，我国高校网络安全相关专业点持续增多；在产业园区建设与安全宣传方面，2017年启动国家级网络安全产业园区建设，自2014年以来，每年开展网络安全宣传周活动，大力宣传普及网络安全知识；在竞赛方面，通过强网杯、天府杯、网鼎杯等网络安全竞赛“以赛代练”，挖掘网络安全专门人才，已经成为网络安全人才培养的重要路径；在校企合作方面，校企合作模式在高校和企业间得到有力推动。

（5）网络安全产业发展态势良好，但规模较小

随着关键信息基础设施保护、等级保护2.0系列标准等政策标准的推动，网络安全产业呈现良好态势。信息技术应用创新、安全可控市场需求的逐步释放，将有望推动整体网络安全产业进入下个上升周期。

1.1.2 网络安全面临的挑战

近年来，国内外网络安全事件频发，如2018年4月，黑客利用思科智能安装漏洞，攻击俄罗斯与伊朗的网络基础设施；2019年1月，韩国国防部30台计算机被破坏，存储重要武器和弹药采购信息的数据丢失；2019年9月，IT安全和云数据管理巨头Rubrik数据库中近10GB的客户信息数据遭到泄露；2020年5月5日，委内瑞拉国家电网干线遭到攻击，造成全国大面积停电。随着当前生产生活对网络信息系统依赖性的增强，网络攻击事件的数量仍将不断增多，影响范围也将更加广泛。网络安全领域未来面临的十大网络安全挑战见表1-1。

1.1.3 我国网络安全需关注的问题

面对当前的网络安全形势和挑战，我国网络安全需关注的主要问题有下列几个。

（1）网络安全核心技术亟须实现自主可控，告别“缺芯少魄”进程

我国对国外信息技术产品的依赖度较高，CPU主要依赖英特尔和AMD等厂商，内存主要依赖三星、镁光等厂商，硬盘主要依赖东芝、日立和希捷等厂商，操作系统则被微软所垄断。面对这种不利局面，我国一方面亟须研发出可使用的核心信息技术产品，另一方面亟须对自主可控的网络产品和服务进行评估、扶持与推广，进而构建良好的自主可控生态。

（2）关键信息基础设施安全保障进一步加强，完善安全保障体系

关键信息基础设施的网络攻击不断升级，我国关键信息基础设施的安全保护力度仍然不足。一是网络安全检查评估机制不健全，当前的网络信息安全检查侧重漏洞发现，缺乏对漏洞修复的激励措施以及危害等级的评估体系。二是关键信息基础设施安全保障工作存在标准缺失的问题，尽管行业内已加速开展相关标准的研究工作，但仍缺少金融、电力和通信等细分领域的安全保障标准研究。面对日益严峻的网络安全挑战，我国应尽快制定、完善关键信息基础设施安全保护标准体系、保障体系。

（3）尽快制定国家网络可信身份战略，创建可信网络空间

网络可信身份生态建设仍需进一步加快。一是网络可信身份体系建设的顶层设计不完善，我国还未明确将网络身份管理纳入国家安全战略，也未形成推进网络可信身份体系建设的整体框架和具体路径。二是身份基础资源尚未实现广泛的互联互通，基础可信身份资源数据库还未实现广泛的互通共享，使得数据核查成本较高、效率较低。三是认证技术发展滞后，还不能满足新兴技术和应用的要求。

（4）完善人才培养、激励等机制，加快人才队伍建设

一是加快建立多层次的网络安全人才培养体系。加强高等院校网络空间安全专业建设，支持高等院校创新人才培养模式，与网络安全企业合作，通过产教结合共同培养人才。二是深化网络安全人才流动、评价、激励等机制创新，组织开展网络安全国有企事业单位股权期权激励试点，制定网络安全人才职称评价标准。三是强化重点行业和领域网络安全人员能力建设，开展党政机关网络安全关键岗位梳理工作，制定关键岗位分类规范及能力标准。