2021年国内网络安全风险评估与总体态势

文│中国信息安全测评中心 磨惟伟

2021年，新冠肺炎疫情持续席卷全球，加剧了国际关系和国际格局的大裂变，世界加速步入动荡变革期。在中美战略博弈进入近身缠斗的大背景下，我国面临的外部环境不稳定性、不确定性更加凸显，传统安全和非传统安全挑战不断增多。尤其是在网络空间领域，各类风险的跨界性、关联性、穿透性、放大性特征显著增强，形成系统性风险的趋势急速攀升。面对空前尖锐的网络安全威胁挑战，党中央、习近平总书记高瞻远瞩、把舵领航，从统筹中华民族伟大复兴战略全局和世界百年未有之大变局出发，以大韬略、大智慧总揽发展和安全两件大事，以大气魄、大手笔谋划中国网络安全发展新格局。

一、2021 年我国网络安全领域面临的主要风险

2021 年以来，我国网络安全风险呈现“新旧交融、复杂交织、连锁联动”的特点。美国对我国网络科技领域的极限施压是当前和今后相当长一段时期影响我国发展外部环境的最大挑战因素。同时，随着数字经济的深入递进，数据安全、供应链安全、新技术新应用安全等风险挑战更是异常突出，必须引起高度警惕。

（一）美国持续滥用国家力量、泛化国家安全概念，强化对我国网络科技企业的技术封锁和极限施压

2021 年，拜登政府上台执政后，虽比特朗普政府略显理性，但在全面围堵、遏制打压中国这一基本战略上并未发生根本转变，一直秉承竞争、对抗与合作“三位一体”的对华战略，尤其是在对华网络安全政策方面，仍延续特朗普政府的强硬政治作风，并在此基础上逐级优化、层层加码，通过叠加效应实现对华技术遏制效果的最优化、最大化。具体手段表现如下。

一是美国颁布系列行政令并斥巨资限制打压华为、中兴等中国网络科技企业的正常经营活动。7 月，美国联邦通信委员会（FCC）滥用科技霸凌，通过了一项价值 19 亿美元（约合 123 亿人民币）的工作计划，鼓励美国通信运营商从其电信网络中拆除华为和中兴等所谓“威胁美国国家安全”的中国公司设备，并由美政府为其报销相关费用。11 月，拜登签署了《2021 安全设备法》，防止华为和中兴从美国监管机构获得新设备许可证，并要求美国联邦通信委员会（FCC）不再审查或批准对国家安全构成威胁的相关设备的任何授权申请，极力阻挠中国高科技企业的正常发展与生产经营。

二是在网络新技术领域，美国持续发动对华“科技冷战”、高筑“数字铁幕”。7 月，美国修订了《出口管理条例》，将 23 家包括众多中国高科技企业在内的中国实体列入出口管制“实体清单”。11 月，在强制要求全球各大半导体制造商向美国提供客户信息等核心机密数据后，美国商务部又火速将中国在量子计算及芯片领域的 12 家中国企业列入“实体清单”，通过推行精准打压、强化对华技术出口管制，实现对我网络科技的封堵围猎与卡脖断供目的。

三是美国全面升级对华情报机构职能体系建设，为开展全方位谍报作战，尤其是为打好数字技术情报战做足充分准备。据美联社报道，10 月，美国中央情报局（CIA）在其内部正式成立专职部门“中国任务中心”。该中心是中情局为数不多的任务中心之一，每周会定期举行局长级会议，定期听取对华情报工作研判与汇报，并积极扩充人员编制，大范围招募精通中国国情和中文的情工人员为美国服务，妄图实现对中国各方咨询的立体式搜集，将遏制封堵中国、打压对抗中国的意图和手段明目化、台面化，丝毫不加掩饰。

四是美国施压敦促全球伙伴及其盟友，强迫其选边站队，跟随美国执行所谓的“中国技术转移战略”。6 月，欧盟委员会主席和美国总统拜登在布鲁塞尔举行美欧峰会 , 正式启动“跨大西洋贸易和技术理事会”（TTC）。成立该理事会是拜登政府利用美国和欧洲的联合经济实力，全面压制中国技术发展的最新举措。美欧甚至扬言，要联手放慢中国创新脚步，通过向中国施压，力图将中国排除在世界先进技术贸易体系之外。8 月，美国政府召开听证会，诬称中国的“长臂管辖”对美国社会造成“不利影响”，呼吁建立全球“科技合作战线”以抗衡中国的世界影响，通过群起攻之、技术脱钩的方式，实现对我国网络科技崛起的强势打压态势。

（二）国内网络平台行业龙头企业赴美上市，使数据跨境传输的深层危害显露无疑

2021 年，中国互联网领域的多家独角兽企业出于商业目的纷纷选择赴美上市。6 月 11 日，国内最大的在线招聘平台“BOSS 直聘”于美国纳斯达克挂牌上市；6 月底，国内最大移动出行平台“滴滴出行”及最大城际货运数字平台“满帮集团”均在纽交所挂牌上市。这些赴美上市企业分别是国内大众求职、日常出行、网络货运领域的头部企业，掌握了所属行业领域至少 80% 以上的用户隐私和深度数据，其业务更与关键信息基础设施直接关联，可以直接或间接地反映出我国国情、社情、民情动态等真实状况。3 月，美国证券交易委员会通过了《外国公司问责法案》最终修正案。该法案明确规定，在美国上市的外国企业必须根据美国公认会计原则编报其财务报表，必须根据美国证券法律规定，对公司重大信息，例如用户数据、会议记录、沟通文件、电子文档等进行及时披露，否则将被强制退市。这些要求势必涉及相关企业在我国境内开展业务时所搜集的大量重要敏感数据的出境问题，对我国政治安全、国土安全、军事安全、经济安全、社会安全和数据安全等均构成严重威胁。

以“滴滴出行”为例，其掌握的交通大数据包含我国真实坐标的地理道路数据、道路交通流量、人口产业聚集区、人员流动轨迹等重要敏感信息。这些数据有的直接涉及我国党政军等核心要害部门和重要敏感设施的地理位置和移动出行状况，有的属于长期秘密级，甚至是绝密级别，一旦数据跨境传输被美国等境外国家掌握利用，运用大数据分析等高科技手段，完全可能实现对我国国情政情、社会状况的精准立体式刻画和多维情报刺探，进而开展有针对性的情报收集和间谍破坏活动，其危害远超境外人员对我国地理信息的非法测绘，对数据主权和国家安全的危害难以估量。

（三）供应链攻击成为网络空间常态，其“一点击破、全线崩溃”特性置网络安全于危险境地

当前，供应链攻击是世界各国网络空间领域普遍面临的一个最显著威胁之一。它存在难发现、难溯源、难清除等特点，一旦网络攻击者针对供应链发起攻击，可以实现“以一攻百、全线崩溃”的巨大危害效果，这暴露出网络安全领域“易攻难守”的非对称性特征。例如，2020 年 12 月，震惊全球的美国太阳风事件，就是网络攻击者从美国软件供应链厂商下手，从而实现对美国众多高涉密政府机构的网络渗透。美国作为世界首屈一指的网络强国尚且难以自保，世界其他国家在供应链攻击面前更不可能独善其身。

当前，我国核心要害部门、关键信息基础设施以及重要领域尚无法完全摆脱使用源自美国等西方国家的软硬件信息技术产品。例如，路由器、交换机等网络设备，操作系统、数据库管理系统等重要基础软件，处理器、芯片等底层硬件产品，重要应用软件及其他具有智能处理能力的专用设备等都存在类似于“太阳风事件”的供应链安全风险。以芯片进口为例，据中国海关相关数据统计，2021 年 1月至 9 月，我国进口集成电路 4784.2 亿个，同比增长 23.7%；进口金额为 3126.1 亿美元（约合 19951亿 元 人 民 币）， 同 比 增 长 23.7%；而 2021 年 1 月至 9 月，全球半导体市场销售额为 3979 亿美元，意味着我国进口的芯片占到全球总额的 78%。同时，2020 年，我国集成电路的进口总量和进口总额分别为 5435 亿 个 和 3500.3 亿 美 元。但 2021 年 前 三 季度，进口芯片总数就达到了去年的 88%、进口总额的 89%。这表明，今年国内芯片进口的数量和金额将较去年再创新高，情况非常不容乐观。

在我国，党政军等核心要害部门、关键信息基础设施及重要领域的供应链安全，涉及的角色环节众多、结构复杂、流程链条较长，暴露给网络攻击者的攻击面也越来越多，供应链的各个环节及其薄弱点都可能成为攻击者的切入点和重点目标，这些攻击既可涉及系统和业务漏洞、非后门植入、软件预装等，也可能涉及更高级的供应链预制问题。供应链安全隐患给网络安全埋下深层痛根，一旦“病情”发作，将给国家安全带来难以估量的负面影响、遭受不可承受之痛。

（四）网络攻击已从数字空间延展至物理空间，网络安全成为“新基建”最大挑战

近年来，我国抢抓新科技革命契机，对加快推进 5G、物联网、工业互联网、人工智能、区块链等新型基础设施建设作出了一系列重要战略部署，“新基建”成为我国经济增长的新引擎。但在助力产业新秩序的同时，其所面临的网络安全新挑战也如影随形。特别是伴随着传统产业网络化、智能化和数字化的转型升级，越来越多的网络设备接入新型基础设施，数字化设施数量呈几何级增长，海量数据应运而生，由此衍生出的新型网络安全问题成为制约数字经济时代创新发展的关键要素，直接关乎国家关键信息基础设施安全和国家安全。

以工业互联网为例，今年 2 月，国家工业信息安全发展研究中心发布的《2020 年工业信息安全态势报告》显示，随着工业互联网、智能制造加速发展，海量工业设备泛在互联，我国工业信息安全呈现风险威胁扩散化、攻击手段智能化等特点，传统信息安全技术在风险识别、威胁发现、安全防护等方面难以有效发挥很好的作用，各类新型网络安全威胁挑战此起彼伏地涌现出来。2021 年，以 5G、物联网、工业互联网、人工智能、区块链等为代表的“新基建”仍然是网络攻击的重点目标，“新基建”网络安全防范仍任重道远。

（五）暗网平台非法交易重要敏感数据，给国家安全和关键信息基础设施安全埋下深层隐患

今年，不法分子在暗网平台售卖各类数据资源的行为异常猖獗。1 月，国外某暗网论坛大肆出售与中国公民相关的个人信息，数量总数超过 2 亿，多数信息来自国内常用的社交媒体。从上游敏感数据被非法获取，到中游数据在各种暗网黑市的贩卖交易，再到下游各类数据被用于诈骗、勒索、情报搜集等，暗网贩卖数据的背后已然形成了一条完整的黑灰产业链，几乎成为信息贩卖的“大本营”。犯罪分子借助暗网匿名、无法追踪等特点，采用虚拟货币、赌博平台等层层加密手段，游走于“暗网”之中，不仅严重危害个人隐私安全、企业合法权益，更给关键信息基础设施安全和国家安全埋下潜在的深层隐患。

在暗网交易中，不仅大量充斥着姓名、性别、联系方式、家庭住址、地理位置、工作单位、银行账户等各种敏感的个人隐私数据，更有关乎国家安全和关键信息基础设施安全的重要敏感数据，例如，某些政府机构的内部组织框架、人员构成信息、工程项目方案；某些重要行业的从业人员信息、业务工作方向；某些关键信息基础设施领域的核心敏感数据等。由于暗网交易的隐匿性、特殊性等特点，相关个人和部门对信息泄露的感知存在严重滞后性，这些数据一旦被不法分子获取，尤其是境外国家机构利用，极有可能危害到国家安全、社会稳定和关键信息基础设施的正常运行，其所带来的巨大隐患和安全风险值得高度警惕。

二、2021 年我国应对网络安全风险的态势举措

面对中美大国博弈之势、内外环境发展之变，以习近平同志为核心的党中央举旗定向、掌舵领航，把深入推进依法治网工作、构建网络安全新发展格局提到“战略抉择”高度进行全局谋划、系统统筹。2021 年 3 月，十三届全国人大四次会议政府工作报告明确提出，要加强数字政府建设，增强产业链供应链自主可控能力；发展工业互联网，促进产业链和创新链融合；加强网络安全、数据安全和个人信息保护；建设信息网络等新型基础设施。按照总体规划部署，今年国家在网络安全立法方面颇有建树，并颁布实施了一系列网络安全治理新法规、新政策和新举措，以变应变，谋求战略主动，适应了我国由大国迈向强国的网络安全新需求。

（一）充分发挥网络安全审查的“利剑作用”，压实赴美上市企业网络安全主体责任

今年，数据安全威胁国家安全问题尤为突出。为给国内企业赴境外上市的商业行为带上紧箍咒、划好警戒线，国家果断采取专项治理行动，综合运用法治与审查手段，整治乱象风险、做好合规监管。6 月底，在滴滴出行、BOSS 直聘、运满满、货车帮集中赴美上市之后，7 月初，国家网络安全审查办公室立刻发布针对上述四家上市企业的网络安全审查公告，审查期间停止其新用户注册，并通知应用商店下架滴滴出行及其旗下 25 款 App；7 月 16 日，国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局七部门联合进驻滴滴出行科技有限公司，实施网络安全审查。

与此同时，多个与网络安全领域相关的重磅政策和文件接连推出。7 月 10 日，国家网信办发布《网络安全审查办法（修订草案征求意见稿）》；12 日，工信部发布《网络安全产业高质量发展三年行动计划（2021-2023）（征求意见稿）》；13 日，工信部、网信办、公安部印发《网络产品安全漏洞管理规定》。9 月 1 日，交通运输部会同国家网信办、工信部、公安部等五部委，对 T3 出行、美团出行、高德、滴滴出行、首汽约车、阳光出行等 11 家网约车平台公司进行联合约谈，明令要求各平台公司要采取必要的安全技术和管理措施，严格落实用户信息和数据安全相关法律法规要求。短短两个月内，国家采取的一系列组合拳措施，对外释放了一个强烈信号：没有网络安全就没有国家安全，加强对重要敏感数据的安全监管、切实捍卫国家数据主权安全势在必行、刻不容缓。

（二）强化依法治网的顶层设计和监管落地，切实筑牢国家网络安全防护屏障

今年，为切实加强数据安全的立法监管，国家相继颁布了数份重磅级数据安全法律法规，严密织牢数据安全治理体系。1 月，国家网信办就《互联网信息服务管理办法（修订草案征求意见稿）》公开征求意见。明确规定了互联网信息服务提供者，网络接入服务提供者及其工作人员在保护个人隐私、维护数据安全方面的法律义务；4 月，交通运输部发布了《交通运输政务数据共享管理办法》，明确要求政务部门应建立健全政务数据安全保障机制，落实安全管理责任和数据分类分级要求。8 月，国家网信办、国家发改委等五部委联合发布《汽车数据安全管理若干规定（试行）》，旨在规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。

同时，今年 6 月和 8 月，全国人大常委会还审议通过了我国网络安全领域最重要的两部法律《数据安全法》和《个人信息保护法》。《数据安全法》首次确立了“国家核心数据”概念，明确了关乎国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据；同时，提出要建立数据分类分级保护制度，加强重要数据出境安全管理，积极开展数据安全教育培训，从顶层设计层面和统筹发展与安全角度进一步完善了我国数据安全治理体系。《个人信息保护法》则是我国首部个人信息保护领域的单独立法，该法厘清了个人信息、敏感个人信息、个人信息处理者、去标识化、匿名化等的基本概念，从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权力，以及法律责任等方面对个人信息保护进行了全面规定，建立起了个人信息保护领域的基本制度体系。11 月，为配合《网络安全法》《数据安全法》《个人信息保护法》等法律中关于数据安全管理的规定，国家网信办发布了《网络数据安全管理条例（征求意见稿）》，建立了数据分类分级保护制度、数据跨境安全管理、互联网平台运营者监管、第三方机构评估等监管配套落地措施。这些重要法律法规、落地举措的颁布出台，是对当前数据安全内外部形势的回应，是护航数字经济发展的重要举措，共同构建了我国数据治理立法框架，翻开了我国数据安全法治事业的新篇章，具有划时代的重要意义。

（三）夯实关键信息基础设施保护的关键环节，推动良法善治向走深、走稳、走实前行

近年来，全球范围内针对关键信息基础设施的网络攻击事件层出不穷。今年 5 月，美国最大成品油运输管道运营商的工控系统遭到勒索病毒攻击导致大范围停机，造成近 100G 敏感数据泄露及成品油运输管道运营中断。为应对关键信息基础设施与日俱增的网络安全威胁，各国在顶层立法和战略设计方面都毫无例外地将关键信息基础设施安全保护列为头等大事。

习近平总书记曾多次强调，关键信息基础设施是网络安全的重中之重，也是可能遭受到重点攻击的目标。为应对与日俱增、复杂多变的网络安全风险挑战，今年 8 月 17 日，国务院正式公布了备受瞩目的《关键信息基础设施安全保护条例》，这是我国首部专门针对关键信息基础设施安全保护工作的行政法规。《条例》从突出重点保护、坚持问题导向、加强法律衔接三个角度出发，站在总体国家安全观的视角，明晰了我国关键信息基础设施的定义范围，明确了各级保护工作部门的监管职责分工，强化了关键信息基础设施运营者的安全主体责任，细化了定期开展安全检测和风险评估、履行安全事件和威胁报告义务、落实网络安全审查要求、建立健全网络安全监测预警和信息共享机制等方面的安全保护要求，宣告我国关键信息基础设施的安全保护工作进入强监管时代。

三、结语

2021 年是“在危机中育新机、于变局中开新局”的关键一年，更是愈进愈难、愈进愈险而又不进则退、非进不可的关键时期。面对新冠肺炎疫情的长期化态势、西方霸权的极限科技施压以及来势汹汹的网络安全威胁挑战，以习近平同志为核心的党中央高瞻远瞩、精准施策，带领全国各族人民锻长板、补短板、固根基、扬优势，沉着应对了网络安全领域的各类风险，筑牢了网络安全防护的国家屏障，充分展现出“无限风光在险峰”的战略视野和“乱云飞渡仍从容”的战略定力。

2022 年，我国在数据安全保护、关键信息基础设施安全防护、“新基建”网络安全防范等方面仍将承受巨大的内外安全压力。我们既要统筹好发展和安全的关系，织密织牢开放安全网，增强在对外开放环境中动态维护网络安全和国家安全的本领；更要着力防范化解各种重大网络安全风险，做到有识变之智、应变之方、求变之勇，牢牢守住安全发展这条底线。

（本文刊登于《中国信息安全》杂志2021年第12期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。