2017年網絡安全十大發展趨勢

【 摘 要 】 2016年，中國網絡安全立法取得重大突破，網絡安全自身能力建設持續推進，網絡安全可控技術產品成果豐碩。與此同時，主要國家和地區繼續強化網絡安全威懾能力建設，關鍵信息基礎設施面臨的網絡安全風險進一步加大，物聯網智能終端、移動支付引發的安全事件更加多發，我國網絡安全形勢日益嚴峻?；谝陨媳尘埃惖现菐炀W絡空間研究所提出了2017年我國網絡安全十大發展趨勢。

【 關鍵詞 】 網絡安全法；安全自主；智能終端；關鍵信息基礎設施

2017 China's Top Ten Trends of the Cyber security

Liu Quan

（The Institute of Cyberspace in CCID Beijng 100048）

【 Abstract 】 In 2016， China's cybersecurity legislation made a major breakthrough. The capacity-building of the cyber security continued to be promoted. The development of the controllable products for security scored great successes. Meanwhile， the major countries and regions continued to strengthen their deterrent capacity-building of thecyber security. The risks related to the key information-related infrastructure further increased. The intelligent terminals and mobile payment triggered more security incidents. The situation of China's cyber security is increasingly serious. Based on thebackground， the Institute of cyberspace in CCID proposed 2017 China's top ten trends， in terms of thecyber security.

【 Keywords 】 cybersecurity law；controllability for security；intelligent terminal；key information-related infrastructure

1 網絡安全法律體系將加速形成

目前，我國在計算機信息系統保護、打擊網絡犯罪、商用密碼管理等領域出臺了一些法律法規，但網絡安全法律體系尚未形成?！毒W絡安全法》的出臺，一方面使網絡安全法律法規建設有了統領性的法律，另一方面該法規定的諸多制度，如關鍵信息基礎設施保護、網絡安全審查、個人數據保護、數據跨境流動等，都需要進一步落實，制定實施條例和細則，這將極大地促進法律體系的形成。

預計2017年，國家有關部門將圍繞《網絡安全法》出臺一系列配套法律法規，完善相關司法解釋，理順網絡執法體制機制，加強部門間信息共享與執法合作。

2 關鍵信息基礎設施面臨的網絡安全風險不斷攀升

2016年，針對關鍵信息基礎設施的網絡攻擊技術迅速提升。德國研究人員創造出工控蠕蟲病毒PLC-Blaster，無需借助計算機或其他信息系統，可實現在PLC設備間傳播。同時，針對性的網絡攻擊日益猖獗。1月，以色列電力局遭重大網絡攻擊，導致電力系統部分計算機系統癱瘓。2月，孟加拉國央行SWIFT系統遭攻擊，8100萬美元被盜。8月，針對工控行業的“食尸鬼”網絡攻擊活動，涉及多個國家的石化、軍事、航空航天和重型機械等目標。12月，委內瑞拉遭網絡攻擊，全國銀行交易出現故障。

2017年，隨著各類網絡攻擊技術的迅速發展，針對關鍵信息基礎設施的攻擊頻率將進一步增加，產生的后果將更加嚴重。

3 物聯網智能終端引發的安全事件進一步升級

當前，世界范圍內物聯網智能終端引發的安全事件日益頻繁，美國、新加坡、德國、利比里亞等國家相繼發生物聯網智能終端遭攻擊引發的全國性斷網事件。與物聯網智能設備高速普及不相適應的是，物聯網的安全卻非常脆弱，生產廠商在產品安全方面的資金投入和相關研究非常有限，加之物聯網設備具有數量極其巨大、設備長期在線、處理器性能強悍、網絡帶寬設定高等天然優勢，利用物聯網智能設備漏洞攻擊已經成為黑客網絡攻擊的新手段。

可以預見，2017年隨著物聯網智能設備的進一步應用，智能設備漏洞導致的網絡威脅范圍更廣，后果也將更加嚴重。

4 精準化的網絡詐騙現象將更加突出

2016年8月，因被詐騙電話騙走上大學費用，山東考生徐玉玉離世。12月，京東被曝12G用戶數據泄露，涉及數千萬用戶，部分用戶已接到“退單”詐騙電話。隨著O2O應用及大數據等新技術的爆發式發展，平臺運營商可以隨時隨地在用戶不知情的情況下搜集、抓取、分析日常行為數據，使用戶逐漸成為“透明人”。

隨著手機實名制、快遞實名制、APP實名新規等政策的深入實施。2017年，通過大數據和社會工程學分析用戶購物數據、社交數據、位置數據、物流數據的精準網絡詐騙逐漸成為趨勢，傳統“撒網”式電信詐騙逐漸退出舞臺。

5 移動支付面臨的安全形勢更加嚴峻

據NCCIC統計，2016年6月，移動支付用戶數達4.24億人，較2015年12月增加18.7%。騰訊移動安全實驗室統計顯示，2016年上半年，新增手機支付病毒包達32.33萬個，相較于2015年上半年的2.98萬個，同比增長986.14%，支付形勢非常嚴峻。同時，支付病毒感染用戶數達1670.33萬，同比增長45.82%，且2014年至2016年上半年，感染用戶數持續增長。手機病毒來源渠道更加多樣化，包括軟件捆綁、二維碼掃描、ROM內置等多種方式，二維碼已成為增長最快的染毒渠道。

2017年，隨著移動設備和移動支付用戶的繼續“爆炸式”增長，移動支付面臨的安全問題也將更加凸顯。

6 網絡可信身份的互聯互通加速實現

《網絡安全法》明確提出，國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認。網信辦等國家有關主管部門積極開展可信身份研究與實踐工作，籌備出臺網絡可信身份戰略。目前，國內多種身份認證體系并存，包括基于PKI的電子認證、公安部一所推出的基于身份證副本的在線驗證、聯想等推動的FIDO身份認證、阿里牽頭的IFAA身份認證、騰訊正在籌劃的TUSI身份認證等。

為深入落實《網絡安全法》，積極應對網絡詐騙、網絡犯罪、隱私信息泄露、網絡謠言與暴力等網絡安全事件，2017年我國勢必會加強網絡可信身份體系建設，積極推動已有的網絡身份認證體系的互聯互通，建立跨平臺的網絡可信身份體系。

7 安全可控信息產業將得到爆發式增長

安全可控的國產基礎軟硬件是保障我國信息化關鍵性基礎設施及網絡空間安全的重要基礎，近年來安全可控已被提到國家戰略高度。2016年4月19日、10月9日，中共中央總書記、國家主席習近平就網絡安全問題發表重要講話，提出要盡快突破網絡安全核心技術。由全國信息安全標準化技術委員會推動的《信息安全技術 信息技術產品安全可控評價指標》系列標準也有望近期出臺。隨著《網絡安全法》的出臺，黨政軍等重要部門網絡安全審查力度將進一步加大，2017年安全可控信息產業將得到爆發式增長，產業規模有望達到75億元，增幅突破40%。

8 優秀人才脫穎而出的環境將逐步具備

2016年，我國先后出臺《國有科技型企業股權和分紅激勵暫行辦法》、《關于加強網絡安全學科建設和人才培養的意見》等政策文件，提出建立靈活的網絡安全人才激勵機制，如技術入股、股權期權激勵、分紅獎勵等。我國還加強了對網絡安全優秀人才的獎勵支持。2月，我國設立了首個網絡安全專項基金，啟動資產達3億元，并在國家網絡安全宣傳周上，對網絡安全杰出人才、優秀人才、優秀教師進行了表彰。我國的四川大學、北郵等高校還設立了網絡安全人才培養基地，加強相關優秀人才的培養。

2017年，我國將繼續加強網絡安全能力建設，加大高層次網絡安全人才培養力度，為優秀人才脫穎而出創造條件。

9 網絡戰威脅風險顯著增加

2016年，一方面美歐將威懾能力發展提升至戰略高度。如美國提交了《網絡威懾戰略》，英國的新版網絡安全戰略，將網絡威懾作為發展要點。另一方面，網絡空間“軍備競賽”持續升溫。3月，丹麥設立了政府黑客學院，以培育網絡軍隊。6月，“北約”將網絡空間確定為戰場。8月，美國建立了陸軍網絡司令部。10月，美軍網絡任務部隊已達5000人，133個網絡任務組全部具備初始作戰能力。此外，美歐開展的網絡戰演習不斷強化。美國舉行了“網絡風暴5”、“網絡盾2016”、“網絡衛士”等網絡戰演習，強調應對針對重要基礎設施的潛在威脅；歐洲舉行網絡戰演習，加強對聯網基礎設施遭入侵、國家斷網等網絡安全事件的協同應對能力。

2017年，各國將進一步加強網絡空間部署，抵御網絡恐怖主義和潛在威脅國家的網絡攻擊，全球網絡空間局勢將更加復雜，我國面臨的網絡安全外部形勢也將愈發嚴峻。

10 雙邊和多邊網絡安全合作將持續深化

2016年，圍繞打擊網絡犯罪、有組織犯罪，我國先后與英國、德國、美國達成重要共識，并與俄羅斯簽署了《關于協作推進信息網絡空間發展的聯合聲明》。圍繞構建互聯網治理體系，6月，上合組織發表《塔什干宣言》，支持在聯合國框架內制定網絡空間的普遍規范、原則和準則。9月，G20杭州峰會通過了《數字經濟發展與合作倡議》，強調互聯網治理應遵循信息社會世界峰會（WSIS）成果。11月，世界互聯網大會提出全球互聯網治理的四大目標。

11 結束語

2017年，我國將繼續深化以共享全球網絡威脅信息、打擊網絡恐怖主義等為核心的國際網絡安全合作，更加積極地參與國際網絡空間治理，推動建立多邊、民主、透明的全球互聯網治理體系。

作者簡介：

劉權（1972-），男，博士，高級工程師，目前在工業和信息化部賽迪智庫工作，任網絡安全研究所所長、中國電子認證服務產業聯盟秘書長，主要從事信息化、信息安全、電子認證發展規劃、戰略研究等，大部分研究成果已經被相關部門采納，形成了政府文件。