网络安全上升至前所未有新高度

1. 网络安全上升至前所未有新高度 1.1. 网络安全是不见硝烟的战场 目前，网络安全事件在世界各地频发，诸如数据泄漏、勒索软件、黑客攻击 等层出不穷，有组织、有目的的网络攻击形势愈加明显，网络安全风险持续增加，全球网络安全面临严峻挑战 图表 1 2022 年部分网络安全事件 公布日期 事件 内容 2022 年 2 月 国际航港巨头遭勒索软件攻击 全球航港巨头瑞士空港披露了一起勒索软件攻击，因 IT 基础设施与服务受到影响，导致运营被干扰。苏黎世机场透露，这波网络攻击发生在 2 月 3 日，导致当 天 22 架次航班发生轻微延误。 2022 年 2 月 英国外交部遭遇一起严重网络安全事件 英国外交部承认了一起严重网络安全事件的目标。文件显示，外交和联邦事务部被迫叫来本国防务公司贝宜系统BAE Systems旗下的子公司应用智能BAE Systems Applied Intelligence，主营咨询业务来处理这一事件，它为这项工作支付了 46.7 万英镑约 63.3 万美元，400 万元人民币。 2022 年 3 月 英伟达 1TB 内部敏感数据失窃后遭勒索 国际芯片制造巨头英伟达证实，在上周三2 月 23 日遭遇了一次网络攻击，入侵者成功访问到专有信息与员工登录数据。每日电讯报表示，该公司经历了一场毁灭性的网络攻击，完全摧毁了内部系统。 2022 年 3 月 乌克兰电信运营商遭 遇最严重网络中断攻击 乌克兰重要电信运营商 Ukrtelecom 遭遇“强大的”网络攻击，导致全国服务中 断。专注监测互联网状态的 NetBlocks 公司称，Ukrtelecom 可正常运行的服务 “已跌至战前水平的 13，这是自俄乌冲突以来出现的最严重的网络攻击。 2022 年 4 月 汽车租赁巨头全球系 统中断，业务陷入混乱 国际汽车租赁巨头 Sixt 遭到网络攻击，部分业务系统被迫中断，运营出现大量技 术问题。由于系统故障，公司的客户服务中心和部分分支机构受影响较大，业务陷入混乱，大多数汽车预定都是通过笔和纸进行的。 2022 年 5 月 俄罗斯胜利日，电台系统被黑 俄罗斯总统普京在 “胜利日”阅兵式上发表讲话期间，黑客组织破坏了俄罗斯在 线电视时间表页面，以显示反战信息。试图通过智能电视访问电视节目表的俄罗 斯公民阅读了指责克里姆林宫的信息。俄罗斯主要电视频道、最大搜索网站 Yandex、最大视频网站 RuTube 均受到网络攻击的影响 2022 年 5 月 俄最大银行遭到最严重 DDoS 攻击 俄罗斯最大银行联邦储蓄银行披露，在 5 月 6 日成功击退了有史以来规模最大的 DDoS 攻击，峰值流量高达 450 GB/秒。此次攻击联邦储蓄银行主要网站的恶意流量是由一个僵尸网络所生成，该网络包含来自美国、英国、日本和中国台湾的 27000 台被感染设备。 2022 年 6 月 美国医疗设备公司遭黑客攻击， 美国医疗保健集团希尔兹就此前发生的一起网络攻击事件发表公开声明，称攻击 已被遏制。此次网络攻击导致约 200 万患者的医疗信息被泄露，包括姓名、身份证号、住址、诊断结果、保险编号等。 2022 年 7 月 朝鲜间谍使用 Chrome 扩展程序窃取电子邮件 美国网络安全公司 Volexity 发现的相关恶意扩展名为 SHARPEXT，支持 Chrome、 Edge 和韩国 Naver Whale 等三种基于 Chromium 的浏览器，目的是窃取 Google 和 AOL 的电子邮件。 2022 年 8 月 中欧天然气管道公司疑遭勒索攻击导致 150GB 数据失窃。 BlackCat 勒索软件组织声称，对上周中欧地区天然气管道与电力网络运营商 Creos Luxembourg SA 遭受的网络攻击负责，并威胁要发布总计 150 GB 大小的 18万个被盗文件，具体涵盖合同、协议、护照、账单及电子邮件。Creos 的母公司 Encevo 目前正在调查攻击造成的损害程度。 请仔细阅读在本报告尾部的重要法律声明 针对网络安全事件频发、影响和规模之大，各国政府高度重视网络安全，政 策方面，以美国、欧盟、澳大利亚为代表的国家地区纵深推进网络安全政策举措，为产业发展创造良好环境。 美国为保持其在未来科技领域的领先地位，持续调整其网络安全战略布局。顶层路线方面，2021 年 3 月，白宫发布国家安全战略临时指导方针，将提升网络安全作为美国政府首要任务，鼓励私营部门与各级政府合作，保卫美国免受恶意网络活动侵害。2021 年 5 月，拜登签署改进国家网络安全行政令，提出预防、检测、评估和处臵网络安全事件是国家和经济安全的重中之重。新技术领域安全方面，美国将人工智能、能源、量子信息科学、通信和网络技术、半导体和太空技术作为关键和新兴技术，不断强化上述领域的网络安全治理。网络安全能力方面，一方面美国持续推动网络安全架构演进，主要推进敦促整个国防部及其承包商对敏感系统实施零信任。另一方面，美国开始通过网络安全成熟度模型认证法规来加强其网络安全能力。 欧盟为全面提升在数字经济领域的竞争优势，维护自身的“数字主权”，多措并举促进其网络安全战略升级。一是提升网络安全核心战略地位。 2021 年 3 月提出的“2030 年欧洲数字化转型愿景”，以及欧盟新型研究与创新项目“地平线欧洲”等战略计划均将网络安全作为其发展重点板块；二是推动出台新技术应用的安全保障措施。主要覆盖物联网全生命周期的安全和 AI 系统的安全；三是不断完善数据安全保障措施。2020年 11 月，欧盟委员会提出数据治理法规，以促进欧盟内部数据共享。 2021 年 4 月，欧盟网络安全局发布报告欧盟数字战略自主的网络安全研究方向，报告确定了七个关键研究领域，以加强欧盟数字自治。 为维护国家安全，澳大利亚频繁部署加快网络安全战略谋化。一是强化整体网络安全战略，2020 年 8 月，澳大利亚政府发布2020 年网络安全 战略，依据该战略，澳政府将投资 16.7 亿美元用于建立新的网络安全和执法能力，协助行业加强自我保护，并增强社区对保护在线安全的理解。 2022 年 4 月，澳大利亚政府发布国际网络和关键技术参与战略，用于 指导澳大利亚在网络和关键技术问题上的国际参与决策，帮助其拥抱巨 大创新机会并减轻或避免相关风险；二是加速推进云安全布局，2020年7月，澳大利亚发布云安全指南，为政府和整个行业安全使用云服务提 供支撑；三是重视小企业网络安全，澳大利亚网络安全中心更新小企 业网络安全指南，旨在帮助小型企业保护自身，免受传统的网络安全事 件影响；四是持续更新在线安全法案，2021 年 2 月，澳大利亚更新在 线安全法案 2021，保护网络空间中澳大利亚公民，尤其是儿童的在线 安全。 图表 2 我国国家层面网络安全政策梳理 时间 法规 部