特别回顾｜2021十大网络安全事件

重磅盘点

2021十大网络安全事件

一、2021年网络安全最强音

十四五规划发布，网络安全迎来高速发展

2021年3月11日，十三届全国人大四次会议通过《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》（以下简称“十四五规划”）。其中，十四五规划中提及“网络安全”14次、“数据安全”4次，涉及数字经济、数字生态、国家安全、能源资源安全四大领域。

在“十四五”期间，网络安全产业已经在国家政策层面确定会被进一步地“培育壮大”，这意味着中国的网络安全产业规模会继续保持快速而稳健的增长，并有望在2035年达到万亿左右规模。

图注：十四五规划中关于网络安全的表述

未来一段时间，国家将培育网络安全产业，建立健全国家公共数据资源体系和数据要素市场规则，加强关键信息基础设施安全保护，并推动构建网络空间命运共同体，加强国家安全体系和能力建设。

网络安全不仅关乎国家安全、社会安全、城市安全、基础设施安全，也和每个人的生活密切相关。“安全”成为继“发展”之后，又一重要关键词，已成为国民经济和社会发展的重要风向标，也是“十四五”期间中发展建设的重点工作之一。

二、2021年“史诗级”漏洞

Apachelog4j2远程代码执行漏洞

2021年12月9日，国内多家机构监测到ApacheLog4j存在任意代码执行漏洞，并紧急通报相关情况。该漏洞CVSS评分达到了满分10分，影响全球一大半的互联网企业，包括百度、苹果等企业都被爆出存在该漏洞。

此次漏洞是由Log4j2提供的lookup功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在处理数据时，并未对输入（如${jndi）进行严格的判断，从而造成注入类代码执行。目前，已发现的受影响应用及组件（包括但不限于）：ApacheSolr、ApacheFlink、ApacheDruid、ApacheStruts2、srping-boot-strater-log4j2等。

研究员认为，该漏洞暴漏出了软件研发存在的普遍问题：一方面研发团队喜欢使用开源代码，另一方面又希望开源代码拥有企业级的安全支撑。然而，事实上Log4j库是由开源代码程序员在业余时间自发维护的，这就使得开源代码的安全性难以得到保障。

2021年的Apachelog4j2远程代码执行漏洞（CNVD-2021-95914）众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞，警醒人们关注软件基础库及代码的安全性。

图注：Apachelog4j2远程代码执行漏洞时间表

三、2021年最典型的网安执法事件

网络安全审查

2021年7月10日，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见稿）》公开征求意见的通知。

网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，包括：产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；产品和服务供应中断对关键信息基础设施业务连续性的危害；产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；产品和服务提供者遵守中国法律、行政法规、部门规章情况；其他可能危害关键信息基础设施安全和国家安全的因素。

2021年7月5日，网络安全审查办公室发布公告，对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。7月2日，该办公室还曾发布公告，对“滴滴出行”实施网络安全审查。审查期间“滴滴出行”停止新用户注册。这是《网络安全审查办法》发布以来，正式开展的首轮审查行动。

四、2021年损失最大安全事件

美国最大燃油管道被黑客攻击惨遭关闭

2021年5月9日，美国宣布进入国家紧急状态，原因是当地最大燃油管道运营商遭网络攻击下线。

据报道称，美国最大的成品油管道运营商ColonialPipeline在当地时间周五(5月7日)因受到勒索软件攻击，被迫关闭其美国东部沿海各州供油的关键燃油网络。受影响的Colonial管道每天运输汽油、柴油、航空燃油等约250万桶，其中美国东海岸近一半燃油供应依赖于此。该事件涉事的黑客团队DarkSide索要高达数百万美元虚拟币。该事件也是2021年造成实质影响最大的网络安全事件。

研究员认为一些重要行业和领域的，关乎国家安全、国计民生、公共利益的重要网络设备、信息系统等，需要高度关注和保障其安全可控。否则一旦遭到破坏或数据泄露，将会造成严重后果。结合今年《关键信息基础设施安全保护条例》的发布，关键信息基础设施是国家数字经济稳定运行的基石，是经济社会的神经中枢，也是国家网络安全的重中之重。2021年将是我国“关基保护”的元年，相应的工业互联网安全、物联网安全等也将迎来快速发展。

五、2021年最大信息泄露案

江苏警方破获数据泄露量达54亿条的重大案件

2021年10月，江苏无锡警方成功破获了一起侵犯公民个人信息案，犯罪嫌疑人非法获取各类公民信息，数据累计高达54亿多条，并通过非法网络平台以查询、出售等方式牟利。该犯罪团伙为他人查询某大型社交网络账号关联的手机号码等个人信息数据，并将查询信息以每条1000美元（约合人民币6384元）的价格出售。

该案件是我国迄今为止查获单体数据泄露最大案件。也提醒人们数据泄露、信息倒卖等现象其实就在我们的身边，在公民加强自身防范意识和隐私保护能力的同时，最核心的解决办法应该是在数据传输、存储、处理侧加强法律监管和技术管控手段。未来，在公共数据、公共服务方面，网络安全产品及解决方案将产生较大的社会需求。

六、2021年最大力度曝光

3·15报道人脸信息滥用、简历泄露等乱象

2021年3月15日，“3·15”晚会（国际消费者权益日）在央视财经频道播出。今年晚会以“提振消费从心开始”为主题，希望通过诚信的力量让每个人把平凡的日子过得更加幸福美满，稳步提高消费能力，改善消费环境，让居民能消费、愿消费。

此次“3·15”晚会曝光了人脸数据滥用、个人简历泄露、老年人手机里的安全陷阱、搜索之病、又见瘦肉精、追踪“瘦身”钢筋、名表维修猫腻多、福特翼搏变速箱生锈内幕、英菲尼迪QX60变速箱故障频发等九大问题。值得一得的是，互联网行业成为“3·15”晚会上半场的重点曝光对象，前四个被点名的案例都与互联网有关，信息安全和隐私泄露成为重灾区。

该类现象主要原因是互联网企业数据处理不合规，这也跟之前很长一段时间，数据安全、个人信息、网络安全等法律法规不完善或界定不清晰有关，但是随着《数据安全法》、《网络安全法》、《个人信息保护法》、《网络安全审查办法》等法律法规颁布实施，个人信息保护工作将进入“有法可依、有法必依、执法必严、违法必究”的阶段。

七、2021年最值得关注的机构

上海数据交易所揭牌成立

2021年11月25日，上海数据交易所揭牌成立仪式在沪举行。上海市人大常委会表决通过了《上海市数据条例》。比较起之前国内成立的数据交易机构，上海数据交易所揭牌成立的时间，正是我国法律法规、业界产品技术均取得长足进步，全社会的网络安全、个人隐私保护意识不断加强的新背景下。正是因此，上海数据交易所值得网络安全行业关注，关注网络安全、数据安全技术的在这里的应用创新。

据了解，上海数据交易所的设立，重点是聚焦确权难、定价难、互信难、入场难、监管难等关键共性难题，形成系列创新安排。上海数据交易所有“五大首发“：

• 全国首发数商体系。全新构建“数商”新业态，涵盖数据交易主体、数据合规咨询、质量评估、资产评估、交付等多领域，培育和规范新主体，构筑更加繁荣的流通交易生态。

• 全国首发数据交易配套制度。率先针对数据交易全过程提供一系列制度规范，涵盖从数据交易所、数据交易主体到数据交易生态体系的各类办法、规范、指引及标准，确立了“不合规不挂牌，无场景不交易”的基本原则，让数据流通交易有规可循、有章可依。

• 全国首发全数字化数据交易系统。上线新一代智能数据交易系统，保障数据交易全时挂牌、全域交易、全程可溯。

• 全国首发数据产品登记凭证。首次通过数据产品登记凭证与数据交易凭证的发放，实现一数一码，可登记、可统计、可普查。

• 全国首发数据产品说明书。以数据产品说明书的形式使数据可阅读，将抽象数据变为具象产品。

八、2021年最重磅产业发展文件

《网络安全产业高质量发展三年行动计划(2021-2023年)》

2021年7月12日，工信部公开征求对《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》的意见。

行动计划中提出：到2023年，网络安全产业规模超过2500亿元，年复合增长率超过15%。一批网络安全关键核心技术实现突破，达到先进水平。新兴技术与网络安全融合创新明显加快，网络安全产品、服务创新能力进一步增强。

在企业发展方面，培养质量品牌、经营效益优势明显的具有网络安全生态引领能力的领航企业。面向车联网、工业互联网、物联网、智慧城市等新赛道，培养“专精特新”中小企业和网络安全产品、服务、解决方案单项冠军。并且指出，未来几年电信等重点行业网络安全投入占信息化投入比例将达10%。

图注：行动计划中提出的未来网络安全关键技术方向

图注：行动计划中提出的未来网络安全重要产业方向

九、2021年最受关注的网络安全理念

零信任（ZeroTrust）

涉及零信任的相关政策、行业标准相继出台，让零信任成为2021年最受瞩目的具体的网络安全理念。

2021年4月，美国国防部宣称计划推出一个零信任战略。随后，5月美国总统签署了行政命令，强制要求政府部门全面迈向零信任架构。这一年后续的时间里，美国联邦政府发布《联邦零信任战略》、美国国防部要求拨款6.15亿美元用于与零信任网络安全架构相关的工作……

国内也有多个团体、行业的零信任标准出台。国际电信标准组织ITU-T正式对外发布《Guidelines for continuous protection of the service access process》（《服务访问过程持续保护指南》）标准，这被认为是全球首个零信任的国际标准。

零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。

据Gartner《Hype Cycle for Network Security,2020》报告，零信任的技术成熟度正在接近泡沫破裂期的谷底。根据曲线，未来1-2年内将越过谷底的拐点，市场泡沫衰退之后，零信任相关技术的应用会趋于成熟，产品成熟度将进一步提高并步入稳定增长阶段。

图注：Gartner2020年网络安全技术成熟度曲线

零信任网络基于应用远程访问的业务特性决定了零信任网络访问本身就不是某个点或某个网络的安全防护，而是基于业务完整性的、跨网络连接的立体范畴的防护。这也决定了零信任的构建无法依赖某一种特定的技术实现，而是融合了网络安全、认证、计算环境安全、加密、数据安全等技术构建的基于熵减原则的开放的安全系统。为保证业务完整性，还需要包含与传输过程、访问环境、资源管理相关的必要的支撑技术，具体体现为流量加密和认证、资产识别和威胁感知。

当前，78.9%国内用户认为零信任还处于概念热度期，但对运用零信任安全相关解决企业数据中心远程访问、云计算服务访问、边缘计算、5G、新兴互联网等场景下的安全问题充满信心，超过80%的调研用户表示有零信任应用计划，其驱动因素包括有外来的互联网风险、业务发展及疫情影响。

非上市投融资事件快速增长

日前，国家工业信息安全发展研究中心发布2021年1月-11月网络安全产业投融资监测情况，数据显示，2021年1月-11月，我国网络安全领域非上市投融资事件共110起，披露金额超115亿元。相较去年同期，投融资事件数量增长近90%，投融资金额增长约1.5倍。

其中，2021年11月非上市投融资事件共9起，披露金额超3亿元，投融资热度较10月略有下降。1月-11月，近四成投融资事件的融资额超过1亿元，近两成事件融资额超过2亿元，超亿元融资事件数量较去年同期增长约70%。

从融资阶段来看，1月-11月，投资机构对网络安全领域中后期项目及早期项目的关注度持平，中后期项目及早期项目占比均为42.7%，值得注意的是自9月以来，资本市场对早期项目的布局明显增多。

从细分赛道来看，1月-11月，早期项目融资关注度排名前三的细分赛道分别为云安全、安全管理与运营和工控安全(并列)，其中云安全赛道融资交易数量最多，为8起。

从企业市值来看，1月-11月，网络安全上市企业市值波动幅度较大。11月，网络安全上市企业总市值为4822.9亿元，较10月呈现上升趋势，增长幅度约为5.8%，同大盘相比呈现同步上升趋势。与去年同期相比，上市企业数量由23家增至25家。在受监测的网络安全上市企业中，较2021年10月市值上涨的企业数量为22家，市值下跌的企业数量为3家。

我不允许你到现在

还没看过最美电子杂志《岩谈》！

山石网科是中国网络安全行业的技术创新领导厂商，自成立以来一直专注于网络安全领域前沿技术的创新，提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品及服务，致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。

山石网科为金融、政府、运营商、互联网、教育、医疗卫生等行业累计超过20,000家用户提供高效、稳定的安全防护。山石网科在苏州、北京和美国硅谷均设有研发中心，业务已经覆盖了中国、美洲、欧洲、东南亚、中东等50多个国家和地区。

（文章配图源自网络）