2019年網路安全事件

Ⅰ 2019網路安全的十大趨勢

2018年，很多轟動的數據泄露和勒索軟體攻擊震驚了企業界。Juniper Research公司估計，在未來五年內，網路犯罪分子竊取的數據量會增加高達175%。再加上全球經濟的不確定性，2019年對於網路安全專業人士來說將是充滿挑戰的一年。

1.實施GDPR

歐盟的通用數據保護條例（GDPR）要求在歐盟運營的每一家企業都要保護歐盟公民的隱私和個人數據。如果不合規會受到很高的處罰，GDPR對個人數據的構成的規定非常寬泛，因此，這會是一項非常繁重的工作。Ovum在2018年7月一份有關數據隱私法的報告中指出，三分之二的企業認為他們將不得不調整自己的工作流程以實現合規，一半以上的企業擔心他們可能會因為不合規而被罰款。

2.管理託管和非託管設備

隨著用戶使用的移動設備（包括託管的和非託管的）的數量和范圍不斷增加，企業網路在降低相關風險方面面臨著艱巨的挑戰。物聯網已經把很多聯網的設備（其中很多設備幾乎沒有或者根本沒有內置安全性）連接到以前的安全網路中，導致易被攻擊的端點數量呈指數增長。企業應把握好這一趨勢，對非託管設備的使用進行一定程度的控制，並為託管設備建立明確的協議。

3.做一個完整的清單

Ponemon在2018年進行的一項調查發現，盡管97%的安全專業人士認為由不安全設備引起的網路攻擊對他們的企業來說可能是災難性的，但只有15%的企業擁有與其系統相連的物聯網設備的清單，不到一半的企業擁有允許他們斷開與被視為高風險設備的連接的安全協議。企業必須對這些漏洞主動採取措施。今年，我們希望看到有更多的企業遵循NIST的最佳實踐建議，為所有連接設備建立實時清單。不僅是那些通過有線連接的設備，還有通過Wi-Fi和藍牙連接的設備。

4.有目標的網路釣魚攻擊

對於黑客來說，個人數據是越來越有利可圖的寶藏。可以從暗網上買到從Facebook等社交媒體網站的攻擊中挖掘出來的數據，然後利用這些數據為 社會 工程攻擊工程師提供成功瞄準個人所需的信息。這導致了APT（高級持續威脅）組織能夠發起越來越復雜的攻擊。現在很少有人會陷入「奈及利亞」騙局，但如果網路釣魚電子郵件來自可信來源或者引用了你認為垃圾郵件發送者不會擁有的個人數據，那這就很難被發現。卡巴斯基公司認為，魚叉式網路釣魚將是2019年對企業和個人最大的一種威脅。

5.勒索軟體和挖礦劫持

雖然勒索軟體攻擊在減少，但在某種程度上已經被挖礦劫持（劫持計算機以挖掘加密貨幣）所取代。這些攻擊採用與勒索軟體類似的戰術，但需要較少的技術專業知識。惡意軟體是在用戶不知情的情況下在後台工作，因此很難估計這個問題的真實規模，但所有證據都表明這一問題越來越嚴重。

2018年（WannaCry、NotPetya）發生的轟動的攻擊也表明，盡管隨機的低級勒索軟體攻擊數量在減少，但復雜的有目標的攻擊在一段時間內仍是問題。我們預計，2019年挖礦劫持和有目標的勒索軟體攻擊仍然會持續增長。

6.用戶訪問許可權

有效的管理用戶許可權是強大的安全措施的基石之一。授予用戶不必要的數據訪問許可權或者系統許可權會導致意外和故意濫用數據，並給外部攻擊留下漏洞。識別和訪問管理（IAM）系統是應對這種風險的主要途徑，它為管理員提供了監視和評估訪問的工具，以確保符合政府法規和公司協議。在這一新興領域中的很多解決方案仍處於起步階段，但它們已經證明了自己的業務價值。我們預計在未來一年會有越來越多的解決方案。

7.端點檢測與響應（EDR）

端點檢測和響應是一種新興的技術，它連續監視接入點，對高級威脅做出直接響應。EDR解決方案主要側重於檢測入口點的事件，包括防止網路感染的事件、調查任何可疑的活動，以及恢復系統完整性的補救措施等。傳統的端點保護平台（EPP）主要是預防性的。EDR增強威脅檢測遠遠超出了傳統EPP解決方案的能力，並使用行為監視和人工智慧工具去主動搜索異常情況。網路威脅的性質已經發生了變化，我們期望能夠有一波新的安全解決方案，能夠把傳統的EPP與新興的EDR技術結合起來。

8.深度虛假視頻

眼見不一定為實。自動化的人工智慧技術已經開發出來，能夠創建和檢測深度虛假視頻。這類視頻可能描述了一個從事非法或者色情活動的名人或者政治家，也可能是一個發表煽動性言論的國家元首。即使圖像被證明是假的，但也會造成持久的名譽損害，或者嚴重的不可挽回的後果。這不僅突出了事實檢驗的重要性，而且這項技術還令人感到隱隱的擔憂。深度虛假視頻經常會像病毒一樣傳播，這使其成為傳播惡意軟體和發起網路釣魚攻擊的絕佳工具。在接下來的一年裡，我們都應警惕這種惡劣的趨勢。

9.雲安全

把服務和計算解決方案遷移到雲端給企業帶來了很多好處。然而，這也打開了新的風險領域。令人擔憂的是，網路安全技能方面的差距仍然很大，新一代網路犯罪分子正在積極 探索 利用基於雲的服務，尋找漏洞。很多企業仍然不確定他們應在多大程度上負責保護數據，即使是最好的系統也可能因為違反協議而被攻破。我們需要重新定義雲的安全性並採取主動措施。

10.用戶認識

在上述幾乎所有的領域中，最終都取決於用戶認識。木桶的容量取決於最短的那塊木板，如果我們想保護好我們的數據和網路，那麼我們都必須承擔風險。最重要的是，我們希望所有用戶都能提高認識，並在限制威脅和補救方面開展更全面的教育。知識就是力量，它就在我們的掌握之中。

（原標題：這十個網路安全趨勢，誰都躲不掉！但結果取決於……）

Ⅱ 什麼是網路安全，為何要注重網路安全

沒有網路安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。要樹立正確的網路安全觀，加強信息基礎設施網路安全防護，加強網路安全信息統籌機制、手段、平台建設，加強網路安全事件應急指揮能力建設，積極發展網路安全產業，做到關口前移，防患於未然。
01 網路安全是什麼？
網路安全，是指通過採取必要措施，防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網路處於穩定可靠運行的狀態，以及保障網路數據的完整性、保密性、可用性的能力。

2020年4月《 第45次中國互聯網路發展狀況統計報告》顯示，我國網民規模突破9億
新華社發 勾建山 作
02 網路安全為何重要？
當今時代，網路安全和信息化對一個國家很多領域都是牽一發而動全身的，網路安全已是國家安全的重要組成部分。沒有網路安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。從世界范圍看，網路安全威脅和風險日益突出，並向政治、經濟、文化、社會、生態、國防等領域傳導滲透。網路安全已經成為我國面臨的最復雜、最現實、最嚴峻的非傳統安全問題之一。

03 當前我國網路安全總體形勢如何？
隨著網路信息技術與應用的不斷演進，互聯網已成為整個經濟社會發展升級的重要驅動，同時帶來的風險挑戰也不斷增大，網路空間威脅日益增多。通過依法開展網路空間治理，我國網路空間日漸清朗，網路安全頂層設計不斷完善，網路安全綜合治理能力水平不斷提升。當前，我國各類網路違法犯罪時有發生，數據安全和侵犯個人隱私問題、關鍵信息基礎設施安全防護問題日益凸顯，高強度網路攻擊愈加明顯。
《2019年我國互聯網網路安全態勢綜述》顯示，2019年我國網路安全比較突出的問題主要表現在：分布式拒絕服務攻擊高發頻發且攻擊組織性與目的性更加凸顯；高級持續性威脅攻擊逐步向各重要行業領域滲透；信息系統面臨的漏洞威脅形勢更加嚴峻；數據安全防護意識依然薄弱；「灰色」應用程序針對重要行業安全威脅更加明顯；網路黑產活動專業化、自動化程度不斷提升；新技術的應用給工業控制系統帶來安全新隱患。

5G 「新基建」 新華社 漫畫
04 如何認識安全與發展的關系？
安全與發展有機統一。發展利益與安全利益是國家核心利益的重要內容。一方面，發展是安全的保障，不可能離開發展談安全；另一方面，安全是發展的前提，不能為了發展罔顧安全，安全和發展要同步推進。古往今來，很多技術都是「雙刃劍」，既可以造福社會、造福人民，也可以被一些人用來損害社會公共利益和民眾利益，因而要正確處理安全和發展的關系。網路安全和信息化是相輔相成的，是一體之兩翼，驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。
05 如何樹立正確的網路安全觀？
正確樹立網路安全觀，認識當今的網路安全有幾個主要特點：
一是網路安全是整體的而不是割裂的。在信息時代，網路安全對國家安全牽一發而動全身，同許多其他方面的安全都有著密切關系。
二是網路安全是動態的而不是靜態的。網路變得高度關聯、相互依賴，網路安全的威脅來源和攻擊手段不斷變化，需要樹立動態、綜合的防護理念。
三是網路安全是開放的而不是封閉的。只有立足開放環境，加強對外交流、合作、互動、博弈，吸收先進技術，網路安全水平才會不斷提高。
四是網路安全是相對的而不是絕對的。沒有絕對安全，要立足基本國情保安全，避免不計成本追求絕對安全。
五是網路安全是共同的而不是孤立的。網路安全為人民，網路安全靠人民，維護網路安全是全社會共同責任，需要政府、企業、社會組織、廣大網民共同參與，共築網路安全防線。

Ⅲ 計算機病毒調查：越來越多惡意挖礦軟體被安裝在物聯網設備上

光明網天津9月16日電 （記者 李政葳）在2019年國家網路安全宣傳周期間，國家計算機病毒應急處理中心發布的「第十八次計算機病毒和移動終端病毒疫情調查報告」顯示，2018年我國計算機病毒感染率和移動終端病毒感染率均呈上升態勢。其中，網路安全問題呈易變性、不確定性、規模性和模糊性等特點，網路安全事件發生成為大概率事件，信息泄漏、勒索病毒等重大網路安全事件時有發生。

報告顯示，雲主機成為挖取門羅幣、以利幣等數字貨幣的主要利用對象，「雲挖礦」悄然興起。惡意挖礦技術提升明顯，產業也趨於成熟，惡意挖礦家族通過相互之間的合作使受害計算機和網路設備價值被更大程度壓榨，給安全從業者帶來更大挑戰；同時，越來越多的惡意挖礦軟體被安裝在網路和物聯網設備上，影響設備性能的同時，也易形成僵屍網路，對整個互聯網的安全構成威脅。

報告還提到，數據的重要價值越發凸顯，信息泄露事件呈常態化，企業對數據的流向和使用許可權監管薄弱，導致目前數據被第三方插件濫用的情況嚴重。隨著移動互聯網發展，萬物互聯的未來逐漸清晰，智能設備的生產過程中通常有大量第三方參與，而這些第三方由於發展迅速導致能力缺失，往往存在開發質量存疑、安全性能無法保障等問題。

另外，報告顯示，移動互聯網應用形態更加豐富，各類App已全面融入所有互聯網業態，移動互聯網生態環境日益復雜，與移動互聯網相關的新型網路違法犯罪日益突出。在公安部的指導下，國家計算機病毒應急處理中心將進一步加強對移動App與SDK的檢驗檢測，健全完善舉報與企業自律工作機制，對發現的問題及時予以曝光，有效凈化行業環境。

Ⅳ 2019年首度網路安全日總結,信息安全工作匯報

一、信息安全狀況總體評價

根據關於對政府信息系統安全檢查的通知要求，我局認真進行了檢查梳理。現我局共有信息系統總數5個，面向社會公眾提供服務的信息系統數2個，委託社會第三方進行日常運維管理的信息系統數1個，經過安

全測評（含風險評估等級評測），5個系統數均為安全。在系統運行中，無失泄密和受到過病毒木馬等惡意代碼感染，本部門門戶網站未受攻擊和篡改（含內嵌惡意代碼）。與上一年度相比信息安全工作取得的好的長足的進展，整體信息安全狀況良好。

二、信息安全主要工作情況

（一）信息安全組織管理。我局成立了以呂艷副局長為組長，各個科室負責人為成員的信息安全工作領導小組，全面負責信息安全工作。確定了局辦公室為信息安全管理工作的具體承辦機構，辦公室主任為具體負責人，並指定公文收發員為我局兼職信息安全員。

（五）信息安全教育培訓。我局領導幹部和科室工作人員全員參加信息安全教育培訓、掌握信息安全常識和基本技能。對於信息安全管理和技術人員也定期參加信息安全專業培訓

三、信息安全檢查等方面開展的工作情況

我局經常、制度性地開展信息安全檢查，重點是辦公計算機和移動存儲設備安全防護以及門戶網站安全防護。經檢查，無失泄密和受到過病毒木馬等惡意代碼感染，本部門門戶網站未受攻擊和篡改（含內嵌惡意代碼）。我局將嚴格按照信息安全的相關要求的制度，在下一步的工作中，認真做好信息安全工作

四、對信息安全工作的意見和建議

在信息安全工作中，由於我們的辦公計算機公文處理軟體為微軟的word系統，加之計算機的cpu也不是純國產，對於信息安全有著一定的安全隱患

Ⅳ 網路安全未來發展怎麼樣

網路安全是指通過有效的技術和管理手段，保護計算機信息系統和網路內的計算機硬體，軟體及數據不因偶然或惡意的原因而遭到破壞，更改，泄露，保障系統連續可靠正常的運行 信息服務不中斷。信息安全是指保護信息系統的安全，主要目標包括保護信息系統的保密性，完整性和可用性等。網路安全的前途，如計算機類專業雖然幾經起伏，但在近五年內競爭力非常穩健。在本次榜單中，計算機類專業包攬前三，軟體工程排名第一，信息安全緊隨其後。在互聯網已成為基礎設施的情況下，相關企業保持了極高的競爭力。網路安全人才的需求量也比較大。網路安全行業現狀。網路安全基本只服務於國家一些重要機構，而近幾年隨著互聯網行業迅速發展，從全球范圍來看，網路安全帶來的風險正變得日益突出，並不斷向政治，經濟，文化，社會，國防等多個領域傳導滲透。國家支持企業和高等學校，職業學校等教育培訓機構開展網路安全相關教育培訓，採取多種方式培養網路安全人才，促進網路安全人才發展。網路發展前景，現在人的生活與網路息息相關，個人和企業的信息安全顯示尤為重要，應對網路安全挑戰已經越來越被重視。目前國內在網路安全方面人才缺口很大，而隨著未來網路的不斷發展，信息安全顯得越來越重要。

Ⅵ 中國網路安全現狀

2021年7月20日，新浪科技發文稱iPhone手機存在安全隱患，Pegasus惡意軟體可能會入侵用戶的iPhone手機，竊取用戶的信息和郵件，甚至可以控制手機的麥克風和攝像頭，大數據時代用戶或無隱私可言。

實際上，我國對打擊大數據泄露安全事件有著強大的決心和執行力，在滴滴事件之後，國家網信辦依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》等法律法規修訂了《網路安全審查好辦法》，向社會公開徵求意見，擬規定掌握超百萬用戶信息國外上市須審查。

由此可見，在我國互聯網高速發展的時代，用戶數據的監管變得越來越困難，此次網信辦修訂《網路安全審查辦法》凸顯了我國對收集隱私數據行為嚴厲打擊的決心。

網路安全行業主要企業：目前國內網路安全行業的主要企業有深信服(300454)、安恆信息(688023)、綠盟科技(300369)、啟明星辰(002439)、北信源(300352)等。

1、iPhone存在漏洞對用戶數據安全造成威脅

2021年7月20日，新浪科技發文稱iPhone存在漏洞，Pegasus惡意軟體在用戶不點擊鏈接的情況下也可以入侵用戶的手機，竊取信息和郵件，甚至可以操控用戶的攝像頭，此消息一出，網友大呼大數據時代無隱私可言，網路安全問題堪憂，實際上，在我國對網路安全問題有著強大的決心，滴滴事件之後，國家網信辦依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》等法律法規修訂了《網路安全審查好辦法》，向社會公開徵求意見，擬規定掌握超百萬用戶信息國外上市須審查。

由此可見，在我國互聯網高速發展的時代，用戶數據的監管變得越來越困難，此次網信辦修訂《網路安全審查辦法》凸顯了我國對收集隱私數據行為嚴厲打擊的決心。

綜合來看，滴滴事件對國家數據安全層面敲起了警鍾，而iPhone此次網路安全漏洞問題針對個人數據安全問題敲響了警鈴，相信未來隨著我國網路安全相關法案的不斷完善，我國個人網路安全問題將得到有效的保護。

—— 以上數據參考前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》

Ⅶ 低調的周鴻禕，升級的三六零

文/ 濟止

編輯/大風

「我們的對手不是同行、友商，而是一群高智商的黑客以及國家級的網路戰部隊……」

「有些人不同意我的觀點直接來噴我也沒問題，但是我希望我們每年都能開放性的討論，到底網路安全的路應該怎麼走。」

「360做免費殺毒起家，那會年輕只想乾死對手……」

7月27日，在一年一度的互聯網安全大會（ISC）上，久違了的三六零（601360.SH，下稱「360」）創始人、董事長周鴻禕以這樣的方式開口，似乎很難與印象中的那個「紅衣大炮」劃上等號，以至於讓一些參會的人開始議論：老周似乎靦腆了。與以往頻頻能曝出帶有「火葯味」的金句相比，感覺他這次低調了不少。

周鴻禕指出：「360想完成一個夢想，就是打通各地、各行業的安全大腦體系，形成威脅情報和數據的互相查詢，構建起一個國家級范圍的分布式安全大腦，真正提升整個國家的安全能力。」

當「紅衣大炮」的炮口不再對准同行，而是以開放的心態要去共同承擔國家網路安全建設，抵禦外部攻擊的時候，這一次，周鴻禕和他的360會打出什麼牌呢？

「我們這個行業的從業人員像希臘神話里的西西弗斯一樣，每天辛辛苦苦推石頭上山，第二天石頭又落下來，在這個行業里工作就要不斷的歷經從成功到失敗，再從失敗到成功。」

不曾想，那個敢懟天懟地的周鴻禕變得理性了。在他看來，在這個行業堅持下來的人，都是理想主義者。

如今的安全行業讓周鴻禕感受到特別的不容易，與別的行業相比，這個行業最大的特點不是解決靜態問題，一招鮮吃遍天下的方式並不適用。他多次強調， 現在的對手已不再是同行、友商，不再是小毛賊、小黑客，而是一群高智商的黑客以及國家級的網路戰部隊。

時下，網路安全環境正發生變化，網路安全威脅將超越傳統的安全威脅，成為數字化時代的最大威脅。從去年到今年上半年，全球范圍內網路安全重大事件頻發，供應鏈攻擊、勒索攻擊、工控設備攻擊、APT攻擊、數據竊取等各種攻擊手段層出不窮，網路攻擊也成為大國間對抗的熱點話題。未來，國家背景的網軍、APT組織、有組織網路犯罪將成為網路安全最大的威脅，網路攻擊的目標、手法，產生的破壞都突破常規，威脅不斷升級走向高端化。

周鴻禕總結出數字化的三個特徵：一切皆可編程、萬物均要互聯、大數據驅動業務。本質是軟體定義世界，城市、 汽車 、網路都將由軟體定義，這也意味著安全風險更加無處不在，整個世界更易受到攻擊。

所以無論從老百姓的吃喝玩樂衣食住行，政府的運行 社會 的管理，到城市的運作，數字化讓整個環境變得更加脆弱。

對於日趨嚴峻的網路安全環境，周鴻禕認為， 現在廠商之間沒有必要再去爭誰是一哥，因為當其他國家對我國發動網路攻擊的時候，廠商如果不能幫助國家解決問題的話，即便銷售額、利潤達到第一也沒有任何意義。

「不能把這個行業當成賣貨的行業，因為從賣貨的角度只要賣給客戶就行，看得見看不見網路攻擊不重要。但現在網路戰時刻在發生，已經不是歲月靜好了，網路安全公司最重要的使命是能保護國家的網路」周鴻禕說道。

鋅 財經 注意到，對於「不再歲月靜好」周鴻禕也不止一次說到。其實自殺入殺毒市場那時起，周鴻禕和他的360何曾消停過，即便經歷過大風大浪，還在感嘆「不再歲月靜好」，周鴻禕確實靦腆了。不過，在拋下了企業之間的小我之爭，有了保衛國家網路的使命感，周鴻禕也更穩重了。

僅僅靠家國情懷還不夠，自身硬實力也不能少，這一點，周鴻禕倒是很自信。

「任何黑客想要在中國干壞事都會拿360開刀，而常年處在攻防一線的實戰經驗讓360成為全世界黑客無法繞過的防線。」周鴻禕說道。

據他介紹，雖然360是半路出家，但前身做搜索引擎，通過搜索方法發現攻擊，主要是兩類攻擊，一類是電腦後台偷偷運行的代碼，另一類是後台偷偷聯網的代碼。當量多到一定程度，網路上發生什麼就看的一清二楚。可以說360是第一個把安全行為數據搜集到雲端做分析的公司。

但光有大數據是不夠的，最重要的還是對攻擊的了解。目前，360用戶超過10億，已形成全球最大的攻擊知識庫。

「黑客想要幹掉360，360也在琢磨怎麼不被幹掉。我們現在對全世界各國網軍的攻擊手法都有深入的了解。」在周鴻禕看來， 硬實力是要有實戰經驗的，如果沒有看見過別人是怎麼攻擊的，那做出來的產品就是閉門造車。

之所有能有這樣的底氣，離不開多年持續的高投入。

據悉，360每年投入20-30億用於核心技術研發以及高水平團隊建設，十年下來累計投入幾百億，是中國互聯網安全投入最多的公司。目前，360安全大數據總存儲數量超2EB，新增超1.5PB/天，並擁有210個數據中心，伺服器20多萬台，CPU100萬核，出口帶寬2300G，每天處理日誌2000億條，每年維護費用達5億。

此外，360還積累了全球獨有的攻擊知識庫和知識樣本庫，樣本文件數總量已達到300億，每日新增1000萬，並打造了200人的安全精英團隊和超3800人的安全專家團隊。

目前，360一共捕獲了境外46個國家級黑客組織，監測到3600多次攻擊，涉及2萬余個攻擊目標，僅今年上半年，360就捕獲針對我國發起攻擊的APT組織12個，其中首次發現的組織2個：蕪瓊洞、偽獵者。

種種數據表明，多年的巨大投入讓360練就了世界一流的安防能力。不過，困難也有。

一直以來，廣告收入佔360總收入的大頭，據該公司2020年財報顯示，互聯網廣告及服務收入為人民幣75.12億元，在主營業務收入中佔比達64.78%。

對此，周鴻禕毫不避諱的說道：「360的商業模式比較奇葩，一直掙的是最庸俗的廣告錢，有點侯門一入深如海，有些動作過激，所以廣告彈窗不少。」

為了回歸初心，從用戶體驗出發，360 安全衛士在7月28日正式發布無彈窗廣告的極速版，新增網路安全、數據安全等功能。同時，360再次強調了對用戶永久免費的承諾。

另一方面，360這兩年也在試圖轉型，去 探索 廣告以外的更多盈利模式，比如黨政軍企方面。據悉，360在2019年成立了政企安全集團，對大型企業、政府提供收費的安全服務，安全數據定位服務等，以此來擺脫對廣告模式的依賴。

財報顯示，2020年，360安全及其他業務收入為8.08億元，同比增長70.73%，高增長態勢顯示出轉型帶來的效果。

在數字化的大背景下，網路安全行業已被重新定義，因此需要新的戰法以及新的框架。

據周鴻禕介紹，360的新戰法將以「作戰、對抗、攻防思維」為指導，安全體系與數字體系融合，攻防能力與管控能力融合。在他看來，既然是打仗，想靠單一武器致勝已不現實，而是需要體系化的作戰能力。「如果以賣貨為思路，將很多產品賣給用戶，但有產品不等於有能力，碎片化很嚴重，所以如何形成起體系化作戰很重要。」

而新框架，其主要作用是為黨政軍企單位提供一個建設安全能力的參考框架。具體而言，新一代安全能力框架包括四個部分：一是區域/行業/企業總部的安全大腦，二是安全基礎設施體系，三是安全專家運營應急體系，四是安全基礎服務賦能體系。

周鴻禕表示，現在安全行業與其他行業最大的區別是，不是把友商都幹掉，而是要團結起來形成生態發展。

那麼，360的夢想是什麼？「360的定位是做雷達，別人有做高射炮，有做防空導彈，或者其他武器裝備。在我的雷達檢測到可疑攻擊之後，用數據鏈、威脅情報等方式，把數據傳遞給他們，使得大家能夠形成協同防禦。」周鴻禕說道。

他表示，360希望基於新一代安全能力框架，能夠打通各地、各行業的安全大腦體系，形成威脅情報和數據的互相查詢，構建起一個國家級范圍的分布式安全大腦，真正提升整個國家的安全能力。

不再以幹人為目標，一心想和同行共同御敵，開放的心態讓周鴻禕低調了很多，他明白要想打好數字化時代的網路安全戰，360必須升級。也許，當整個行業的炮口真正達到一致對外，需要有主角出現的時候，周鴻禕還是那個周鴻禕。

Ⅷ 誰為安全護航當智能網聯汽車遭遇黑客

[汽車之家行業]?「今年以來，針對車聯網企業的惡意攻擊達到280餘萬次。」「假如20萬輛汽車同時被黑客控制，車輛將變成攻擊人類的武器，帶來的災難無法想像。」這並非危言聳聽，在汽車智能網聯功能越發強大的同時，汽車網路信息安全問題也逐漸浮出水面。

『華為「進不來、拿不走、看不懂、改不了、癱不成、賴不掉」目標』

國汽（北京）智能網聯汽車研究院有限公司總經理助理兼整車事業部部長劉衛國給出政策層面的建議：第一，智能網聯汽車的安全問題是系統性問題；第二，智能網聯汽車的發展要上升到國家戰略並且具有屬地化，需要有中國特色的方案；第三，中國需要發展智能網聯汽車共性的基礎技術平台，為整個智能網聯產業做支撐；第四，產品准入政策的制定不要過死，增強企對自身產品負責的意識。

編輯總結：

「新四化」背景下，汽車產業鏈正在加速深度合作步伐。車聯網技術向著智能化、網聯化方向演進，車載操作系統、新型汽車電子、車載通信、服務平台等產業鏈玩家正在加速融合，產業格局正在被重塑。在這樣的產業格局下，我們的政策取向務必要優先考慮安全：人身與財產安全、網路安全、隱私及數據安全。這是一個「軟體定義汽車」的時代，也是「安全定義汽車」的時代。（文/汽車之家李爭光）

Ⅸ 專家解讀2019年《網路安全法》草案

一、重大歷史進步

網路安全不是今天才重要，網路安全立法也不是今天才迫切。十二年前的中央文件曾罕見地以書名號明確了立法任務，可見決心之巨。只是網路安全立法之路實在艱辛，時國務院信息辦審時度勢，由信息安全條例角度入手，並連續數年推動其列入國務院法制辦二類立法計劃，之後未能再進一步。2008年後，國務院信息辦職能整體劃轉至工業和信息化部，有關方面意識到制定條例未必就比人大立法容易，且國務院行政法規無力調整現行上位法的法律規定，遂決定返回制定信息安全法。然而國民經濟和社會發展頗多領域亟待立法，國家立法資源有限，每個部門允許提出的立法建議屈指可數。工業和信息化部既要考慮信息化立法，還要考慮工業立法，一半指標已不得用，而信息化方向還有一部歷史更為悠久的電信法望眼欲穿，信息安全法終究連個隊都沒排上。期間，人大建議、政協提案不計其數，社會公眾翹首以盼，均無果。

此次草案公開徵求意見，表明這項工作進入了實質性立法程序，這是一個重大歷史進步。歡欣鼓舞之所在，不是因為草案具體內容，而源於徵求意見本身的象徵意義。時至今日，我們對網路安全立法不是搞清楚、看明白了，而是問題更多、更復雜了，很多觀點分歧可能更大了，網路安全立法難度不降反升，但突破恰恰在此時。中央網路安全和信息化領導小組成立後，中央領導同志英明決策，切實將網路安全提升到了國家安全和發展的高度，不但作出「網路強國」的全局戰略部署，更扎實推進各項工作取得積極進展。網路安全宣傳周、網路空間安全一級學科等，無一不歷經多年論證而蹉跎，今朝方開花結果。

誠然，網路安全立法工作十分艱巨，草案肯定有這樣那樣的問題，但今天的一小步，是國家網路安全工作的一大步。我們應該寬容它、呵護它，使其不斷成熟、更加科學，成長為護佑國家網路安全和信息化發展的參天大樹。

二、彰顯國家意志，確立基本原則

草案在「總則」和「網路安全戰略、規劃與促進」部分提出的宣示性條款遠較其他法律為多，還設立一條倡導性條款(即「倡導誠實守信、健康文明的網路行為」)。作為我國網路安全的基本法，這些「軟性」法律規定確有必要，其意在於宣示國家網路安全工作的基本原則，明確建設網路安全保障體系的主要舉措，從而為整體推進保障體系建設提供法律依據。

一是堅持網路安全和信息化發展並重原則。網路安全和信息化是一體之兩翼，驅動之雙輪，要堅持以安全保發展、以發展促安全，不能簡單地通過不上網、不共享、不互聯互通來保安全，或者片面強調建專網。要努力實現技術創新和體制機制創新，不斷增強維護網路安全的新思路、新方法、新舉措、新本領，而不是因噎廢食、自甘落後。

二是提出了網路空間主權。網路空間主權是國家主權在網路空間的體現和延伸，網路空間主權原則是我國維護國家安全和利益、參與網路空間國際合作所堅持的重要原則。草案雖未作解釋，且一筆帶過，然猶有石破天驚之意。

三是開展國際合作。網路安全是全球面臨的共同問題，中國對廣泛開展國際合作持積極態度，合作重點包括但不限於網路治理、技術與標准、打擊違法犯罪等，目標是推動構建和平、安全、開放、合作的網路空間。

四是建立統籌協調、分工負責的網路安全管理體制。多年 實踐 和各國經驗表明，網路安全工作離不開統籌協調。隨著中央網路安全和信息化領導小組的成立，有必要通過立法增強領導小組及其辦公室的權威性。草案規定，國家網信部門負責統籌協調網路安全工作和相關監督管理工作。具體包括，對監測預警和信息通報、網路安全應急、關鍵信息基礎設施安全防護等跨部門工作，由網信部門統籌協調;對網路安全審查、重要數據跨境流動安全評估等新出現的綜合性管理工作，由網信部門會同國務院有關部門制定辦法或組織實施。由此，政府向解決分散、多頭和重復管理邁出了關鍵一步。

五是加強行業自律。要充分發揮行業組織作用，指導行業組織成員加強網路安全防護，促進行業健康發展。

六是強化網路安全頂層設計。頂層設計至關重要，首先是要制定網路安全國家戰略，對外宣示主張，對內指導工作;其次要由行業主管部門、其他有關部門制定重點行業、重點領域網路安全規劃，確保戰略落地，確保這些行業和領域的網路安全工作有目標、有任務、有舉措、有監督。

七是建立和完善網路安全標准體系，充分發揮標准在網路安全建設中的指導性、規范性作用。

八是加大財政投入，以加快產業發展，深化技術研發，提升網路安全創新能力。

九是做好宣傳教育和 人才 培養工作。首先，要開展經常性的網路安全宣傳教育;其次，要通過學歷教育和在職培訓，採取多種方式培養網路安全人才。

三、關鍵信息基礎設施保護工作進入正軌

關鍵信息基礎設施保護(CIIP)是各國的通行舉措。雖然關鍵基礎設施保護(CIP)涉及物理設施安全，與前者不完全一致，但兩者在多數情況下已可以混用。CIIP/CIP一直是各國網路安全戰略的重點，有的國家甚至以CIIP/CIP戰略代指國家網路安全戰略。我們國家在2003年時已經要求「重點保障基礎信息網路和重要信息系統安全」，並且在實踐中明確了基礎信息網路是廣電網、電信網、互聯網，重要信息系統是銀行、證券、保險、民航、鐵路、電力、海關、稅務等行業的系統，即俗稱的「2+8」，相關保護工作也常抓不懈。但整體而言，我們與國外差距很大，已是國家安全的軟肋，草案為此設立了「關鍵信息基礎設施的運行安全」一節。

一是擴展了保護范圍。縱觀世界各國，凡是已經開展了網路安全建設的國家，其關鍵基礎設施的范圍幾乎都遠超過我們，例如美國有17類，而我們則有很多重要系統尚未納入保護視野。草案首次明確了關鍵信息基礎設施范圍，包括基礎信息網路、重點行業信息系統、公共服務領域重要信息系統、軍事網路、地市級以上國家機關政務網路、用戶數量眾多的網路服務商系統。最後一類系統中很多由私企運營，運營者可能對其列為國家關鍵信息基礎設施不適應，但當網路服務商的用戶達到一定規模時，其安全已經不再是企業自身問題，而成為一個公共問題、社會問題甚至國家安全問題，理應承擔更多責任。一些國外機構可能會拿這個做文章，但事實上美國的關鍵基礎設施有87%受私營企業控制。

二是明確了保護要求。等級保護是1994年《計算機信息系統安全保護條例》提出的制度，其對全國各類信息系統提出了分五個等級的通用安全要求。恰恰因為通用，這個要求只能是基線(即基本要求)，其有必要但並不足夠，特別是不足以反映應用模式日趨復雜的異構系統的動態防護需求。此外，保護關鍵信息基礎設施涉及很多工作，不僅僅是提出系統自身的保護要求、加強系統安全建設那麼簡單，還包括一系列的管理工作和公共平台建設，不能由一項制度取代其他制度，理應對此建立專門制度。草案提出，關鍵信息基礎設施安全保護辦法由國務院制定。對於某些重點要求，如網路安全審查、風險評估等，草案則在具體條款中進行了明確。

三是劃定了保護責任。草案規定了關鍵信息基礎設施運營者的安全保護義務，解決了其保護責任模糊不明的問題。他們有必要從國家安全形度承擔防護責任，但這個責任畢竟是有界限的。大家希望知道做到什麼程度就無責了，也關心自身的權利如何保障。對很多重點行業的信息技術或網路安全部門來說，這不僅僅是免責的需要，也是推動工作的需要，因為這些內設機構如果沒有強制性依據，很難得到業務部門的配合。此外，以前我國重點行業的網路安全監管責任也很不明確。似乎誰都可以進入機房檢查，但誰都不用負責，重點行業往往無所適從、疲於應付。為此，草案明確了行業主管部門的監督指導職責，這是一個重要進步。考慮到關鍵信息基礎設施保護的確涉及多個部門，草案授權國家網信部門統籌協調有關部門，建立協作機制。特別是在網路安全檢查工作中，要杜絕某個部門前腳走，另一部門後腳來的現象。

四、兼具綜合法與專門法的特點

網路安全包含的內容太多，當前需要立法規范的事項也很多，於是就有了綜合法與專門法的爭議。一個基本事實是，目前世界上鮮見網路安全的綜合法，有名的美國《計算機安全法》實際上針對的是美國聯邦政府信息系統安全保護，近幾年美國國會討論的《網路安全法》或《網路安全增強法》則主要解決關鍵基礎設施的安全保護問題。

作為第一部網路安全法(《電子簽名法》不應該計算在內)，草案首先要體現綜合性，其側重點應該在以下四個方面：

一是要明確部門、企業、社會組織和個人的權利、義務和責任。

二是規定國家網路安全工作的基本原則和理念。

三是將成熟的政策規定和措施上升為法律，為政府部門的工作提供法律依據，體現依法治國要求。這首先是政府部門的工作需要(如對境外違法信息予以阻斷、實施網路通信管制等);其次，這些規定和措施往往經過了實踐檢驗，部門間爭議較小，有利於提高立法效率。

四是建立國家網路安全的一系列基本制度、形成制度框架，這些基本制度帶有全局性、基礎性，是推動基礎性工作、夯實基礎能力所必需。

此外，為了突出實用性，草案還應部分體現專門法的特點。這應從三個方面去考慮：

一是實施重點防護，對關鍵信息基礎設施、網路信息內容等重點安全關注予以優先考慮。

二是防範重大威脅。例如，信息系統安全受控於人是我們面臨的心腹大患，斯諾登事件使我們進一步看清風險所在，這就要對供應鏈安全進行規范。

三是對普遍性、長期存在的社會訴求予以響應。

總體看，草案比較好地處理了綜合法與專門法的關系問題，但個別條款還是過於糾結細枝末節(如網路運營者的分項安全保護義務不必展開)，或細致到了足可取代部分專門法的地步(如個人信息保護應制定專門法，原有條款似可刪減後將重心轉向規范信息內容安全)。除了個人信息外，草案沒有突出對公民個人權益的更多保護，如對危害網路安全行為的舉報並不是為了解決公民作為受害者「報案無門」的困窘，這不能不說是小的遺憾。

五、「網路安全」的定義還可以更為妥帖

「網路」和「網路安全」是「網路安全法」的題眼。但草案給出的這兩個定義卻使整篇草案黯然失色，效果有雲泥之別。近年的工作中，我們用過「信息安全」，也用過「網路安全」，學者們各抒己見，一些部門也喜歡朝向有利於自身職能的角度去解釋，這些自不待言。但中央網路安全和信息化領導小組成立後，已經基本將其統一為「網路安全」。當然，國安委還是使用「信息安全」，《國家安全法》使用的是「網路與信息安全」，但這些已不會造成工作上的障礙。

只是這個「網路安全」實是「CyberSecurity」之譯，非「NetworkSecurity」。這裡面的「網路」其實指的是「網路空間」(Cyberspace)。因此，當草案試圖從「網路空間」的內涵上去解釋「網路」時，便挑戰了大眾的科技常識底線，且出現了「網路是指網路和系統」的尷尬。當然，如果就這么用下去，倒也自成一脈，但草案轉眼就去使用狹義的「網路」了，如「建設、運營、維護和使用網路」、「網路基礎設施」、「網路數據」、「網路接入」等，這里都是指的「network」。由此，草案中頻繁出現自己與自己打架的情況。

而草案中的「網路安全」定義也需修改。現有定義不但丟掉了信息內容安全，更是與「網路空間主權」沒有關聯。

解決這個問題的途徑是，網路就是網路，不要讓網路去包括信息系統。即，自始至終使用傳統意義上的「Network」概念。對於「網路安全」，則按「網路空間安全」去解釋即可。

另外，草案的起草堅持問題導向，對一些確有必要，但尚缺乏實踐經驗的制度安排做出原則性規定。這一處理十分務實、有益，但對於什麼是「原則性規定」則要仔細琢磨。