2019年网络安全事件

Ⅰ 2019网络安全的十大趋势

2018年，很多轰动的数据泄露和勒索软件攻击震惊了企业界。Juniper Research公司估计，在未来五年内，网络犯罪分子窃取的数据量会增加高达175%。再加上全球经济的不确定性，2019年对于网络安全专业人士来说将是充满挑战的一年。

1.实施GDPR

欧盟的通用数据保护条例（GDPR）要求在欧盟运营的每一家企业都要保护欧盟公民的隐私和个人数据。如果不合规会受到很高的处罚，GDPR对个人数据的构成的规定非常宽泛，因此，这会是一项非常繁重的工作。Ovum在2018年7月一份有关数据隐私法的报告中指出，三分之二的企业认为他们将不得不调整自己的工作流程以实现合规，一半以上的企业担心他们可能会因为不合规而被罚款。

2.管理托管和非托管设备

随着用户使用的移动设备（包括托管的和非托管的）的数量和范围不断增加，企业网络在降低相关风险方面面临着艰巨的挑战。物联网已经把很多联网的设备（其中很多设备几乎没有或者根本没有内置安全性）连接到以前的安全网络中，导致易被攻击的端点数量呈指数增长。企业应把握好这一趋势，对非托管设备的使用进行一定程度的控制，并为托管设备建立明确的协议。

3.做一个完整的清单

Ponemon在2018年进行的一项调查发现，尽管97%的安全专业人士认为由不安全设备引起的网络攻击对他们的企业来说可能是灾难性的，但只有15%的企业拥有与其系统相连的物联网设备的清单，不到一半的企业拥有允许他们断开与被视为高风险设备的连接的安全协议。企业必须对这些漏洞主动采取措施。今年，我们希望看到有更多的企业遵循NIST的最佳实践建议，为所有连接设备建立实时清单。不仅是那些通过有线连接的设备，还有通过Wi-Fi和蓝牙连接的设备。

4.有目标的网络钓鱼攻击

对于黑客来说，个人数据是越来越有利可图的宝藏。可以从暗网上买到从Facebook等社交媒体网站的攻击中挖掘出来的数据，然后利用这些数据为 社会 工程攻击工程师提供成功瞄准个人所需的信息。这导致了APT（高级持续威胁）组织能够发起越来越复杂的攻击。现在很少有人会陷入“尼日尔爾利亚”骗局，但如果网络钓鱼电子邮件来自可信来源或者引用了你认为垃圾邮件发送者不会拥有的个人数据，那这就很难被发现。卡巴斯基公司认为，鱼叉式网络钓鱼将是2019年对企业和个人最大的一种威胁。

5.勒索软件和挖矿劫持

虽然勒索软件攻击在减少，但在某种程度上已经被挖矿劫持（劫持计算机以挖掘加密货币）所取代。这些攻击采用与勒索软件类似的战术，但需要较少的技术专业知识。恶意软件是在用户不知情的情况下在后台工作，因此很难估计这个问题的真实规模，但所有证据都表明这一问题越来越严重。

2018年（WannaCry、NotPetya）发生的轰动的攻击也表明，尽管随机的低级勒索软件攻击数量在减少，但复杂的有目标的攻击在一段时间内仍是问题。我们预计，2019年挖矿劫持和有目标的勒索软件攻击仍然会持续增长。

6.用户访问权限

有效的管理用户权限是强大的安全措施的基石之一。授予用户不必要的数据访问权限或者系统权限会导致意外和故意滥用数据，并给外部攻击留下漏洞。识别和访问管理（IAM）系统是应对这种风险的主要途径，它为管理员提供了监视和评估访问的工具，以确保符合政府法规和公司协议。在这一新兴领域中的很多解决方案仍处于起步阶段，但它们已经证明了自己的业务价值。我们预计在未来一年会有越来越多的解决方案。

7.端点检测与响应（EDR）

端点检测和响应是一种新兴的技术，它连续监视接入点，对高级威胁做出直接响应。EDR解决方案主要侧重于检测入口点的事件，包括防止网络感染的事件、调查任何可疑的活动，以及恢复系统完整性的补救措施等。传统的端点保护平台（EPP）主要是预防性的。EDR增强威胁检测远远超出了传统EPP解决方案的能力，并使用行为监视和人工智能工具去主动搜索异常情况。网络威胁的性质已经发生了变化，我们期望能够有一波新的安全解决方案，能够把传统的EPP与新兴的EDR技术结合起来。

8.深度虚假视频

眼见不一定为实。自动化的人工智能技术已经开发出来，能够创建和检测深度虚假视频。这类视频可能描述了一个从事非法或者色情活动的名人或者政治家，也可能是一个发表煽动性言论的国家元首。即使图像被证明是假的，但也会造成持久的名誉损害，或者严重的不可挽回的后果。这不仅突出了事实检验的重要性，而且这项技术还令人感到隐隐的担忧。深度虚假视频经常会像病毒一样传播，这使其成为传播恶意软件和发起网络钓鱼攻击的绝佳工具。在接下来的一年里，我们都应警惕这种恶劣的趋势。

9.云安全

把服务和计算解决方案迁移到云端给企业带来了很多好处。然而，这也打开了新的风险领域。令人担忧的是，网络安全技能方面的差距仍然很大，新一代网络犯罪分子正在积极 探索 利用基于云的服务，寻找漏洞。很多企业仍然不确定他们应在多大程度上负责保护数据，即使是最好的系统也可能因为违反协议而被攻破。我们需要重新定义云的安全性并采取主动措施。

10.用户认识

在上述几乎所有的领域中，最终都取决于用户认识。木桶的容量取决于最短的那块木板，如果我们想保护好我们的数据和网络，那么我们都必须承担风险。最重要的是，我们希望所有用户都能提高认识，并在限制威胁和补救方面开展更全面的教育。知识就是力量，它就在我们的掌握之中。

（原标题：这十个网络安全趋势，谁都躲不掉！但结果取决于……）

Ⅱ 什么是网络安全，为何要注重网络安全

没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。
01 网络安全是什么？
网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

2020年4月《 第45次中国互联网络发展状况统计报告》显示，我国网民规模突破9亿
新华社发 勾建山 作
02 网络安全为何重要？
当今时代，网络安全和信息化对一个国家很多领域都是牵一发而动全身的，网络安全已是国家安全的重要组成部分。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。从世界范围看，网络安全威胁和风险日益突出，并向政治、经济、文化、社会、生态、国防等领域传导渗透。网络安全已经成为我国面临的最复杂、最现实、最严峻的非传统安全问题之一。

03 当前我国网络安全总体形势如何？
随着网络信息技术与应用的不断演进，互联网已成为整个经济社会发展升级的重要驱动，同时带来的风险挑战也不断增大，网络空间威胁日益增多。通过依法开展网络空间治理，我国网络空间日渐清朗，网络安全顶层设计不断完善，网络安全综合治理能力水平不断提升。当前，我国各类网络违法犯罪时有发生，数据安全和侵犯个人隐私问题、关键信息基础设施安全防护问题日益凸显，高强度网络攻击愈加明显。
《2019年我国互联网网络安全态势综述》显示，2019年我国网络安全比较突出的问题主要表现在：分布式拒绝服务攻击高发频发且攻击组织性与目的性更加凸显；高级持续性威胁攻击逐步向各重要行业领域渗透；信息系统面临的漏洞威胁形势更加严峻；数据安全防护意识依然薄弱；“灰色”应用程序针对重要行业安全威胁更加明显；网络黑产活动专业化、自动化程度不断提升；新技术的应用给工业控制系统带来安全新隐患。

5G “新基建” 新华社 漫画
04 如何认识安全与发展的关系？
安全与发展有机统一。发展利益与安全利益是国家核心利益的重要内容。一方面，发展是安全的保障，不可能离开发展谈安全；另一方面，安全是发展的前提，不能为了发展罔顾安全，安全和发展要同步推进。古往今来，很多技术都是“双刃剑”，既可以造福社会、造福人民，也可以被一些人用来损害社会公共利益和民众利益，因而要正确处理安全和发展的关系。网络安全和信息化是相辅相成的，是一体之两翼，驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。
05 如何树立正确的网络安全观？
正确树立网络安全观，认识当今的网络安全有几个主要特点：
一是网络安全是整体的而不是割裂的。在信息时代，网络安全对国家安全牵一发而动全身，同许多其他方面的安全都有着密切关系。
二是网络安全是动态的而不是静态的。网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，需要树立动态、综合的防护理念。
三是网络安全是开放的而不是封闭的。只有立足开放环境，加强对外交流、合作、互动、博弈，吸收先进技术，网络安全水平才会不断提高。
四是网络安全是相对的而不是绝对的。没有绝对安全，要立足基本国情保安全，避免不计成本追求绝对安全。
五是网络安全是共同的而不是孤立的。网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。

Ⅲ 计算机病毒调查：越来越多恶意挖矿软件被安装在物联网设备上

光明网天津9月16日电 （记者 李政葳）在2019年国家网络安全宣传周期间，国家计算机病毒应急处理中心发布的“第十八次计算机病毒和移动终端病毒疫情调查报告”显示，2018年我国计算机病毒感染率和移动终端病毒感染率均呈上升态势。其中，网络安全问题呈易变性、不确定性、规模性和模糊性等特点，网络安全事件发生成为大概率事件，信息泄漏、勒索病毒等重大网络安全事件时有发生。

报告显示，云主机成为挖取门罗币、以利币等数字货币的主要利用对象，“云挖矿”悄然兴起。恶意挖矿技术提升明显，产业也趋于成熟，恶意挖矿家族通过相互之间的合作使受害计算机和网络设备价值被更大程度压榨，给安全从业者带来更大挑战；同时，越来越多的恶意挖矿软件被安装在网络和物联网设备上，影响设备性能的同时，也易形成僵尸网络，对整个互联网的安全构成威胁。

报告还提到，数据的重要价值越发凸显，信息泄露事件呈常态化，企业对数据的流向和使用权限监管薄弱，导致目前数据被第三方插件滥用的情况严重。随着移动互联网发展，万物互联的未来逐渐清晰，智能设备的生产过程中通常有大量第三方参与，而这些第三方由于发展迅速导致能力缺失，往往存在开发质量存疑、安全性能无法保障等问题。

另外，报告显示，移动互联网应用形态更加丰富，各类App已全面融入所有互联网业态，移动互联网生态环境日益复杂，与移动互联网相关的新型网络违法犯罪日益突出。在公安部的指导下，国家计算机病毒应急处理中心将进一步加强对移动App与SDK的检验检测，健全完善举报与企业自律工作机制，对发现的问题及时予以曝光，有效净化行业环境。

Ⅳ 2019年首度网络安全日总结,信息安全工作汇报

一、信息安全状况总体评价

根据关于对政府信息系统安全检查的通知要求，我局认真进行了检查梳理。现我局共有信息系统总数5个，面向社会公众提供服务的信息系统数2个，委托社会第三方进行日常运维管理的信息系统数1个，经过安

全测评（含风险评估等级评测），5个系统数均为安全。在系统运行中，无失泄密和受到过病毒木马等恶意代码感染，本部门门户网站未受攻击和篡改（含内嵌恶意代码）。与上一年度相比信息安全工作取得的好的长足的进展，整体信息安全状况良好。

二、信息安全主要工作情况

（一）信息安全组织管理。我局成立了以吕艳副局长为组长，各个科室负责人为成员的信息安全工作领导小组，全面负责信息安全工作。确定了局办公室为信息安全管理工作的具体承办机构，办公室主任为具体负责人，并指定公文收发员为我局兼职信息安全员。

（五）信息安全教育培训。我局领导干部和科室工作人员全员参加信息安全教育培训、掌握信息安全常识和基本技能。对于信息安全管理和技术人员也定期参加信息安全专业培训

三、信息安全检查等方面开展的工作情况

我局经常、制度性地开展信息安全检查，重点是办公计算机和移动存储设备安全防护以及门户网站安全防护。经检查，无失泄密和受到过病毒木马等恶意代码感染，本部门门户网站未受攻击和篡改（含内嵌恶意代码）。我局将严格按照信息安全的相关要求的制度，在下一步的工作中，认真做好信息安全工作

四、对信息安全工作的意见和建议

在信息安全工作中，由于我们的办公计算机公文处理软件为微软的word系统，加之计算机的cpu也不是纯国产，对于信息安全有着一定的安全隐患

Ⅳ 网络安全未来发展怎么样

网络安全是指通过有效的技术和管理手段，保护计算机信息系统和网络内的计算机硬件，软件及数据不因偶然或恶意的原因而遭到破坏，更改，泄露，保障系统连续可靠正常的运行 信息服务不中断。信息安全是指保护信息系统的安全，主要目标包括保护信息系统的保密性，完整性和可用性等。网络安全的前途，如计算机类专业虽然几经起伏，但在近五年内竞争力非常稳健。在本次榜单中，计算机类专业包揽前三，软件工程排名第一，信息安全紧随其后。在互联网已成为基础设施的情况下，相关企业保持了极高的竞争力。网络安全人才的需求量也比较大。网络安全行业现状。网络安全基本只服务于国家一些重要机构，而近几年随着互联网行业迅速发展，从全球范围来看，网络安全带来的风险正变得日益突出，并不断向政治，经济，文化，社会，国防等多个领域传导渗透。国家支持企业和高等学校，职业学校等教育培训机构开展网络安全相关教育培训，采取多种方式培养网络安全人才，促进网络安全人才发展。网络发展前景，现在人的生活与网络息息相关，个人和企业的信息安全显示尤为重要，应对网络安全挑战已经越来越被重视。目前国内在网络安全方面人才缺口很大，而随着未来网络的不断发展，信息安全显得越来越重要。

Ⅵ 中国网络安全现状

2021年7月20日，新浪科技发文称iPhone手机存在安全隐患，Pegasus恶意软件可能会入侵用户的iPhone手机，窃取用户的信息和邮件，甚至可以控制手机的麦克风和摄像头，大数据时代用户或无隐私可言。

实际上，我国对打击大数据泄露安全事件有着强大的决心和执行力，在滴滴事件之后，国家网信办依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规修订了《网络安全审查好办法》，向社会公开征求意见，拟规定掌握超百万用户信息国外上市须审查。

由此可见，在我国互联网高速发展的时代，用户数据的监管变得越来越困难，此次网信办修订《网络安全审查办法》凸显了我国对收集隐私数据行为严厉打击的决心。

网络安全行业主要企业：目前国内网络安全行业的主要企业有深信服(300454)、安恒信息(688023)、绿盟科技(300369)、启明星辰(002439)、北信源(300352)等。

1、iPhone存在漏洞对用户数据安全造成威胁

2021年7月20日，新浪科技发文称iPhone存在漏洞，Pegasus恶意软件在用户不点击链接的情况下也可以入侵用户的手机，窃取信息和邮件，甚至可以操控用户的摄像头，此消息一出，网友大呼大数据时代无隐私可言，网络安全问题堪忧，实际上，在我国对网络安全问题有着强大的决心，滴滴事件之后，国家网信办依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规修订了《网络安全审查好办法》，向社会公开征求意见，拟规定掌握超百万用户信息国外上市须审查。

由此可见，在我国互联网高速发展的时代，用户数据的监管变得越来越困难，此次网信办修订《网络安全审查办法》凸显了我国对收集隐私数据行为严厉打击的决心。

综合来看，滴滴事件对国家数据安全层面敲起了警钟，而iPhone此次网络安全漏洞问题针对个人数据安全问题敲响了警铃，相信未来随着我国网络安全相关法案的不断完善，我国个人网络安全问题将得到有效的保护。

—— 以上数据参考前瞻产业研究院《中国网络安全行业发展前景预测与投资战略规划分析报告》

Ⅶ 低调的周鸿祎，升级的三六零

文/ 济止

编辑/大风

“我们的对手不是同行、友商，而是一群高智商的黑客以及国家级的网络战部队……”

“有些人不同意我的观点直接来喷我也没问题，但是我希望我们每年都能开放性的讨论，到底网络安全的路应该怎么走。”

“360做免费杀毒起家，那会年轻只想干死对手……”

7月27日，在一年一度的互联网安全大会（ISC）上，久违了的三六零（601360.SH，下称“360”）创始人、董事长周鸿祎以这样的方式开口，似乎很难与印象中的那个“红衣大炮”划上等号，以至于让一些参会的人开始议论：老周似乎腼腆了。与以往频频能曝出带有“火药味”的金句相比，感觉他这次低调了不少。

周鸿祎指出：“360想完成一个梦想，就是打通各地、各行业的安全大脑体系，形成威胁情报和数据的互相查询，构建起一个国家级范围的分布式安全大脑，真正提升整个国家的安全能力。”

当“红衣大炮”的炮口不再对准同行，而是以开放的心态要去共同承担国家网络安全建设，抵御外部攻击的时候，这一次，周鸿祎和他的360会打出什么牌呢？

“我们这个行业的从业人员像希腊神话里的西西弗斯一样，每天辛辛苦苦推石头上山，第二天石头又落下来，在这个行业里工作就要不断的历经从成功到失败，再从失败到成功。”

不曾想，那个敢怼天怼地的周鸿祎变得理性了。在他看来，在这个行业坚持下来的人，都是理想主义者。

如今的安全行业让周鸿祎感受到特别的不容易，与别的行业相比，这个行业最大的特点不是解决静态问题，一招鲜吃遍天下的方式并不适用。他多次强调， 现在的对手已不再是同行、友商，不再是小毛贼、小黑客，而是一群高智商的黑客以及国家级的网络战部队。

时下，网络安全环境正发生变化，网络安全威胁将超越传统的安全威胁，成为数字化时代的最大威胁。从去年到今年上半年，全球范围内网络安全重大事件频发，供应链攻击、勒索攻击、工控设备攻击、APT攻击、数据窃取等各种攻击手段层出不穷，网络攻击也成为大国间对抗的热点话题。未来，国家背景的网军、APT组织、有组织网络犯罪将成为网络安全最大的威胁，网络攻击的目标、手法，产生的破坏都突破常规，威胁不断升级走向高端化。

周鸿祎总结出数字化的三个特征：一切皆可编程、万物均要互联、大数据驱动业务。本质是软件定义世界，城市、 汽车 、网络都将由软件定义，这也意味着安全风险更加无处不在，整个世界更易受到攻击。

所以无论从老百姓的吃喝玩乐衣食住行，政府的运行 社会 的管理，到城市的运作，数字化让整个环境变得更加脆弱。

对于日趋严峻的网络安全环境，周鸿祎认为， 现在厂商之间没有必要再去争谁是一哥，因为当其他国家对我国发动网络攻击的时候，厂商如果不能帮助国家解决问题的话，即便销售额、利润达到第一也没有任何意义。

“不能把这个行业当成卖货的行业，因为从卖货的角度只要卖给客户就行，看得见看不见网络攻击不重要。但现在网络战时刻在发生，已经不是岁月静好了，网络安全公司最重要的使命是能保护国家的网络”周鸿祎说道。

锌 财经 注意到，对于“不再岁月静好”周鸿祎也不止一次说到。其实自杀入杀毒市场那时起，周鸿祎和他的360何曾消停过，即便经历过大风大浪，还在感叹“不再岁月静好”，周鸿祎确实腼腆了。不过，在抛下了企业之间的小我之争，有了保卫国家网络的使命感，周鸿祎也更稳重了。

仅仅靠家国情怀还不够，自身硬实力也不能少，这一点，周鸿祎倒是很自信。

“任何黑客想要在中国干坏事都会拿360开刀，而常年处在攻防一线的实战经验让360成为全世界黑客无法绕过的防线。”周鸿祎说道。

据他介绍，虽然360是半路出家，但前身做搜索引擎，通过搜索方法发现攻击，主要是两类攻击，一类是电脑后台偷偷运行的代码，另一类是后台偷偷联网的代码。当量多到一定程度，网络上发生什么就看的一清二楚。可以说360是第一个把安全行为数据搜集到云端做分析的公司。

但光有大数据是不够的，最重要的还是对攻击的了解。目前，360用户超过10亿，已形成全球最大的攻击知识库。

“黑客想要干掉360，360也在琢磨怎么不被干掉。我们现在对全世界各国网军的攻击手法都有深入的了解。”在周鸿祎看来， 硬实力是要有实战经验的，如果没有看见过别人是怎么攻击的，那做出来的产品就是闭门造车。

之所有能有这样的底气，离不开多年持续的高投入。

据悉，360每年投入20-30亿用于核心技术研发以及高水平团队建设，十年下来累计投入几百亿，是中国互联网安全投入最多的公司。目前，360安全大数据总存储数量超2EB，新增超1.5PB/天，并拥有210个数据中心，服务器20多万台，CPU100万核，出口带宽2300G，每天处理日志2000亿条，每年维护费用达5亿。

此外，360还积累了全球独有的攻击知识库和知识样本库，样本文件数总量已达到300亿，每日新增1000万，并打造了200人的安全精英团队和超3800人的安全专家团队。

目前，360一共捕获了境外46个国家级黑客组织，监测到3600多次攻击，涉及2万余个攻击目标，仅今年上半年，360就捕获针对我国发起攻击的APT组织12个，其中首次发现的组织2个：芜琼洞、伪猎者。

种种数据表明，多年的巨大投入让360练就了世界一流的安防能力。不过，困难也有。

一直以来，广告收入占360总收入的大头，据该公司2020年财报显示，互联网广告及服务收入为人民币75.12亿元，在主营业务收入中占比达64.78%。

对此，周鸿祎毫不避讳的说道：“360的商业模式比较奇葩，一直挣的是最庸俗的广告钱，有点侯门一入深如海，有些动作过激，所以广告弹窗不少。”

为了回归初心，从用户体验出发，360 安全卫士在7月28日正式发布无弹窗广告的极速版，新增网络安全、数据安全等功能。同时，360再次强调了对用户永久免费的承诺。

另一方面，360这两年也在试图转型，去 探索 广告以外的更多盈利模式，比如党政军企方面。据悉，360在2019年成立了政企安全集团，对大型企业、政府提供收费的安全服务，安全数据定位服务等，以此来摆脱对广告模式的依赖。

财报显示，2020年，360安全及其他业务收入为8.08亿元，同比增长70.73%，高增长态势显示出转型带来的效果。

在数字化的大背景下，网络安全行业已被重新定义，因此需要新的战法以及新的框架。

据周鸿祎介绍，360的新战法将以“作战、对抗、攻防思维”为指导，安全体系与数字体系融合，攻防能力与管控能力融合。在他看来，既然是打仗，想靠单一武器致胜已不现实，而是需要体系化的作战能力。“如果以卖货为思路，将很多产品卖给用户，但有产品不等于有能力，碎片化很严重，所以如何形成起体系化作战很重要。”

而新框架，其主要作用是为党政军企单位提供一个建设安全能力的参考框架。具体而言，新一代安全能力框架包括四个部分：一是区域/行业/企业总部的安全大脑，二是安全基础设施体系，三是安全专家运营应急体系，四是安全基础服务赋能体系。

周鸿祎表示，现在安全行业与其他行业最大的区别是，不是把友商都干掉，而是要团结起来形成生态发展。

那么，360的梦想是什么？“360的定位是做雷达，别人有做高射炮，有做防空导弹，或者其他武器装备。在我的雷达检测到可疑攻击之后，用数据链、威胁情报等方式，把数据传递给他们，使得大家能够形成协同防御。”周鸿祎说道。

他表示，360希望基于新一代安全能力框架，能够打通各地、各行业的安全大脑体系，形成威胁情报和数据的互相查询，构建起一个国家级范围的分布式安全大脑，真正提升整个国家的安全能力。

不再以干人为目标，一心想和同行共同御敌，开放的心态让周鸿祎低调了很多，他明白要想打好数字化时代的网络安全战，360必须升级。也许，当整个行业的炮口真正达到一致对外，需要有主角出现的时候，周鸿祎还是那个周鸿祎。

Ⅷ 谁为安全护航当智能网联汽车遭遇黑客

[汽车之家行业]?“今年以来，针对车联网企业的恶意攻击达到280余万次。”“假如20万辆汽车同时被黑客控制，车辆将变成攻击人类的武器，带来的灾难无法想象。”这并非危言耸听，在汽车智能网联功能越发强大的同时，汽车网络信息安全问题也逐渐浮出水面。

‘华为“进不来、拿不走、看不懂、改不了、瘫不成、赖不掉”目标’

国汽（北京）智能网联汽车研究院有限公司总经理助理兼整车事业部部长刘卫国给出政策层面的建议：第一，智能网联汽车的安全问题是系统性问题；第二，智能网联汽车的发展要上升到国家战略并且具有属地化，需要有中国特色的方案；第三，中国需要发展智能网联汽车共性的基础技术平台，为整个智能网联产业做支撑；第四，产品准入政策的制定不要过死，增强企对自身产品负责的意识。

编辑总结：

“新四化”背景下，汽车产业链正在加速深度合作步伐。车联网技术向着智能化、网联化方向演进，车载操作系统、新型汽车电子、车载通信、服务平台等产业链玩家正在加速融合，产业格局正在被重塑。在这样的产业格局下，我们的政策取向务必要优先考虑安全：人身与财产安全、网络安全、隐私及数据安全。这是一个“软件定义汽车”的时代，也是“安全定义汽车”的时代。（文/汽车之家李争光）

Ⅸ 专家解读2019年《网络安全法》草案

一、重大历史进步

网络安全不是今天才重要，网络安全立法也不是今天才迫切。十二年前的中央文件曾罕见地以书名号明确了立法任务，可见决心之巨。只是网络安全立法之路实在艰辛，时国务院信息办审时度势，由信息安全条例角度入手，并连续数年推动其列入国务院法制办二类立法计划，之后未能再进一步。2008年后，国务院信息办职能整体划转至工业和信息化部，有关方面意识到制定条例未必就比人大立法容易，且国务院行政法规无力调整现行上位法的法律规定，遂决定返回制定信息安全法。然而国民经济和社会发展颇多领域亟待立法，国家立法资源有限，每个部门允许提出的立法建议屈指可数。工业和信息化部既要考虑信息化立法，还要考虑工业立法，一半指标已不得用，而信息化方向还有一部历史更为悠久的电信法望眼欲穿，信息安全法终究连个队都没排上。期间，人大建议、政协提案不计其数，社会公众翘首以盼，均无果。

此次草案公开征求意见，表明这项工作进入了实质性立法程序，这是一个重大历史进步。欢欣鼓舞之所在，不是因为草案具体内容，而源于征求意见本身的象征意义。时至今日，我们对网络安全立法不是搞清楚、看明白了，而是问题更多、更复杂了，很多观点分歧可能更大了，网络安全立法难度不降反升，但突破恰恰在此时。中央网络安全和信息化领导小组成立后，中央领导同志英明决策，切实将网络安全提升到了国家安全和发展的高度，不但作出“网络强国”的全局战略部署，更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等，无一不历经多年论证而蹉跎，今朝方开花结果。

诚然，网络安全立法工作十分艰巨，草案肯定有这样那样的问题，但今天的一小步，是国家网络安全工作的一大步。我们应该宽容它、呵护它，使其不断成熟、更加科学，成长为护佑国家网络安全和信息化发展的参天大树。

二、彰显国家意志，确立基本原则

草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多，还设立一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法，这些“软性”法律规定确有必要，其意在于宣示国家网络安全工作的基本原则，明确建设网络安全保障体系的主要举措，从而为整体推进保障体系建设提供法律依据。

一是坚持网络安全和信息化发展并重原则。网络安全和信息化是一体之两翼，驱动之双轮，要坚持以安全保发展、以发展促安全，不能简单地通过不上网、不共享、不互联互通来保安全，或者片面强调建专网。要努力实现技术创新和体制机制创新，不断增强维护网络安全的新思路、新方法、新举措、新本领，而不是因噎废食、自甘落后。

二是提出了网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸，网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。草案虽未作解释，且一笔带过，然犹有石破天惊之意。

三是开展国际合作。网络安全是全球面临的共同问题，中国对广泛开展国际合作持积极态度，合作重点包括但不限于网络治理、技术与标准、打击违法犯罪等，目标是推动构建和平、安全、开放、合作的网络空间。

四是建立统筹协调、分工负责的网络安全管理体制。多年 实践 和各国经验表明，网络安全工作离不开统筹协调。随着中央网络安全和信息化领导小组的成立，有必要通过立法增强领导小组及其办公室的权威性。草案规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体包括，对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作，由网信部门统筹协调;对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作，由网信部门会同国务院有关部门制定办法或组织实施。由此，政府向解决分散、多头和重复管理迈出了关键一步。

五是加强行业自律。要充分发挥行业组织作用，指导行业组织成员加强网络安全防护，促进行业健康发展。

六是强化网络安全顶层设计。顶层设计至关重要，首先是要制定网络安全国家战略，对外宣示主张，对内指导工作;其次要由行业主管部门、其他有关部门制定重点行业、重点领域网络安全规划，确保战略落地，确保这些行业和领域的网络安全工作有目标、有任务、有举措、有监督。

七是建立和完善网络安全标准体系，充分发挥标准在网络安全建设中的指导性、规范性作用。

八是加大财政投入，以加快产业发展，深化技术研发，提升网络安全创新能力。

九是做好宣传教育和 人才 培养工作。首先，要开展经常性的网络安全宣传教育;其次，要通过学历教育和在职培训，采取多种方式培养网络安全人才。

三、关键信息基础设施保护工作进入正轨

关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全，与前者不完全一致，但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点，有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的“2+8”，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大，已是国家安全的软肋，草案为此设立了“关键信息基础设施的运行安全”一节。

一是扩展了保护范围。纵观世界各国，凡是已经开展了网络安全建设的国家，其关键基础设施的范围几乎都远超过我们，例如美国有17类，而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已经不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线(即基本要求)，其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。草案提出，关键信息基础设施安全保护办法由国务院制定。对于某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务，解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任，但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了，也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说，这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构如果没有强制性依据，很难得到业务部门的配合。此外，以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，草案明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，草案授权国家网信部门统筹协调有关部门，建立协作机制。特别是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。

四、兼具综合法与专门法的特点

网络安全包含的内容太多，当前需要立法规范的事项也很多，于是就有了综合法与专门法的争议。一个基本事实是，目前世界上鲜见网络安全的综合法，有名的美国《计算机安全法》实际上针对的是美国联邦政府信息系统安全保护，近几年美国国会讨论的《网络安全法》或《网络安全增强法》则主要解决关键基础设施的安全保护问题。

作为第一部网络安全法(《电子签名法》不应该计算在内)，草案首先要体现综合性，其侧重点应该在以下四个方面：

一是要明确部门、企业、社会组织和个人的权利、义务和责任。

二是规定国家网络安全工作的基本原则和理念。

三是将成熟的政策规定和措施上升为法律，为政府部门的工作提供法律依据，体现依法治国要求。这首先是政府部门的工作需要(如对境外违法信息予以阻断、实施网络通信管制等);其次，这些规定和措施往往经过了实践检验，部门间争议较小，有利于提高立法效率。

四是建立国家网络安全的一系列基本制度、形成制度框架，这些基本制度带有全局性、基础性，是推动基础性工作、夯实基础能力所必需。

此外，为了突出实用性，草案还应部分体现专门法的特点。这应从三个方面去考虑：

一是实施重点防护，对关键信息基础设施、网络信息内容等重点安全关注予以优先考虑。

二是防范重大威胁。例如，信息系统安全受控于人是我们面临的心腹大患，斯诺登事件使我们进一步看清风险所在，这就要对供应链安全进行规范。

三是对普遍性、长期存在的社会诉求予以响应。

总体看，草案比较好地处理了综合法与专门法的关系问题，但个别条款还是过于纠结细枝末节(如网络运营者的分项安全保护义务不必展开)，或细致到了足可取代部分专门法的地步(如个人信息保护应制定专门法，原有条款似可删减后将重心转向规范信息内容安全)。除了个人信息外，草案没有突出对公民个人权益的更多保护，如对危害网络安全行为的举报并不是为了解决公民作为受害者“报案无门”的困窘，这不能不说是小的遗憾。

五、“网络安全”的定义还可以更为妥帖

“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色，效果有云泥之别。近年的工作中，我们用过“信息安全”，也用过“网络安全”，学者们各抒己见，一些部门也喜欢朝向有利于自身职能的角度去解释，这些自不待言。但中央网络安全和信息化领导小组成立后，已经基本将其统一为“网络安全”。当然，国安委还是使用“信息安全”，《国家安全法》使用的是“网络与信息安全”，但这些已不会造成工作上的障碍。

只是这个“网络安全”实是“CyberSecurity”之译，非“NetworkSecurity”。这里面的“网络”其实指的是“网络空间”(Cyberspace)。因此，当草案试图从“网络空间”的内涵上去解释“网络”时，便挑战了大众的科技常识底线，且出现了“网络是指网络和系统”的尴尬。当然，如果就这么用下去，倒也自成一脉，但草案转眼就去使用狭义的“网络”了，如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等，这里都是指的“network”。由此，草案中频繁出现自己与自己打架的情况。

而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全，更是与“网络空间主权”没有关联。

解决这个问题的途径是，网络就是网络，不要让网络去包括信息系统。即，自始至终使用传统意义上的“Network”概念。对于“网络安全”，则按“网络空间安全”去解释即可。

另外，草案的起草坚持问题导向，对一些确有必要，但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益，但对于什么是“原则性规定”则要仔细琢磨。