2018年网络安全十大发展趋势刘权，王龙康（赛迪智库网络空间研究所，北京 100846）摘 要：2017年，全球网络安全事件频发，对国家网络空间安全、个人隐私保护造成了严重的威胁。

因此，为了提高我国网络空间的治理能力，保护我国网络空间安全，对2017年全球网络安全事件进行了全面的梳理、归纳和总结。

在此基础上，结合我国网络安全发展的现状，对2018年网络安全发展的趋势进行了全面的分析和预测。

关键词：网络安全；信息泄露；可信身份；趋势中图分类号：393文献标识码：ATen cyber security trends of 2018L iu Qua n, Wang Longkang(In sti tu te of C yberspace, C C ID, B ei jing 100846)Abstract: 2017 saw frequent occurrence of global cyber security issues, posing a severe threat to China’s cyberspace and personal privacy. In order to improve its cyberspace governance and protect cyberspace security, the author makes a comprehensive analysis and then summarizes the global cyber security incidents of 2017.Then, with the current facts on China’s cyber security, the author makes a comprehensive study and forecasts of the security trends of 2018, aiming to shine a light on the decision-making of related departments.Key words: cyber security; information leakage; trusted identity; trends1 引言2017年，中国网络安全立法取得重大突破[1,2]，网络安全自身能力建设持续推进，网络安全产业实现了快速发展。

与此同时，大规模信息泄露事件频发[3]，关键信息基础设施[4]、个人隐私保护等网络安全问题日益凸显[5,6]，全球局部地区爆发网络战的可能性进一步加大，我国网络安全形势日益严峻。

基于以上背景，赛迪智库网络空间研究所提出了2018年我国网络空间安全的十大发展趋势[7]。

2 网络安全十大趋势2.1 网络安全法律法规体系将进一步完善2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式实施，作为我国网络空间安全管理的基本法，框架性地构建了多项法律制度和要求，但其真正落地需要完善相关配套规范。

2017年，国家相关部门制定了多项配套规范，包括《关键信息基础设施安全保护条例》等行政法规；《网络产品和服务安全刘权 等：2018年网络安全十大发展趋势审查办法》《个人信息和重要数据出境安全评估办法》等规范性文件；《信息安全技术信息技术产品安全可控评价指标》《数据出境安全评估指南》等配套标准规范。

但是，上述配套法规标准多未正式出台，2017年底全国人大常委会组织开展了《网络安全法》执法检查，主要问题之一仍是网络安全法配套法规有待完善。

预计2018年，国家有关部门将围绕《网络安全法》进一步完善关键信息基础设施保护、数据出境安全评估、企业间数据共享规则、数据脱敏标准等配套法规标准，加快推动法律落实，加大网络安全执法力度。

2.2 信息泄露的规模和频率将进一步增加2017年，大规模信息泄露的次数较多，上半年泄露的数据量超过2016年全年的数据量。

1月，暗网出售多家中国互联网巨头数据，数据高达10亿条以上。

3月，公安部破获的一起盗卖公民信息的特大案件中，京东网络安全部员工与黑客长期勾结，泄露50亿公民信息。

5月，印度4家政府门户网站泄露公民身份信息1.35亿条，以及1亿银行账户信息。

9月，美国征信机构Equifax 由于网站漏洞，导致1.43亿消费者信息泄露。

10月，美国雅虎公司承认30亿用户账户全部泄露。

11月，谷歌和加州大学伯克利分校的研究员发现，黑市上约有19亿个账户密码信息在出售，并且有25%的账户密码仍能登录谷歌账户。

12月，美国加州数据分析公司Alteryx的亚马逊AWS S3存储桶因配置错误，导致1.23亿美国家庭的敏感数据泄露。

2018年，随着大数据、云计算的普及，大规模信息泄露事件将频发，涉及行业范围将不断扩大，并将主要集中在互联网、通信和金融行业。

2.3 勒索攻击成为网络攻击的新趋势2017年，勒索攻击肆虐全球。

黑客通过蠕虫病毒、网络渗透、电子邮件等多种方式对目标发起攻击，加密系统文件，索要赎金[8,9]。

5月，全球150个国家和地区被勒索病毒攻击，被攻击电脑文件被病毒加密，只有支付赎金才能恢复，教育、企业、医疗、电力、能源、银行、交通等多个行业受到影响。

6月，韩国网络托管公司Nayana旗下153台Linux服务器和3400个网站感染E r e b u s勒索软件，并向黑客支付了赎金。

10月，俄罗斯、乌克兰和其它国家的组织机构遭遇Etya勒索软件的新变种“坏兔子”的网络攻击。

2018年，勒索软件将会有更多的变种，攻击手段将会不断翻新，勒索攻击的范围将会不断扩大，造成的经济损失将会越来越大。

2.4 国家将更加重视关键信息基础设施的网络安全2017年，针对关键信息基础设施的攻击较为频繁，范围不断扩大。

4月，全球超过4000家基础设施企业遭受网络攻击，涉及石油、天然气、制造业、银行业等多个行业。

6月，韩国网络托管公司Nayana遭遇网络攻击，153台Linux 服务器出现故障。

7月，美国国土部官员证实，美国多个核电站遭受网络攻击。

8月，乌克兰国家邮政服务机构Ukrposhta遭受黑客攻击，导致计算机网络系统运行缓慢，甚至出现中断现象。

10月，瑞典三家交通机构的 IT 系统遭到黑客攻击，导致官网服务掉线、列车运行延误。

11月，美国遭遇网络攻击，从西海岸的加利福尼亚到东边的纽约，出现了大范围的断网。

同时，各国更加重视关键信息基础设施的保护。

5月，美国总统特朗普签署了《增强联邦政府网络与关键性基础设施网络安全》总统行政令。

9月，美国政府与电力企业合作建立网络战演习，重点保护电力基础设施。

7月，我国有关部门出台了《关键信息基础设施保护条例》的征求意见稿。

2018年，针对关键信息基础设施的网络攻击将逐渐升级，攻击范围将会扩大，攻击手段呈现多样化，新型恶意软件和攻击工具将会增加。

国家将加大投入，提升关键信息基础设施的保护能力。

2.5 硬件网络安全问题将全面爆发2017年，全球各大漏洞库公布的漏洞数量与2018年第2期网络空间安全Cyberspace Security 证技术，推动不同电子身份认证之间的互认[10,11]。

目前，国内多种身份认证体系并存，如基于PKI 的电子认证、人脸生物特征识别、大数据行为分析等。

但是，这些体系各自独立，国家层面缺乏统筹规划，尚未形成一个统一的网络身份生态体系。

在12月举办的“网络空间可信峰会暨中国网络可信身份研讨会”上，与会院士、专家一致认为，国家应当加强顶层设计，相关部门应当牵头，尽快推动网络身份生态体系建设工作。

2018年，我国势必会加快出台国家网络可信身份战略，推动网络可信身份生态体系建设，实现线上线下身份的统一管理，推动网络空间的繁荣发展。

2.8 局部地区爆发网络战的可能性进一步加大网络空间已成为国家、地区之间安全博弈的新战场，各国为了维护本国在网络空间的核心利益，持续加大网络空间的军事投入，国家级网络冲突爆发的风险不断增加。

一是网络空间“军备竞赛”持续升级。

2017年2月，美国国防部高级研究计划局启动SHARE 项目，试图创建一种新的数据共享技术，使美军可以在世界各地安全地发出或者接收远程敏感信息。

4月，韩国国防部公布《2018-2022年国防中期计划》，计划5年间将投入2500亿韩元加强网络安全建设。

二是有政府背景的网络攻击行为日益猖獗。

2017年8月，美国网络安全公司FireEye 研究人员发现伊朗黑客组织APT33瞄准多国航空、国防与能源设施展开新一轮网络攻击活动。

9月，网络安全公司Palo Alto Networks 发现黑客组织利用恶意软件Babar 操控刚果民主共和国常设理事会官方网站，窃取国家重要信息。

三是国际社会不断强化网络安全军事演习。

2017年7月，美国网络司令部举行年度夺旗军事演习，将关键设施遭受攻击应对作为演习目标。

9月，欧盟多国国防部长参加大规模网络防御演习，模拟欧盟军队在受到网络攻击时所能作出的反应。

2016年相比，至少上涨了70%。

硬件漏洞明显增长，漏洞出现在各个环节，以各种形式出现。

4月，博通WiFi 芯片固件出现“堆溢出”漏洞，约10亿台苹果和安卓受此影响。

8月，英特尔CPU 安全控制机制M E 上运行的固件出现漏洞，可被利用成为后门。

10月，德国半导体制造商英飞凌的某些芯片，可信平台模块出现漏洞，该漏洞允许知晓RSA 公钥的攻击者获取私钥。

11月，英特尔承认，在近两年出售的英特尔处理器(包括最新的第8代核心处理器系列)上都被发现了多个严重的安全漏洞。

2018年，漏洞数量将会持续增加，硬件漏洞的危害程度大于软件漏洞，黑客极有可能利用硬件漏洞发起网络攻击。

2.6 个人隐私保护工作将稳步推进2017年，随着我国信息化建设的不断推进和互联网应用的日趋普及，个人隐私泄露所引发的侵权、欺诈等信息犯罪行为日益严重，个人隐私保护将受到空前的重视。

一方面，个人隐私保护的法律制度不断完善。

5月，两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，完善了我国关于个人信息侵害行为的刑事规范体系。

6月《网络安全法》正式施行，个人信息保护法律规范作为本法的重要内容得到贯彻执行。

另一方面，国家有关部门加大个人隐私保护的工作力度。

9月，中央网信办、公安部、工信部及国家标准委组织开展“四部委隐私政策审查”，对国内十家大型互联网企业隐私政策规范进行了评审，并公布评审结果。

为深入落实《网络安全法》，积极应对网络诈骗、网络犯罪、隐私信息泄露等安全问题，2018年我国政府将会进一步加大对相关企业和机构的审查力度，加强个人信息保护。

2.7 网络可信身份生态体系建设进一步加快《网络安全法》明确提出，国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认刘权 等：2018年网络安全十大发展趋势2018年，全球各国将会继续加强网络“军备竞赛”投入，提高本国网络战的能力，全球局部地区爆发网络冲突的风险进一步提高。