2022年是数世咨询正式提出“数字安全”概念的第三个年头,在三年的疫情期间,数字化办公已成为白领工作者的常态,习总书记提出的“筑牢数字安全屏障”的指导思想在安全领域深入人心。为了记述数字安全领域发生的大事件以反映行业现状与趋势,数世咨询于今日正式发布《2022年数字安全大事记》。

一、2022年度数字安全十大态势

1、网络对抗开始全面泛化

从俄乌战争进程来看,网络战作为现代战争中的一种新型攻击力量,开始走向前台。随着全球网络化、数字化的普及大潮,信息基础设施已经成为关键基础设施,因此在战争中一定是重点攻击对象。不仅如此,网络攻防技术还广泛用于窃取商业机密、切断生产供应的贸易战,用于操纵舆情民意、影响意识形态的文化战。数字安全已经成为国家安全有机且重要的组成部分。

2、数据安全的重要性突显

自2021年《数据安全法》颁布以来,各行业监管机构随之也在出台本领域的数据安全条例、办法。关键基础设施部门和企业,或计划或已经设立数据安全部门或岗位。业界已经开始认识到,网络安全是数据安全的基础和重要手段,其最大价值与核心目的在于保障数据安全。

3、合规与创新的双轮驱动

网络安全行业发展了三十年,从计算机安全等级保护,到信息安全等级保护,再到网络安全等级保护,充分体现出合规的第一驱动作用。但数字安全的复杂性和碎片性,只能依靠创新来引领和解决。数字安全行业的未来,一定是合规与创新双轮驱动。

4、一体化解决方案的涌现

用户开始摆脱安全产品的“最佳选择”,转向产品和供应商整合,集成多种具备某种共性产品的安全平台,即基于平台的一体化解决方案。如云原生应用保护平台CNAPP、安全可见性/优先级和验证的SOPV、扩展检测和响应XDR、零信任访问架构ZTNA、安全访问服务边缘SASE,以及数世咨询提出的持续应用安全CAS、数据访问安全域DASS、一体化端点安全IES等。

5、安全运营成为业界共识

安全的动态性、伴生性、系统性和服务性,要求必须引入运营的方法论。用户真正需要的是安全能力、安全效果的提升,而不是安全设备、软件等产品的堆砌。具备一定信息化水平并拥有独立安全团队的用户,已经开始落地安全运营。根据对甲乙双方实际情况的调研,数世咨询提出安全运营的五要素:工具、人、平台、流程和管理。

6、网络安全保险初现端倪

随着工信部发布《关于促进网络安全保险规范健康发展的意见(征求意见稿)》,网络安全保险的概念在国内业已历经九个年头。各大保险公司已经开展相应试点业务,安全评估、安全服务+保险业务,以实现事前中后的网络保障并减少经济损失的模式,逐渐形成一条切实可行的道路。“有风险就会有保险,有网络风险就会有网络保险—数世咨询。”

7、基于风险的产品待观察

对于许多用户来说,大多数漏洞都与自身没有关系,所有的数字资产暴露面也不一定都是攻击面,海量的警告等于没有警告,绝大多数的安全分析人员都在疲于奔命。这些实际情况,决定了基于风险角度来做安全的必要性。但目前,国内绝大多数安全厂商的产品并未达到这一要求,大多停留在理念的层面,实际应用效果有待观察。

8、数字安全能力呈阶梯状

国内用户的数字安全能力呈阶梯状。既有丰足的安全预算投入、全套的安全工具和豪华安全团队的超大型企业,也有无预算、无工具、无人员的三无用户。究其原因,中国各地区的经济发展水平差异较大,信息化、数字化程度也参差不齐,数字安全的水平或能力自然也是高低不等。但这种阶梯状,意味着国内不仅有创新安全产品的发展空间,还会有对传统安全产品的大量需求。

9、警惕供需不匹配的可能

2022年,整个安全行业的净利润继续下降,甚至有可能出现负利润。许多企业的研发投入、业务活动以及人员数量都在收缩。但明年政企的安全预算有明显增加的趋势,因此在技术、产品和服务的购买、部署、交付和维护方面,有可能出现供需能力不匹配的现象。

10、2022年突破千亿市场

据数世咨询的年度统计,数字安全市场2020年达到历史增长记录29.9%,但在2021年增长率下降为18.6%。原因在于2021年政府的安全投入大幅度下降,而2022年不仅政府,央企的预算也在收缩。因此,2022年的增长率会进一步下降,预计约在11%左右。但即使以10%的增长率估计,2022年数字安全市场规模也将历史性的步入千亿市场。

二、数据泄露与网络攻击篇

1、重要结论

● 2022年是数世咨询核心成员撰写大事记八年来,首次出现数据泄漏事件在统计数量、规模,以及影响程度上均有所下降的趋势。可能的原因有二,一是安全意识和防护措施普遍提高,不容易发生巨大规模的泄露事件。二是数据泄露已是常态,难以引起更多人的关注。

● 和往年类似,数据库的配置错误(无意)、勒索软件和针对性的网络攻击,仍是数据泄露的三大主要原因。但配置错误的事件数量有所下降,勒索软件由过去纯粹的加密勒索转变成盗窃数据,然后勒索赎金或暗网售卖的事件明显增多。

● 2022年,与国家政治相关的攻击活动激增,尤其是以俄乌战争、伊朗和以色列两国冲突相关的网络攻击为典型代表。

● 攻击造成的影响主要有两大类,一是造成生产制造业、医疗教育、政府事务类的业务中断。二是直接盗取数字资产。据网络安全公司的统计,2022年黑客攻击窃取的加密货币价值约43亿美元,比2021年同期增长37%。

2、2022年度十大数据泄漏事件

1月,美国佛罗里达医院通知130万名患者发生数据泄露事件,泄露的信息包括姓名、地址、电话号码外、社会安全号码、银行账户信息和病历。

1月,红十字国际委员会声称,其某托管服务器被入侵,该服务器存储着因冲突、移民和灾难而与家人失散的、失踪人员,及其家人和被拘留者信息,共51.5万人。

3月,信用报告公司TransUnion的服务器遭入侵,涉及5400 万南非公民的信息,其中包括2400万南非人的信贷信用数据。黑客要求支付1500万美元的赎金。

5月,一个包含 2100 万用户个人详细信息和登录凭据的数据库在Telegram群组中泄露。该数据库上一年曾在暗网上出售,但现在可以在Telegram上免费获得。

6月30日,某地下论坛公开出售包含有十亿中国居民信息的数据库,包括姓名、地址、出生地、身份证、手机号及相关犯罪/案件记录。

8月,某地下论坛以4000美元的价格出售包含4850万用户的随申码数据库,并公开了其中一些数据样本。包含用户姓名、手机号码、身份证号、随申码颜色、UUID等。

8月,研究人员发现印度联邦警察的金融欺诈调查记录和其他敏感数据在云上暴露,包括姓名、余额、帐号、交易金额、目的地和印度中央情报局处理的案件等信息,共约3.35 亿条记录。

9月,威胁情报公司SOCRadar通报微软,由于Azure中存储数据库的配置错误,导致数据泄露,涉及111个国家/地区约6.5万个实体,是近年来最大的B2B泄漏之一。

11月,一个包含4.87亿WhatsApp用户手机号码的数据库在地下论坛出售,该数据集来自超过84个国家的WhatsApp用户的信息。

12月,蔚来汽车发布公告称,黑客以信息泄露为名勒索225万美元价值等额的比特币。经初步调查,蔚来汽车2021年8月之前的百万条用户基本信息和车辆销售信息遭窃。

3、2022年度十大网络攻击事件

1月,一个名为“网络游击队”的黑客组织用勒索软件加密了白俄罗斯铁路网络的“一些服务器、数据库和工作站”,但并未主动破坏“自动化和安全系统”的运行以避免紧急情况。黑客要求“释放需要医疗援助的50名政治犯”。

2月,由于一个智能合约漏洞,加密货币平台Wormhole被攻击者窃取了价值3.2亿美元的以太币。事后,Wormhole发布通告,希望能用1000万美元的漏洞赏金换取被盗的以太币。

2月,乌克兰军方和金融机构被DDoS攻击,国防部和一些军事基地的网站,以及两家最大的银行网站宕机。

2月,爱尔兰卫生服务首席信息官在一封信中表示,2021年勒索软件Conti导致该国医疗系统中断数周,新冠疫苗门户网站被关闭,数十项门诊服务被取消,预计恢复系统的最终成本将超过1亿美元。

3月,日本汽车巨头丰田表示,由于受到“某种网络攻击”,导致供应商系统故障及生产控制系统出现问题,决定暂停其在日本14家工厂的所有28条生产线的生产。

3月,区块链平台Ronin遭网络入侵,攻击者从其平台上提走总价值约6.15亿美元的以太币和稳定币,堪称有史以来加密货币最大的网络攻击事件。

6月,在圣彼得堡举行的俄罗斯经济论坛上,由于其在线直播系统遭受DDoS攻击,导致总统普京的讲话被推迟了约100分钟。

6月,中国西北工业大学发布声明遭网络入侵,经国家计算机病毒应急处理中心和360的调查分析发现,美国国家安全局“特定入侵行动办公室”,在数年的时间里针对西北工业大学发动了上千次网络攻击,长期窃密并将信息打包加密后回传至美国国家安全局总部。

8月,谷歌声称阻止了有史以来最大的基于HTTPS的DDoS攻击,该攻击的峰值达到每秒4600万个请求(RPS)。在两个月前Cloudflare披露了一次史上规模最大的DDoS攻击,攻击流量来自全球132个国家的5256个源IP。

10月,近日,黑客利用跨链桥的合约漏洞入侵了加密交易所币安旗下的BNB Chain,通过增发BNB(币安币)的方式分两次共获取200万枚BNB,共计价值约5.66亿美元。

三、漏洞篇

1、重要结论

● 漏洞数量持续上升,并在可预期的未来看不到减缓的趋势。本质原因在于,数字化系统(如硬件、设备、软件、应用、数据等)的规模和复杂程度激增,而数字安全意识、技术、产品、服务滞后于数字化的发展。

● 某厂商或某产品的漏洞数量,主要取决于应用规模,即漏洞数量与应用规模呈正比。其原因在于,漏洞数量的多少在于有多少人去“挖掘”(发现)漏洞。“理论上,漏洞永远存在。甚至可以说,功能即漏洞——数世咨询”。

2、漏洞情况综述

截止到目前(12月29日)为止,CNNVD(国家信息安全漏洞库),2022年总漏洞数为24644个,同比去年增长了约17.42%。截止12月26日,NVD共发布漏洞数量24731个,较去年同期增长18.49%。

2022年CNVD的漏洞分布显示排名第一的漏洞类型为“设计错误”,占比68.0%,再次为“输入验证错误”,占比27.5%。 

2022年VULHUB开源网站威胁库收录的总漏洞数为27193,同比去年增长了约16.69%。其中严重漏洞3389个,高危漏洞7754个,中危漏洞7735个,低危漏洞403个。

 VULHUB采用CWE作为漏洞分类标准,其中排名前10的漏洞类型分别为:在Web页面生成时对输入的转义处理不恰当(CWE-79),内存缓冲区边界内操作的限制不恰当(CWE-119),输入验证不恰当(CWE-20),信息暴露(CWE-200),SQL命令中使用的特殊元素转义处理不恰当(CWE-89),权限、特权与访问控制(CWE-264),跨界内存写(CWE-787),对路径名的限制不恰当(CWE-22),跨界内存读(CWE-125),跨站请求伪造(CWE-352)。(注:漏洞分析数据由丈八网安提供)

截止2022年,据VULHUB统计,历史累计漏洞最多的厂商如下:

微软(9286)

甲骨文(8738)

谷歌(8233)

惠普(6399)

苹果(5836)

IBM(5820)

思科(4492)

红帽(4282)

Fedora Project(4018)

Mozilla(2351)

阿帕奇(1881)

Joomla(820)

2022年度漏洞最多的厂商如下:

谷歌(1190)

微软(943)

甲骨文(471)

苹果(448)

思科(222)

阿帕奇(172)

IBM(162)

红帽(148)

惠普(123)

Adobe(79)

截止2022年,历史累计漏洞最多的操作系统及浏览器如下:

Android(7134)

Debian(6824)

macOS(5112)

Windows XP(3754)

Ubuntu(3352)

Windows10(3021)

Windows Server 2008(2794)

Chrome(2653)

Windows7(2298)

Windows8.1(2214)

Firefox(2043)

2022年度漏洞最多的操作系统及浏览器如下

Android(807)

Windows10 (525)

Debian (520)

macOS (442)

Windows7 (315)

Chrome (288)

Linux Kernel(246)

iOS (146)

Ubuntu (9个)

由于2022年12月重大漏洞频发,截止2022年12月26日,VULHUB通过对近期漏洞风险状况进行综合评估计算得出当前的漏洞风险指数为“危急”。 

3、2022年度十大利用率最高漏洞

1、Log4shell(CVE-2021-44228)[CVSS V3:10.0]

2、Spring4Shell(CVE-2022-22965)[CVSS V3:9.8]

3、F5 BIG-IP(CVE-2022-1388)[CVSS V3:9.8]

4、Atlassian Confluence RCE漏洞(CVE-2022-26134)[CVSS V3:9.8]

5、Zyxel RCE漏洞(CVE-2022-30525)[CVSS V3:9.8]

6、Zimbra协作套件漏洞(CVE-2022-27925、CVE-2022-41352)[CVSS V3:分别为7.2和9.8]

7、ProxyNotShell(CVE-2022-41082、CVE-2022-41040)[CVSS V3:均为8.8]

8、谷歌Chrome零日漏洞(CVE-2022-0609)[CVSS V3:8.8]

9、Follina(CVE-2022-30190)[CVSS V3:7.8]

10、微软Office漏洞(CVE-2017-11882)[CVSS V3:7.8]

(注:漏洞排名依照Vulhub CVSS分值排序,数据由蛇矛实验室提供)

四、事件处罚篇

1、重要结论

● 2022年数字安全处罚的大事件,几乎全部为数据安全相关。或因数据泄露,或因个人隐私。“网络安全只是手段,数据安全才是目的--数世咨询”。

● 据数世咨询依据公开的处罚事件统计,2022年的处罚金额高达80亿美元,约560亿元人民币。被处罚方绝大多数为互联网巨头,即拥有大数据并因此而成长为超大规模的企业。

2、2022年度数字安全十大处罚事件

1月,法国数据保护监管机构国家信息与自由委员会对Facebook和谷歌分别处以1.5亿欧元和6000万欧元的罚款,因为两家互联网巨头违反了欧盟的隐私规定,未能为用户提供拒绝cookie跟踪的简单选项。

5月,美国弗吉尼亚州费尔法克斯法院判决云服务商Pegasystems支持23亿美元的赔偿金,因其在八年内使用包括各种手段窃取竞争对手Appian的商业数据。Pegasystems表示将对裁决提出上诉。

5月,哥伦比亚特区总检察长起诉Meta首席执行官马克•扎克伯格,对“剑桥分析”事件承担个人责任。该起事件侵犯了8700万Facebook用户的个人隐私,用于影响2016年的总统大选。2020年,Facebook与美国联邦贸易委员会就此事达成50亿美元的和解协议。

5月,社交平台Twitter同意向美国联邦贸易委员会支付1.5亿美元的罚金,因其未经同意利用平台采集的用户数据投放广告。

7月,美国电信运营商T-Mobile US因网络犯罪分子盗窃其7700万的客户数据并在地下论坛上出售一事,同意支付约4亿美元的法律费用及集体诉讼赔偿,外加1.5亿美元的增量支出,投入到数据安全相关技术。

7月21日,国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规,对网约车平台滴滴处以80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处100万元罚款。

9月,美国证券交易委员会华尔街16家银行和券商处以18亿美元的罚款,因其员工使用即时通讯工具作为未经授权的通信渠道讨论工作,而且并未留存这些信息。

11月,谷歌同意与美国40个州达成3.915亿美元的和解协议,以解决对该公司跟踪用户位置的法律调查。

12月,美国联邦贸易委员会宣布向Fortnite游戏开发商Epic Games收取5.2亿美元的和解费用,因其涉嫌违反《儿童在线隐私保护法》。

12月,Meta同意支付7.25亿美元来解决一项长期诉讼,该诉讼指控社交网络Facebook允许包括剑桥分析在内的第三方,访问用户私人数据。

五、技术产品与资本市场篇

1、重要结论

● 工业互联网安全、数据安全、开发安全、零信任、威胁检测与响应依然是融资额度排在前十的技术领域。云安全虽然跌出前十,但上述所有领域都与云相关。目前来看,云安全的传统技术格局已定,但云原生安全技术尚处于早期发展阶段。 

● 受疫情之下的全球经济影响,2022年数字安全行业一、二级资本市场活跃度均大幅下降。尤其是以科技创新为标杆的纳斯达克证券交易所,无一家新上市的数字安全企业。收并购事件的规模和数量也均有所下降。

● 国外私募股权公司发起的收并购,是数字安全企业,除上市之外能得到的最重要资本及管理支持。2022年Thoma Bravo先后三次收购安全厂商,总金额超过120亿美元。而在2021年,Thoma Bravo还以123亿美元的价格收购了Proofpoint。

2、技术产品

在2021年12月数世咨询首次推出的“数字安全能力图谱”的基础上,经过一年时间的大量交流沟通、深度思考与修改迭代。

能力图谱的基础架构源自围绕“数据安全”为核心价值的“网络安全三元论“,两者的结合即“数字安全模型”。

“以网络安全为基础手段,以数据安全为核心目的,就构成了数字安全的概念。”——数世咨询

从信息技术、业务应用与网络攻防三大支点和位于中心的数据安全共四大维度出发,能力图谱划分出八大方向。每个方向又包含各自一级或子级的细分领域。 

根据“专精特新”的技术先进性和落地可行性,数世咨询提出:

2022年度数字安全十大创新项目

1、一体化端点安全(IES)—典型厂商:360数字安全

2、应用检测与响应(ADR)—典型厂商:边界无限

3、数据访问安全域(DASS)—典型厂商:一知安全

4、持续应用安全(CAS)—典型厂商:比瓴科技

5、攻击面收敛(ASC)—典型厂商:华云安

6、标准化检测与响应(SDAR)—典型厂商:兰云科技

7、安全托管运营(MSO)—典型厂商:安恒信息

8、扩展数据防泄露(XDLP)—典型厂商:天空卫士

9、数据治理安全平台(DGS)—典型厂商:霍因科技

10、安全有效性验证(SEV)—典型厂商:知其安

3、资本市场

据数世咨询统计,2022年国内数字安全融资将近百余笔,与2021年相比下降45%。股权投资总额约70亿元,与2021年相比下降56%。

(数世咨询供图,转载请注明来源) 

(数世咨询供图,转载请注明来源)

海外资本市场方面,融资次数217笔,与2021年相比略增8%。股权融资总额约为114.53美元,与2021年相比下降34%。 

(数世咨询供图,转载请注明来源)

(数世咨询供图,转载请注明来源)

2022年度数字安全十大收购事件

1、Thoma Bravo收购身份安全厂商SailPoint,69亿美元

2、Kaseya收购安全托管厂商Datto,62亿美元

3、谷歌收购威胁响应厂商曼迪安特,54亿美元

4、Vista Equity Partners收购安全意识与培训公司KnowBe4,46亿美元

5、Carlyle收购美国国防承包商ManTech,42亿美元

6、KRR收购办公安全与应用安全厂商梭子鱼,40亿美元

7、Thoma Bravo收购身份安全厂商Ping Identity,28亿美元

8、Thoma Bravo收购身份安全厂商ForgeRock,23亿美元

9、SentinelOne收购欺骗防御厂商Attivo Networks,6.17亿美元

10、Turn/River Capital收购安全策略管理厂商Tufin,5.7亿美元

六、国家安全与法规政策篇

1、重要结论

● 俄罗斯与乌克兰战争相关的网络战,是2022年影响面最广、影响力最大的国家网络安全事件。网络战,从之前大多为隐性的活动开始走向前台,公开化,作为现代战争中的一种新型攻击力量,其重要性愈加明显。

● 随着全球网络化、数字化的普及大潮,网络攻防技术不仅用于军事战争,还广泛用于窃取商业机密、切断生产供应的贸易战,用于操纵舆情民意、影响意识形态的文化战。数字安全/网络安全,已经成为国家安全的有机且重要的组成部分。

● 数据安全与软件供应链安全为近几年国内外法规政策发布的密集区,除此之外,美国的法规政策还涉及到了零信任、5G安全、IPV6安全、后量子密码等新兴、前沿安全领域。

2、2022年度国家级网络安全十件大事

1月,美国总统拜登发布国家安全备忘录,其中包含新的网络安全要求,确保国家敏感系统采取更严格的网络安全措施。强调了“网络卫生和保护措施、网络事件上报、建立约束性的运营指令、列出跨域解决方案的清单”等四个安全增强领域。

4月,五眼国家(美国、澳大利亚、加拿大、新西兰、英国)的网络安全机构发布了一份联合网络安全通告。概述了俄罗斯国家资助的APT组织、与俄罗斯结盟的网络威胁团体,提出了加强网络防御和缓解措施的建议。

5月,俄罗斯总统普京签署了确保俄罗斯信息安全额外措施的总统令,要求在每个部门、机构和骨干组织里设立IT安全部门。从2025年1月1日起,俄罗斯国有企业和机构禁止使用不友好国家生产的信息安全设备。

5月4日,美国总统拜登发布两项指令,旨在确保美国和其盟友在量子计算领域保持领先于其他对手国家。第一项指令是行政命令,即建立由26名专家组成的国家量子计划咨询委员会,专家全部由总统任命。另一项指令是一份备忘录,旨在促进美国在量子计算领域的领导地位,同时降低加密系统被破解的风险。

5月,哥斯达黎加总统罗德里戈•查韦斯宣布,勒索软件团伙Conti针对该国的攻击事件升级,“处于战争状态,这并不夸张”。不仅无法开展征税工作,因为海关系统被破坏,国际贸易也受到严重影响。Conti声称,如果不支付2000万美元的赎金,将“通过网络攻击推翻政府”。

9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受美国国家安全局网络攻击的调查报告,美国国家安全局下属的特定入侵行动办公室(TAO)使用了40余种网络攻击武器,长达数年对西北工业大学进行网络攻击,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

9月,阿尔巴尼亚总理埃迪•拉马宣布断绝与伊朗的外交关系,并命令伊朗外交官在24小时内离开。因伊朗在今年7月份的网络攻击,造成公共服务瘫痪,擦除入侵记录,窃取政府内网电子通信,并引发国内的混乱。

11月,美国联邦通信委员会宣布禁止进口或销售被认为“对国家安全构成不可接受的风险”的通信设备,其中包括了两家中国公司华为和中兴。早在2019年,美国就将华为列入贸易黑名单,之前还以国家安全为由,限制中国三大运营商开展电信业务。

11月,乌克兰总统沃洛德米尔•泽伦斯基在G20峰会的小组会议上发表讲话,向G20盟国提供俄乌战争中的网络防护经验。泽伦斯基表示,乌克兰的“IT军队”由来自全国各地的企业人才组成。自开战以来,已成功阻止了1300多次俄罗斯支持的网络攻击。

12月,众议院和参议院拨款委员会同意了一项1.7万亿美元的综合支出法案,该法案中数十次提到网络安全,强调了联邦政府的常规网络安全支出。其中,为网络安全和基础设施安全局拨款29亿美元,较2022财年高出12%,比总统2022年3月提出的预算要求高出3.964亿美元。法案还禁止在联邦行政机构的手机上使用TikTok,以及限制这些机构采购中国、朝鲜和伊朗的生物科技及数字、通信和网络产品。

3、2022年度国内数字安全十大法规政策

2月15日,由国家互联网信息办公室等13家部委联合公布的《网络安全审查办法》正式施行。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。

5月,国家互联网信息办公室审议通过并发布《数据出境安全评估办法》,自2022年9月1日起施行。《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。《办法》明确,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

6月,国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》。新《规定》共27条,包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。新《规定》于2022年8月1日起施行。

9月2日,十三届全国人大常委会第三十六次会议表决通过了《中华人民共和国反电信网络诈骗法》,自2022年12月1日起施行。该法共七章50条,坚持以人民为中心,统筹发展和安全,立足各环节、全链条防范治理电信网络诈骗,精准发力,为反电信网络诈骗工作提供有力法律支撑。

9月,为了规范和保障网信部门依法履行职责,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,国家互联网信息办公室对《互联网信息内容管理行政执法程序规定》进行修订,形成了《网信部门行政执法程序规定(征求意见稿)》,并面向社会公开征求意见。

9月,国家网信办会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(以下简称《网安法修订稿》),并且公开征求意见。本次修改的四个主要点为:提高处罚力度且可按照营业额比例处罚;修改关键信息基础设施安全保护的法律责任制度;调整了行政处罚幅度和从业禁止措施;原有关个人信息保护的法律责任修改为转致性规定(个人信息保护法);

11月,工业和信息化部发布《关于促进网络安全保险规范健康发展的意见(征求意见稿)》,鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力。

11月,国家能源局印发修订后的《电力行业网络安全管理办法》(国能发安全规〔2022〕100号)。本次修订根据国家法律法规和标准规范等,明确了行业部门监督管理职责和电力企业主体责任,强调了电力调度机构的技术监督职责,完善了关键信息基础设施安全保护、网络安全等级保护、数据安全、电力监控系统安全防护、密码、网络安全审查等内容。

12月,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》,《办法》全面对接《数据安全法》要求,定位为工业和信息化领域数据安全管理的顶层设计,在工业和信息化领域对国家数据安全管理制度进行细化,为行业数据安全监管提供制度保障。《办法》共八章四十二条,主要内容涵盖法律适用、分类分级、重要数据与核心数据特殊保护、数据生命周期合规要求、数据安全认证与评估等。

12月,国务院公布《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》,意见全文提及“安全”48次、“数据安全”14次之多。“强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。加强数据分类分级管理,把该管的管住、该放的放开,积极有效防范和化解各种数据风险,形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。”

4、2022年度国外数字安全十大法规政策

1月,美国总统办公室发布《行政部门与机构备忘录》(M-22-09),要求各联邦机构转向“零信任”战略。各机构必须在2024财年结束之前实施该计划中描述的许多措施,其中包括更严格的网络分段、多因素身份验证和广泛的加密。

3月,美国国家安全局发布《网络安全技术报告(CTR):网络基础设施安全指南》。内容涵盖网络设计、口令管理、远程登录和管理、安全更新、密钥交换算法以及NTP、SSH、HTTP 和SNMP等重要协议,以增强美国网络系统抵御国家支持的网络攻击。

5月,美国总统拜批准签署“优化网络犯罪度量法案”(S.2629)。该法案从网络犯罪分类、网络犯罪报告、全国犯罪被害调查、网络犯罪指标研究四大维度出发,改善了联邦政府“追踪、衡量、分析、起诉网络犯罪的方式”,以帮助执法机构更好地识别网络安全威胁、防范黑客勒索攻击、起诉网络犯罪案件。

5月,美国司法部公布《计算机欺诈和滥用法案》(CFAA)的修订版,为正当工作的网络安全研究人员(白帽子)明确了行为规定,防止某些情况下利用之前CFAA的法律条款来起诉这些善意的研究人员,以促进网络安全的良性发展。

5月,美国商务部工业和安全局发布文件《信息安全控制:网络安全物项》,提出了网络安全领域的最新出口管制规定。新规要求,美国各实体在与D类(受限制的国家或地区)政府相关部门或个人进行合作时,如果发现安全漏洞和信息,不能直接公布,要先经商务部审核。如果是出于合法的网络安全目的,如披露公共漏洞或安全事件响应,无需审核。

9月,美国总统办公室发布《行政部门与机构备忘录》(M-22-18),概述了软件供应链安全的指导方针,建议联邦机构首席信息官要求供应商提供安全开发和软件物料清单,并说明其产品符合NIST发布的供应链安全框架。

9月,欧盟公布最新的网络安全基本要求提案《网络弹性法案》,要求数字设备与软件开发厂商证明产品满足法案中的要求,所有出口欧洲的数字产品都必须提供安全保障、软件物料清单、漏洞报告机制和为期五年的补丁更新。违反规定的企业将面临最高1500万欧元或全球营收2.5%的罚款。

9月,美国总统乔•拜登发布一项事关国家安全风险的行政命令,要求美国财政部外国投资委员会对外国在美投资和企业并购做出更严格和明确的审查,并再次提及“中国特别政策”。具体的审查领域内容涉及:一是取得美企控制权的交易,二是涉及美企芯片、半导体、飞机、航天、电子计算机等27个行业关键技术的投资。

9月,美国网络安全和基础设施安全局(CISA)发布《2023-2025年战略计划》,该计划聚焦共同降低风险并建立国家关键基础设施的网络和物理威胁的韧性能力。该战略计划描述了四个远大目标。其中三个目标侧重于该机构将“如何”努力降低风险和建立韧性,第四个目标侧重于确保CISA在执行战略计划方面处于有利地位。

12月,美国总统拜登签署《量子计算网络安全准备法案》(H.R.7535),该法案有两个主要组成部分。第一是管理和预算办公室要在NIST发布新指南后的一年内“优先考虑”切换到PQC(后量子密码)。第二是管理和预算办公室要在法案签署后一年内,向国会提交一份报告,概述其战略,提出向量子安全系统过渡所需资金的需求,并详细说明这一段时间内所做出的具体工作。

结语

新年新气象。随着疫情封控的结束,各类社会活动逐渐恢复,经济发展趋势开始向好。人类在遭遇了百年不遇的疫情时代之后,2023年很有可能成为承前启后的拐点年。

回到数字安全领域,上有国家政府层面的政策推动,中有关键基础设施的大量投入,下有数字经济发展的强劲需求,在合规与创新的双轮驱动和信创浪潮下,数字安全产业将重新回到快速增长的轨道。

自习总书记在2021年世界互联网大会贺信中强调“筑牢数字安全屏障”以来,“数字安全”的概念已经深入人心。数字世界、数字时代,数字中国、数字经济的健康良性发展,离不开“数字安全”的底座。为此,数世咨询将2021年定义为数字安全的开启元年,在2021年和2022年先后举办了两届“数字安全大会”,并将所有的年度重磅报告从“网络安全”升级为“数字安全”。