重要事件回顾，智览网安行业发展。近日国内外网安行业发生了哪些重要事件，呈现出了怎样的发展态势呢？杂志社联合中国网安科技情报研究团队将从行业大角度出发，带领大家回顾近日国内外行业的重要事件，探究其中的发展态势。

　　事件概览：

　　1、移动互联网应用程序（APP）个人信息保护治理白皮书发布

　　2、 IDC发布《中国政府行业IT安全软件市场份额报告》

　　3、腾讯迎来最严APP监管！

　　4、英国战略司令部发布《战略司令部战略》文件

　　5、CISA发布联邦政府网络安全事件和漏洞应对行动手册

　　6、美NSA和CISA联合发布《5G网络云基础设施安全指南》第I部分

　　7、欧盟加入《网络空间信任与安全巴黎倡议》

　　8、澳大利亚投资人工智能技术研发以建设国防军事能力

　　9、美国国会研究服务局向美国会提交《国防入门：美国关于致命性自主武器系统的政策》报告

　　10、美国司法部通过“民事网络欺诈专项”强化针对美国联邦政府承包商及资助接受方的网络安全执法力度

　　11、美英等国发出严重警告，微软、Fortinet的漏洞正在被“滥用”

　　12、美国国会研究处发布《网络安全：2012年至2021年网络攻击》的报告

　　13、Gartner发布当前需关注的八大安全和风险趋势

　　国内

　　01

　　移动互联网应用程序（APP）个人信息保护治理白皮书发布

　　11月22日，在工业和信息化部指导下，中国信息通信研究院组织编写了《移动互联网应用程序（APP）个人信息保护治理白皮书》（以下简称“白皮书”）。

　　白皮书中内容指出，从2012年开始到2021年，国家陆续推出并施行了《网络安全法》《数据安全法》《个人信息保护法》，意味着当前国家关于个人信息保护法律制度的顶层设计基本形成，而在针对行业领域个人信息保护方面，相关管理规定也在积极的推进过程之中。

　　白皮书显示，在过去一段时间中依靠专项整治的方式，用户权益保护明显改善，截至目前已开展的21批次专项抽查中，累计通知了5406款应用进行整改，公开通报2049款整改不到位，有540款应用被下架处置。

　　关于未来继续纵深推进APP个人信息保护治理工作方面，白皮书给出了一些建议。

　　（1）修订完善部门规章和管理规定，如将《个人信息保护法》的制度要求转化为各行业各领域的具体规则，同时加快出台APP个人信息保护专门规则，推动相关标准体系的持续完善，从而实现补齐短板，持续完善监管制度依据的目的。

　　（2）需要加强协同，建立健全联动治理机制，包括各主管部门之间的协调治理机制、中央和地方建立部省联动治理机制以及专项治理与长效治理结合治理机制，从而实现“全流程、全链条、全主体”监管，有效提升行业领域个人信息保护监管水平。

　　（3）要通过落实技术创新主体责任、优化技术检测平台系统建设以及规范技术检测工作流程的方式，充分发挥优势，提升技术手段治理的效能。

　　（4）要形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境，形成多元共治的局面，推动行业发展行稳致远。

　　02

　　IDC发布《中国政府行业IT安全软件市场份额报告》

　　北京，2021年11月25日—— 2020 年新冠疫情爆发，全球各国都在努力控制疫情的同时，经济活动有所放缓。同时，勒索软件相关攻击正在增加，攻击者不但勒索赎金，并威胁公开窃取的数据。国家加快了安全相关法律法规的制定，驱动和规范了政府企业安全相关的组织、人员、系统的建设。2020年IT安全的整体增长率较2019年有所放缓，传统网络安全软件如终端反病毒软件、本地化身份认证等产品在2020年的发展遭遇较大阻力。但在云市场的强力带动下，政府采用云上的安全软件产品，如软件安全网关（UTM、WAF等）、身份认证和管理、主机安全等保持了高速发展态势。

　　IDC认为，在中国政府行业IT安全软件市场主动防御成为新重点。在传统信息安全防御体系中，无论是信息安全硬件还是软件，防御技术都已经无法满足各类新兴网络安全防护需求。面向信息系统应用层的渗透攻击，传统防火墙束手无策；面向内网的零日攻击，杀毒软件和数据防泄漏（DLP） 软件无法识别；面向新型的大数据、云安全，传统信息安全防御体系更是束手无策。传统的被动防御难以应对全球数字化转型趋势下的网络安全保障需求，各厂商积极构建主动安全防御体系，服务于各政府部门。

　　03

　　腾讯迎来最严APP监管！

　　11月24日，一张显示“腾讯主体下所有APP将暂停更新”的图片在网络上流传。安全内参关注到最新消息，工信部正在对腾讯采取过渡性的行政指导措施，要求其旗下所有APP需检测合规后才可更新。

　　据中央广播电视总台央视记者从工信部了解到，今年以来，在工信部开展的App侵害用户权益专项整治中，腾讯公司旗下9款产品存在违规行为，共计4批次被公开通报，违反了2021年信息通信业行风纠风相关要求。按照有关部署，工信部对腾讯公司采取过渡性的行政指导措施，要求对于即将发布的App新产品，以及既有App产品的更新版本，上架前需经工信部组织技术检测，检测合格后正常上架。

　　国外

　　01

　　英国战略司令部发布《战略司令部战略》文件

　　11月22日，英国战略司令部发布《战略司令部战略》文件，阐述了战略司令部将采用综合技术和以数据为核心的方法，整合作战人员、装备和相关信息，建立一支行动敏捷和精确的综合部队，以应对多变复杂的未知环境。到2030年，基本形成应对威胁变化所需的泛在敏捷防御能力，为国家战略优势做出重大贡献。通过持续的前沿部署、改进网络和先进情报、监视和侦察（ISR）能力实现实时态势感知；利用改进空间和网络能力，通过可靠安全战略通信进行未来战场协调、沟通和指挥。

　　02

　　CISA发布联邦政府网络安全事件和漏洞应对行动手册

　　CisaGov网站11月16日消息，网络安全和基础设施安全局（CISA）发布了联邦政府网络安全事件和漏洞应对行动手册。该手册为联邦民事机构提供了一套标准程序，以应对影响联邦民事行政部门网络的漏洞和事件。事件响应手册适用于已确认的恶意网络活动的事件，以及已经宣布或尚未合理排除的重大事件。漏洞应对手册适用于任何被观察到的、被对手用来未经授权进入计算资源的漏洞。？该手册建立在CISA的约束性操作指令22-01的基础上，并规范了应对这些对联邦政府、私营和公共部门构成重大风险的漏洞时应遵循的高级流程。CISA打算不仅为联邦政府，而且为公共和私营部门的实体加强网络安全响应实践和操作程序。？这两本手册包含了事件响应、事件响应准备和漏洞响应的核对表，可适用于任何组织，以跟踪必要的活动完成情况。

　　03

　　美NSA和CISA联合发布《5G网络云基础设施安全指南》第I部分

　　近日，美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）近期发布了《5G网络云基础设施安全指南第I部分：防止和检测横向移动》（以下简称“指南”）。

　　该指南围绕零信任理念展开，主要面向参与构建和配置5G云基础设施的服务提供商和系统集成商，关注安全隔离网络资源、数据保护以及确保云基础架构的完整性等重点问题，涉及包括云环境下的边界加固防护、内生安全、软件安全、API安全等在内的六大重点内容：

　　（1）身份认证和访问管理

　　企业组织无论部署任何种类的访问控制模型，虚拟机（VM）、容器或其他产品，其目的都是为了能够充分缓解5G云环境中的漏洞和横向移动的威胁。从IAM的角度来看，统一身份认证、最小访问控制权限、多因素身份验证等基本的安全控制和实践可以大有作为。企业组织可使用证书来实现传输层安全（mTLS）和证书锁定，以验证证书持有者的身份。除此之外，借助日志记录快速识别异常行为，并及时实施自动修复功能也很重要。

　　（2）及时更新软件

　　云环境复杂性强的原因之一是大量的软件源，其中包括为5G云消费者提供服务的开源和专有软件。因此，5G云供应商实施稳健安全的软件开发流程至关重要，例如建立NIST的安全软件开发框架（SSDF）以及成熟的漏洞管理程序和操作流程。该漏洞管理程序应包含所有公开已知的漏洞（无论是否有补丁）、零日漏洞，程序还应具备补丁管理功能。

　　（3）安全的5G网络配置

　　企业组织的云安全部署可能各不相同，并且有很多层，例如虚拟私有云（VPC）、主机、容器和Pod。因此建议企业组织根据资源敏感性的区别对资源进行分组，并通过微分段限制爆炸半径。

　　网络配置和通信隔离是5G网络环境下云安全防护的关键所在。由于云的多租户性质和软件定义网络 （SDN） 的引入，需要一种新型的、可实现的、稳定的安全防护方法。指南建议使用云原生功能（例如网络访问控制列表和防火墙规则）来正确限制网络路径，这对防止攻击者在云环境中横向移动具有关键意义，因为，如果攻击者破坏了单个VPC或子网，这可以避免它成为攻击者在云环境中继续攻击其他VPC和子网的枢纽点。

　　指南的其他建议还包括，通过防火墙的的默认拒绝条款和出入站流量的访问控制列表，以及通过使用服务网格来控制东西向流量。

　　（4）锁定隔离网络功能之间的通信

　　虽然5G云环境的网络实施和架构非常复杂，但还应确保所有通信会话都经过适当授权和加密。如开篇所述，企业组织应积极使用微分段，以最小化环境中任何特定网络分段危害的“爆炸半径”。

　　（5）监测横向移动威胁

　　5G网络环境下的云安全离不开适当的监控、检测、警报和补救措施，涉及监控用户行为异常和可疑网络流量行为等活动，例如与已知错误的外部地址通信。

　　（6）引入AI等新型技术

　　复杂且动态的5G云环境需要使用增强的技术和功能来进行安全防护，以适应5G活动和遥测的规模，例如AI技术等。在许多复杂的云原生环境中，安全团队根本无法跟上活动的范围或规模。通过使用CSP和第三方功能，安全团队可凭借自动化技术来速识别和限制恶意活动。自动化是实施零信任架构的关键支柱，5G云安全也是如此。

　　04

　　欧盟加入《网络空间信任与安全巴黎倡议》

　　11月11日，欧盟委员会主席冯德莱恩在巴黎和平论坛上发表讲话，宣布欧盟与其27个成员国一起加入《网络空间信任与安全巴黎倡议》。在网络安全方面，欧盟委员会已经提议修订欧洲网络安全法，以加强对关键部门的网络安全要求，并宣布了欧洲网络弹性法案。在人工智能方面，欧盟的《人工智能法案》将专注于医疗、执法或就业等高风险领域，并为欧盟市场上的产品设定标准。冯德莱恩主席在讲话结束时呼吁对数字平台负责，以及欧盟在这方面正在采取的步骤。她强调如果大型平台的算法传播仇恨言论、非法内容或虚假信息，那么这些算法必须做出改变。欧盟委员会已经提出了《数字服务法案》，为欧盟成员国提供了监管这一领域的工具。

　　05

　　澳大利亚投资人工智能技术研发以建设国防军事能力

　　英国陆军技术网站2021年11月18日报道，澳大利亚政府宣布，澳大利亚国防创新中心将拨款727万美元用于支持新的人工智能技术研发。这项投资将扩大澳国防军的军事能力，并支持新的“关键技术蓝图和行动计划” （11月17日由澳总理公布），旨在增加关键技术带来的经济机会并应对国家安全风险。人工智能已被澳大利亚政府列为关涉国家利益的九项关键技术之一，根据澳政府的关键技术计划，澳国防工业部长梅丽莎·普莱斯宣布了十项新的国防创新中心合同，这些合同将有助于开发新的人工智能技术。新的人工智能技术将通过使用澳国防部的情报任务数据来提高态势感知能力，并通过智能化的虚拟现实来增强作战人员的模拟、建模和培训来实现，将改善澳军的训练和作战方式。吸引人工智能行业的企业与国防部门合作是实现这一目标的重要举措，本次授出的合同也将促进澳大利亚企业的发展，帮助澳大利亚建立并强化技术主权，使其能够开发并将领先的人工智能技术整合到澳大利亚国防力量中。

　　06

　　美国国会研究服务局向美国会提交《国防入门：美国关于致命性自主武器系统的政策》报告

　　美国国会研究服务局2021年11月17日向国会提交《国防入门：美国关于致命自主武器系统政策》报告。报告认为，致命自主武器系统 （LAWS）是一类特殊的武器系统，其使用传感器套件和计算机算法来独立识别目标，并使用机载武器系统来攻击和摧毁目标，而无需人工控制系统。虽然致命自主武器系统还没有得到广泛的发展，但它们将能在传统系统无法运行的通信恶劣或被拒止的环境中进行军事行动。

　　致命自主武器系统（致命自主武器系统）是一类特殊的武器系统，它使用传感器套件和计算机算法自主识别目标，并使用机载武器系统攻击和摧毁目标，无需人工控制系统。致命自主武器系统尚未得到广泛开发，但它们将能在传统系统无法运行的通信降级或被拒止的环境中进行军事行动。

　　与许多新闻报道相反，美国的政策并未禁止开发或使用致命自主武器系统。美国目前的武器清单中尚无致命自主武器系统，但一些高级军事和国防领导人表示，如果美国的竞争对手选择开发或使用致命自主武器系统，美国未来将被迫开发致命自主武器系统。与此同时，越来越多的国家和非政府组织出于道德考虑，呼吁国际社会管制或禁止致命自主武器系统。自主武器技术的发展和国际法律讨论可能对国会监督、国防投资、军事作战概念、条约制定和战争未来产生影响。

　　07

　　美国司法部通过“民事网络欺诈专项”强化针对美国联邦政府承包商及资助接受方的网络安全执法力度

　　近日，美国司法部目前正在强化其针对美国联邦政府承包商及资助接受方的网络安全执法力度——若这两个从美国联邦政府获得资助的群体无法满足美国政府网络安全标准的要求，那么将面临来自美国司法部依照美国《虚假陈述法案》所施加的严厉惩罚。这个专项行动将由美国司法部民事部门商业诉讼分部（Commercial Litigation Branch）牵头开展。

　　美国司法部副部长丽莎。莫纳克（Lisa Monaco）上月在一份声明中指出，“虚假陈述法案”将是美国联邦政府用于惩处涉及美国政府项目及运作相关联邦基金或财产之虚假陈述行为的主要法律工具，而“民事网络欺诈专项”将让那些“让美国政府系统或信息陷于危险境地”的实体或个人付出代价；美国司法部目前已在“民事网络欺诈专项”框架内组织其网络欺诈执法、政府采购及网络安全三大领域的专业力量，以打击试图损害美国政府关键系统和敏感信息的“新型网络威胁”；美国司法部将与美国联邦政府其他机构、领域专家及执法机构密切配合，加强网络安全执法力度。

　　虽然美国司法部不会披露其当前在“民事网络欺诈专项”框架内开展调查的案子数量，但行业人士认为，美国司法部可能将着重调查以下三类网络安全问题：

　　①故意提供存在缺陷的网络安全产品或服务；

　　②掩盖其实施网络安全建设的真实情况；

　　③瞒报网络攻击及入侵事件。

　　美国司法部启动“民事网络欺诈专项”将迫使美国联邦政府承包商及资助接受方加强网络安全方面的合规建设，虽然早在1863年就获得通过的《虚假陈述法案》并不是一个新的合规要求；而这个专项与美国国防部现行之复杂网络安全标准体系的叠加，也可能让美国防务行业无所适从。

　　08

　　美英等国发出严重警告，微软、Fortinet的漏洞正在被“滥用”

　　近日，美国、英国和澳大利亚等国的网络安全机构发布联合声明，称疑似受伊朗政府资助的攻击者，正在积极利用Fortinet和Microsoft Exchange ProxyShell的漏洞。攻击者利用漏洞获得受害者系统初始访问权限后，开始窃取数据和部署勒索软件。

　　据美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、澳大利亚网络安全中心（ACSC）和英国国家网络安全中心（NCSC）对受害网络系统分析后称，攻击者利用的Fortinet FortiOS漏洞和影响微软Exchange服务器的远程代码执行漏洞，可追溯到2021年3月。根据The Hacker News等媒体披露，遭受网络攻击的受害者众多，其中受损严重的有澳大利亚的多家组织和美国多个关键基础设施部门。

　　CISA和FBI等部门的网络安全专家通过分析攻击者近期活动，发现该组织异常活跃，不仅利用FortiOS 漏洞“访问”易受攻击的澳大利亚部分企业网络，早在2021年5月就已经利用 Fortigate 设备漏洞，对美国市政府托管的网络服务器展开了网络攻击。

　　为应对攻击者的持续性威胁，美国政府不得不第二次发布警告，提醒高级持续性威胁集团正在利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591等漏洞破坏属于政府和企业等实体的网络系统。

　　09

　　美国国会研究处发布《网络安全：2012年至2021年网络攻击》的报告

　　美国国会研究处（CRS）于2021年11月22日发布了题为《网络安全：2012年至2021年网络攻击》的报告。该报告汇总了过去10年内针对美国实体的重大网络攻击，并介绍了网络攻击的溯源信息和常见类型。该报告将美国遭受的网络攻击分为两大类，其中包括23起出于国家利益而发起的网络攻击，以及30起出于个人利益而发起的网络攻击。

　　10

　　Gartner发布当前需关注的八大安全和风险趋势

　　随着网络安全和监管合规成为企业董事会最关注的两件事情，一些企业正在增加网络安全专家来专门审核安全和风险问题。这只是我们的八大安全和风险趋势之一，其中许多趋势被最近的事件所推动，例如安全漏洞和持续的新冠疫情等。

　　今年的安全和风险趋势突出了安全生态系统中正在进行但尚未被广泛认可的战略转变。每一个趋势都有望产生广泛的行业影响和巨大的变革潜力。

　　趋势一：网络安全网格

　　网络安全网格是一种使分布式企业能够在最需要的地方部署和扩展安全的现代化安全架构概念方法。

　　新冠疫情在加速数字化业务的同时，也加速了另一个趋势：许多数字资产和个人越来越多地位于传统企业基础设施之外。此外，网络安全团队正在被要求保护无数种形式的数字化转型和其他新技术。这就需要具有灵活性、敏捷性、可扩展性和可组合性的安全选项，这些安全选项将使企业能够以安全的方式迈向未来。

　　趋势二：精通网络的董事会

　　随着公共安全漏洞的增加和勒索软件造成的业务中断日益普遍，各企业机构的董事会正愈加关注网络安全问题。他们认识到这已成为企业的一个巨大风险并正在组建专门专注于网络安全事务的委员会。委员会通常由具有安全经验的董事会成员（如前首席信息安全官[CISO]）或第三方顾问领导。

　　这意味着首席信息安全官将受到更多的监督和期望，同时获得更多的支持和资源。应做好改善沟通的准备并预测到董事会因此提出更苛刻的问题。

　　趋势三：厂商整合

　　当今的安全现状是安全领导人所拥有的工具过多。Gartner在2020年首席信息安全官效能调查中发现，78%的首席信息安全官在他们的网络安全厂商组合中拥有16个以上的工具；12%的首席信息安全官拥有46个以上的工具。安全厂商过多会导致安全运行变得复杂并且安全人员人数增加。

　　大多数企业机构认识到，厂商整合是提高安全效率的途径之一，80%的企业机构正在执行或对这一战略感兴趣。大型安全厂商正通过整合得到更好的产品来应对。但整合具有一定的难度，往往需要几年时间才能推出。虽然一般情况下推动这一趋势的驱动力是更低的成本，但所产生的结果往往是更加精简的运行和更低的风险。

　　趋势四：身份优先安全

　　混合工作模式的日益盛行以及向云应用的迁移巩固了身份作为外围的趋势。身份优先安全并不是一个新的概念，但随着攻击者开始以身份和访问管理功能为目标来获得“沉默的持久性”，身份优先安全又呈现出新的紧迫性。

　　滥用凭证现在已成为最常用的入侵技术。国家级攻击者正在以动态目录和身份基础设施为目标并取得了惊人的成功。身份识别是在气隙网络之间实现横向移动的关键技术。多重认证的使用正在增长，但它不是万能的。必须正确配置、维护和监控身份基础设施并给予高度重视。

　　趋势五：管理机器身份已成为一项关键的安全功能

　　随着数字化转型的发展，构成现代应用的非人类实体数量出现了爆炸性增长。因此，机器身份的管理已经成为安全运行的一个重要部分。

　　所有现代化应用都是由通过API连接的服务所组成的。由于攻击者可以利用供应商API访问关键数据来达到自己的目的，因此这些服务中的每一项都需要被认证和监控。全企业机器身份管理工具和技术仍在不断涌现。一项能够管理机器身份、证书和秘密的全企业战略使您的企业机构能够更好地保护数字化转型。

　　趋势六：“远程办公”成为工作常态

　　根据2021年Gartner首席信息官调查，64%的员工现在可以在家办公，五分之二的员工实际上正在家中办公。曾经只有高管、高级职员和销售才可以使用的工具现在已经成为主流。向混合工作模式（或远程办公模式）转变是一个持久的趋势，超过75%的知识工作者期待未来在混合工作环境中工作。

　　从安全角度看，为了更好地减轻风险，企业机构需要完全重新定义政策和工具。

　　趋势七：入侵和攻击模拟

　　一个帮助企业机构验证安全态势的新市场正在出现。入侵和攻击模拟（BAS）可以对安全控制进行持续的测试和验证，并且能够测试企业机构应对外部威胁的态势。该工具还能进行专项评估并突出显示保密数据等高价值资产的风险。此外，BAS还提供使安全组织迈向成熟的培训。

　　趋势八：增强隐私的计算技术

　　增强隐私的计算技术能够在数据被使用时，而不是在数据静止或移动时提供数据保护，从而实现安全的数据处理、共享、跨境传输和分析，包括在不可信的环境中。

　　这项技术正在迅速从学术研究转变为提供真正价值的实际项目，不但实现了新形式的计算和共享，还减少了数据泄露风险。