2022网络安全：迎接挑战 砥砺前行

2021年，全球网络安全领域发生了众多引人关注的事件——国内国外法律法规条例密集出台，不断加强网络安全的法律保障；大规模断网事件频发，广大用户深受影响；而关键信息基础设施的屡遭攻击与波及全球的Log4j2漏洞，也引发了各界对于未来网络安全形势的担忧。

面对日益严峻的网络安全形势，无论政府还是高校、个人，未来都需要进一步加强防护措施并强化安全意识。

相关法律密集出台

法律保障不断增强

国内法律法规密集颁布实施

2021年，国内数据安全领域密集颁布实施了多项法律法规政策，同时，数百款涉嫌违规收集个人信息的App也因未按要求进行整改而被下架，显示出我国网络安全治理力度的不断强化。

2021年个人数据与信息得到进一步全方位保护，主要得益于《数据安全法》和《个人信息保护法》的颁布与实施。

此外，国家网信办等部门在2021年也陆续发布了《关于加强网络直播规范管理工作的指导意见》《互联网用户公众账号信息服务管理规定》《常见类型移动互联网应用程序必要个人信息范围规定》等意见和规定，旨在维护公民在网络空间的合法权益。

在医疗行业、金融行业和交通运输行业，《信息安全技术健康医疗数据安全指南》《征信业务管理办法》《汽车数据安全管理若干规定（试行）》等数项行业级标准与办法的相继执行，也进一步强化了个人信息安全和合法权益的保护。

《中华人民共和国数据安全法》

《中华人民共和国数据安全法》由全国人大常委会于2021年6月10日通过，自2021年9月1日起实施，旨在保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。

《中华人民共和国个人信息保护法》

《中华人民共和国个人信息保护法》由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于8月20日通过，于2021年11月1日起开始实施，旨在保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。

各国法规条例相继出台

2021年，国外各国政府也陆续出台了相关法律和条例。美国相继发布和通过《确保信息和通信技术及服务供应链安全》规则、《促进数字隐私技术法案》《美国网络安全素养法案》《K12网络安全法》等众多网络安全领域法案，旨在强化网络安全保障和提高美国民众的网络安全意识与数据安全知识。

欧盟也发布《电子隐私条例（草案）》《网络犯罪公约》第二附加议定书草案的声明等一系列法规条例，强调网络安全和数据保护。除此之外，其他各国也在积极推动网络安全相关立法建设，如韩国发布《个人信息保护法（修正案草案）》、英国发布《数字身份和属性信任框架》、俄罗斯总统签署《联邦行政犯罪法》修正案等，都表明各国政府对于保障网络安全的高度重视。

大规模断网事件频发

广大用户深受影响

随着全球数字化进程加快，人们对于网络的依赖程度越来越高，因而保障网络的稳定和通畅也变得格外重要。但在过去的一年，全球范围内却发生了数次大规模断网事件，使得广大用户受到了严重影响。

2021年6月8日，全球主要内容分发网络Fastly CDN出现持续一小时的中断，导致使用其CDN的网站全线崩溃，包括亚马逊、谷歌、eBay等数十个大型网站。

Fastly工程与基础设施高级副总裁尼克·罗克韦尔发文称，“此次中断是由Fastly的一个客户配置变更触发了一个未被发现的软件漏洞，导致了其85%的网络出现返回错误现象。”

2021年6月17日，由于为企业提供网络和内容交付服务CDN的互联网安全公司Akamai的DDoS缓解服务故障，导致澳大利亚和美国数十家金融机构和航空公司的网站宕机长达一小时。

2021年7月22日，由于Akamai的DNS服务出现问题，全美再次出现重大断服断网事件，导致一些重要的网站和在线服务均无法访问，受此事件影响的公司涉及全球范围内金融、航空、物流、消费等行业和领域，此次故障原因为“软件配置更新触发了DNS系统的一个错误，该系统引导浏览器进入网站。这导致了影响一些客户网站可用性的中断。”

2021年10月4日，社交网络Facebook及其子公司Messenger、Instagram和WhatsApp全球无法使用长达7个小时，经历了整个互联网史上最大的一次中断，波及数十亿用户。

Facebook在其推特上发表官方声明称，“调度数据中心之间流量的骨干网路由器配置变化造成了这次通讯中断，这种网络流量中断对数据中心的通信产生了连锁效应，最终导致服务宕机。”

2021年10月25日，韩国三大通信服务提供商之一的韩国电信公司的有线及无线等网络服务突然中断，造成韩国在全国范围内出现持续约1小时的大面积网络服务中断，包括证券交易系统，饭店结算系统以及手机信号等服务均受到严重影响，对韩国的企业和民众造成极大困扰。

此次事件由更换路由器引发，技术人员在更换企业路由器后漏掉了一个命令词，并且由于韩国电信公司缺乏相关的安全装置，导致全国网络瘫痪。

虽然Fastly和Akamai所提供的服务能够为用户带来更快捷、便利和安全的互联网内容体验，但随之而来的问题是，作为互联网终端用户和服务器之间的桥梁，一旦这座桥梁发生问题，双方之间的连接也会就此中断。

并且，由于越来越多的互联网内容提供方正在过于集中依赖少数类似Fastly与Akamai这样的中间云服务提供商，因而当提供互联网底层服务的单个公司出现短时故障时，将导致大规模用户的互联网服务受到影响。而随着云服务市场集中度的不断提高，这样的潜在风险也正在不断加剧。

Facebook断网事件再次表明了网络基础设施的脆弱性、紧耦合以及自动化运行的严重问题。在APNIC首席科学家杰夫·休斯顿看来，此次事件带来了一些启示，即对每一个配置更新进行演习，并始终有一个退出计划；同时，必须谨慎地在DNS上使用简短TTL；并且，不要将所有权威DNS域名服务器放在一个单独服务器中；此外，要从生产服务中分离出控制平面，即便发生服务故障，也始终能够访问服务；最后，不要片面地追求高速和突破，也要考虑弹性。

韩国电信公司断网事件则凸显了安全防范制度的重要性。即便技术架构再完善，人为的问题也会绕过一切冗余机制，导致故障发生。因而，提高前期投入，做足各项预案和准备，完善安全管理体制机制，才能进一步减少事故发生概率。

全球网络攻击频繁

安全形势不容乐观

关键信息基础设施屡遭攻击

2021年多国基础设施和重要信息系统遭受网络攻击，给各国的安全稳定带来巨大风险。其中，勒索软件攻击成为主要威胁，并呈现出破坏涉及行业领域增多、索要赎金增长、破坏后果严重等特点。

金融、交通、医疗、能源等领域和行业都成为勒索攻击的目标，比如，美国油管道运营商科洛尼尔管道运输公司遭受勒索攻击，引发美国东海岸大面积燃油断供；爱尔兰卫生服务主管部门遭遇勒索软件攻击，被迫暂时关闭IT系统，致使多家医院运营受到影响；伊朗铁路遭受网络攻击，导致数百辆列车被延误或取消。

对此，全球各国在大幅增加关键基础设施安全防护资金投入的同时，也相继推出多部文件和政令来强化关键信息基础设施安全保护，比如美国发布《CISA全球参与》文件、《关于改善关键基础设施控制系统网络安全的国家安全备忘录》、欧盟也发布《欧盟安全联盟战略》、澳大利亚政府提出了关键基础设施提升计划(CI-UP)等。我国也出台了《关键信息基础设施安全保护条例》，为开展关键信息基础设施安全保护工作提供了基本遵循。

Apache Log4j2漏洞波及全球网络

同往年相比，2021年漏洞数量增长放缓，但这并不意味来自互联网的危害因此而降低。相反，网络攻击的数量呈现出显著上升的趋势，这一趋势在年底达到了历史最高水平，于2021年12月10日公开披露的ApacheLog4j2漏洞则是其中的主要原因。

Log4j2漏洞驻留在无处不在的Java日志库Apache Log4j中，该漏洞是由于Log4j2在处理程序日志记录时存在JNDI注入缺陷。同时，由于该漏洞位于与许多其他软件包捆绑在一起的核心库中，也使修复变得更加复杂。而基于该漏洞的性质，一旦攻击者完全访问和控制了一个应用程序，就可以执行无数攻击目标。

许多企业和政府机构网络都已遭遇了漏洞利用攻击。比利时国防部就已宣布他们遭受了基于该漏洞的严重的网络攻击，强烈的网络攻击导致比利时国防部的一些活动瘫痪，如其邮件系统就已经停机了数天。

Log4j2漏洞目前已经成为一个全球性的网络安全问题，而鉴于该漏洞的普遍性和易于利用性，全球未来可能需花费数月甚至数年时间才能完全解决这一隐患。

2022年，网络安全形势依旧不容乐观，在加强安全防护之余，提升网络安全素养也变得更为关键和重要。

高校网络安全

注重安全素养教育

面对着愈加严峻的网络安全形势，各高校的网络安全工作也面临着更加艰巨的挑战。随着对数据安全和个人信息保护的日益重视，人脸识别技术合规应用、提升师生网络安全素养、校园“挖矿”活动治理、开展反钓鱼邮件演练等都是过去一年里各高校在网络安全治理实践中做出的积极尝试。

人脸识别技术合规应用

从刷脸报到、刷脸考勤到刷脸考试、刷脸支付等，人脸识别技术已经被广泛应用于校园中，但给广大师生带来极大便利同时，校园人脸数据治理风险也急遽增加。并且，随着《数据安全法》和《个人信息保护法》的相继实施，人脸识别系统校园应用场景面临诸多更加严格的合规风险。

许多高校通过对法规条文进行深入分析和解读，以争取做到校园人脸数据治理的依法合规而行，并从制度和技术和等方面出发，尝试平衡高校管理和师生个人权益保护的关系。

提升师生网络安全素养

《数据安全法》和《个人信息保护法》的颁布与实施，引发了高校关于如何做好数据安全保护和个人信息保护的广泛讨论，而提升师生的网络安全素养便是其中的一个讨论重点。

目前，高校师生和员工的网络安全意识和素养不足，影响着高校网络安全工作的推进。因此，各高校也在尝试建立网络安全素养提升体系，并探索网络安全素养提升方案，通过开展网络安全培训、加大宣传教育力度等举措，来提升高校师生的网络安全素养和安全意识。

校园“挖矿”活动治理

高校拥有众多的高性能服务器，存在大量可被利用的算力等资源，往往成为黑客入侵、病毒传播进行“挖矿”活动的重要目标。“挖矿”活动不仅会导致学校电力能源被大量耗费，还会影响参与“挖矿”设备的性能和使用寿命。

部分高校结合自身安全能力，积极探索“挖矿”活动的综合治理方案，并实现发现、研判、通报到最终处置的全流程闭环工作，以保障学校资产免受损失。

开展反钓鱼邮件演练

针对高校的钓鱼攻击不仅呈现上升趋势，同时在攻击目标选择和邮件内容上也变得更有针对性，这些钓鱼攻击通过发送邮件伪造各类热点信息，比如假冒学校管理方要求用户填写防疫信息、冒充冬奥会主委会招募志愿者等来引诱用户访问其伪造的钓鱼网站填写相关信息，以此窃取用户的身份账号及密码等敏感信息。

许多高校在加强自身监控能力的同时，也通过开展钓鱼邮件演练来强化师生的安全意识，并且取得了良好的教育效果，不仅完成了对师生安全素养水平的评估，同时也降低了网络安全风险。

综合来看，当前高校网络安全还面临着相关机构不健全、制度不完善、信息资产杂乱散以及技术能力不足等问题。面对未来的诸多挑战，各高校仍需砥砺前行，多措并举将网络安全落到实处。

投稿、转载或合作，请联系：eduinfo@cernet.com

往期推荐

● 高校网络安全工作四大要点

● “新安全”提升教育系统网络安全防控能力

看完了，点个赞呗~