自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

2021年网络与信息安全年度评述

文 | 蔚晨

蔚晨 

某金融科技公司

信息安全专家

十四五规划开局之年，数字经济扬帆起航

2021年作为我国十四五规划的开局之年，数字经济写入《十四五发展规划》，数字化浪潮扑面而来，网络安全与信息安全作为数字经济的基础安全保障，成为发展数字经济不可或缺的组成要素。

为促进数字经济发展，激活数据要素价值，2021年网络安全行业特别是数据安全领域，各项法律法规政策意见密集出台，保护用户权益大量APP下架整改，上海数据交易所在年底悄然成立，国外厂商也不甘落后，向中国产业界送来了元宇宙这份大礼。

山雨欲来风满楼，2021年为数据经济发展明确了左右两个堤坝，左堤是各项法律法规政策意见，右堤是网络安全与信息安全保障措施，遥望不远的2022年，数字经济持续向前推进，网络安全与信息安全保障能力持续发展，平台经济运营规范化水平不断加强。

我国著名战略咨询专家王志纲有一个形象的比喻，中国就是像一巨龙，龙头已经与美国信息产业发展同步，例如北京、上海、深圳的信息技术产业，龙身处于工业文明时代，例如珠三角、长三角的制造业，龙尾还处于农业社会，例如现在的西部地区。这条巨龙在时空隧道里面翻腾，是三种文明形态，三种经济形态，三种社会形态同时在今天的中国并存。

网络安全政策法规颁布的大年

2021年无疑是网络安全领域法律法规政策意见集中颁布与实施的一年。六项法律法规条例颁布实施，四项行业级标准与办法相继执行。

2021年颁布实施的六项法律法规简要概括如下：

2021年初，国家互联网信息办公室等七个部委办联合发布《关于加强网络直播规范管理工作的指导意见》，要求网络直播平台严格遵守个人信息保护相关规定、筑牢信息安全屏障。

2021年2月，《互联网用户公众账号信息服务管理规定》开始实施，要求公众账号信息服务平台建立信息内容安全、网络安全、数据安全、个人信息保护管理制度。

2021年3月，国家互联网信息办公室秘书局等四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，严禁App运营者违法违规收集使用个人信息行为，切实维护公民在网络空间的合法权益。

2021年9月1日，《关键信息基础设施安全保护条例》开始实施，为关键信息基础设施认定，运营者责任义务提出了明确的要求。

2021年9月1日，《中华人民共和国数据安全法》开始实施，为数据安全保障提出了明确的法律要求。

2021年11月1日，《中华人民共和国个人信息保护法》开始实施施，为个人信息安全保障提出了明确的法律要求。

2021年相继执行的四项行业级标准与办法简要概括如下：

在金融行业，2021年9月，中国人民银行发布《征信业务管理办法》，对企业和个人的信用信息进行采集、整理、保存、加工的全过程，提出信息保护要求，防范信用信息泄露、丢失、毁损或者被滥用，不得危害国家秘密，不得侵犯个人隐私和商业秘密。2021年10月，中国人民银行办公厅、中央网信办秘书局等五部门联合发布《关于规范金融业开源技术应用与发展的意见》，就规范金融机构合理应用开源技术，提高应用水平和自主可控能力提出要求。

在医疗行业，2021年7月，国家市场监督管理总局和国家标准化管理委员会联合发布的《信息安全技术 健康医疗数据安全指南》开始实施。

在交通运输行业， 2021年10月，国家互联网信息办公室等五部委联合发布的《汽车数据安全管理若干规定（试行）》开始施行。

保障个人隐私安全，对违规APP持续保持高压震慑

自互联网在我国大规模应用来，个人信息泄露就是一件司空见惯、见怪不怪的现象，个人信息通过各种各样的渠道，从这流到那，“买房的、推销保险的、拉贷款的”老百姓每天接到各种各样的骚扰电话，“对不起，不需要”似乎要成了接电话的口头语。更有甚者，不法份子根据个人信息，了解老百姓生活状况，有针对性有组织地进行诈骗活动。多少老年人一生积蓄被犯罪分子一扫而空？多少在校学生由小额贷款开始一步步沦为不法奸商金融活动的盘中餐？

根据人民日报的新闻，截至到2021年11月，工信部已组织APP检测21批次共244万款APP，累计通报2049款违规APP，下架540款拒不整改的APP，应用商店已主动下架40余万款违规APP。APP是互联网数据的入口与出口，负责数据采集、传输、存储、处理、交换与销毁，APP运营者根据用户的个人信息，可以绘制用户画像，得到用户生活与工作的全部数据，掌握用户的姓名、性别、年龄、学校、职业、家庭住址、工作地址、通信信息、消费信息，在结合心理学与营销学知识，即可以引导用户过度消费，也可以促使用户改变消费习惯，还可以营造风清气正的适度消费环境。因此APP运营者，特别是现象级APP以及平台运营者，在这种情况下，已经不仅仅是普通的企业行为，或许还肩负着社会风气与舆论导向等社会治理的责任。

5G中的网络安全也不容忽视

人类应用能量和信息的方式是推动人类社会进步的两大关键要素。在通信技术方面，从第一代移动通信技术开始，即1G开始人类进行以光速传播信息的阶段。1982年，欧洲电信标准化协会成立GSM小组，实现欧洲各国移动通信系统的互联互通。GSM采用时分多址（Time division multiple access，TDMA）无线接入技术，第二代移动通信技术由模拟通信进入数字通信阶段。1998年，3GPP组织成立，负责推进全球3G标准化工作，第三代移动通信技术由一系列技术规范和接口构成，以宽带码分多址（Wideband Code Division Multiple Access，WCDMA）技术构建无线接入网，核心网在原GMS移动交换网络的基础上平滑演进。4G无线技术集合称为长期演进计划（Long Term Evolution，LTE），基于正交频分复用（Orthogonal Frequency Division Multiplexing，OFDM）和多输入多输出（Multiple Input Multiple Output，MIMO）两大关键技术，将数据下行速率从2 Mb/s提高到100 Mb/s，将上行速率提高到50 Mb/s，终端的移动速率从步行速率提高到车辆速率，从此人类社会进入移动互联网时代。

5G作为新一代信息基础设施，是实现万物互联网的基础，其三大特性高带宽、广连接、低延时，将成为工业互联网、车联网、物联网将的重要支撑。

与此同时，5G网络应用场景中的安全问题，也值得广大从来者关注。在虚拟现实等高带宽场景，端到端的设备增加、通信量增长，用户面功能下沉，攻击面随之拉长，网络从以前的封闭或者半封闭，变成了半封闭或开放状态，需要关注多种异构网络、异构终端、各种用户带来的风险攻击面扩大。

在车联网等低延时场景中，基于低延时诉求，将数据、计算、应用向网络边缘移动，导致网络边界模糊。由于MEC 节点靠近网络的边缘，外部环境可信度降低，管理控制能力减弱，使得MEC平台和MEC 应用处于相对不安全的物理环境，容易遭受非授权访问、敏感数据泄露、DDoS 攻击、设备物理攻击等威胁。另外，基础网络功能与不可信任的第三方应用在同一平台部署，进一步导致网络边界模糊，引发虚拟机逃逸、镜像篡改、数据窃取与篡改等诸多安全问题。

在物联网等广连接场景中，5G 提供了更大范围的网络接入能力与多网无缝融合能力。智能家居设备、工业物联网设备、民用电子设备、行业应用软件等，均可以通过便捷的方式接入到5G网络，随之而来的是多个网络域的大量漏洞，为内外部攻击者，提供了指数级增长的攻击机会，多重身份标识、非法认证授权、非法访问控制、通道监听、数据拦截与篡改等风险增大。

区块链安全威胁突出

区块链作为金融、政务、食品药品等众多领域的创新应用，自2016年以来受到各个行业的广泛关注，成为企事业单位发展战略转型的重要组成部分。

在金融行业，中国人民银行数字票据交易平台、中国工商银行“工银玺链”区块链平台、中国银联与中国银行合作建设区块链跨境汇款服务平台、民生银行与中信银行合作打造基于区块链技术的国内信用证信息传输系统、民生银行建立基于金融司法链的可信存证平台。

在电子政务领域，多个地方政务推进“区块链+政务”、“智慧政务+区块链” ，区块链电子政务服务平台不断落地。北京市构建链上协同共享的政务服务生态，推动政务数据上链，着力打破“信息孤岛”，提升跨部门业务协同能力，推动电子证照广泛应用。

在食品药品行业，“药品溯源+区块链”、“医药医疗+区块链”，药品溯源、药品监控、食品追溯、农产品追溯相继服务于行业用户。

与此同时，区块链的安全问题也不容忽视。从区块链的结构角度分析，区块链的安全问题主要体现在基础层安全威胁、数据层安全威胁、共识层安全威胁、合约层安全威胁、应用层安全威胁五个方面。基础层为区块链提出了基础网络与软硬件环境，面临着来自网络的DDos攻击、来自操作系统层面的漏洞攻击等安全威胁。

数据层是区块链底层的数据结构，呈现出区块+链的特点，面临着密钥窃取丢失篡改、数据窃听丢失等安全威胁。

网络层通过P2P网络技术实现了区块链去中心化模型，面临着数据身份仿冒、越权访问、病毒攻击等安全威胁。

共识层通过共识算法实现各节点数据一致性，面临着51%攻击、双花攻击等安全威胁。

合约层通过智能合约实现区块链可编程，面临着DDos攻击、算法漏洞攻击等安全威胁。

应用层是区块链的外在表现，为不同行业提供诸如数字票据交易、链上电子证照、食品溯源等服务，其安全风险体现在非法节点接入、软件安全漏洞等方面。

我国SM9密码算法成为国际标准

我国SM9密码算法成为国际标准

2021年10月，ISO/IEC JTC1/SC27会议宣布，我国SM9密钥交换协议作为国际标准ISO/IEC 11770-3:2021《信息技术 密钥管理 第3部分：使用非对称技术的机制》的一部分，由国际标准化组织ISO/IEC正式发布。SM9密钥交换协议用于通信双方基于对方的标识实现会话密钥协商，具有运算效率高、算法安全模式实现灵活等特点。SM9密钥交换协议是继SM9数字签名算法、SM9标识加密算法之后，SM9算法的第三项ISO/IEC国际标准。

SM9算法基于双线性对数据原理，具有运算效率高、算法安全模型实现灵活的特点，将广泛应用于工业互联网、车联网、物联网等实时性要求高、设备计算能力弱等场景。

ZUC祖冲之算法是中国第一个成为国际密码标准的密码算法，于2011年9月正式被3GPPSA(3rd Generation Partnership Project)全会通过，成为3GPPLTE第三套加密标准核心算法。

数据安全政策性利好，供给侧与需求侧态势不明

2021年数据分类分级、敏感数据识别呈现出“政策面黑云压城、供给侧与需求侧欲说还休”态势。数据安全的概念提了多年，广大厂商围绕终端、网络与云端提供了诸如终端数据防泄露、数据敏感数据检测、网络数据防泄露、网络流量监测、云端敏感数据监测、数据资产地图等各类解决方案与产品，也确实从数据层面加强了安全防护，但上述安全措施，还依然是从数据载体入手，采用关键字匹配的传统识别敏感数据，这种方式的缺点十分明显，敏感数据识别率低、误报率高、漏报率高，问题突出、短板显著。

2020年发布的《国务院关于构建更加完善的要素市场化配置体制机制的意见》、2021年发布的《中华人民共和国数据安全法》等法律政策，更为数据安全管理提供了政策性利好，但数据安全的基础是数据分类分级、数据分类分级的基础是敏感数据识别、敏感数据识别的基础是人工智能，从此逻辑看来，采用人工智能技术实现低成本、高准确率的识别敏感数据，才是实现数据分类分级、数据安全管控有效落地的牛耳。但从2021年来看，采用人工智能技术识别敏感数据，落地成本、进入门槛依然较高，2022年能否破解这个难题，还需要拭目以待。

参考文献

开展侵害用户权益整治行动 工信部下架540款APP

http://www.gov.cn/xinwen/2021-11/18/content_5651583.htm

王俊，田永春.移动通信安全技术发展综述[J].通信技术，2021，54（10）：2291-2300.

北京市大力推行“政务服务+区块链” 以更优质高效服务助力建设国际一流营商环境

http://www.gov.cn/xinwen/2020-10/10/content_5549847.htm。

密码发展史之近现代密码 国家密码管理局

https://sca.gov.cn/sca/zxfw/2017-04/24/content_1011711.shtml

诸子笔会 |12月征文合集《总结报告》

刘志诚：从业务视角看安全团队工作年度总结

诸子笔会 |11月征文合集《供应链安全》

诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在