文/本刊記者 高明

2021年，全球網(wǎng)絡(luò)安全領(lǐng)域發(fā)生了眾多引人關(guān)注的事件——國內(nèi)國外法律法規(guī)條例密集出臺，不斷加強網(wǎng)絡(luò)安全的法律保障；大規(guī)模斷網(wǎng)事件頻發(fā)，廣大用戶深受影響；而關(guān)鍵信息基礎(chǔ)設(shè)施的屢遭攻擊與波及全球的Log4j2漏洞，也引發(fā)了各界對于未來網(wǎng)絡(luò)安全形勢的擔(dān)憂。面對日益嚴峻的網(wǎng)絡(luò)安全形勢，無論政府還是個人，未來都需要進一步加強防護措施并強化安全意識。

相關(guān)法律密集出臺，法律保障不斷增強

國內(nèi)法律法規(guī)密集頒布實施

2021年，國內(nèi)數(shù)據(jù)安全領(lǐng)域密集頒布實施了多項法律法規(guī)政策，同時，數(shù)百款涉嫌違規(guī)收集個人信息的App也因未按要求進行整改而被下架，顯示出我國網(wǎng)絡(luò)安全治理力度的不斷強化。2021年個人數(shù)據(jù)與信息得到進一步全方位保護，主要得益于《數(shù)據(jù)安全法》和《個人信息保護法》的頒布與實施。

此外，國家網(wǎng)信辦等部門在2021年也陸續(xù)發(fā)布了《關(guān)于加強網(wǎng)絡(luò)直播規(guī)范管理工作的指導(dǎo)意見》《互聯(lián)網(wǎng)用戶公眾賬號信息服務(wù)管理規(guī)定》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》等意見和規(guī)定，旨在維護公民在網(wǎng)絡(luò)空間的合法權(quán)益。

在醫(yī)療行業(yè)、金融行業(yè)和交通運輸行業(yè)，《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》《征信業(yè)務(wù)管理辦法》《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》等數(shù)項行業(yè)級標(biāo)準與辦法的相繼執(zhí)行，也進一步強化了個人信息安全和合法權(quán)益的保護。

《中華人民共和國數(shù)據(jù)安全法》

《中華人民共和國數(shù)據(jù)安全法》由全國人大常委會于2021年6月10日通過，自2021年9月1日起實施，旨在保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展。

《中華人民共和國個人信息保護法》

《中華人民共和國個人信息保護法》由中華人民共和國第十三屆全國人民代表大會常務(wù)委員會第三十次會議于8月20日通過，于2021年11月1日起開始實施，旨在保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用。

各國法規(guī)條例相繼出臺

2021年，國外各國政府也陸續(xù)出臺了相關(guān)法律和條例。美國相繼發(fā)布和通過《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》規(guī)則、《促進數(shù)字隱私技術(shù)法案》《美國網(wǎng)絡(luò)安全素養(yǎng)法案》《K12網(wǎng)絡(luò)安全法》等眾多網(wǎng)絡(luò)安全領(lǐng)域法案，旨在強化網(wǎng)絡(luò)安全保障和提高美國民眾的網(wǎng)絡(luò)安全意識與數(shù)據(jù)安全知識。

歐盟也發(fā)布《電子隱私條例（草案）》《網(wǎng)絡(luò)犯罪公約》第二附加議定書草案的聲明等一系列法規(guī)條例，強調(diào)網(wǎng)絡(luò)安全和數(shù)據(jù)保護。除此之外，其他各國也在積極推動網(wǎng)絡(luò)安全相關(guān)立法建設(shè)，如韓國發(fā)布《個人信息保護法（修正案草案）》、英國發(fā)布《數(shù)字身份和屬性信任框架》、俄羅斯羅總統(tǒng)簽署《聯(lián)邦行政犯罪法》修正案等，都表明各國政府對于保障網(wǎng)絡(luò)安全的高度重視。

大規(guī)模斷網(wǎng)事件頻發(fā)，廣大用戶深受影響

隨著全球數(shù)字化進程加快，人們對于網(wǎng)絡(luò)的依賴程度越來越高，因而保障網(wǎng)絡(luò)的穩(wěn)定和通暢也變得格外重要。但在過去的一年，全球范圍內(nèi)卻發(fā)生了數(shù)次大規(guī)模斷網(wǎng)事件，使得廣大用戶受到了嚴重影響。

2021年6月8日，全球主要內(nèi)容分發(fā)網(wǎng)絡(luò)Fastly CDN出現(xiàn)持續(xù)一小時的中斷，導(dǎo)致使用其CDN的網(wǎng)站全線崩潰，包括亞馬遜、谷歌、eBay等數(shù)十個大型網(wǎng)站。

Fastly工程與基礎(chǔ)設(shè)施高級副總裁尼克·羅克韋爾發(fā)文稱，“此次中斷是由Fastly的一個客戶配置變更觸發(fā)了一個未被發(fā)現(xiàn)的軟件漏洞，導(dǎo)致了其85%的網(wǎng)絡(luò)出現(xiàn)返回錯誤現(xiàn)象。”

2021年6月17日，由于為企業(yè)提供網(wǎng)絡(luò)和內(nèi)容交付服務(wù)CDN的互聯(lián)網(wǎng)安全公司Akamai的DDoS緩解服務(wù)故障，導(dǎo)致澳大利亞和美國數(shù)十家金融機構(gòu)和航空公司的網(wǎng)站宕機長達一小時。

2021年7月22日，由于Akamai的DNS服務(wù)出現(xiàn)問題，全美再次出現(xiàn)重大斷服斷網(wǎng)事件，導(dǎo)致一些重要的網(wǎng)站和在線服務(wù)均無法訪問，受此事件影響的公司涉及全球范圍內(nèi)金融、航空、物流、消費等行業(yè)和領(lǐng)域，此次故障原因為“軟件配置更新觸發(fā)了DNS系統(tǒng)的一個錯誤，該系統(tǒng)引導(dǎo)瀏覽器進入網(wǎng)站。這導(dǎo)致了影響一些客戶網(wǎng)站可用性的中斷?！?/p>

2021年10月4日，社交網(wǎng)絡(luò)Facebook及其子公司Messenger、Instagram和WhatsApp全球無法使用長達7個小時，經(jīng)歷了整個互聯(lián)網(wǎng)史上最大的一次中斷，波及數(shù)十億用戶。

Facebook在其推特上發(fā)表官方聲明稱，“調(diào)度數(shù)據(jù)中心之間流量的骨干網(wǎng)路由器配置變化造成了這次通訊中斷，這種網(wǎng)絡(luò)流量中斷對數(shù)據(jù)中心的通信產(chǎn)生了連鎖效應(yīng)，最終導(dǎo)致服務(wù)宕機?！?/p>

2021年10月25日，韓國三大通信服務(wù)提供商之一的韓國電信公司的有線及無線等網(wǎng)絡(luò)服務(wù)突然中斷，造成韓國在全國范圍內(nèi)出現(xiàn)持續(xù)約1小時的大面積網(wǎng)絡(luò)服務(wù)中斷，包括證券交易系統(tǒng)，飯店結(jié)算系統(tǒng)以及手機信號等服務(wù)均受到嚴重影響，對韓國的企業(yè)和民眾造成極大困擾。

此次事件由更換路由器引發(fā)，技術(shù)人員在更換企業(yè)路由器后漏掉了一個命令詞，并且由于韓國電信公司缺乏相關(guān)的安全裝置，導(dǎo)致全國網(wǎng)絡(luò)癱瘓。

雖然Fastly和Akamai所提供的服務(wù)能夠為用戶帶來更快捷、便利和安全的互聯(lián)網(wǎng)內(nèi)容體驗，但隨之而來的問題是，作為互聯(lián)網(wǎng)終端用戶和服務(wù)器之間的橋梁，一旦這座橋梁發(fā)生問題，雙方之間的連接也會就此中斷。

并且，由于越來越多的互聯(lián)網(wǎng)內(nèi)容提供方正在過于集中依賴少數(shù)類似Fastly與Akamai這樣的中間云服務(wù)提供商，因而當(dāng)提供互聯(lián)網(wǎng)底層服務(wù)的單個公司出現(xiàn)短時故障時，將導(dǎo)致大規(guī)模用戶的互聯(lián)網(wǎng)服務(wù)受到影響。而隨著云服務(wù)市場集中度的不斷提高，這樣的潛在風(fēng)險也正在不斷加劇。

Facebook斷網(wǎng)事件再次表明了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的脆弱性、緊耦合以及自動化運行的嚴重問題。在APNIC首席科學(xué)家杰夫·休斯頓看來，此次事件帶來了一些啟示，即對每一個配置更新進行演習(xí)，并始終有一個退出計劃；同時，必須謹慎地在DNS上使用簡短TTL；并且，不要將所有權(quán)威DNS域名服務(wù)器放在一個單獨服務(wù)器中；此外，要從生產(chǎn)服務(wù)中分離出控制平面，即便發(fā)生服務(wù)故障，也始終能夠訪問服務(wù)；最后，不要片面地追求高速和突破，也要考慮彈性。

韓國電信公司斷網(wǎng)事件則凸顯了安全防范制度的重要性。即便技術(shù)架構(gòu)再完善，人為的問題也會繞過一切冗余機制，導(dǎo)致故障發(fā)生。因而,提高前期投入，做足各項預(yù)案和準備，完善安全管理體制機制，才能進一步減少事故發(fā)生概率。

全球網(wǎng)絡(luò)攻擊頻繁，安全形勢不容樂觀

關(guān)鍵信息基礎(chǔ)設(shè)施屢遭攻擊

2021年多國基礎(chǔ)設(shè)施和重要信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊，給各國的安全穩(wěn)定帶來巨大風(fēng)險。其中，勒索軟件攻擊成為主要威脅，并呈現(xiàn)出破壞涉及行業(yè)領(lǐng)域增多、索要贖金增長、破壞后果嚴重等特點。

金融、交通、醫(yī)療、能源等領(lǐng)域和行業(yè)都成為勒索攻擊的目標(biāo)，比如，美國油管道運營商科洛尼爾管道運輸公司遭受勒索攻擊，引發(fā)美國東海岸大面積燃油斷供；愛爾蘭衛(wèi)生服務(wù)主管部門遭遇勒索軟件攻擊，被迫暫時關(guān)閉IT系統(tǒng)，致使多家醫(yī)院運營受到影響；伊朗鐵路遭受網(wǎng)絡(luò)攻擊，導(dǎo)致數(shù)百輛列車被延誤或取消。

對此，全球各國在大幅增加關(guān)鍵基礎(chǔ)設(shè)施安全防護資金投入的同時，也相繼推出多部文件和政令來強化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護，比如美國發(fā)布《CISA全球參與》文件、《關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)安全的國家安全備忘錄》、歐盟也發(fā)布《歐盟安全聯(lián)盟戰(zhàn)略》、澳大利亞政府提出了關(guān)鍵基礎(chǔ)設(shè)施提升計劃(CI-UP)等。我國也出臺了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，為開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供了基本遵循。

Apache Log4j2漏洞波及全球網(wǎng)絡(luò)

同往年相比，2021年漏洞數(shù)量增長放緩，但這并不意味來自互聯(lián)網(wǎng)的危害因此而降低。相反，網(wǎng)絡(luò)攻擊的數(shù)量呈現(xiàn)出顯著上升的趨勢，這一趨勢在年底達到了歷史最高水平，于2021年12月10日公開披露的Apache Log4j2漏洞則是其中的主要原因。

Log4j2漏洞駐留在無處不在的Java日志庫Apache Log4j中，該漏洞是由于Log4j2在處理程序日志記錄時存在JNDI注入缺陷。同時，由于該漏洞位于與許多其他軟件包捆綁在一起的核心庫中，也使修復(fù)變得更加復(fù)雜。而基于該漏洞的性質(zhì)，一旦攻擊者完全訪問和控制了一個應(yīng)用程序，就可以執(zhí)行無數(shù)攻擊目標(biāo)。

許多企業(yè)和政府機構(gòu)網(wǎng)絡(luò)都已遭遇了漏洞利用攻擊。比利時國防部就已宣布他們遭受了基于該漏洞的嚴重的網(wǎng)絡(luò)攻擊，強烈的網(wǎng)絡(luò)攻擊導(dǎo)致比利時國防部的一些活動癱瘓，如其郵件系統(tǒng)就已經(jīng)停機了數(shù)天。

Log4j2漏洞目前已經(jīng)成為一個全球性的網(wǎng)絡(luò)安全問題，而鑒于該漏洞的普遍性和易于利用性，全球未來可能需花費數(shù)月甚至數(shù)年時間才能完全解決這一隱患。

2022年，網(wǎng)絡(luò)安全形勢依舊不容樂觀，在加強安全防護之余，提升網(wǎng)絡(luò)安全素養(yǎng)也變得更為關(guān)鍵和重要。