全球进入数字化时代以来，网络安全问题愈演愈烈。数字化的本质是软件重新定义世界，而数字化的三大特征正在引发网络世界的危机。

首先，一切皆可编程，漏洞无处不在。网络安全威胁80%以上源于漏洞，漏洞不可避免，却又无处不在，并且技术越复杂漏洞越多，当下利用安全设备漏洞制造威胁已成为趋势。在全球开源软件广泛使用的背景下漏洞众多，据不完全统计，每千行代码中就有4-6个漏洞，每个代码库中约有158个漏洞。软硬件设计缺陷导致的安全漏洞也不可避免，信息产品供应链、生态圈中软硬件后门无法杜绝。另外，新技术出现后一定有漏洞，且新技术使用的越多，漏洞越多。

2021年5月，高通的MSM芯片被爆存在高危安全漏洞（CVE-2020-11292），作为手机芯片大厂，该漏洞让全球40%的手机用户身临险境。与此同时，戴尔披露其电脑的固件升级驱动程序中存在一个潜伏了长达12年的高危漏洞，该高危漏洞由访问控制不足引起，涉及全球数亿台电脑。

然后，万物均要互联。物联网终端数量巨大，单点防护难以为继，致使全球范围内遭受网络威胁的目标正在呈现指数级增长，可攻击的暴露面呈几何级扩大。当物理世界和虚拟世界打通后，网络攻击便能够转化为物理伤害，且网络攻击路径变化多端，攻击链更加隐蔽复杂，这就使得物理隔离形同虚设，防护边界越来越淡化。

2021年3月，黑客组织攻陷摄像头供应商Verkada，获得了管理员访问权限，特斯拉以及美国警方、医院和学校等15万多个监控摄像数据遭泄露。黑客组织甚至威胁到了国家层面，2020年5月，委内瑞拉国家电网干线工控系统遭到网络攻击，造成全国大面积停电，除首都加拉加斯外，全国11个州府均发生停电。

随着社会需求日益丰富，信息技术“被迫”加速迭代，系统、数据上云，多云/混合云导致物理边界模糊，生产网、工控设备介入互联网导致内外边界模糊，远程办公、BYOD设备、供应商、合作伙伴、C端用户等公共网络访问导致防护边界难以定义，网络边界日益模糊。

那么如果是内网中的行为就一定是合法的吗？显然不会。黑客会利用社会工程学寻找攻击目标，而家家户户都装有的漏洞百出的智能家电就可以给黑客们提供这样的机会。他们首先会利用智能家电的漏洞入侵到家庭局域网中，当用户手机与智能家电通信时便会被植入恶意木马，进而获取手机权限，然后利用用户的合法身份登录到企业内网中，进入业务服务器，发送指令到工控机扰乱生产线，造成生产停摆。这是一场并不难想象的攻击，然而几乎没有人会意识到。

最后，业务将普遍由大数据驱动。对数据的攻击可直接造成业务瘫痪，数据越是高度集中，安全风险越大，数据生命周期的每个环节都将成为目标，而在海量数据中感知威胁如同大海捞针，因此数据安全变得前所未有的重要。

现代医学理论中，检验和影像是医疗判断的主要依据，检验和影像数据的正常运转直接关系到几乎所有诊疗医护业务，但是在数字化医院的建设中，检验和影像的网络安全关注十分有限。以前，攻击信息系统尚有恢复的可能，未来，攻击检验影像业务会直接威胁医院的正常运转，而医院一旦停摆，整座城市将陷入混乱。

数字化带来世界环境巨大变化，而安全则成为了数字化的底座。网络安全的定义早已不同以往，目前依赖的传统网络体系主要关注在信息技术安全与其产生的部分数据的安全上，国内头部的安全厂商也将战略演进方向定位在虚拟的网络空间安全上。随着数字化的到来，接下来3-5年内，网络安全应该从更加广阔的数字化安全视角上思考“大安全”的问题。

根据《网络安全法》中的定义，网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。从定义中可以看出，网络安全的两个重要特性是网络运行安全和网络信息安全。其中网络运行安全问题一般由社会工程学问题引发，比如安全意识差、误操作、信息泄露等，体现在三个层面，一是主机安全问题如系统漏洞、病毒、不安全服务、弱口令等，二是网络安全问题如DDOS攻击、网络延时、病毒入侵等，三是应用安全问题如代码后门、系统漏洞、弱口令、稳定性差等。而网络信息安全的常见问题如黑客窃取网站数据库信息、篡改网站主页、攻击网站致其无法被访问等，分别对应着保密性被破坏、完整性被破坏、可用性被破坏。

随着时代的发展，网络攻击的目的不断抬升，从最初的技术炫耀如“熊猫烧香”到获取经济利益，再到国家利益层面，如今的网络攻击甚至已经发展成为一国的“军事武器”。而攻击者不再单是个人黑客，大量有组织的的团体出现如APT攻击组织，甚至演变为国家化。网络安全的发展阶段也逐步由最初的通信安全到计算机安全，再由计算机安全到信息安全，最后到网络空间安全，范围越来越广阔，应对面越来越综合。2009年，美国网络司令部利用“震网”（Stuxnet）行动成功摧毁伊朗核设施中的1000台离心机，成为世界上首次通过虚拟空间对现实世界实施的攻击破坏。

通信安全始于20世纪40-70年代，主要关注传输过程中的数据保护，其核心思想是通过密码技术解决通信保密问题，保证数据的保密性和完整性，采取的安全措施就是加密。那个时代的安全威胁主要来自于搭线窃听、密码学分析等。而影响现代通信安全的因素越来越多，针对移动通信的伪基站、对通信链路的破坏、干扰等因素都会引发通信安全问题。

计算机安全出现在20世纪70-90年代，主要关注于数据处理和存储时的数据保护，其核心思想是预防、检测和减小计算机系统（包括软件和硬件）用户执行的未授权活动所造成的后果。面临的安全威胁主要是非法访问、恶意代码、脆弱口令等。防护者一般通过操作系统的访问控制技术来防止非授权用户的访问。当前计算机病毒依然存在且危险，传播途径更加丰富，如勒索病毒就可以通过对文件加密进行勒索入侵。

信息安全出现于20世纪90年代后，主要关注信息系统整体安全，重点在于保护比“数据”更精炼的“信息”。其安全威胁主要来自网络入侵、病毒破坏、网页篡改等。可采取的安全措施大多是防火墙、病毒扫码、入侵检测、入侵防护等。把信息系统安全从技术扩展到管理，从静态扩展到动态，通过技术、管理、工程等措施的综合融合至信息化中，形成对信息、信息系统乃至业务使命的保障。

网络空间安全已是现代意义上的“网络安全”。互联网已经将传统的虚拟世界与物理世界相互连接，形成网络空间。网络空间安全涵盖所有信息网络基础设施和环境设施的软件、硬件设备及数据安全，包括互联网、广播电视网、电信网、物联网、工业互联网等安全，强调“威慑”、“对抗”、“不对称”属性，注重态势感知、AI对抗、“零信任”策略，其目标是将防御、威慑和利用结合成三位一体的网络空间安全保障。

据360公司报告显示，美国中央情报局的网络攻击组织“APT-C-39”曾对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击，严重损害中国的国家安全、经济安全、关键基础设施安全和广大民众的个人信息安全。尽管网络安全问题常见于数据安全、邮件安全、系统漏洞、弱口令、人员管理、计算机病毒等，但系统漏洞是网络攻击更多采取的途径。

所谓的系统漏洞（System vulnerabilities）是指应用软件或操作系统软件在逻辑设计上的缺陷或错误。按照危险程度可以分为高危、中危、低危漏洞。黑客利用系统漏洞随意进出网络并进行操作，可以盗取数据、瘫痪系统、悬挂反动图片等。另外，系统漏洞按照是否公开过又可以分为“0Day漏洞”和“1Day漏洞”。“0Day漏洞”是指那些没有公开过，因而也没有补丁的漏洞，通常称为“未公开漏洞”。“1Day漏洞”是指刚刚公开过，因为时间原因没有修复的漏洞，通常称为“最新漏洞”。境外黑客组织“奶茶联盟”恶意攻击篡改山东省菏泽市经济开发区市场监管局网站并张贴反动图片,利用的就是系统漏洞。

再以智能汽车领域为例。车联网架构复杂，协议众多缺乏统一标准，车载网络缺乏隔离，固件漏洞使得暴露面增多，智能网联化使汽车暴露于互联网，车辆近乎裸奔。而当下针对智能汽车的攻击手法趋于多样化。车主APP安全问题，TCU安全、TSP安全、IVI安全、中控系统安全……黑客一旦入侵车联网，可以造成远程车辆控制、车联网服务异常、信息泄露等，将对车主和车企造成重大损失。

近年来，网络安全事件频发，究其原因，可分为内外两点。内因包括内部安全机制缺失，各个设备及网络长期“裸奔”，采用弱口令、不安装杀毒软件、不对系统打补丁等等，没有采用必要的网络安全措施，或者人员意识薄弱，盲目的认为隔离网络是安全的，对网络安全法律缺乏认识，不注重网络安全风险管理，认为网络安全问题不会发生在自己身上。外因包括数字化的快速发展让真实世界与虚拟世界融为一体，相互影响，新型数字风险直接影响物理世界运行，或者是外部黑产组织为了攫取利益而利用互联网手段进行挖矿和破坏等的黑客活动。

以“挖矿”活动为例。众所周知，中本聪于2008年11月1日正式提出了比特币的概念，并于2009年1月3日开发出首个实现了比特币算法的客户端程序并进行了首次“挖矿”（mining）活动，获得了第一批的50个比特币，这也标志着比特币金融体系的正式诞生。之后随着比特币价格的持续走高，2021年11月10日达到6.89万美元，创下历史新高，投资收益巨大。而比特币是一种网络虚拟货币，是基于P2P形式的数字货币，比特币是通过特定算法获得答案后的一种奖励，其本质就是一串数字集合，是一对公钥和私钥地址，总量约为2100万个。那么如何获得比特币呢，答案就是“挖矿”。

“挖矿”其实就是哈希函数计算，要在单位时间内执行最多次算法，因此，“矿工”在互联网上拥有的设备越多，赢得比特币奖励的机会就越大，“挖矿”的本质是“矿工”之间的算力竞争，“挖矿木马”已经是黑产获利最丰厚的方式之一。

“挖矿木马”攻击者通常是为了尽量多的感染服务器、终端及有计算能力的设备，通过互联网扫描探测，发现漏洞/弱口令来获取目标服务器，进而攻击获取权限，上传挖矿木马，运行挖矿木马回连远控服务器下载组件和指令，启动挖矿活动，并自动攻击本地局域网设备。

可悲的是，据Avast（捷克的一家著名杀毒软件公司）调查显示，将近一半的人对“挖矿木马”的认知仍然停留在“一种占用本地资源进行挖矿获利的程序，缺少破坏性”的层面，然而通过近年对重要远控木马的样本分析，“挖矿木马”已经获得全面进化，成为信息安全的最大威胁之一。

“挖矿木马”可以跨平台攻击终端、主机、IoT设备等，窃取主机信息、账号信息、加密钱包、浏览器记录等，其具有无文件、随机性，可以控制资源占用、隐蔽通信、进程保护、反删除，并且为保持资源长期占用，“挖矿木马”集成远控技术、对抗技术来排斥对手。此外，“挖矿木马”会自动化攻击更多的服务器，利用漏洞和弱口令快速蔓延，受害者作为肉鸡，组成僵尸网络，长期受控，攻击者可以为所欲为。“挖矿”与黑产结合，可以达到更高层级的专业水平，堪比APT。而且“挖矿”活动带来的能源消耗巨大，既污染环境，又严重影响企业的计算性能，随时有泄露数据的风险，其生产的虚拟货币大多流向黑灰产行业，我国已经明令禁止挖矿行为。

2021年9月24日中国人民银行发布通知：虚拟货币扰乱经济金融秩序，滋生赌博、非法集资、诈骗、传销、洗钱等违法犯罪活动，严重危害人民群众财产安全。虚拟货币不具有与法定货币等同的法律地位。比特币、以太币、泰达币等虚拟货币具有非货币当局发行、使用加密技术及分布式账户或类似技术、以数字化形式存在等主要特点，不具有法偿性，不应且不能作为货币在市场上流通使用。同年11月国家发改委对国有单位涉及“挖矿”活动开展全面整治。江西省政协原党组成员、副主席肖毅滥用职权引进和支持企业从事不符合国家产业政策要求的虚拟货币“挖矿”活动，成为首位因“挖矿”活动而落马的高官。

更为严重的是，山东省公安厅在“净网2018专项行动”中破获部署“1.03”特大非法控制计算机信息系统案，犯罪团伙开发“挖矿程序”并伪装成“吃鸡”游戏外挂以及仿冒爱奇艺编写的“酷艺VIP”影视软件，通过云计算、显卡云计算等手段非法植入用户电脑进行控制，两年间共计掌握了3万多台主机进行后台静默挖矿任务。该犯罪团伙在两年间共挖取DGB币、DCR币、SC币2600余万枚，累计非法获利1500余万元。

除“挖矿”活动以外，勒索病毒也是黑产组织常用的攻击手段。勒索病毒是一种特殊的恶意软件，又被称为“阻断访问式”攻击。勒索软件与其他病毒最大的不同在于攻击手法和中毒方式，部分勒索软件仅是单纯地将受害者的电脑锁起来，而也有部分勒索软件会系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密秘钥以解密文件。

2017年3月14日，微软宣布发现了一个其操作系统windows 445端口的重要漏洞，并以异乎寻常的快速于3月16日发布了针对这个漏洞的补丁程序。一个月以后，4月14日，据称是美国国家安全局网络武器库的“永恒之蓝”被纰漏。又过了将近一个月，5月12日，勒索病毒“魔窟（WannaCry）”全球爆发。“魔窟”不分国别，不分对象，不管是基础设施还是工控系统，不管是政府团体用户还是个人用户都进行无差别的攻击。其在攻击中取得控制权后通过445端口向一个特定的地址进行查询；如果得到回传的信息则不进行任何动作，没有得到回传的信息则转到一个可执行文件，对受害人的文件利用非对称秘钥进行加密，完成后删除源文件，弹出要求以比特币付款的勒索对话框。

迄今为止全球最高赎金也是发生在美国。CNA Financial是美国最大的保险公司之一，2021年3月21日CNA的IT网络被部署了勒索软件，加密了15000台设备。起初CNA试图自行恢复数据，但在一周的失败尝试后，他们在3月底向黑客支付了4000万美元（约合2.5亿人民币）的赎金。这个金额超过了2020年网络攻击的最高赎金，也远高于2019年的最高赎金1500万美元。值得指出的是，2020年美国排行前十的勒索事件每件的赎金都在1500万美元之上。至此，全球最严重的和最高赎金的勒索攻击纪录，都被美国占有了。

勒索病毒也曾导致过患者死亡。2021年9月10日，德国杜塞尔多夫大学医院遭受勒索软件攻击，通过医院使用的商业软件漏洞，病毒感染了其网络上的30台服务器。 被攻击后，该医院的系统逐渐崩溃，医院的手术系统瘫痪，紧急手术也被推迟。由于IT系统中断，医院无法进行计划和门诊治疗以及急诊护理，那些急诊患者需要被转移到更远的医院接受治疗。一名患者因此错过了最佳抢救时间，最后不幸死亡。

最需要引起注意的是工业领域及制造业，由于正面临数字化转型，智能制造行业已经成为了勒索病毒主要的攻击对象。2020年公开发布的针对工业领域的勒索攻击事件共计33起,较2019年增长超3倍,事件数量远超2017-2019年的累计之和, 《针对工业控制系统的勒索软件攻击评估报告》显示,过去两年针对工业实体的勒索攻击暴增了500%以上,其中,制造业是发生勒索软件攻击事件最多的行业,攻击数量占比高达36%。台积电的三大厂区就曾遭遇勒索病毒攻击，事件发生后约40小时虽然已恢复八成正常生产状态，但受冲击的营收也比预期大，约为87亿新台币。

在勒索病毒面前，中招的往往是自认为安全的物理隔离系统，由于过度依赖所谓的物理隔离机制，长期以来忽视建立必要的防护措施或执行不力，有的甚至没有建立修补系统和程序漏洞、没有及时备份数据和程序、没有防止恶意代码入侵等最基本的安全防护机制。而事实证明，单纯依靠所谓的物理隔离是不能保证安全的。首先攻击不仅仅是来源自于系统之外，攻击行为还经常来自于内部；同时，利用基于声、光、电、热等媒介的跨网络攻击技术的发展也使得仅仅是不与外网直接连通，不能保证信息系统不遭到攻击。此外，在实际运行中，我们还要进行各种信息交换和传输，对一个信息系统进行彻底的物理隔离其实是做不到的，“没有不透风的墙”。

政企领域的常见网络安全威胁包括但不限于以下几点：修复率低仍然是政企系统的根本问题；勒索病毒由个人转向政企；DDoS攻击的规模扩大，技术手段升级；网络扫描事件大幅上升，恶意扫描数量增速加快；电子邮件成为最脆弱但最值得关注的安全领域；OA钓鱼-合法身份盗取政企信息很容易；无处不在的弱口令；中国是遭遇APT攻击最多的国家；无线网络私接热点，移动存储滥用预留威胁隐患；安全威胁不自知是最大的安全威胁。

那么如何做好网络安全防护呢？

首先应当梳理正确的网络安全观。网络安全是整体的不是割裂的，是动态的不是静态的，是开放的不是封闭的，是相对的不是绝对的，是共同的不是孤立的。

其次要压实安全责任落实相关法律要求。2017年8月15日由中共中央批准，中共中央办公厅发布了《党委（党组）网络安全工作责任制实施办法》。《办法》强调网络安全工作事关国家安全、证券安全和经济社会发展。领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接负责人。有违法违规行为的，各级党委党组应当逐级倒查，追究当事人、网络安全负责人直至主要负责人责任。协调监管不力的，还应当追究综合协调或监管部门负责人责任。

然后要加强企业安全管理建议。在组织、人员、项目上以及资产、制度、流程、策略上协调网络安全生产和企业安全生产，加强网络安全投入，构建网络安全文化，提升全员安全意识与责任意识，梳理信息化资产管理，完善网络安全的制度文件，规范管理流程和安全设备策略。

还要加强企业安全技术防范，做到“一改、二关、三修复、四备份”。“一改”是指对于特别重要的系统和设备的口令要复杂并定期修改。建议字母、数字、特殊符号相结合，10位以上。“二关”是指关闭高危端口如135/139/445/3389等，也要关闭网络共享功能。“三修复”是指定期扫描漏洞，对存在高危漏洞的系统或者设备进行修复。“四备份”是指做好重要数据备份工作，并检验备份数据的可用性。

最后要做好应急处置预案。以“挖矿木马”为例，应及时对感染的电脑进行断网处理，部署专业杀毒软件进行全面扫描，请专业人员对感染机器进行进一步处置，并排查网络内其他机器。另外，如果遭遇勒索病毒，要紧急断网以防止病毒扩散，及时向上级单位报告，寻求专家支持，同时应尽快确定是被哪个勒索病毒家族感染的，是否有解密秘钥，在做好证据收集备份后，开展进行数据恢复工作，最后也要排查网络内其他机器。

2016年4月19日的网络安全和信息化工作座谈会上习总书记提到：“网络安全是动态的而不是静态的。信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，那种依靠几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。”

身处数字时代，我们应当培养全新的安全认知。网络安全的本质在于对抗，对抗的本质在于攻防两端的能力较量。复杂系统安全防护需要系统思维，需要做好体系化顶层设计。安全体系建设的核心目标是获得能力、积累能力、提升能力、输出能力。没有全局的协同联防就没有局部安全，协同联防的前提是连接。

身处数字时代，我们应当建立适应时代的安全方法论。基础设施是持续沉淀和积累安全能力的载体，安全能力的提升离不开基础设施的持续运营。另外，实网攻防是检验安全能力的唯一标准，大数据是应对网络威胁的基础，情报和知识是打通安全体系的关键。安全运营需要平战结合，平时持续安全保障，战时处置高级威胁。不容忽视的一点是，安全专家是攻防对抗的决胜因素，标准是互联互通、协同联防的保障。

身处数字时代，我们应当树立以构建能力为核心的安全理念。安全能力（动态的评估安全能力成熟度）=（资源（安全相关可用数据资源如漏洞、情报等）+技术（安全相关可用技术工具如安全产品等）+管理（安全相关可用规则流程如组织管理体系等））×执行（安全相关可用持续运营保障如团队的实时执行、应急响应）。

数字化正在给世界环境带来巨大变化，安全已然成为了数字化的底座，我们需要做的就是认识数字世界网络风险，共同维护网络安全。