近日,中國電腦學會(CCF)電腦保安專委會來自國家網絡安全主管部門、高校、科研院所、國有企業及民營企業界的專家學者,投票評選出了2024年網絡安全十大發展趨勢。
趨勢一:人工智能安全技術成為研究焦點
人工智能(AI)技術是當前科學與工程研究的一大熱點,以ChatGPT為代表的生成式人工智能技術帶來了通用人工智能(AGI)的曙光。隨著人工智能技術在眾多領域的深入套用,網絡安全和數據安全的問題也日益突出。網絡攻擊的方式和手段,在人工智能技術的推動下也在不斷演變,呈現出分布式、智能化和自動化的特點;與此同時,人工智能訓練和套用過程中,會遇到數據非法獲取、數據濫用、演算法偏見與歧視以及敏感數據泄露等安全問題。2023年11月,包括中國、美國與歐盟在內的28個國家代表,在全球首屆AI安全峰會中簽署了【布萊切利宣言】,一致同意加強國際合作,建立面向人工智能的監管框架。在這種背景下,人工智能安全技術正在被全球監管機構、行業參與者和工業界持續關註和積極參與。
趨勢二:網絡安全基礎設施和公共安全服務內容將得到加強
國內外學界已經不斷就網絡安全的公共服務內容進行深入討論,並逐步擴大了將網絡安全視為社會公共服務觀點的影響力。在數碼技術不斷重塑經濟和社會的背景下,網絡安全的公共安全內容、非排他性和外部性不斷凸顯。面對迅速蔓延的網絡安全威脅,單靠傳統的網絡安全責任機制加市場化供應模式,已逐漸難以有效應對網絡安全治理問題。因此,借鑒公共安全治理模式以推進網絡安全公共安全服務機制的形成變得極為重要。展望2024年,網絡安全基礎設施作為國家安全體系的基礎組成部份,其協同運作的模式預計將得到進一步加強,而網絡安全的公共服務化也將成為網絡空間治理的新趨勢和新模式。
趨勢三:生成式人工智能在網絡安全領域套用效果初顯
2023年3月,微軟公司宣布推出Microsoft Security Copilot,作為生成式人工智能在網絡安全領域的一個典型代表,它能夠利用大型語言模型的強大表達能力和專用安全模型的專業知識,實作對復雜多變的網絡安全環境的深度理解和智能決策,生成適合的防禦措施和修復方案,並自動執行或輔助專業人員完成相關任務。隨著大語言模型與多模態技術的日益融合加速,預計生成式人工智能將在威脅檢測與響應、自動化安全防護與修復、即時威脅情報與預測,以及自適應安全策略與防禦、人機協同防禦等多個方面發揮更大的作用。2024年,預計生成式人工智能技術將在網絡安全領域得到廣泛套用並初步展現其顯著效能。
趨勢四:供應鏈安全管理的重要性日益凸顯
隨著經濟全球化和資訊科技的快速發展,網絡產品和服務的供應鏈已演變為全球性的復雜網絡結構。供應鏈安全問題已不僅限於產品範疇,而是波及到整個供應鏈的各個環節。統計顯示,2023年,受供應鏈安全威脅和風險攻擊的比例高達所有網絡攻擊的一半,同比增長78%,而專業人士中有高達80%的人預計,在未來三年內,供應鏈攻擊將成為企業面臨的最大網絡威脅之一。隨著關鍵資訊基礎設施安全保護條例、網絡安全審查辦法等相關法律法規的制定和施行,對供應鏈安全提出了更高標準的規定與要求。在數碼化轉型的大背景下,供應鏈安全不僅關系到企業的正常營運和發展,也是國家的網絡空間安全和社會穩定的基石。可以預見,隨著安全技術的不斷完善和發展,供應鏈安全管理的戰略地位將日漸上升,其重要性也將更加凸顯。
趨勢五:私密計算成為學術和產業界共同關註的焦點
隨著網絡安全法、個人資訊保護法、密碼法、數據安全法、民法典等多部與數據安全相關的法律法規落地實施,中國形成了較為完備的數據安全法律體系。在此體系基礎上,私密計算得到了政策和市場需求的雙重推動,產業正處於快速增長階段。尤其在數據要素加速開放共享的新形勢下,私密計算正成為支撐數據要素流通的核心技術基礎設施。該領域的技術,如聯邦學習、多方安全計算、可信執行環境等,在確保數據不泄漏、限定數據處理目的方面具有原生的優勢。據預測,私密計算將在2024年獲得學術界與產業界更廣泛的關註,並在相關技術研究中占據重要地位。
趨勢六:勒索軟件攻擊依然是最普遍的網絡威脅形式
在全球經濟發展不景氣和地緣政治動蕩的雙重影響下,網絡犯罪團伙持續湧入勒索軟件攻擊領域以掠取豐厚的非法利潤。勒索軟件攻擊不僅危害個人使用者的私密和財產,還可能影響政府、醫療、教育等機構和企業的正常執行,甚至威脅到國家安全和社會穩定。隨著勒索軟件即服務(RaaS) 營運模式不斷成熟和勒索軟件構件(IABs)的興起,勒索軟件的門檻和成本顯著下降,勒索攻擊活動更為猖獗。據2023年數據顯示,全球共發生了4832起勒索軟件攻擊事件,較前一年增加了83%,且呈現出全球迅速擴散的趨勢。展望2024年,網絡安全將面臨著嚴峻的挑戰,隨著黑客組織不斷更新和改進攻擊策略和技術,如智能化、多重勒索常態化等,新一代的勒索軟件攻擊會變得更加難以預防和處置。
趨勢七:高級持續性威脅( APT)攻擊成為網絡空間突出風險源
在全球網絡空間博弈日益激烈和國際局勢不穩定的背景下,組織化程度高、策劃及執行效率出眾、目標針對性明確的網絡攻擊活動更為頻繁。作為一種針對特定目標的復雜、隱蔽和持久的網絡攻擊手段,高級持續性威脅(APT)攻擊近年來已演化為集各種社會工程學攻擊與零日漏洞利用的綜合體,成為了最嚴峻的網絡空間安全威脅之一。據統計,2023年上半年, MITRE跟蹤的138個APT組織中約有41個(約 30%)處於活躍狀態,全年全球安全廠商共披露了30余個APT組織,表明APT活動呈現持續上升趨勢。未來,APT攻防較量更趨復雜,同時APT事件的調查與應對趨向政治化,這無疑將在網絡空間與現實地緣政治交融中構成新的風險點。
趨勢八:國產密碼技術廣泛套用
密碼技術作為中國網絡與數據安全的戰略性核心技術,是國家安全的基礎支撐。得益於國家政策的有力支持,中國的密碼技術始終保持持續發展勢頭,無論是在密碼演算法、密碼芯片、密碼產品還是密碼服務等方面,均取得了重大的技術進展,逐步構建了一套相對完善的商用密碼體系,並贏得了國際認可。近年來,在網絡安全法、密碼法、關鍵資訊基礎設施安全保護條例等政策法規的驅動下,中國密碼行業正向著成熟與規範化方向穩步邁進。隨著國家「十四五」規劃及其他一系列促進數碼化發展戰略的深入實施,我們預計國產密碼技術將在基礎資訊網絡、關乎國計民生的重要資訊系統、重要工業控制系統以及面向社會服務的政務資訊系統中實作更為廣泛的推廣與套用。
趨勢九:關鍵資訊基礎設施保護成為行業新的增長點
關鍵資訊基礎設施是經濟社會執行的神經中樞,是網絡安全的重中之重,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益。各行各業正逐漸意識到保護關鍵資訊基礎設施的重要性。隨著相關國家政策和標準的實施推行,中國對於關鍵資訊基礎設施的保護工作將迎來新的發展格局。這些法規為相關產業帶來了發展的新空間和商機。據預測,到2024年,中國對關鍵資訊基礎設施保護的需求將保持增長趨勢,尤其在網絡安全建設方面,國家重要行業及關鍵領域的資金投入預計將顯著提升。
趨勢十:個人資訊保護力度將持續加強
隨著網絡技術的發展和普及,個人資訊的收集、使用乃至濫用問題日益突出,個人資訊保護不只關乎個人私密權益,也事關國家安全層面,成為全球普遍關註的議題。自個人資訊保護法、數據出境安全評估辦法、個人資訊出境標準合約辦法等個人資訊保護相關法律法規釋出施行,中國構建起較為完善的個人資訊保護體系。2023年8月,國家網信辦釋出【個人資訊保護合規審計管理辦法(征求意見稿)】,進一步凸顯出持續加強個人資訊保護立法與監管的趨勢。同時,加密技術、匿名化處理、人工智能和區塊鏈等創新技術的套用,在辨識和防範數據泄露和私密侵犯方面也發揮著越來越重要的作用。未來,隨著法律法規的逐步完善、公眾意識的提高和技術的發展,個人資訊保護的力度預計將持續加強。(李濤)
編輯:李保金