近日,中國計算機學(xué)會(CCF)計算機安全專委會來自國家網(wǎng)絡(luò)安全主管部門�����、高校、科研院所�����、國有企業(yè)及民營企業(yè)界的專家學(xué)者���,投票評選出了2024年網(wǎng)絡(luò)安全十大發(fā)展趨勢。
趨勢一:人工智能安全技術(shù)成為研究焦點
人工智能(AI)技術(shù)是當(dāng)前科學(xué)與工程研究的一大熱點,以ChatGPT為代表的生成式人工智能技術(shù)帶來了通用人工智能(AGI)的曙光�����。隨著人工智能技術(shù)在眾多領(lǐng)域的深入應(yīng)用��,網(wǎng)絡(luò)安全和數(shù)據(jù)安全的問題也日益突出�����。網(wǎng)絡(luò)攻擊的方式和手段,在人工智能技術(shù)的推動下也在不斷演變�����,呈現(xiàn)出分布式�����、智能化和自動化的特點;與此同時��,人工智能訓(xùn)練和應(yīng)用過程中�����,會遇到數(shù)據(jù)非法獲取、數(shù)據(jù)濫用����、算法偏見與歧視以及敏感數(shù)據(jù)泄露等安全問題�����。2023年11月,包括中國���、美國與歐盟在內(nèi)的28個國家代表�����,在全球首屆AI安全峰會中簽署了《布萊切利宣言》����,一致同意加強國際合作���,建立面向人工智能的監(jiān)管框架。在這種背景下��,人工智能安全技術(shù)正在被全球監(jiān)管機構(gòu)、行業(yè)參與者和工業(yè)界持續(xù)關(guān)注和積極參與���。
趨勢二:網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和公共安全服務(wù)屬性將得到加強
國內(nèi)外學(xué)界已經(jīng)不斷就網(wǎng)絡(luò)安全的公共服務(wù)屬性進行深入討論�,并逐步擴大了將網(wǎng)絡(luò)安全視為社會公共服務(wù)觀點的影響力。在數(shù)字技術(shù)不斷重塑經(jīng)濟和社會的背景下��,網(wǎng)絡(luò)安全的公共安全屬性��、非排他性和外部性不斷凸顯。面對迅速蔓延的網(wǎng)絡(luò)安全威脅����,單靠傳統(tǒng)的網(wǎng)絡(luò)安全責(zé)任機制加市場化供應(yīng)模式���,已逐漸難以有效應(yīng)對網(wǎng)絡(luò)安全治理問題�。因此�,借鑒公共安全治理模式以推進網(wǎng)絡(luò)安全公共安全服務(wù)機制的形成變得極為重要�。展望2024年,網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施作為國家安全體系的基礎(chǔ)組成部分,其協(xié)同運作的模式預(yù)計將得到進一步加強����,而網(wǎng)絡(luò)安全的公共服務(wù)化也將成為網(wǎng)絡(luò)空間治理的新趨勢和新模式��。
趨勢三:生成式人工智能在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用效果初顯
2023年3月���,微軟公司宣布推出Microsoft Security Copilot���,作為生成式人工智能在網(wǎng)絡(luò)安全領(lǐng)域的一個典型代表�,它能夠利用大型語言模型的強大表達能力和專用安全模型的專業(yè)知識���,實現(xiàn)對復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境的深度理解和智能決策,生成適合的防御措施和修復(fù)方案���,并自動執(zhí)行或輔助專業(yè)人員完成相關(guān)任務(wù)��。隨著大語言模型與多模態(tài)技術(shù)的日益融合加速��,預(yù)計生成式人工智能將在威脅檢測與響應(yīng)���、自動化安全防護與修復(fù)����、實時威脅情報與預(yù)測����,以及自適應(yīng)安全策略與防御����、人機協(xié)同防御等多個方面發(fā)揮更大的作用��。2024年��,預(yù)計生成式人工智能技術(shù)將在網(wǎng)絡(luò)安全領(lǐng)域得到廣泛應(yīng)用并初步展現(xiàn)其顯著效能����。
趨勢四:供應(yīng)鏈安全管理的重要性日益凸顯
隨著經(jīng)濟全球化和信息技術(shù)的快速發(fā)展�,網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈已演變?yōu)槿蛐缘膹?fù)雜網(wǎng)絡(luò)結(jié)構(gòu)。供應(yīng)鏈安全問題已不僅限于產(chǎn)品范疇����,而是波及到整個供應(yīng)鏈的各個環(huán)節(jié)。統(tǒng)計顯示����,2023年�����,受供應(yīng)鏈安全威脅和風(fēng)險攻擊的比例高達所有網(wǎng)絡(luò)攻擊的一半,同比增長78%,而專業(yè)人士中有高達80%的人預(yù)計��,在未來三年內(nèi)�,供應(yīng)鏈攻擊將成為企業(yè)面臨的最大網(wǎng)絡(luò)威脅之一����。隨著關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例�����、網(wǎng)絡(luò)安全審查辦法等相關(guān)法律法規(guī)的制定和施行����,對供應(yīng)鏈安全提出了更高標準的規(guī)定與要求。在數(shù)字化轉(zhuǎn)型的大背景下�,供應(yīng)鏈安全不僅關(guān)系到企業(yè)的正常運營和發(fā)展�,也是國家的網(wǎng)絡(luò)空間安全和社會穩(wěn)定的基石����。可以預(yù)見���,隨著安全技術(shù)的不斷完善和發(fā)展�,供應(yīng)鏈安全管理的戰(zhàn)略地位將日漸上升�����,其重要性也將更加凸顯�。
趨勢五:隱私計算成為學(xué)術(shù)和產(chǎn)業(yè)界共同關(guān)注的焦點
隨著網(wǎng)絡(luò)安全法����、個人信息保護法���、密碼法����、數(shù)據(jù)安全法��、民法典等多部與數(shù)據(jù)安全相關(guān)的法律法規(guī)落地實施����,我國形成了較為完備的數(shù)據(jù)安全法律體系�。在此體系基礎(chǔ)上,隱私計算得到了政策和市場需求的雙重推動,產(chǎn)業(yè)正處于快速增長階段�����。尤其在數(shù)據(jù)要素加速開放共享的新形勢下��,隱私計算正成為支撐數(shù)據(jù)要素流通的核心技術(shù)基礎(chǔ)設(shè)施�。該領(lǐng)域的技術(shù)����,如聯(lián)邦學(xué)習(xí)、多方安全計算�����、可信執(zhí)行環(huán)境等�,在確保數(shù)據(jù)不泄漏����、限定數(shù)據(jù)處理目的方面具有原生的優(yōu)勢。據(jù)預(yù)測��,隱私計算將在2024年獲得學(xué)術(shù)界與產(chǎn)業(yè)界更廣泛的關(guān)注���,并在相關(guān)技術(shù)研究中占據(jù)重要地位��。
趨勢六:勒索軟件攻擊依然是最普遍的網(wǎng)絡(luò)威脅形式
在全球經(jīng)濟發(fā)展不景氣和地緣政治動蕩的雙重影響下����,網(wǎng)絡(luò)犯罪團伙持續(xù)涌入勒索軟件攻擊領(lǐng)域以掠取豐厚的非法利潤。勒索軟件攻擊不僅危害個人用戶的隱私和財產(chǎn)��,還可能影響政府�、醫(yī)療�����、教育等機構(gòu)和企業(yè)的正常運行��,甚至威脅到國家安全和社會穩(wěn)定����。隨著勒索軟件即服務(wù)(RaaS) 運營模式不斷成熟和勒索軟件構(gòu)件(IABs)的興起�,勒索軟件的門檻和成本顯著下降,勒索攻擊活動更為猖獗�����。據(jù)2023年數(shù)據(jù)顯示�����,全球共發(fā)生了4832起勒索軟件攻擊事件,較前一年增加了83%�,且呈現(xiàn)出全球迅速擴散的趨勢。展望2024年����,網(wǎng)絡(luò)安全將面臨著嚴峻的挑戰(zhàn)���,隨著黑客組織不斷更新和改進攻擊策略和技術(shù)����,如智能化���、多重勒索常態(tài)化等,新一代的勒索軟件攻擊會變得更加難以預(yù)防和處置�����。
趨勢七:高級持續(xù)性威脅(APT)攻擊成為網(wǎng)絡(luò)空間突出風(fēng)險源
在全球網(wǎng)絡(luò)空間博弈日益激烈和國際局勢不穩(wěn)定的背景下,組織化程度高��、策劃及執(zhí)行效率出眾��、目標針對性明確的網(wǎng)絡(luò)攻擊活動更為頻繁���。作為一種針對特定目標的復(fù)雜、隱蔽和持久的網(wǎng)絡(luò)攻擊手段,高級持續(xù)性威脅(APT)攻擊近年來已演化為集各種社會工程學(xué)攻擊與零日漏洞利用的綜合體�,成為了最嚴峻的網(wǎng)絡(luò)空間安全威脅之一。據(jù)統(tǒng)計��,2023年上半年�, MITRE跟蹤的138個APT組織中約有41個(約 30%)處于活躍狀態(tài)���,全年全球安全廠商共披露了30余個APT組織���,表明APT活動呈現(xiàn)持續(xù)上升趨勢�����。未來��,APT攻防較量更趨復(fù)雜,同時APT事件的調(diào)查與應(yīng)對趨向政治化�,這無疑將在網(wǎng)絡(luò)空間與現(xiàn)實地緣政治交融中構(gòu)成新的風(fēng)險點。
趨勢八:國產(chǎn)密碼技術(shù)廣泛應(yīng)用
密碼技術(shù)作為我國網(wǎng)絡(luò)與數(shù)據(jù)安全的戰(zhàn)略性核心技術(shù)�,是國家安全的基礎(chǔ)支撐。得益于國家政策的有力支持,我國的密碼技術(shù)始終保持持續(xù)發(fā)展勢頭,無論是在密碼算法�����、密碼芯片���、密碼產(chǎn)品還是密碼服務(wù)等方面����,均取得了重大的技術(shù)進展,逐步構(gòu)建了一套相對完善的商用密碼體系��,并贏得了國際認可�����。近年來,在網(wǎng)絡(luò)安全法��、密碼法�����、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例等政策法規(guī)的驅(qū)動下�����,我國密碼行業(yè)正向著成熟與規(guī)范化方向穩(wěn)步邁進�。隨著國家“十四五”規(guī)劃及其他一系列促進數(shù)字化發(fā)展戰(zhàn)略的深入實施�,我們預(yù)計國產(chǎn)密碼技術(shù)將在基礎(chǔ)信息網(wǎng)絡(luò)、關(guān)乎國計民生的重要信息系統(tǒng)�����、重要工業(yè)控制系統(tǒng)以及面向社會服務(wù)的政務(wù)信息系統(tǒng)中實現(xiàn)更為廣泛的推廣與應(yīng)用。
趨勢九:關(guān)鍵信息基礎(chǔ)設(shè)施保護成為行業(yè)新的增長點
關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞���,是網(wǎng)絡(luò)安全的重中之重����,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露���,可能嚴重危害國家安全、國計民生�����、公共利益�����。各行各業(yè)正逐漸意識到保護關(guān)鍵信息基礎(chǔ)設(shè)施的重要性�����。隨著相關(guān)國家政策和標準的實施推行�,我國對于關(guān)鍵信息基礎(chǔ)設(shè)施的保護工作將迎來新的發(fā)展格局。這些法規(guī)為相關(guān)產(chǎn)業(yè)帶來了發(fā)展的新空間和商機。據(jù)預(yù)測����,到2024年�,我國對關(guān)鍵信息基礎(chǔ)設(shè)施保護的需求將保持增長趨勢�,尤其在網(wǎng)絡(luò)安全建設(shè)方面����,國家重要行業(yè)及關(guān)鍵領(lǐng)域的資金投入預(yù)計將顯著提升�����。
趨勢十:個人信息保護力度將持續(xù)加強
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和普及����,個人信息的收集、使用乃至濫用問題日益突出�����,個人信息保護不只關(guān)乎個人隱私權(quán)益�,也事關(guān)國家安全層面,成為全球普遍關(guān)注的議題�。自個人信息保護法、數(shù)據(jù)出境安全評估辦法��、個人信息出境標準合同辦法等個人信息保護相關(guān)法律法規(guī)發(fā)布施行���,我國構(gòu)建起較為完善的個人信息保護體系。2023年8月�,國家網(wǎng)信辦發(fā)布《個人信息保護合規(guī)審計管理辦法(征求意見稿)》����,進一步凸顯出持續(xù)加強個人信息保護立法與監(jiān)管的趨勢��。同時��,加密技術(shù)�、匿名化處理����、人工智能和區(qū)塊鏈等創(chuàng)新技術(shù)的應(yīng)用,在識別和防范數(shù)據(jù)泄露和隱私侵犯方面也發(fā)揮著越來越重要的作用����。未來�,隨著法律法規(guī)的逐步完善、公眾意識的提高和技術(shù)的發(fā)展���,個人信息保護的力度預(yù)計將持續(xù)加強。
