近日�,中國計算機(jī)學(xué)會(CCF)計算機(jī)安全專委會來自國家網(wǎng)絡(luò)安全主管部門、高校�����、科研院所�����、國有企業(yè)及民營企業(yè)界的專家學(xué)者�,投票評選出了2024年網(wǎng)絡(luò)安全十大發(fā)展趨勢����。
趨勢一:人工智能安全技術(shù)成為研究焦點
人工智能(AI)技術(shù)是當(dāng)前科學(xué)與工程研究的一大熱點,以ChatGPT為代表的生成式人工智能技術(shù)帶來了通用人工智能(AGI)的曙光����。隨著人工智能技術(shù)在眾多領(lǐng)域的深入應(yīng)用,網(wǎng)絡(luò)安全和數(shù)據(jù)安全的問題也日益突出����。網(wǎng)絡(luò)攻擊的方式和手段,在人工智能技術(shù)的推動下也在不斷演變���,呈現(xiàn)出分布式���、智能化和自動化的特點;與此同時���,人工智能訓(xùn)練和應(yīng)用過程中����,會遇到數(shù)據(jù)非法獲取、數(shù)據(jù)濫用�、算法偏見與歧視以及敏感數(shù)據(jù)泄露等安全問題。2023年11月���,包括中國�����、美國與歐盟在內(nèi)的28個國家代表���,在全球首屆AI安全峰會中簽署了《布萊切利宣言》,一致同意加強(qiáng)國際合作���,建立面向人工智能的監(jiān)管框架�。在這種背景下���,人工智能安全技術(shù)正在被全球監(jiān)管機(jī)構(gòu)��、行業(yè)參與者和工業(yè)界持續(xù)關(guān)注和積極參與�。
趨勢二:網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和公共安全服務(wù)屬性將得到加強(qiáng)
國內(nèi)外學(xué)界已經(jīng)不斷就網(wǎng)絡(luò)安全的公共服務(wù)屬性進(jìn)行深入討論��,并逐步擴(kuò)大了將網(wǎng)絡(luò)安全視為社會公共服務(wù)觀點的影響力��。在數(shù)字技術(shù)不斷重塑經(jīng)濟(jì)和社會的背景下�,網(wǎng)絡(luò)安全的公共安全屬性、非排他性和外部性不斷凸顯��。面對迅速蔓延的網(wǎng)絡(luò)安全威脅���,單靠傳統(tǒng)的網(wǎng)絡(luò)安全責(zé)任機(jī)制加市場化供應(yīng)模式����,已逐漸難以有效應(yīng)對網(wǎng)絡(luò)安全治理問題�。因此,借鑒公共安全治理模式以推進(jìn)網(wǎng)絡(luò)安全公共安全服務(wù)機(jī)制的形成變得極為重要�。展望2024年,網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施作為國家安全體系的基礎(chǔ)組成部分��,其協(xié)同運作的模式預(yù)計將得到進(jìn)一步加強(qiáng)�,而網(wǎng)絡(luò)安全的公共服務(wù)化也將成為網(wǎng)絡(luò)空間治理的新趨勢和新模式。
趨勢三:生成式人工智能在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用效果初顯
2023年3月����,微軟公司宣布推出Microsoft Security Copilot����,作為生成式人工智能在網(wǎng)絡(luò)安全領(lǐng)域的一個典型代表�,它能夠利用大型語言模型的強(qiáng)大表達(dá)能力和專用安全模型的專業(yè)知識,實現(xiàn)對復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境的深度理解和智能決策���,生成適合的防御措施和修復(fù)方案����,并自動執(zhí)行或輔助專業(yè)人員完成相關(guān)任務(wù)��。隨著大語言模型與多模態(tài)技術(shù)的日益融合加速����,預(yù)計生成式人工智能將在威脅檢測與響應(yīng)、自動化安全防護(hù)與修復(fù)����、實時威脅情報與預(yù)測,以及自適應(yīng)安全策略與防御���、人機(jī)協(xié)同防御等多個方面發(fā)揮更大的作用����。2024年,預(yù)計生成式人工智能技術(shù)將在網(wǎng)絡(luò)安全領(lǐng)域得到廣泛應(yīng)用并初步展現(xiàn)其顯著效能���。
趨勢四:供應(yīng)鏈安全管理的重要性日益凸顯
隨著經(jīng)濟(jì)全球化和信息技術(shù)的快速發(fā)展����,網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈已演變?yōu)槿蛐缘膹?fù)雜網(wǎng)絡(luò)結(jié)構(gòu)��。供應(yīng)鏈安全問題已不僅限于產(chǎn)品范疇���,而是波及到整個供應(yīng)鏈的各個環(huán)節(jié)。統(tǒng)計顯示����,2023年,受供應(yīng)鏈安全威脅和風(fēng)險攻擊的比例高達(dá)所有網(wǎng)絡(luò)攻擊的一半����,同比增長78%,而專業(yè)人士中有高達(dá)80%的人預(yù)計����,在未來三年內(nèi),供應(yīng)鏈攻擊將成為企業(yè)面臨的最大網(wǎng)絡(luò)威脅之一����。隨著關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例��、網(wǎng)絡(luò)安全審查辦法等相關(guān)法律法規(guī)的制定和施行��,對供應(yīng)鏈安全提出了更高標(biāo)準(zhǔn)的規(guī)定與要求�����。在數(shù)字化轉(zhuǎn)型的大背景下���,供應(yīng)鏈安全不僅關(guān)系到企業(yè)的正常運營和發(fā)展,也是國家的網(wǎng)絡(luò)空間安全和社會穩(wěn)定的基石���??梢灶A(yù)見��,隨著安全技術(shù)的不斷完善和發(fā)展��,供應(yīng)鏈安全管理的戰(zhàn)略地位將日漸上升���,其重要性也將更加凸顯�����。
趨勢五:隱私計算成為學(xué)術(shù)和產(chǎn)業(yè)界共同關(guān)注的焦點
隨著網(wǎng)絡(luò)安全法����、個人信息保護(hù)法、密碼法�����、數(shù)據(jù)安全法���、民法典等多部與數(shù)據(jù)安全相關(guān)的法律法規(guī)落地實施,我國形成了較為完備的數(shù)據(jù)安全法律體系��。在此體系基礎(chǔ)上��,隱私計算得到了政策和市場需求的雙重推動�����,產(chǎn)業(yè)正處于快速增長階段�。尤其在數(shù)據(jù)要素加速開放共享的新形勢下,隱私計算正成為支撐數(shù)據(jù)要素流通的核心技術(shù)基礎(chǔ)設(shè)施���。該領(lǐng)域的技術(shù)�,如聯(lián)邦學(xué)習(xí)、多方安全計算�����、可信執(zhí)行環(huán)境等��,在確保數(shù)據(jù)不泄漏�����、限定數(shù)據(jù)處理目的方面具有原生的優(yōu)勢�。據(jù)預(yù)測,隱私計算將在2024年獲得學(xué)術(shù)界與產(chǎn)業(yè)界更廣泛的關(guān)注�,并在相關(guān)技術(shù)研究中占據(jù)重要地位。
趨勢六:勒索軟件攻擊依然是最普遍的網(wǎng)絡(luò)威脅形式
在全球經(jīng)濟(jì)發(fā)展不景氣和地緣政治動蕩的雙重影響下�����,網(wǎng)絡(luò)犯罪團(tuán)伙持續(xù)涌入勒索軟件攻擊領(lǐng)域以掠取豐厚的非法利潤�。勒索軟件攻擊不僅危害個人用戶的隱私和財產(chǎn),還可能影響政府�����、醫(yī)療、教育等機(jī)構(gòu)和企業(yè)的正常運行�,甚至威脅到國家安全和社會穩(wěn)定。隨著勒索軟件即服務(wù)(RaaS) 運營模式不斷成熟和勒索軟件構(gòu)件(IABs)的興起����,勒索軟件的門檻和成本顯著下降,勒索攻擊活動更為猖獗����。據(jù)2023年數(shù)據(jù)顯示,全球共發(fā)生了4832起勒索軟件攻擊事件�,較前一年增加了83%,且呈現(xiàn)出全球迅速擴(kuò)散的趨勢���。展望2024年,網(wǎng)絡(luò)安全將面臨著嚴(yán)峻的挑戰(zhàn)�,隨著黑客組織不斷更新和改進(jìn)攻擊策略和技術(shù),如智能化��、多重勒索常態(tài)化等�,新一代的勒索軟件攻擊會變得更加難以預(yù)防和處置。
趨勢七:高級持續(xù)性威脅(APT)攻擊成為網(wǎng)絡(luò)空間突出風(fēng)險源
在全球網(wǎng)絡(luò)空間博弈日益激烈和國際局勢不穩(wěn)定的背景下���,組織化程度高�����、策劃及執(zhí)行效率出眾����、目標(biāo)針對性明確的網(wǎng)絡(luò)攻擊活動更為頻繁。作為一種針對特定目標(biāo)的復(fù)雜�����、隱蔽和持久的網(wǎng)絡(luò)攻擊手段���,高級持續(xù)性威脅(APT)攻擊近年來已演化為集各種社會工程學(xué)攻擊與零日漏洞利用的綜合體�����,成為了最嚴(yán)峻的網(wǎng)絡(luò)空間安全威脅之一��。據(jù)統(tǒng)計��,2023年上半年����, MITRE跟蹤的138個APT組織中約有41個(約 30%)處于活躍狀態(tài)���,全年全球安全廠商共披露了30余個APT組織����,表明APT活動呈現(xiàn)持續(xù)上升趨勢。未來���,APT攻防較量更趨復(fù)雜�,同時APT事件的調(diào)查與應(yīng)對趨向政治化���,這無疑將在網(wǎng)絡(luò)空間與現(xiàn)實地緣政治交融中構(gòu)成新的風(fēng)險點��。
趨勢八:國產(chǎn)密碼技術(shù)廣泛應(yīng)用
密碼技術(shù)作為我國網(wǎng)絡(luò)與數(shù)據(jù)安全的戰(zhàn)略性核心技術(shù)���,是國家安全的基礎(chǔ)支撐。得益于國家政策的有力支持��,我國的密碼技術(shù)始終保持持續(xù)發(fā)展勢頭���,無論是在密碼算法、密碼芯片�、密碼產(chǎn)品還是密碼服務(wù)等方面,均取得了重大的技術(shù)進(jìn)展���,逐步構(gòu)建了一套相對完善的商用密碼體系�����,并贏得了國際認(rèn)可�����。近年來����,在網(wǎng)絡(luò)安全法、密碼法�、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等政策法規(guī)的驅(qū)動下,我國密碼行業(yè)正向著成熟與規(guī)范化方向穩(wěn)步邁進(jìn)���。隨著國家“十四五”規(guī)劃及其他一系列促進(jìn)數(shù)字化發(fā)展戰(zhàn)略的深入實施��,我們預(yù)計國產(chǎn)密碼技術(shù)將在基礎(chǔ)信息網(wǎng)絡(luò)��、關(guān)乎國計民生的重要信息系統(tǒng)����、重要工業(yè)控制系統(tǒng)以及面向社會服務(wù)的政務(wù)信息系統(tǒng)中實現(xiàn)更為廣泛的推廣與應(yīng)用�����。
趨勢九:關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)成為行業(yè)新的增長點
關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重�����,一旦遭到破壞�����、喪失功能或者數(shù)據(jù)泄露����,可能嚴(yán)重危害國家安全、國計民生�����、公共利益��。各行各業(yè)正逐漸意識到保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的重要性���。隨著相關(guān)國家政策和標(biāo)準(zhǔn)的實施推行,我國對于關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)工作將迎來新的發(fā)展格局���。這些法規(guī)為相關(guān)產(chǎn)業(yè)帶來了發(fā)展的新空間和商機(jī)��。據(jù)預(yù)測�����,到2024年�,我國對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的需求將保持增長趨勢,尤其在網(wǎng)絡(luò)安全建設(shè)方面�����,國家重要行業(yè)及關(guān)鍵領(lǐng)域的資金投入預(yù)計將顯著提升�����。
趨勢十:個人信息保護(hù)力度將持續(xù)加強(qiáng)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和普及���,個人信息的收集����、使用乃至濫用問題日益突出����,個人信息保護(hù)不只關(guān)乎個人隱私權(quán)益��,也事關(guān)國家安全層面�,成為全球普遍關(guān)注的議題�。自個人信息保護(hù)法、數(shù)據(jù)出境安全評估辦法�����、個人信息出境標(biāo)準(zhǔn)合同辦法等個人信息保護(hù)相關(guān)法律法規(guī)發(fā)布施行���,我國構(gòu)建起較為完善的個人信息保護(hù)體系�����。2023年8月���,國家網(wǎng)信辦發(fā)布《個人信息保護(hù)合規(guī)審計管理辦法(征求意見稿)》,進(jìn)一步凸顯出持續(xù)加強(qiáng)個人信息保護(hù)立法與監(jiān)管的趨勢�����。同時�,加密技術(shù)、匿名化處理、人工智能和區(qū)塊鏈等創(chuàng)新技術(shù)的應(yīng)用�����,在識別和防范數(shù)據(jù)泄露和隱私侵犯方面也發(fā)揮著越來越重要的作用���。未來,隨著法律法規(guī)的逐步完善�、公眾意識的提高和技術(shù)的發(fā)展,個人信息保護(hù)的力度預(yù)計將持續(xù)加強(qiáng)��。
