《特别回顾》

（4）SMShing 和 Vishing 有所增加

据安全部门称， 各种 APT 组织已经开始使用 SMShing 和 Vishing 作为其高度针对性的活动

的一部分。在最近针对政治对手的攻击中， APT-C-23 似乎使用了一种新技术，即使用变声软件伪

装成女性， 该组织的成员迄今为止都是男性， 与受害者进行对话。随着对话的继续， 该组织开始

发送带有恶意软件的视频，以感染目标系统 。一般来说， 用户已经习惯了不去点击可疑邮件，但

仍然没有意识到也可以通过短信或电话被钓鱼。

（5）网络钓鱼即服务（PhaaS）

微软最近对 Bullet ProofLink 活动的分析表明， 该活动是许多对组织产生影响的网络钓

鱼 活 动 的 罪 魁 祸 首。bulletproflink( 也 被 其 运 营 商 在 各 种 网 站、 广 告 和 其 他 宣 传 材 料 中 称 为

BulletProftLink 或炭疽 ) 被多个恶意参与者以一次性或月度订阅的商业模式使用，为其运营商创

造了稳定的收入流。 与勒索软件即服务（RaaS）类似， 网络钓鱼即服务遵循软件即服务模式。攻

击者付钱给运营商， 让其开发和部署大部分或完成网络钓鱼活动， 包括虚假登录页面开发、网站

托管、凭据解析和重新分发，以及他们可能缺乏的外包功能。

5. 对数据的威胁的发展特点

（1）威胁行为者将注意力转向了 COVID-19 疫苗信息

在本报告所述期间，疫苗信息成为若干网络间谍活动的中心。2020 年 7 月， 英国外交大臣发

布了关于大规模网络钓鱼活动的警告， 这些活动似乎 专门针对新冠病毒 - 19 研究设施， 并被认为

是由国家赞助的。2020 年晚些时 候，发现了具有获取证书能力的网络钓鱼计划，目的是获取有关

疫苗运输 和分发过程的信息。2020 年底，阿斯利康员工的鱼叉网络钓鱼事件被归咎 于国家支持的

APT 团体。

（2）医疗行业数据泄露激增

医疗保健数据泄露正在迅速增加。由于新冠病毒 - 19 大流行， 医疗保健部门成为人们关注的

焦点，而威胁行为者利用这场危机打击了本已深受其害的医疗行业。此外，由于大流行， 转向在线

提供医疗服务、远程电子健康和远程医疗方法的趋势有所增加， 因此对手泄漏医疗数据的机会大大

增加。

（3）商业环境中的数据泄露上升

根据 SAN Institute 的数据， 在过去几年中，约有 74000 名员工、承包商和供应商因公司笔

记本电脑被盗而受到数据泄露的影响。数据未加密的事实加剧了这种情况。在 2021 年对 300 名受

访者（包括在最重要的业务领域拥有 5000 多名员工的美国公司的高层管理人员）的研究中， 34%

的受访者因内部人员滥用特权而成为财产盗窃或供应链受损的目标。

48

《特别回顾》

（4）动机和攻击载体保持不变

在本报告所述期间， 对手动机以及主要攻击载体大致保持不变。与过去两年一样， 网络钓鱼

仍然是入侵的首要原因 (36%)。其次是使用被盗凭证 (25%) 和勒索软件 (10%)。和过去几年一样，

经济动机的袭击仍然是最常见的。近 80% 的网络攻击是为了经济利益，比如直接从金融账户窃取

资金，窃取信用卡信息或其他类型的数据， 或要求赎金。

（5）身份盗窃和合成身份有所增加

据美国联邦贸易委员会 (FTC) 称， 2020 年有关身份盗窃的投诉有所增加。其中约三分之一涉

及美国政府福利。 此外，美国很多案件都可能涉及合成身份。合成身份盗窃是一种诈骗行为，犯罪

分子将真实和虚假信息结合起来，创造一个新的身份。根据美联储的说法，使用合成身份的事件在

美国很常见。

（6）供应链攻击日益严重的影响

据估计， 2021 年发生的供应链攻击事件是 2020 年的 4 倍。由于一半的攻击被归因于高级持

续性威胁 (APT) 行为者， 其复杂性和资源大大超过了更常见的非目标攻击。约 58% 的供应链攻击

是为了获取数据 ( 主要是客户数据，包括个人数据和知识产权 )，约 16% 的攻击是为了获取人的信息。

当涉及到供应商的数据时， 20% 的攻击是为了获取这些数据， 66% 的攻击是为了获取供应商的源

代码。

6. 对可用性和完整性的威胁的发展特点

（1）勒索拒绝服务（RDoS）是 DDoS 攻击的新趋势

从 2020 年 8 月 起， 勒 索 拒 绝 服 务（RDDoS） 攻 击 活 动 得 到 了 大 幅 提 升，Fancy Bear 、

Cozy Bear 、Lazarus Group 和 Armada Collective 等黑客组织开展了这些攻击活动，目标行业

包括全球范围内的电子商务、金融和旅游。RDDoS 有两种类型：1）攻击优先；2) 勒索优先。第

一种情况实现了 DDoS 攻击，并请求赎金来阻止它。第二种情况以小型 DoS 形式发送勒索信和证据，

并要求支付赎金。RDDoS 攻击比传统的 DDoS 攻击更加危险， 因为攻击者在没有足够资源的情况

下也可以完成攻击。

（2）传统 DDoS 正向移动网络和物联网方向发展

物联网 (IoT) 与 5G 的成功结合导致了新一轮 DDoS 攻击， 可能会导致受害者支付赎金。一方

面， 5G 使物联网更容易受到网络攻击， 支持本地化的 DDoS，在这种情况下， 攻击者通过一组受

攻击设备的一个切片来干扰特定区域的连接。另一方面，物联网可以作为 DDoS 的威胁载体。攻

击者可以构建大量僵尸网络来发起 DDoS 攻击或分发恶意软件。这在工业物联网 (IIoT) 中尤其重要，

因为在工业物联网中， 设备漏洞可以中断业务运营并造成重大损害。

49

《特别回顾》

（3）针对 DDoS 攻击的先进技术层出不穷

在虚拟化环境中共享资源是 DDoS 攻击的放大器。物理资源过载会导致通信、服务和数据访问

中断。DDoS 攻击者正在采用技术先进的智能攻击策略。在 2020-21 年，智能攻击使用公开可用

信息来监控目标采用的对策，并在运行时调整攻击策略。在这种情况下，短攻击的持续时间减少，

而长攻击的持续时间增加。从绝对数量上看， 2021 年第一季度短攻击的数量大幅增加， 而长攻击

的数量减少，但总持续时间增加了 589 次。

（4）DDoS 行动变得更有针对性、多向量和持久性

2021 年的 DDoS 活动变得更具针对性、多矢量和持久性。 攻击者寻找弱点来开发和尝试不同

的攻击向量组合。 据统计， 65% 的 DDoS 攻击都是多向量攻击，大多数攻击向量集中在 UDP 协

议上，如网络时间协议（NTP）、无连接轻型目录访问协议（CLDAP）、Internet 控制消息协议（ICMP）

和域名系统（DNS）。

（5）规模较小的组织正成为攻击目标

DDoS 越来越多地以小型企业为目标， 网络犯罪分子越来越多地针对安全标准较低的小型组织，

确保用较小的数据量和最大的收入成功攻击。 但是公共机构和关键基础设施仍然是 DDoS 攻击的

主要目标。

（6）增加了基于 Web 和 DDoS 攻击的组合

DDoS 和基于 web 的攻击通常是协同活动， web 应用仍易受到与 web 相关的威胁，如注入

和跨站点脚本， 并可能成为 DDoS 攻击的载体。根据最近的一份报告， SQL 注入漏洞和 PHP 注

入漏洞是最常被利用的漏洞， 尽管 XSS 是发现最多的漏洞。

7. 虚假信息和错误信息威胁的发展特点

（1）人工智能支持了攻击者进行虚假信息攻击

人工智能被用来建立逼真的个人资料和图像， 改变帖子的内容和措辞，并避免被人注意到，可

以说人工智能社交媒体是虚假信息传播的基础， 造成了社会混乱。当前深度造假技术发展非常迅速，

人工智能技术的支持使得深度造假更加简单、可信，而社交媒体则有助于其广泛传播。

（2）新冠病毒 -19 大流行扩大了攻击活动

新冠病毒 - 19 是虚假信息攻击的热门话题， 虚假信息活动旨在传播对冠状病毒疫苗有效性的

恐惧、不确定性和怀疑。 企业和个人是虚假信息活动的目标，这些攻击活动侧重于绿色通行证、强

制性疫苗接种、健康护照、大规模免疫测试和封锁等。

50

《特别回顾》

（3）虚假信息即服务 (DaaS)

专业虚假信息主要是政府、政党和公关公司大规模制造的。2019 年以来， 越来越多的第三方

提供虚假信息服务， 代表客户进行有针对性的攻击。许多国家都提供服务，越来越多的非国有和私

营商业组织正在使用这些服务。 在此背景下， 虚假信息已从政治和社会领域转移到企业界。 牛津

大学监测了政府和政党利用社交媒体操纵舆论的情况，以及与它们合作传播虚假信息的各种私人公

司和其他组织。从地理的角度来看，虚假信息和错误信息正在针对世界上的每个国家。

8. 非恶意威胁的发展特点

（1）错误和系统配置错误是最常见的根本原因

2020 年， 在根据 NIS 指令报告的具有重大影响的事件中， 有 17% 被标记为人为错误， 而系

统故障仍然是报告事件最常见的根本原因， 比率为 48%。这些事件的原因是软件缺陷和硬件故障。

这是一个持续的趋势， 2019 年报告了类似的数据。

（2）由于迁移到云端而导致非恶意事件数量增加

COVID- 19 的流行迫使人们迁移到云端，导致 2019 年 10 月至 2021 年 2 月期间全球云端工

作量大幅增加： 亚太地区 70%，欧洲、中东和非洲地区 69%，美国地区 65%，日本 58%。根据

Palo Alto networks 的数据，因 COVID- 19 大流行而显著增加了云计算负载，安全事件显著增长，

增长率最高的行业， 零售业 402%、制造业 230%、政府 205% 以及制药和生命科学 127%。

（3）漏洞和 bug 继续扮演着重要角色

2020 年，物联网恶意软件也出现了前所未有的激增， 这些恶意软件利用的设备在大多数情况

下是不安全的， 也从未正确地打过补丁。同时， 有些漏洞已经相当古老，攻击者仍然在积极利用它们，

根据 Verizon 的数据，20% 的组织暴露了早在 2010 年的漏洞， SonicWall 发现类似的旧漏洞仍

在被利用。

9. 供应链攻击的发展特点

（1）供应链攻击的四大分类

在网络安全方面， 供应链涉及广泛的资源 ( 硬件和软件 )、存储 ( 云或本地 )、分发机制 ( 网络

应用程序、在线商店 ) 和管理软件。供应商、供应商资产、客户、客户资产是供应链的四个关键要

素。而供应链攻击是至少两次攻击的组合，第一个攻击是对供应商进行攻击，然后用来攻击目标以

获得对其资产的访问权。目标可以是最终客户或其他供应商。因此，要将攻击归类为供应链攻击，

供应商和客户都必须成为攻击的目标。对于供应商来说， 第一部分称为“危害供应链的攻击技术”，

它确定了供应商是如何受到攻击的。供应商的第二部分称为“以供应链攻击为目标的供应商资产”，

它确定了对供应商的攻击目标是什么。对于客户来说，第一部分称为“用于危害客户的攻击技术”，

51

《特别回顾》

它确定了客户是如何受到攻击的。客户的第二部分称为“供应链攻击所针对的客户资产”， 它确定

了对客户的攻击目标是什么，具体如表 2 所示。

表 2 供应链攻击的分类

（2）以目标为导向的攻击者

在 66% 的供应链攻击事件中， 攻击者将注意力集中在供应商的代码上，目的是进一步危害目

标客户。 在 20% 的攻击事件中，攻击者的目标数据，以及 12% 的供应商攻击目标是内部流程。

了解这些对于网络安全保护工作至关重要， 组织应重点验证第三方代码和软件， 以确保其未被篡

改或操纵。这些供应链攻击所针对的最终客户资产似乎主要是客户数据，包括个人数据和知识产权。

攻击者还以其他资产（包括人员、软件和财务资源） 为目标， 但攻击程度较低。

（3）大多数攻击载体都是未知的

调查结果表明， 在 66% 的供应链攻击中， 供应商不知道他们是如何受到威胁的。 相比之下，

通过供应链攻击而受损的客户中， 只有不到 9% 不知道攻击是如何发生的。 这凸显了供应商和面

向最终用户的公司之间在网络安全事件报告成熟度方面的差距。83% 的供应商在技术部门， 缺乏

对攻击是如何发生的了解， 可能表明在供应商基础设施的网络防御方面成熟度不高，或者不愿意共

享相关信息。 此外， 还有其他因素， 包括攻击的复杂性和攻击的缓慢性， 都可能会使信息不透明。

（4）大部分是 APT 集团发起的复杂攻击

超 过 50% 的 供 应 链 攻 击 是 由 著 名 的 网 络 犯 罪 集 团 造 成 的， 其 中 包 括 APT 29、APT 41、

Thallium APT、CD 2546、Lazarus APT、TA 413 和 TA 428。分析表明， APT 集团似乎对具

有区域影响的目标略有偏爱，并且有相当数量的攻击旨在获取客户数据。

52

《特别回顾》

二、几点认识

（一） 网络威胁情报已成为网络安全保障领域的重要组成部分

为应对激增的新型网络威胁， 确保欧盟在网络空间的优势， 消除成员国间的猜疑和威胁情报

共享的障碍， 提升应对网络威胁的能力，欧盟先后发布了系列战略和法规标准， 均明确指出了网

络安全信息共享的重要性，欧盟成员国也在本国的网络安全战略中强调建立信息共享机制，逐步形

成多层次的网络威胁情报共享规划， 确立了网络威胁情报共享的战略地位。

除了将网络威胁情报共享提升到战略地位， 欧盟还成立了专门的网络信息安全机构，并积极与

情报部门协作，形成了欧盟、成员国、民间组织与情报机构协作的多层次网络威胁共享机制。 而欧

盟作为一个超国家集合体，发展不均衡引发众多网络安全隐患。为此欧盟成立了多种机构负责网络

信息安全工作， 实现不同国家和机构的协调互联，欧盟网络和信息安全局（ENISA）就是在这样的

背景下成立的机构之一， ENISA 作为欧盟的一个独立的、 永久性政府机构， 成立于 2004 年，

主要协调欧盟层面的网络安全调研、协调、 落实等，主要职能包括提供咨询和建议、支持政策制定

和实施，以及协调各成员国在相关产业方面的合作， 为欧洲国家网络空间战略发展提供重要的技术

和政策支撑。ENISA 连续 9 年不间断的对欧盟及相关国家和地区面临的主要网络威胁态势、易受攻

击的行业和目标、网络攻击者情况、网络攻击动机、常用技术等进行分析研究。要求欧盟各成员国

消除监管障碍， 开发内部网络威胁情报系统，摆脱对美国等情报源的依赖，开发新技术， 扩大网

络威胁情报收集范围，提升欧盟网络威胁情报能力，提高网络威胁情报的独立性和质量。 基于这些

战略情报， 欧盟这些年在安全技术、 能力建设、保持优势和国际合作等方面提出了多项切实有力

措施，在空间上覆盖各成员国， 时间上涉及网络安全预防、抵御冲击及事后追查犯罪等全过程，在

产业体系上试图涵盖数字供应链全链， 全面提升了欧盟网络安全管理及应对威胁的能力和水平。

当前网络威胁情报共享已融入到欧盟及成员国网络安全建设的诸多方面，不但多角度确立了网

络威胁情报共享的战略地位， 而且构建了网络威胁情报共享机制，还多渠道推动着网络威胁情报共

享能力的建设，这些都对我国更好地应对网络威胁、 提高网络抗风险能力提供了借鉴。

（二） 网络安全威胁已全面泛化，我国应以实际行动转危为机

当前， 全球网络安全风险已达峰值。攻击者的目标越来越多， 采用的攻击方式也愈加难以预测。

同时， 新冠疫情催化了云计算等技术的应用，以及办公场景的变革， 线上办公的广泛普及加剧了

信息传递对网络的依赖，需要应对更加复杂多样的网络安全风险。此外， 网络攻击的产业化发展趋

势使得攻击工具和手法变得愈加复杂多样， 传统的防火墙、入侵检测技术、恶意代码扫描、网络监

控等被动防御手段显得捉襟见肘疲于应付。面对日益严峻的网络空间安全威胁，更加需要了解自身

的网络安全脆弱点，掌握已知、未知的网络安全风险点， 不断提升自身在实战中的检测与响应能力。

53

《特别回顾》

首先应在网络体系构建方面高度强调韧性的重要性， 提高关键基础设施及服务的网络韧性水平，

特别是提高电力、金融、交通运输等关键部门的网络韧性； 保护通信基础设施和 5G 网络安全，重

视人工智能、量子计算等关键技术的开发与应用，未来数年内部署安全量子通讯基础设施， 以一种

极安全的加密形式抵御网络攻击。其次提高网络安全技术水平，打造网络安全屏障。加强对基础设

施联网软硬件的风险排查， 减少或消除安全隐患。对关键基础设施上的进口零部件，有必要加紧国

产替代步伐，提高安全系数。二是健全安全协调机制，汇集各方力量共保网络安全。各部门之间建

立协调联动机制，针对重大跨境网络事件及威胁提供技术，通过信息共享，提供持续共享的风险态

势感知能力。加强网络安全执法队伍规模及能力建设，并获得其他部门支持。三是努力提升我国在

网络安全领域的国际话语权。 一方面继续推进数字技术、网络安全技术的进步。在优势领域保持

领先，使其他国家在短时间内难以找到替代方案。在追赶领域持续发力， 减少被“卡脖子””的领

域。 另一方面加大人才培养力度， 推动网络安全等实用技能人才的培养，全面提高公民的数字素养，

稳步接近世界发达国家和地区水平。

总体来看， 随着数字经济进入新的发展阶段， 网络安全领域还将面临更多的新挑战和新机遇。

对此，我们要不断提升网络安全意识； 进一步细化网络安全管理体系，加快相关监管政策的落地和

标准体系的建设；加强核心技术创新， 全面提升网络安全防护能力；加快推进网络安全产业发展；

创新网络安全人才培养模式，加强网络安全人才市场供需对接。

附录：

（1）防范和应对勒索软件的建议：

• 实施安全和冗余备份战略。

• 身份和访问管理的实施和审核（最低特权和职责分离）。

• 培训和提高用户（包括特权用户） 的意识。

• 开发和生产环境分离。

• 与政府和企业共享事故信息。

• 限制对已知勒索软件网站的访问。

• 应为授权设备、用户和流程颁发、管理、验证、撤销和审核身份和凭证。

• 应管理访问权限和授权， 纳入最低特权和职责分离原则。

• 应定期测试勒索软件响应和恢复计划， 以确保风险和响应假设和流程与不断演变的勒索软件

威胁相关。

• 使用阻止进入已知勒索软件网站的安全产品或服务。

• 执行勒索软件准备就绪评估（RRA），这是 CISA 针对 IT 和 ICS （工业控制系统）网络开发

的一个工具， 用于评估不同级别勒索软件威胁准备就绪情况下的安全性。

• 向政府报告任何攻击或企图攻击， 并帮助限制其传播。

54

《特别回顾》

• 系统监测， 以快速识别感染。

• 跟踪勒索软件的最新趋势、发展和预防建议。

（2）防范和应对恶意软件的建议：

• 对所有入站 / 出站通道实施恶意软件检测， 包括所有适用平台（即服务器、网络基础设施、

个人计算机和移动设备） 中的电子邮件、网络、 web 和应用系统。

• 检查 SSL/TLS 流量，允许防火墙解密网站、电子邮件通信和移动应用程序之间的传输内容。

• 在恶意软件检测功能和安全事件管理之间建立接口， 以建立有效的响应能力。

• 使用可用于恶意软件分析的工具共享恶意软件信息和恶意软件缓解（即

MISP）。

• 制定安全政策， 规定发生感染时应遵循的流程。

• 了解各种安全工具的功能， 并开发新的安全解决方案。找出差距并应用纵深防御原则。

• 对恶意电子邮件采用邮件过滤（或垃圾邮件过滤），并删除可执行附件。

• 定期监控防病毒测试的结果。

• 对容器基础设施使用补丁管理。

• 利用安全事件和事件管理（ SIEM）解决方案进行日志监控。指示日志源包括防病毒警报、端

点检测和响应（EDR）、代理服务器日志、 Windows 事件和系统日志、入侵检测系统（IDS）

日志等。

（3）如何防范和应对加密劫持的建议：

• 监控用户设备上的电池使用情况， 如果 CPU 使用率出现可疑峰值，则扫描是否存在基于文

件的矿工。

• 实现常见加密挖掘协议的 web 过滤， 以及将流行加密挖掘 IP 池的 IP 地址和域列入黑名单。

• 监控网络异常和块挖掘协议。

• 通过防病毒程序或 cryptominer 阻止浏览器插件安装端点保护。

• 定期进行安全审计，以检测网络异常。

• 实施强大的漏洞和补丁管理，以防范新出现的威胁和漏洞。

• 针对已知漏洞实施补丁和修复。

• 使用白名单防止在端点执行未知的可执行文件。

• 使用允许列表仅允许在端点上执行已知的可执行文件。监视和阻止公共加密挖掘可执行文件。

• 投资于提高用户对加密劫持的意识，特别是在安全浏览行为方面。

• 在安全意识培训的背景下讨论加密挖掘。

（4）防范和应对与电子邮件相关的威胁的建议：

• 提供关于如何识别可疑链接和附件以及如何报告这些链接和附件的定期用户培训。

55

《特别回顾》

55

• 在电子邮件网关上实施垃圾邮件过滤器； 随时更新签名和规则。尽可能使用安全的电子邮件

网关， 并自动维护过滤器（反垃圾邮件、反恶意软件、基于策略的过滤）。

• 在电子邮件网关上设置安全控制， 以减少诱饵到达员工收件箱的频率或可能性。

• 实施“了解需求”访问政策，以限制任何妥协的影响。

• 确保来自组织外部的电子邮件在收到前自动标记。

• 对账户实施多因素认证（MFA）。

• 检查可疑恶意域的寿命及其所有权。

• 尽可能采用安全解决方案，使用机器学习技术实时识别钓鱼网站。

• 禁止在邮件客户端自动执行代码、宏、图形渲染和预加载邮件链接， 并经常更新它们。

• 实施减少垃圾邮件的标准之一。

• 在可能的情况下， 对于关键金融交易或交换敏感信息时， 通过使用数字

签名或加密实现安全的电子邮件通信。

• 尽可能在网络级别对入站和出站电子邮件实施欺诈和异常检测。

• 如果对电子邮件来源没有绝对信心，请勿单击随机链接或下载附件。

• 检查访问的网站的域名是否存在拼写错误， 尤其是敏感网站（如银行网站）。威胁参与者通

常注册与合法域相似的假域，并使用其来“钓鱼”。

• 为每项在线服务使用强大且唯一的密码。为各种服务重复使用相同的密码是一个严重的安全

问题， 应始终避免。

• 实施内容过滤以定位不需要的附件、包含恶意内容的电子邮件、垃圾邮件和不需要的网络流量。

• 避免回复未知发件人在电子邮件或短信中收到的新链接，最重要的是，在跟踪此类链接时不

要输入自己的凭据。

（5）防范和应对数据威胁的建议：

• 制定和维护网络安全意识计划。

• 根据“需要知道”原则限制用户访问权限。撤销非员工的访问权限。

• 建立和维护事件响应团队，并经常评估事件响应计划。

• 发现和分类敏感 / 个人数据， 并采取措施对传输中和静止的此类数据进行加密。换句话说，

部署数据丢失预防功能。

• 增加与检测、警报工具以及遏制和应对数据泄露能力相关的投资。

• 制定并维护强有力的政策， 强制执行强有力的密码（密码管理） 和使用多因素身份验证

（MFA）。

• 制定与治理、风险管理和合规团队合作的政策和计划。

• 仅在安全的 IT 资产上存储数据。

• 定期对人员进行教育和培训。

56

《特别回顾》

黄河

黄河走东溟，白日落西海，逝川与流光，飘忽不相待。

——李白

57 58

《特别回顾》

• 使用技术工具避免可能的数据泄漏， 如漏洞扫描、恶意软件扫描和数据丢失预防（DLP）工具。

部署数据和便携式系统和设备加密，以及安全网关。

• 业务连续性计划（BCP）在发生数据泄露时至关重要。该计划概述了存储的数据类型、位置

以及在实施数据安全和恢复措施时可能产生的潜在责任。

• 在公司内部实施“威胁搜寻”以加强安全计划。

• 基于 velocity 的规则等策略可用于缓解身份欺诈， 尤其是对于支付卡交易。有效交易的机器

数据可为最佳策略定义提供足够的信息。

• 单点登录（SSO）身份验证方法（如果可用） 允许用户使用同一组数字凭据访问多个应用程序。

• 在采取任何进一步措施之前， 应首先根据 IP 地址、与 IP 关联的 ASN、域所有者以及该域与

其他域之间的关系检查通过电子邮件发送或随机访问的 URL。

• 采用云服务的组织应具有强大的云安全运营能力，并更喜欢同时使用内部存储、私有云存储

和公共云存储的体系结构， 以保护其客户的个人信息。

• 对敏感数据使用强大且更新的加密方法， 如 TLS 1.3（使用临时密钥），以防止黑客攻击。

• 充分保护所有身份证件和复印件（实物或数字）， 防止未经授权的访问

• 身份信息不应披露给未经请求的收件人，他们通过电话、电子邮件或亲自提出的请求也不应

得到答复。

• 安装并使用内容过滤功能过滤掉不需要的附件、包含恶意内容的邮件、垃圾邮件和不需要的

网络流量。

• 使用数据丢失预防（DLP）解决方案。

（6）防范和应对对可用性和完整性威胁的建议：

DDoS 和基于 web 的攻击都是长期存在的威胁， 缓解 DDoS 攻击的对策如下：

• 拒绝服务响应计划对于以恢复能力为优先事项的组织至关重要， 应整合系统检查表、响应团

队以及有效的沟通和上报程序。

• 安全过程应是一项持续的活动， 跟踪并适应系统和网络的演变和生命周期。

• 相关组织之间的协作和协调对于倍增和加强缓解工作至关重要。

• 使用本地解决方案、 DDoS 清理服务或混合解决方案实施 DDoS 保护。

• 同时使用网络和 web 应用程序防火墙。

• 使用基于网络的入侵检测系统。

• 及时应用补丁， 高度重视系统更新。

• 流量分析和流量过滤有助于提供异常流量模式的早期预警信号， 这些异常流量模式是 DDoS

攻击的一个指标。

• 使用 DDoS 缓解服务来检测异常流量， 并将流量重定向到远离网络的地方，同时使用速率限

制来限制传入流量。

58

《特别回顾》

• 保护基于 web 的 API 并监控相关漏洞。

• 建立基于主动方法的威胁情报计划， 使安全态势适应不断变化的威胁环境。

利用工作人员培训和网络安全演习加强能力建设和准备工作。缓解基于 web 的攻击的对策如

下：

• 设置 web 应用程序防火墙（WAF）以识别和过滤恶意请求。WAF 必须保持更新，以保护系

统免受新发现的漏洞的影响。

• 加强代码库（例如输入隔离、参数化语句），以防止基于注入的攻击。

• 及时更新软件， 避免零日攻击。

• 正确配置和强化 web 服务器，并定期修补 Internet 上公开的所有服务器。

• 使用攻击工具、漏洞扫描程序和渗透测试服务， 持续验证安全强化的有效性。

• 启用日志记录并检查这些日志。

（7）防范和应对虚假信息 / 错误信息的建议：

缓解方法包括技术和非技术领域。一方面， 是以基于人的方法， 包括培训、检查和揭穿、监

管和沟通等方法。另一方面，技术解决方案对于限制通过社交网络传播错误 / 虚假信息非常重要。

• 培训和安全意识，为员工处理虚假信息攻击以及评估任何电子邮件和报告做好准备。

• 错误信息 / 虚假信息识别，例如，检查来源、作者、交叉引用、引用的数据和日期等。

• 事实核查和揭穿虚假报道。

• 法规：新法规（如拟议的《电子商务数字服务法》）制定，以及对包括社交网络在内的传播

虚假新闻的网站的处罚。

• 战略性和透明的沟通：事实性的， 与政治沟通分开。

• 技术对策： 重写搜索引擎算法；通过广告开展宣传活动；可信度评级，显示可疑行为； 数

字水印（标记视觉内容）； 制定以情绪跟踪和暗网监控为中心的保护战略。

（8）防范和应对非恶意威胁的建议：

• 必须采取全面的安全方法， 传统安全通过实物保护和灾难恢复得到丰富。

• 采用考虑非恶意威胁以及云服务的风险管理流程。

• 持续监控和测试，及时发现错误和错误配置，需要强有力的组织政策来减少人为错误。

• 对数据和安全采用基于治理的方法，允许对数据进行全面考虑和跟踪。

• 处理漏洞的补丁管理计划，补丁管理必须考虑供应链风险，针对所有类型用户的培训和意识。

• 对物理基础设施进行工程设计， 使其更能抵御自然事件， 并对公用设施进行适当管理， 以

确保在发生意外事件或短缺时的业务连续性。

59

《特别回顾》

伊犁河

朝看水东流，暮看日西坠， 百年明日能几何？请君听我明日歌。

——明 钱福《明日歌》

60

《特别回顾》

2021 年，全球网安数据泄露事件研究

转载：《信息安全与通信保密》 作者：C ismag

中国曾发布的《全球数据安全倡议》中提出：“作为数字技术的关键要素，全球数据爆发增长，

海量集聚，成为实现创新发展、重塑人们生活的重要力量，事关各国安全与经济社会发展。”数据

的重要性不言而喻。然而，近年来，全球数据被攻击、窃取、劫持等现象又层出不穷，俨然成为安

全的“重灾区”，给经济、政治、社会等领域带来巨大风险。

2021 年，新冠疫情仍然肆虐全球，全球各行业数字化转型加速，数据的价值在进一步凸显，

数据泄露也在持续高频发生，也不断地登上头条新闻，涉及从医疗信息、账户凭证、个人信息、企

业电子邮件及企业内部敏感数据等各种信息，涉及的领域包括工业制造、政务、医疗、金融、交通

等等，不一而足，面临的形势依然非常严峻。

一、整体态势

根据身份盗窃资源中心 (ITRC) 的数据，今年迄今为止公开报告的数据泄露数量已经超过 2020

年的总数，2021 年有望创下历史新高。

该非营利组织的 2021 年第三季度违规量数据为 446 起事件。尽管这低于第二季度报告的 491

起违规事件，但今年迄今为止的总数现在为 1291 起，而 2020 年为 1108 起。其中，云的数量有

明显的增长，个人信息的占比有所增加，业务信息占比较大。

根据 Canalys 的最新报告“网络安全的下一步”，2020 年数据泄露呈现爆炸式增长，短短 12

个月内泄露的记录比过去 15 年的总和还多。勒索软件攻击激增，并且首次夺取生命，报告的勒索

软件攻击事件数量与 2019 年相比增长了 60％。

信息化程度越高的行业，数据泄漏事件越多，且泄漏所造成的危害越大。信息化使得现实世界

在网络空间中的映射愈加具体，物理空间中受到层层保护的信息在网络空间中却唾手可得，信息化

建设和信息安全之间仍存在脱节。

内部人员仍然是数据泄漏的首要因素，其主要目的仍然是获利，这说明组织机构在数据安全教

育、风险监控等方面还需要提高。泄漏的数据又对其它的数据形成威胁，这种链式反应加速了数据

泄漏，使越来越多的机构和个人遭受损失。

61

《特别回顾》

二、呈现特点

1、企业承包商遭受攻击趋势明显

全球企业通过其承包商遭受攻击已经成为一个明显的趋势。企业的业务数据通常分布在多个第

三方，包括服务提供商、合作伙伴、供应商和子公司。因此，组织不仅需要考虑影响其 IT 基础设

施的网络安全风险，还需要考虑那些可能来自外部的风险。

根据调查，三分之一 (32%) 的大型组织遭受了涉及与供应商共享数据的攻击。这个数字自

2020 年的报告以来，没有明显变化 ( 当时是 33%)。这种形式的财务影响也与去年相同——即 140

万美元——但是当时，它在所有形式的攻击造成的平均损失排名中位列第 13 位。

2、人为疏忽依然是安全的最大威胁

威瑞森发布《2021 年数据泄露调查报告》发现，61% 的数据泄露与凭证数据有关。与上一年

的报告一脉相承，人为疏忽依然是安全的最大威胁。

数据泄露调查报告中的每个行业在安全上都存在自身特有的细微差异。例如，金融和保险行业

被盗数据中 83% 都是个人数据。医疗保健行业深受电子病历或纸质文件误投的困扰。而在公营产

业中，社会工程是攻击者的技术之选。

按地区划分，亚太地区的数据泄露通常出于金融动机，由网络钓鱼攻击造成。在欧洲、中东和

非洲，Web 应用攻击、系统入侵和社会工程攻击是常态。

3、数据泄露成本增幅较大

IBM 发布了“2021 年数据泄露成本报告”，2020-2021 年平均数据泄露总成本将增长 10%，

这是过去七年来最大的增幅。

107 万美元的成本差异，远程工作是导致数据泄露的一个因素。由于新冠疫情，远程工作和数

字转换增加了数据泄露的平均总成本。医疗行业的数据泄露成本连续 11 年保持最高。医疗保健机

构连续第 11 年保持其数据泄露平均成本榜首位置。

数据泄露成本中有 38% 是业务损失。损失业务占数据泄露成本的份额最大，平均为 159 万美

元。个人识别信息的泄露成本为 180 美元。客户个人识别信息（PII）是最常见的数据泄露类型，

占 44% 的数据泄露事件。20% 的数据泄露最初是由凭据泄露造成的。凭证是最常见的初始攻击媒介，

占 20% 的数据泄露事件。发现到遏制数据泄露平均需要 287 天。识别和控制的时间越长，违规的

成本就越高。

62

《特别回顾》

4、泄漏数据记录数量增幅明显

根据 Imperva 发布的最新报告，自 2017 年以来，全球网络攻击泄漏数据记录的数量平均每年

增长高达 224%。仅 2021 年 1 月报告的泄露记录（8.78 亿）就超过了 2017 年全年（8.26 亿）。

Imperva 安全研究员 Ofir Shaty 表示，在过去四年中，此数字有所增加，与此同时，报告的

攻击事件数量也增加了 34％，每个事件的平均泄露记录数量增加了 131％。

根据身份盗窃资源中心 (ITRC) 的数据，今年迄今为止公开报告的数据泄露数量已经超过 2020

年的总数，2021 年有望创下历史新高。

该非营利组织的第三季度违规量数据为 446 起事件。尽管这低于第二季度报告的 491 起违规

事件，但今年迄今为止的总数现在为 1291 起，而 2020 年为 1108 起。到目前为止，与 2020 年

全年相比，2021 年数据泄露量增加了 27%。

IBM Security 统计分析了全球 500 多家公司和组织的 10 万条记录，于今年 8 月发布的一份

研究报告显示，就攻击的规模而言，有 14 家公司被确认遭受了重大的数据泄露，涉及 1000 多万

条记录的泄露，造成 5200 万美元损失，到涉及 6500 多万条记录的泄露事件，损失 4.01 亿美元不

等。所有的因素，如技术、法律、监管、员工生产力的损失、品牌资产和消费者损失都包括在内。

三、主要挑战

在数据时代，数据是一种“泛在”性的存在，其安全的维护是一个非常复杂的系统，但按照涉

及议题的属性，大致可以将当前数据安全面临的主要挑战或问题划分为以下四大类：

1、数据确权难题

有效维护数据安全，首要的问题是对数据进行确权。所谓数据确权，是对数据权内容、权属、

权利体系和治理机制等做出明确规范的过程。由于数据问题本身的特殊性，数据确权从不同主体层

面均面临不同程度的困难。

2、数据垄断困境

互联网行业以用户量和数据量为导向形成“赢者通吃”的天然垄断局面，绝大部分用户份额控

制在一个或几个巨型互联网公司之中。数据垄断会带来系列问题，一是隐私保护问题，用户交付个

人信息以换取互联网企业免费服务的同时，所产生的大量行为数据也被互联网企业所搜集。二是加

大数据泄露风险，海量数据集中在少部分平台和公司之中，也增大了大规模数据泄露的风险。三是

63

《特别回顾》

市场垄断问题。企业对于数据的排他性支配是否在事实上导致准入壁垒，进而使得互联网市场趋向

垄断，长远看会影响行业整体的良性发展态势。

3、数据泄露危害

所谓数据泄露主要是指受保护的重要、敏感、核心数据丢失、被盗、或其他未经授权的访问或

公开。数据泄露侵犯网络用户个人信息和隐私，增大用户被欺诈风险；企业数据泄露造成直接经济

损害，同时影响企业可信度；公共数据泄露影响社会治理，违法售卖数据等既是犯罪本身也可能引

发其他类型的网络犯罪；核心、机密数据以及大规模数据泄露同样威胁着国家的政权安全和主权安

全。

4、数据造假隐患

近年来，数据篡改或造假问题日益引起广泛关注。数据造假已成为社会多领域内的问题，包括

环境监测、金融数据造假。例如，在电商平台、视频网站以及社交平台上的公开数据也有相关造假

手段；如果基于被篡改的数据与作假的数据，人工智能算法的有效性与学习效果不难想象等等。

四、思维误区

根据 IBM 与 Ponemon Institute 基于对全球 17 个国家 500 多家真实经历过数据泄露企业进

行的分析调研报告指出，2021 年遭受数据泄露的企业单次数据泄露事件平均耗费成本为 424 万美

元，这个数字相比 2020 年增长了 10%，成为了历史上数据泄露成本的最高值。

分析报告指出，凭证泄露引发的数据泄露是最常见原因，也是企业被攻击到发现用时最长的威

胁，平均需要 250 天。调查发现，企业面对数据安全方面存在以下几个误区。

1、企业缺乏网络安全要求

调查分析发现，81% 的企业认为自身网络安全高于平均水平，但很多企业实际缺乏网络安全基

本要求，41% 的企业不要求进行复杂密码管理和身份验证。

2、企业存在侥幸心理

一些企业认为只要部署基本防御就没问题，一般不会出现数据泄露问题，即使遭遇勒索攻击只

要支付赎金即可的认知误区。事实上，在过去的一年中，有 72% 的受访企业遭受过勒索软件攻击，

其中 13% 的企业被攻击了 6-10 次。

3、企业有意识但无行动

64

《特别回顾》

还有一个非常重要的问题，一些企业虽然意识到包括勒索软件在内的安全威胁，

把邮件攻击列为攻击风险最高的载体，但在实际安全行动上比较非常滞后。

五、整体趋势

1、数据泄漏将会日趋严重

数据泄漏事件的数量以及单次泄漏的数据量都呈逐年增高的趋势，泄漏的数据内容和影响的人

数也在不断刷新纪录。在数字经济时代，数据已经成为生产要素。受利益驱动，对数据的争夺将会

更加激烈。

2、数据安全挑战不断

线上业务的爆发、或业务上云都使得数据安全风险骤增。虽然数据安全技术在持续进步，但新

技术的出现仍会对现有安全体系形成冲击。例如大数据技术、5G、人工智能、云计算和物联网使防

护场景更复杂，数据交易使数据的流动更频繁，这都要求数据安全技术和理念不断演进。

3、对数据安全的认识不足

很多起数据泄漏事件是因为员工对数据安全缺乏足够重视。数据安全与网络安全相比，尚未得

到完全普及。很多组织机构无法判断数据安全的范围，认为做好网络安全就能拥有数据安全。这导

致组织机构的员工从未认真对待过数据安全风险。

4、流动数据发生泄漏的风险增加

数据泄漏在使用交换阶段的占比增加，将会对数据流动产生负面影响。数据作为生产要素，自

主有序流动是其本质要求。惟有数据安全先行，数据流通共享才能达到一个全新的高度，数据的价

值才能得到充分发挥。没有数据安全，不足以谈数据要素的市场化配置。

5、当前的数据安全缺乏体系化防护

数据发生泄漏的原因多且复杂，有关联的因素包括人员、应用、数据内容和使用方式等方面。

企业机构目前仅依赖若干孤立产品进行安全防护，已不能应对当前复杂的应用场景，更谈不上创新

性和前瞻性。

六、防护建设

1、以数据为中心的安全防护要素

本文提出的大数据安全防护技术体系，基于威胁情报共享和采用大数据分析技术，实现大数据

安全威胁的快速响应，集安全态势感知、监测预警、快速响应和主动防御为一体，基于数据分级分

65 66

《特别回顾》

类实施不同的安全防护策略，形成协同安全防护体系。围绕以数据为核心，以安全机制为手段，以

涉及数据的承载主体为目标，以数据参与者为关注点，构建大数据安全协同主动防护体系。以数据

为中心进行安全防护的要素如图 1 所示。

图 1　以数据为中心的安全防护要素组成

（1）数据是指需要防护的大数据对象，此处指大数据流转的各个阶段包括采集、传输、存储、

处理、共享、使用和销毁。

（2）安全策略是指对大数据对象进行安全防护的流程、策略、配置和方法等，如根据数据的

不同安全等级和防护需求，实施主动防御、访问控制、授权、隔离、过滤、加密、脱敏等。

（3）安全产品指在对大数据进行安全防护时使用的具体产品，如数据库防火墙、审计、主动

防御系统、APT 检测、高速密码机、数据脱敏系统、云密码资源池、数据分级分类系统等。

（4）防护主体是指需要防护的承载大数据流转过程的软硬件载体，包括服务器、网络设备、

存储设备，大数据平台、应用系统等。

（5）参与者是指参与大数据流转过程中的改变大数据状态和流转过程的主体，主要包括大数

据提供者、管理者、使用者和大数据平台等。

2、主动防御的大数据协同安全防护体系

在大数据环境下需要构建具有主动防御能力的大数据协同安全防护体系，在总体上达到“协同

联动，体系防御”的安全防御效果。大数据协同安全防护体系必须具备威胁的自动发现、策略决策

的智能分析、防御策略的全局协同、安全资源的自动控制调度以及安全执行效果的综合评估等特征。

66

《特别回顾》

其中威胁的自动发现和防御策略的全局协同是实现具有主动防御能力大数据协同安全防护体系

的基础。大数据的安全并不仅仅是大数据平台的安全，大数据的安全应该以数据生命周期为主线，

兼顾满足各个参与者的安全诉求。大数据的安全动态协同防护体系架构如图 2 所示。

图 2 主动防御的大数据协同安全防护体系

3、大数据协同安全防护流程

大数据协同安全防护强调的是安全策略全局调配的协同性，安全防护手段的主动性，以威胁的

自动发现和风险的智能分析为前提，采用大数据的分析技术通过安全策略的全局自动调配和防护手

段的全局联动。具有主动防御能力的大数据协同安全防护流程如图 3 所示。

图 3 大数据协同安全防护流

七、启示思考

综上所述，数据安全作为一个时代性议题，需要在发展中不断探索。当前国际数据安全维护现

状与趋势带来的启示在于以下几点。

67

《特别回顾》

一是意识要适当“超前”。中国作为数据大国，考虑到数据战略价值，尤其是未来数字经济发

展需要，不仅要考虑数据能够“护得住”，更要考虑数据能够“拿得来”，这就需要在制定国内数

据安全维护政策措施时，要考虑是否达到安全与发展的最佳平衡点，是否能够和其他具有数据潜力

的国家或地区有效对接，促进数据的流动。

二是策略要足够“丰富”。要深刻认识到数据安全是一个战略问题，更是一个实践问题，不仅

要从国家层面制定相应的战略，出台相关法规，完善应有机制，更要在实践中，发挥非国家主体，

尤其是行业和企业的作用。一方面要听取他们作为“落地一线”的反馈，不断校准与修正相应政策，

提升政策的有效性；另一方面要鼓励他们寻求更加有效的技术或标准解决方案，以最佳实践提升数

据安全的话语权和影响力。

三是议程设置要足够“主动”。当前数据规则还在发展初期，正是加紧“塑造”的战略机遇期。

不论是在双边、区域还是多边场合，对于数据规则探讨的议程设置都应该更加积极。一方面要在一

些既有机制下，就重要议题拿出有影响力的主张或有说服力的案文；另一方面还要主动搭建相关渠

道，以开放和促进数据流动的姿态，引导数据安全规则探讨，从而全面提升话语权。

• 零信任安全方法，假设一切都被认为是恶意和不可信的。

• 提高最高管理层对网络安全和物理安全必须整合的认识。

• 恢复计划和备份是提高系统恢复能力的基础。

• 物理破坏可促进攻击。例如， 物理访问控制、无人值守设备中的漏洞可帮助对手进行攻击。

• 内部设备（加热、通风和空调） 中的错误和故障可能导致火灾、潮湿和不稳定电源可能损坏

IT 基础设施的情况。

• 风险评估、灾难恢复技术和人员培训至关重要。

68

额尔古纳河

莫等闲，白了少年头，空悲切。

——岳飞《满江红·写怀》

69

《硬核盘点》

揭开这些硬核国货的神秘面纱

产品是无形技术的有形载体，亦是企业整体实力的具体体现。

2021 年，山石网科践行“可持续安全运营”技术理念，不断丰富产品线，持续迭代安全产品，

为数字世界网络安全保驾护航。目前，山石网科已形成了涉及边界安全、云安全、数据安全、业务安全、

内网安全、智能安全运营、安全服务、安全运维等八大类网络安全产品及服务，致力于为用户提供

全方位、更智能、零打扰的网络安全解决方案。

2021 年，这些承载着山石人智慧和汗水的新“硬核国货”，让我们一起来回顾一下。

一维到多维，数据治理应该体系化落地

【DSGP】山石网科数据安全治理平台

• 补全山石网科网安建设版图，从边界、云端、内网、数据等形成全方位安全解决方案；

•“一维到多维 混沌到有序”的数据安全治理体系，最佳落地承接；

• 数据资产可视化、安全能力集中化、运营分析体系化、制度流程标准化，一个都不落；

• 真正的全生命周期、全业务场景的数据安全治理解决方案。

理念持续变革，网络极智守护

【A 系列】山石网科 A 系列智能下一代防火墙

• 18 款新品，涵盖桌面型以及机架款型，你要的全都有；

• iNGFW + 山石云·瞻情报中心，尊享全生命周期的安全防护体验；

70

《硬核盘点》

• 联动云端、本地感知恶意威胁行为，实现未知防御检测以及防护；

• 感知，准入，分类，控制，物联网设备的维管效率大大提高；

• 开创性的容器化服务能力，让精细化定制需求成为可能。

针对私有云、公有云、混合云场景，覆盖容器、虚机和物理机环境的一站式安

全防护解决方案

【山石云铠】云原生应用防护平台

• 一站式安全防护：覆盖容器、虚机和物理机等多种应用环境

• 零信任：以微隔离技术理念实现“零信任”安全落地

• 高级威胁检测：实时检测高级威胁，主动实施行为管控

• 合规基线：持续评估基础设施安全，全面掌控云环境风险

• 可视与监控：直观呈现互访关系画像，实时监控运行时安全

• 云原生架构：以云原生架构高效、灵活防护云原生应用

XDR，就是未来

【山石网科 XDR 解决方案】山石网科智源智能安全运营系统

• 全新的“云网端 X”安全运营架构，向 XDR 时代大步迈进；

• 跨越多个安全域 / 层 / 堆栈，覆盖全链条数据，海量多源异构信息统一采集分析聚合；

• 对攻击前、中、后全生命周期威胁检测，实现攻击链完整还原、溯源定位取证；

• SOAR 加持，剧本编排实现不同场景下全 / 半自动预警响应处置闭环，提高运营效率；

• 从宏观、中观、微观多维度可视化呈现影响网络安全的各因素指标，安全状况一目了然；

• 持续优化检测模型、事件处置及跟踪状态，将人、技术、流程进行最优结合，有效解决安全

运营最后一公里；

•“全息、量化、智能、协同”四大网络安全技术特性加持，构建可持续安全运营。

立体防护，精准检测

【S 系列】山石网科新一代入侵防御产品

• 新一代高性能入侵检测引擎，威胁检测更加稳定高效；

• 结合威胁情报平台的高可信情报，轻松应对僵尸网络及挖矿检测；

• 与云端安全运营中心的实时联动，实现云网端安全运营闭环；

• L2-L7 的全面的防护能力，带给你精准的立体防护体验。

自主可控方得网络安全 山石网科国产化产品系列

• 国产化生态共建加速：信创产业链上下游“适配”工作上一台阶，与多家主流芯片、操作系统、

71

《硬核盘点》

72

内存等厂商完成兼容性适配认证；

• 国产化产品矩阵日益丰富：相继推出了基于飞腾、兆芯等国产 CPU 平台，搭载麒麟国产操作

系统的国产化网络安全产品，如：下一代防火墙、IPS、WAF 和负载均衡等。21 年，11 款国

产化网络安全产品上新，进一步完善产品梯队；

• 业务驱动效能提升：基于用户场景进行产品的迭代升级，满足更多场景应用需求。国产化安

全产品业务覆盖数据中心边界防护、内网安全隔离、互联网安全防护等多个应用场景，已在政务、

金融、运营商、能源等多个行业广泛应用。

为网安人才培养，提供源动力

山石网科综合实训平台

• 聚焦网络空间安全人才培养的教育全场景，提供覆盖专业建设 + 人才培养方案规划 + 课程体

系建设 + 实验、实训环境建设综合一体化解决方案；

• 针对院校教学实训等核心场景，提供教学平台、实训平台、竞赛平台、攻防演练平台的专业

化交付和优质师生体验；

• 提供融合多方向前沿技术典范案例的工程实践课程体系定制开发、特色教学支撑、师资培养、

体系化认证、实训实验室建设、赛事闭环支撑保障、实习就业指导等一体化综合服务。

让信息交换，安全且高效

【网闸】 山石网科安全隔离与信息交换系统产品

• 补全了医疗、政府、公安等细分行业的全场景解决方案；

“2+1”双主机架构，隔离与交换，安全进行，数据传输最便利；

• 强强联合：“防火墙 + 入侵防御 + 网闸”，边界区域最给力的安全搭配；

• 双机模式部署，可用性轻松 GET ！

分布式架构，性能可靠性双提升

【X 系列】 山石网科新一代数据中心防火墙

• 面向 5G 应用场景，灵活多管道控制，关键业务可保障；

• 支持硬盘的主控卡，海量日志存储轻松搞定；

• 每 G 吞吐能力优异，高性价比，绿色节能；

• 板件间冗余，支持热插拔，提供电信级可靠性。

山石网科云端安全能力中心

• 构建山石云端数据湖，为可持续安全运营提供数据基础；

《硬核盘点》

• 威胁情报中心围绕生态、运营、赋能三维提升，让主动防御成为王道；

• 多个自研 AI 防御引擎持续赋能，让已知与未知威胁无所遁形；

• 全球实时的云网端安全运营闭环，助你实现真正的可持续安全运营。

随着万物互联时代的来临，互联网以“开放”、“包容”的姿态接纳各类型设备的接入，以云计算、

大数据、社交与移动技术为代表的第三方平台技术得到广泛的应用，IT 架构发生了巨大的变化。数

字化在带来更加便捷生活的同时，各类意想不到的网络安全隐患悄悄的潜伏在我们周围。面对当前

愈加隐匿、复杂和多变的网络安全问题，传统被动式安全防御体系逐渐失效，智能化的主动安全防

御体系已经成为当前网络建设的主流。

2021 年，公司在各安全领域持续加强产品优化和创新，不断完成产品的迭代升级。我们坚信

要实现创新，就必须深入用户真实的应用场景，不仅要“换位思考”，更要“换位体验”。与用户

共同面对问题和挑战，共同体验成败悲喜，这样我们才能实现“为您的安全竭尽全力！”的使命。

73

73

西藏羊卓雍错

天可补，海可填，南山可移。日月既往，不可复追。

——曾国藩

74

《硬核盘点》

硬核荣誉，演绎山石精神

实力与品质，演绎山石精神

春有风筝，夏有鱼；秋有青鸟，冬有雁。

这一年，山石网科在为网络安全保驾护航的道路上砥砺前行，始终践行“为您的安全竭尽全力”，

不断输出高效、稳定的安全防护，为用户提供全方位、更智能的安全解决方案。山石人用奋力拼搏

的身影，为 2021 画上了一个完美的句号。

这一年，山石网科拿奖拿到手软，2021 年度荣誉大盘点，我们一起看看这一年的精彩瞬间！

1 月 Jan.

“2020 年中国云计算生态 500 强（Cloud500）榜单在由 B.P 商业伙伴主办的 2020 中国云计

算生态峰会上正式揭晓，山石网科凭借在云安全领域的优异表现，入选“2020 Cloud500 图谱入

侵管理服务供应商”。

中共山西省委网信办正式公布了“2021 年网络安全应急技术支撑单位”的评选结果。山石网

科凭借专业的安全服务能力、良好的业界口碑成功当选。

2 月 Feb.

在中关村可信计算产业联盟指导下，可信大数据专业委员会授牌仪式在北京圆满落幕。山石网

科凭借在数据安全领域强大的技术实力和完善的产品布局被评选为“可信大数据专委会”委员单位。

由信息安全与通信保密杂志社、中国网络空间安全网主办的 2020 年度“中国网络安全与信息

产业金智奖” 重磅揭晓。山石网科获得“年度最具影响力企业奖”，并凭借“构建智慧医疗可持续

安全运营体系”解决方案荣获“年度优秀解决方案奖”。

山石网科被国家计算机网络应急技术处理协调中心广东分中心（GDCERT/CC）评为“2020 年

度广东省网络安全应急服务支撑工作优秀支撑单位”。

数说安全通过调研中国网络安全防火墙市场，发布了《中国网络安全防火墙顶级供应商评估报

告》。山石网科下一代防火墙获得“顶级供应商”称号，并在基础网络能力、高可靠性、安全管理

与易用性 3 个方面获得 A 级评定，远程接入能力、安全防护能力等 5 个方面获得 B 级评定。

75 76

《硬核盘点》

75

3 月 Mar.

山石网科被江苏省委网信办评为“2021 年度江苏省网络安全技术支撑机构”。本次获奖，是

继 2020 年 6 月被认定为“江苏省网络安全重点企业”后，山石网科再获江苏省委网信办认可。

安全牛第八版《中国网络安全行业全景图》正式发布，山石网科入选 7 大分类中的 24 项二级

细分领域，展现了完善的产品布局和全场景网络安全解决方案能力。

4 月 Apr.

全 球 权 威 咨 询 机 构 Gartner 发 布 了 2021 Gartner Peer Insights “Voice of the

Customer”报告。基于终端用户和专业人员对产品和解决方案的反馈和评价，山石网科以 4.8 分（满

分 5 分）的客户评分，连续两年获得网络防火墙“客户之选”荣誉称号，成为全球仅有的五家、中

国仅有的两家获此殊荣的厂商之一。

由中国关键信息基础设施技术创新联盟、《网信自主创新调研报告》编委会主办的《2020 网

信自主创新调研报告》发布仪式，山石网科凭借在《报告》编写工作中的突出贡献，被评选为《2020

网信自主创新调研报告》突出贡献单位。

FreeBuf 咨询正式发布《CCSIP 2021 中国网络安全产业全景图》（第二版）。山石网科入选

8 大类中的 18 项细分领域。

全球知名咨询机构 IDC 发布了《2020 年下半年中国 IT 安全软件市场跟踪报告》，山石网科凭

借 2020 年下半年在中国软件安全网关市场领域的优异表现，市场份额跃居中国前三，成为前三强

中唯一的专业网络安全厂商，排名仅次于两家全球排名前五的公有云服务商。

5 月 May.

全球网络安全行业的盛会 RSAC 2021 盛大开幕。山石网科作为中国网络安全行业的技术创

新领导厂商，不但连续 11 年参加 RSA 大会，更荣获国际权威网络安全杂志《Cyber Defense

Magazine》颁发的数据中心安全领域市场领导者、下一代防火墙最佳创新奖、SD-WAN 技术前沿

奖三项大奖，在全球网安舞台上展现了来自中国的“山石力量”。

全球知名数据调研分析机构 IDC 发布了 2021 年《IDC Perspective：中国数据安全市场研究》

报告，山石网科凭借在数据安全治理领域多年的技术积累与实践经验，作为“综合型安全公司”的

代表企业强势入选。

76

《硬核盘点》

6 月 Jun.

中国网络安全产业联盟（CCIA）、数说安全联合发布了“2020 年 CCIA 中国网络安全竞争力 50 强”

（CCIA 50 强）榜单，山石网科凭借优异的产品性能、强大的研发能力和良好的客户口碑成功入选，

位列榜单第 15 名。

中国农业银行股份有限公司全行防火墙设备入围项目中标结果公示，山石网科凭借领先的技术

创新和优质的产品服务，成为高端及中高端防火墙（标段：大容量及普通防火墙）采购名单中的“第

一中标候选人”，再次确立了山石网科金融行业网络安全核心供应商，及中国网络安全行业的技术

创新领导厂商地位。根据中标公示，未来 3 年山石网科将成为农行系统内防火墙采集第一候选人。

第二届国际零信任峰会在青岛圆满落幕，CSA 大中华区正式发布了《2021 零信任落地案例集》，

山石网科为南京市中医院提供的云数据中心“零信任”建设项目案例成功入选，展现了山石网科强

劲的产品实力和完备的网络安全解决方案能力。

7 月 Jul.

数说安全正式发布《2021 年中国网络安全市场全景图》，山石网科入选 7 大分类中的 14 项二

级细分领域，展现了完善的产品布局与全场景网络安全解决方案能力。

8 月 Aug.

中国石化国际事业有限公司安全网关设备入围项目中标结果公示，山石网科凭借着优质的产品

服务和领先的技术创新优势，成功入选安全网关设备采购名单。这再次证明了山石网科稳定的产品

性能、成熟的安全服务能力以及雄厚的品牌实力，持续不断地获得各行业头部客户认可。

9 月 Sept.

山石网科获增强级负载均衡许可证，成为国内首家，也是截至目前唯一一家拥有负载均衡产品

（增强级）销售许可证的网络安全产商。

10 月 Oct.

在南京晓庄学院的方案设计上，山石网科凭借精准的客户需求把握和独到的安全理解，以独具

差异化的“可持续安全运营服务方案”入选了 2021 年南京市网络安全优秀实践案例，成为了行业

内的“标杆”。

山石网科安全服务团队正式当选为“南京市网络安全应急技术支撑单位”。这是山石网科继江

苏省和苏州、徐州、连云港、泰州、常州等地市技术支撑单位后，又获得的一大殊荣。

77 78

《硬核盘点》

77

在南京市 2021 年网络安全宣传周中，山石网科以优异的成绩被授予“网安 2021”南京行动有

功单位称号。

苏州高新区第二届“高新匠领”技能大赛中，山石网科研发部的黄冲、杭宏波、祁海珍和杨阳

喜获“苏州高新区技术能手”荣誉称号。

山石网科安全服务事业部在广东省数字政府网络安全攻防演练活动中荣获“粤盾 -2021”优秀

攻击队伍三等奖。

2021 年第三季度，全球最具影响力的独立研究咨询公司之一 Forrester 发布了最新的《微隔

离报告》，山石网科凭借全球领先的微隔离与可视化方案（山石云·格 & 山石云铠）成为国内首批

入选 Forrester 微隔离报告的综合性安全厂商。

11 月 Nov.

数世咨询发布 2021 年度《中国数字安全能力图谱》，山石网科凭借突出的技术创新能力，入

选信创安全领域“创新者”。

2021 年第四季度，全球最具影响力的独立研究咨询公司之一 Forrester 发布了最新的《网络

分析与可视化（NAV）报告》， 该报告从市场发展情况和产品功能两个维度，推荐了全球 32 家顶

级 NAV 解决方案提供商，旨在为专业人士对 NAV 解决方案的选择提供参考。山石网科凭借行业领

先的 NAV 解决方案（山石智源 • 智能安全运营系统）成功入选。

山石网科荣获广东省公安厅网络警察总队“技术支撑单位”称号、网络安全攻防演练“优秀支

撑单位”称号。

12 月 Dec.

全 球 权 威 IT 研 究 与 咨 询 机 构 Gartner 发 布 了 2021 年 Magic Quadrant for Network

Firewalls 报告。山石网科连续第 8 年被列入该份报告。

第二届 ISC 网络安全创新能力百强领奖典礼中，山石网科凭借出色的技术优势和丰富的产品种

类入围网络和流量安全领域、云安全领域获奖名单，斩获 ISC2021 网络安全创新能力百强企业殊荣。

FreeBuf 咨询正式发布《CCSIP 2021 中国网络安全产业全景图》（第三版），本次发布的全

景图展示了 87 项细分安全领域，收录了 578 家安全厂商，为企业安全建设及产品选型提供参考。

78

《硬核盘点》

山石网科入选 11 大类中的 35 项细分领域，展现了完善的产品布局和全场景网络安全解决方案能力。

网络安全产业垂直资讯媒体安全 419 发布《安全 419 编辑推荐 | 2021 年度优秀安全厂商》名单，

山石网科以持续的技术创新与优质产品服务入选云安全篇实力厂商。

2021 完美收官，2022 奋进前行！

唯有孜孜不倦的前行，才能得到掌声与肯定。

未来，山石网科将恪守初心，

扬帆踏浪，开启全新篇章！

79

注：部分奖项展示

《 媒体祝福》

鲁藏布江

广西·阳朔