2022，网安风起

安全思想建设第一指导手册

趋势探析 | 2022 年，十大安全技术趋势

特别回顾 | 2021 年，十大安全漏洞

特别回顾 | 2021 年，十大网安事件

总第04

2022/02

春节特刊

目录

《总结与预测》

《新年贺词》

《 媒体祝福》

《趋势探析》

《硬核盘点》

P

P

P

P

P

01

03

07

13

70

03 2022 年浅探 ( 大趋势篇 )

04 2022 年浅探（细分领域篇）

05 2021 年回顾（产业篇）

06 2021 年回顾（事件篇）

01 变与不变

70 揭开这些硬核国货的神秘面纱

75 硬核荣誉，演绎山石精神

13 2022 年，十大安全技术趋势

07 新思想，新观点，新希望

21 2021 年，十大网络安全政策

27 2021 年，十大网安事件

37 2021 年，十大安全漏洞

42 2021 年，全球网安威胁发展态势

61 2021 年，全球网安数据泄露事件研究

P21《特别回顾》

《新年贺词》

变与不变

在携手走过了第二个起起伏伏的疫情波动之年之后，我们迎来了 2022 年的平安相见。

如果用一个字来概括这一年，我选择“变”。全世界范围内的生产、生活方式都在被彻底改变：

规则在变、习惯在变、行为在变、趋势在变、生活中遇到的种种挑战也在变。变化不仅越来越多，

变化的速度也越来越快了。在后疫情时代，仿佛一切，都进入了快车道。

如何在持续不断的变化中寻找到让自己不断前行的东西？这可能是每一个组织和人，都会问到

自己的问题。我自己对这个问题的想法是，在持续的变化中，与其将目光放在无法预知的外在变化上，

也许我们更适合思考，什么才是那个“内在的、不变的、重要的”部分。

对于山石网科来说，这个内在不变的重要部分——是我们作为技术信仰者的坚持，以及成为您

优质可靠伙伴的坚持。过去的 2021 年，我们审视了我们一直都在坚持的东西，也审视了山石对产业、

对社会、对国家的作用和价值。我们愈发看清，在中国从数字大国走向数字强国的方向上，山石网

科在继续前行的路上大有可为。

回顾 2021 年，十四五规划提出加快数字化发展、建设数字中国，推进网络强国建设；安全作

为数字化建设的底座之一需要引起重视。当然，我们也在去年看到，多项政策如《数安法》、《个

信法》、《关保条例》的陆续施行、还有《网络安全产业高质量发展三年行动计划》征求意见稿的

发布，这些政策、法规、条例，都为数字化建设和安全产业的发展打下了良好的基础。

如今，抗击疫情捍卫网络安全，是我们要做好的工作；筑牢安全建设，保障数字经济的可持续

发展，支撑“双循环”战略的落地，更是我们要做大做强的事业。新的 2022 年，我们保持冷静的

观察与思考，做一个长期主义者，踏实前行！与时代同行！与祖国同行！

《岩谈》第四期，以 2022 年网安技术趋势探析和 2021 年“网安事件 + 政策法规 + 威胁变化

+ 漏洞攻击”回顾为主体内容，呈现给大家。

新年贺词

山石网科董事长兼 CEO 罗东平

01 02

《 媒体祝福》

02

额尔古纳河

流光容易把人抛，红了樱桃，绿了芭蕉。

——蒋捷《一剪梅》

《总结与预测》

年度资讯回顾

2022 年浅探（大趋势篇）

1、2022 年中国未来数字创新十大预测

报告对于中国企业未来进行数字化创新可参考的方式、获得的收益、相关技术的发展方向进行

了预测，并对企业 IT 产生的影响给出了分析以及相应的建议。

2、2022 年中国未来网络十大预测

日益普及的云、AI 和工业互联网给企业办公和生产带来了新变化，具体体现在参与的人员范围

拓宽到合作伙伴甚至最终用户、各类物体实现数字化、应用变得弹性与智能、数据交互发生在各个

层面。新技术与网络相结合，形成了网络 + 云、网络 +AI 和网络 + 工业的网络 + 新趋势。

3、2022 年 8 大网络安全趋势预测

远程工作、虚拟会议、混合云网络和 SaaS 采用都带来了复杂的 IT 基础设施，这些基础设施开

辟了新的威胁途径。同时，公民、社会组织还必须确保其组织遵守新法规。本文结合了行业报告和

专家观点对 2022 年的网络安全趋势进行了八大预测。

4、2022 年全球 IT 行业 10 大预测

IDC 预计，到 2022 年，全球一半以上的经济将基于数字化或受数字化影响，因为大多数产品

和服务都将采用数字化交付模式，或者需要数字化增强才能保持竞争力。到 2024 年，一半以上的

ICT 投资将与数字化转型挂钩。

5、2022 年网络安全开支趋势

企业 2022 年网络安全支出预计保持稳定，只有一小部分安全主管的预算会下降。44% 的安全

主管预期自己的预算在未来 12 个月内将有所增长，而 41% 的受访安全主管见证了自身 2021 年预

算同比增长。54% 的受访安全主管预期自己未来 12 个月的预算将与去年保持一致。

6、2022 年信息通信业 (ICT) 十大趋势

十大趋势以数字经济为统领，各行业数字化转型纵深推进，呈现出数字化、绿色化和智能化发

展趋势。面向未来，5G、人工智能、先进计算、信息网络等 ICT 技术将加速集成创新，网络安全向

数字安全拓展延伸，ICT 产业自身在快速发展的同时，将更好、更快、更深的赋能行业数字化转型，

推动数字经济健康快速发展。

03 04

《总结与预测》

2022 年浅探（细分领域篇）

1、2022 年十大云安全趋势

根据 IDC 最近的一份报告，98% 的组织在过去 18 个月中至少遭受过一次云安全漏洞利用。大

约 79% 的公司至少经历过一次云数据泄露。云数据泄露给企业带来的平均损失高达 361 万美元。

2022 年，除了无服务器和自动化之外，还有更多趋势将加速推动云安全的高速发展。

2、2022 年端点安全十大发展趋势

疫情常态化导致的远程办公暴露的各种安全问题，还有数据安全相关法律法规对各行各业提出

了更多要求等，无不显示出网络安全形势的严峻。联软科技结合过去一年全球网络安全市场的变化

以及自身对企业端点安全的理解，对 2022 年端点安全进行了趋势预测。

3、2022 年 5 大边缘计算趋势

边缘计算趋势在业务中发挥着关键作用，因为边缘部署现在基本上无处不在。 随着边缘计算

设备（包括智能手机、智能手表和自动驾驶汽车）的数量呈指数级增长，商业专业人士需要跟上

2022 年的边缘趋势。物联网、客户体验、安全、医疗保健、能源中的工作场所安全，五大方面将

在 2022 年取得新的进步。

4、2022 年中国十大信创发展趋势

进入 2022 年，美国政府将在半导体设备和材料等重点领域，对我国企业实施更加严格的管制

和禁运政策。我国信创产业也会将工作重心前移，更多鼓励和支持半导体设备和材料企业的发展。

安全仍将继续成为信创的主轴。

5、2022 年 APT 与工控安全威胁趋势预测

随着企业部署新的网络安全工具和保护，工控安全威胁也快速“变异”。而最近肆虐全球的

Log4j2 超级漏洞被称为网络安全的“新冠病毒”，而工控安全领域，正是 Log4j2 漏洞的重灾区之

一，这使得 2022 年工控安全领域的安全态势进一步恶化。本文是卡巴斯基根据 2021 年度监测数

据给出的 2022 年 APT 攻击和工控安全威胁趋势预测。

04

注：电子版点击小标题可跳转原文链接

《总结与预测》

2021 年回顾（产业篇）

1、2021 年网络安全产业态势总结

2021 年是“十四五”的开局之年。随着全社会数字化转型的加速，网络安全重要性的不断提升，

我国网络安全产业迎来了发展的关键时刻。这一年，网络安全相关法律法规陆续发布实施，国家层

面正持续开展相关配套制度、标准体系的建设及完善，网络安全风险投资日趋活跃，网络安全创业

蔚然成风，产业继续快速发展。

2、2021 网络安全领域六大发展特点

2021 年是网络安全行业疯狂的一年。从 SolarWinds 等供应链攻击到 NSO 集团的飞马间谍软

件丑闻，再到 Colonial Pipeline 输油管道的勒索软件攻击，各国政府和企业每天都面临着新的攻击。

根据身份盗窃资源中心的数据，截至 2021 年 9 月的数据泄露总数已经超过 2020 年 17%。日前有

国外媒体对 2021 年网络安全行业进行了回顾总结，盘点出 6 大发展特点，可供行业参考。

3、2021 年全球网络空间安全态势回眸

2021 年，网络空间的安全态势存在很多的复杂性和不确定性。太阳风（SolarWinds）事件

影响未止，恶意勒索软件又大行其道；各国政府加强互联网企业管控力度，政企合作又呈现新的特

点；人工智能、量子计算等技术深入发展，零信任、元宇宙等新理念备受追捧；网络空间大国博弈

持续演化，国际网络治理徘徊前进。复杂现象中隐藏共性规律，交织博弈中显现发展机理，共同塑

造 2021 年世界大势、网空形势。

4、2021 年安全架构总结以及 2022 安全方向展望

过去的 2021 年的安全架构、安全攻击手法、安全技术（微软的零信任身份的安全架构升级、

CrowdStrike 的 EDR+EPP+DLP+ 零信任的融合以及到底运营强在哪里、Amazon 的用户驱动的

安全架构、微软顶层架构的实施到底如何实施的、微软全链路数据跟踪的终态架构、API 安全的漏

洞到底有哪些、数据不落地的终局安全架构）。

5、144 笔！ 2021 国内网安行业投融资年度盘点

根据公开信息不完全统计，2021 年国内网络安全企业披露的融资事件共 144 笔，涉及包括数

据安全、工控安全、隐私计算、工业互联网安全、开发安全、零信任、云原生安全、云安全、物联

网安全等众多赛道。

05 06

《总结与预测》

2021 年回顾（事件篇）

1、2021 年国内网络安全相关立法回顾及思考

2021 年，网络领域重要立法密集出台，网络法治体系进一步充实完善，是网络立法繁荣发展

的重要一年。广义来看，《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》

等相继出台实施，网络安全领域立法大为充实，为网络安全相关工作提供了确定的指引。

2、2021 透视全球网络安全演习

2021 年，虽持续受新冠疫情影响， 美欧等国仍通过各种方式开展网络演习训练和竞赛活动，

在实战中评估网络部队战备水平，检验和提升部队的网络作战能力。全球网络安全演习此起彼伏，

各国强调组织协调、情报共享和安全协作等网络安全能力的建设，呈现出全民参与的总体态势，形

成了跨域、跨国、跨部门的一体化模式。

3、盘点：2021 年全球十大数据安全事件

近日，有国外媒体梳理了 2021 年十大数据泄密事件，并对事件进行了点评分析，可供读者参考。

据数据统计，共有近 2.2 亿人受到以下十大数据安全事件的影响，其中三起泄密事件发生在科技公

司，四起涉及敏感记录的泄露。

4、回顾：2021 年度代表性移动应用安全事件

回顾 2021 年，移动应用安全事件频发：从 Amazon Ring 和 Slack 等企业到美国海关和边

境保护局（ CBP ），全球有接近四分之一的企业组织遭受过移动或物联网数据泄露。以下整理出

2021 年度移动应用代表性安全事件，供读者参考了解。

5、2021 年全球活跃黑客组织掠影

针对网络安全机构的攻击日益增多，黑客组织试图直接掠夺前者的研究成果为己所用。这一切

都反映出黑客组织的活动呈继续上升之势，防范 APT 威胁仍是网络安全领域的重中之重。鉴于黑

客组织为数众多、难以尽述，笔者便选取了五个在 2021 年中相对活跃且具有代表性的组织，以管

窥 2021 年中全球黑客组织的活动态势。

6、2021 年十大漏洞利用

2021 年，在漏洞攻击领域这是极为精彩的一年。本文简单总结一下 2021 年十大漏洞利用，

重点考虑漏洞的影响范围和利用技术的创新度。

06

《 媒体祝福》

媒体祝福

新华社经济参考报 张汉青

新年新气象，新刊新未来！祝福山石网科新的一年风调雨顺，鸿运不歇。

证券时报 江聃

网络连着你我他，山石安防顶呱呱！祝山石网科永做数据安全治理的“领头羊”。

财联社 贾晓宁

金虎啸山河庆新年大吉，山石护网安迎科技盛世——祝山石网科在科技创新道

路上总能领先一步，胜人一筹。

中国网财经 陈娟娟

祝新的一年山石网科在网络安全的道路上再创辉煌！

新浪科技 周文猛

数字经济的建设与发展如火如荼，而网络安全，则是保障数字经济这艘“大船”

行稳致远的关键。新的一年，希望山石网科有更多的突破和创新，让客户和用

户更安心、省心。也祝“岩谈”越办越好，传递更多的思考与洞见。

36kr 真梓

2021 年对中国的安全行业而言非常特殊。这一年，在政策和需求的指引下，

包括数据安全、云安全在内的各类安全细分赛道均迎来关注高峰。过去，山石

网科的防火墙类产品一直让业界印象深刻。而在 2021 年，我们也看到公司在

数据安全和云安全领域的持续发力。期待山石网科在 2022 年持续取得产品创

新和商业化突破，也希望“岩谈”继续提供优质内容，越办越好。

雷峰网 李宗仁

网络安全产业作为数字经济发展的前提和保障基石，在 2021 年开始走向大众、

产品升级、咬合产业、创新突破，祝山石网科在来年继续发光发热，成为网安

公司中的网安公司。

07 08

《 媒体祝福》

亿欧公司 执行总经理常亮

2022 年在全球新一轮疫情中开始，流动的比特将加速驯服原子的世界，网络

安全技术既是显学更是重器。孙子曰：“善战者，致人而不致于人”。相信山

石网科《岩谈》将一如既往地引领业界同袍，守其必攻，因敌制胜。

《信息安全与通信保密》 主编霍家佳

放眼全球，大国博弈加剧网络空间地缘政治化，后疫情时代的网络空间基本态

势持续塑造，各国政府纷纷加强管控力度，加磅零信任、人工智能、量子计算

的赋能作用；聚焦国内，网络边界不断弱化、安全防护内容不断增加，网络空

间安全面临巨大挑战。数据安全、供应链安全、新技术应用安全等风险挑战异

常突出，加快促进产业链和创新链融合、增强产业链自主可控能力，构建网络

安全新发展格局刻不容缓。《岩读》立足网络空间安全前沿，放眼全球视野，

凝聚网络安全建设思想。在此，衷心祝愿《岩读》能够办出水平、办出特色，

为我国的网络空间安全事业添砖加瓦。

《信息安全研究》 潘静

居于岩上，有磐石之固，醉卧且看清泉流响。初识山石网科，还是其连续第 5

年获得 Gartner 发布的“网络防火墙类魔力象限”，一直给人以研发为主且

稳固发展的网络安全企业印象。随着数字化转型深刻融入到社会发展的各领域

全过程，信息安全的需求越发迫切，正成为影响数字经济高速发展的重要因素，

也是改变全球竞争格局的关键力量。网络安全前路漫漫，道阻且长，希望山石

网科能有更多更快的突破和创新，也借此希望“岩谈”继续持之有故、言之有

理，越办越好。

数说安全 于江

首先感谢《岩谈》的邀请。热词是感知市场变化非常好的角度，但每个人接收

的信息是不同的，对热词和热度的感知更多是定性而非定量。

过去一年，我们构建了数说安全 BI 平台，希望能够对市场热词做一些数据量

化方面的研究。对网络安全市场热词进行了量化分析。从分析结论来看，增速

排名前 5 位的热词为零信任、安全大脑、数据安全管控、安全运营服务和攻防

08

《 媒体祝福》

09 10

演练，这些热词和热度变化也反映了市场需求的变化。2021 年是“十四五”的

开局之年，具有承前启后的作用，对于我国网络安全产业来说是具有标志性意义

的一年。过去一年中的一些政策法规和事件将影响未来 10 年的产业发展。一面

是新政策为产业发展带来了新机遇，另一面我们也要看到产业仍然停留在较低水

平竞争中。网络安全产业要实现高质量发展也需要供给侧改革，提升供给侧体系

的水平和质量，更好的适应、引领和创造新需求，进而提升我国网络安全产业整

体生产力。最后祝大家新年快乐，祝山石网科发展越来越好！

安全 419 闫小川

致《岩谈》 ——愿不忘初心，越办越好。网络安全的重要性正在被无限放大。

在过去的 2021 年，我们看到了大量以勒索软件攻击为表现形式的系统瘫痪、数

据泄露事件，对组织、企业造成难易估量的损失。安全形势越加严峻的同时，欣

喜地看到国家层面在鼓励网络安全产业发展的同时，我们正在系统化推出一系列

相关规划和法规，这一举措令网络安全市场全面进入合规化，对推动网络安全产

业持续落地发挥了重要作用。同时观察发现，一系列的变化也促使资本重回安全

怀抱，我国网络安全产业终驶向良性发展车道。

山石网科是数字世界发展的守护者，山石《岩谈》始于网络安全产业蓬勃发展的

2021 年，在我们对 2022 年充满期待的同时，也祝愿《岩谈》不忘初心，在未

来越办越好，为网络安全产业持续提供更多、更好的价值思想。

嘶吼 李司阳

时代的脚步总是那样的让人望尘莫及，我们见证过互联网时代——大数据时

代——AI 时代的发展。如今，元宇宙概念的出现仿佛又一次的打破现有格局。网

络安全作为赛博空间中的基础保障，同样需要不断的迭代与发展。在这回顾与展

望之季，《岩谈》电子杂志将迎来第四期的发布，特别推出当下网络安全发展与

未来，“回顾 2021——展望 2022”期待第四期的精彩内容会我们带来新的思想

冲击。同时，嘶吼也祝电子杂志《岩谈》越来越好。

Freebuf 宋丹丹

网安路遥尽风雨，山石奔腾赴星河。惟愿壬寅皆祥瑞，不负韶华至合欢。当以裁

雪为画，揉风作诗。欢笑“岩谈”荣锦世，盛景盈盈乐共融。

CSDN 云计算主编宋慧

信息化、数字化，不论是自下而上，还是自上而下的发展进程，几乎都影响到了

《 媒体祝福》

10

我们生活的每个角落。我作为以技术与开发者视角的观察者和信息服务者，能深

切感受到中国 IT 技术领域崛起，中国的科技公司与各类技术应用在百花齐放。

在所有技术与应用之下，安全依然、也永远是基础性的存在与保障。在政策层面

我们看到很多有关安全、数据、隐私的法律法规在近期陆续推出。在技术层面，

云化深入和 5G 时代 IoT 兴起，让云安全、边缘安全、SASE、零信任，成为各家

技术厂商与企业用户在重点关注的安全技术方向。祝《岩谈》电子刊继续为安全

行业持续而深远地贡献好内容。也祝山石网科，稳固发展，基业长青！

至顶网 董培欣

从认识山石网科到现在，大约已经有近十年的时间了，从最初印象里极其扎实的

硬件水平，到现在的云网一体，山石的每次转变都让人感到惊喜，借此“岩谈”

之际希望在 2022 年，山石可以为我们带来更多的惊喜。

Hc3i 张秀丽

随着医院信息体系日益庞大，实现医院网络安全建设可持续发展的难度越来越大，

希望山石网科能为医院提供更多更好的创新型解决方案，也借此祝愿“岩谈”越

办越好！祝大家虎年吉祥，新年快乐。

飞象网 路金娣

风雨多经人不老，关山初度路犹长。希望山石网科继续以高质量的产品，为网络

安全建设谱写华丽新篇章，也祝“岩谈”越办越好。

赛迪网 孙姗姗

我们携手并肩永远奋战在网络安全最前线！祝山石网科事业长虹，愿“岩谈”不

忘初心，做真正的行业罗盘。祝福所有网安人虎年吉祥，万事如意！

资深自媒体人 老韩

我们生活在数字社会，每个人，每个物，既被连接赋能，又为连接创造价值。网

络安全做为连接的关键配套能力，在信息化建设中占据着举足轻重的地位。二者

的融合甚至已经不是一个趋势，而是一个事实。纵观当今行业热点，无论 ZTNA

还是 SASE，都是集合网络与安全于一身的整体解决方案。它们并不是某些厂商

或咨询机构的凭空想象，而是客户需求倒推而成。

即便是一些成熟的数通产品技术，也在被安全改造——前几年业界关于安全到底

《 媒体祝福》

11

算不算安 SD-WAN 的基础要素还有争论，现在没人再提了。为什么？因为客户

在部署 SD-WAN 时就需要安全，这是来自市场的一锤定音。

在网络与安全的融合过程中，有个趋势值得重视，那就是国内企业、行业客户的

业务信息化水平在持续进步，应用场景有了诸多本土化创新。特别是某些头部客

户的业务，在全球范围内都处于领导地位，有能力并且正在倒逼网络和安全产品

形态发生变化。期待以山石网科为代表的优秀本土网络安全厂商能对这些场景有

深刻理解并快速积累实践经验，为之保驾护航。并借此机会实现弯道超车，推动

中国的网络安全水平跻身世界前列。最后，祝大家新春愉快，祝《岩谈》越办越好。

大数据在线 袁绍龙

“愿山石网科 2022 年在网络安全阵线上虎虎生威，也祝《岩谈》杂志能够越办

越好，成为网络安全思想建设的高地。”

特大号 小黑羊

看完前三期《岩谈》，收获颇多，有业界动态，有趋势洞察，有技术干货，更凝

聚了山石人的“匠心”。这种匠心，就像山石 10 多年来做安全一样，坚守初心，

踏实前行。祝《岩谈》越办越好，山石更上层楼。

张戈 BP 张戈

内外兼修的山石网科，对网络威胁软硬兼施，也正在为企业带来更多“安全感”。

借此辞旧迎新之际，希望“岩谈”有理、有新、有突破。也祝大家虎年吉祥，虎

虎生威。

智汇社 陈广成

网络安全的世界纷繁复杂、斑驳陆离，在看不见的地方始终有一群网安人守护我

们的隐私，化解风险，带给我们安全感。在此，向每一位网安人致敬，祝《岩谈》

越办越好，祝大家虎年吉祥！

品牌挚友 宋丹妮

一元复始，万象更新。新的一年开启新的希望，新的历程承载新的梦想。与山石

网科是多年的伙伴，长期有好的合作见证我们共同成长的历程。网络空间日渐清

朗，信息化成果惠及亿万群众，网络安全保障能力不断增强。值此 2022 年新春

佳节即将来临之际，谨向所有长期关心、支持网络安全建设和发展的社会各界人

士，致以最诚挚的新春问候和祝福！

注：祝福呈现顺序按收录时间排列

《 媒体祝福》

鸭绿江

世事漫随流水，算来一梦浮生。

——李煜《乌夜啼·昨夜风兼雨》

12

《趋势探析》

2022 年，十大安全技术趋势

党的十九届五中全会明确了我国“十四五”期间发展的战略任务和 2035 年远景目标，强调要

统筹发展和安全，全面加强网络安全保障体系和能力建设，对网络安全技术和防护能力提出了新的

更高要求。

纵观网络安全行业的发展史，可以发现这同时也是一部网络安全技术的发展史。网络安全技术

既是网络攻击者打造进攻武器的原料，也是网络防护者构建牢固防线的基石。山石网科新技术研究

院立足于网络安全行业的最新态势，深入洞察网络安全技术的发展脉络，针对 2022 年最有价值的

十大安全技术进行了盘点、分析和展望。

一、人工智能技术全面支撑网络安全防护

通用人工智能或强人工智能虽然距离人们的期待还相距甚远，但以深度神经网络为代表的人工

智能技术已经在机器视觉、自然语言处理、自动驾驶等领域大放异彩。在网络安全方面，人工智能

技术早已经深入渗透到网络安全防护的方方面面。比如，采用 PCA 主成分分析自动识别 API 用途

特征发现零日漏洞；采用循环神经网络识别二进制程序漏洞；采用图聚类模型实现基于 DGA 域名

生成算法的僵尸主机检测；采用多层感知器实现网络流量的异常检测等等。

山石网科新技术研究院观点：

·2022 年，将会有更多的厂商投入更多的资源去深入研究人工智能技术如何提高产品的检测能

力、防护能力、响应能力；

·利用深度神经网络自动提取网络侧和主机侧源数据的特征，避免落入人工提取特征的专家系

统陷阱；

·鉴于有价值的网络攻击黑样本极少，传统机器学习模型的泛化性能受到严重制约，小样本学

习对于网络安全行业就显得极有价值；

·普适于网络安全各个分支的深度神经网络通用框架需要得到重视；

·基于图神经网络的威胁检测技术值得关注。

13

新技术研究院 韦云川

14

《趋势探析》

二、网络安全大数据技术的基础性地位进一步加强

对网络风险进行自动化的预测、识别、响应、处置，都需要以网络安全大数据作为基础。另外，

从算法和模型角度，无论是传统数据挖掘，还是先进的深度神经网络，也需要网络安全大数据作为

分析的起点和前提。网络安全领域的大数据不同于普通大数据，它的获取渠道、获取难度、数据关

注维度都有自己鲜明的特点。

山石网科新技术研究院观点：

·2022 年，网络安全大数据技术的基础性地位进一步加强，尤其是综合性厂商更加注重大数据

的获取与分析，相关的研究投入稳步上升；

·威胁情报大数据采集、存储和关联分析是其中一项重要的研究内容；

·基于 MITRE ATT&CK 知识库建立威胁情报知识图谱对整个安全行业有诸多价值，但难度和工

作量巨大，任何一个企业独立建设都不现实，应通过行业联盟牵头进行组建；

·基于网络安全大数据的安全态势感知、分析、呈现、预测在政府和国企的需求依然强劲。

三、零信任网络访问技术重塑网络安全体系架构

Forrester 的首席分析师 John Kindervag 于 2010 年首次提出了“零信任网络”的概念。零

信任是一种全新的安全理念，它对网络安全进行了范式上的颠覆，打破了网络边界的概念，引导网

络安全体系架构从网络中心化向身份中心化的转变，实现对用户、设备和应用的全面、动态、智能

访问控制，建立应用层面的安全防护体系。2019 年 9 月，工信部公开征求对《关于促进网络安全

产业发展的指导意见》的意见中，明确将“零信任安全”列入网络安全亟需重点突破的关键技术。

以奇安信、山石网科为代表的一批安全厂商正在紧锣密鼓地开发零信任产品和解决方案。

山石网科新技术研究院观点：

·2022 年，大批的安全厂商将会密集推出零信任安全产品，并在政企用户中实现一定范围地落

地应用；

·多维度身份属性代理技术需要深入研究。综合用户信息、设备状态、网络地址、业务上下文

以及访问时间、空间位置等各个维度的身份实体属性作为实施授权的依据，且申请授权时按需临时

产生，定期失效。有效降低基于单一维度实施访问授权的漏洞风险；

14

《趋势探析》

·可变信任评估技术对网络代理提供的多维度实时属性信息，进行实时信任评估和分析，通过

持续量化评估网络活动风险等级，为访问授权提供判断依据。

四、终端安全检测与响应技术迅速发展

随着信息安全技术的发展，网络攻击已经变得更有针对性、隐蔽性和持久性，终端威胁检测与

响应（EDR）技术的出现为新型安全威胁的检测和与防护提供了新思路。EDR 在面对为未知威胁攻

击、0day 漏洞攻击和 APT 攻击等所表现出的先进性和优越性，已经成为网络空间整体安全防护体

系的重要组成部分。Gartner 在 2013 年首次提出终端威胁检测与响应的概念之后，立即引起了安

全界的广泛关注，之后在 2016 年到 2019 年连续进入 Gartner 的 10 大技术之列。

山石网科新技术研究院观点：

·终端安全产品具备较高的技术门槛，市场的主要参与者历史上看大多为专业的反病毒厂商，

在 2022 年，这一趋势将会有所变化，山石网科为代表的一批传统网络安全厂商正在加速发力切入；

·数据采集技术需要更加重视。静态数据包括采集操作系统运行的当前状态，如资产信息、服务、

端口、进程、线程、漏洞等；动态数据包括操作系统上发生的各类行为操作，如账户创建、网络访问、

数据发送、文件操作等，记录并采集动作关联的进程、目标文件、动作结果、网络数据等。数据采

集是 EDR 进行威胁预测和安全分析的前提和基础，也是 EDR 区别于端点防护平台 EPP 的重要特

征之一；

·数据挖掘和分析能力是核心竞争力。EDR 区别于 EPP 的另一个重要的特征就在于 EDR 具有

大数据分析的能力，EDR 能够将终端采集的各类异构数据进行集中存储和数据分析，通过深度学习、

强化学习、关联分析、聚类分析等，发现和识别出终端上隐藏的安全威胁，挖掘出已沦陷的终端主机，

发现不满足安全要求和不符合安全规定的终端；

重视威胁情报对 EDR 的作用。威胁情报能为 EDR 提供海量的内外部威胁数据、恶意样本数据、

攻击特征数据、黑客组织画像信息等关键数据，帮助对网络攻击进行综合研判，对样本进行识别、

识别攻击家族等。通过多源情报关联信息，对攻击者进行追踪溯源，挖掘攻击者发起攻击的动机；

同时，基于威胁情报数据以及大数据分析，EDR 还能高效地检测未知攻击，实现对未知攻击类型的

防御。此外，EDR 本身具有威胁捕获功能，EDR 在识别和发现威胁后，通过逆向样本文件，提取

威胁特征，又能生产威胁情报数据，为威胁情报的其他应用场景（如 NDR、SIEM、SOC 或者态势

感知）提供支撑。

15 16

《趋势探析》

五、网络攻击溯源技术机遇挑战并存

攻击者在实施网络攻击时，常采用各种技术手段隐藏自己以对抗追踪，如采用虚假 IP 地址、

网络跳板、僵尸网络、匿名网络等技术。网络攻击追踪溯源技术能够有效应对攻击者的隐藏手段，

定位真实的攻击源头，以便及时阻断网络攻击。网络攻击溯源无论是从政府角度，还是商业用户角度，

都有着迫切的需求，市场潜在空间难以估量。

然而，面临的挑战依然巨大，包括存储开销、计算开销和网络带宽开销过大，直接影响了工程

实用性；传统网络体系结构和网络协议的设计缺乏对网络攻击追踪溯源的支持，导致网络攻击追踪

溯源技术的设计存在较多的局限，如通过数据包标记路径信息可能会对数据包分片功能造成影响等；

大部分现有溯源技术过于依赖网络基础设备的支持，导致难以落地应用。

山石网科新技术研究院观点：

·2022 年， SDN（软件定义网络）、CSMA（网络安全网格架构）等新型网络架构缓解了追踪

溯源技术对网络设备的依赖性，部分溯源技术将会具备良好的工程实用性；

·现有的攻击溯源技术几乎都难以适用物联网这类传感器网络结构，而物联网的安全形势已经

非常突出，针对物联网的攻击溯源技术应开展前沿性研究；

·基于日志存储查询、基于数据包标记的攻击溯源在理论上还存在诸多问题，应该加强研究改进，

尽早实现工程化。

六、攻击行为模拟技术有望得到广泛重视

攻击行为模拟（Adversary Emulation）不等同于红队、渗透测试、漏洞扫描，攻击行为模拟

根据特定攻击的网络威胁情报以及模拟他们如何实施攻击的过程，进而评估某一技术领域的安全性。

可用于衡量企业（或其他组织）在全生命周期中应对 MITRE ATT&CK 模型中所有威胁的检测能力

和防御能力，这对企业提高安全产品能力和安全服务能力具有很高的价值。

山石网科新技术研究院观点：

·2022 年，越来越多的安全厂商不再追捧宣传 MITRE ATT&CK 这个概念，而是更加务实地把

ATT&CK 知识库应用于自身的产品和服务中；

16

《趋势探析》

·MITRE 官方推荐的 CALDERA 值得关注，提供了一个智能的自动化攻击模拟系统，

可以减少安全团队进行常规测试所需的资源，使他们能够聚焦其他关键问题；

· 攻 击 行 为 模 拟 的 开 源 项 目 越 来 越 多， 可 以 关 注 以 下 几 个：Metta、ATP

Simulator、Red Team Automation、Invoke-Adversary、Atomic Red Team、

Infection Monkey、Blue Team Training Toolkit(BT3)、DumpsterFire、

AutoTTP。

七、主动防御技术任重道远

随着网络攻击呈现攻击自动化、智能化、高强度、多类攻击技术组合、隐秘程度高的特点，当

前的网络攻防态势极端不对称，表现在攻防成本的不对称、攻防技术不对称、攻防时间与空间不对

称。传统网络安全防御主要采用入侵检测 / 防御系统、防病毒网关和防火墙等被动安全防御系统和

技术对网络事件、流量和行为等进行检测和控制，并通过打补丁、软件升级等方式减少可能存在的

软硬件漏洞。通常是在攻击发生以后通过分析网络攻击、蠕虫和病毒等威胁行为特征，并辅以蜜罐、

沙箱等手段捕捉攻击行为，形成威胁模式规则库，后期基于已有规则进行威胁行为识别和检测；通

过禁止网络恶意行为和非法操作来阻碍攻击过程，降低攻击影响，为网络信息系统的安全运行起到

了一定的保护作用。

但是，这些手段无法从根本上消除漏洞，也不能应对基于未知的可利用漏洞和后门的威胁，是

一种滞后的防御手段，其自身固有的缺陷也制约了其在网络安全防护中所能发挥的作用。

网络主动防御技术是相对于传统被动防御技术提出的，强调系统能够在攻击的具体方法和步骤

17 18

《趋势探析》

不为防御者所知的情况下实施主动的、前摄的防御部署，从而有效抵御和应对攻击对系统的破坏，

提升系统在面临攻击时的生存性和弹性。主动防御技术通过构建安全的系统架构或运行方式，增大

攻击难度，降低攻击成功率，从而对攻击行为进行有效遏制，实现系统的安全。典型的主动防御技术，

有入侵容忍、动目标防御和拟态安全防御等。

山石网科新技术研究院观点：

·2022 年，很多主动安全防御技术依然停留在“创造概念、过度假设、落地无门”的尴尬境地；

· 美 国 在 2009 年 提 出 了 动 目 标 防 御（Moving Target Defense，MTD） 的 概 念， 后 将 MTD

确定为“改变游戏规则”的革命性防御技术，MTD 相关的理论研究和实验验证较多，值得关注；

·部分研究内容具备落地应用的前景，包括但不限于：基于 IP 地址、端口跳变的主动防御，基

于路由路径随机变换的主动防御，基于网络流指纹的主动网络管控。

八、云访问安全代理技术在万物上云时代大有可为

云计算引领了 IT 产业的变革，无论是大型的企业和政府部门，还是小型的公司乃至个人，都

不可避免受到云计算浪潮的影响。传统的信息系统消耗大量的软硬件成本，因此越来越多的企业将

业务系统迁移至云上，不再建设数据中心等 IT 基础设施。尤其是对于初创的企业，这将节省大量成本。

但是，将业务系统迁移至云上，将数据交给不可信的第三方云平台保管，导致用户失去对数据的安

全控制权。

云访问安全代理作为一种新兴的技术，旨在解决用户使用云计算服务时的安全问题。它能够针

对不同用户业务系统以及不同的云计算平台，实施定制化的安全策略，发现并防范非授权行为，从

而对云服务进行安全风险监测，保证用户使用云计算服务时的安全，进而推动云计算的发展。

山石网科新技术研究院观点：

·2022 年，云基础设施的投资以及针对云计算服务的网络攻击都会不断增长，云安全市场快速

发展；

·云安全领域眼花缭乱的新概念较多，需要区分概念、理念、愿景、功能与核心技术之间的区别，

始终保持对核心技术的研发投入以支撑云安全产品的持续演进；

18

《趋势探析》

·基于机器学习的云访问威胁检测与响应是重点的研究内容，对用户以及云端的各种行为进行

记录与分析，包括各种请求操作、云端服务、应用执行情况、文件操作等。为了增强行为分析的准

确性，提高威胁与风险行为的识别率，应当具备强大的行为库与知识库。

九、工业互联网安全技术事关国家安全

在新基建浪潮下，中国的工业互联网以及工业互联网安全受到更多关注。工业互联网发展提速，

也面临着传统网络安全防护手段在复杂环境下捉襟见肘的问题。2020 年 5 月，工信部发布的《关

于工业大数据发展的指导意见》中提到，我国 34% 的联网工业设备存在高危漏洞，仅在 2019 年上

半年嗅探事件就高达 5151 万起。指导意见指出，目前工业网络安全责任体系建设还是空白，技术

上尚无法有效防护工业数据安全，进而导致工业互联网安全防护能力滞后于工业融合发展进程。

山石网科新技术研究院观点：

·2022 年，随着全球主要国家在各个领域的对抗加剧升级，针对关键基础设施相关的工业互联

网的网络攻击，无论是攻击强度还是数量将会出现明显上升；

·网络安全的主要厂商要积极加入国家工业互联网标准总体组，参与国家标准制定工作，不仅

有利于把握工业互联网核心技术方向，对厂商自己的工业互联网产品的合规性也大有裨益；

·工控协议深度解析是重点需要进行攻关的，尤其是对私有协议的黑盒解析，以此为基础研发

工业防火墙；

·工业威胁情报对工业互联网安全至关重要，应加强基于各类工业安全设备的数据采集分析和

情报生产、分发和利用能力；

·工业互联网领域涉及关键基础设施安全，上升到国家安全毫不过分，因此，高级持续威胁

APT 攻击将会大比重、大概率存在此领域；针对工业互联网的 APT 攻击检测能力将会成为工

业互联网产品核心能力的体现。

十、物联网安全技术、车联网安全技术伴随新型场景蓬勃发展

物联网设备数量的激增是未来的趋势 ｡ 根据最近的预测，物联网设备将按市场需求呈指数级增

长，2030 年物联网设备的数量将达到 1250 亿 ｡ 海量物联网设备的使用和其应用技术的普及方便了

我们的生活，但其在服务 ､ 技术 ､ 设备和协议 ( 如无线 ､ 有线 ､ 卫星 ､ 蜂窝和蓝牙等 ) 上的异构性

使得物联网的管理愈加复杂 ｡ 由于很多智能设备的生产供应商都是不具备网络安全专业知识的传统

19 20

《趋势探析》

额尔古纳河

家用电器制造商，因此很多设备先天存在漏洞 ｡ 攻击者利用有漏洞的设备接入目标网络，潜伏伺机

发起攻击，从而导致目标网络面临严重的安全威胁 ｡

车也是物的一种，理论上车联网也可以算作物联网，但是汽车行业的市场体量巨大、汽车安全

关乎人命，把车联网作为一个单独领域来讨论也是合乎情理。不过，物联网和车联网面临的安全挑

战在技术层面没有严格的界限。

山石网科新技术研究院观点：

·2022 年，在 5G 技术和自动驾驶技术的驱动下，物联网和车联网将迎来快速增长，同时也面

临更严峻的安全挑战；

·物联网设备的探测与识别是物联网安全防护的前提和起点，一方面借鉴和参考现有开源项目

可快速具备一定程度的设备识别能力，如 Satori、Shodan、Censys、Zmap、Ztag、p0f 等；

一方面参考学术界最新的、基于机器学习的研究成果进行补充和提高；

·车联网涉及到的安全网关、代理访问技术、加密隧道技术在传统网络安全领域较为成熟，具

备直接落地应用的条件，但要充分考虑硬件产品、软件产品的车规级要求；

·车联网里最核心的自动驾驶技术涉及的安全问题，既包括机器学习模型本身的识别能力导致

的安全问题（严格说这个不属于网络安全问题），也包括在线学习过程的数据投毒问题。

展望

2022 年，我国经济发展面临需求收缩、供给冲击、预期转弱三重压力。世纪疫情冲击下，百

年变局加速演进，外部环境更趋复杂严峻和不确定。网络安全形势更加严峻，市场空间进一步扩大，

给网络安全厂商带来更多的增长点和市场切入点。但是，网络安全市场竞争激烈程度日益提高，给

网络安全厂商提出了新的更高要求。

网络安全厂商既要“吃着碗里的”，还要“顾着锅里的”，更要“盼着地里的”，把过去的技术积累、

正在开展的技术攻关、未来的技术战略布局协调好、统筹好、执行好。

20

《特别回顾》

2021 年，十大网络安全政策

标准研究部 李宇

2021 年是中国共产党成立 100 周年，也是“十四五”开局之年，在复杂多变的安全环境下，

国家不仅从立法层面不断提升全社会对网络安全的关注与重视程度，而且相继发布了多项网络安全

相关政策，为我国网络安全产业发展提供了新的契机和更有力的支持。本文将盘点 2021 年最受关

注的网络安全法规、条例和政策文件，并从顶层设计的角度对这些政策出台的原因和国内网络安全

领域和未来发展趋势进行简要总结和分析。

一、十大网络安全政策

以下对 2021 年国内网络安全领域发布的十大重要政策文件进行梳理：

1、2021 年 1 月 13 日，工信部发布《关于开展工业互联网企业网络安全分类分级管理试点工

作的通知》

该《通知》指出，开展工业互联网企业网络安全分类分级管理试点工作，旨在进一步完善工业

互联网企业网络安全分类分级规则标准、定级流程，加快构建工业互联网企业网络安全分类分级管

理制度。

2、 2021 年 4 月 6 日，《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》（医

保发〔2021〕23 号）印发

该《意见》指出到 2022 年，我国基本建成基础强、技术优、制度全、责任明、管理严的医疗

保障网络安全和数据安全保护工作体制机制。到“十四五”期末，医疗保障系统网络安全和数据安

全保护制度体系更加健全，智慧医保和安全医保建设达到新水平。

3、2021 年 6 月 10 日，《关于开展车联网身份认证和安全信任试点工作的通知》（工信厅网

安函〔2021〕148 号）发布

该《通知》主要贯彻落实《新能源汽车产业发展规划（2021-2035 年）》《智能汽车创新发展战略》

和车联网产业发展专委会第四次全体会议工作任务要求，加快推进车联网网络安全保障能力建设，

构建车联网身份认证和安全信任体系，推动商用密码应用，保障蜂窝车联网（C-V2X）通信安全。

4、2021 年 6 月 10 日，第十三届全国人大第二十九次会议通过《中华人民共和国数据安全法》

《数据安全法》是我国数据安全领域的基础性法律，其完善了国家数据安全工作体制机制，规

定中央国家安全领导机构负责国家数据安全工作的决策和议事协调等职责，并提出建立国家数据安

全工作协调机制。标志着我国在数据安全领域有法可依，为各行业数据安全提供监管依据。

21 22

《 特别回顾 》

金沙江

盛年不重来，一日难再晨。

——陶渊明

22

《特别回顾》

5、2021 年 7 月 13 日，工信部、网信办、公安部联合发布《网络产品安全漏洞管理规定》（工

信部联网安〔2021〕66 号）

该《规定》规范了漏洞发现、报告、修补和发布等行为，明确了网络产品提供者、网络运营者、

以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务，并鼓励发现网络产

品安全漏洞的组织或者个人积极报送网络产品安全漏洞信息。

6、2021 年 8 月 17 日，国务院发布《关键信息基础设施安全保护条例》（国令第 745 号）

该《条例》明晰了关键信息基础设施的定义，明确了保护工作部门的职责，强化了运营者的安

全管理主体责任，规定了国家保障和促进措施，确立了监督管理体制。《条例》是对《网络安全法》

确立的关键信息基础设施安全保护制度的细化完善，有助于构建多方尽责、共同协作的关键信息基

础设施安全防护体系，更好地应对网络安全风险挑战。

7、 2021 年 8 月 20 日，网信办、发改委、工信部等五部委联合发布《汽车数据安全管理若干

规定（试行）》

该《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、

“精度范围适用”、“脱敏处理”等数据处理原则，明确汽车数据处理者应当履行个人信息保护责任，

加强重要数据安全保护，做好汽车数据安全管理和保障工作。

8、2021 年 8 月 20 日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人

信息保护法》

《个人信息保护法》对自然人关于个人信息的权利、个人信息处理者对于个人信息的义务、相

关部门对于个人信息的保护职责、个人信息处理具体要求、个人信息跨境、法律责任等做出了明确

和可操作的规定。

9、2021 年 9 月 29 日，网信办、教育部、科技部等九部委联合发布《关于加强互联网信息服

务算法综合治理的指导意见》（国信办发文〔2021〕7 号）

该《意见》提出要逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理

格局，其中，鼓励组织积极开展算法安全评估。建立专业技术评估队伍，深入分析算法机制机理，

评估算法设计、部署和使用等应用环节的缺陷和漏洞，研判算法应用产生的意识形态、社会公平、

道德伦理等安全风险，提出针对性应对措施。

10、2021 年 12 月 27 日，中央网络安全和信息化委员会印发《“十四五”国家信息化规划》，

对我国“十四五”时期信息化发展作出部署安排，是“十四五”国家规划体系的重要组成部分，是

23 24

《 特别回顾 》

指导各地区、各部门信息化工作的行动指南。

该《规划》提出：到 2025 年，数字中国建设取得决定性进展，信息化发展水平大幅跃升。数

字基础设施体系更加完备，数字技术创新体系基本形成，数字经济发展质量效益达到世界领先水平，

数字社会建设稳步推进，数字政府建设水平全面提升，数字民生保障能力显著增强，数字化发展环

境日臻完善。该《规划》围绕确定的发展目标，部署了 10 项重大任务，一是建设泛在智联的数字

基础设施体系，二是建立高效利用的数据要素资源体系，三是构建释放数字生产力的创新发展体系，

四是培育先进安全的数字产业体系，五是构建产业数字化转型发展体系，六是构筑共建共治共享的

数字社会治理体系，七是打造协同高效的数字政府服务体系，八是构建普惠便捷的数字民生保障体

系，九是拓展互利共赢的数字领域国际合作体系，十是建立健全规范有序的数字化发展治理体系，

并明确了 5G 创新应用工程等 17 项重点工程作为落实任务的重要抓手。

二、原因浅析

网络安全牵一发而动全身，没有网络安全就没有国家安全。从宏观层面来看，2021 年，我国

网络安全相关法规、条例的发布使网络空间安全治理体系日趋完备，加之一系列政策组合拳协同发

力，为国家网络安全和网络安全产业发展提供了坚实保障。

此外，从具体内容来看，发布以上十大网络安全政策的主要原因还可能包括：

1、数据交换共享的安全需求越来越强烈

数据蕴含着巨大的价值，已成为重要的生产要素和战略资产，数据的共享是数据开发、利用和

增值的重要一环，但数据安全一直是制约数据共享的瓶颈。平衡数据共享与数据安全，加速释放数

据要素市场红利，促进数字经济整体健康、持续发展的需求越来越强。

2、国家级网络攻击愈演愈烈

网络安全威胁国家安全，事关政治安全，网上渗透、破坏和颠覆的博弈日益尖锐复杂，地缘政

治背景下的国家网络空间冲突将愈演愈烈，以黑客攻击炒作、窃取敏感数据、破坏关键基础设施为

目的的国家 APT 活动将会更加频繁和活跃。

3、车联网安全需求日益凸显

车联网作为汽车、电子、信息等深度融合的新兴产业生态，正在加速融入人们的日常生活，在

给人们带来便利的同时，也让网络安全面临新的挑战。随着汽车智能化、网络化、平台化发展特征

日益凸显，车云、车车、车路、车与设备间的安全通讯需求快速增长。车联网安全信任体系将通过

身份认证、通信加密等方式，探索解决车联网安全通信问题。

24

《特别回顾》

三、发展趋势

网络空间安全相关政策的制定必须适应网络安全领域的发展趋势，据来自国家

网络安全主管部门、高校、科研院所、相关部委、大型央企及民营企业等不同单位

（组织）的专家联合分析和预测，网络安全领域在未来将呈现以下发展趋势：

1、等保和关保条例有望进一步推动网络安全产业生态蓬勃向好

《网络安全审查办法》和《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度

的指导意见》明确了关键基础设施的保护要求和工作要求。《网络安全等级保护条例》有望出台，《关

键信息基础设施安全保护条例》也已发布，这意味着网络安全保护相关的一系列制度要素将进一步

细化，促使各行业各领域网络安全投入持续加大。

2、网络攻防对抗朝人工智能方向发展演化

随着人工智能 (AI) 技术的普及应用，攻击方利用 AI 实现更快、更准地发现漏洞，从而产生更

难以检测识别的恶意代码，而防守方需要利用 AI 提升网络安全检测、防御及自动化响应能力。网

络安全将从现阶段的人与人对抗、人机对抗逐渐向基于 AI 攻防对抗发展演化。

3、网络安全人才需求看涨

网络安全人才需求单位越来越多、要求越来越高，但网络安全人才队伍培养没有跟上网络安全

人才需求，预计未来我国网络安全人才数量缺口将突破百万，而实战型实用型的网络安全人才也将

面临更大的缺口。

4、网络攻防演练推动网络安全保护常态化和实战化

最近几年的实战网络攻防演练取得实效，得到政府和企事业单位的普遍认可，有效地提升了我

国网络安全的防护与应急响应能力，实战化攻防演练将成为政企网络安全防御新思路，成为网络安

全保护的常态。

5、信创政策促进自主可控产业发展

近年来，在新的复杂的国际经济、政治、科技形势下，构建自主的 IT 底层架构和标准，形成可

控的 IT 供应链，是保障网络与数据安全的重中之重，在国家、地方性政策不断牵引下，信创产业

将带动从 IT 底层的基础软硬件到上层的应用软件全产业链的安全与自主可控。

6、工业数字化进程导致工控安全问题凸显

作为能源、制造、军工等国家命脉行业的重要基础设施，工业控制系统具备体量大、种类多、

25 26

《 特别回顾 》

结构复杂、体系结构复杂等特性。随着工业数字化进程的加快，工控系统接入设备种类和数量增长、

应用范围更广，工控系统的整体受攻击面也随之扩大。此外，随着云计算、大数据、工业物联网等

新技术在工控中的应用不断增加，工业处理流程的开放性和不确定性进一步增加，传统信息安全问

题在工业控制领域不断延伸，工业控制系统将面临更严峻的安全考验。

26

《特别回顾》

2021，十大网安事件

标准研究部 汪栋

1.2021 年网络安全最强音：十四五规划发布，网络安全将迎来高速发展

2.2021 年最严重的“史诗级”漏洞：Apachelog4j2 远程代码执行漏洞

3.2021 年最值得关注的网络安全相关执法事件：网络安全审查

4.2021 年损失最大网络安全事件：美国最大燃油管道被黑客攻击惨遭关闭

5.2021 年最大信息泄露案：江苏警方破获数据泄露量达 54 亿条的重大案件

6.2021 年最大力度曝光：3·15 报道人脸信息滥用、简历泄露等乱象

7.2021 年最创新数据安全机构：上海数据交易所揭牌成立

8.2021 年最重磅产业发展文件：《网络安全产业高质量发展三年行动计划 (2021-2023 年 )》

9.2021 年最受关注网络安全新技术：零信任（ZeroTrust）

10.2021 年网络安全领域非上市投融资事件快速增长

1.2021 年网络安全最强音：十四五规划发布，网络安全将迎来高速发展

2021 年 3 月 11 日，十三届全国人大四次会议通过《中华人民共和国国民经济和社会发展第

十四个五年规划和 2035 年远景目标纲要》（以下简称“十四五规划”）。其中，十四五规划中提及“网

络安全”14 次、“数据安全”4 次，涉及数字经济、数字生态、国家安全、能源资源安全四大领域。

在“十四五”期间，网络安全产业已经在国家政策层面确定会被进一步地“培育壮大”，这意

味着中国的网络安全产业规模会继续保持快速而稳健的增长，并有望在 2035 年达到万亿左右规模。

第三节加强网络安全防护

健全国家网络安全法律法规和制度标准，加强重要领域数

据资源、重要网络和信息系统安全保障。建立健全关键信息基

础设施保护体系，提升安全防护和维护政治安全能力。加强网

络安全风险评估和审查。加强网络安全基础设施建设，强化跨

领域网络安全信息共享和工作协同，提升网络安全威胁发现、

监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术

研发，加快人工智能安全技术创新，提升网络安全产业综合竞

争力。加强网络安全宣传教育和人才培养。

十四五规划中关于网络安全的表述

27 28

《 特别回顾 》

27

未来一段时间，国家将培育网络安全产业，建立健全国家公共数据资源体系和数据要素市场规

则，加强关键信息基础设施安全保护，并推动构建网络空间命运共同体，加强国家安全体系和能力

建设。

网络安全不仅关乎国家安全、社会安全、城市安全、基础设施安全，也和每个人的生活密切相关。

“安全”成为继“发展”之后，又一重要关键词，已成为国民经济和社会发展的重要风向标，也是

“十四五”期间中发展建设的重点工作之一。

2.2021 年最严重的“史诗级”漏洞：Apachelog4j2 远程代码执行漏洞

2021 年 12 月 9 日，国内多家机构监测到 ApacheLog4j 存在任意代码执行漏洞，并紧急通报

相关情况。该漏洞 CVSS 评分达到了满分 10 分，影响全球一大半的互联网企业，包括百度、苹果

等企业都被爆出存在该漏洞。

此次漏洞是由 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相

应环境中的配置。但在处理数据时，并未对输入（如 ${jndi）进行严格的判断，从而造成注入类

代码执行。目前，已发现的受影响应用及组件（包括但不限于）：ApacheSolr、ApacheFlink、

ApacheDruid、ApacheStruts2、srping-boot-strater-log4j2 等。

研究员认为，该漏洞暴漏出了软件研发存在的普遍问题：一方面研发团队喜欢使用开源代码，

另一方面又希望开源代码拥有企业级的安全支撑。然而，事实上 Log4j 库是由开源代码程序员在业

余时间自发维护的，这就使得开源代码的安全性难以得到保障。

2021 年的 Apachelog4j2 远程代码执行漏洞（CNVD-2021-95914）众多媒体将这个漏洞形

容成“史诗级”“核弹级”漏洞，警醒人们关注软件基础库及代码的安全性。

Apachelog4j2 远程代码执行漏洞时间轴

28

《特别回顾》

3.2021 年最值得关注的网络安全相关执法事件：网络安全审查

2021 年 7 月 10 日，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见

稿）》公开征求意见的通知。

网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风

险，包括：产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数

据被窃取、泄露、毁损的风险；产品和服务供应中断对关键信息基础设施业务连续性的危害；产品

和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易

等因素导致供应中断的风险；产品和服务提供者遵守中国法律、行政法规、部门规章情况；其他可

能危害关键信息基础设施安全和国家安全的因素。

2021 年 7 月 5 日，网络安全审查办公室发布公告，对“运满满”“货车帮”“BOSS 直聘”

实施网络安全审查。7 月 2 日，该办公室还曾发布公告，对“滴滴出行”实施网络安全审查。审查

期间“滴滴出行”停止新用户注册。这是《网络安全审查办法》发布以来，正式开展的首轮审查行动。

4.2021 年损失最大网络安全事件：美国最大燃油管道被黑客攻击惨遭关闭

2021 年 5 月 9 日，美国宣布进入国家紧急状态，原因是当地最大燃油管道运营商遭网络攻击

下线。

据报道称，美国最大的成品油管道运营商 ColonialPipeline 在当地时间周五 (5 月 7 日 ) 因受

到勒索软件攻击，被迫关闭其美国东部沿海各州供油的关键燃油网络。受影响的 Colonial 管道每

天运输汽油、柴油、航空燃油等约 250 万桶，其中美国东海岸近一半燃油供应依赖于此。该事件涉

事的黑客团队 DarkSide 索要高达数百万美元虚拟币。该事件也是 2021 年造成实质影响最大的网

络安全事件。

研究员认为一些重要行业和领域的，关乎国家安全、国计民生、公共利益的重要网络设备、信

息系统等，需要高度关注和保障其安全可控。否则一旦攒到破坏或数据泄露，将会造成严重后果。

结合今年《关键信息基础设施安全保护条例》的发布，关键信息基础设施是国家数字经济稳定运行

的基石，是经济社会的神经中枢，也是国家网络安全的重中之重，2021 年将是我国“关基保护”

的元年。相应的工业互联网安全、物联网安全等也将迎来快速发展。

29

《 特别回顾 》

5.2021 年最大信息泄露案：江苏警方破获数据泄露量达 54 亿条的重大案件

2021 年 10 月，江苏无锡警方成功破获了一起侵犯公民个人信息案，犯罪嫌疑人非法获取各类

公民信息，数据累计高达 54 亿多条，并通过非法网络平台以查询、出售等方式牟利。该犯罪团伙

为他人查询某大型社交网络账号关联的手机号码等个人信息数据，并将查询信息以每条 1000 美元

（约合人民币 6384 元）的价格出售。

该案件是我国迄今为止查获单体数据泄露最大案件。也提醒人们数据泄露、信息倒卖等现象其

实就在我们的身边，在公民加强自身防范意识和隐私保护能力的同时，最核心的解决办法应该是在

数据传输、存储、处理侧加强法律监管和技术管控手段。未来，在公共数据、公共服务方面，网络

安全产品及解决方案将产生较大的社会需求。

6.2021 年最大力度曝光：3·15 报道人脸信息滥用、简历泄露等乱象

2021 年 3 月 15 日，“3·15”晚会（国际消费者权益日）在央视财经频道播出。今年晚会以“提

振消费从心开始”为主题，希望通过诚信的力量让每个人把平凡的日子过得更加幸福美满，稳步提

高消费能力，改善消费环境，让居民能消费、愿消费。

此次“3·15”晚会曝光了人脸数据滥用、个人简历泄露、老年人手机里的安全陷阱、搜索之病、

又见瘦肉精、追踪“瘦身”钢筋、名表维修猫腻多、福特翼搏变速箱生锈内幕、英菲尼迪 QX60 变

速箱故障频发等九大问题。值得一得的是，互联网行业成为“3·15”晚会上半场的重点曝光对象，

前四个被点名的案例都与互联网有关，信息安全和隐私泄露成为重灾区。

该类现象主要原因是互联网企业数据处理不合规，这也跟之前很长一段时间，数据安全、个人

信息、网络安全等法律法规不完善或界定不清晰有关，但是随着《数据安全法》、《网络安全法》、《个

30

《特别回顾》

人信息保护法》、《网络安全审查办法》等法律法规颁布实施，个人信息保护工作将进入“有法可依、

有法必依、执法必严、违法必究”的阶段。

7.2021 年最值得关注的机构：上海数据交易所揭牌成立

2021 年 11 月 25 日，上海数据交易所揭牌成立仪式在沪举行。上海市人大常委会表决通过了《上

海市数据条例》。比较起之前国内成立的数据交易机构，上海数据交易所揭牌成立的时间，正是我

国法律法规、业界产品技术均取得长足进步，全社会的网络安全、个人隐私保护意识不断加强的新

背景下。正是因此，上海数据交易所值得网络安全行业关注，关注网络安全、数据安全技术的在这

里的应用创新。

据了解，上海数据交易所的设立，重点是聚焦确权难、定价难、互信难、入场难、

监管难等关键共性难题，形成系列创新安排。上海数据交易所有“五大首发“：

1. 全国首发数商体系。全新构建“数商”新业态，涵盖数据交易主体、数据合规咨询、质量评估、

资产评估、交付等多领域，培育和规范新主体，构筑更加繁荣的流通交易生态。

2. 全国首发数据交易配套制度。率先针对数据交易全过程提供一系列制度规范，涵盖从数据交

易所、数据交易主体到数据交易生态体系的各类办法、规范、指引及标准，确立了“不合规不挂牌，

无场景不交易”的基本原则，让数据流通交易有规可循、有章可依。

3. 全国首发全数字化数据交易系统。上线新一代智能数据交易系统，保障数据交易全时挂牌、

全域交易、全程可溯。

4. 全国首发数据产品登记凭证。首次通过数据产品登记凭证与数据交易凭证的发放，实现一数

一码，可登记、可统计、可普查。

5. 全国首发数据产品说明书。以数据产品说明书的形式使数据可阅读，将抽象数据变为具象产

品。

8.2021 年最重磅产业发展文件：《网络安全产业高质量发展三年行动计划

(2021-2023 年 )》

2021 年 7 月 12 日，工信部公开征求对《网络安全产业高质量发展三年行动计划（2021-2023

年）（征求意见稿）》的意见。

行动计划中提出：到 2023 年，网络安全产业规模超过 2500 亿元，年复合增长率超过 15%。

一批网络安全关键核心技术实现突破，达到先进水平。新兴技术与网络安全融合创新明显加快，网

络安全产品、服务创新能力进一步增强。

31 32

《 特别回顾 》

喀纳斯河

逝者如斯夫，不舍昼夜。

——孔子《论语》

32

《特别回顾》

在企业发展方面，培养质量品牌、经营效益优势明显的具有网络安全生态引领能力的领航企业。

面向车联网、工业互联网、物联网、智慧城市等新赛道，培养“专精特新”中小企业和网络安全产品、

服务、解决方案单项冠军。并且指出，未来几年电信等重点行业网络安全投入占信息化投入比例将

达 10%。

行动计划中提出的未来网络安全关键技术方向

技术方向 细分 目标

5G 安全

5G 核心

网边缘计算平台

1、安全编排与自动化响应、深度流量分析、威胁狩猎、信

令安全

2、云边协同安全能力建设

网络切片

网络功能虚拟化

1、容器安全、微隔离等虚拟化安全防护产品

2、5G 空口、信令防护检测部署应用

3、5G 内生安全能力、5G 网络威胁感知能力

5G 虚拟专网

5G 共建共享网络

1、安全资源池、零信任安全架构、资产识别等安全解决方

案

2、按需供给安全能力

云安全

多云、云原生、边缘云、分布式云

等新型云计算架构

多云身份管理、云安全管理平台、云安全配置管理、云原

生安全、云灾备等

云环境中云服务器、虚拟主机、网

络等基础资源

1、加强基础信息采集水平

2、提升能够面向双栈（IPv4、IPv6）的流量可视化、微隔

离、软件定义边界、云工作负载保护等安全产品能力

云上业务、应用等服务

提升安全访问服务边缘模型、云 Web 应用防火墙、云上数

据保护等安全产品效能

技术方向 细分 目标

人工智能安

全

建立人工智能威胁模型 1、构建人工智能安全威胁分类体系

2、制定面向人工智能系统安全性检测与评估标准体系

构建人工智能安全靶场

1、研究人工智能系统可解释性、隐私性等安全要素

2、突破人工智能模型攻击与防御关键技术

3、设计实现人工智能系统自动攻防平台

数据安全

数据可视、可管、可控

1、提升数据识别、分类分级、质量管控、血缘分析等基础性

技术产品准确性和智能水平

2、提升质量管控、血缘分析技术能力，准确掌握数据资源情

况

数据应用安全可控 推进数据脱敏、数据防泄漏、数据加密、数据备份恢复、细粒

度访问控制等技术产品升级

数据安全监测预警和应急处置

1、提高对终端、网络、云以及跨境等场景中数据流动和异常

行为监测的广度、深度和准确性

2、提升事件处置智能化和自动化水平。

数据要素安全有序流动

1、推动安全多方计算、联邦学习、可信计算、同态加密、差

分隐私、区块链、数据水印等隐私保护和流向溯源技术实用化

部署

2、推动国产商用密码应用

33

《 特别回顾 》

行动计划中提出的未来网络安全重要产业方向

产业方向 细分 目标

车联网安全

网联汽车及其网络关键设备 轻量化身份认证、车载安全网关、车载防火墙、入侵检测

等关键技术

V2X 通信 基于 PKI 的安全认证与审计技术

车联网平台及应用

1、建设安全运营中心

2、一体化云安全防护、数据合规保护与安全检测、监测和

应急处置等技术

3、推动网络安全技术在 OTA 升级、远程监控、自动驾驶、

车路协同等重点场景的应用部署

工业互联网

和工控安全 工业互联网全业务流程

1、加快工业主机快照回滚、控制系统漏洞挖掘、控制系统

内生安全等工控安全技术攻关

2、突破协议逆向分析、轻量级加密认证、大流量安全分析、

工业网络安全威胁信息共享分析等技术攻关

3、强化工业级防护设备、海量联网设备可信接入、平台安

全、标识解析安全管理、工业数据全生命周期保护等安全

产品推广应用

产业方向 细分 目标

物联网安全

物联网平台 发展基于安全传输、异常行为分析、可信身份、威胁分

析、数据防泄漏等技术的平台安全类产品

物联网设备可信接入网关 1、发展身份识别、协议解析和安全检测分析技术

2、鼓励企业将更多安全能力集成至网关

物联网终端

1、加强物联网设备及固件的漏洞挖掘

2、研制集接口防护、安全认证、应用安全、敏感数据

保护等于一体的嵌入式集约化安全产品

智慧城市安全

“一脑三云”

智慧城市网络安全大脑，加强异构安全能力联动水平，打造动态安全防御体系

网络安全“智能云”

搭建全景安全知识库、网络安全监测分析引擎及大数据

中心，以全局视角提升网络安全感知、分析、响应、决

策等能力

网络安全“靶场云” 建设数字孪生靶场，为城市安全能力验证等提供支撑

网络安全“服务云” 聚集智慧城市安全规划、建设、运营等服务资源，保障

城市安全有序运行

9.2021 年最受关注网络安全新技术：零信任（ZeroTrust）

涉及零信任的相关政策、行业标准相继出台，让零信任成为 2021 年最受瞩目的具体的网络安

全技术。

2021 年 4 月，美国国防部宣称计划推出一个零信任战略。随后，5 月美国总统签署了行政命令，

强制要求政府部门全面迈向零信任架构。这一年后续的时间里，美国联邦政府发布《联邦零信任战

略》、美国国防部要求拨款 6.15 亿美元用于与零信任网络安全架构相关的工作……

国 内 也 有 多 个 团 体、 行 业 的 零 信 任 标 准 出 台。 国 际 电 信 标 准 组 织 ITU-T 正 式 对 外 发 布

34

《特别回顾》

《Guidelines for continuous protection of the service access process》（《服务访问过程

持续保护指南》）标准，这被认为是全球首个零信任的国际标准。

零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的

话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于

身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。

基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。

据 Gartner《HypeCycleforNetworkSecurity,2020》报告，零信任的技术成熟度正在接近

泡沫破裂期的谷底。根据曲线，未来 1-2 年内将越过谷底的拐点，市场泡沫衰退之后，零信任相关

技术的应用会趋于成熟，产品成熟度将进一步提高并步入稳定增长阶段。

零信任网络基于应用远程访问的业务特性决定了零信任网络访问本身就不是某个点或某个网络

的安全防护，而是基于业务完整性的、跨网络连接的立体范畴的防护。这也决定了零信任的构建无

法依赖某一种特定的技术实现，而是融合了网络安全、认证、计算环境安全、加密、数据安全等技

术构建的基于熵减原则的开放的安全系统。为保证业务完整性，还需要包含与传输过程、访问环境、

资源管理相关的必要的支撑技术，具体体现为流量加密和认证、资产识别和威胁感知。

当前，78.9% 国内用户认为零信任还处于概念热度期，但对运用零信任安全相关解决企业数据

中心远程访问、云计算服务访问、边缘计算、5G、新兴互联网等场景下的安全问题充满信心 . 超过

80% 的调研用户表示有零信任应用计划，其驱动因素包括有外来的互联网风险、业务发展及疫情影

响。

35 36

《 特别回顾 》

35

10.2021 年网络安全领域非上市投融资事件快速增长

日前，国家工业信息安全发展研究中心发布 2021 年 1 月 -11 月网络安全产业投融资监测情况，

数据显示，2021 年 1 月 -11 月，我国网络安全领域非上市投融资事件共 110 起，披露金额超 115 亿元。

相较去年同期，投融资事件数量增长近 90%，投融资金额增长约 1.5 倍 .

其中，2021 年 11 月非上市投融资事件共 9 起，披露金额超 3 亿元，投融资热度较 10 月略有下降。

1 月 -11 月，近四成投融资事件的融资额超过 1 亿元，近两成事件融资额超过 2 亿元，超亿元融资

事件数量较去年同期增长约 70%。

从融资阶段来看，1 月 -11 月，投资机构对网络安全领域中后期项目及早期项目的关注度持平，

中后期项目及早期项目占比均为 42.7%，值得注意的是自 9 月以来，资本市场对早期项目的布局明

显增多。

从细分赛道来看，1 月 -11 月，早期项目融资关注度排名前三的细分赛道分别为云安全、安全

管理与运营和工控安全 ( 并列 )，其中云安全赛道融资交易数量最多，为 8 起。

从企业市值来看，1 月 -11 月，网络安全上市企业市值波动幅度较大。11 月，网络安全上市企

业总市值为 4822.9 亿元，较 10 月呈现上升趋势，增长幅度约为 5.8%，同大盘相比呈现同步上升

趋势。与去年同期相比，上市企业数量由 23 家增至 25 家。在受监测的网络安全上市企业中，较

2021 年 10 月市值上涨的企业数量为 22 家，市值下跌的企业数量为 3 家。

36

《特别回顾》

2021 年，十大安全漏洞

转载：安全 419& 零零信安

据美国商务部国家标准与技术研究所（NIST）国家漏洞数据库（NVD）在 2021 年年底发布

报告显示，漏洞 CVE 数量再创历史新高，2021 年漏洞报告数量达到了创纪录的 18378 个。过去

5 年时间漏洞数量不断上扬，报告中高危漏洞数量虽从 2020 年的 4381 个下降到了 3646 个，但

11767 个中等风险漏洞、2965 个低风险漏洞数量都有增加。

漏洞利用仍然是黑客入侵最有效的手段之一，面对漏洞数量不断上涨这一趋势，企业网络安全

管理人员将肩负更重的责任。安全 419 与全局风险管理专家零零信安在年底联合推出“2021 年十

大漏洞盘点”回顾，我们来看一下去年让那些安全管理人员“心惊胆战”的漏洞都有哪些？

注 . 本文中所展现的十大漏洞，零零信安所给出的修复优先级评分均为满分（100 分），并基

于零零信安风险评分标准，按分数高低降序排列。（评分标准基于以远程触发、是否需要认证、利

用难度、代码执行为主，同时兼顾保密性、完整性、可用性、全球影响力等方面。)

●（一）Apache Log4j2 远程代码执行漏洞 （CVE-2021-44228）

零零信安 风险评分：321.067

Apache log4j 是 Apache 的一个开源项目，Apache log4j 2 是一个就 Java 的日志记录工具。

该工具重写了 log4j 框架，并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控

制台、文件、GUI 组建等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。

log4j2 中存在 JNDI 注入漏洞，当程序记录用户输入的数据时，即可触发该漏洞。成功利用该漏洞

可在目标服务器上执行任意代码。

该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可利用该漏洞在未授权的

情况下，构造恶意数据进行远程代码执行攻击，最终获取服务器最高权限。

该漏洞影响范围极大，且利用方式十分简单，攻击者仅需向目标输入一段代码，不需要用户执

行任何多余操作即可触发该漏洞，使攻击者可以远程控制用户受害者服务器，90% 以上基于 java

开发的应用平台都会受到影响。

●（二）Windows Exchange Server ProxyLogon 漏洞（CVE-2021-26855

& CVE-2021-27065）

37 38

《 特别回顾 》

零零信安 风险评分：310.364

Microsoft Exchange Server 是微软公司开发设计的一套电子邮件系统。其除了提供通常的邮

件服务功能外，还支持 SMTP、POP、IMAP4、LADP、NNTP 相关协议，常被用于构建企业、学

习的邮件系统或免费邮件系统。

ProxyLogon 攻击允许攻击者在未授权的情况下，直接攻击 Windows Exchange 的 443 端口，

获得服务器上远程命令执行。漏洞发现者 Orange Tsai 在 Blackhat USA 上分享了详细的漏洞细节。

ProxyLogon 掀 开 了 攻 击 Windows Exchange 的 浪 潮。 一 方 面，Orange Tsai 在 2021 年 1

月把 ProxyLogon 漏洞细节提交给微软；微软确认后计划于 3 月发布补丁。可是在补丁正式发布之

前，2021 年 2 月末，大量使用 ProxyLogon 漏洞的在野利用被捕获。在野利用和 Orange Tsai 提

交给微软的 POC 一致。

●（三）BIG-IP 未授权远程代码执行漏洞 （CVE-2021-22986）

零零信安 风险评分：310.364

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能

的应用交付平台。CVE-2021-22986 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞 中，

未经身份验证的攻击者可通过 iControl REST 接口，构造恶意请求，执行任意系统命令。

●（四）Weblogic Server 远程代码执行漏洞 （CVE-2021-2109）

零零信安 风险评分：310.364

Oracle 官方发布了漏洞补丁，修了包括 CVE-2021-2109 Weblogic Server 远程代码执行漏

洞在内的多个高危严重漏洞。CVE-2021-2109 中，攻击者可构造恶意请求，造成 JNDI 注入，执

行任意代码，从而控制服务器。

●（五）Microsoft MSHTML 远程代码执行漏洞 （CVE-2021-40444）

零零信安 风险评分：147.197

2021 年 9 月 7 日微软发布安全公告称发现 Windows IE MSHTML 中的一个远程代码执行漏洞。

由于未发布漏洞补丁，微软只称该漏洞可以利用恶意 ActiveX 控制来利用 office 365 和 office

2019 来在受影响的 Windows 10 主机上下载和安装恶意软件。随后，研究人员发现有攻击活动使

用该恶意 word 文档，即该漏洞的 0 day 在野利用。

38

《特别回顾》

●（六）Apache HTTP Server 路径遍历 & 远程命令执行漏洞 （CVE-2021-

41773 & CVE-2021-42013）

零零信安 风险评分：145.92

Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中，引

入了一个路径体验，满足下面两个条件的 Apache 服务器将受到影响：

版本等于 2.4.49

Require all granted（默认情况下是允许被访问的）。

Apache HTTP Server 2.4.50 中对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径

遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受

通常的默认配置 “要求全部拒绝” 的保护，则这些请求可能会成功。如果还为这些别名路径启用

了 CGI 脚本，则可以允许远程代码执行。

●（七）Sudo 本地提权漏洞 （CVE-2021-3156）

零零信安 风险评分：145.092

在 2021 年 1 月 26 日，sudo 被披露存在一个基于堆的缓冲区溢出漏洞（该漏洞被命名为“Baron

Samedit”）可使普通用户权限提升。

当 sudo 通过 -s 或 -i 命令行选项在 shell 模式下运行命令时，它将在命令参数中使用反斜杠转

义特殊字符。但使用 -s 或 -i 标志运行 sudoedit 时，实际上并未进行转义，从而可能导致缓冲区溢出。

非 root 用户可以使用 sudo 命令来以 root 用户身份执行命令。且不需要知道用户密码，攻击者就

可以使用普通用户利用 sudo 获得系统 root 权限。

sudo 或 superuser do 是在 Linux，BSD 和 Unix 系统上使用的实用程序，它为运行的命令

提供 root 或 Administrator 特权，是一个允许系统管理员让普通用户执行一些或者全部的 root

命令的工具，如 halt，reboot，su 等等，这样不仅减少了 root 用户的登录和管理时间，同样

也提高了安全性。sudo 不是对 shell 的一个代替，它是面向每个命令的，并非每个用户都需要

具有 root 特权，但是在某些情况下，需要以 root 特权运行命令。我们可以使用 sudo 运行某些

特定的或所有提供的命令，并以 root 特权编辑文件。Sudo 这个漏洞，不仅影响 Linux，也影响

macOS。

39

《 特别回顾 》

●（八）Windows 域服务权限提升漏洞 （CVE-2021-42287）

零零信安 风险评分：145.092

Windows 域 服 务 权 限 提 升 漏 洞（CVE-2021-42287, CVE-2021-42278） 是 由 于 Active

Directory 域服务没有进行适当的安全限制，导致可绕过安全限制进行权限提升。攻击者可利用该

漏洞造成将域内的普通用户权限提升到域管理员权限等危害。

●（九）Gitlab 远程命令执行漏洞（CVE-2021-22205）

零零信安 风险评分：141.197

GitLab 是由 GitLab Inc. 开发的一个用于仓库管理系统的开源项目，使用 Git 作为代码管理工

具，可通过 Web 界面访问公开或私人项目。由于 GitLab 存在未授权的端点，导致该漏洞在无需进

行身份验证的情况下即可进行利用。

此漏洞是通过上传功能来实现 RCE 的，漏洞出于 Exif Tool 功能处，用于从图像中移除元数据

的开源工具，因为此工具在解析上传图像中的元数据时，并没有完全解析某些元数据，导致攻击者

上传带有恶意元数据的图片，从而导致远程命令执行。

●（十）runc 符号链接挂载与容器逃逸漏洞（CVE-2021-30465）

零零信安 风险评分：131.46

国外安全研究人员发布了 runc 符号链接挂载与容器逃逸漏洞的 POC，漏洞编号为 CVE-2021-

30465。

runc 是一个通用的标准化容器运行环境，其可以根据开放容器方案生成和运行容器。其被广泛

的应用于各种虚拟化环境中，如 Kubernets。成功利用该漏洞的攻击者可以突破虚拟化环境的限制，

完成虚拟化逃逸，从对物理机进行攻击。攻击者可以通过创建一个恶意的 POD 及 container，将

宿主机的目录挂载至 container 中，最终完成虚拟化逃逸。攻击复杂度较高，利用价值非常高。

40

《特别回顾》

金沙江

金沙水拍云崖暖，大渡桥横铁索寒。

——《七律·长征》毛泽东

41

《特别回顾》

2021 年，全球网安威胁发展态势

转载：《信息安全与通信保密》 作者：C ismag

一、九大网络安全威胁的发展特点

1. 勒索软件的发展特点

（1）Conti 和 REvil 勒索软件团伙领跑市场

2021 年财务收益最多的勒索软件团伙是 Conti（1270 万美元）、Revil/Sodinokibi（1200

万美元）、DarkSide（460 万美元）、MountLocker（420 万美元）、Blackmatter（400 万美元）

和 Egregor（310 万美元）。根据统计数据，2021 年第一季度勒索软件市场份额最大的是 REvil/

Sodinokibi（14.2%）、Conti V2（10.2%）、Lockbit（7.5%）、Clop（7.1%）和 Egregor（5.3%）。

2021 年第二季度，排名靠前的是 Sodinokibi（16.5%）、Conti V2（4.4%）、Avaddon（5.4%）、

Mespinoza（4.9%）和 Hello Kitty（4.5%）。最后两个是新兴的勒索软件。

（2）勒索软件即服务业务模式

勒索软件不断扩大的市场机遇催生了新的盈利模式—勒索软件即服务 (RaaS)，出现了大量以售

卖勒索软件为主要营生的勒索软件即服务暗网市场，并逐渐形成完整成熟的产业链。在攻击过程中

使用 RaaS 平台已经成为常态，该平台为缺乏技能、资源和时间的黑客提供了很多现成的解决方案

和勒索服务，从勒索软件的开发、传播、攻击到收益呈现系统化、便捷化趋势，开发者可以提供一

整套解决方案，甚至包括利用加密货币进行赎金支付等服务。任何想非法获利的人士，即使缺乏技

术知识，都可能利用 RaaS 平台提供的现成解决方案。而且 RaaS 平台还正在不断适应环境的变化，

以便不被端点和网络安全工具发现。

（3）从双重勒索到多重勒索转变，实现利润最大化

勒索团伙一直在尝试使用各种策略对受害公司施加压力，以增加赎金数目及确保缴纳率，为此，

从最初的单一加密勒索演变为 2020 年的“双重勒索”，即在加密前攻击者会先窃取大量受害者敏

感数据，威胁受害者如果不缴纳赎金则公开数据，使受害者不仅要面临数据泄露威胁，还有相关法规、

财务和声誉影响。2021 年开始演变为“多重勒索”攻击，攻击者除了双重勒索之外，还以组织的

客户和 / 或合作伙伴为目标索要赎金。5 月，Clop 勒索软件团伙在以 RaceTrac Petroleum 为目

标并威胁要发布这些公司的文件后，还直接联系其客户和合作伙伴并威胁要发布他们的文件。此外，

研究表明在双重勒索的基础上增加了 DDoS 攻击威胁，目前，部分勒索软件已整合了 DDoS 攻击

能力，不仅能加密受害者电脑文件，还能对外出售敏感数据，并利用被感染电脑发送恶意网络流量，

以此影响受害者系统的带宽或运行速度，这三种攻击若同时实施，将带来非常严重且不可逆转的后

果。由此可推测，在未来的数年内为实现收益最大化，勒索攻击形 式还会层出不穷。

42

《特别回顾》

（4）支付赎金的加密货币从比特币向 Monero 转变

几年来，像比特币这样的加密货币成为网络威胁者收取赎金的首选，为网络勒索提供了低风险、

易操作、便捷性强的赎金交易和变现方式，成为网络犯罪活动的主要支付形式。此外，由于生成新

哈希所需的更高计算机能力以及更严格的监管，比特币的价值在过去两年中大幅增长。但是 2021

年 5 月，Colonial Pipeline 遭受了勒索软件团伙 DarkSide 的攻击，FBI 在受害者已经支付了比

特币赎金后介入，通过审查比特币公共分类账，执法部门可以跟踪多个比特币转账。事实证明，

FBI 拥有从特定比特币地址访问资产所需的“私钥”。联邦调查局发出扣押令，开始没收这些硬币。

没有透露 FBI 是如何获得私钥的，这也是执法部门首次以加密货币追回了大部分赎金。在查封之后，

人们注意到一种转向使用 Monero 作为加密货币的趋势。Monero 是作为一个开源项目推出的，旨

在增加交易的匿名性和不可区分性，很快受到用户好评，并在过去几年中取得了稳定增长。勒索软

件团伙 REvil 在 2021 年才接受 Monero，DarkSide 和 Babuk 等其他组织将选择权留给了受害者，

但在选择比特币支付赎金时增加了费用。

（5）最高赎金要求飙升

最高的勒索软件需求从 2019 年的 1500 万美元增长到 2020 年的 3000 万美元。REvil 也加大

了勒索力度，2021 年 3 月向宏碁索要 5000 万美元。4 月向苹果的供应商广达电脑索要了同样的

金额。7 月，在 Kaseya 遭到攻击后，要求支付 7000 万美元的赎金。短短几个月，2020 年的最

高需求在 2021 年翻了一倍多，很可能在 2022 年达到 1 亿美元的赎金上限。公开披露或受到媒体

关注的事件只是冰山一角，还有其他高赎金的公共勒索事件，只要组织继续支付，勒索组织就没有

理由降低要求，未来的勒索软件团伙将以最高支付作为未来的目标甚至参考。

（6）被攻击者成本损失剧增

当勒索软件事件发生时，被攻击组织面临着巨大的成本损失，包括赎金金额、停机时间、人员

成本以及实际操作和技术补救等。根据在 30 个国家开展的一项调查显示，补救勒索软件攻击的总

体成本也在大幅增加，从 2020 年的 761106 美元到 2021 年的 185 万美元，勒索软件事件的总

成本仅在一年内就翻了一倍多。而且，瘫痪关键基础设施往往成为攻击目的，导致平均停机时间从

2020 年第一季度的 15 天增加到 2021 年第二季度的 23 天。一项针对 1263 名受访者的调查显示，

66% 的组织因勒索软件攻击而遭受重大收入损失，在成功勒索后，每个垂直行业都易遭受显著的收

入损失。

（7）零日漏洞使用的增加

过去，零日只用于高级威胁团体和民族国家的有针对性的袭击，随着赎金的增加，更多的零日

被勒索组织利用并执行赎金软件攻击，特别是在大规模行动中是非常有意义的，攻击次数的减少和

43 44

《特别回顾》

对大型组织的关注使得攻击者可以要求高额赎金，这种攻击被称为大型狩猎（BGH）。与使用流行

的恶意软件传播媒介（如网络钓鱼）瞄准大量目标不同，攻击者会仔细选择目标，并使用复杂的方

法突破这些高价值目标。通过这种方式，BGH 趋势打破了传统的有针对性的网络犯罪行为。

（8）保险助推勒索软件产业经济

随着网络安全事件的普遍增加，越来越多的企业向网络保险和再保险公司寻求帮助，更倾向于

购买网络安全保险。网络攻击者特意挑选投保了网络保险的公司作为攻击目标，更加针对性地实施

勒索攻击，使得网络犯罪的成功率大幅提升，这种做法不但将影响保险公司和保单成本，也会助长

整个勒索软件经济。为遏制这一情况的继续恶化，已有多家公司开始缩减网络保险的覆盖范围，例如，

总部位于法国的欧洲五大保险公司之一的保险巨头安盛集团于 2021 年 5 月宣布在法国承保的网络

保险将不再包括勒索软件赔偿。

2. 恶意软件的发展特点

（1）恶意软件感染从追求数量转为质量

在本报告所述期间， 恶意软件攻击大幅减少。研究表明， 与 2019 年相比， 2020 年北美的袭

击减少了 43%。这一下降在欧洲几乎是一样的，而在亚洲则下降了 53% 。2021 年与去年同期相

比， 上半年的恶意软件数量进一步减少了 22%。恶意软件感染的减少仍在继续，但是， 恶意软件

总量的减少并不意味着网络犯罪有所减少。过去， 希望感染最多的受害者，如今关注的焦点不再是

数量，而是感染的质量。2021 年检测到的最常见的恶意软件系列是 Trickbot（僵尸网络和银行）、

XMRig （加密矿工）、 Formbook （信息窃取者）、 Glupteba （僵尸网络） 和 Agent Tesla （信

息窃取程序）。

（2）Windows Container 恶意软件越发普遍

针对容器（Container）环境的恶意软件已经变得更加普遍。 容器化技术可以轻松扩展，专

注于云原生堆栈的恶意软件本质上不是新的。2020 年 11 月， 恶意容器镜像已经被识别出来，

并被用于查找和利用特定受害者 Kubernetes 环境中的漏洞。2020 年 12 月， 研究人员还发

现存在从内存中 执行的无文件恶意软件 。2021 年 3 月， 研究人员发现了第一个针对 Windows

Container 的已知恶意软件。 这类恶意软件最常见的目标是逃离容 器，感染由多个应用程序集合

而成的集群，大大增加感染的影响力。常见 的危害包括密码、信用卡号等敏感信息的泄露。此外，

容器技术经常被用 于破坏开发环境， 导致进一步的供应链攻击。

（3）移动恶意软件呈上升趋势

2020 年， Android 上的假冒广告屏蔽软件（也称为广告软件） 呈上升趋势， 一个相近的

变体是 hiddenAds 移动恶意软件。与 2019 年相比， 2020 年这类恶意软件从 280000 增加到

44

《特别回顾》

700000。移动恶意软件中的广告软件在整个 2021 年仍占很大比例。2021 年上半年， 45% 的移

动恶意软件被认定为广告 软件。 手机银行恶意软件在 2021 年也有所增加， 最常见的恶意银行应

用程 序包括 Ghimob 、Eventbot 和 Thiefbot。其他常见的恶意软件有贝莱德、沃 巴和特里克莫。

（4）使用新兴编程语言编写恶意软件正在兴起

由于大多数恶意软件的检测能力都是基于静态指标的， 当源代码被改写成新的语言时， 这些

指标变得无关或无效，能够绕过检测。用新兴编程语言编写的恶意软件只占目前开发的所有恶意软

件的一小部分。尽管如此，它仍然是恶意软件检测和代码分析技术未来发展的一个重要方面。这

一趋势在 2020 年和 2021 年持续发展。这些不常见的语言包括但不限于 Rust、Nim、DLang 和

Go324。

（5）新型恶意软件崭露头角

多年来，恶意软件不断发展， 取得了更多的进展。Emotet 作为计算机恶意软件的一个变种，

功能从简单的信息窃取器转移到用于创建高级僵尸网络的恶意软件。该恶意软件具有完善的命令和

控制 (C2) 基础设施， 频繁更新， 在逃避检测方面非常有效。 在整个 2020 年， Emotet 一直是最

流行的恶意软件。

3. 加密劫持的发展特点

（1）2021 年加密劫持量创历史新高

2020 年 3 月，受加密劫持恶意软件感染的人数激增， 此后感染率急剧下降。从 2020 年第二

季度到最后一季度，感染量缓慢增长，并在 2021 年持续增长。2021 年第一季度， 加密劫持恶意

软件增长了 117%，感染量与过去几年相比创下历史新高。 激增的原因应该是与加密劫持相关的财

务收益激励了相关的威胁参与者。

（2）XMRig 主导着加密劫持市场

XMRig 是一个开源的矿工， 攻击者和大多数恶意软件都使用它对受害者进行加密挖掘。2021

年上半年，其市场份额增至 51%，占所有加密挖掘恶意软件的一半以上。其他感染与 Lucifer （

10%）、LemonDuck （ 5%）、RubyMiner（5%）、Wannamine （5%）和其他矿工（20%）

有关。

（3）从浏览器转向基于文件的加密

研究显示， 2021 年第一季度，基于桌面或文件的加密劫持频率几乎是基于浏览器的 7 倍，基

于浏览器的为 13%，而基于文件的为 87%。

45 46

《特别回顾》

（4）感染方法不变

用于传播和部署加密挖掘的技术与其他恶意软件感染方法没有太大区别。一般采用一种在受害

者不知情的情况下在其设备上传送和安装恶意文件的驱动器下载技术。 在访问恶意网站时， 触发

利用包含安全漏洞的操作系统或 web 浏览器的下载。另一种传播方式是恶意软件，即通过广告传

播恶意软件的行为。

（5）针对云和容器基础设施的加密挖掘

当云主机受到加密劫持恶意软件的感染时， 成本可能会变得非常巨大。云提供商为消耗的

CPU 周期买单， 而计算操作带来的收益只占成本的一小部分。 容器基础设施也是一个有趣的目标，

因为这些环境将根据需要生成工作节点。过去已经在 Kubernetes 上看到过加密劫持， 但入口向

量要么是易受攻击的 web 应用程序， 要么是已经包含挖掘恶意软件的恶意容器。

4. 与电子邮件有关的威胁的发展特点

（1）新冠病毒 -19 仍然是电子邮件威胁活动的诱饵

在整个报告所述期间， 带有新冠病毒相关诱饵的垃圾邮件活动屡见不鲜。 总的来说， 新冠肺

炎被对手利用， 诱骗最终用户成为各种电子邮件相关攻击的受害者。对手利用对这种流行病的担忧

和人们对电子邮件的信任作为主要的攻击手段， 包括试图欺骗用户， 从虚假网站订购口罩， 通过

恶意附件使其感染恶意软件等。 随着新冠病毒的持续和疫苗的发布， 诱饵也随之改变，包括广告

或提供在支付押金或费用后尽早获得疫苗的机会以及有关疫苗的错误信息等。

（2）用于网络钓鱼活动的邮政服务

在本报告所述期间， 观察到几起旨在通过发送与国家邮政系统递送有关的网络钓鱼电子邮件

来窃取受害者信用卡号码的网络钓鱼运动。这些电子邮件试图将用户引导到钓鱼网站， 从而获取

信用信息，目前已经影响到至少 26 个国家。2021 年， 邮政服务还被用于发送大量垃圾短信， 将

Flubot　Android 恶意软件传播到欧洲各地。恶意软件团伙伪装成合法的包裹递送服务，通过短

信向用户发送恶意链接。

（3）BEC 已越来越成熟、复杂并有针对性

根据公开的报告， BEC 是 2020 年最昂贵的网络犯罪类型， 各组织报告的总损失超过 18 亿美

元。在本报告期间，观察到 BEC 计划已经发展，特别是在证书钓鱼和货币转换为加密货币。正如

欧盟成员国报告的那样，已经有很多案例表明办公账户被用于 BEC 欺诈。这意味着参与者还进行

了证书钓鱼操作或密码喷射攻击 ( 一种技术 )。此外， 尽管网络罪犯的目标是所有部门和企业， 但

BEC 的参与者对中小企业表现出越来越多的关注。而且该网络犯罪的巨大利润潜力吸引了全球范围

内复杂的网络犯罪集团，进一步使目前 BEC 参与者的地理位置更加多样化、复杂化。

46

《特别回顾》

雅鲁藏布江

百川东到海，何时复西归。 少壮不努力，老大徒伤悲。

——白居易《长歌行》

47