国内外最新网络安全发展态势

国内

01

信通院发布《中国网络安全技术与企业发展研究报告(2020年)》

2020年12月23日，中国信息通信研究院（以下简称“中国信通院”）在第十届电信和互联网行业网络安全年会上发布《中国网络安全技术与企业发展研究报告（2020年）》（以下简称“报告”）。
报告在《中国网络安全产业白皮书（2020年）》的基础上进行了补充。其在重点关注安全企业、互联网企业、运营商等主体网络安全市场布局的情况下，还结合热点趋势，重点对5G安全、容器安全、车联网安全、“区块链+安全”、数据合规等五个领域进行分析预测。
报告指出，在企业布局方面，传统安全企业正聚焦新兴科技领域和安全服务转型，头部企业安全服务占比不断攀升；运营商作为基础设施的建设者和维护者，正在通过投资、合作等方式围绕5G+安全纵深推进；互联网头部企业均将云安全视为重要战略方向，用互联网思维多维度打造安全防御体系。
在热点技术方面，5G移动边缘计算平台的边缘侧安全服务与产品率先实现落地；容器安全解决方案逐渐开始向“构建-分发-运行”全生命周期安全发展；车联网安全解决方案目前已覆盖云端、车端、应用场景、通信和安全服务；“区块链+网络安全”双向布局正在加紧探索；数据管控和监测审计仍是数据合规市场的主流。未来，中国信通院安全研究所产业研究团队将继续专注国内外网络安全产业研究，以期为关注网络安全产业发展的企业、政府机构以及相关单位提供参考和帮助。

02

信通院发布《区块链白皮书（2020年）》

2020年12月22日，由中国信息通信研究院（以下简称“中国信通院”）、中国通信标准化协会、可信区块链推进计划共同主办的“2020可信区块链峰会”在京举行。
本白皮书在此前两年版本基础上，跟踪国内外区块链发展最新动态，梳理区块链技术和产业图谱，全景呈现国内外区块链技术产业动态和发展趋势，探究区块链联盟生态治理模式，剖析面临的挑战，提出了下一步发展的相关建议。
白皮书亮点：
亮点一，白皮书对新阶段国内外区块链的发展态势进行了系统性全景展现
进入2020年，各国政府均积极探索通过新兴技术降低经济社会运行成本，提升实体经济运行效率，进一步寻找经济发展新的增长点。区块链与云计算、人工智能等新技术基础设施交叉创新，越来越多的实体经济垂直领域呈现出“区块链+”的发展格局。当前，区块链应用存证先行，逐渐向自动化协作和价值互联迈进，且工程化和生态构建成为重点。
亮点二，白皮书创新提出区块链技术图谱和产业图谱
技术层面，区块链作为一种综合性技术，其技术组成按重要程度可分为核心技术、扩展技术、配套技术三类。产业层面，区块链产业图谱可以分为横向（各类企业主体）、纵向（产业链上中下游）两个不同维度进行观察。
亮点三，白皮书对区块链的联盟生态模式进行了探索性归类
随着区块链联盟生态持续演化，区块链应用日益丰富，基础设施建设、技术研发、应用布局等环节中，各方主体协作模式逐渐清晰，形成特色不一的区块链产业链运作模式，产业链形态呈现出技术供给侧发力崛起、应用需求侧依旧强势的整体态势。
亮点四，白皮书阐述了区块链面临的挑战，回答了下一步如何促进区块链发展的问题
现阶段，区块链技术仍旧处于开发成长阶段，要想真正发挥其自身潜力价值，需直面技术自主创新、应用路径、联盟治理、监管体系等方面存在的问题，发动政府、行业组织、企业等社会各方面的力量，为新兴产业的发展提供空间，推进区块链与数字经济加速融合创新。

国外

01

美空军研究实验室推进量子技术创新与军事应用

美空军研究实验室（AFRL）已向全球量子学领域的科学家和工程师提供17笔量子基础研究款项，旨在加速量子技术的科学创新与军事应用，为美军提供技术支持。AFRL科学研究办公室最初征集了通信、计算、传感、授时4个重点领域的白皮书，并邀请来自22个不同国家的36名科学家参加在“百万美元国际量子U技术加速中心”举办的为期3天的量子虚拟推介比赛。17名参与者最终赢得量子基础研究项目款项，将利用GPS拒止环境下的量子导航传感器、光学原子钟、量子计算系统等技术为美国防部提供超越经典“量子信息科学”的解决方案，并攻克许多棘手的量子技术问题。

02

美海军陆战队建立战术网络部队以应对日益增长的威胁

据美国C4ISR网站12月21日报道，美海军陆战队正在建立战术网络部队，以应对战术边缘不断增长的网络威胁。长期以来，网络空间行动只能由网络司令部远程执行，但随着网络攻击技术和手段日益进步，网络司令部对战术边缘的行动已经无暇顾及。海军陆战队的战术网络部队将把网络司令部的专业知识和资源带到战术边缘，为战术部队指挥官提供支持。海军陆战队网络司令部作为联合部队网络总部和舰队之间的桥梁，将向前线的海军陆战队员传递专业知识，训练其使用计算机系统来完成攻击任务，并与远征部队一起防御舰队面临的网络威胁。

03

美专家：拆分国家安全局与网络司令部为时尚早

针对美总统特朗普近期提出拟拆分国家安全局和网络司令部，美智库传统基金会国家防务中心研究员詹姆斯·迪·潘尼（James Di Pane）于12月30日在C4ISR网站上撰文，认为改变目前由同一名上将领导两个部门的机制为时尚早。潘尼认为，自网络司令部成立以来，就不断出现拆分国家安全局与网络司令部的声音。但此举不利于美国的国家安全，因为现行机制已经有效运转了好多年，目前没有必要立即拆分这两个部门。潘尼指出，现行的这种合二为一的机制始于2009年网络司令部的创立，旨在为网络司令部遂行任务提供所需要的支援和资源。这种安排使不断发展的网络司令部能够向国家安全局借用人力和其他资源。
然而，2009年以来，情况发生了巨大变化。网络司令部组建了133个网络任务小队，并实施了复杂的作战行动，如针对“伊斯兰国”发动网络攻击，从而破坏了“伊斯兰国”的网络宣传能力。这意味着网络作战司令部已经积累了丰富的作战经验，作战能力也得到了提升。
为此，在奥巴马总统任职期间，美国便开始推动拆分网络司令部与国家安全局，斯诺登事件后，拆分的呼声在政界更加强烈。目前，美国内在拆分题上存在两种声音。其中，支持拆分网络司令部与国家安全局的一方认为，由一个人领导两个部门，可能会导致资源分配不均，而且一个人是否有能力掌管两大部门也值得商榷。
他们还认为，通过网络作战等方式大量使用国家安全局的先进工具，可能会导致这些工具过早地暴露。而支持保留现有运行机制的人则认为，两大部门密切合作和协同有利于作战，有助于实现更快速的决策及更高效的资源利用。
潘尼认为，尽管存在上述争议，而且许多人也认为应该在某一时间点拆分这两个部门，但拆分应遵循以下原则:一是不应仓促或过早地进行实施;二是必须继续保持两大部门之间的密切合作。目前，美国政府正遭受疑似俄罗斯黑客发起的大规模网络攻击，在这个时候进行大规模的组织调整并不合时宜，这可能会影响网络作战。美国前任网络司令部司令迈克尔·罗杰斯上将和现任司令保罗·中曾根上将都对过早拆分网络司令部与国家安全局持谨慎态度。
两人都认为现行安排行之有效，可确保两大部门建立密切的合作关系。这两大部门根据不同法律权限运作。网络司令部根据美国法典第10卷履行职责，而国家安全局则通常根据美国法典第50卷掌管情报职能。这反映了网络作战的运作方式，以及情报和军事行动之间密切协作的需求，意味着网络司令部和国家安全局之间的合作程度是其他军队与情报部门之间无法达到的。
目前，网络司令部与国家安全局可开展密切协同，由此带来的紧密合作和统一指挥是两部门拆分后无法实现的。正如中曾根将军所说:“国家安全局是我们最重要的合作伙伴，这种合作关系对于保卫国家至关重要。国家安全局拥有世界一流专业人才、技术能力和情报获取渠道，这对于网络司令部成功实施作战至关重要。”
潘尼最后强调，拆分网络司令部与国家安全局的前提是，能够增强两个部门的作战效能，而且还必须制定清晰的拆分计划，并得到国会的支持，因为只有得到国会的支持，这项工作才能取得成功。决策人员应继续支持网络司令部的发展壮大，以便做好未来拆分的准备。

04

NIST安全框架漏掉了四个关键云安全问题

美国国家标准技术研究院（NIST）的网络安全框架是一个很有价值的工具，可改善IT度量和标准，尤其是数据安全保护。研究表明，将近三分之二的组织将安全性视为采用云技术的最大挑战，这使NIST网络安全框架成为重视数据安全的IT领导者的宝贵工具。但是，随着越来越多的企业采用越来越复杂的多云和混合云环境，照搬NIST网络安全框架暗藏着巨大风险，因为NIST网络安全框架忽略了很多关键的云安全问题。
不幸的是，NIST标准给大量企业和组织（从小型企业到大型政府组织）营造了错误的安全感。因为这些企业没有意识到，尽管NIST安全框架有很多优点，但也给网络内部埋下了巨大的云安全问题隐患。
日志文件和审计报告
许多组织会惊讶地发现，没有NIST标准规定日志文件应保留30天以上。考虑到日志中存在的大量信息，30天的保留期太短，对于组织，尤其是大型企业而言，这对于安全报告来说是一个重大的挑战。考虑到企业平均需要四个月以上的时间才能检测到数据泄露，因此当前的30天限制根本无法满足需要。扩展的审核日志保留功能可确保IT团队拥有调查安全事件溯源所需的取证数据，也是遵守GDPR等数据隐私法规的关键一步。
共同责任
云（数据）安全的问责是个十分让人头疼的问题，尤其是在使用多云或混合云环境的企业中。SaaS之类的高级云平台需要大量IT驱动的安全职责。在PaaS和SaaS解决方案中，身份和访问管理是一项共同的职责，需要有效的实施计划，其中包括身份提供者的配置、管理服务的配置、用户身份的建立和配置以及服务访问控制的实现。随着全球企业数字化转型计划的推进和大流行期间远程办公的流行，越来越多的组织将业务应用迁移到云托管环境中。尽管云计算责任分担模型明确规定了云提供商及其用户的安全义务以确保问责制度，但可见性和安全监控应用程序仍存在空白，需要解决。随着越来越多的企业选择云计算节省成本和改进业务，企业比以往任何时候都更需要弥合可见性和安全监控的差距以实现最高安全性。
租户代理

NIST要求对最小特权访问进行范围界定，但并未覆盖租户代理或“虚拟租户”。虚拟租户隔离了整个环境的各个区域，并防止管理员弄乱不属于他们的区域。让管理员控制他们的“虚拟”区域，从而帮助保护M365中的资源和数据。可以理解，当涉及个人隐私信息（PII）和知识产权时，缺少租户代理产生了重大的安全挑战。因此，组织（尤其是大型的分布式组织）应考虑采用可对特定业务部门的访问进行细分的工具，以提高整体安全水平。
管理员角色和规则
微软应用管理员包含大约有75个属性，但是几乎没有人（无论微软还是企业IT人士）确切了解它们的含义。如果授予用户Application Administrator权限，则几乎不可能确切知道该用户具有哪种访问权限，从而带来不必要的安全风险。尽管IT员工在工作中经常需要执行某些功能，例如创建新的用户账户和更改密码，但是这些“流动性”较强的功能并不容易归属到某个特定的角色。这种流动性使传统安全方法（例如基于角色的访问控制）的效力被削弱。值得注意的是，NIST在管理员角色和规则方面也并非毫无作为，功能访问控制（FAC）就是其中之一。RBAC是实现最低特权访问的一种方法，而功能访问控制（FAC）是实现RBAC的一种方法。作为NIST认可的方法，FAC为IT管理员的功能权限提供了一种更细粒度的分配方法，使企业能够调整特定用户访问权限的大小，从而改善安全性。

05

美国会要求政府加强对人工智能国防项目的管理

据美国C4ISR网站12月21日报道，美国防部联合人工智能中心正梳理所有进行中的人工智能项目并创建清单，目的是详细介绍各个人工智能项目的拨款、编号、国防划拨资金、学术或行业合作伙伴等情况，以便美国国会了解国防部人工智能项目资金的使用情况。联合人工智能中心的任务是加快人工智能在整个国防部的应用。当前美国防部和军队内部的大量人工智能项目缺乏协调，美国会认为联合人工智能中心需要更好的流程来跟踪这些人工智能项目，以帮助国防部形成对人工智能项目类型和数量的整体认识。

06

朝鲜国家黑客入侵新冠病毒疫苗研发机构和政府部门

卡巴斯基最近发布的APT报告显示，朝鲜黑客组织Lazarus Group已经入侵了参与新冠病毒（COVID-19）疫苗研发机构。根据报告，Lazarus于9月和10月分别渗透了一家制药公司和一个政府卫生部的网络（下图）。

在进入目标网络后，Lazarus黑客部署了Bookcode（Lazarus专用）和具有后门功能的wAgent恶意软件。卡巴斯基安全专家Seongsu Park在APT报告中说：“这两种攻击都利用了重叠程度不大的不同恶意软件集群。”“但是，我们可以确认他们都与Lazarus团伙有联系，并且我们还发现了在利用后的流程中存在重叠。”（下图）

攻击卫生部的有效载荷是wAgent，它是一种恶意软件，旨在从命令和控制服务器部署其他有效载荷，包括持久的后门，并将其加载到受感染系统的内存中。在10月27日发生的攻击中，wAgent恶意软件“具有与Lazarus集团先前用于攻击加密货币业务的恶意软件相同的感染方案”。
在9月25日针对制药公司的攻击中，Lazarus组织使用Bookcode恶意软件收集系统信息，“包含密码哈希的注册表sam转储”和Active Directory信息。卡巴斯基没有透露遭受这些攻击的制药公司的身份，但确认这些公司都参与了COVID-19疫苗的研发，并且也“被授权生产和分发COVID-19疫苗”。
报告指出：“这两个事件表明Lazarus Group对与COVID-19相关情报非常感兴趣。”“尽管Lazarus以其金融领域的活动而闻名，但此次攻击表明该组织也可以进行战略研究。“我们认为，当前参与疫苗研究或危机处理等活动的所有实体都应高度警惕网络攻击。”

07

美联邦机构警告：APT组织正在瞄准美国智库

美国联邦调查局（FBI）和美国国土安全部网络安全和基础设施安全局(CISA）警告说，主要的黑客组织正在把美国智库作为攻击目标。这些机构发布了警告，指出高级持续威胁(APT)黑客组织主要针对智库和涉及国际事务或国家安全政策的个人。该目标涉及恶意网络钓鱼电子邮件，并试图利用远程网络和其他联网设备的漏洞。“考虑到智库在塑造美国政策方面的重要性，CISA和FBI敦促国际事务和国家安全领域的个人和组织立即提高意识。”两家机构在预警中写道。
这些机构指出，在疫情期间增加远程工作的举措增加了攻击者的威胁范围，包括通过远程攻击用于访问安全工作网络的虚拟专用网络。这些机构写道:“一旦成功，这些低努力、高回报的方法允许威胁者窃取敏感信息，获得用户证书，并获得对受害者网络的长时间访问权。”FBI和CISA建议智库立即采取措施提高网络安全，包括通过员工网络安全意识培训、在员工个人设备上安装防病毒软件、对公司账户使用多因素认证，以及在访问链接和电子邮件附件时提醒“谨慎行事”。
美国、英国和加拿大政府在7月发布了一份联合警告，指出俄罗斯一个APT黑客组织正在针对参与新冠疫苗研究的团体，包括智库和其他安全组织。今年9月，微软报告称，外国针对美国公共政策组织和参与新冠疫苗研究的组织的行动激增，包括俄罗斯在内的外国将矛头指向了美国智库等参与国际事务和国家安全工作的组织。

08

SolarWinds供应链攻击曝出第二个后门

在紧锣密鼓，日以继夜分析SolarWinds Orion供应链攻击时，安全研究人员发现了另一个后门，而这个后门很可能来自另外一个高级威胁组织（APT），换而言之，SolarWinds可能被至少两个APT组织渗透，而且两个组织很有可能并非合作关系。
最初发现的Orion后门被FireEye命名为SUNBURST（日爆），这个最新发现的恶意软件名为SUPERNOVA（超新星），从字面上看起来比“日爆”威力还大。SUPERNOVA是一个植入Orion网络和应用程序监视平台代码中的Webshell，使攻击者能够在运行木马版Orion的计算机上运行任意代码。
根据调查的结果，SUPERNOVA出自一个高级黑客组织之手，该组织将Webshell攻击技术提升到了一个新的高度。微软认为，与入侵网络安全公司FireEye和美国政府多个部门的攻击者相比，SUPERNOVA可能是另一个独立的高级威胁组织的“作品”。微软的判断依据是，SUPERNOVA没有数字签名，这与最初发现的SunBurst/Solarigate木马化了的SolarWinds.Orion.Core.BusinessLayer.Dll库不同。目前，上述网络安全公司尚未给出两种恶意软件的归因定论，但认定都是出自APT组织之手。

09

思科、英特尔、英伟达、德勤均遭遇SolarWinds供应链攻击

根据《华尔街日报》最新报道，SolarWinds供应链攻击的受害者名单迄今已经确定了24家企业。这些企业已下载感染了后门恶意代码的SolarWinds软件。《华尔街日报》指出，受害者包括美国的技术和会计公司、一所大学和至少一所医院。受影响的科技公司包括思科、英特尔、英伟达（Nvidia）、VMware、德勤和贝尔金等，此外加利福尼亚州立医院和肯特州立大学也在名单中。
思科在官方通告中表示仅在某些员工系统和实验环境系统上检测到恶意软件，由于思科并未在客户系统中使用SolarWinds等产品，因此到目前为止，思科表示对其产品或服务没有影响。英特尔正在调查，并表示没有迹象表明攻击者访问了其网络。同样，包括英伟达等其他受影响的企业和组织也确认他们检测到了受感染的软件，但没有迹象表明攻击者已经利用了该软件。

10

美国海军审查信息系统以应对网络安全威胁

美国海军决定对其下的40亿美元信息产品系统进行审查，为改造、升级信息基础设施提供支持，以应对越来越严重的网络安全威胁。2020年12月14日，美国海军在SolarWinds公司曝出旗下的Orion基础设施管理平台遭到黑客组织供应链攻击，导致客户端无防范地下载并运行恶意程序后，决定对其下的40亿美元信息产品系统进行审查，为改造、升级信息基础设施提供支持，以应对越来越严重的网络安全威胁。
一、事件背景及情况
2020年12月13日，美国网络安全公司FireEye发布分析报告称，知名网络和系统监测管理软件制造商SolarWinds公司旗下的Orion基础设施管理平台发布环境遭到黑客组织供应链攻击。黑客篡改了系统所使用的库文件，绕过安全检查机制，实现向平台上传恶意程序，并由客户端无防范下载运行，达到入侵目标。由于美国国防部、各军种、国务院、总统办公室等都是SolarWinds公司客户，此次入侵事件直接导致国防部切断了所有与SolarWinds公司Orion产品的连接，并由网络司令部会同各联盟、工业部门、学术机构等紧急进行评估和应对。
这并不是海军网络受到的首次严重网络威胁。2020年2月，在海军部长签发的《信息优势构想》中，就明确指出了海军部网络由于架构陈旧，不能应对当前日益严重的网络威胁，而且相关人员的网络安全意识不足，需要建设海军部网络安全文化。而提高网络态势感知和网络安全水平则是《信息优势构想》的三大目标之一。2020年8月，美国海军舰队网络司令部发布的《2020～2025年战略规划》中，详细介绍了海军网络当前面临的网络攻击形势，将网络安全建设、网络态势感知、网络防御能力提高等作为首要战略目标。这些近期的战略文件表明，美国海军的信息系统面临的网络安全威胁异常严峻，海军部的网络安全已经成为信息系统升级、改造的重要动力。
二、本次审查任务
海军的当务之急是编制现有信息基础设施和已分配资源的目录，从而更好地了解网络和系统架构。此次评审的3个目标是：评估现有目录中各种信息系统能力的有效性、评估“基于云技术标准”的新技术、寻求端到端的云架构基础设施方案。审查将主要在4个领域进行，包括海军部用于传输、存储、计算、认证和操作的信息基础设施。海军首席信息官办公室的发言人透露，本次审查将持续进行到2021财年第二季度，并滚动更新相关结论。
三、初步认识
这次网络安全事件是近期美国国国防部遇到的较为严重的网络威胁，且事件影响范围遍及三军。这给海军提供了足够警示，有必要加速改造信息系统，提升网络安全水平。此外，这次网络安全事件也说明传统的网络安全应对手段存在较大不足，紧靠数字签名等技术手段难以应对供应链攻击。而这种攻击方法隐蔽，检测困难，危害极大，应对措施有限，需尽早开启应对研究。

来源：中国信通院CAICT、国防科技要闻、安全牛、E安全、战略前沿技术、信息安全与通信保密杂志社