國際網絡安全現狀與未來—中國教育和科研計算機網CERNET

中國教育和科研計算機網中國教育 | 高?？萍?/a> | 教育信息化 | 下一代互聯網 | CERNET

CERNET第二十八/二十九屆學術年會在福州舉辦

CERNET第二十七屆學術年勝利召開
戰“疫”| 停課不停學大家在行動
教育部"智慧教育示范區"創建與發展

校園信息化

資源與應用

產品與裝備

信息服務

首頁 > 教育信息化 > 技　　術 > 網絡安全

國際網絡安全現狀與未來

2023-10-30 中國教育網絡

　　解決網絡安全人才短缺的關鍵是打破目前網絡安全就業的“學歷優先”屏障，通過“教育左移”和“認證優先”讓青少年盡早接觸網絡安全教育。

　　根據VPN提供商Sufshark的最新數據，2023年第一季度至第二季度，全球數據泄露數量增長了156%，今年第二季度共有1.108億個賬戶被泄露，相當于每分鐘就有855個賬戶被泄露。在網絡威脅愈發猖獗的當下，網絡安全建設該何去何從？

　　網絡勒索軟件持續威脅

　　2023年5月，美國德克薩斯州達拉斯市政府遭受了一次嚴重的勒索軟件攻擊，該事件造成了聽證會和陪審團值班的停擺，最終導致達拉斯市法院大樓被迫關閉。此次事件還對更廣泛的警務活動產生了間接影響，引發了長時間、大范圍的混亂。然而，在勒索軟件攻擊逐漸成為常態的當下，這一嚴重事件并未引起廣泛關注。

　　實際上，全球范圍內的政府、學校、醫院、企業和慈善機構每周都會遭受不同程度的網絡勒索攻擊，這些攻擊大都會造成嚴重的經濟和社會損失。

　　根據最新的調查結果，勒索軟件的贖金金額在過去一年幾乎翻了一番，達到了150萬美元。英國網絡安全公司Sophos研究發現，勒索軟件的平均贖金金額從2021年的81.2萬美元上升到了150萬美元。2023年，英國組織的平均支付金額甚至高于全球平均水平，達到了210萬美元。

　　十年前，勒索軟件還只是一種理論上的可能性和小眾威脅，如今已被視為現代社會的一大挑戰。其持續助長犯罪并造成難以計數的損失，應引起人們的高度關注。勒索軟件將在未來幾年甚至幾十年內持續構成挑戰，或將融入正常經濟生活，企業將面臨持續的攻擊威脅。而背后的網絡犯罪團伙通常保持匿名，很少受到實質性追究。

　　為了減輕這種負面影響，人們必須提高對這一威脅的認知。各方應加大對網絡安全的各種投資，從員工培訓到建立支持報告事件的組織文化。此外，還需加大對恢復計劃的投資，包括有效備份、內部專業知識、保險和久經考驗的應急計劃。

　　根本而言，每個人都需要更好地隱藏和保護自己的數字密鑰和敏感信息，如此方能有望抵御下一代勒索軟件攻擊者的威脅。

　　網絡安全人才嚴重匱乏

　　不斷演變的勒索軟件及其他類型的網絡攻擊對網絡安全人才提出了更高的要求，但如今網絡安全人才嚴重短缺，這對于變化莫測的網絡安全領域顯然是致命的。根據世界經濟論壇發布的《2023年全球網絡安全展望》報告，電力、支付和醫院等行業面臨的網絡安全風險最大，因為這些領域在招募熟練網絡安全專業人員方面存在不足?？偟膩碚f，網絡人才短缺問題已成為全球性挑戰。

　　根據ThreatX最新發布的《2023年網絡安全人才全球調查》報告，全球仍有超過340萬個網絡安全職位空缺。主要因為企業招聘對安全人才的要求過高，以及網絡安全教育和培訓的社會覆蓋面太窄等。隨著新興技術在整個組織中的廣泛應用，這一人才缺口將進一步擴大。

　　解決網絡安全人才短缺的關鍵是打破目前網絡安全就業的“學歷優先”屏障，通過“教育左移”和“認證優先”讓青少年盡早接觸網絡安全教育。

　　此外，還應消除“專業人士必須具備IT安全或工程領域的技術背景”這一誤解。加強宣傳工作，提高人們對網絡安全職業路徑的認識，確保該行業向所有人開放。

　　另外，應大力擴充人才庫。招聘者需要明確定義網絡安全職位的要求，重點關注應聘者的能力，考慮到候選人的多樣性背景。為提高員工的留任率，公共和私營機構應提供激勵措施。首席執行官和決策者應該提高對網絡安全技能缺口及其對經濟和安全影響的認識，在組織內部和跨部門建立可持續的網絡人才梯隊。

　　面對網絡安全人才短缺的情況，各國紛紛采取措施。2023年8月，美國國家網絡總監辦公室發布了《國家網絡人才和教育戰略》，標志著美國啟動了一項為期數年的系統性培養網絡安全技能和能力計劃。

　　這份戰略文件包括所有美國人基礎網絡技能的配備、改革網絡教育、擴充和強化美國網絡勞動力以及提升聯邦網絡勞動力四大方面。每個方面都包括了一系列措施，涉及教育、招聘、職業發展及聯邦勞動力政策等多個層次。這些措施旨在協助現有網絡技能從業人員提升他們的技能水平，鼓勵新員工和少數族裔員工進入網絡安全領域。白宮表示，填補全國數十萬個網絡職位空缺是國家安全的當務之急。

　　加強網絡安全生態建設

　　針對網絡安全新形勢，2023年7月，美國白宮發布了《國家網絡安全戰略實施計劃》（簡稱《實施計劃》）。該計劃是美國政府對其2023年版《國家網絡安全戰略》的執行補充，與《基礎設施投資和就業法案》《芯片與科學法案》《通脹削減法案》一同被視為美國政府重建國家基礎設施和重振美國制造業的重要舉措。

　　《實施計劃》整體上延續了美國2023年版《國家網絡安全戰略》的核心戰略及實施原則。這些主要戰略包括：關鍵基礎設施的保護、對抗和遏制威脅行為者、引導市場力量以促進網絡安全和彈性、投資于未來的網絡安全策略及建立國際伙伴關系以實現共同目標等五個方面。而實施原則方面包括：要求網絡空間中實力較強的參與者承擔更多的安全責任，以及增加激勵措施以促進長期投資等兩個方面。以下是主要內容概述：

　　一是強化基礎設施防護。美國網絡安全和基礎設施安全局（CISA）將與美國國家網絡總監辦公室（ONCD）合作，更新《美國國家網絡事件響應計劃》（NCIRP），以更好地貫徹“一呼百應”（A call to one is a call to all）的事件響應政策。例如，美國聯邦政府將加強對關鍵部門的審查，確保其符合網絡安全硬性要求。此次更新的NCIRP還將提供外部合作伙伴指導，進一步提升基礎設施的安全性。

　　二是強化威脅實體應對。美國聯邦政府將依托CISA和聯邦調查局（FBI）共同主持的聯合勒索軟件特別工作組（JRTF），繼續打擊勒索軟件和其他網絡犯罪活動。與此同時，CISA還將領導一項附加計劃，為高風險的勒索軟件組織提供培訓、網絡安全服務、技術評估、事前規劃和事后響應等支持，以減輕網絡攻擊的影響。

　　三是強化市場力量塑造。CISA將繼續與相關機構合作，以推動軟件物料清單（SBOM）的實施，提高網絡安全市場活動透明度，使市場參與者能夠更好了解其供應鏈風險，并要求供應商對安全開發負責。此外，CISA還將成立國際SBOM工作組，探討建立全球可訪問不再更新的軟件數據庫的需求等事宜。

　　四是強化技術標準把控。美國國家標準與技術研究院（NIST）將召集跨部門的國際網絡安全標準化工作組，協調解決國際網絡安全標準化的主要問題，并加強美國聯邦機構的參與。此外，NIST還將完成抗量子公鑰加密算法等多項標準的制定。

　　五是強化國際網絡合作。美國國務院將發布《國際網絡空間和數字政策戰略》，并加強相關工作人員在網絡空間和數字政策領域的知識和技能培訓，以建立國家和地區機構間的網絡協作團隊，推動與合作國家之間的協同工作。

　　構建安全的數字未來

　　除美國外，歐盟也有所行動。歐盟的《數字服務法案》（DSA）于2023年8月25日正式生效。該法案將通過歐盟委員會（而非各國的數據保護機構）集中執法，適用于所有用戶數量超過4500萬的在線平臺。DSA的內容主要涵蓋以下七個方面：

　　規定了針對線上非法商品、服務或非法內容的打擊措施，例如建立了用戶標記線上非法內容的機制，并與“可信標記者（trusted flaggers）”合作。

　　為網絡市場商家的可追溯性設立了新規定，有助于識別非法商品的賣家，從而更好地保護消費者。

　　有力保障用戶的基本權利，如允許用戶質疑平臺內容審查的決定。

　　要求網絡平臺在各種問題上采取透明措施，包括提高推薦算法和定向廣告的透明度。

　　規定了VLOPs（Very Large Online Platforms）在風險管控方面的責任，包括對其風險管理措施進行獨立審計，以預防系統被濫用于非法內容和虛假宣傳活動，如操縱競選、犯罪活動和傳播恐怖主義及虛假信息。

　　允許研究人員訪問最大平臺的關鍵數據，以幫助其了解在線風險的演變過程。

　　建立了相應的監督架構，通過新設立的歐洲數字服務委員會來應對數字空間的復雜性。在監督方面，歐盟各成員國將發揮主要作用，而歐盟委員會將加強對VLOPs的執法與監督。

　　DSA將在整個歐盟范圍內統一適用，以促進跨境數字創新，并確保所有歐盟用戶公平享受數字創新帶來的便利，同時受到同等水平的保護?？梢哉f，DSA的通過標志著歐盟數字領域立法的良好開端，也是歐盟制定統一數字規則圖景的重要一步。

　　歐盟委員會主席烏爾蘇拉·馮·德萊恩對此表示：“今天DSA達成的協議，不論從速度還是實質內容上都具有歷史意義。DSA將提升歐盟內所有網絡服務的基本規則，確保網絡環境的安全，同時保障言論自由和數字貿易的機會。它將落實這一原則：線下非法的內容或行為，在線上同樣被視為非法；規模越大，互聯網平臺的責任越大?！边@表明，歐盟即將進入數字領域的有序、強監管時代。

　　本文同時刊登于《中國教育網絡》2023年8月刊

　　來源：World Economic Forum網站、Silicon ANGLE網站、Electronics Weekly網站、白宮官網、歐盟官網等網站

　　整理：李佳

　　責編：陳永杰

　　特別聲明：本站注明稿件來源為其他媒體的文/圖等稿件均為轉載稿，本站轉載出于非商業性的教育和科研之目的，并不意味著贊同其觀點或證實其內容的真實性。如轉載稿涉及版權等問題，請作者在兩周內速來電或來函聯系。

相關閱讀

要推動高校全員形成網絡安全意識2023/10/25
數字化時代高校探尋網絡安全新思路2023/10/25
高校網絡安全隊伍建設與探索2023/09/06
習近平對網絡安全和信息化工作作出重要指示2023/07/16
校園信息系統國密改造路徑探索2023/06/05
共對新威脅共議新安全 2023網絡安全運營與實戰大會在京開幕2023/05/27
2023：網絡安全的關鍵一年2023/05/12
2023網絡安全工作要把握的四個要點2023/05/19

互聯網技術探究

　　一起關注互聯網發展、互聯網技術、互聯網體系結構……

教育信息化教學應用實踐共同體項目

　在教育部科技司領導下，中央電化教育館組織實施了教育信息化教學應用實踐共同體項目...

工作要點聚焦：教育信息化、網絡安全……都怎么干？

　　工作要點聚焦：教育信息化、網絡安全……都怎么干？

btа√天堂资源在线官网,а√天堂中文最新版在线下载,一人一狗卡了六个小时视频