解读网络安全的 2020：隐私保护成热点，数字经济急需安全底座

本文是 InfoQ“解读 2020”年终技术盘点系列文章之一。

一、背景

近代，每个庚子年貌似都多灾多难。1840 年，鸦片战争开始；1900 年，八国联军侵华，中国被迫签订《辛丑条约》；1960 年，中国发生自然灾害，粮食大量减产；2020 年初，中国最先遭受新冠疫情，全国人民奋勇抗疫。俗话说，危机=危险+机遇，危中存机，把握机遇冲出重围，中国就有凤凰磐涅的可能。

2020 年，国家提出新基建，5G、人工智能、工业互联网、物联网作为“新型基础设施建设”。未来数年，国家将在这些领域进行大量投入，从政策和资金上对数字经济进行有力支持。

与此同时，随着数字经济的持续发生，网络安全的重要性越来越重要。未来五年，网络安全将在云计算、物联网、人工智能、新型基础设施、企业数字化转型中“泛在化”和“内生化”，安全市场从合规驱动走向业务驱动和竞争力驱动。对数字化企业来说，网络安全将成为其最重要的竞争力之一。

目前，网络安全面临的主要矛盾是海量的数字化基础设施和应用风险，与有限的安全能力之间存在矛盾。安全的底线难以守住，安全挑战会从量变引起质变。

二、网络安全大事件回顾

2020 年，网络安全行业继续前行，但又面临新的挑战与问题。新冠疫情席卷全球，远程办公快速普及，许多行业的数字化进程加速。与此同时，远程办公安全变得日益重要，以至于 Gartner 将远程员工安全列为 2020 年十大安全项目之首。

（此图来自“Gartner 2020 十大安全项目详解，作者为 benyye)

除了远程员工安全，数据安全和隐私保护同样是今年的热点话题。相比去年，数据泄露事件越来越多，发生更加频繁，对企业的影响也越来越大。对于个人消费者，他们对隐私保护越来越重视，“数字隐私权”的意识开始觉醒。对企业来说，黑客攻击等各种因素造成的数据泄露事件不断增多，客户对安全的诉求越来越大，它们也开始主动采取一些措施。从监管层面，监管机构正强化对个人隐私的安全保护，这表现在两个方面：一是出台相关的法律法规，比如欧盟的《GDPR》、美国加州的《CCPA》、中国的《个人信息保护法》（草案）和《数据安全法》（草案）等。

个人隐私安全事件

2020 年，网络安全的热点话题之一是个人隐私保护。国际上，美国加州于年初通过了《CCPA》（加州隐私保护法案），英国通过了《儿童隐私保护产品准则》。在国内，立法机构也初步制定了《个人信息保护法》（草案）、《数据安全法》（草案），并且通过的《民法典》也涉及相关内容。

如此高密度的法律法规出台，意味着 2020 年全球进入隐私立法高峰期，各国的隐私法规、体系正逐步完善中。

今年，较大的隐私罚款事件是英国信息专员办公室(ICO)处罚英国航空近 2.04 亿欧元。在隐私监管载体上，国内较为典型的是移动 App 的隐私治理，中央网信办、工业和信息化部、公安部、市场监管总局四部委联合开展与纵深推进 App 违法违规收集使用个人信息专项治理，取得一定成果。

1.GDPR 罚金创新高，英国航空被罚 2.04 亿欧元

2018 年英国航空公司(British Airways)因遭黑客攻击，导致约 38 万笔交易数据、约 50 万名客户的个人信息被泄露。在该事件中，用户流量被移转到虚假网站，攻击者通过这个虚假网站收集了客户详细信息，包括客户个人信息和银行卡信息，如姓名、地址、邮箱，以及信用卡的号码、有效期和背面的验证码（CVV）等。最终，英国航空被英国信息专员办公室(ICO)重罚 2.04 亿欧元。

2.多款 APP 被点名，多家基金、银行产品上榜

2020 年 7 月 24 日，工信部通报今年第三批侵害用户权益行为、尚未完成整改的 58 款 APP。其中包括天弘基金、去哪儿网、VISTA 看天下、世纪佳缘等多款 App。涉及的问题有私自收集个人信息、账号注销难、不给权限不让用、私自共享给第三方等等。

值得关注的是，本次通报的违规未整改 App 中首次出现金融类 App，有 11 款金融类 App，涉及银行、基金、小贷公司、互金机构等。其中，银行类 APP 包括微众银行运营的“小鹅花钱”与交通银行太平洋信用卡中心运营的“买单吧”，前者涉及私自收集个人信息、账号注销难等问题，“买单吧”则被指强制用户使用定向推送功能、不给权限不让用、过度索取权限、账号注销难等问题。

基金类 APP 包括天弘基金、展恒基金、华夏基金、汇添富基金、好买基金、博时基金等 6 家公司旗下软件。涉及问题有超范围收集个人信息、过度索取权限、账号注销难、不给权限不让用等问题，其中，华夏基金还涉及私自共享给第三方。

3.偷偷获取用户隐私，一批 App 插件被“3·15”晚会曝光

2020 年 7 月 16 日，央视 3·15 晚会报道了 SDK 插件涉嫌违规收集用户个人信息问题，部分 App 含有窃贼 SDK 插件，它们在用户不知情的情况下窃取用户电话号码、通讯录、短信等隐私信息，其中不乏许多金融类 App。

3·15 晚会显示，技术人员检测了 50 多款手机软件，这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的 SDK 插件，这两个插件，都存在在用户不知情的情况下，窃取用户隐私的嫌疑，涉及国美易卡、遥控器、最强手电、全能遥控器、91 极速购、天天回收、闪到、萝卜商城、紫金普惠等 50 多款手机软件。

个别企业还涉嫌开发多款 App 上传用户个人信息，包括上海跃吉网络科技有限公司、上海造艺网络有限公司、成都飞言网络科技有限公司。

4.美国成人网站 CAM4 泄露 108 亿条记录

5 月 8 日，外媒 BleepingComputer 报道，因 Elasticsearch 集群错误配置，成人视频网站 CAM4 发生重大数据泄露事件。据悉，本次泄露的数据量超 7TB，存储着超过 108 亿条记录。由于一个错误配置的 Elasticsearch 集群导致 CAM4 的生产数据库在网上公开，因此数据被泄露。研究人员发现，在 108 亿条记录中，有 1100 万份包含电子邮件地址，另有 26392701 份包含 CAM4 用户和网站系统的密码散列。

据了解，CAM4 主要面向欧美受众，它是一个广受欢迎的成人直播平台，不少素人会通过直播摄像头在该平台上直播成人内容。CAM4 每年有近 20 亿访客，其成员每周在上面花费的时间超过 100 万个小时，平台每天播放超过 75999 个私人节目。根据研究者分析，本次泄露的数据包含大量个人身份信息（PII），涵盖姓名、性取向、电子邮件、IP 地址、支付记录和聊天记录等。

5.泄露 900 万客户数据，英国易捷航空面临 1586 亿元索赔

5 月 19 日，英国易捷航空（easyJet ）宣布公司遭遇一起网络攻击，导致近 900 万客户个人信息泄露，其中包括 2208 名客户的信用卡详细信息。据悉，攻击者设法访问了相关的财务信息、电子邮件地址和旅行详细信息。为此，律师事务所 PGMBM 已经代表受影响的客户在伦敦高等法院提起集体诉讼，易捷航空负有 180 亿英镑（折合成人民币大约为 1586 亿元）的潜在赔偿责任，或者给予每名受影响的客户最多 2000 英镑赔偿。

6.Oracle 数十亿条用户记录被泄露

Oracle 于 2014 年以超过 4 亿美元的价格收购了初创企业 BlueKai ，并将其产品添加到 Oracle 的数据云（ODC）和营销云（OMC）中。BlueKai 通过 cookie 和其他跟踪技术监视网络上的用户，并为第三方提供数据收集服务，同时维护着一个大型数据库。但在相当长的一段时期内，保存这些数据的服务器压根没有设置密码，导致网络跟踪数据被全面泄露在公开互联网上。其中的数十亿条记录，随时可供任何人翻阅查看。曝光出来的这些记录，显示出极高的透明度，包含姓名、家庭住址、电子邮件和其他比如付款交易等个人信息，因此通过用户的“数字画像”可以长期追踪他的在线活动。

工控安全不容忽视

作为近年来地缘政治争夺和网络空间对抗的主战场，工业行业的网络攻击事件频发、多发，且覆盖行业面广，石油、能源、电力、制造、公共设施等，无一幸免。并且，攻击手段综合复杂，数据窃取、隐蔽控制、勒索谋财，无所不用。

随着工控行业对网络的依赖程度越来越高，网络攻击对企业的安全运营造成巨大威胁。工控系统与现代社会生产生活紧密相连，一旦出现断电、断水、断气等关键生活原料，后果将不堪设想。对工控行业的攻击类型分为勒索病毒、DDoS 攻击、APT 攻击、漏洞、恶意软件等。

除了普通的电力电厂，核电厂也是网络攻击的重点目标。核电厂一旦被攻击，可能会产生员工或商业机密信息丢失、反应堆关闭或者实体的损坏等严重后果。

1.美国天然气管道遭受勒索软件攻击

今年 2 月，美国网络安全和基础设施安全局（CISA）发布公告，称一家未公开名字的天然气公司因遭受勒索软件攻击，之后被迫关闭设施两天。

攻击从钓鱼邮件内的恶意链接发起，从其 IT 网络渗透到 OT 网络， 勒索软件对 IT 和 OT 资产都造成了影响。攻击发生在该公司的天然气压缩设施，没有扩散到控制压缩设备的可编程逻辑控制器，因此该公司没有失去对执行部件的控制权。

根据 CISA 报告中提供的有限细节，攻击者最初使用包含恶意链接的鱼叉式网络钓鱼邮件攻击未公开名字的美国天然气管道运营商。安全意识不足的运维人员访问链接后使得身份不明的攻击者能够访问企业的 IT 网络，随后以 IT 网络为跳板攻击到 OT 网络的 ICS 资产。

为了排查问题并恢复运营，工作人员关闭了压缩设施两天，尽管勒索病毒仅直接锁定了一个控制设备的网络数据，但由于天然气传输对管道的依赖性，一个控制设备的停摆最终导致这家企业关闭运营持续了两天时间。而作为下游能源供应商，受天然气供应关闭影响的上游企业虽未公布，但波及范围可想而知。

2.欧洲能源巨头 EDP 公司遭勒索软件攻击

2020 年 4 月，葡萄牙跨国能源公司（天然气和电力）EDP（Energias de Portugal）遭 Ragnar Locker 勒索软件攻击，赎金高达 1090 万美金。攻击者声称获取了公司 10TB 的敏感数据文件，如果 EDP 不支付赎金，那么他们将公开泄露这些数据。根据 EDP 加密系统上的赎金记录，攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。目前针对 Ragnar Locker 勒索软件加密文件尚无法解密。

EDP 集团是欧洲能源行业（天然气和电力）最大的运营商之一，也是世界第四大风能生产商，在全球四个大洲的 19 个国家/地区拥有业务，为超过 1100 万客户提供能源。

3.委内瑞拉电网再次遭遇网络攻击，除首都外全国大面积停电

2020 年 5 月 5 日，委内瑞拉国家电网干线遭遇黑客攻击，除首都加拉加斯外，全国 11 个州府均发生停电。据悉，在经过电力公司抢救后，部分地区逐渐恢复供电。在 2019 年，委内瑞拉电力系统遭到网络攻击陷入瘫痪。鉴于电力在现代社会的重要性，一旦发生大面积停电，后果非常严重。

4.以色列全国水利设施遭到不同程度的网络攻击

4 月 17 日和 18 日，以色列全国的水利设施遭受不同程度的网络攻击。据悉，攻击瞄准 SCADA 数据采集与监控系统，它是一个以计算机为基础，由人机界面、监督系统、远程终端单元（RTU）、可编程逻辑控制器（PLC）、通信基础设施五个基本组成部分，广泛应用于能源、石油、天然气、水利、电力等行业的数据采集与监控系统。随后，以色列国家网络局(INCD)发出安全警报，要求能源和供水部门立即更改所有互联网连接控制系统的密码，减少互联网连接，并确保安装最新版本的控制器。

供应链攻击事件

2018 年末，彭博社的一篇失实报道声称中国在运往美国大公司的服务器上隐藏了间谍芯片。结果报道一出，引发全球 IT 市场和金融市场大震动：报道中涉及的超微公司当天股价暴跌近 50%，苹果股价跌幅近 2%，亚马逊股价跌幅超 2%。

在过去几年中，供应链已经成为网络安全的新战场。一个很明显的迹象：在 BlackHat 全球黑客大会和 DEFCON 全球黑客大会上，有关黑客入侵供应链的演讲开始逐渐增多。

1.美国棱镜计划曝光

棱镜计划（PRISM）是一项由美国国家安全局（NSA）自 2007 年起开始实施的绝密电子监听计划，该计划的正式名号为“US-984XN”，直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的 9 家科技巨头皆参与其中。其中，以思科公司为代表的科技巨头利用其占有的市场优势在科技产品中隐藏“后门”，协助美国政府对世界各国实施大规模信息监控，随时获取各国最新动态。思科公司多款主流路由器产品被曝出在 VPN 隧道通讯和加密模块存在预置式“后门”，即技术人员在源码编写过程中已经将“后门”放置在产品中，利用“后门”可以获取密钥等核心敏感数据，几乎涵盖所有接入互联网使用的人群。

2.国家级黑客组织 APT 29 攻击 SolarWinds 软件投放后门

2020 年 12 月 13 日，美国网络安全公司 FireEye 发布分析报告称 SolarWinds 旗下的 Orion 基础设施管理平台的发布环境遭到黑客组织入侵，黑客对文件 SolarWinds.Orion.Core.BusinessLayer.dll 的源码进行篡改添加了后门代码，该文件具有合法数字签名会伴随软件更新下发。后门代码伪装成 Orion OIP 协议的流量进行通信，将其恶意行为融合到 SolarWinds 合法行为中。

FireEye 称已在全球多个地区检测到攻击活动，包括北美、欧洲、亚洲和中东的一些政府、咨询、技术公司。据悉，黑客入侵了美国财政部、商务部下属的国家电信和信息管理局(NTIA)、FireEye 的网络。此外，多达 1.8 万的 Orion 客户也面临着这次供应链攻击带来的巨大威胁。

3.远程终端管理工具 Xshell 后门事件

Xshell 是 NetSarang 公司开发的安全终端模拟软件，2017 年 7 月 18 日发布的软件被发现有恶意后门代码，该恶意的后门代码存在于有合法签名的 nssock2.dll 模块中。2017 年 8 月 7 日，厂商 NetSarang 发布了一个更新通告，声称在卡巴斯基的配合下发现并解决了一个在 7 月 18 日的发布版本的安全问题，提醒用户升级软件。2017 年 8 月 14 日，360 威胁情报中心和国内其他安全厂商对 Xshell Build 1322 版本（此版本在国内被大量分发使用）分析发现并确认其中的 nssock2.dll 组件存在后门代码，恶意代码会收集主机信息往 DGA 的域名发送并存在其他更多的恶意功能代码。

事件可以比较明确地认为是基于源码层次的恶意代码植入。从后门代码的分析来看，黑客极有可能入侵了相关开发人员的电脑，在源码植入后门，导致官方版本也受到影响。并且，由于 dll 文件已有官方签名，众多杀毒软件依据白名单机制没有报毒。该后门代码可导致用户远程登录的信息泄露，针对开发、运维人员，估计十万级别用户受影响。

三、网络安全新趋势

数据隐私合规

2020 年，欧盟法院推翻了由欧盟-美国共同制定的治理保护条例“隐私盾（Privacy Shield）”。展望 2021 年，企业需要努力适应新的、更为严苛的数据隐私法规扩展，同时适应法院系统有可能推翻既定政策的新情况。

对跨国企业来说，必须快速适应并重新设计客户数据的处理方式。而在同一国家内多个州间开展业务的企业，也需要考虑如何遵循各州数据管理规定、如何在集中位置处理数据，并围绕数据删除及违规通报制定新的程序性方法。

AI 武器化

无论是攻击者，还是防御者，AI 与机器学习都非常重要，因为 AI 和机器学习在网络安全方面有着很大的优势。

机器学习引擎可以使用成功攻击中的数据进行训练，借此识别防御体系中的模式，快速查明类似系统/环境中存在的漏洞。但是，我们可以预料到，攻击者将继续使用 AI 进行攻击活动。攻击者将利用工具收集到的信息将其转移到 AI 中，从而实现全自动化攻击。

到 2021 年，防守者将开始看到越来越多的 AI 模型被集成到安全产品、设备及软件中。安全防守自动化将融合到 SOC、SEM 等体系中，从流量层、应用层、操作系统层以及数据库层发现攻击活动。最大程度地实现自动化，从而比以往更快地发现恶意活动。

零信任架构

基于《NIST SP800-207 零信任架构》的定义，Gartner 提出了“零信任网络”的概念。它认为，零信任是一种安全范式，根据情境信息（主要是身份信息）持续评估显式的风险及信任级别，替代原有的隐式信任机制，以适应组织安全形势的风险优化。

随着公有云服务的广泛采用和移动工作者规模的增长，基于边界的安全模型已经过时。组织的应用程序和数据可能同时存在于传统防火墙内部和外部，而边界控件几乎无法阻止攻击者获得初始访问权限后在网络上横向活动，此时安全和 IT 团队需要的是向“无边界”安全的转变，这就是零信任。

当企业园区网络转移到分布式远程办公模型，并面对物联网、5G 等新的不断扩大的威胁矢量时，企业必须迅速采用“从不信任、始终验证”的零信任安全思想，以限制攻击并防止其横向移动。

然而，尽管企业对零信任颇为关注，将其视为网络安全策略的必要组成部分，但仍缺乏广泛采用的办法，实现零信任模型可能需要企业数年的努力，并调动企业各个方面进行协作。

安全运营越来越重要

当今，对安全来说，前瞻性的安全防护和及时响应非常重要。我们预计，安全运营的重要性将不断提升，因为前端安全的保护只是一种静态防护。举个例子，某个人上午做了新冠检测，结果显示他是安全的，但是到了下午，就无法保证他还是安全的。因为他会到处活动，接触不同的人。因此，需要持续安全、动态安全。

简言之，安全运营是在企业运转过程中持续保证企业的安全性。

量子计算对网络安全带来的重大挑战

最近一两年，量子计算似乎获得很大突破。无论是谷歌 2019 年的量子计算机论文，还是 IBM 推出的量子计算机 Q System One，亦或是英特尔、微软以及亚马逊等企业，量子计算领域的竞争正变得越来越激烈。

我们今天无处不在的网络加密系统是基于 RSA。一旦量子计算机能做大数质因数分解，它们就能破解“RSA”。那么，我们的互联网将不再安全，你的通信、聊天等任何信息都可以被人获取。

四、总结

直到华为被美国制裁，人们才幡然醒悟——中国竟没有高端芯片的制造能力。从基础材料、工艺到高端光刻机等一系列“卡脖子”技术，都在平时看似繁荣的大环境中被忽视，毕竟拿来主义/市场经济更符合时代潮流。只有浪潮褪去，我们才知道谁在裸泳。

同样，网络安全行业现在看似欣欣向荣，但关键性技术能力却不容忽视，有的企业奉行拿来主义，有的依靠人肉运维，还有的蹭流行技术热点，甚至有的企业靠创造新名词忽悠，也有的在产品上做面子工程。试问，行业里拿得出手的核心技术又有多少？

数字经济的蓝图刚刚展开，5G+万物互联时代的安全风险只是冰山一角，它对安全技术的挑战会越来越大。中美科技战短期不会有缓和的迹象，如果我们在安全核心技术上没有清醒的认识，对“可沉淀、可复制、可度量”的能力投入不足，无论是继续搞人肉战术，还是用各种包装和概念来忽悠社会，未来无论是国内风险管控还是可能的网络战，我们都无法交出令人满意的答卷！