网络安全风险评估与总体态势

2021年，新冠肺炎疫情持续席卷全球，加剧了国际关系和国际格局的大裂变，世界加速步入动荡变革期。在中美战略博弈进入近身缠斗的大背景下，我国面临的外部环境不稳定性、不确定性更加凸显，传统安全和非传统安全挑战不断增多。尤其是在网络空间领域，各类风险的跨界性、关联性、穿透性、放大性特征显著增强，形成系统性风险的趋势急速攀升。面对空前尖锐的网络安全威胁挑战，党中央、习近平总书记高瞻远瞩、把舵领航，从统筹中华民族伟大复兴战略全局和世界百年未有之大变局出发，以大韬略、大智慧总揽发展和安全两件大事，以大气魄、大手笔谋划中国网络安全发展新格局。

一、2021年我国网络安全领域面临的主要风险

2021年以来，我国网络安全风险呈现“新旧交融、复杂交织、连锁联动”的特点。美国对我国网络科技领域的极限施压是当前和今后相当长一段时期影响我国发展外部环境的最大挑战因素。同时，随着数字经济的深入递进，数据安全、供应链安全、新技术新应用安全等风险挑战更是异常突出，必须引起高度警惕。

（一）美国持续滥用国家力量、泛化国家安全概念，强化对我国网络科技企业的技术封锁和极限施压

2021年，拜登政府上台执政后，虽比特朗普政府略显理性，但在全面围堵、遏制打压中国这一基本战略上并未发生根本转变，一直秉承竞争、对抗与合作“三位一体”的对华战略，尤其是在对华网络安全政策方面，仍延续特朗普政府的强硬政治作风，并在此基础上逐级优化、层层加码，通过叠加效应实现对华技术遏制效果的最优化、最大化。具体手段表现如下。

一是美国颁布系列行政令并斥巨资限制打压华为、中兴等中国网络科技企业的正常经营活动。7月，美国联邦通信委员会（FCC）滥用科技霸凌，通过了一项价值19亿美元（约合123亿人民币）的工作计划，鼓励美国通信运营商从其电信网络中拆除华为和中兴等所谓“威胁美国国家安全”的中国公司设备，并由美政府为其报销相关费用。11月，拜登签署了《2021安全设备法》，防止华为和中兴从美国监管机构获得新设备许可证，并要求美国联邦通信委员会（FCC）不再审查或批准对国家安全构成威胁的相关设备的任何授权申请，极力阻挠中国高科技企业的正常发展与生产经营。

二是在网络新技术领域，美国持续发动对华“科技冷战”、高筑“数字铁幕”。7月，美国修订了《出口管理条例》，将23家包括众多中国高科技企业在内的中国实体列入出口管制“实体清单”。11月，在强制要求全球各大半导体制造商向美国提供客户信息等核心机密数据后，美国商务部又火速将中国在量子计算及芯片领域的12家中国企业列入“实体清单”，通过推行精准打压、强化对华技术出口管制，实现对我网络科技的封堵围猎与卡脖断供目的。

三是美国全面升级对华情报机构职能体系建设，为开展全方位谍报作战，尤其是为打好数字技术情报战做足充分准备。据美联社报道10月，美国中央情报局（CIA）在其内部正式成立专职部门“中国任务中心”。该中心是中情局为数不多的任务中心之一，每周会定期举行局长级会议，定期听取对华情报工作研判与汇报，并积极扩充人员编制，大范围招募精通中国国情和中文的情工人员为美国服务，妄图实现对中国各方咨询的立体式搜集，将遏制封堵中国、打压对抗中国的意图和手段明目化、台面化，丝毫不加掩饰。

四是美国施压敦促全球伙伴及其盟友，强迫其选边站队，跟随美国执行所谓的“中国技术转移战略”。6月，欧盟委员会主席和美国总统拜登在布鲁塞尔举行美欧峰会 , 正式启动“跨大西洋贸易和技术理事会”（TTC）。成立该理事会是拜登政府利用美国和欧洲的联合经济实力，全面压制中国技术发展的最新举措。美欧甚至扬言，要联手放慢中国创新脚步，通过向中国施压，力图将中国排除在世界先进技术贸易体系之外。8月，美国政府召开听证会，诬称中国的“长臂管辖”对美国社会造成“不利影响”，呼吁建立全球“科技合作战线”以抗衡中国的世界影响，通过群起攻之、技术脱钩的方式，实现对我国网络科技崛起的强势打压态势。

（二）国内网络平台行业龙头企业赴美上市，使数据跨境传输的深层危害显露无疑

2021年，中国互联网领域的多家独角兽企业出于商业目的纷纷选择赴美上市。6月11日，国内最大的在线招聘平台“BOSS 直聘”于美国纳斯达克挂牌上市；6月底，国内最大移动出行平台“滴滴出行”及最大城际货运数字平台“满帮集团”均在纽交所挂牌上市。这些赴美上市企业分别是国内大众求职、日常出行、网络货运领域的头部企业，掌握了所属行业领域至少 80%以上的用户隐私和深度数据，其业务更与关键信息基础设施直接关联，可以直接或间接地反映出我国国情、社情、民情动态等真实状况。3月，美国证券交易委员会通过了《外国公司问责法案》最终修正案。该法案明确规定，在美国上市的外国企业必须根据美国公认会计原则编报其财务报表，必须根据美国证券法律规定，对公司重大信息，例如用户数据、会议记录、沟通文件、电子文档等进行及时披露，否则将被强制退市。这些要求势必涉及相关企业在我国境内开展业务时所搜集的大量重要敏感数据的出境问题，对我国政治安全、国土安全、军事安全、经济安全、社会安全和数据安全等均构成严重威胁。

以“滴滴出行”为例，其掌握的交通大数据包含我国真实坐标的地理道路数据、道路交通流量、人口产业聚集区、人员流动轨迹等重要敏感信息。这些数据有的直接涉及我国党政军等核心要害部门和重要敏感设施的地理位置和移动出行状况，据媒体报道，有的属于长期秘密级，甚至是绝密级别，一旦数据跨境传输被美国等境外国家掌握利用，运用大数据分析等高科技手段，完全可能实现对我国国情政情、社会状况的精准立体式刻画和多维情报刺探，进而开展有针对性的情报收集和间谍破坏活动，其危害远超境外人员对我国地理信息的非法测绘，对数据主权和国家安全的危害难以估量。

（三）供应链攻击成为网络空间常态，其“一点击破、全线崩溃”特性置网络安全于危险境地

当前，供应链攻击是世界各国网络空间领域普遍面临的一个最显著威胁之一。它存在难发现、难溯源、难清除等特点，一旦网络攻击者针对供应链发起攻击，可以实现“以一攻百、全线崩溃”的巨大危害效果，这暴露出网络安全领域“易攻难守”的非对称性特征。例如2020年12月，震惊全球的美国太阳风事件，就是网络攻击者从美国软件供应链厂商下手，从而实现对美国众多高涉密政府机构的网络渗透。美国作为世界首屈一指的网络强国尚且难以自保，世界其他国家在供应链攻击面前更不可能独善其身。

当前，我国核心要害部门、关键信息基础设施以及重要领域尚无法完全摆脱使用源自美国等西方国家的软硬件信息技术产品。例如，路由器、交换机等网络设备，操作系统、数据库管理系统等重要基础软件，处理器、芯片等底层硬件产品，重要应用软件及其他具有智能处理能力的专用设备等都存在类似于“太阳风事件”的供应链安全风险。以芯片进口为例，据中国海关相关数据统计，2021年1月至9月，我国进口集成电路4784.2亿个，同比增长23.7%；进口金额为 3126.1亿美元（约合19951亿元人民币）同比增长23.7%；而 2021年1月至9月，全球半导体市场销售额为 3979 亿美元，意味着我国进口的芯片占到全球总额的78%。同时，2020年，我国集成电路的进口总量和进口总额分别为5435亿个和3500.3亿美元。但 2021 年 前 三 季度，进口芯片总数就达到了去年的 88%、进口总额的89%。这表明，今年国内芯片进口的数量和金额将较去年再创新高，情况非常不容乐观。

在我国，党政军等核心要害部门、关键信息基础设施及重要领域的供应链安全，涉及的角色环节众多、结构复杂、流程链条较长，暴露给网络攻击者的攻击面也越来越多，供应链的各个环节及其薄弱点都可能成为攻击者的切入点和重点目标，这些攻击既可涉及系统和业务漏洞、非后门植入、软件预装等，也可能涉及更高级的供应链预制问题。供应链安全隐患给网络安全埋下深层痛根，一旦“病情”发作，将给国家安全带来难以估量的负面影响、遭受不可承受之痛。

（四）网络攻击已从数字空间延展至物理空间，网络安全成为“新基建”最大挑战

近年来，我国抢抓新科技革命契机，对加快推进5G、物联网、工业互联网、人工智能、区块链等新型基础设施建设作出了一系列重要战略部署，“新基建”成为我国经济增长的新引擎。但在助力产业新秩序的同时，其所面临的网络安全新挑战也如影随形。特别是伴随着传统产业网络化、智能化和数字化的转型升级，越来越多的网络设备接入新型基础设施，数字化设施数量呈几何级增长，海量数据应运而生，由此衍生出的新型网络安全问题成为制约数字经济时代创新发展的关键要素，直接关乎国家关键信息基础设施安全和国家安全。

以工业互联网为例，今年2月，国家工业信息安全发展研究中心发布的《2020年工业信息安全态势报告》显示，随着工业互联网、智能制造加速发展，海量工业设备泛在互联，我国工业信息安全呈现风险威胁扩散化、攻击手段智能化等特点，传统信息安全技术在风险识别、威胁发现、安全防护等方面难以有效发挥很好的作用，各类新型网络安全威胁挑战此起彼伏地涌现出来。2021年，以 5G、物联网、工业互联网、人工智能、区块链等为代表的“新基建”仍然是网络攻击的重点目标，“新基建”网络安全防范仍任重道远。

（五）暗网平台非法交易重要敏感数据，给国家安全和关键信息基础设施安全埋下深层隐患

今年，不法分子在暗网平台售卖各类数据资源的行为异常猖獗。1月，国外某暗网论坛大肆出售与中国公民相关的个人信息，数量总数超过2亿，多数信息来自国内常用的社交媒体。从上游敏感数据被非法获取，到中游数据在各种暗网黑市的贩卖交易，再到下游各类数据被用于诈骗、勒索、情报搜集等，暗网贩卖数据的背后已然形成了一条完整的黑灰产业链，几乎成为信息贩卖的“大本营”。犯罪分子借助暗网匿名、无法追踪等特点，采用虚拟货币、赌博平台等层层加密手段，游走于“暗网”之中，不仅严重危害个人隐私安全、企业合法权益，更给关键信息基础设施安全和国家安全埋下潜在的深层隐患。

在暗网交易中，不仅大量充斥着姓名、性别、联系方式、家庭住址、地理位置、工作单位、银行账户等各种敏感的个人隐私数据，更有关乎国家安全和关键信息基础设施安全的重要敏感数据，例如，某些政府机构的内部组织框架、人员构成信息、工程项目方案；某些重要行业的从业人员信息、业务工作方向；某些关键信息基础设施领域的核心敏感数据等。由于暗网交易的隐匿性、特殊性等特点，相关个人和部门对信息泄露的感知存在严重滞后性，这些数据一旦被不法分子获取，尤其是境外国家机构利用，极有可能危害到国家安全、社会稳定和关键信息基础设施的正常运行，其所带来的巨大隐患和安全风险值得高度警惕。