|1.1 背景与价值|

网络安全，从宏观战略上讲，事关国家主权、国家安全和产业存亡，从微观战术上说，关系到企业的兴衰与个人利益的得失。安全问题之所以受到广泛关注，以至于在国家层面强调“没有网络安全就没有国家安全”，这是因为在当前，没有任何国家和机构能够忽视网络安全灾难所带来的严重后果。

1.1.1 至关重要的安全

在过去的30多年间，信息化的浪潮以不可逆转的趋势席卷了全球。发达国家跟上了这个浪潮，落后国家则被抛在了数字鸿沟的另一端。如今，我国各行各业亟待通过信息化和网络化实现产业升级，为此，国家提出了建设制造强国、网络强国的“两个强国”战略。

信息化发展水平决定了效率，网络安全技术水平已经成为衡量一个国家综合国力的重要标志。

信息化欠发达的国家和地区，很容易遭受来自那些拥有信息化优势的组织的降维打击，比如2010年“震网”事件中的伊朗，遭受重大打击后连敌人是谁都难以确认。而处于信息化前沿的国家和地区，因其社会发展已经对网络产生高度依赖，也越来越无法承受网络安全问题所带来的严重后果，例如美国在2021年5月9日宣布进入紧急状态，原因是同年5月7日美国油气管道供应商Colonial Pipeline遭受了勒索软件攻击。

“没有网络安全就没有国家安全”是现实的命题。近年来，我国颁布了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规，其中《关键信息基础设施安全保护条例》明确要求能够有效“保障关键信息基础设施安全，维护网络安全”。

目前，国内用户普遍感觉安全“没事用不上、有事不管用”，无论多重视安全建设，在攻击中还是会被攻破。用户广泛地接受了下列观点：没有攻不破的系统，没有100%的安全；安全只能尽力而为，无法保证效果；安全只能做到尽量给攻击者制造障碍……

长期以来，大家已经习惯于在无法保证系统绝对安全的前提下，进行防不住的安全防护工作，甚至连国内安全产业界和专业厂商也都默认了这种现象的合理性。这种认识造成了国内普遍不相信安全问题可以被真正解决，因此只考虑用最低代价去满足合规要求的现象。

如果这种现象继续发展下去，造成的后果是可怕的，如果无法从科学理论出发，找到解决网络安全问题的正确路径，网络安全的命题就会演变成“因为不能保证网络安全，所以就没有国家安全”。

1.1.2 大国对抗的工具

信息化对产业与国家的重要性，以及国家之间的战略对抗趋势，让当前网络安全的形势越发严峻。

近些年，大家感觉网络安全的话题忽然热了起来，国家层面提及得越来越多，在网络安全领域也看到了越来越多的事件。

• 2013年，斯诺登披露，NSA（National Security Agency，美国国家安全局）有能力在全球主要的ICT（Information and Communications Technology，信息通信技术）厂商的产品中植入后门，以实施网络监听活动；NIST（National Institute of Standards and Technology，美国国家标准与技术研究所）在其标准的双椭圆曲线算法中植入了安全后门，以便于对加密信息进行快速解密。

• 2015年4月，美国发表《国防部网络防御战略》（The Department of Defense Cyber Strategy）报告，该报告把美国在网络空间受到的威胁上升为“第一层级”的威胁。

• 2019年5月16日，时任美国总统特朗普签署了一份总统令，宣布美国进入“国家紧急状态”，以禁止美国通信企业与华为等公司进行商业交易。

• 2020年11月，有消息称美国政府将把89家中国企业认定为有军事背景的企业，限制其采购美国产品和技术。

• 2021年6月3日，美国总统拜登签署新行政命令，将59家中国企业列入清单进行制裁。

这种国家间的战略对抗态势，是由那些长期占有技术优势的老牌强国一贯的国家竞争战略所造成的，也是在世界格局正在发生重大变化的今天必然会发生的，网络安全上的对抗只是其中一个具体而微观的体现，而且必将愈演愈烈。

回顾历史可知，20世纪80年代，日本、欧洲在传统经济模式下赶超美国，美国发起了以网络化和数字化为代表的新经济革命，随后美国经济的发展再一次将对手抛在了身后。1996年12月30日，美国《商业周刊》撰文认为，信息技术是新经济的基石，没有信息化就没有新经济革命。

在信息化的示范效应下，全球出现了两极分化。发达国家越来越依赖于信息化，同时也越来越难以承受网络安全灾难带来的后果；而落后国家非但没能获得信息化带来的高效率，还容易遭受降维打击，甚至挨了打连敌人是谁都确定不了，是真正的落后就要挨打。

在此过程中，美国很早就认识到网络空间的重要性，以及其对全球控制战略的重要价值。美国2003年正式将网络安全提升到国家安全的战略高度，2005年把网络空间列为与陆、海、空、天同等重要的作战领域，此即“第五空间”理论。

2009年，美国发布《网络空间政策评估：保障可信和强健的信息和通信基础设施》（Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure）报告。

2015年，根据《美国国家安全战略》（National Security Strategy of the United States of America）报告的说法，网络空间被定义为“全球公域”，即“不为任何一个国家所支配，而是所有国家的安全与繁荣所依赖的领域或区域”。

2020年3月，美国网络空间“日光浴”委员会发布《网络空间未来警示报告》（The Cyberspace Solarium Commission Report: A Warning from Tomorrow），首次提出“分层网络威慑”的战略路径，其核心是向前防御理念，配合“全球公域”理论，为“美国把其网络防御体系置于对手的网络空间内”提供理论依据。

从成本上讲，通过网络安全手段达到控制的目的，要比通过法律、经济、军事等其他手段更低。一个实际的案例是，2010年“震网”事件对伊朗核电站所带来的破坏性影响，与1981年以色列战机轰炸伊拉克核反应堆带来的后果相近，但在“震网”事件中，攻击者所要承担的政治、军事风险和经济成本都低了很多。可以预测，今后发生在网络空间中的攻击和冲突要远比发生在现实世界中的更频繁，因为攻击者认识到，占有信息优势的一方，能够通过网络战对被攻击者实施碾压式的降维打击，且代价极低。因此，网络安全必将成为大国对抗的工具，网络空间也会成为热点战场。

1.1.3 国家主权的体现

网络安全是国家主权的体现，也是主权权益的重要保障手段。

世界各国都有和平发展的权利，我国的各行各业亟待通过信息化和网络化实现产业升级，从而保持国家经济的健康发展。为此，国家才会提出建设制造强国和网络强国的“两个强国”战略。我国的网络安全保障水平，对于“两个强国”战略能否顺利实现，无疑是至关重要的！

在网络安全领域，与美国全球控制下的“全球公域”主张不同，我国强调的是国家主权下的“网络主权”。2014年7月16日，习近平主席在巴西国会发表《弘扬传统友好 共谱合作新篇》的演讲时提出，“虽然互联网具有高度全球化的特征，但每一个国家在信息领域的主权权益都不应受到侵犯，互联网技术再发展也不能侵犯他国的信息主权”。

网络空间的出现使得国家主权相对弱化。正如未来学家约翰·奈斯比特所说的，“信息革命使国家淡化了，这是由于世界已没有界限。由什么来取代国家？它们正在被网络所取代”。因此，从维护国家主权的角度，网络空间的出现使得国家主权的外延，必须从领土、领海、领空，扩大到无处不在的“网络边疆”。

为了支撑国家的网络主权与网络安全战略，我国颁布了一系列的法律法规和行动计划，对网络安全能力建设提出了要求，具体如下。

• 自2017年6月1日起，实施《中华人民共和国网络安全法》。

• 2017年11月印发《推进互联网协议第六版（IPv6）规模部署行动计划》。

• 自2021年9月1日起，实施《中华人民共和国数据安全法》。

• 自2021年9月1日起，实施《关键信息基础设施安全保护条例》。

• 自2021年11月1日起，实施《中华人民共和国个人信息保护法》。

国家的“十四五”规划纲要里，14次提及“网络安全”，把它确定为未来中国发展建设的重点之一。这一切都表明，中国的网络安全是当前的国家战略要求。正如2014年2月习近平总书记在中央网络安全和信息化领导小组第一次会议上所强调的，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。

1.1.4 事关个体的利益

网络安全，是企业利益、个人利益与国家战略利益高度统一的具体体现。

近年来，我国集中颁布了很多与安全相关的法律法规，这表明，有效保障信息系统的安全，已经不只是企业和机构的自主要求，更是国家的强制要求和公民的义务。因为我国企业和个人所拥有的信息资产，不仅是企业和个人的资产，还是信息时代国家主权的重要组成部分。

从另一个角度来看，即使企业和个人不关心自己资产的安全，也必须保证不会因为自己的安全疏漏，影响到别人的资产安全乃至国家主权权益。

在当前的安全形势下，网络安全建设的水平也直接关系到企业的命运，越是高价值的企业，遭受网络安全攻击时损失越大。

2001年，Gartner在一份报告中提到，“在经历过灾难的企业中，每5家中有2家在5年内会完全退出市场。仅当企业在灾难前或灾难后采取了必要的措施后，企业才可以改变这种状况”。

近些年企业受到安全影响的案例列举如下。

• 始于2013年的Carbanak跨国网络犯罪组织，持续攻击了全球100多家银行，获利超10亿美元。受害者包括全球40多个国家和地区（俄罗斯、日本、瑞士、美国、荷兰、中国台湾等）的100多家银行。

• 2016年2月4日，孟加拉银行的SWIFT系统遭到攻击，失窃的8100万美元至今无法追回。

• 2017年9月，美国征信巨头Equifax确认约1.43亿条用户信用记录被黑客入侵窃取，该事件使得Equifax的股价下跌了超过30%，市值缩水约53亿美元。实际上，自2009年后，有很多的知名公司，包括易安信（EMC）、谷歌、RSA、联想、京东等，都曾遭受安全问题的困扰。

• 据《2018年数据泄露成本报告》（2018 Cost of a Data Breach Study）评估，大型数据泄露代价高昂，百万条记录可致损失4000万美元，5000万条记录可致损失3.5亿美元。遭遇数据泄露事件的企业平均损失386万美元，同比2017年增加了6.4%。

• 2018年，欧洲的标准数据安全法规GDPR（General Data Protection Regulation，通用数据保护条例）实施，许多知名的跨国企业因违法违规收到了巨额罚单，如谷歌（6000万美元）、英国航空公司（2.3亿美元）和万豪酒店（1.23亿美元）。

• 2019年6月，勒索病毒GandCrab的运营者称在一年半的时间内获利20亿美元。

• 2020年，华为公司制造部的安全专家反映，自2019年下半年起，在全球范围内针对制造业务的高等级攻击比上半年增加了一个数量级；在2020年，多次监测到专用设备跳板、0Day漏洞利用、定向钓鱼、合法账号盗用、人工渗透等攻击活动；同年，有国内制造业、医疗行业上市公司在遭到勒索攻击交付赎金后，依然不敢公开信息，害怕影响股价，造成二次损失。

• 2020年4月，有媒体披露，东南亚某国的黑客组织，曾经成功执行过针对中国地方政府和要害部门的APT（Advanced Persistent Threat，高级持续性威胁）攻击。

当前，企业与机构发生网络安全灾难的概率要比火灾高得多。既然消防安全很受重视，那么企业为了预防网络安全灾难，也有必要做好网络安全建设工作。

上述事实都说明，加强系统网络安全建设是利国利民的好事，如果各行各业都能切实建立起合格、管用的安全系统，就能对国家“两个强国”建设提供实际的支撑，同时更好地保障行业企业自身的健康发展。