1、从“十四五”规划纲要看网络安全发展趋势

2021年3月11日，十三届全国人大四次会议表决通过了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》（以下简称“十四五”规划《纲要》）的决议。“十四五”时期是我国全面建成小康社会、实现第一个百年奋斗目标之后、向第二个百年奋斗目标进军的第一个五年。因此“十四五”规划《纲要》是一个具有里程碑意义的规划，是贯彻落实党的十九届五中全会精神，展望和开启全面建设社会主义现代化国家新征程的规划。

“十四五”规划《纲要》是依据党的十九届五中全会通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》（简称“十四五”规划《建议》）编制而成。《建议》是总体规划的基础，《纲要》是《建议》的细化和落实，两者存在明确分工。《建议》主要确立发展理念，明确发展方向、主要原则、重点任务和重大举措；规划《纲要》主要落实《建议》要求，做出具体安排和部署。

从“十四五”规划《建议》到《纲要》，都对数字化转型下的网络安全提出了新的要求，二者基本思想一致，但具体措施略有不同。

一、在网络安全保障体系方面，二者都强调要全面加强网络安全保障体系和能力建设，但是《纲要》对网络安全制定了更为全面的保障措施。

1、在国际上，《纲要》倡导建立网络空间命运共同体，积极参与数据安全、数字货币、数字税等国际规则和数字技术标准制定。推动全球网络安全保障合作机制建设，构建保护数据要素、处置网络安全事件、打击网络犯罪的国际协调合作机制。

2、在国内，《纲要》强调要加强网络安全保护，包括健全法律法规和制度标准、建立健全关键信息基础设施保护体系、加强网络安全风险评估和审查、加强网络安全基础设施建设、提升网络安全威胁应急响应能力、加强网络安全关键技术研发、加强网络安全宣传教育和人才培养等。

二、在数据安全保护方面，《纲要》在《建议》的基础上有所扩充。

1、数据跨境传输安全和大数据保护方面，《建议》和《纲要》都强调要建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范，推动数据资源开发利用；《纲要》增加完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估，推动数据跨境安全有序流动。

2、公共数据安全方面，《纲要》在《建议》的基础上强调要建立健全国家公共数据资源体系，确保公共数据安全，扩大基础公共信息数据安全有序开放。

3、国家数据安全和个人信息保护方面，《建议》中明确要保障国家数据安全，加强个人信息保护；《纲要》对此进行扩充：加强涉及国家利益、商业秘密、个人隐私的数据保护，加快推进数据安全、个人信息保护等领域基础性立法，强化数据资源全生命周期安全保护。

三、在数字产业安全方面，《建议》强调推进数字产业化和产业数字化，《纲要》明确培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业。

四、在关键信息基础设施安全方面，《建议》强调维护水利、电力、供水、油气、交通、通信、网络、金融等重要基础设施安全；《纲要》重点强调能源领域，强化重要能源设施、能源网络安全防护。

“十四五”规划《建议》共有十五章、六十小节，其中有两章、三小节涉及网络安全；《纲要》共有十九篇、六十五章，其中涉及网络安全章节共有五章、七小节。

来源： 信息安全与通信保密杂志社

2、国家网信办副主任：加紧制定《数据安全法》

在2021年3月19日国新办举行的第四届数字中国建设峰会新闻发布会上，国家互联网信息办公室副主任杨小伟表示，近年来，党和国家持续加强在当前大数据快速发展环境下的数据安全和个人隐私保护，正在采取重要措施。全国范围内深入实施《网络安全法》，进一步加强在政策、法律、监管多方面因素的统筹协调工作，加紧制定出台《数据安全法》、《个人信息保护法》，从而在法律层面为数据安全和个人隐私保护提供法律保障。

来源：关键设施安全应急响应中心

3、宏碁遭勒索软件攻击，5000万赎金创世界纪录

近日，计算机巨头宏碁（Acer）受到勒索软件REvil攻击，勒索赎金高达5000万美元，创下勒索软件赎金的新记录。

宏碁是全球第六大计算机制造巨头，产品以笔记本电脑、台式机和显示器而闻名。宏碁拥有约7,000名员工，2019年收入达78亿美元。这些泄漏数据的截图包括财务电子表格、银行对账单等文档。据Malwarebytes恶意软件情报分析师Marcelo Rivero透露，根据数据泄漏网站REvil与宏碁谈判代表的在线聊天信息（下图），双方的谈判似乎并不顺利。

来源：安全牛

4、亚马逊与eBay超1400万用户数据遭泄露

近日，有一个匿名账户在一家黑客网站上曝光了来自亚马逊和eBay的超过1400万个账户数据。从曝光出来的数据细节来看，此次泄露的数据是从 2014 年到 2021 年间累积的，数据来源涉及18个国家或地区。

目前为止，研究人员还不知道黑客是以什么手段窃取到的这些用户数据，在亚马逊公司的内部并不存在能导致数据泄露的违规操作。但该黑客已经通过线上交易成功以800美元的价格出售了两份数据，其中数据包括姓名、电话、住址等敏感信息。

来源：网络安全那点事

5、能源巨头壳牌公司遭受Accelion黑客攻击

壳牌公司3月16日表示，攻击者利用了安全厂商Accellion的文件传输程序FTA的零日漏洞，已经访问了一些个人数据以及属于壳牌利益相关方和子公司的数据。壳牌公司使用FTA来“安全地”传输大文件。

该事件似乎仅影响了Accellion文件传输服务。壳牌声称到目前为止，“没有证据”表明该事件已影响到壳牌的IT系统本身，壳牌公司正在与当局和监管机构合作调查这一事件。

来源：安全牛

6、美军事承包商再遭勒索数据被窃，敲行业警钟

近日，网络安全专家确认，Babuk勒索软件团队运营商（也称为Babyk）设法从美国主要军事承包商之一窃取了700 GB的机密信息。

Babuk勒索团队对本次事件表示：由于该公司安全系统中的重大问题，获取所有文件都是可用的。其中包括：与第三方的合同（包括NDA和军事文件）、客户信息（姓名、信用卡）、员工信息（地址、电话、SSN、医疗信息等）。

来源： 红数位

7、啤酒巨头遭遇网络攻击，生产业务被扰乱

多家外媒报道，啤酒巨头摩森康胜上周发生“网络安全事件”。其啤酒生产业务被扰乱。摩森康胜表示，黑客攻击已使其系统离线，公司的部分业务被延误和中断，包括啤酒厂的运营、生产和发货。摩森康胜遭到网络攻击后，受影响的IT系统被关闭，员工被告知不要碰计算机。并且，为了修复控制工业系统的计算机，公司还关闭了一些生产系统。

来源：安全牛