关注｜近期网络安全发展态势

一

行业市场分析

1、360投资50亿元建设自用大数据中心，以服务公司“大安全”战略

在“数据驱动安全”的背景下，为服务于公司“大安全”战略，360拟投资金额约50.32亿元建设大数据中心，总建筑面积约 50,000平方米，能够承载8000个48U的机柜，折算约可承载12万台计算型和存储型服务器单元，项目计划建设周期为2年。目前，项目相关备案、环评手续已办理完毕，并且有一个近60人的数据中心运维团队，业务覆盖了从数据中心基础架构到网络规划、系统部署到交付及后期监控、维护管理等各个方向。

360目前计算资源来自于租用其他数据中心，现拥有10多万台服务设备分布在全国上百个数据中心，用以支撑全业务线产品的数据平台、计算平台、网络平台等服务。该大数据中心项目建设完成后，360会将所用计算和存储服务器集中管理，以提升其在数据存储、数据分析、网络和安全等方面的支撑和服务能力。

2、车联网领域，奇安信、安恒信息、启明星辰、上海斗象科技成为“车辆安全漏洞预警与分析平台”四家首批支撑单位，腾讯安全为威马汽车EX5-Z提供九大领域的安全服务

5月7日，在国汽智联车辆漏洞预警与分析平台项目启动会上，奇安信、安恒信息、启明星辰、上海斗象科技成为国家智能网联汽车创新中心（以下简称“创新中心”）“车辆安全漏洞预警与分析平台（CVVD）”四家首批支撑单位之一。CVVD依托创新中心开发建设，是国家计算机应急响应中心指导下的国家漏洞平台的汽车行业漏洞数据支撑平台。

基于此次合作，创新中心将联合支撑单位，紧跟智能网联汽车行业技术发展方向，聚焦汽车信息安全产业，跟踪、分析智能网联汽车安全漏洞、安全威胁、安全情报等信息，对涉及国内外车辆的主流网络架构、通讯协议、车载嵌入式产品、车载操作系统和应用软件等信息安全问题开展采集收录、测试验证、补丁发布等工作，基于CVVD共同开展安全众测、应急响应、解决方案、安全告警、态势感知、安全培训、研究报告、安全会议、安全论坛等汽车信息安全综合服务。

5月10日，威马EX5-Z上市，腾讯安全科恩实验室，为威马汽车EX5-Z提供了智能网联系统的系统安全、网络通信安全、权限管理安全、密码学应用安全等9大安全服务，并对用户常用的远程控制及蓝牙钥匙功能进行优化和提升，同时，腾讯也通过“汽车云”为威马提供具备大数据处理能力的汽车大脑，加速汽车OTA进程。截止目前，腾讯安全科恩实验室已协助特斯拉、宝马、丰田发现并修复多个重大安全漏洞，和多家车企建立了安全联合实验室，并推出了汽车信息安全相关产品和行业解决方案，车联网信息安全研究已成为腾讯核心能力之一。

二

企业动态

1、腾讯安全和启明星辰加快布局金融信息安全领域

4月17日，腾讯安全与江苏银行达成战略合作，双方将联合共建“智能化信用卡管理联合实验室”，围绕联邦学习开展深入合作，推动AI技术与信贷风控结合。“联邦学习”是一种新兴的人工智能加密算法，可以有效解决合作中数据隐私与特征变量共享矛盾，在双方或多方合作中线上保障特征变量交换时的信息安全，对互联网用户欺诈风险识别能力更强、覆盖面更广。

此前，江苏银行与腾讯安全基于联邦学习技术对智能化信用卡经营进行了联合开发和方案部署，并于2020年3月6日国内首家上线。在网络安全生态的布局上，腾讯安全已开放灵鲲监管科技平台、天御星云风控平台、天御反欺诈系统三大平台能力，面向泛金融、泛互联网、智慧零售等群体，解决新业务场景中的安全问题。其中，灵鲲已接入全国超过15个重点省市的金融监管部门，累计监测非法集资等金融风险平台超过1.1万家；天御系统上线以来已为中国银行、招商银行、蒙牛、东鹏特饮等数百家客户提供业务反欺诈服务。2020年4月20日，腾讯云DDoS防护服务入选Forrester云服务商类别推荐名单。

4月21日，启明星辰与神州新桥签署了战略合作协议。双方将在攻防演练、联合安全运营、信息化应用创新等方面展开全面合作，通过充分发挥各自的优势，共同推进金融信息安全产业的快速发展。

2、华为安全发布态势感知系统

4月21日，在华为安全召开“安全新视界，AI知未然”主题线上发布会上，推出了HiSec Insight安全态势感知系统。HiSec Insight一款基于自进化AI检测引擎，对企业网络安全态势进行精准预测，以提升网络威胁处置能力和安全运维效率的网络安全态势感知系统。

华为基于自进化AI的安全态势感知系统，采用可控的硬件平台服务器、操作系统、大数据平台、数据库软件等，可应用于新基建下5G、工业互联网、大数据中心等广泛场景，具有感知自进化、运维自简化、应用自适应三大特点。其中，基于自进化AI检测引擎，威胁检测精确率大于95%，基于威胁知识图谱的推理分析与策略可视化编排，运营成本降低30%，基于标准化的微服务架构，满足客户多样化业务诉求。

3、腾讯、阿里等互联网大厂在区块链、云计算、大数据等“新基建”安全领域的布局趋于成熟，并同步布局商密等传统安全领域

腾讯公司，在区块链领域，5月，腾讯云首次公开其产业区块链能力全景图，涵盖了基础设施、底层平台、服务平台、应用组件以及产业区块链应用等区块链产业应用的全链路。目前，已经全面落地供应链金融、可信存证、电子票据、数据要素、身份管理、供应链管理、数字资产等7大领域。在商密领域，5月3日，腾讯云中标1.3亿元的神舟软件商密网云平台，项目采购产品包括传统安全产品、存储设备、云服务器设备、机房配套设备、商密局域网设备、身份认证系统、数据中心网络设备、云内安全产品、云平台，其中 IaaS、PaaS 平台报价 0 元。

阿里公司，4月28日，阿里巴巴和中国电子成为战略合作伙伴，双方将在网络安全、现代数字城市等领域推进合作。5月9日，阿里巴巴和郑州大数据发展有限公司共同出资成立的数字郑州科技有限公司，拟取得“郑州市城市大脑二期项目智能应用”的单一供应商资格，项目预算8.8亿元，采购项目包括城市大脑统一计算资源平台、统一支撑服务平台，各业务领域智能应用、城市大脑可视化展示以及安全保障体系。

4、启明星辰与CERT海南分中心达成战略合作，安全运营业务开始向二三级城市拓展

5月13日，启明星辰与计算机网络与信息安全管理中心（以下简称“海南分中心”）达成战略合作。此次合作，双方将充分发挥各自优势，通过共建海南省网络安全威胁情报中心，探索网络安全运营中心节点建设方式，持续完善省内重点行业和关键领域信息安全监测及预警通报工作，推动海南省网络安全教育、技术、产业融合发展，全面提升海南省网络安全防护能力。

据启明星辰2019年年报显示，公司自2018年在全国启动安全运营业务，已形成北京、成都、广州、杭州（东西南北）四大业务支撑中心及三十余个城市安全运营中心，其中，2019年安全运营与服务实现营收8亿，占全年营收的27%，增速达32%。未来在持续扩大已有运营中心业务的基础上，将继续向其他二三级城市拓展，2020年目标力争累计达到80个城市的覆盖。

三

政策法规动态

1、中共中央国务院《关于构建更加完善的要素市场化配置体制机制的意见》，数据作为一种新型生产要素被写入政策文件

2020年3月30日，中共中央国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》（以下简称“意见”），提出要推动土地、劳动力、资本、技术、数据五个生产要素的市场化配置，数据作为新型生产要素被写入政策文件。

在加快培育数据要素市场方面，《意见》提出：

一是推进政府数据开放共享。优化经济治理基础数据库，加快推动各地区各部门间数据共享交换，制定出台新一批数据共享责任清单。研究建立促进企业登记、交通运输、气象等公共数据开放和数据资源有效流动的制度规范。

二是提升社会数据资源价值。培育数字经济新产业、新业态和新模式，支持构建农业、工业、交通、教育、安防、城市管理、公共资源交易等领域规范化数据开发利用的场景。发挥行业协会商会作用，推动人工智能、可穿戴设备、车联网、物联网等领域数据采集标准化。

三是加强数据资源整合和安全保护。探索建立统一规范的数据管理制度，提高数据质量和规范性，丰富数据产品。研究根据数据性质完善产权性质。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护。

2、发改委、网信办联合印发《关于推进“上云用数赋智”行动培育新经济发展实施方案》

4月7日，国家发展改革、中央网信办联合印发《关于推进“上云用数赋智”行动培育新经济发展实施方案》的通知（以下简称“方案”），从能力扶持、金融普惠、搭建生态等方面，帮助鼓励企业加快数字化转型，培育新经济发展。

《方案》针对中小微企业进行数字化转型中“不会转”、“不能转”、“不敢转”的难题，提出了以下措施。

一是搭平台降门槛，解决“不会转”的难题。开展数字化转型伙伴行动，鼓励各类平台、开源社区、第三方机构面向广大中小微企业提供数字化转型所需的开发工具及公共性服务。支持数字化转型服务咨询机构和区域数字化服务载体建设，丰富各类园区、特色小镇的数字化服务功能。

二是优服务强支持，解决“不能转”的难题。探索推行普惠型的云服务支持政策，支持构建数字化转型开源生态，推动基础软件、通用软件、算法开源，加强专业知识经验、数字技术产品、数字化解决方案的整合封装，推动形成公共、开放、中立的开源创新生态，提升传统行业对新技术、工具的获取能力。

三是聚合力建生态，解决“不敢转”的问题。支持新零售、在线消费、无接触配送、互联网医疗、线上教育、一站式出行、共享员工、远程办公、“宅经济”等新业态，探索打造跨越物理边界的“虚拟产业园”和“虚拟产业集群”，支持建设数字供应链，带动上下游企业加快数字化转型。

3、国家网信办、国家发改委等12个部门联合发布《网络安全审查办法》，以确保关键信息基础设施供应链安全，维护国家安全

2020年4月13日，国家网信办、国家发改委等12个部门联合发布《网络安全审查办法》（以下简称“办法”），2020年6月1日起实施。

《办法》全文共21条，明确规定了网络安全审查的目的和原则、组织机构以及审查的对象、材料、时限、惩罚机制等，为我国开展网络安全审查工作提供了重要的制度保障。

一是明确网络安全审查的目的，通过网络安全审查及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。

二是明确网络安全审查的组织机构，网络安全审查办公室设在国家网信办，具体工作委托中国网络安全审查技术与认证中心承担。

三是明确网络安全审查对象，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的。其中，根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应当按照《办法》要求考虑申报网络安全审查。四是明确网络安全的审查材料，①申报书；②关于影响或可能影响国家安全的分析报告；③采购文件、协议、拟签订的合同等；④网络安全审查工作需要的其它材料。五是明确网络安全的审查时限和惩罚机制，通常情况下，网络安全审查在45个工作日内完成，情况复杂的会延长15个工作日。进入特别审查程序的审查项目，可能还需要45个工作日或者更长；运营者违反本办法规定的，依照《中华人民共和国网络安全法》第六十五条的规定处理。

《办法》聚焦于国家安全，强调要重点评估采购的网络安全产品和服务可能带来的国家风险，并在第九条明确规定了国家安全风险的考虑因素，更多考虑产品和服务受到非技术因素而供应中断的可能性。

一是产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

二是产品和服务供应中断对关键信息基础设施业务连续性的危害；

三是产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

四是产品和服务提供者遵守中国法律、行政法规、部门规章情况；五是其他可能危害关键信息基础设施安全和国家安全的因素。

4、工信部连发两文，推动移动物联网和工业大数据全面发展

5月7日，工信部发布《关于深入推动移动物联网全面发展的通知》，提出建立NB-IoT（窄带物联网）、4G（含LTE-Cat1，即速率类别1的4G网络）和5G协同发展的移动物联网综合生态体系，并着力完成加快移动物联网网络建设、加强移动物联网标准和技术研究、提升移动物联网应用广度和深度、构建高质量产业发展体系、建立健全移动物联网安全保障体系等五项重点任务。

在建立健全移动物联网安全保障体系方面：

一是要加强移动物联网安全防护和数据保护。建立移动物联网网络安全管理机制，明确运营企业、产品和服务提供商等不同主体的安全责任和义务。加强移动物联网网络设施安全检测，强化对网络安全漏洞收集、报告和修复的指导规范。依托试点示范、工业互联网创新发展工程等，支持网络安全核心技术攻关。开展移动物联网重点产品安全评测，加速形成匹配移动物联网场景特征和安全需求的产品、服务和解决方案。加强移动物联网用户信息、个人隐私和重要数据保护。

二是要夯实移动物联网基础安全。建立移动物联网安全标准框架，制定物联网卡、终端、网关等重点环节的分级分类安全管理系列标准。鼓励企业、研究机构加大对移动物联网终端可信认证技术、区块链溯源等安全技术手段的研究应用。加快建设移动物联网安全监管技术手段，提升安全态势感知、卡端管理、风险预警等实时监测能力。

5月13日，工信部发布《关于工业大数据发展的指导意见》，提出要按照高质量发展要求，促进工业数据汇聚共享、深化数据融合创新、提升数据治理能力、加强数据安全管理，着力打造资源富集、应用繁荣、产业进步、治理有序的工业大数据生态体系。在强化数据安全方面，一是要构建工业数据安全管理体系。明确企业安全主体责任和各级政府监督管理责任，构建工业数据安全责任体系。加强态势感知、测试评估、预警处置等工业大数据安全能力建设，实现闭环管理，全面保障数据安全。二是要加强工业数据安全产品研发。开展加密传输、访问控制、数据脱敏等安全技术攻关，提升防篡改、防窃取、防泄漏能力。加快培育安全骨干企业，增强数据安全服务，培育良好安全产业生态。

5、新版《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》正式发布

2020年4月28日，国家市场监督管理总局、国家标准化管理委员会联合发布了新版《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》（以下简称“指南”），新的国标将于2020年11月1日正式实施，与旧版的国标区别主要如下。

定级原理及流程方面：

一是安全等级划分，依旧是从一级到五级由低到高，但是对于定级系统的称呼统一改为等级保护对象（旧标准中称为信息系统），这也与等保2.0其他系列标准保持一致。

二是定级流程，第二级及以上等级保护对象定级流程新增专家评审环节，不再自主定级，需要聘请专家认定等级保护对象的级别。

确定定级对象方面，相比旧标准变化较多：

一是明确了需要定级备案的企业和机构，通用定级对象明确了三点基本特征，即具有确定的主要安全责任体、承载相对独立的业务应用、包含相互关联的多个资源，从这几个特征来看，基本互联网上的系统差不多都要定级备案。《指南》给出了有关安全责任主体的解释：包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。

二是明确了需要强制定级备案的系统范畴，包括云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源。

确定受侵害的客体方面，侵害国家安全事项方面新增了新增影响海洋权益完整的侵害、影响国家社会主义经济秩序和文化实力的侵害，侵害社会秩序事项方面，明确提出影响企事业单位、社会团体生产秩序、医疗卫生秩序的侵害、新增影响公共交通秩序的侵害以及影响人民群众生活的侵害。

网络强国建设的思想库

安全产业发展的情报站

创新企业腾飞的动力源

投稿网址：

合作热线：010-88203306