文/本刊记者 高明

2021年，全球网络安全领域发生了众多引人关注的事件——国内国外法律法规条例密集出台，不断加强网络安全的法律保障；大规模断网事件频发，广大用户深受影响；而关键信息基础设施的屡遭攻击与波及全球的Log4j2漏洞，也引发了各界对于未来网络安全形势的担忧。面对日益严峻的网络安全形势，无论政府还是个人，未来都需要进一步加强防护措施并强化安全意识。

相关法律密集出台，法律保障不断增强

国内法律法规密集颁布实施

2021年，国内数据安全领域密集颁布实施了多项法律法规政策，同时，数百款涉嫌违规收集个人信息的App也因未按要求进行整改而被下架，显示出我国网络安全治理力度的不断强化。2021年个人数据与信息得到进一步全方位保护，主要得益于《数据安全法》和《个人信息保护法》的颁布与实施。

此外，国家网信办等部门在2021年也陆续发布了《关于加强网络直播规范管理工作的指导意见》《互联网用户公众账号信息服务管理规定》《常见类型移动互联网应用程序必要个人信息范围规定》等意见和规定，旨在维护公民在网络空间的合法权益。

在医疗行业、金融行业和交通运输行业，《信息安全技术 健康医疗数据安全指南》《征信业务管理办法》《汽车数据安全管理若干规定（试行）》等数项行业级标准与办法的相继执行，也进一步强化了个人信息安全和合法权益的保护。

《中华人民共和国数据安全法》

《中华人民共和国数据安全法》由全国人大常委会于2021年6月10日通过，自2021年9月1日起实施，旨在保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。

《中华人民共和国个人信息保护法》

《中华人民共和国个人信息保护法》由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于8月20日通过，于2021年11月1日起开始实施，旨在保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。

各国法规条例相继出台

2021年，国外各国政府也陆续出台了相关法律和条例。美国相继发布和通过《确保信息和通信技术及服务供应链安全》规则、《促进数字隐私技术法案》《美国网络安全素养法案》《K12网络安全法》等众多网络安全领域法案，旨在强化网络安全保障和提高美国民众的网络安全意识与数据安全知识。

欧盟也发布《电子隐私条例（草案）》《网络犯罪公约》第二附加议定书草案的声明等一系列法规条例，强调网络安全和数据保护。除此之外，其他各国也在积极推动网络安全相关立法建设，如韩国发布《个人信息保护法（修正案草案）》、英国发布《数字身份和属性信任框架》、俄罗斯罗总统签署《联邦行政犯罪法》修正案等，都表明各国政府对于保障网络安全的高度重视。

大规模断网事件频发，广大用户深受影响

随着全球数字化进程加快，人们对于网络的依赖程度越来越高，因而保障网络的稳定和通畅也变得格外重要。但在过去的一年，全球范围内却发生了数次大规模断网事件，使得广大用户受到了严重影响。

2021年6月8日，全球主要内容分发网络Fastly CDN出现持续一小时的中断，导致使用其CDN的网站全线崩溃，包括亚马逊、谷歌、eBay等数十个大型网站。

Fastly工程与基础设施高级副总裁尼克·罗克韦尔发文称，“此次中断是由Fastly的一个客户配置变更触发了一个未被发现的软件漏洞，导致了其85%的网络出现返回错误现象。”

2021年6月17日，由于为企业提供网络和内容交付服务CDN的互联网安全公司Akamai的DDoS缓解服务故障，导致澳大利亚和美国数十家金融机构和航空公司的网站宕机长达一小时。

2021年7月22日，由于Akamai的DNS服务出现问题，全美再次出现重大断服断网事件，导致一些重要的网站和在线服务均无法访问，受此事件影响的公司涉及全球范围内金融、航空、物流、消费等行业和领域，此次故障原因为“软件配置更新触发了DNS系统的一个错误，该系统引导浏览器进入网站。这导致了影响一些客户网站可用性的中断。”

2021年10月4日，社交网络Facebook及其子公司Messenger、Instagram和WhatsApp全球无法使用长达7个小时，经历了整个互联网史上最大的一次中断，波及数十亿用户。

Facebook在其推特上发表官方声明称，“调度数据中心之间流量的骨干网路由器配置变化造成了这次通讯中断，这种网络流量中断对数据中心的通信产生了连锁效应，最终导致服务宕机。”

2021年10月25日，韩国三大通信服务提供商之一的韩国电信公司的有线及无线等网络服务突然中断，造成韩国在全国范围内出现持续约1小时的大面积网络服务中断，包括证券交易系统，饭店结算系统以及手机信号等服务均受到严重影响，对韩国的企业和民众造成极大困扰。

此次事件由更换路由器引发，技术人员在更换企业路由器后漏掉了一个命令词，并且由于韩国电信公司缺乏相关的安全装置，导致全国网络瘫痪。

虽然Fastly和Akamai所提供的服务能够为用户带来更快捷、便利和安全的互联网内容体验，但随之而来的问题是，作为互联网终端用户和服务器之间的桥梁，一旦这座桥梁发生问题，双方之间的连接也会就此中断。

并且，由于越来越多的互联网内容提供方正在过于集中依赖少数类似Fastly与Akamai这样的中间云服务提供商，因而当提供互联网底层服务的单个公司出现短时故障时，将导致大规模用户的互联网服务受到影响。而随着云服务市场集中度的不断提高，这样的潜在风险也正在不断加剧。

Facebook断网事件再次表明了网络基础设施的脆弱性、紧耦合以及自动化运行的严重问题。在APNIC首席科学家杰夫·休斯顿看来，此次事件带来了一些启示，即对每一个配置更新进行演习，并始终有一个退出计划；同时，必须谨慎地在DNS上使用简短TTL；并且，不要将所有权威DNS域名服务器放在一个单独服务器中；此外，要从生产服务中分离出控制平面，即便发生服务故障，也始终能够访问服务；最后，不要片面地追求高速和突破，也要考虑弹性。

韩国电信公司断网事件则凸显了安全防范制度的重要性。即便技术架构再完善，人为的问题也会绕过一切冗余机制，导致故障发生。因而,提高前期投入，做足各项预案和准备，完善安全管理体制机制，才能进一步减少事故发生概率。

全球网络攻击频繁，安全形势不容乐观

关键信息基础设施屡遭攻击

2021年多国基础设施和重要信息系统遭受网络攻击，给各国的安全稳定带来巨大风险。其中，勒索软件攻击成为主要威胁，并呈现出破坏涉及行业领域增多、索要赎金增长、破坏后果严重等特点。

金融、交通、医疗、能源等领域和行业都成为勒索攻击的目标，比如，美国油管道运营商科洛尼尔管道运输公司遭受勒索攻击，引发美国东海岸大面积燃油断供；爱尔兰卫生服务主管部门遭遇勒索软件攻击，被迫暂时关闭IT系统，致使多家医院运营受到影响；伊朗铁路遭受网络攻击，导致数百辆列车被延误或取消。

对此，全球各国在大幅增加关键基础设施安全防护资金投入的同时，也相继推出多部文件和政令来强化关键信息基础设施安全保护，比如美国发布《CISA全球参与》文件、《关于改善关键基础设施控制系统网络安全的国家安全备忘录》、欧盟也发布《欧盟安全联盟战略》、澳大利亚政府提出了关键基础设施提升计划(CI-UP)等。我国也出台了《关键信息基础设施安全保护条例》，为开展关键信息基础设施安全保护工作提供了基本遵循。

Apache Log4j2漏洞波及全球网络

同往年相比，2021年漏洞数量增长放缓，但这并不意味来自互联网的危害因此而降低。相反，网络攻击的数量呈现出显著上升的趋势，这一趋势在年底达到了历史最高水平，于2021年12月10日公开披露的Apache Log4j2漏洞则是其中的主要原因。

Log4j2漏洞驻留在无处不在的Java日志库Apache Log4j中，该漏洞是由于Log4j2在处理程序日志记录时存在JNDI注入缺陷。同时，由于该漏洞位于与许多其他软件包捆绑在一起的核心库中，也使修复变得更加复杂。而基于该漏洞的性质，一旦攻击者完全访问和控制了一个应用程序，就可以执行无数攻击目标。

许多企业和政府机构网络都已遭遇了漏洞利用攻击。比利时国防部就已宣布他们遭受了基于该漏洞的严重的网络攻击，强烈的网络攻击导致比利时国防部的一些活动瘫痪，如其邮件系统就已经停机了数天。

Log4j2漏洞目前已经成为一个全球性的网络安全问题，而鉴于该漏洞的普遍性和易于利用性，全球未来可能需花费数月甚至数年时间才能完全解决这一隐患。

2022年，网络安全形势依旧不容乐观，在加强安全防护之余，提升网络安全素养也变得更为关键和重要。