回顧2020年，網路新技術新應用繼續在網路安全領域大施拳腳，其中人工智能、區塊鏈、量子資訊技術對網路安全的兩面性影響隨著技術的發展呈現出新的特點；第五代移動通信技術（5G）、物聯網、邊緣計算與霧計算等技術應用在為人類社會帶來新一輪科技革命和產業變革的同時，其中蘊涵的網路安全風險也對我們的生產生活產生重大影響，

一、人工智能賦能網路安全防御加速落地，應用引發網路安全風險與現實危害

2020年，人工智能迎來發展黃金期，與2019年相比，人工智能在提升全球網路安全能力方面扮演的“引擎”角色開始發揮實際作用，伴隨帶來的網路安全問題則對資料隱私安全和社會秩序造成現實危害，

（一）人工智能網路安全風險引發現實危害

2020年，在被普遍視為解決安全問題的靈丹妙藥的同時，人工智能帶來的網路安全危害亦持續引發全球廣泛關注，一方面，人工智能自身帶來的網路安全風險不斷，

1） 谷歌驗證碼服務停止、國內花樣繁多的圖片驗證碼安全嗎？

谷歌圖形驗證碼安全形同虛設

谷歌圖形驗證碼在AI 面前已經形同虛設，所以谷歌宣布退出驗證碼服務， 那么當所有的圖形驗證碼都被破解時
《騰訊防水墻滑動拼圖驗證碼》
《百度旋轉圖片驗證碼》
《網易易盾滑動拼圖驗證碼》
《頂象區域面積點選驗證碼》
《頂象滑動拼圖驗證碼》
《極驗滑動拼圖驗證碼》
《使用深度學習來破解 captcha 驗證碼》
《驗證碼終結者-基于CNN+BLSTM+CTC的訓練部署套件》

下一代隱藏式驗證安全已經出現

新新科技研發的下一代隱藏式驗證安全產品
為保障優秀的用戶體驗，擯棄了目前的圖形驗證碼等人機校驗程式，做到無感驗證，從而達到完美的用戶體驗，

• 通過機器學習用戶特征，將不同的特征分布為細小的蜂窩，AI演算法準確識別千萬個蜂窩是否被攻擊，單個蜂窩被攻擊被限制時，其它蜂窩不受影響，
• 通過機器學習業務資料，動態調整限流決策，一旦識別到攻擊特征時自動對攔截受影響的蜂窩攻擊，正常時回應的攔截自動消除，
• 采用可信體系，將老客戶VIP加入到可信串列，在受到攻擊時，大部分蜂窩被攔截的情況下，保證老客戶通道暢通無阻，從而降低誤傷率，
• 通過機器學習業務資料及攻擊特征樣本，可以有效防止攻擊者通過大量設備發起攻擊，隨意切換手機號及IP地址的方式盜刷短信，同時加入模擬器檢測，以及前后端引數加密等措施組合為立體AI防御，有效防止黑客攻擊，

風控防火墻控制臺中的風險大盤，交易級別實時監控，讓攻擊防御情況盡在掌握，

2） 清華大學的RealAI 團隊15分鐘解鎖19款手機

清華大學的一條重大發現，利用人臉識別技術的漏洞，“ 15分鐘解鎖19個陌生智能國產手機 ”的事件，引發無數網友關注，據悉，清華大學的RealAI 團隊共選取了 20 款手機，其中1款是國外的，另外19款都是我們國產的智能手機，居來自排名前五的國產手機品牌，每一品牌下選取了 3－4 款不同價位的手機型號，覆寫低端機到旗艦機 ，

3）人臉識別安全嗎？案件中無文化的罪犯讓人臉識別技術被打臉

在很多人的眼里，蘋果手機的安全性是要高于一般的安卓手機的，
但廣西法院近日公開的一份刑事判決書，不得不讓人重新審視這個安全性， 判決書顯示，2019年6月8日19時許，被告人黃某到柳州市一家二手手機店，購買了被害人陳某已出售在此店的一部蘋果牌手機，次日2時至9時期間，黃某利用該手機內陳某的照片，制作了一張人臉識別動態圖在支付認證時使用，以此方式分別從陳某的微信賬戶、支付寶賬戶內轉款人民幣9100元、7500元至其個人賬戶，
值得一提的是，1996年出生于廣西壯族自治區柳州市的黃某，初中文化，無職業，

4）不能讓“戴頭盔看房”成為無奈，人臉識別涉及侵犯個人隱私

近期，一則“戴頭盔看房”的視頻在網上流傳，買房者為何要戴著頭盔買房呢？許多人首先想到的是，他是不是怕被熟人認出來，但是通過調查發現，買房人并不是怕被熟人認出來，而是為了躲避售樓處的人臉識別系統，安裝人臉識別裝置，在一些地方的售樓處成為“標配”，其目的就是為了配合房企的“分銷模式”，鎖定購房者的身份，避免房企銷售人員和中介的扯皮，

5） 國外谷歌Tensorflow存在多處漏洞、IBM被曝擅自使用圖片分享網站Flickr上的100萬張照片

2019年3月，網路安全業內發現全球應用最為廣泛的開源機器學習框架谷歌Tensorflow存在多處漏洞，有被安插后門等風險；

同期，IBM被曝未經用戶許可擅自使用圖片分享網站Flickr上的100萬張照片進行人臉識別演算法訓練，人工智能訓練資料的獲取方法和途徑侵犯用戶隱私問題再次被推上輿論風口浪尖；

等等，另一方面，人工智能的惡意利用導致網路攻防全面升級，隨著人工智能技術依托的演算法、大資料等以很低的成本進行復制和擴散，人工智能在有效賦能網路安全防御的同時，也為黑客實施網路攻擊創造了有利條件，

2019年，人工智能驅動的物聯網網路攻擊、語音模擬釣魚欺詐、深度偽造（Deepfake）虛假視頻等已在全球造成現實危害，基于人工智能的網路攻防正發展成為一場對抗節奏呈指數級遞增的貓鼠游戲，隨著多國相繼提速人工智能立法作業，如何確保人工智能在網路安全領域健康發展，成為立法者重點關注的議題之一，

（二）政企積極利用人工智能賦能網路安全

2019年，國內外網路安全企業有效利用人工智能較強的學習和推理能力，以及擅長處理模糊資訊、無需先驗知識即可有效識別未知威脅與攻擊、能調動多環節協同合作等特點，推出眾多基于人工智能的惡意代碼檢測、例外流量檢測、軟體漏洞挖掘、例外行為分析、敏感資料保護、安全運營管理等工具產品，有效提升網路安全防御的精度和效率，深受社會各界青睞，

2019年7月，歐洲最大的咨詢公司凱捷（Capgemini）針對互聯網領域橫跨十個國家七大行業的850名高級管理人員展開調研后發現，近乎一半的受訪公司表示，將在2020財年就網路安全領域的人工智能預算平均增加29%；已有五分之一的受訪公司開始使用人工智能維護網路安全，近三分之二的受訪公司則計劃明年跟進，在企業的人工智能與網路安全融合實踐日益增多的同時，多國政府也開始加速推進利用人工智能賦能網路安全相關作業，

2019年9月，日本政府著手開發基于人工智能的網路攻擊預測與評估系統，用于自動探測惡意程式攻擊、評估影響級別、為政府機構和企業提供預警情報等，計劃于2022年進行實際驗證，力爭盡早投入使用，

2019年10月，美國國防資訊系統局（DISA）發布商業采購招標資訊，希望通過引入人工智能驅動型網路安全防御系統，提升國防部網路系統的威脅檢測和攻擊應對能力并有效節約人力成本，

與此同時，澳大利亞最大的國家科研機構聯邦科學與工業研究組織（CSIRO）下屬研究所Data61聯合該國網路安全公司，啟動旨在研發人工智能化的網路安全防御技術的重大聯合研究專案，

二、區塊鏈成為網路安全第二道防線，監管落后于發展速度引發安全問題

與人工智能類似，區塊鏈作為一項重要新興技術，在網路安全領域發展與應用的雙刃劍效應明顯，相較于2018年，區塊鏈的網路防御天然屬性在2019年進一步得到業內肯定，正式成為繼人工智能之后網路安全領域的第二道防線，伴隨而來的區塊鏈技術安全、生態安全以及資訊安全問題也愈發突出和復雜，

（一）區塊鏈網路安全實踐落地

2019年，區塊鏈幣圈泡沫破裂，監管規范趨嚴，國家引導與產業投資加速推動區塊鏈向企業級應用階段發展，其中區塊鏈在保障網路安全方面的應用由理論落地到實踐，成就和潛力極為耀眼，

1. 基于區塊鏈的資料存盤專案能有效保護資訊安全性和完整性，成為當前軍用和民用領域集中式資料安全解決方案的關鍵創新點，

2019年，美國軍方依托科研院所和技術公司構建的基于區塊鏈的軍用級加密通信和交易平臺、國防制造系統供應鏈安全保障專案等陸續落地，美國高德納咨詢公司（Gartner）估計，到2025年，區塊鏈的商業價值將達到1760億美元，到2030年將超過3.1萬億美元，其中很大一部分將用于資料存盤，2019年，Lambda、Yotta、Arweave、FileStorm、ShoCard等國內外區塊鏈資料存盤專案不斷涌現，融資、并購、落地等活動如火如荼，廣泛應用蓄勢待發，區塊鏈資料存盤成為最有可能首先實作大規模商用的區塊鏈應用，

2. 區塊鏈不可篡改、分布式屬性被用于防護資訊系統安全，

2019年，美國Xage Security公司創建的全球首個基于區塊鏈的工業物聯網安全平臺開始在越來越多的領域落地應用，橫跨公共事業、交通運輸、制造業和能源行業等，該平臺通過在物聯網設備網路上批量分發隱私資料并進行身份驗證，形成能有效保護工業物聯網安全的防篡改網路，跨鏈分布式域名體系（MDNS）、星云（Nebulis）等基于區塊鏈的分布式互聯網域名系統問世，則為解決當前域名系統因高度集中化存盤而易受攻擊等問題提供新思路，2019年，Gladius公司區塊鏈平臺完成測驗，使利用區塊鏈分布式特征對抗分布式拒絕服務攻擊（DDoS）成為現實，利用區塊鏈技術防止黑客遠程修改關鍵資訊基礎設施運行引數等問題，也成為多國金融機構、能源企業等關注的重點，

（二）區塊鏈監管落后于發展速度導致網路安全事故頻發

2019年，區塊鏈技術發展與應用落地速度不斷加快，與區塊鏈技術標準和應用生態監管制度不完善、從業人員安全意識不足、專業監管機構與人才匱乏等現實狀況形成鮮明對比，成為區塊鏈引發網路安全問題的重要原因，導致區塊鏈技術安全、生態安全以及資訊安全等方面均出現不同程度的安全事故或風險隱患，例如，因智能合約或交易所平臺漏洞被利用、用戶遭社會工程攻擊導致密鑰丟失等原因，基于以太坊等大型區塊鏈的加密貨幣頻頻被盜，造成重大經濟損失，競猜類區塊鏈應用頻遭黑客攻擊，加密劫持也延續了2018年的猖獗態勢，值得注意的是，2019年，越來越多基于區塊鏈的社交媒體產品落地、社交生態系統不斷優化，隨著用戶數量攀升，針對去中心化的違規資訊傳播的監管問題將成為多國面臨的重要挑戰，

三、量子資訊技術的突破發展對安全加密的利弊影響雙雙升級

量子計算與量子通信是量子資訊技術在網路安全領域應用最為廣泛的兩類技術，分別因超強算力威脅破解傳統加密、能實作無法被破譯的加密通信而與網路安全關系密切，與2018年相比，由美國領跑的量子計算研究作業在2019年取得突破性進展，進一步威脅傳統加密演算法安全，推動后量子時代加速到來，在量子通信領域，2019年我國持續保持全球領先地位，歐洲則加緊布局量子通信基礎設施建設，力圖早日利用量子通信維護歐盟資訊安全，

（一）量子計算能力接近經典模擬極限，對傳統加密威脅加劇

2019年10月，美國谷歌公司研究人員在國際頂級期刊《自然》上發表論文《基于可編程的超導處理器實作的量子優越性》，稱由谷歌量子處理器Sycamore歷時200秒執行的計算量，在當前世界排名第一的超級計算機Summit上完成需要大約一萬年時間，認為人類已實作量子優越性，即量子計算在某些任務上擁有超越所有傳統計算機的計算能力，雖然業內對谷歌提出的“量子優越性”存在質疑，但一致認為量子計算機接近經典模擬極限的時代已經到來，因受眾多因素影響，量子計算尚且很難真正實作破解傳統資料安全加密演算法，但量子計算研究取得重大突破，對當前網路安全的基礎——依托復雜數學公式將原資料轉換為安全加密資訊的傳統加密演算法已構成重大威脅，隨著量子計算處理能力的不斷提升，對稱以及非對稱加密演算法均將會變得越來越脆弱，對此，多個國家和地區加速推進針對抗量子加密技術的研發行程，以美國為典型代表，2019年，美國國家標準技術研究所（NIST）從已收集的69種后量子密碼學演算法中篩選出26種，由原理驗證階段進入基準測驗，并將此前預定的2024年或之前出臺《后量子密碼學標準草案》提前到2022年，預計2020年，網路安全業內及各國情報機構的加密研究作業將進一步向抗量子加密技術的研發和應用方向傾斜，為迎接后量子時代做準備，

（二）量子通信護航加密通信不斷取得新進展

量子通信，即利用量子力學原理來進行保密通信，已成為各國維護資訊安全的前沿深耕領域，量子通信包括量子隱形傳態和量子密鑰分發兩種方式，其中量子隱形傳態是借助量子糾纏的特性，將未知的量子態傳輸到遙遠地點，而不用傳送物質本身，是遠距離量子通信和分布式量子計算的核心功能單元；量子密鑰分發則是利用量子不可克隆、測不準的隨機特點生成的量子密鑰為資訊加密后進行通信，

四、5G進入商用普及初期，網路安全脆弱點備受矚目

2019年，全球進入5G商用元年，萬物可聯、萬物可算指日可待，將帶動數字經濟跨越式升級，隨著依托5G的車聯網、智能電網、智能醫療等產業應用陸續試水，5G發展所帶來的網路安全問題已成為人類社會面臨的一項重大現實風險，引發各界關注，

（一）5G商用提速擴大網路攻擊覆寫面

2019年，我國5G商用牌照正式發放，萬億市場序幕拉開，與此同時，美國、英國、澳大利亞、韓國等國電信服務商也開始運營5G網路，全球移動通信系統協會（GSMA）預計，到2025年，全球5G終端總數將達12億，其中三分之一在中國，網路安全業內一致認為，在5G網路的超大連接下，入網終端介面增多、傳輸資料量增大，終端安全能力卻差異很大，將導致網路攻擊的風險點與突破口明顯增多，極易引發全網或區域規模攻擊；5G的高速率、低時延特性將為黑客快速竊取資訊提供有力抓手，并且大大提升了基于流量檢測、內容識別等技術的安全防護難度，因此，5G商用不斷提速將擴大黑客進行網路攻擊的覆寫面，

（二）5G漏洞與供應商問題成為網路安全關鍵脆弱點

盡管5G在資料加密和隱私保護方面的保障機制相比3G和4G更加完善，但是5G作為一種長期演進而來的通信技術，一些原4G所有的漏洞與安全問題也可能出現在5G網路中，成為關鍵安全脆弱點，

2019年2月，美國研究人員首次發現了能同時影響4G和5G安全漏洞，可用于攔截電話并跟蹤手機用戶地理位置，此外，美國網路安全和基礎設施安全域（CISA）認為，5G網路中還可能出現一些4G所沒有的新未知安全漏洞，影響5G設備和網路的安全性，即使內置了安全措施也無濟于事，

2019年3月，英國政府通信總部（GCHQ）下屬機構國家網路安全中心在針對中國華為5G安全的評估中，著重強調其重大網路安全問題是“不良操作造成漏洞可能帶來安全風險”，進一步凸顯漏洞在5G網路安全問題中的重要地位，除漏洞因素外，歐盟認為，供應商在5G帶來的網路安全問題中亦扮演重要角色，

2019年10月，歐盟在《5G網路安全風險評估》中著重強調，在5G市場中具有重要市場份額的電信設備供應商帶來的網路安全風險至關重要，歐盟認為，5G供應商多樣化、避免或限制對單一供應商的嚴重依賴將有效改善5G應用帶來的網路安全問題，并計劃在2020年前就應對5G網路風險制定可行措施，重點識別“不安全”供應商，

五、物聯網仍是網路攻擊重災區，引發國家行動

2019年，全球物聯網技術應用持續下沉，設備數量激增，據美國資料分析公司Leftronic統計，全球物聯網設備數量在2018年約為70億，2019年8月時已達266.6億，預計2025年將超過750億，物聯網設備數量不斷增多伴隨網路攻擊事件頻發，成為全球網路安全態勢惡化的主要推手，國家層面相關安全防范實踐行動逐漸增多，

（一）物聯網遭網路攻擊情況持續惡化

與2018年類似，2019年，物聯網仍是惡意軟體攻擊的主要目標，大量聯網設備形成僵尸網路被用于實施分布式拒絕服務（DDoS）攻擊或在地下市場作為網路攻擊工具被交易，成為物聯網發展程序中帶來的主要網路安全問題，物聯網遭受網路攻擊引發安全事故的主要誘因，依然是物聯網設備部署量增加而設備生產廠商忽視安全漏洞問題，用戶依賴設備默認密碼、不及時更新軟體等因素，

與2018年不同的是，物聯網設備在2019年遭受網路攻擊的嚴重程度進一步惡化，俄羅斯網路安全公司卡巴斯基通過蜜罐實驗監測發現，2018年上半年有1200萬次針對物聯網設備的攻擊，而2019年同期攻擊數量飆升至1.05億次，涉及27.6萬個不同的IP地址，其中用于制造僵尸網路的Mirai及其變體是物聯網攻擊中最常見的惡意軟體，占所有感染案例的39%，

芬蘭網路安全公司F-Secure在其蜜罐實驗中也有類似發現，此外，有網路安全業內人士指出，勒索軟體攻擊終將蔓延至物聯網領域，物聯網遭受的網路攻擊將更具針對性，安全態勢加劇惡化，其中醫療物聯網首當其沖，預計黑客以遠程關停患者治療儀器為由要挾醫院迅速支付贖金的惡性事件將很快成為現實，

（二）多國實踐維護物聯網安全作業

2019年，物聯網安全正式成為全球網路安全作業的重中之重，多國將不安全的物聯網設備列為重點考量的網路安全威脅之一，積極實踐維護物聯網安全相關作業，

1. 物聯網安全相關檔案陸續出臺，成為物聯網安全發展的重要指引，

2019年，國外政府和標準組織側重于制定物聯網安全相關基礎框架和技術指南，美國的物聯網安全監管政策依然走在全球前列，繼加州出臺世界上首部針對物聯網設備的網路安全法規之后，眾議院通過《物聯網網路安全改進法案》，NIST發布《物聯網網路安全和隱私風險管理指南》，以幫助政府和企業更好管理聯網設備安全，

日本針對物聯網設備的安全標準和技術標準合格認證制定相關指南并征求意見，歐洲電信標準協會（ETSI）參考英國政府提案，發布了第一個消費類物聯網安全標準，為未來物聯網認證方案的制定奠定基礎，我國則重視物聯網安全監管及技術保障體系建設，2019年7月1日起正式實施的五項物聯網相關安全技術國家標準，針對物聯網安全參考模型、感知終端應用安全、資料傳輸等方面予以規范，成為我國物聯網安全作業的劃時代里程碑，

2. 美日重視利用技術手段維護戰場物聯網和民用物聯網安全，

隨著物聯網應用在軍事領域的不斷延伸，美國率先提出戰場物聯網（IoBT）的概念，認為創建IoBT有助于一個國家在國防領域取得相對于競爭對手的決定性優勢，近年來，一項由美國國防部創立的“合規連接”（C2C）物聯網安全管理系統陸續在美國海軍、海軍陸戰隊及國防部部分機構部署，但尚未覆寫所有軍事部門，

2019年，美國智庫學者建議，美國國會應下大力氣繼續敦促國防部早日全面部署C2C系統，以抵御日益先進的網路敵人，

在維護民用物聯網安全方面，日本則“先下手為強”，嘗試依托技術測驗維護家庭和企業物聯網安全，2019年2月起，日本國家資訊通信技術研究所（NICT）根據相關法律，與互聯網服務提供商及地方政府合作，利用默認或易于猜測的密碼登錄等方式針對日本約2億臺物聯網設備進行“滲透測驗”，引發廣泛關注，