三、网络安全

网络安全是国家安全体系的重要组成部分。2020年，全球网络安全形势仍十分严峻，不仅蓝牙、Wi-Fi、Linux系统和安卓系统等被广泛使用的软/硬件设备安全漏洞频出，而且爆发了大规模个人信息与商业数据泄露和违规使用事件，对社会民生、经济发展和国家稳定造成了严重危害。

（一）网络攻防与软/硬件安全

电子硬件设备和软件系统早已扩展至国家生产、生活和社会治理的方方面面，由软/硬件安全造成的威胁基本覆盖每个民众和每个社会场景，从软/硬件安全问题引申的漏洞攻击和网络攻击手段也将其触角延伸至各维度。同时，新型攻击手段的不断诞生，也给2020年的网络安全技术带来新的挑战。

1. 美国得克萨斯大学达拉斯分校提出网络防御新方法，可为黑客设置陷阱

2020年2月，美国得克萨斯大学达拉斯分校（The University of Texas at Dallas，UTD）的研究人员提出网络防御新方法DEEP-Dig，可为黑客设置陷阱，从而获取黑客攻击的模式和手段，以改进防御方法。该方法可将黑客引诱至诱饵网站，待黑客对诱饵网站进行攻击后获取黑客活动记录。随后，人工智能将对相关数据进行分析和学习，从而生成更优化的防御方法。

2. 美国密歇根州立大学发现使用超声波操纵语音助手的新方法

2020年3月，美国密歇根州立大学（Michigan State University，MSU）的研究人员发现使用超声波破解Siri、谷歌助手等语音助手的新方法，可借助桌面传递超声波振动激活语音助手，进而入侵用户设备。当用户手机等移动设备放置于陌生环境的木材、金属和玻璃等硬质桌面时，黑客可以以桌面为传导介质，发射含有语音助手唤醒词的超声波，以激活语音助手。此后，黑客可继续发送包含指令的超声波对手机进行操控，完成拨打电话、打开应用程序等操作。而这些过程无法被人耳听见，即使手机放在身旁也可能由于疏忽而无法及时制止。

由于市面上常见的语音助手尚无声纹识别功能，无法通过声纹识别用户身份，从而无法有效避免语音助手被操控。研究人员建议，在陌生环境临时放置移动设备时，可在设备下垫放织物等软质物体来吸收振动，以防止超声波振动干扰，避免语音助手被入侵。

3. 以色列本·古里安大学证明黑客可利用计算机电源装置发送声波信号，将未联网计算机的数据外传

2020年5月，以色列本·古里安大学（Ben-Gurion University of the Negev）的研究人员通过一项研究证明，黑客可利用计算机电源装置发送声波信号，将未联网计算机的数据外传。该项技术被命名为POWER-SUPPLaY，其中的恶意软件可控制计算机电源装置的开关频率，从而让电源中的变压器和电容器发出声音信号。为验证该种窃取手段的可操作性，研究人员将未联网且无扬声器的计算机中存储的数据转换为二进制编码，并借助电源装置将编码的音频信息发送至用于窃听的手机，成功获取了数据。实验传输距离最大可达6米。

POWER-SUPPLaY技术的主要特点是不需要任何计算机系统的权限即可操纵电源装置的频率，这大幅提升了作案的隐秘程度。然而实施入侵的过程较为复杂，且受距离和环境噪声的影响较大。研究人员建议，通过实施严格的电子设备隔离管理规范，将联网设备与涉密计算机隔离，可在一定程度上预防POWER-SUPPLaY入侵的威胁。

4. 美国佛罗里达国际大学研究人员发现黑客可以利用比特币的闪电网络进行网络攻击

2020年5月，美国佛罗里达国际大学（Florida International University）的研究人员发现，黑客可以利用比特币的闪电网络进行网络攻击。比特币开发者在2017年推出了闪电网络，以帮助用户更快、更高效地在全球范围内进行交易。而佛罗里达国际大学的研究人员发现，黑客可利用闪电网络“脱链记录”的特点控制僵尸网络，以进行拒绝服务（DoS）攻击、信息或身份盗用和垃圾邮件等恶意活动。研究人员表示，目前仅能通过关闭闪电网络功能和破坏僵尸网络两种方法杜绝此类威胁。

5. 以色列研究人员展示新的侧信道攻击方法，可通过灯泡振动进行实时窃听

2020年6月，以色列本·古里安大学和魏茨曼科学研究所（Weizmann Institute of Science）的研究人员展示了一种新的侧信道攻击方法Lamphone，可通过灯泡的振动进行实时窃听。Lamphone的原理是利用光电传感器分析灯泡对声音频率的响应，通过测量声波撞击灯泡时产生的微小光波动，逆向推算声波中传递的具体信息。与分析声波对桌子等固体的振动影响的类似攻击不同，Lamphone攻击不需要入侵其附近的电子设备，且可以在较远距离进行实时窃听。

在Lamphone验证实验中，研究人员在户外架设望远镜和光电传感器，成功破译在相距25米的室内播放的音频。这种方式所获得的音频质量较高，可用于语音识别分析。而整套实验设备的价值不到1000美元。研究人员表示，希望该实验能提高人们对窃听的认识，帮助人们提高安全意识。

6. 美国Treck公司的网络协议软件库存在漏洞，波及全球数亿台物联网设备

2020年6月，以色列网络公司JSOF研究人员发现美国Treck公司开发的TCP/IP（传输控制协议/网际协议）软件库中存在19个安全漏洞，波及全球数亿台物联网设备。这些漏洞集中在一个20世纪90年代设计的小型软件库中，统称为Ripple20漏洞。在20余年的时间里，该库广泛集成至惠普（HP）、施耐德电气（Schneider Electric）、英特尔、罗克韦尔自动化（Rockwell Automation）、卡特彼勒（Caterpillar，CAT）、百特（Baxter）等公司的企业和消费者产品中，涉及智能家居设备、电网设备、医疗保健系统、工业设备、运输系统、打印机、路由器、移动卫星通信设备和数据中心设备等，全球共计数亿台设备受到该漏洞的影响。

7. 安卓手机多个重要漏洞影响全球10亿部设备

2020年8月，美国Check Point安全公司发现安卓手机普遍存在数个高危漏洞，或将全球10亿部手机暴露于黑客攻击的风险下。该公司在高通公司出品的骁龙手机芯片中检测到400个漏洞，并发现这些漏洞几乎存在于所有安卓手机中。Check Point公司指出，由于手机数字信号处理器（DSP）芯片通常受到制造商的严格保护，因此开发商无法对其缺陷进行严格审查，进而导致DSP芯片存在漏洞，易受到黑客攻击。高通公司表示，没有证据表明这些漏洞正在被利用，但其敦促客户及时更新安全补丁，并仅从受信任的来源安装软件。

8. 全球数十亿台电子设备或受BLESA蓝牙安全漏洞的影响

2020年9月，美国普渡大学（Purdue University）的研究人员表示，全球数十亿台智能手机、平板电脑和物联网设备正面临BLESA（Bluetooth Low Energy Spoofing Attack）漏洞的攻击风险。该漏洞来源于“低功耗蓝牙”（Bluetooth Low Energy，BLE）协议，在正常情况下，两台BLE设备在重新连接后应该检查彼此的密钥。但普渡大学研究人员发现，官方的BLE规范未对重新连接的过程有充足的描述，因此存在以下问题：设备重新连接期间的身份验证是可选的，而不是强制的；若用户的设备未能强制物联网设备对所通信的数据进行身份认证，则可能会绕过认证。鉴于此，在重连期间，BLE设备附近的攻击者可以绕过重新连接验证，并向BLE设备发送欺骗数据，诱导使用者和自动化流程做出错误决定。虽然厂商可以通过发布补丁来修复漏洞，但研究团队认为受该漏洞影响的设备有数十亿台，补丁难以完全覆盖。其中，有一些早期的设备并未内置更新机制，这意味着这些设备将永远无法修补BLESA漏洞。

（二）数据安全与加密技术

数据是信息时代发展的重要基础资源，网络技术、存储技术和数据处理分析技术的共同进步推动了数据规模的爆发式增长，也造成了数据生成、传输和处理等过程中的收集、窃取和泄露等问题，规范数据处理流程、强化数据加密技术、保障数据安全变得愈加重要。

1. 德国安全公司Greenbone Networks报告，全球超10亿张个人医学图像暴露在互联网上

2020年1月，德国安全公司Greenbone Networks报告，全球范围内有超10亿张个人医疗图像暴露在互联网上，其中约一半属于美国患者。所暴露的图像包括X射线、超声波及CT扫描图。Greenbone Networks公司在2019年对网络上暴露的医疗图像信息进行持续监控，发现截至2019年9月，全球有超过2400万例患者检查的7.2亿张医学图像在网络上曝光；截至2019年11月，共有3500例患者检查的11.9亿张医学图像泄露。同时，患者姓名、出生日期和诊断信息等隐私信息随图像一起被泄露。Greenbone Networks公司已向多家医疗机构发出提醒，但泄露的数据仍在不断增加。若无进一步保护措施，不法分子或将利用这些信息实施诈骗。

2. 微软公司数据库漏洞导致2.5亿条客户服务记录暴露

2020年1月，英国Comparitech公司研究人员发现微软公司数据库存在重大漏洞，使得2.5亿条客户服务记录暴露。相关记录包含全球2005—2019年间，微软支持服务与全球各地用户之间的对话记录，包括用户邮件地址、IP地址、地理位置等信息。相关文件注释显示，此类记录为微软内部机密。Comparitech公司研究人员向微软报告相关情况后，微软公司在24小时内修复了服务器漏洞。

3. 泰国通信运营商AIS公司数据库暴露，83亿条互联网记录遭泄露

2020年5月，美国网络安全公司CloudFlare研究人员贾斯汀·潘恩（Justin Paine）发现泰国通信运营商AIS公司数据库在网络上公开暴露，83亿条互联网记录遭泄露。潘恩于2020年5月初在网络上发现一个无须密码即可访问的ElasticSearch数据库，并确认该数据库属于泰国最大的通信运营商AIS公司。该数据库储存有大量用户数据，包括域名系统（DNS）查询记录和NetFlow网络监测数据，且任何人都可以通过分析其中的数据绘制出用户画像。潘恩向泰国国家计算机紧急响应小组（ThaiCERT）通知了该事件。随后，AIS公司公开确认拥有该数据库，对数据库采取了保护措施，并为该安全漏洞道歉。

4. 日本东京理科大学开发出新的单点登录算法

2020年6月，日本东京理科大学（Tokyo University of Science）研究人员开发出新的单点登录（SSO）算法，可为网络账户提供更高级的隐私保护。单点登录方案允许网络用户仅凭借一个登录信息通过多个身份验证，其优点是使用便捷，但这种登录方案存在着数据传输至第三方及数据本地保存的安全隐患。在东京理科大学研究人员开发的SSO算法中，登录服务中涉及的各方都交换加密的消息，但不会交换解密密钥。因此，这种方式不会向服务提供商披露用户的身份和个人敏感信息，从而降低了科技公司或其他第三方获取个人信息的风险。

5. 美国国家标准技术研究院公布后量子密码第3轮竞赛15种入围算法名单

2020年7月，美国国家标准与技术研究院公布后量子密码第3轮竞赛15种入围算法名单。一旦大规模容错型量子计算机研发成功，很有可能彻底破解基于第一代公钥密码算法（RSA/ECC）的各种网络安全协议，威胁信息安全。为此，NIST于2016年开始面向全球征集具备抵御量子计算机攻击能力的新一代公钥加密算法，并收到69份初始方案。此次公布的15种算法分为候选和备选两组，这些密码算法以多种方式保护信息，如通过创建数字签名来证明电子文档的真实性，将有望保护未来的密码免遭量子计算破解攻击。NIST将允许研究团队进一步完善和更新公布的算法，并预计在2022年发布后量子密码的初始标准。

6. 英特尔为轻量级设备创造抗量子密钥算法

2020年10月，英特尔公司开发出基于比特翻转密钥封装技术（BIKE）的抗量子密码算法改进版本，可以在构成物联网的智能家居和工业机器等轻量级设备上运行，使其能够抵抗量子计算机的密码破解攻击。英特尔研究人员在新版BIKE算法中运用了一种硬件加速器，使BIKE算法可以在性能较弱的硬件上高效运行，实现主机和轻量设备间的量子密钥交换。该成果可用于物联网设备等轻量级设备的加密通信，提升轻量设备的网络安全。英特尔已经开始与其他公司合作，开发使用新版BIKE算法的加密软件。

7. 美国一网络安全企业称2020年全球数据泄露数量超360亿条

2020年11月，美国网络安全企业Risk Based Security在其2020年第三季度数据泄露速览报告中称，2020年全球数据泄露数量已超360亿条。该报告根据全球各类公开信息、报告和新闻报道汇编而成，其中汇总的数据来源于网络攻击、服务器配置错误等事件导致的信息泄露。报告称，第三季度共有6次公开的严重数据泄露事件，共泄露80亿条数据，占全年泄露数据总数的22%以上；医疗行业受网络攻击影响最大，遭遇的入侵事件占入侵事件总数的11.5%。