|
文│ 中国互联网协会 申涛林
党的十九届五中全会在《中共中央关于制定百姓经济和社会发展第十四个五年规划和二〇三五年远景目的的意见》中知道提出,要“坚定守护国家政权安全、制度安全、认识形态安全,全面加强网络安全保证体系和能力建设”,并将其纳入国家安全体系和能力建设范畴,充分表现了其对国家安全的重要性。可以看出,该意见明显制度机制和体系能力建设,彰显了系统思维、目的导向、问题导向,有助于精细处理当前面临的焦点、难点、痛点,对实现网络综合治理体系现代化、守护网络空间安全、建设网络强国拥有重要道理。
1、聚焦制度体系建设,强化治理效能,实现从“制度管理”到“制度管用” 的转变
网络安全保证体系是管网治网的综合体系,包含系列法律法规、制度机制、流程规范等。网络安全保证能力,既包含技术实力,又包含治理能力,是全方位能力建设。战略政策和法律法规,是体系和能力建设的有机构成及重要表现。近年来,我国加快推进网络空间行业的顶层设计步伐,全面加强网络安全制度体系建设,颁布了《国家网络空间安全战略》《网络空间国际合作战略》等战略文件,出台了国家安全法、网络安全法、电子商务法等法律法规,实施了网络安全审查等多项制度,完善了网络安全危害评定等关联机制,基本形成为了顶层清晰、目的知道、框架完善、机制健全的制度体系,初步构建起了我国在网络空间的“四梁八柱”。
与党的十九大提出的“构建系统完备、科学规范、运行有效的制度体系”需求相比,仍有不少现实课题摆在面前。一是怎样充分发挥现有法律法规的功效,激发其治理效能,形成联动效应、打造整体合力。二是怎样进一步细化既有规定需求,保证有效执行、落实落细。三是怎样发挥好网络安全工作责任制的抓手功效,经过健全责任机制将制度规范有机融合。四是怎样进一步完善法律法规,加快重点行业和关键化环节立法,打通治理“盲点”。
在这方面,能够借鉴国外经过健全完善制度体系、发挥整体效能、带动能力提高的经验做法。英国政府于 2020 年 11 月向议会提出《国家安全与投资法案》(National Security and Investment Bill),针对人工智能、量子技术等 17 个重点行业,创立投资审查机制,对必定比例的所有权或掌控权的收购行径,进行强制性备案和预先审批。为细化机制流程,2020 年 9 月,美国国土安所有网络安全及基本设备安全局颁布了强制命令(Binding Operational Directive),需求所有联邦公司须颁布漏洞披露政策,并注明披露范围、报送途径、响应时间、可否匿名等细则,做为对此前漏洞披露政策的细化落地,推动构建起更加有效的漏洞披露体系。
安身我国实质,要科学把握体系和能力的辩证关系。一是充分依托现有的战略、法律、法规、政策、制度、规范,在严格执行、落地实施的基本上,做好配套衔接,形成规范合力。二是针对各界关注的数据安全、信息守护、关键信息基本设备防护等焦点问题,推动关键信息基本设备安全守护、数据安全管理、个人信息出境安全评定等关联行业规章制度的立法进程。三是用好责任抓手,进一步优化网络安全管理体制和协调机制,将网络安全工作责任制落实落细到各个环节,形成明责、履责、尽责、追责的闭环链条,加强对责任落实的监督检测,保证各项需求落实落细。
2、聚焦关键信息基本设备安全,强化协同共享,实现从“重点守护”到“一体防护”的转变
关键信息基本设备是网络安全防护的重中之重。我国高度注重关键信息基本设备防护,推进网络安全等级守护制度,创立健全关键信息基本设备防护责任体系,连续开展网络安全检测,加强区别地区、行业、分部的信息共享,提高威胁感知和危害应对,推动关键信息基本设备保证体系持续完善。然而,现有的防护水平和能力,还不足以完全有效应对持续变化的形势以及日趋繁杂的威胁,危害防范和能力不足之间的矛盾依然存在。
当前,产业数字化发展趋势使关键信息基本设备面临的安全危害进一步加剧。关键信息基本设备网络化程度加快, “联网”“上云”引起安全危害更加多元繁杂。加之其多触及电力、金融、能源等关键行业,一旦显现安全问题,将对实体经济社会导致连带消极影响。按照国家互联网应急中心 2020 年 9 月公研发布的《上半年我国互联网网络安全监测数据分析报告》数据,2020 年 1 月至 6 月,境内工业掌控系统的网络资产,连续遭受来自境外扫描嗅探,日均超过 2 万次,触及境内能源、制造、通信等多个重点行业。另外,我国大型工业云平台连续遭受境外网络攻击,平均攻击次数每日达 114 次,同比提升 27%。
西方国家在关键信息基本设备防护方面,将创立信息共享机制、加强协同应对,做为提高防护能力、健全防护体系的重要途径。美国历届政府发布的网络安全战略、政策、立法,都会开辟专门章节阐述共享协同的重要性。英国、澳大利亚、加拿大、日本等国亦在本国的网络安全战略中,强调加强信息共享,一起抵御网络安全危害。2020 年 7 月,欧盟宣布组织欧盟警察局、军队和私营企业打造联合创新中心,创立协调机制,以一起应对网络安全威胁。美国为吸引关键企业参与安全项目,推出网络安全保险刺激办法,在接受政府安全守护的基本上一起抵御网络安全危害,当这些企业遭遇攻击时,政府将供给相应赔偿。
对此,我国应着力强化关键信息基本设备防护体系和能力建设,持续提高防范危害挑战的能力。一是加强信息共享,创立有效的安全信息共享机制,打造数据共享平台,将关联漏洞、危害、政策、知识等信息纳入其中,加强发掘安全危害隐患和监测、预警等能力。二是加强协同联动,强化关键信息基本设备在跨地区、跨行业、跨行业之间的协同,探索打造互联互通的预警平台,定时开展网络安全检测,明保证护范围和对象,创立一体化、全链条的保证体系。三是加强处置应对,持续加强监测、预警能力,制定完善的应急处置预案,组织开展防范网络安全事件处置模拟演练,定时开展网络脆弱性评定,着力提高网络安全应急处置能力。
3、聚焦重要数据资源管理和应用,强化精细识别,实现从“摸清去向”到“管理流向”的转变
随着数据做为战略资源和生产要素的重要性日益凸显,我国对数据的有效运用和科学管理的步伐持续推进,尤其是在重要数据守护和利用、个人信息安全防护等方面,连续创立健全法律法规,加强监督执法力度,深入开展专项行动,持续构建防护体系,全面提高技术监管能力,推动我国重要数据和个人信息的守护能力得到明显提高,为数字经济的健康发展供给了坚实的基本和有力的保证。
然则,伴同 5G、大数据、云计算、人工智能等广泛应用,与数据资源相伴的数据安全问题更加不容小觑。近年来,网络运营者数据危害监测和防护能力虽然有所提高,然则包括海量用户敏锐信息和行业数据的大规模数据泄密事件仍然多发,违法售卖数据案件层出不穷,暗网已然作为数据违法交易的重要途径。
在数据守护方面,美国和有些欧洲国家进行了有益的实践,重点围绕平衡好数据流动和信息安全之间的关系、健全制度规范、形成治理合力的思路,经过完善公司人员设置、加大违法打击力度、严格保证用户权益、做好潜在危害应对等措施,构建起较为完备的数据安全保证体系。例如,德国政府指出,欧盟《通用数据守护条例》是保证数据安全的重要文件,对此应持续完善本国的数据守护法律法规,重点强化大数据场景下的安全防护。同期,借助信息通信技术手段,综合运用加密传输等方式,保证数据资源的安全可控,并加快本土化数据中心建设,逐步推广本地化存储。英国政府于 2020年 9月发布《国家数据战略》(NationalData Strategy), 提出“四大支柱”和“五大任务”,为怎样更好利用数据、加强数据安全保证供给了依据。2020 年 12 月,新西兰政府新修订的《隐私法》(PrivacyAct)生效。该法新增了跨境数据传输规则,需求向海外传输用户个人信息的本国企业和组织遵守新的规定。
对此,我国应进一步加强重要数据资源的利用和安全守护,重点强化跨境数据流动的监管,同期做好大数据场景下的个人信息守护。一是创立健全数据安全管理体制机制,加强对大数据中心、云服务中心的安全管理,定时对重点网络和信息系统开展网络数据安全评定和检测,连续强化对数据泄密、窃取等行径的监测发掘能力。二是严厉打击对个人信息的违法盗取、收集、买卖、转移等行径,强化网络安全认识和技能教育,严格对网络运营者和服务商的监管,健全完善对个人用户的信息获取机制,完善个人信息安全危害侵害举报机制。三是加强数据跨境流动监管,从国家层面完善数据出境安全评定管理体系,开展重要数据和个人信息出境安全评定,强化对数据流动的识别分析,提高标准化、规范化程度。
4、聚焦安全防护能力提高,强化整体感知,实现从“有力处置”到“有效预防”的转变
近年来,我国网络空间防护能力持续提高,监测、预警、处置、响应等能力明显加强,应对网络安全重大事件的水平持续加强,尤其是重点环节、关键行业、重要设备的安全防护更加坚固,在守护网络空间安全、保证百姓合法权益方面发挥了巨大的功效,为筑牢网络安全屏障供给了有力的支撑和坚实的保证。然而,现有的安全保证能力,在应对繁杂叠加的网络安全危害方面还存在短板,面对西方大国先发制人的战略优良,还缺少主动性,尤其是针对网络安全态势的整体感知、针对重大事件的联动处置、针对重要威胁的积极防范,还存在必定薄弱环节。
西方发达国家在网络安全能力建设方面,将其与体系建设融合推进,集中力量强化关键能力攻关,以点带面推动整体能力水平的加强。一是态势感知能力。2020 年 8 月,澳大利亚发布新版《网络安全战略》(Cyber Security Strategy 2020),提出经过网络威胁共享平台分享恶意网络活动情报,帮忙关键基本设备运营商加强态势感知能力。二是危害防范能力。在 2020年美国大选过程中,为保证选举顺利进行,美国政府召集数百名网络安全专家构成工作组,全天候开展网络安全保证,并随时共享关联信息。三是应急处置能力。美国在《加强关键基本设备网络安全框架》(Frameworkfor Improving Critical Infrastructure Cybersecurity)中,从识别、守护、侦测、响应和恢复五个层面,制定了美国关键信息基本设备的网络空间安全防护体系框架,从“初始级”“危害预警级”“可重复级”和“自适应级”四个层级,描述企业网络安全危害管理的推进过程。四是快速恢复能力。英国政府宣布,在全国范围内设立由警方、私营公司、学术分部构成的网络弹性中心,帮忙中小企业打击网络犯罪,处理网络安全问题。
对此,我国应连续推进网络安全保证能力建设,一是以构建重要平台为依托,加快整合关联手段、机制、资源,强化整体协同、统一协调、融合赋能的能力。二是强化重点能力突破,以面向新型未知威胁、大规模网络安全事件的监测预警做为重点,着力提高网络安全威胁态势感知能力。三是连续加强网络安全事件应急处置能力,定时开展网络安全应急演练,着力强化应急响应、事件分析、跟踪溯源、快速恢复的能力。
5、聚焦技术应用危害防范,强化创新攻关,实现从“安全应用”到“积极利用”的转变
随着我国在关键技术行业的投入持续加大,实现了部分技术和应用从跟跑、并跑再到领跑的跃进,有些行业的关键技术实现了新的突破,核心自主掌控程度、创新驱动发展能力得到明显提高,创新型国家步伐明显加快,我国正在从技术大国向技术强国迈进。
然则,我国面临的技术危害依然不容忽略。一是与西方发达国家相比,核心技术依然面临受制于人的被动局面。日前,我国关键信息基本设备的重要系统,面临核心硬件多为外商巨头制造、自主可控水平较低、安全防护能力严重不足、网络接入掌控不严格、网络守护依赖国外厂商等问题。二是因为 5G、IPv6、区块链、卫星互联网、人工智能等新技术新应用本身快速发展,使“未知”远远大于“已知”,衍生出新的安全危害,给现有技术手段和监管机制带来挑战。因此呢,必须要从技术能力和制度规范两方面同步发力,既要做好危害防范,亦要做到为我所用。
在技术创新和危害防范行业,国外关联措施值得借鉴。一是开展关键技术攻关。针对前沿技术开发,美国政府在 2020 年宣叫作,已然投资 7500 万美元资金,起步 3 个量子科研所,加强在量子计算行业的领导地位。2020 年 10 月,美国白宫发布《国家关键与新兴技术战略》(National Strategy for Critical and EmergingTechnology),围绕促进国家安全创新基本和守护技术优良两大目的,确定包含人工智能在内的 20 项关键技术名单。二是加强对新技术新应用危害的防范。2020年 7 月,美国参议院提出《合法获取加密数据法案》(Lawful Access to Encrypted Data),需求科技机构向执法分部供给拜访加密用户数据的权限,旨在禁止犯罪分子试图利用加密技术逃避制裁。三是充分借助新技术提高安全防范能力。2020 年 10 月,新加坡计算机协会(SCS)发布《人工智能伦理与治理指点手册》(AIEthics & Governance Body of Knowledge),经过吸收人工智能应用的关联案例,考察技术有效利用和构建安全生态的潜能。
为此,应着力做到以下几点:一是加强核心技术攻关, 加大基本科研投入力度,处理“卡脖子”的问题。同期,要集中优良资源力量,着力解决一批技术困难,形成一批“杀手锏”技术。二是做好新技术新应用的危害防范,加强前瞻性战略谋划,健全对新技术新应用网络安全危害评定的标准规范体系建设,加强对人工智能、区块链等新兴技术的监测评定。三是发展网络安全产业,加强统一规划和整体布局,完善支持网络安全企业发展的政策办法,减轻企业包袱,激发企业活力,培育一批拥有核心竞争力的安全企业。
(本文刊登于《中国信息安全》杂志2021年第1期)
| 
发表于 2024-8-30 23:58:27