全面加强网络安全保障体系和能力建设 切实维护网络空间安全

全面加强网络安全保障体系和能力建设 切实维护网络空间安全

文│ 中国互联网协会 申涛林

党的十九届五中全会在《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中明确提出,要“坚定维护国家政权安全、制度安全、意识形态安全,全面加强网络安全保障体系和能力建设”,并将其纳入国家安全体系和能力建设范畴,充分体现了其对国家安全的重要性。可以看出,该建议突出制度机制和体系能力建设,彰显了系统思维、目标导向、问题导向,有助于精准解决当前面临的焦点、难点、痛点,对实现网络综合治理体系现代化、维护网络空间安全、建设网络强国具有重要意义。

一、聚焦制度体系建设,强化治理效能,实现从“制度管理”到“制度管用” 的转变

网络安全保障体系是管网治网的综合体系,包括系列法律法规、制度机制、流程规范等。网络安全保障能力,既包括技术实力,又包括治理能力,是全方位能力建设。战略政策和法律法规,是体系和能力建设的有机组成及重要体现。近年来,我国加快推进网络空间领域的顶层设计步伐,全面加强网络安全制度体系建设,颁布了《国家网络空间安全战略》《网络空间国际合作战略》等战略文件,出台了国家安全法、网络安全法、电子商务法等法律法规,实施了网络安全审查等多项制度,完善了网络安全风险评估等相关机制,基本形成了顶层清晰、目标明确、框架完善、机制健全的制度体系,初步构建起了我国在网络空间的“四梁八柱”。

与党的十九大提出的“构建系统完备、科学规范、运行有效的制度体系”要求相比,仍有不少现实课题摆在面前。一是如何充分发挥现有法律法规的作用,激发其治理效能,形成联动效应、打造整体合力。二是如何进一步细化既有规定要求,确保有效执行、落实落细。三是如何发挥好网络安全工作责任制的抓手作用,通过健全责任机制将制度规范有机融合。四是如何进一步完善法律法规,加快重点领域和关键化环节立法,打通治理“盲点”。

在这方面,可以借鉴国外通过健全完善制度体系、发挥整体效能、带动能力提升的经验做法。英国政府于 2020 年 11 月向议会提出《国家安全与投资法案》(National Security and Investment Bill),针对人工智能、量子技术等 17 个重点行业,建立投资审查机制,对一定比例的所有权或控制权的收购行为,进行强制性备案和预先审批。为细化机制流程,2020 年 9 月,美国国土安全部网络安全及基础设施安全局颁布了强制命令(Binding Operational Directive),要求所有联邦机构须公布漏洞披露政策,并注明披露范围、报送渠道、响应时间、可否匿名等细则,作为对此前漏洞披露政策的细化落地,推动构建起更加高效的漏洞披露体系。

立足我国实际,要科学把握体系和能力的辩证关系。一是充分依托现有的战略、法律、法规、政策、制度、规范,在严格执行、落地实施的基础上,做好配套衔接,形成规范合力。二是针对各界关注的数据安全、信息保护、关键信息基础设施防护等焦点问题,推动关键信息基础设施安全保护、数据安全管理、个人信息出境安全评估等相关领域规章制度的立法进程。三是用好责任抓手,进一步优化网络安全管理体制和协调机制,将网络安全工作责任制落实落细到各个环节,形成明责、履责、尽责、追责的闭环链条,加强对责任落实的监督检查,确保各项要求落实落细。

二、聚焦关键信息基础设施安全,强化协同共享,实现从“重点保护”到“一体防护”的转变

关键信息基础设施是网络安全防护的重中之重。我国高度重视关键信息基础设施防护,推进网络安全等级保护制度,建立健全关键信息基础设施防护责任体系,持续开展网络安全检查,加强不同地区、行业、部门的信息共享,提升威胁感知和风险应对,推动关键信息基础设施保障体系不断完善。然而,现有的防护水平和能力,还不足以完全有效应对不断变化的形势以及日趋复杂的威胁,风险防范和能力不足之间的矛盾依然存在。

当前,产业数字化发展趋势使关键信息基础设施面临的安全风险进一步加剧。关键信息基础设施网络化程度加快, “联网”“上云”导致安全风险更加多元复杂。加之其多涉及电力、金融、能源等关键领域,一旦出现安全问题,将对实体经济社会造成连带负面影响。根据国家互联网应急中心 2020 年 9 月公开发布的《上半年我国互联网网络安全监测数据分析报告》数据,2020 年 1 月至 6 月,境内工业控制系统的网络资产,持续遭受来自境外扫描嗅探,日均超过 2 万次,涉及境内能源、制造、通信等多个重点行业。此外,我国大型工业云平台持续遭受境外网络攻击,平均攻击次数每日达 114 次,同比上升 27%。

西方国家在关键信息基础设施防护方面,将建立信息共享机制、加强协同应对,作为提升防护能力、健全防护体系的重要途径。美国历届政府发布的网络安全战略、政策、立法,都会开辟专门章节阐述共享协同的重要性。英国、澳大利亚、加拿大、日本等国也在本国的网络安全战略中,强调加强信息共享,共同抵御网络安全风险。2020 年 7 月,欧盟宣布组织欧盟警察局、军队和私营企业打造联合创新中心,建立协调机制,以共同应对网络安全威胁。美国为吸引关键企业参与安全项目,推出网络安全保险刺激措施,在接受政府安全保护的基础上共同抵御网络安全风险,当这些企业遭遇攻击时,政府将提供相应补偿。

对此,我国应着力强化关键信息基础设施防护体系和能力建设,不断提升防范风险挑战的能力。一是加强信息共享,建立有效的安全信息共享机制,打造数据共享平台,将相关漏洞、风险、政策、知识等信息纳入其中,提高发现安全风险隐患和监测、预警等能力。二是加强协同联动,强化关键信息基础设施在跨地区、跨行业、跨领域之间的协同,探索打造互联互通的预警平台,定期开展网络安全检查,明确保护范围和对象,建立一体化、全链条的保障体系。三是加强处置应对,不断提高监测、预警能力,制定完善的应急处置预案,组织开展防范网络安全事件处置模拟演练,定期开展网络脆弱性评估,着力提升网络安全应急处置能力。

三、聚焦重要数据资源管理和应用,强化精准识别,实现从“摸清去向”到“管理流向”的转变

随着数据作为战略资源和生产要素的重要性日益凸显,我国对数据的有效使用和科学管理的步伐不断推进,特别是在重要数据保护和利用、个人信息安全防护等方面,持续建立健全法律法规,加强监督执法力度,深入开展专项行动,不断构建防护体系,全面提升技术监管能力,推动我国重要数据和个人信息的保护能力得到显著提升,为数字经济的健康发展提供了坚实的基础和有力的保障。

但是,伴随 5G、大数据、云计算、人工智能等广泛应用,与数据资源相伴的数据安全问题更加不容小觑。近年来,网络运营者数据风险监测和防护能力虽然有所提升,但是包含大量用户敏感信息和行业数据的大规模数据泄露事件仍然多发,非法售卖数据案件层出不穷,暗网已经成为数据非法交易的重要渠道。

在数据保护方面,美国和一些欧洲国家进行了有益的实践,重点围绕平衡好数据流动和信息安全之间的关系、健全制度规范、形成治理合力的思路,通过完善机构人员设置、加大违法打击力度、严格保障用户权益、做好潜在风险应对等举措,构建起较为完备的数据安全保障体系。例如,德国政府指出,欧盟《通用数据保护条例》是确保数据安全的重要文件,对此应不断完善本国的数据保护法律法规,重点强化大数据场景下的安全防护。同时,借助信息通信技术手段,综合运用加密传输等方式,确保数据资源的安全可控,并加快本土化数据中心建设,逐步推广本地化存储。英国政府于 2020年 9月发布《国家数据战略》(NationalData Strategy), 提出“四大支柱”和“五大任务”,为如何更好利用数据、加强数据安全保障提供了依据。2020 年 12 月,新西兰政府新修订的《隐私法》(PrivacyAct)生效。该法新增了跨境数据传输规则,要求向海外传输用户个人信息的本国企业和组织遵守新的规定。

对此,我国应进一步加强重要数据资源的利用和安全保护,重点强化跨境数据流动的监管,同时做好大数据场景下的个人信息保护。一是建立健全数据安全管理体制机制,加强对大数据中心、云服务中心的安全管理,定期对重点网络和信息系统开展网络数据安全评估和检查,持续强化对数据泄露、窃取等行为的监测发现能力。二是严厉打击对个人信息的非法盗取、收集、买卖、转移等行为,强化网络安全意识和技能教育,严格对网络运营者和服务商的监管,健全完善对个人用户的信息获取机制,完善个人信息安全风险侵害举报机制。三是加强数据跨境流动监管,从国家层面完善数据出境安全评估管理体系,开展重要数据和个人信息出境安全评估,强化对数据流动的识别分析,提升标准化、规范化程度。

四、聚焦安全防护能力提升,强化整体感知,实现从“有力处置”到“有效预防”的转变

近年来,我国网络空间防护能力不断提升,监测、预警、处置、响应等能力显著增强,应对网络安全重大事件的水平不断提高,尤其是重点环节、关键领域、重要设施的安全防护更加坚固,在维护网络空间安全、保障公民合法权益方面发挥了巨大的作用,为筑牢网络安全屏障提供了有力的支撑和坚实的保障。然而,现有的安全保障能力,在应对复杂叠加的网络安全风险方面还存在短板,面对西方大国先发制人的战略优势,还缺少主动性,特别是对于网络安全态势的整体感知、对于重大事件的联动处置、对于重要威胁的积极防范,还存在一定薄弱环节。

西方发达国家在网络安全能力建设方面,将其与体系建设融合推进,集中力量强化关键能力攻关,以点带面推动整体能力水平的提高。一是态势感知能力。2020 年 8 月,澳大利亚发布新版《网络安全战略》(Cyber Security Strategy 2020),提出通过网络威胁共享平台分享恶意网络活动情报,帮助关键基础设施运营商增强态势感知能力。二是风险防范能力。在 2020年美国大选过程中,为保障选举顺利进行,美国政府召集数百名网络安全专家组成工作组,全天候开展网络安全保障,并随时共享相关信息。三是应急处置能力。美国在《增强关键基础设施网络安全框架》(Frameworkfor Improving Critical Infrastructure Cybersecurity)中,从识别、保护、侦测、响应和恢复五个层面,制定了美国关键信息基础设施的网络空间安全防护体系框架,从“初始级”“风险预警级”“可重复级”和“自适应级”四个层级,描述企业网络安全风险管理的推进过程。四是快速恢复能力。英国政府宣布,在全国范围内设立由警方、私营机构、学术部门组成的网络弹性中心,帮助中小企业打击网络犯罪,解决网络安全问题。

对此,我国应持续推进网络安全保障能力建设,一是以构建重要平台为依托,加快整合相关手段、机制、资源,强化整体协同、统筹协调、融合赋能的能力。二是强化重点能力突破,以面向新型未知威胁、大规模网络安全事件的监测预警作为重点,着力提升网络安全威胁态势感知能力。三是持续提高网络安全事件应急处置能力,定期开展网络安全应急演练,着力强化应急响应、事件分析、追踪溯源、快速恢复的能力。

五、聚焦技术应用风险防范,强化创新攻关,实现从“安全应用”到“积极利用”的转变

随着我国在关键技术领域的投入不断加大,实现了部分技术和应用从跟跑、并跑再到领跑的跃进,一些领域的关键技术实现了新的突破,核心自主掌控程度、创新驱动发展能力得到显著提升,创新型国家步伐显著加快,我国正在从技术大国向技术强国迈进。

但是,我国面临的技术风险依然不容忽视。一是与西方发达国家相比,核心技术依然面临受制于人的被动局面。目前,我国关键信息基础设施的重要系统,面临核心硬件多为外商巨头制造、自主可控水平较低、安全防护能力严重不足、网络接入控制不严格、网络维护依赖国外厂商等问题。二是由于 5G、IPv6、区块链、卫星互联网、人工智能等新技术新应用本身快速发展,使“未知”远远大于“已知”,衍生出新的安全风险,给现有技术手段和监管机制带来挑战。因此,必须要从技术能力和制度规范两方面同步发力,既要做好风险防范,也要做到为我所用。

在技术创新和风险防范领域,国外相关举措值得借鉴。一是开展关键技术攻关。针对前沿技术研发,美国政府在 2020 年宣称,已经投资 7500 万美元资金,启动 3 个量子研究所,加强在量子计算行业的领导地位。2020 年 10 月,美国白宫发布《国家关键与新兴技术战略》(National Strategy for Critical and EmergingTechnology),围绕促进国家安全创新基础和保护技术优势两大目标,确定包括人工智能在内的 20 项关键技术清单。二是加强对新技术新应用风险的防范。2020年 7 月,美国参议院提出《合法获取加密数据法案》(Lawful Access to Encrypted Data),要求科技公司向执法部门提供访问加密用户数据的权限,旨在禁止犯罪分子试图利用加密技术逃避制裁。三是充分借助新技术提升安全防范能力。2020 年 10 月,新加坡计算机协会(SCS)发布《人工智能伦理与治理指导手册》(AIEthics & Governance Body of Knowledge),通过吸收人工智能应用的相关案例,考察技术有效利用和构建安全生态的潜力。

为此,应着力做到以下几点:一是加强核心技术攻关, 加大基础研究投入力度,解决“卡脖子”的问题。同时,要集中优势资源力量,着力攻克一批技术难题,形成一批“杀手锏”技术。二是做好新技术新应用的风险防范,加强前瞻性战略谋划,健全对新技术新应用网络安全风险评估的标准规范体系建设,提高对人工智能、区块链等新兴技术的监测评估。三是发展网络安全产业,加强统筹规划和整体布局,完善支持网络安全企业发展的政策措施,减轻企业负担,激发企业活力,培育一批具有核心竞争力的安全企业。

(本文刊登于《中国信息安全》杂志2021年第1期)

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注