文│ 中國互聯網協會 申濤林
黨的十九屆五中全會在《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》中明確提出,要“堅定維護國家政權安全、制度安全、意識形態安全,全面加強網絡安全保障體系和能力建設”,並將其納入國家安全體系和能力建設範疇,充分體現了其對國家安全的重要性。可以看出,該建議突出制度機制和體系能力建設,彰顯了系統思維、目標導向、問題導向,有助于精准解決當前面臨的焦點、難點、痛點,對實現網絡綜合治理體系現代化、維護網絡空間安全、建設網絡強國具有重要意義。
一、聚焦制度體系建設,強化治理效能,實現從“制度管理”到“制度管用” 的轉變
網絡安全保障體系是管網治網的綜合體系,包括系列法律法規、制度機制、流程規範等。網絡安全保障能力,既包括技術實力,又包括治理能力,是全方位能力建設。戰略政策和法律法規,是體系和能力建設的有機組成及重要體現。近年來,我國加快推進網絡空間領域的頂層設計步伐,全面加強網絡安全制度體系建設,頒布了《國家網絡空間安全戰略》《網絡空間國際合作戰略》等戰略文件,出台了國家安全法、網絡安全法、電子商務法等法律法規,實施了網絡安全審查等多項制度,完善了網絡安全風險評估等相關機制,基本形成了頂層清晰、目標明確、框架完善、機制健全的制度體系,初步構建起了我國在網絡空間的“四梁八柱”。
與黨的十九大提出的“構建系統完備、科學規範、運行有效的制度體系”要求相比,仍有不少現實課題擺在面前。一是如何充分發揮現有法律法規的作用,激發其治理效能,形成聯動效應、打造整體合力。二是如何進一步細化既有規定要求,確保有效執行、落實落細。三是如何發揮好網絡安全工作責任制的抓手作用,通過健全責任機制將制度規範有機融合。四是如何進一步完善法律法規,加快重點領域和關鍵化環節立法,打通治理“盲點”。
在這方面,可以借鑒國外通過健全完善制度體系、發揮整體效能、帶動能力提升的經驗做法。英國政府于 2020 年 11 月向議會提出《國家安全與投資法案》(National Security and Investment Bill),針對人工智能、量子技術等 17 個重點行業,建立投資審查機制,對一定比例的所有權或控制權的收購行爲,進行強制性備案和預先審批。爲細化機制流程,2020 年 9 月,美國國土安全部網絡安全及基礎設施安全局頒布了強制命令(Binding Operational Directive),要求所有聯邦機構須公布漏洞披露政策,並注明披露範圍、報送渠道、響應時間、可否匿名等細則,作爲對此前漏洞披露政策的細化落地,推動構建起更加高效的漏洞披露體系。
立足我國實際,要科學把握體系和能力的辯證關系。一是充分依托現有的戰略、法律、法規、政策、制度、規範,在嚴格執行、落地實施的基礎上,做好配套銜接,形成規範合力。二是針對各界關注的數據安全、信息保護、關鍵信息基礎設施防護等焦點問題,推動關鍵信息基礎設施安全保護、數據安全管理、個人信息出境安全評估等相關領域規章制度的立法進程。三是用好責任抓手,進一步優化網絡安全管理體制和協調機制,將網絡安全工作責任制落實落細到各個環節,形成明責、履責、盡責、追責的閉環鏈條,加強對責任落實的監督檢查,確保各項要求落實落細。
二、聚焦關鍵信息基礎設施安全,強化協同共享,實現從“重點保護”到“一體防護”的轉變
關鍵信息基礎設施是網絡安全防護的重中之重。我國高度重視關鍵信息基礎設施防護,推進網絡安全等級保護制度,建立健全關鍵信息基礎設施防護責任體系,持續開展網絡安全檢查,加強不同地區、行業、部門的信息共享,提升威脅感知和風險應對,推動關鍵信息基礎設施保障體系不斷完善。然而,現有的防護水平和能力,還不足以完全有效應對不斷變化的形勢以及日趨複雜的威脅,風險防範和能力不足之間的矛盾依然存在。
當前,産業數字化發展趨勢使關鍵信息基礎設施面臨的安全風險進一步加劇。關鍵信息基礎設施網絡化程度加快, “聯網”“上雲”導致安全風險更加多元複雜。加之其多涉及電力、金融、能源等關鍵領域,一旦出現安全問題,將對實體經濟社會造成連帶負面影響。根據國家互聯網應急中心 2020 年 9 月公開發布的《上半年我國互聯網網絡安全監測數據分析報告》數據,2020 年 1 月至 6 月,境內工業控制系統的網絡資産,持續遭受來自境外掃描嗅探,日均超過 2 萬次,涉及境內能源、制造、通信等多個重點行業。此外,我國大型工業雲平台持續遭受境外網絡攻擊,平均攻擊次數每日達 114 次,同比上升 27%。
西方國家在關鍵信息基礎設施防護方面,將建立信息共享機制、加強協同應對,作爲提升防護能力、健全防護體系的重要途徑。美國曆屆政府發布的網絡安全戰略、政策、立法,都會開辟專門章節闡述共享協同的重要性。英國、澳大利亞、加拿大、日本等國也在本國的網絡安全戰略中,強調加強信息共享,共同抵禦網絡安全風險。2020 年 7 月,歐盟宣布組織歐盟警察局、軍隊和私營企業打造聯合創新中心,建立協調機制,以共同應對網絡安全威脅。美國爲吸引關鍵企業參與安全項目,推出網絡安全保險刺激措施,在接受政府安全保護的基礎上共同抵禦網絡安全風險,當這些企業遭遇攻擊時,政府將提供相應補償。
對此,我國應著力強化關鍵信息基礎設施防護體系和能力建設,不斷提升防範風險挑戰的能力。一是加強信息共享,建立有效的安全信息共享機制,打造數據共享平台,將相關漏洞、風險、政策、知識等信息納入其中,提高發現安全風險隱患和監測、預警等能力。二是加強協同聯動,強化關鍵信息基礎設施在跨地區、跨行業、跨領域之間的協同,探索打造互聯互通的預警平台,定期開展網絡安全檢查,明確保護範圍和對象,建立一體化、全鏈條的保障體系。三是加強處置應對,不斷提高監測、預警能力,制定完善的應急處置預案,組織開展防範網絡安全事件處置模擬演練,定期開展網絡脆弱性評估,著力提升網絡安全應急處置能力。
三、聚焦重要數據資源管理和應用,強化精准識別,實現從“摸清去向”到“管理流向”的轉變
隨著數據作爲戰略資源和生産要素的重要性日益凸顯,我國對數據的有效使用和科學管理的步伐不斷推進,特別是在重要數據保護和利用、個人信息安全防護等方面,持續建立健全法律法規,加強監督執法力度,深入開展專項行動,不斷構建防護體系,全面提升技術監管能力,推動我國重要數據和個人信息的保護能力得到顯著提升,爲數字經濟的健康發展提供了堅實的基礎和有力的保障。
但是,伴隨 5G、大數據、雲計算、人工智能等廣泛應用,與數據資源相伴的數據安全問題更加不容小觑。近年來,網絡運營者數據風險監測和防護能力雖然有所提升,但是包含大量用戶敏感信息和行業數據的大規模數據泄露事件仍然多發,非法售賣數據案件層出不窮,暗網已經成爲數據非法交易的重要渠道。
在數據保護方面,美國和一些歐洲國家進行了有益的實踐,重點圍繞平衡好數據流動和信息安全之間的關系、健全制度規範、形成治理合力的思路,通過完善機構人員設置、加大違法打擊力度、嚴格保障用戶權益、做好潛在風險應對等舉措,構建起較爲完備的數據安全保障體系。例如,德國政府指出,歐盟《通用數據保護條例》是確保數據安全的重要文件,對此應不斷完善本國的數據保護法律法規,重點強化大數據場景下的安全防護。同時,借助信息通信技術手段,綜合運用加密傳輸等方式,確保數據資源的安全可控,並加快本土化數據中心建設,逐步推廣本地化存儲。英國政府于 2020年 9月發布《國家數據戰略》(NationalData Strategy), 提出“四大支柱”和“五大任務”,爲如何更好利用數據、加強數據安全保障提供了依據。2020 年 12 月,新西蘭政府新修訂的《隱私法》(PrivacyAct)生效。該法新增了跨境數據傳輸規則,要求向海外傳輸用戶個人信息的本國企業和組織遵守新的規定。
對此,我國應進一步加強重要數據資源的利用和安全保護,重點強化跨境數據流動的監管,同時做好大數據場景下的個人信息保護。一是建立健全數據安全管理體制機制,加強對大數據中心、雲服務中心的安全管理,定期對重點網絡和信息系統開展網絡數據安全評估和檢查,持續強化對數據泄露、竊取等行爲的監測發現能力。二是嚴厲打擊對個人信息的非法盜取、收集、買賣、轉移等行爲,強化網絡安全意識和技能教育,嚴格對網絡運營者和服務商的監管,健全完善對個人用戶的信息獲取機制,完善個人信息安全風險侵害舉報機制。三是加強數據跨境流動監管,從國家層面完善數據出境安全評估管理體系,開展重要數據和個人信息出境安全評估,強化對數據流動的識別分析,提升標准化、規範化程度。
四、聚焦安全防護能力提升,強化整體感知,實現從“有力處置”到“有效預防”的轉變
近年來,我國網絡空間防護能力不斷提升,監測、預警、處置、響應等能力顯著增強,應對網絡安全重大事件的水平不斷提高,尤其是重點環節、關鍵領域、重要設施的安全防護更加堅固,在維護網絡空間安全、保障公民合法權益方面發揮了巨大的作用,爲築牢網絡安全屏障提供了有力的支撐和堅實的保障。然而,現有的安全保障能力,在應對複雜疊加的網絡安全風險方面還存在短板,面對西方大國先發制人的戰略優勢,還缺少主動性,特別是對于網絡安全態勢的整體感知、對于重大事件的聯動處置、對于重要威脅的積極防範,還存在一定薄弱環節。
西方發達國家在網絡安全能力建設方面,將其與體系建設融合推進,集中力量強化關鍵能力攻關,以點帶面推動整體能力水平的提高。一是態勢感知能力。2020 年 8 月,澳大利亞發布新版《網絡安全戰略》(Cyber Security Strategy 2020),提出通過網絡威脅共享平台分享惡意網絡活動情報,幫助關鍵基礎設施運營商增強態勢感知能力。二是風險防範能力。在 2020年美國大選過程中,爲保障選舉順利進行,美國政府召集數百名網絡安全專家組成工作組,全天候開展網絡安全保障,並隨時共享相關信息。三是應急處置能力。美國在《增強關鍵基礎設施網絡安全框架》(Frameworkfor Improving Critical Infrastructure Cybersecurity)中,從識別、保護、偵測、響應和恢複五個層面,制定了美國關鍵信息基礎設施的網絡空間安全防護體系框架,從“初始級”“風險預警級”“可重複級”和“自適應級”四個層級,描述企業網絡安全風險管理的推進過程。四是快速恢複能力。英國政府宣布,在全國範圍內設立由警方、私營機構、學術部門組成的網絡彈性中心,幫助中小企業打擊網絡犯罪,解決網絡安全問題。
對此,我國應持續推進網絡安全保障能力建設,一是以構建重要平台爲依托,加快整合相關手段、機制、資源,強化整體協同、統籌協調、融合賦能的能力。二是強化重點能力突破,以面向新型未知威脅、大規模網絡安全事件的監測預警作爲重點,著力提升網絡安全威脅態勢感知能力。三是持續提高網絡安全事件應急處置能力,定期開展網絡安全應急演練,著力強化應急響應、事件分析、追蹤溯源、快速恢複的能力。
五、聚焦技術應用風險防範,強化創新攻關,實現從“安全應用”到“積極利用”的轉變
隨著我國在關鍵技術領域的投入不斷加大,實現了部分技術和應用從跟跑、並跑再到領跑的躍進,一些領域的關鍵技術實現了新的突破,核心自主掌控程度、創新驅動發展能力得到顯著提升,創新型國家步伐顯著加快,我國正在從技術大國向技術強國邁進。
但是,我國面臨的技術風險依然不容忽視。一是與西方發達國家相比,核心技術依然面臨受制于人的被動局面。目前,我國關鍵信息基礎設施的重要系統,面臨核心硬件多爲外商巨頭制造、自主可控水平較低、安全防護能力嚴重不足、網絡接入控制不嚴格、網絡維護依賴國外廠商等問題。二是由于 5G、IPv6、區塊鏈、衛星互聯網、人工智能等新技術新應用本身快速發展,使“未知”遠遠大于“已知”,衍生出新的安全風險,給現有技術手段和監管機制帶來挑戰。因此,必須要從技術能力和制度規範兩方面同步發力,既要做好風險防範,也要做到爲我所用。
在技術創新和風險防範領域,國外相關舉措值得借鑒。一是開展關鍵技術攻關。針對前沿技術研發,美國政府在 2020 年宣稱,已經投資 7500 萬美元資金,啓動 3 個量子研究所,加強在量子計算行業的領導地位。2020 年 10 月,美國白宮發布《國家關鍵與新興技術戰略》(National Strategy for Critical and EmergingTechnology),圍繞促進國家安全創新基礎和保護技術優勢兩大目標,確定包括人工智能在內的 20 項關鍵技術清單。二是加強對新技術新應用風險的防範。2020年 7 月,美國參議院提出《合法獲取加密數據法案》(Lawful Access to Encrypted Data),要求科技公司向執法部門提供訪問加密用戶數據的權限,旨在禁止犯罪分子試圖利用加密技術逃避制裁。三是充分借助新技術提升安全防範能力。2020 年 10 月,新加坡計算機協會(SCS)發布《人工智能倫理與治理指導手冊》(AIEthics & Governance Body of Knowledge),通過吸收人工智能應用的相關案例,考察技術有效利用和構建安全生態的潛力。
爲此,應著力做到以下幾點:一是加強核心技術攻關, 加大基礎研究投入力度,解決“卡脖子”的問題。同時,要集中優勢資源力量,著力攻克一批技術難題,形成一批“殺手锏”技術。二是做好新技術新應用的風險防範,加強前瞻性戰略謀劃,健全對新技術新應用網絡安全風險評估的標准規範體系建設,提高對人工智能、區塊鏈等新興技術的監測評估。三是發展網絡安全産業,加強統籌規劃和整體布局,完善支持網絡安全企業發展的政策措施,減輕企業負擔,激發企業活力,培育一批具有核心競爭力的安全企業。
(本文刊登于《中國信息安全》雜志2021年第1期)