轉(zhuǎn)眼間�����,2021 年已過大半��?�;仡?2021 年上半年����,新冠疫情的影響還未消退���,網(wǎng)絡(luò)攻擊態(tài)勢卻愈演愈烈���。
勒索軟件為代表的安全事件頻發(fā)���。據(jù)統(tǒng)計,2021 年平均每 11 秒就發(fā)生一次勒索攻擊事件��,預(yù)計今年全球勒索軟件損失將達(dá)到 200 億美元����。5 月,美國最大燃油運輸管道公司科洛尼爾和全球最大肉類供應(yīng)商 JBS 集團遭勒索攻擊���,造成短期內(nèi)石油���、肉類供應(yīng)緊張。
數(shù)據(jù)泄露數(shù)量規(guī)模不斷擴大�����,對國家安全��、企業(yè)安全�����、民眾安全均帶來了嚴(yán)重的危害����。2021 年以來,社交巨頭LinkedIn 已經(jīng)歷了三輪大規(guī)模用戶個人資料被惡意抓取���,共計 18 億用戶數(shù)據(jù)遭泄露;4 月���,F(xiàn)acebook 超 5 億用戶信息泄露,涉及全球 106 個國家�����。
此外��,重大安全漏洞不斷涌現(xiàn)�����,涉及眾多知名廠商�。3 月,蘋果公司緊急修復(fù)遠(yuǎn)程命令執(zhí)行漏洞���,影響涉及數(shù)十億設(shè)備;4 月�����,國內(nèi)廠商小米披露了其 MIUI 系統(tǒng)的越權(quán)漏洞預(yù)警��,攻擊者可利用該漏洞獲取前臺運行進(jìn)程信息;5 月���,高通移動調(diào)制解調(diào)器 MSM 芯片被曝存在安全漏洞����,影響全球 40% 手機����。
2021 年網(wǎng)絡(luò)安全進(jìn)入新階段:安全事件頻發(fā)、影響日益嚴(yán)重��,促使多國競相出臺加強網(wǎng)絡(luò)安全建設(shè)的政策���、法律和規(guī)劃���。
本文梳理全球主要國家在 2021 年上半年發(fā)布的政策法規(guī)�����,從國家戰(zhàn)略����、新興技術(shù)��、數(shù)字治理����、供應(yīng)鏈安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護等角度�����,展示全球網(wǎng)絡(luò)安全發(fā)展態(tài)勢��。
一�、多國出臺國家網(wǎng)絡(luò)安全戰(zhàn)略,占據(jù)網(wǎng)絡(luò)空間競爭優(yōu)勢
2021 年上半年�����,美國���、歐盟��、英國����、俄羅斯、日本等國紛紛出臺國家安全總體戰(zhàn)略�,重點加強網(wǎng)絡(luò)安全頂層規(guī)劃建設(shè),力圖在全球網(wǎng)絡(luò)空間激烈競爭局勢中占得先機���。
1. 美國將網(wǎng)絡(luò)安全列為國家優(yōu)先級別
隨著年初美國總統(tǒng)拜登正式上任���,加之近期出現(xiàn)的一系列重大安全事件,美國政府加緊出臺新版國家安全總體戰(zhàn)略�,并提出將網(wǎng)絡(luò)安全列為國家安全首位。
2021 年 3 月��,美國白宮發(fā)布《國家安全戰(zhàn)略臨時指南》����,作為拜登政府發(fā)布的第一份全面應(yīng)對國際國內(nèi)局勢的政策指導(dǎo)文件,該指南提出加強美國在網(wǎng)絡(luò)空間中的能力和彈性����。通過鼓勵公私合作、加大資金投資�����、加強國際合作��、制定網(wǎng)絡(luò)空間全球規(guī)范���、追求網(wǎng)絡(luò)攻擊責(zé)任���、增加網(wǎng)絡(luò)攻擊成本等方式保護美國網(wǎng)絡(luò)安全,同時特別強調(diào)國家網(wǎng)絡(luò)人才庫多樣化的重要性�����。
2021 年 5 月�,美國總統(tǒng)拜登簽署發(fā)布了《改善國家網(wǎng)絡(luò)安全行政令》,旨在從保護聯(lián)邦網(wǎng)絡(luò)�����、改善美國政府與私營部門間信息共享以及增強美國對安全事件響應(yīng)能力等方面��,提高國家網(wǎng)絡(luò)安全防御能力����。美國政府將通過推動聯(lián)邦政府采用零信任架構(gòu)、改善軟件供應(yīng)鏈安全��、建立網(wǎng)絡(luò)安全審查委員會以及提升漏洞和事件處置能力等措施,實現(xiàn)網(wǎng)絡(luò)安全現(xiàn)代化的目標(biāo)��。
2021 年 6 月��,美國國會參議院高票通過了《2021美國創(chuàng)新和競爭法案》��,該法案主要由 1 個撥款方案和4 個相互獨立的法案構(gòu)成���,涉及芯片�、5G���、航空航天�����、網(wǎng)絡(luò)安全及人工智能���、醫(yī)學(xué)研究、美國制造等多個領(lǐng)域��,相關(guān)投資額約 2500 億美元�����,包括:向半導(dǎo)體制造業(yè)補貼逾 500 億美元;向美國國家科學(xué)基金會(NSF)撥款810 億美元,用于人工智能�����、計算機技術(shù)等 10 個重點領(lǐng)域研究;向 5G 行業(yè)提供 15 億美元以鼓勵技術(shù)創(chuàng)新等���。
2. 歐盟制定數(shù)字十年的網(wǎng)絡(luò)安全戰(zhàn)略
歐盟在“戰(zhàn)略自主”的框架下全面提出數(shù)字主權(quán)建設(shè),并計劃圍繞這一整體戰(zhàn)略出臺一系列政策法規(guī)����。未來十年,歐盟將通過大力發(fā)展數(shù)字技術(shù)和數(shù)字基礎(chǔ)設(shè)施�,推進(jìn)全球網(wǎng)絡(luò)空間開放合作。
2021 年 3 月���,歐盟委員會發(fā)布《關(guān)于歐盟數(shù)字十年網(wǎng)絡(luò)安全戰(zhàn)略的結(jié)論》文件��。該戰(zhàn)略于 2020 年 12 月底發(fā)布�����,旨在增強歐洲抵御網(wǎng)絡(luò)威脅的能力�����,并指出未來歐盟主要行動包括建立歐盟安全運營中心網(wǎng)絡(luò)計劃;明確歐盟網(wǎng)絡(luò)安全危機管理框架;加強與國際組織和伙伴國家的合作��,以增強網(wǎng)絡(luò)威脅形勢的共識等�����。
2021 年 3 月�,歐盟委員會發(fā)布《2030 數(shù)字指南針:歐洲數(shù)字十年之路》報告,明確了到 2030 年���,歐洲數(shù)字化轉(zhuǎn)型的目標(biāo)和實現(xiàn)途徑�����。報告制定了包括提升公民數(shù)字素養(yǎng)���、建立安全和可持續(xù)的數(shù)字基礎(chǔ)設(shè)施、推動企業(yè)數(shù)字化轉(zhuǎn)型���、促進(jìn)公共服務(wù)數(shù)字化在內(nèi)的四大類目標(biāo)���。為落實歐盟總體數(shù)字計劃中的部分規(guī)定,歐盟委員會于2021 年 6 月提出歐盟數(shù)字身份框架計劃���,敦促成員國為歐盟所有公民設(shè)立數(shù)字身份檔案系統(tǒng)����,提供數(shù)字身份錢包。
3. 英國制定戰(zhàn)略重塑國家網(wǎng)絡(luò)安全愿景
在面對新冠疫情�、地緣政治與脫歐等多重挑戰(zhàn)的背景下,英國政府制定“全球英國”的戰(zhàn)略規(guī)劃愿景���,并提出總體目標(biāo),將網(wǎng)絡(luò)安全列為英國目前面臨的核心問題��。
2021 年 3 月���,英國政府正式發(fā)布《競爭時代的全球英國:安全��、國防�、發(fā)展與外交政策綜合評估》報告����,該報告提出四項總體目標(biāo):一是通過科學(xué)和技術(shù)來維持戰(zhàn)略優(yōu)勢;二是塑造未來的開放國際秩序;三是加強國內(nèi)外的安全與防御;四是在國內(nèi)外建立彈性。
根據(jù)報告顯示����,英國即將發(fā)布 2021 年新版網(wǎng)絡(luò)戰(zhàn)略��。該戰(zhàn)略明確了五大優(yōu)先事項:一是加強英國的網(wǎng)絡(luò)生態(tài)系統(tǒng)����,采取一種整體的網(wǎng)絡(luò)方法����,并加深政府、學(xué)術(shù)界和業(yè)界之間的合作伙伴關(guān)系;二是建立一個彈性和繁榮的“數(shù)字英國”�����,使民眾在網(wǎng)絡(luò)中感到安全��,并對個人數(shù)據(jù)受到保護充滿信心;三是引領(lǐng)對網(wǎng)絡(luò)力量至關(guān)重要的技術(shù)�����,包括微處理器���、安全系統(tǒng)設(shè)計�����、量子技術(shù)和新形式數(shù)據(jù)傳輸?shù)?四是與其他政府和業(yè)界合作��,并利用英國在網(wǎng)絡(luò)安全方面的思想領(lǐng)導(dǎo)力���,促進(jìn)自由��、開放��、和平與安全的網(wǎng)絡(luò)空間;五是發(fā)現(xiàn)��、破壞和威懾英國的對手���。
4. 俄羅斯新版國家戰(zhàn)略中新增信息安全保障
2021 年 7 月�,俄羅斯總統(tǒng)普京簽署新版《國家安全戰(zhàn)略》。此戰(zhàn)略由俄羅斯聯(lián)邦安全會議制定��,是國家安全保障領(lǐng)域的最高層次指導(dǎo)文件��。俄羅斯《國家安全戰(zhàn)略》每六年更新修訂一次�����,與 2015 年底頒布的上一版戰(zhàn)略相比�,新版戰(zhàn)略首次加入信息安全章節(jié),體現(xiàn)了俄羅斯對于網(wǎng)絡(luò)信息安全的重視程度日益增加。
新版《戰(zhàn)略》主要分析了當(dāng)前全球和俄羅斯的發(fā)展態(tài)勢及安全環(huán)境���,提出了國家和社會安全�����、信息安全�����、科學(xué)技術(shù)發(fā)展等九個國家戰(zhàn)略性優(yōu)先事項�����,并明確了各優(yōu)先事項框架下的形勢��、目標(biāo)與任務(wù)���。
在信息安全領(lǐng)域,該戰(zhàn)略明確反對他國運用信息通信技術(shù)對俄羅斯實施網(wǎng)絡(luò)攻擊�����、情報偵察�,防止運用互聯(lián)網(wǎng)散布不利于俄羅斯政治局勢穩(wěn)定的不實信息等,提出包括加強電子數(shù)據(jù)管理系統(tǒng)防護、建立信息安全威脅預(yù)警系統(tǒng)����、應(yīng)用人工智能技術(shù)和量子計算等先進(jìn)技術(shù)改進(jìn)信息安全保障方法等 16 項任務(wù)。
5. 日本發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)對復(fù)雜安全形勢
為應(yīng)對日益嚴(yán)峻的數(shù)字化威脅以及東京奧運會網(wǎng)絡(luò)安全挑戰(zhàn)����,日本發(fā)布一系列網(wǎng)絡(luò)安全戰(zhàn)略文件。2021 年5 月���,日本內(nèi)閣秘書處內(nèi)閣網(wǎng)絡(luò)安全中心(NISC)發(fā)布《下一代網(wǎng)絡(luò)安全戰(zhàn)略綱要》《網(wǎng)絡(luò)安全研發(fā)戰(zhàn)略(修訂版)》
《網(wǎng)絡(luò)安全委員會倡議》等多份有關(guān)網(wǎng)絡(luò)安全的政策文件�,進(jìn)一步推進(jìn)數(shù)字社會建設(shè)����,構(gòu)建網(wǎng)絡(luò)防御體系,以建立自由安全的公共網(wǎng)絡(luò)空間����。
2021 年 7 月����,日本發(fā)布新版《網(wǎng)絡(luò)安全戰(zhàn)略》草案并征求公眾意見,戰(zhàn)略草案確定了實施有關(guān)網(wǎng)絡(luò)安全措施的五項基本原則��,確保信息的自由傳播、法治�����、開放性��、自主性和多方合作�。戰(zhàn)略草案指出,為確?�!白杂?��、公平和安全的網(wǎng)絡(luò)空間”��,應(yīng)從以下三個方向推進(jìn)相關(guān)工作:一是在數(shù)字化變革的基礎(chǔ)上�,同步推進(jìn)數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)安全;二是促進(jìn)網(wǎng)絡(luò)空間安全�����,“實現(xiàn)公民在社會能夠安全的生活”;三是從安全角度加強努力����,增強參與、協(xié)調(diào)和合作�����。
二、新興技術(shù)構(gòu)建萬物互聯(lián)���,制度建設(shè)推動安全建設(shè)
近年來�����,以 5G���、人工智能、物聯(lián)網(wǎng)等為代表的新興技術(shù)迅猛發(fā)展��,一個萬物互聯(lián)的智能時代即將誕生�����。物聯(lián)網(wǎng)正在推動人類社會從“信息化”向“智能化”轉(zhuǎn)變�����,促進(jìn)信息科技與產(chǎn)業(yè)發(fā)生巨大變化��。
在新興技術(shù)為人類社會帶來新一輪科技革命與產(chǎn)業(yè)變革的同時����,其中也蘊藏著許多網(wǎng)絡(luò)安全風(fēng)險。
縱觀全球�,各國都在加快新興技術(shù)戰(zhàn)略布局,出臺相應(yīng)政策法規(guī)���,確保智能時代的經(jīng)濟發(fā)展安全有序����。
1. 5G 建設(shè)步入高速發(fā)展期���,安全風(fēng)險引發(fā)關(guān)注
如果說 2020 年是 5G 建設(shè)之年���,那么 2021 年就是5G 高速發(fā)展之年。隨著 5G 技術(shù)的蓬勃發(fā)展���,由此引發(fā)的網(wǎng)絡(luò)安全問題成為各界關(guān)注的重點�。2021 年 2 月��,移動安全公司 AdaptiveMobile 向 GSM 協(xié)會報告了最新研究成果�����,發(fā)現(xiàn) 5G 架構(gòu)的網(wǎng)絡(luò)切片與虛擬化網(wǎng)絡(luò)功能存在安全漏洞,惡意攻擊者可能借此跨越移動運營商 5G網(wǎng)絡(luò)上的各個不同網(wǎng)絡(luò)切片���,發(fā)動數(shù)據(jù)訪問與拒絕服務(wù)攻擊��。
因此��,各國紛紛發(fā)布與 5G 安全相關(guān)的戰(zhàn)略�、政策和標(biāo)準(zhǔn)��,同時加大資金投入�����,致力于建立一個完善的 5G發(fā)展體系�。
美國方面,在 2021 年 2 月�����,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了《5G 網(wǎng)絡(luò)安全實踐指南》草案��,該指南旨在幫助使用 5G 網(wǎng)絡(luò)的組織以及網(wǎng)絡(luò)運營商和設(shè)備供應(yīng)商提高安全能力�。
2021 年 3 月,美國國際戰(zhàn)略研究中心(CSIS)發(fā)布《加速美國 5G 發(fā)展》報告����,報告提出完善電信法規(guī)以消除監(jiān)管障礙、與盟國建立網(wǎng)絡(luò)安全合作機制等 11 項具體建議��,確保美國 5G 發(fā)展能夠最大程度的降低國家安全風(fēng)險���,同時最大化經(jīng)濟回報�����。
2021 年 5 月��,美國國家情報總監(jiān)辦公室�、美國國家 安全局和國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局聯(lián)合發(fā) 布《5G 基礎(chǔ)設(shè)施潛在威脅載體報告》�����,分析了 5G 在政 策標(biāo)準(zhǔn)�����、供應(yīng)鏈���、5G 系統(tǒng)架構(gòu)三個領(lǐng)域的威脅載體�����,以 加強對 5G 應(yīng)用面臨威脅的了解���,制定全面的解決方案��。歐盟方面�����,在 2020 年 12 月�,歐盟網(wǎng)絡(luò)安全局 (ENISA)發(fā)布《5G 網(wǎng)絡(luò)威脅態(tài)勢報告》��,探討了未 來應(yīng)如何利用安全技術(shù)幫助減輕 5G 網(wǎng)絡(luò)安全風(fēng)險的措 施��,對 5G 安全生態(tài)系統(tǒng)中的利益相關(guān)方提出了創(chuàng)新性 建議���。
2021 年 3 月���,歐盟委員會在《關(guān)于歐盟數(shù)字十年網(wǎng) 絡(luò)安全戰(zhàn)略的結(jié)論》文件中要求實施并加速完成歐盟 5G 工具箱,努力確保 5G 網(wǎng)絡(luò)安全性和未來網(wǎng)絡(luò)發(fā)展���。對我國來說��,2021 年 6 月���,國家發(fā)展改革委等四部 門聯(lián)合發(fā)布《能源領(lǐng)域 5G 應(yīng)用實施方案》�����。實施方案 提出進(jìn)一步拓展能源領(lǐng)域 5G 應(yīng)用場景、加快能源領(lǐng)域 5G 專用技術(shù)研發(fā)���、加大相關(guān)基礎(chǔ)設(shè)施和安全保障能力建 設(shè)三項重點任務(wù)���。在安全保障能力建設(shè)方面,實施方案 要求構(gòu)建 5G 應(yīng)用安全保障體系���,確保 5G 融合應(yīng)用相 關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和核心系統(tǒng)安全�����。同時健全能源領(lǐng)域 5G 應(yīng)用安全技術(shù)標(biāo)準(zhǔn)���,將 5G 網(wǎng)絡(luò)安全保障納入能源領(lǐng)域 5G 應(yīng)用的全流程、全環(huán)節(jié)。
2021 年 7 月�,工信部、中央網(wǎng)絡(luò)安全和信息化委員 會辦公室等十部門聯(lián)合發(fā)布《5G 應(yīng)用“揚帆”行動計劃 (2021-2023 年)》�,旨在顯著提升我國 5G 應(yīng)用發(fā)展 水平,保護 5G 應(yīng)用安全等�����。根據(jù)行動計劃�����,提升 5G 應(yīng) 用安全的具體舉措包括以下四個方面���,一是加強 5G 應(yīng) 用安全風(fēng)險評估;二是開展 5G 應(yīng)用安全示范推廣;三 是提升 5G 應(yīng)用安全評測認(rèn)證能力;四是強化 5G 應(yīng)用安 全供給支撐服務(wù)��。
2. 人工智能引發(fā)雙重考驗�����,政策監(jiān)管仍需加強
近年來���,人工智能技術(shù)日趨成熟,應(yīng)用十分廣泛��。伴隨而來的網(wǎng)絡(luò)安全問題對現(xiàn)實生活也造成一定影響,F(xiàn)acebook 創(chuàng)始人兼 CEO 扎克伯格�����、美國前總統(tǒng)奧巴馬均遭遇過“AI 換臉”�����,引發(fā)社會廣泛關(guān)注��。目前�����,以美歐為代表的西方國家正加快出臺監(jiān)管政策��,規(guī)范人工智能領(lǐng)域發(fā)展�。
美國方面��,2021 年 3 月���,美國國家人工智能安全委員會向國會提交發(fā)展人工智能的最終建議報告�����。報告規(guī)劃了美國在人工智能時代取勝的戰(zhàn)略�����,并制定了行動路線圖�����。報告中首次提及��,中國擁有在未來 10 年超越美國成為人工智能領(lǐng)域領(lǐng)導(dǎo)者的“潛力”�����,建議美國政府在領(lǐng)導(dǎo)力���、人才�����、硬件和創(chuàng)新投資等四個方面立即采取應(yīng)對行動�����。
2021 年 7 月���,美國國土安全部科學(xué)技術(shù)局發(fā)布《人工智能與機器學(xué)習(xí)戰(zhàn)略計劃》��,提出了未來三大戰(zhàn)略目標(biāo):一是推動用于跨領(lǐng)域國土安全能力的下一代人工智能和機器學(xué)習(xí)技術(shù)發(fā)展;二是促進(jìn)在國土安全任務(wù)中使用經(jīng)過驗證的人工智能與機器學(xué)習(xí)能力;三是建立經(jīng)人工智能與機器學(xué)習(xí)技術(shù)培訓(xùn)的跨學(xué)科員工隊伍����。
歐盟方面��,2021 年 4 月���,歐盟委員會通過了《人工智能法》提案���,旨在建立關(guān)于人工智能技術(shù)的統(tǒng)一規(guī)則。提案不僅對人工智能技術(shù)在諸如汽車自動駕駛��、銀行貸款���、社會信用評分等一系列日常活動中的應(yīng)用設(shè)定了限制��,而且還對歐盟內(nèi)部的執(zhí)法系統(tǒng)和司法系統(tǒng)使用人工智能的情形提出了相應(yīng)的問題解決方案���。
2021 年 5 月��,歐洲政策研究中心(CEPS)成立的人工智能和網(wǎng)絡(luò)安全工作組���,發(fā)布了《人工智能與網(wǎng)絡(luò)安全:技術(shù)���、治理和政策挑戰(zhàn)》報告。該報告概述了人工智能在網(wǎng)絡(luò)安全領(lǐng)域的有效應(yīng)用�����,以及人工智能系統(tǒng)可能被操縱所帶來的風(fēng)險�����,并介紹了與人工智能實施相關(guān)的主要倫理影響和政策問題�。報告根據(jù)歐盟數(shù)字戰(zhàn)略的目標(biāo),提出了建設(shè)性和具體的政策建議���,以確保人工智能的安全應(yīng)用�����。
3. 物聯(lián)網(wǎng)成攻擊重災(zāi)區(qū)�����,相關(guān)政策加緊出臺
隨著萬物互聯(lián)時代的到來�����,機構(gòu)物聯(lián)網(wǎng)設(shè)備數(shù)量不斷增加�����,但缺乏對應(yīng)保護措施��,相關(guān)網(wǎng)絡(luò)攻擊事件頻發(fā)����。2021 年 3 月,特斯拉工廠攝像頭供應(yīng)商被黑�����,導(dǎo)致多家機構(gòu)共計 15 萬個監(jiān)控訪問權(quán)限被獲取�。近期���,各國政府加快出臺有關(guān)政策法規(guī)���,加強物聯(lián)網(wǎng)安全防范��。
美國方面���,在 2021 年 3 月,美國參議院與眾議院再次引入《網(wǎng)絡(luò)護盾法案》����,其中建議為物聯(lián)網(wǎng)設(shè)備創(chuàng)建一個自愿的網(wǎng)絡(luò)安全認(rèn)證計劃。該法案建議由各界網(wǎng)絡(luò)安全專家組成的咨詢委員會負(fù)責(zé)為物聯(lián)網(wǎng)設(shè)備定義一個安全標(biāo)準(zhǔn)�����。所生產(chǎn)產(chǎn)品符合這些標(biāo)準(zhǔn)的物聯(lián)網(wǎng)制造商可以將此認(rèn)證展示給公眾并打上“網(wǎng)絡(luò)護盾”標(biāo)簽���,這將有助于消費者在購買物聯(lián)網(wǎng)設(shè)備時做出決策����。
英國方面��,2021 年 4 月�����,英國數(shù)字���、文化���、傳媒和體育部(DCMS)發(fā)布了對《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全提案》征求意見稿的回復(fù)�。該提案概述了英國政府對調(diào)控物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全的意圖和政策主張�,并倡導(dǎo)通過完善立法來促進(jìn)消費者使用物聯(lián)網(wǎng)設(shè)備的安全性。根據(jù)該提案��,英國政府將制定新的監(jiān)管計劃����,以保護消費者免受不安全的物聯(lián)網(wǎng)設(shè)備的傷害。同時能夠在不影響有效性的情況下���,采取合適的方法賦予制造商一定的義務(wù)和責(zé)任�����,以實現(xiàn)對公民�、網(wǎng)絡(luò)和物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的持續(xù)性保護�。
在我國,2021 年 6 月��,工信部發(fā)布《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南》(征求意見稿)�。該指南針對車載聯(lián)網(wǎng)設(shè)備、基礎(chǔ)設(shè)施���、網(wǎng)絡(luò)通信�、數(shù)據(jù)信息�����、平臺應(yīng)用����、車聯(lián)網(wǎng)服務(wù)等關(guān)鍵環(huán)節(jié),提出覆蓋終端與設(shè)施安全��、網(wǎng)聯(lián)通信安全����、數(shù)據(jù)安全、應(yīng)用服務(wù)安全�����、安全保障與支撐等方面的技術(shù)架構(gòu)���。
2021 年 6 月�����,工信部發(fā)布《關(guān)于加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知》(征求意見稿)���,其中要求加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全�����、平臺安全�、數(shù)據(jù)安全防護���,強化安全漏洞管理�。具體包括落實企業(yè)網(wǎng)絡(luò)安全主體責(zé)任���,建立健全數(shù)據(jù)安全管理制度���,加強個人信息與重要數(shù)據(jù)保護等。
三��、數(shù)據(jù)安全成為全球關(guān)注重點���,各國加快數(shù)據(jù)治理進(jìn)程
隨著全球數(shù)字化轉(zhuǎn)型��,數(shù)據(jù)資源已經(jīng)成為數(shù)字時代的“軟黃金”�,推動國民經(jīng)濟快速發(fā)展���。與此同時�,數(shù)據(jù)泄露事件屢見不鮮��,對國家安全��、企業(yè)安全和民眾安全均帶來了嚴(yán)重的危害���。根據(jù)安全公司 Risk BasedSecurity 最近發(fā)布的《2021 年上半年數(shù)據(jù)泄露速覽報告》顯示����,2021 年上半年共有 1767 起公開報告的泄露事件�,美國報告的泄露事件數(shù)量增長了 1.5%,泄露數(shù)據(jù)總量達(dá)188 億條記錄���。
當(dāng)前����,各國都在加緊制定數(shù)字戰(zhàn)略,力求在數(shù)字化發(fā)展的浪潮中為數(shù)據(jù)安全保駕護航�����。以歐盟�、美國為代表的西方國家和組織,相繼推出較成熟且側(cè)重點不同的配套數(shù)據(jù)安全政策法規(guī)��。我國在數(shù)據(jù)安全方面也陸續(xù)推出了一系列法律法規(guī)及標(biāo)準(zhǔn)規(guī)范�����。
1. 加強數(shù)據(jù)安全頂層規(guī)劃
對歐盟來說�,其數(shù)據(jù)安全立法處于全球領(lǐng)先地位,頒布的眾多政策法規(guī)都頗具影響力�。2018 年 5 月正式實施的歐盟《通用數(shù)據(jù)保護條例》(GDPR)是全球第一部全面的隱私保護法,對各國的立法均具有啟示意義�����。2021 年 2 月��,歐盟發(fā)布的《電子隱私條例》草案���,是作為 GDPR 在電子通信領(lǐng)域的細(xì)化和補充的特別法�����,通過對數(shù)據(jù)類型的分類保護(例如區(qū)分電子通信內(nèi)容和元數(shù)據(jù))和對法人�����、自然人共同保護的方式加強和擴大了對隱私保護的力度和范圍����。
對美國來說����,其跨國信息巨頭遍布全球,數(shù)據(jù)資源為美國創(chuàng)造了巨大的利益�����,因此美國數(shù)據(jù)治理模式更偏向于利益導(dǎo)向���。美國目前尚未出臺國家層面統(tǒng)一的數(shù)據(jù)安全立法�����,大多是各州頒布的數(shù)據(jù)法案���。例如�����,美國加利福尼亞州的《加州隱私權(quán)法案》��、弗吉尼亞州的《消費者數(shù)據(jù)保護法》和科羅拉多州的《科羅拉多州隱私法案》等�����。此外���,美國政府還通過了《統(tǒng)一個人數(shù)據(jù)保護法》,該法案將成為各州數(shù)據(jù)隱私法案范本�����。
對我國來說����,隨著數(shù)據(jù)安全保護浪潮的興起和各國數(shù)據(jù)安全保護實踐的深入,我國逐步建立了以《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》為統(tǒng)領(lǐng)����,專項法律���、行政法規(guī)、部門規(guī)章為支撐��,標(biāo)準(zhǔn)規(guī)范文件為配套的制度體系��。同時�,《個人信息保護法》正式通過,進(jìn)一步完善了我國個人隱私保護法律體系���。
2. 規(guī)范數(shù)據(jù)跨境流動制度
近年來,各國都在出臺有關(guān)數(shù)據(jù)保護的法律法規(guī)����,其中大多涉及數(shù)據(jù)跨境流動的法律或政策,但不同國家的立法標(biāo)準(zhǔn)不一致�����。
歐盟以“構(gòu)筑單一數(shù)字市場”為戰(zhàn)略目標(biāo)��,按照“外嚴(yán)內(nèi)松”原則引領(lǐng)建立全球數(shù)據(jù)規(guī)則體系���。2021年6月��,歐洲數(shù)據(jù)保護委員會正式通過關(guān)于英國的充分性決定�,該決定表明未來 4 年內(nèi),英國和歐盟的個人數(shù)據(jù)可以自由合法地流動�。同月,作為對 Schrem II 案(該案廢止了美歐數(shù)據(jù)跨境轉(zhuǎn)移機制“隱私盾協(xié)議”)的回應(yīng)�,歐盟數(shù)據(jù)保護委員會正式通過兩份關(guān)于數(shù)據(jù)跨境傳輸合法性的指導(dǎo)性意見。此外�,歐盟委員會還頒布了新的關(guān)于數(shù)據(jù)跨境傳輸?shù)臉?biāo)準(zhǔn)合同條款的最終版本。
美國以維護數(shù)字競爭優(yōu)勢和強化“長臂管轄”為主旨���,構(gòu)建數(shù)據(jù)跨境流動與限制政策�����。2021 年 6 月����,美國白宮頒布《關(guān)于保護美國公民敏感數(shù)據(jù)免受外國對手侵害的行政令》���,該行政令撤銷了特朗普政府針對 TikTok 等與中國相關(guān)軟件應(yīng)用程序的限制性政策�,同時提出了一套全新的審查流程��,由美國商務(wù)部持續(xù)評估國外聯(lián)網(wǎng)軟件應(yīng)用的安全風(fēng)險。該行政令表明美國政府正逐步出臺相關(guān)法規(guī)限制本國數(shù)據(jù)跨境流動���。
我國以維護國家數(shù)據(jù)主權(quán)���、確保安全與發(fā)展并重為目的,逐步建立數(shù)據(jù)跨境流動保護體系�。首先,《數(shù)據(jù)安全法》中規(guī)定了對跨境數(shù)據(jù)實施數(shù)據(jù)安全審查制度和數(shù)據(jù)出口管制�,初步確立了我國針對數(shù)據(jù)跨境流動的基本法律框架。其次���,《個人信息保護法》中規(guī)定跨境傳輸個人信息時需要對數(shù)據(jù)進(jìn)行脫敏處理�����,同時在操作前要進(jìn)行風(fēng)險評估。最后����,新修訂的《網(wǎng)絡(luò)安全審查辦法》也增加了對數(shù)據(jù)安全方面的審查,同時要求掌握超過100 萬用戶個人信息的企業(yè)赴國外上市����,必須申報網(wǎng)絡(luò)安全審查。
可以看出��,各國數(shù)據(jù)跨境流動法律法規(guī)的主旨是在本國利益最大化的前提下合法推進(jìn)數(shù)據(jù)跨境流動。在復(fù)雜形勢下���,我國應(yīng)當(dāng)建立完善數(shù)據(jù)跨境流動保障機制�����,確保國家安全��、經(jīng)濟發(fā)展�、維護公民權(quán)益的有效協(xié)同�,真正推動我國數(shù)字經(jīng)濟的發(fā)展,維護數(shù)據(jù)主權(quán)���。
3. 個人隱私保護成為熱點
隨著新技術(shù)���、新應(yīng)用的快速發(fā)展,以人臉識別為代表的人工智能技術(shù)帶來的隱私問題持續(xù)引發(fā)全球關(guān)注��。今年 3·15 晚會���,央視曝光了不少非法采集用戶人臉信息的不良商家���,引發(fā)民眾對隱私數(shù)據(jù)的擔(dān)憂���。
生物識別數(shù)據(jù)披露的個人特征精確,且采集門檻較低�����、極易獲取����,一旦遭到泄露、篡改或非法共享�,極易帶來“身份盜竊”風(fēng)險,且正在成為攻擊者的主要目標(biāo)���。對此�,各國政府紛紛出臺相關(guān)政策���,開始規(guī)范和限制生物識別數(shù)據(jù)的使用。
在人臉識別信息保護方面����,2021 年 3 月,我國國家互聯(lián)網(wǎng)信息辦公室、公安部發(fā)布通告稱將加強對語音社交軟件和涉“深度偽造”技術(shù)的互聯(lián)網(wǎng)新技術(shù)新應(yīng)用安全評估工作���。騰訊�、阿里巴巴����、字節(jié)跳動、快手�、小米等 11 家企業(yè)因未履行安全評估程序被國家有關(guān)部門約談。2021 年 7 月�����,我國最高人民法院審委會通過的《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》也進(jìn)一步明確�����,處理人臉信息必須征得自然人同意���,不得強迫��、變相強迫同意處理其人臉信息�。
在車聯(lián)網(wǎng)數(shù)據(jù)保護方面�����,2021 年 3 月,歐盟數(shù)據(jù)保護機構(gòu)發(fā)布了《車聯(lián)網(wǎng)個人數(shù)據(jù)保護指南》���。該指南聚焦于歐洲車聯(lián)網(wǎng)個人數(shù)據(jù)保護��,并提出指紋等生物識別數(shù)據(jù)應(yīng)當(dāng)存儲在車內(nèi)���,應(yīng)當(dāng)從車聯(lián)網(wǎng)設(shè)計階段即將數(shù)據(jù)保護納入考慮等建議。我國也發(fā)布了一系列有關(guān)聯(lián)網(wǎng)汽車的數(shù)據(jù)保護制度���,2021 年 8 月����,國家互聯(lián)網(wǎng)辦公室等五部門出臺《汽車數(shù)據(jù)安全管理若干規(guī)定 ( 試行 )》;2021 年 6 月����,工信部出臺《關(guān)于加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知》(征求意見稿)。
在 APP 個人信息保護方面�����,近期我國有關(guān)機構(gòu)頒布一系列技術(shù)規(guī)范與標(biāo)準(zhǔn)文本���,旨在規(guī)范 APP 個人信息收集行為����,保障公民個人信息安全���。2021 年 3 月���,國家互聯(lián)網(wǎng)信息辦公室秘書局、工信部辦公廳����、公安部辦公廳、國家市場監(jiān)督管理總局辦公廳四部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》;2021年 4 月�����,工信部發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定(征求意見稿)》�����。
此外�,我國不同行業(yè)主管部門也針對各領(lǐng)域特點制定相應(yīng)政策法規(guī),重點保護各行業(yè)有關(guān)數(shù)據(jù)���。例如 , 交通運輸部制定《交通運輸政務(wù)數(shù)據(jù)共享管理辦法》�、國家醫(yī)療保障局制定《加強網(wǎng)絡(luò)安全和數(shù)據(jù)保護工作指導(dǎo)意見》等。
四�����、加強勒索軟件防范�����,完善供應(yīng)鏈風(fēng)險管理與關(guān)基保護制度
近年來�����,勒索軟件事件頻發(fā)�,造成的危害也愈加嚴(yán)重。近期�����,一起影響廣泛的軟件供應(yīng)鏈勒索攻擊事件引發(fā)全球關(guān)注����。美國 IT 管理軟件廠商卡西亞(Kaseya)遭遇勒索軟件攻擊,黑客組織利用一個 0day 漏洞將惡意軟件部署至卡西亞的管理系統(tǒng)�,全球上千家企業(yè)客戶超 100萬個系統(tǒng)通過軟件更新感染了勒索病毒��,而勒索團伙開出了價值 7000 萬美元的比特幣贖金�。
隨著安全防護技術(shù)的升級��,黑客開始對軟件供應(yīng)鏈及能源�、醫(yī)療等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)等薄弱環(huán)節(jié)實施攻擊��。因此�,各國紛紛出臺相關(guān)舉措以應(yīng)對此類安全威脅。
1. 積極防范勒索軟件攻擊
2021 年上半年以來��,勒索軟件攻擊十分猖獗�����,根據(jù)安全廠商 SonicWall 報告顯示���,該公司檢測到的攻擊嘗試達(dá)到 3.047 億次���,超過了 2020 年全年的攻擊總數(shù)。美國是受勒索軟件攻擊最嚴(yán)重的國家之一��,其中美國受影響較大的地區(qū)是佛羅里達(dá)州��,有 1.111 億次攻擊嘗試。美國政府近期接連出臺多項打擊勒索軟件攻擊的新舉措���。
一是出臺有關(guān)政策法規(guī)�����。2021 年 6 月�����,美國司法部提交《關(guān)于勒索軟件和數(shù)字勒索調(diào)查和案件的指導(dǎo)意見》備忘錄�����,旨在通過一系列安全指令實踐來阻止勒索軟件感染���、數(shù)據(jù)盜竊和向網(wǎng)絡(luò)犯罪集團支付巨額款項等違法行為。
二是成立打擊勒索軟件工作組����。成員包括網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)企業(yè)、政府部門���、執(zhí)法機構(gòu)�、非營利組織以及國際組織等 50 余家機構(gòu)。工作組通過公私部門合作的方式��,共同研究提出應(yīng)對勒索軟件攻擊的解決方案�����。
三是建立專門網(wǎng)站���。主要用于匯集各機構(gòu)最新勒索軟件預(yù)警信息和應(yīng)對指南。民眾也可通過該網(wǎng)站向政府報送遭受勒索軟件攻擊的情況��。
四是美國司法部實施獎勵計劃���,提供 1000 萬美元的獎金��,用于鼓勵相關(guān)機構(gòu)和個人提供具有國家背景的黑客身份或位置信息�����。
對我國來說�����,尚未出臺專門針對勒索軟件攻擊的法律法規(guī)�,更多是偏執(zhí)行層面的規(guī)章制度。2021 年 7 月����,國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布了《勒索軟件防范指南》,其中規(guī)定了防范勒索軟件要做到九要���、四不要���。包括要備份重要數(shù)據(jù)和系統(tǒng)、要設(shè)置復(fù)雜密碼并保密����、要做好身份驗證和權(quán)限管理、要制定應(yīng)急響應(yīng)預(yù)案等九項建議�����。不要點擊來源不明郵件�����、不要打開來源不可靠網(wǎng)站�����、不要安裝來源不明軟件,以及不要插拔來歷不明的存儲介質(zhì)等四項建議��。
2. 著力加強軟件供應(yīng)鏈風(fēng)險管理
根據(jù)奇安信《2021 中國軟件供應(yīng)鏈分析報告》數(shù)據(jù)顯示���,國內(nèi)企業(yè)軟件項目 100% 使用開源軟件;近 9 成軟件項目存在已知開源軟件漏洞;平均每個軟件項目存在 66 個已知開源軟件漏洞�,軟件供應(yīng)鏈安全面臨巨大風(fēng)險���。
美國在遭遇 SolarWinds 大型供應(yīng)鏈安全事件后�,緊急出臺了一系列有關(guān)供應(yīng)鏈安全的政策法規(guī)�。2021 年2 月�����,美國總統(tǒng)拜登簽署《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》行政令����,要求對半導(dǎo)體芯片等四類供應(yīng)鏈產(chǎn)品開展審查,并在一年內(nèi)完成對美國國防�、通信科技、能源等六大部門的生產(chǎn)供應(yīng)鏈進(jìn)行風(fēng)險評估�����,提出改善措施。
2021 年 4 月����,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)聯(lián)合發(fā)布《防御軟件供應(yīng)鏈攻擊》報告,描述了與軟件供應(yīng)鏈攻擊相關(guān)的信息�、關(guān)聯(lián)風(fēng)險及緩解措施。
2021 年 5 月����,美國總統(tǒng)簽署的《關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令》,要求聯(lián)邦政府采取行動確保軟件供應(yīng)鏈的安全性和完整性��,其中包括要求向政府出售的軟件必須符合基準(zhǔn)安全標(biāo)準(zhǔn)��,并引入軟件物料清單�����。
2021 年 6 月�����,美國參議院在通過的《2021 年美國創(chuàng)新和競爭法案》中也提到要推進(jìn)“彈性供應(yīng)鏈戰(zhàn)略”�����、幫助美國公司“獲得穩(wěn)定可控的全球供應(yīng)鏈”等,從而確保美國在供應(yīng)鏈安全方面的領(lǐng)導(dǎo)地位�����,減少網(wǎng)絡(luò)攻擊的產(chǎn)生���。
目前��,我國在軟件供應(yīng)鏈方面的政策法規(guī)較為缺失��,從國家和行業(yè)監(jiān)管層面來講�����,應(yīng)當(dāng)制定有關(guān)政策要求�、標(biāo)準(zhǔn)規(guī)范和實施指南��,確保我國軟件供應(yīng)鏈安全有序的發(fā)展��。
3. 加大關(guān)鍵信息基礎(chǔ)設(shè)施保護力度
美國是世界上最早意識到關(guān)鍵信息基礎(chǔ)設(shè)施重要性并出臺一系列完備政策法規(guī)的國家���,但依然面臨嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢��。最為嚴(yán)重的是美國最大燃油運輸管道公司科洛尼爾遭到網(wǎng)絡(luò)攻擊后被迫停運�,直接造成美國東海岸燃油短缺��,美國運輸安全管理局(TSA)由此宣布美國多個州進(jìn)入緊急狀態(tài)�。針對該事件,美國政府部門隨即出臺了一系列措施��。
2021 年 5 月���,美國國土安全部運輸安全管理局(TSA)發(fā)布一項關(guān)于加強管道網(wǎng)絡(luò)安全的安全指令�����,要求各管道供應(yīng)商應(yīng)及時向運輸安全管理局與網(wǎng)絡(luò)安全及基礎(chǔ)設(shè)施安全管理局上報網(wǎng)絡(luò)安全事件�,并指派一位網(wǎng)絡(luò)安全協(xié)調(diào)員,全天候待命。
2021 年 7 月��,TSA 再次發(fā)布針對關(guān)鍵管道運營者的網(wǎng)絡(luò)安全新要求的安全指令�����,該安全指令要求 TSA 指定的關(guān)鍵管道的所有者和運營商實施具體的緩解措施�����,以防止勒索軟件攻擊和對信息技術(shù)和運營技術(shù)系統(tǒng)的其他已知威脅�����,制定并實施網(wǎng)絡(luò)安全應(yīng)急和恢復(fù)計劃��,并進(jìn)行網(wǎng)絡(luò)安全架構(gòu)設(shè)計審查����。
此外,美國政府還采取建立網(wǎng)絡(luò)安全審查委員會���、啟動針對關(guān)鍵基礎(chǔ)設(shè)施保護的試點項目等措施���,保障關(guān)鍵基礎(chǔ)設(shè)施的安全,如電力行業(yè)網(wǎng)絡(luò)安全“百日計劃”等�����。
我國正加速推進(jìn)以《網(wǎng)絡(luò)安全法》為核心的關(guān)鍵信息基礎(chǔ)設(shè)施保護法律體系建設(shè)�。近日��,國務(wù)院頒布出臺《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱《條例》)��,這是我國首部專門針對關(guān)基安全保護工作的行政法規(guī),開啟了我國網(wǎng)絡(luò)安全工作的新篇章��。
《條例》對《網(wǎng)絡(luò)安全法》所確立的關(guān)基安全保護制度作了進(jìn)一步細(xì)化完善�����,明確了國家網(wǎng)信部門��、國務(wù)院公安部門以及重要行業(yè)和領(lǐng)域的主管部門��、監(jiān)督管理部門等相關(guān)職能部門的責(zé)任邊界和職責(zé)要求����,明確了關(guān)基認(rèn)定原則和認(rèn)定機制,細(xì)化了運營者的主體責(zé)任和義務(wù)�,形成了關(guān)基安全保護工作相關(guān)各方的法律責(zé)任體系。
此外�,漏洞管理也屬于關(guān)鍵信息基礎(chǔ)設(shè)施保護的重要組成部分。2021 年 7 月�����,工信部���、國家互聯(lián)網(wǎng)信息辦公室���、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》��,其中明確了網(wǎng)絡(luò)產(chǎn)品提供者����、網(wǎng)絡(luò)運營者��,以及從事漏洞發(fā)現(xiàn)��、收集����、發(fā)布等活動的各類主體的責(zé)任和義務(wù)。此項規(guī)定的出臺��,推動了網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作的制度化��、規(guī)范化�����、法制化�����。
回顧 2021 年上半年����,全球面臨嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢,各類攻擊事件層出不窮��。各國都在加強網(wǎng)絡(luò)安全頂層規(guī)劃及細(xì)分領(lǐng)域制度建設(shè)���。
2021 年下半年���,數(shù)據(jù)安全及個人隱私、供應(yīng)鏈安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護等方面仍將是網(wǎng)絡(luò)安全行業(yè)討論的熱點����。我國對網(wǎng)絡(luò)空間安全的重視程度正日益增強,未來網(wǎng)絡(luò)安全行業(yè)必將迎來高速發(fā)展期�����。
