技術(shù)
導(dǎo)讀:本文梳理全球主要國(guó)家在 2021 年上半年發(fā)布的政策法規(guī),從國(guó)家戰(zhàn)略、新興技術(shù)、數(shù)字治理、供應(yīng)鏈安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等角度,展示全球網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)。
轉(zhuǎn)眼間,2021 年已過(guò)大半?;仡?2021 年上半年,新冠疫情的影響還未消退,網(wǎng)絡(luò)攻擊態(tài)勢(shì)卻愈演愈烈。
勒索軟件為代表的安全事件頻發(fā)。據(jù)統(tǒng)計(jì),2021 年平均每 11 秒就發(fā)生一次勒索攻擊事件,預(yù)計(jì)今年全球勒索軟件損失將達(dá)到 200 億美元。5 月,美國(guó)最大燃油運(yùn)輸管道公司科洛尼爾和全球最大肉類供應(yīng)商 JBS 集團(tuán)遭勒索攻擊,造成短期內(nèi)石油、肉類供應(yīng)緊張。
數(shù)據(jù)泄露數(shù)量規(guī)模不斷擴(kuò)大,對(duì)國(guó)家安全、企業(yè)安全、民眾安全均帶來(lái)了嚴(yán)重的危害。2021 年以來(lái),社交巨頭LinkedIn 已經(jīng)歷了三輪大規(guī)模用戶個(gè)人資料被惡意抓取,共計(jì) 18 億用戶數(shù)據(jù)遭泄露;4 月,F(xiàn)acebook 超 5 億用戶信息泄露,涉及全球 106 個(gè)國(guó)家。
此外,重大安全漏洞不斷涌現(xiàn),涉及眾多知名廠商。3 月,蘋(píng)果公司緊急修復(fù)遠(yuǎn)程命令執(zhí)行漏洞,影響涉及數(shù)十億設(shè)備;4 月,國(guó)內(nèi)廠商小米披露了其 MIUI 系統(tǒng)的越權(quán)漏洞預(yù)警,攻擊者可利用該漏洞獲取前臺(tái)運(yùn)行進(jìn)程信息;5 月,高通移動(dòng)調(diào)制解調(diào)器 MSM 芯片被曝存在安全漏洞,影響全球 40% 手機(jī)。
2021 年網(wǎng)絡(luò)安全進(jìn)入新階段:安全事件頻發(fā)、影響日益嚴(yán)重,促使多國(guó)競(jìng)相出臺(tái)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的政策、法律和規(guī)劃。
本文梳理全球主要國(guó)家在 2021 年上半年發(fā)布的政策法規(guī),從國(guó)家戰(zhàn)略、新興技術(shù)、數(shù)字治理、供應(yīng)鏈安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等角度,展示全球網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)。
一、多國(guó)出臺(tái)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略,占據(jù)網(wǎng)絡(luò)空間競(jìng)爭(zhēng)優(yōu)勢(shì)
2021 年上半年,美國(guó)、歐盟、英國(guó)、俄羅斯、日本等國(guó)紛紛出臺(tái)國(guó)家安全總體戰(zhàn)略,重點(diǎn)加強(qiáng)網(wǎng)絡(luò)安全頂層規(guī)劃建設(shè),力圖在全球網(wǎng)絡(luò)空間激烈競(jìng)爭(zhēng)局勢(shì)中占得先機(jī)。
1. 美國(guó)將網(wǎng)絡(luò)安全列為國(guó)家優(yōu)先級(jí)別
隨著年初美國(guó)總統(tǒng)拜登正式上任,加之近期出現(xiàn)的一系列重大安全事件,美國(guó)政府加緊出臺(tái)新版國(guó)家安全總體戰(zhàn)略,并提出將網(wǎng)絡(luò)安全列為國(guó)家安全首位。
2021 年 3 月,美國(guó)白宮發(fā)布《國(guó)家安全戰(zhàn)略臨時(shí)指南》,作為拜登政府發(fā)布的第一份全面應(yīng)對(duì)國(guó)際國(guó)內(nèi)局勢(shì)的政策指導(dǎo)文件,該指南提出加強(qiáng)美國(guó)在網(wǎng)絡(luò)空間中的能力和彈性。通過(guò)鼓勵(lì)公私合作、加大資金投資、加強(qiáng)國(guó)際合作、制定網(wǎng)絡(luò)空間全球規(guī)范、追求網(wǎng)絡(luò)攻擊責(zé)任、增加網(wǎng)絡(luò)攻擊成本等方式保護(hù)美國(guó)網(wǎng)絡(luò)安全,同時(shí)特別強(qiáng)調(diào)國(guó)家網(wǎng)絡(luò)人才庫(kù)多樣化的重要性。
2021 年 5 月,美國(guó)總統(tǒng)拜登簽署發(fā)布了《改善國(guó)家網(wǎng)絡(luò)安全行政令》,旨在從保護(hù)聯(lián)邦網(wǎng)絡(luò)、改善美國(guó)政府與私營(yíng)部門(mén)間信息共享以及增強(qiáng)美國(guó)對(duì)安全事件響應(yīng)能力等方面,提高國(guó)家網(wǎng)絡(luò)安全防御能力。美國(guó)政府將通過(guò)推動(dòng)聯(lián)邦政府采用零信任架構(gòu)、改善軟件供應(yīng)鏈安全、建立網(wǎng)絡(luò)安全審查委員會(huì)以及提升漏洞和事件處置能力等措施,實(shí)現(xiàn)網(wǎng)絡(luò)安全現(xiàn)代化的目標(biāo)。
2021 年 6 月,美國(guó)國(guó)會(huì)參議院高票通過(guò)了《2021美國(guó)創(chuàng)新和競(jìng)爭(zhēng)法案》,該法案主要由 1 個(gè)撥款方案和4 個(gè)相互獨(dú)立的法案構(gòu)成,涉及芯片、5G、航空航天、網(wǎng)絡(luò)安全及人工智能、醫(yī)學(xué)研究、美國(guó)制造等多個(gè)領(lǐng)域,相關(guān)投資額約 2500 億美元,包括:向半導(dǎo)體制造業(yè)補(bǔ)貼逾 500 億美元;向美國(guó)國(guó)家科學(xué)基金會(huì)(NSF)撥款810 億美元,用于人工智能、計(jì)算機(jī)技術(shù)等 10 個(gè)重點(diǎn)領(lǐng)域研究;向 5G 行業(yè)提供 15 億美元以鼓勵(lì)技術(shù)創(chuàng)新等。
2. 歐盟制定數(shù)字十年的網(wǎng)絡(luò)安全戰(zhàn)略
歐盟在“戰(zhàn)略自主”的框架下全面提出數(shù)字主權(quán)建設(shè),并計(jì)劃圍繞這一整體戰(zhàn)略出臺(tái)一系列政策法規(guī)。未來(lái)十年,歐盟將通過(guò)大力發(fā)展數(shù)字技術(shù)和數(shù)字基礎(chǔ)設(shè)施,推進(jìn)全球網(wǎng)絡(luò)空間開(kāi)放合作。
2021 年 3 月,歐盟委員會(huì)發(fā)布《關(guān)于歐盟數(shù)字十年網(wǎng)絡(luò)安全戰(zhàn)略的結(jié)論》文件。該戰(zhàn)略于 2020 年 12 月底發(fā)布,旨在增強(qiáng)歐洲抵御網(wǎng)絡(luò)威脅的能力,并指出未來(lái)歐盟主要行動(dòng)包括建立歐盟安全運(yùn)營(yíng)中心網(wǎng)絡(luò)計(jì)劃;明確歐盟網(wǎng)絡(luò)安全危機(jī)管理框架;加強(qiáng)與國(guó)際組織和伙伴國(guó)家的合作,以增強(qiáng)網(wǎng)絡(luò)威脅形勢(shì)的共識(shí)等。
2021 年 3 月,歐盟委員會(huì)發(fā)布《2030 數(shù)字指南針:歐洲數(shù)字十年之路》報(bào)告,明確了到 2030 年,歐洲數(shù)字化轉(zhuǎn)型的目標(biāo)和實(shí)現(xiàn)途徑。報(bào)告制定了包括提升公民數(shù)字素養(yǎng)、建立安全和可持續(xù)的數(shù)字基礎(chǔ)設(shè)施、推動(dòng)企業(yè)數(shù)字化轉(zhuǎn)型、促進(jìn)公共服務(wù)數(shù)字化在內(nèi)的四大類目標(biāo)。為落實(shí)歐盟總體數(shù)字計(jì)劃中的部分規(guī)定,歐盟委員會(huì)于2021 年 6 月提出歐盟數(shù)字身份框架計(jì)劃,敦促成員國(guó)為歐盟所有公民設(shè)立數(shù)字身份檔案系統(tǒng),提供數(shù)字身份錢(qián)包。
3. 英國(guó)制定戰(zhàn)略重塑國(guó)家網(wǎng)絡(luò)安全愿景
在面對(duì)新冠疫情、地緣政治與脫歐等多重挑戰(zhàn)的背景下,英國(guó)政府制定“全球英國(guó)”的戰(zhàn)略規(guī)劃愿景,并提出總體目標(biāo),將網(wǎng)絡(luò)安全列為英國(guó)目前面臨的核心問(wèn)題。
2021 年 3 月,英國(guó)政府正式發(fā)布《競(jìng)爭(zhēng)時(shí)代的全球英國(guó):安全、國(guó)防、發(fā)展與外交政策綜合評(píng)估》報(bào)告,該報(bào)告提出四項(xiàng)總體目標(biāo):一是通過(guò)科學(xué)和技術(shù)來(lái)維持戰(zhàn)略優(yōu)勢(shì);二是塑造未來(lái)的開(kāi)放國(guó)際秩序;三是加強(qiáng)國(guó)內(nèi)外的安全與防御;四是在國(guó)內(nèi)外建立彈性。
根據(jù)報(bào)告顯示,英國(guó)即將發(fā)布 2021 年新版網(wǎng)絡(luò)戰(zhàn)略。該戰(zhàn)略明確了五大優(yōu)先事項(xiàng):一是加強(qiáng)英國(guó)的網(wǎng)絡(luò)生態(tài)系統(tǒng),采取一種整體的網(wǎng)絡(luò)方法,并加深政府、學(xué)術(shù)界和業(yè)界之間的合作伙伴關(guān)系;二是建立一個(gè)彈性和繁榮的“數(shù)字英國(guó)”,使民眾在網(wǎng)絡(luò)中感到安全,并對(duì)個(gè)人數(shù)據(jù)受到保護(hù)充滿信心;三是引領(lǐng)對(duì)網(wǎng)絡(luò)力量至關(guān)重要的技術(shù),包括微處理器、安全系統(tǒng)設(shè)計(jì)、量子技術(shù)和新形式數(shù)據(jù)傳輸?shù)?四是與其他政府和業(yè)界合作,并利用英國(guó)在網(wǎng)絡(luò)安全方面的思想領(lǐng)導(dǎo)力,促進(jìn)自由、開(kāi)放、和平與安全的網(wǎng)絡(luò)空間;五是發(fā)現(xiàn)、破壞和威懾英國(guó)的對(duì)手。
4. 俄羅斯新版國(guó)家戰(zhàn)略中新增信息安全保障
2021 年 7 月,俄羅斯總統(tǒng)普京簽署新版《國(guó)家安全戰(zhàn)略》。此戰(zhàn)略由俄羅斯聯(lián)邦安全會(huì)議制定,是國(guó)家安全保障領(lǐng)域的最高層次指導(dǎo)文件。俄羅斯《國(guó)家安全戰(zhàn)略》每六年更新修訂一次,與 2015 年底頒布的上一版戰(zhàn)略相比,新版戰(zhàn)略首次加入信息安全章節(jié),體現(xiàn)了俄羅斯對(duì)于網(wǎng)絡(luò)信息安全的重視程度日益增加。
新版《戰(zhàn)略》主要分析了當(dāng)前全球和俄羅斯的發(fā)展態(tài)勢(shì)及安全環(huán)境,提出了國(guó)家和社會(huì)安全、信息安全、科學(xué)技術(shù)發(fā)展等九個(gè)國(guó)家戰(zhàn)略性優(yōu)先事項(xiàng),并明確了各優(yōu)先事項(xiàng)框架下的形勢(shì)、目標(biāo)與任務(wù)。
在信息安全領(lǐng)域,該戰(zhàn)略明確反對(duì)他國(guó)運(yùn)用信息通信技術(shù)對(duì)俄羅斯實(shí)施網(wǎng)絡(luò)攻擊、情報(bào)偵察,防止運(yùn)用互聯(lián)網(wǎng)散布不利于俄羅斯政治局勢(shì)穩(wěn)定的不實(shí)信息等,提出包括加強(qiáng)電子數(shù)據(jù)管理系統(tǒng)防護(hù)、建立信息安全威脅預(yù)警系統(tǒng)、應(yīng)用人工智能技術(shù)和量子計(jì)算等先進(jìn)技術(shù)改進(jìn)信息安全保障方法等 16 項(xiàng)任務(wù)。
5. 日本發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)對(duì)復(fù)雜安全形勢(shì)
為應(yīng)對(duì)日益嚴(yán)峻的數(shù)字化威脅以及東京奧運(yùn)會(huì)網(wǎng)絡(luò)安全挑戰(zhàn),日本發(fā)布一系列網(wǎng)絡(luò)安全戰(zhàn)略文件。2021 年5 月,日本內(nèi)閣秘書(shū)處內(nèi)閣網(wǎng)絡(luò)安全中心(NISC)發(fā)布《下一代網(wǎng)絡(luò)安全戰(zhàn)略綱要》《網(wǎng)絡(luò)安全研發(fā)戰(zhàn)略(修訂版)》
《網(wǎng)絡(luò)安全委員會(huì)倡議》等多份有關(guān)網(wǎng)絡(luò)安全的政策文件,進(jìn)一步推進(jìn)數(shù)字社會(huì)建設(shè),構(gòu)建網(wǎng)絡(luò)防御體系,以建立自由安全的公共網(wǎng)絡(luò)空間。
2021 年 7 月,日本發(fā)布新版《網(wǎng)絡(luò)安全戰(zhàn)略》草案并征求公眾意見(jiàn),戰(zhàn)略草案確定了實(shí)施有關(guān)網(wǎng)絡(luò)安全措施的五項(xiàng)基本原則,確保信息的自由傳播、法治、開(kāi)放性、自主性和多方合作。戰(zhàn)略草案指出,為確保“自由、公平和安全的網(wǎng)絡(luò)空間”,應(yīng)從以下三個(gè)方向推進(jìn)相關(guān)工作:一是在數(shù)字化變革的基礎(chǔ)上,同步推進(jìn)數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)安全;二是促進(jìn)網(wǎng)絡(luò)空間安全,“實(shí)現(xiàn)公民在社會(huì)能夠安全的生活”;三是從安全角度加強(qiáng)努力,增強(qiáng)參與、協(xié)調(diào)和合作。
二、新興技術(shù)構(gòu)建萬(wàn)物互聯(lián),制度建設(shè)推動(dòng)安全建設(shè)
近年來(lái),以 5G、人工智能、物聯(lián)網(wǎng)等為代表的新興技術(shù)迅猛發(fā)展,一個(gè)萬(wàn)物互聯(lián)的智能時(shí)代即將誕生。物聯(lián)網(wǎng)正在推動(dòng)人類社會(huì)從“信息化”向“智能化”轉(zhuǎn)變,促進(jìn)信息科技與產(chǎn)業(yè)發(fā)生巨大變化。
在新興技術(shù)為人類社會(huì)帶來(lái)新一輪科技革命與產(chǎn)業(yè)變革的同時(shí),其中也蘊(yùn)藏著許多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
縱觀全球,各國(guó)都在加快新興技術(shù)戰(zhàn)略布局,出臺(tái)相應(yīng)政策法規(guī),確保智能時(shí)代的經(jīng)濟(jì)發(fā)展安全有序。
1. 5G 建設(shè)步入高速發(fā)展期,安全風(fēng)險(xiǎn)引發(fā)關(guān)注
如果說(shuō) 2020 年是 5G 建設(shè)之年,那么 2021 年就是5G 高速發(fā)展之年。隨著 5G 技術(shù)的蓬勃發(fā)展,由此引發(fā)的網(wǎng)絡(luò)安全問(wèn)題成為各界關(guān)注的重點(diǎn)。2021 年 2 月,移動(dòng)安全公司 AdaptiveMobile 向 GSM 協(xié)會(huì)報(bào)告了最新研究成果,發(fā)現(xiàn) 5G 架構(gòu)的網(wǎng)絡(luò)切片與虛擬化網(wǎng)絡(luò)功能存在安全漏洞,惡意攻擊者可能借此跨越移動(dòng)運(yùn)營(yíng)商 5G網(wǎng)絡(luò)上的各個(gè)不同網(wǎng)絡(luò)切片,發(fā)動(dòng)數(shù)據(jù)訪問(wèn)與拒絕服務(wù)攻擊。
因此,各國(guó)紛紛發(fā)布與 5G 安全相關(guān)的戰(zhàn)略、政策和標(biāo)準(zhǔn),同時(shí)加大資金投入,致力于建立一個(gè)完善的 5G發(fā)展體系。
美國(guó)方面,在 2021 年 2 月,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了《5G 網(wǎng)絡(luò)安全實(shí)踐指南》草案,該指南旨在幫助使用 5G 網(wǎng)絡(luò)的組織以及網(wǎng)絡(luò)運(yùn)營(yíng)商和設(shè)備供應(yīng)商提高安全能力。
2021 年 3 月,美國(guó)國(guó)際戰(zhàn)略研究中心(CSIS)發(fā)布《加速美國(guó) 5G 發(fā)展》報(bào)告,報(bào)告提出完善電信法規(guī)以消除監(jiān)管障礙、與盟國(guó)建立網(wǎng)絡(luò)安全合作機(jī)制等 11 項(xiàng)具體建議,確保美國(guó) 5G 發(fā)展能夠最大程度的降低國(guó)家安全風(fēng)險(xiǎn),同時(shí)最大化經(jīng)濟(jì)回報(bào)。
2021 年 5 月,美國(guó)國(guó)家情報(bào)總監(jiān)辦公室、美國(guó)國(guó)家 安全局和國(guó)土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局聯(lián)合發(fā) 布《5G 基礎(chǔ)設(shè)施潛在威脅載體報(bào)告》,分析了 5G 在政 策標(biāo)準(zhǔn)、供應(yīng)鏈、5G 系統(tǒng)架構(gòu)三個(gè)領(lǐng)域的威脅載體,以 加強(qiáng)對(duì) 5G 應(yīng)用面臨威脅的了解,制定全面的解決方案。歐盟方面,在 2020 年 12 月,歐盟網(wǎng)絡(luò)安全局 (ENISA)發(fā)布《5G 網(wǎng)絡(luò)威脅態(tài)勢(shì)報(bào)告》,探討了未 來(lái)應(yīng)如何利用安全技術(shù)幫助減輕 5G 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的措 施,對(duì) 5G 安全生態(tài)系統(tǒng)中的利益相關(guān)方提出了創(chuàng)新性 建議。
2021 年 3 月,歐盟委員會(huì)在《關(guān)于歐盟數(shù)字十年網(wǎng) 絡(luò)安全戰(zhàn)略的結(jié)論》文件中要求實(shí)施并加速完成歐盟 5G 工具箱,努力確保 5G 網(wǎng)絡(luò)安全性和未來(lái)網(wǎng)絡(luò)發(fā)展。對(duì)我國(guó)來(lái)說(shuō),2021 年 6 月,國(guó)家發(fā)展改革委等四部 門(mén)聯(lián)合發(fā)布《能源領(lǐng)域 5G 應(yīng)用實(shí)施方案》。實(shí)施方案 提出進(jìn)一步拓展能源領(lǐng)域 5G 應(yīng)用場(chǎng)景、加快能源領(lǐng)域 5G 專用技術(shù)研發(fā)、加大相關(guān)基礎(chǔ)設(shè)施和安全保障能力建 設(shè)三項(xiàng)重點(diǎn)任務(wù)。在安全保障能力建設(shè)方面,實(shí)施方案 要求構(gòu)建 5G 應(yīng)用安全保障體系,確保 5G 融合應(yīng)用相 關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和核心系統(tǒng)安全。同時(shí)健全能源領(lǐng)域 5G 應(yīng)用安全技術(shù)標(biāo)準(zhǔn),將 5G 網(wǎng)絡(luò)安全保障納入能源領(lǐng)域 5G 應(yīng)用的全流程、全環(huán)節(jié)。
2021 年 7 月,工信部、中央網(wǎng)絡(luò)安全和信息化委員 會(huì)辦公室等十部門(mén)聯(lián)合發(fā)布《5G 應(yīng)用“揚(yáng)帆”行動(dòng)計(jì)劃 (2021-2023 年)》,旨在顯著提升我國(guó) 5G 應(yīng)用發(fā)展 水平,保護(hù) 5G 應(yīng)用安全等。根據(jù)行動(dòng)計(jì)劃,提升 5G 應(yīng) 用安全的具體舉措包括以下四個(gè)方面,一是加強(qiáng) 5G 應(yīng) 用安全風(fēng)險(xiǎn)評(píng)估;二是開(kāi)展 5G 應(yīng)用安全示范推廣;三 是提升 5G 應(yīng)用安全評(píng)測(cè)認(rèn)證能力;四是強(qiáng)化 5G 應(yīng)用安 全供給支撐服務(wù)。
2. 人工智能引發(fā)雙重考驗(yàn),政策監(jiān)管仍需加強(qiáng)
近年來(lái),人工智能技術(shù)日趨成熟,應(yīng)用十分廣泛。伴隨而來(lái)的網(wǎng)絡(luò)安全問(wèn)題對(duì)現(xiàn)實(shí)生活也造成一定影響,F(xiàn)acebook 創(chuàng)始人兼 CEO 扎克伯格、美國(guó)前總統(tǒng)奧巴馬均遭遇過(guò)“AI 換臉”,引發(fā)社會(huì)廣泛關(guān)注。目前,以美歐為代表的西方國(guó)家正加快出臺(tái)監(jiān)管政策,規(guī)范人工智能領(lǐng)域發(fā)展。
美國(guó)方面,2021 年 3 月,美國(guó)國(guó)家人工智能安全委員會(huì)向國(guó)會(huì)提交發(fā)展人工智能的最終建議報(bào)告。報(bào)告規(guī)劃了美國(guó)在人工智能時(shí)代取勝的戰(zhàn)略,并制定了行動(dòng)路線圖。報(bào)告中首次提及,中國(guó)擁有在未來(lái) 10 年超越美國(guó)成為人工智能領(lǐng)域領(lǐng)導(dǎo)者的“潛力”,建議美國(guó)政府在領(lǐng)導(dǎo)力、人才、硬件和創(chuàng)新投資等四個(gè)方面立即采取應(yīng)對(duì)行動(dòng)。
2021 年 7 月,美國(guó)國(guó)土安全部科學(xué)技術(shù)局發(fā)布《人工智能與機(jī)器學(xué)習(xí)戰(zhàn)略計(jì)劃》,提出了未來(lái)三大戰(zhàn)略目標(biāo):一是推動(dòng)用于跨領(lǐng)域國(guó)土安全能力的下一代人工智能和機(jī)器學(xué)習(xí)技術(shù)發(fā)展;二是促進(jìn)在國(guó)土安全任務(wù)中使用經(jīng)過(guò)驗(yàn)證的人工智能與機(jī)器學(xué)習(xí)能力;三是建立經(jīng)人工智能與機(jī)器學(xué)習(xí)技術(shù)培訓(xùn)的跨學(xué)科員工隊(duì)伍。
歐盟方面,2021 年 4 月,歐盟委員會(huì)通過(guò)了《人工智能法》提案,旨在建立關(guān)于人工智能技術(shù)的統(tǒng)一規(guī)則。提案不僅對(duì)人工智能技術(shù)在諸如汽車自動(dòng)駕駛、銀行貸款、社會(huì)信用評(píng)分等一系列日?;顒?dòng)中的應(yīng)用設(shè)定了限制,而且還對(duì)歐盟內(nèi)部的執(zhí)法系統(tǒng)和司法系統(tǒng)使用人工智能的情形提出了相應(yīng)的問(wèn)題解決方案。
2021 年 5 月,歐洲政策研究中心(CEPS)成立的人工智能和網(wǎng)絡(luò)安全工作組,發(fā)布了《人工智能與網(wǎng)絡(luò)安全:技術(shù)、治理和政策挑戰(zhàn)》報(bào)告。該報(bào)告概述了人工智能在網(wǎng)絡(luò)安全領(lǐng)域的有效應(yīng)用,以及人工智能系統(tǒng)可能被操縱所帶來(lái)的風(fēng)險(xiǎn),并介紹了與人工智能實(shí)施相關(guān)的主要倫理影響和政策問(wèn)題。報(bào)告根據(jù)歐盟數(shù)字戰(zhàn)略的目標(biāo),提出了建設(shè)性和具體的政策建議,以確保人工智能的安全應(yīng)用。
3. 物聯(lián)網(wǎng)成攻擊重災(zāi)區(qū),相關(guān)政策加緊出臺(tái)
隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái),機(jī)構(gòu)物聯(lián)網(wǎng)設(shè)備數(shù)量不斷增加,但缺乏對(duì)應(yīng)保護(hù)措施,相關(guān)網(wǎng)絡(luò)攻擊事件頻發(fā)。2021 年 3 月,特斯拉工廠攝像頭供應(yīng)商被黑,導(dǎo)致多家機(jī)構(gòu)共計(jì) 15 萬(wàn)個(gè)監(jiān)控訪問(wèn)權(quán)限被獲取。近期,各國(guó)政府加快出臺(tái)有關(guān)政策法規(guī),加強(qiáng)物聯(lián)網(wǎng)安全防范。
美國(guó)方面,在 2021 年 3 月,美國(guó)參議院與眾議院再次引入《網(wǎng)絡(luò)護(hù)盾法案》,其中建議為物聯(lián)網(wǎng)設(shè)備創(chuàng)建一個(gè)自愿的網(wǎng)絡(luò)安全認(rèn)證計(jì)劃。該法案建議由各界網(wǎng)絡(luò)安全專家組成的咨詢委員會(huì)負(fù)責(zé)為物聯(lián)網(wǎng)設(shè)備定義一個(gè)安全標(biāo)準(zhǔn)。所生產(chǎn)產(chǎn)品符合這些標(biāo)準(zhǔn)的物聯(lián)網(wǎng)制造商可以將此認(rèn)證展示給公眾并打上“網(wǎng)絡(luò)護(hù)盾”標(biāo)簽,這將有助于消費(fèi)者在購(gòu)買物聯(lián)網(wǎng)設(shè)備時(shí)做出決策。
英國(guó)方面,2021 年 4 月,英國(guó)數(shù)字、文化、傳媒和體育部(DCMS)發(fā)布了對(duì)《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全提案》征求意見(jiàn)稿的回復(fù)。該提案概述了英國(guó)政府對(duì)調(diào)控物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全的意圖和政策主張,并倡導(dǎo)通過(guò)完善立法來(lái)促進(jìn)消費(fèi)者使用物聯(lián)網(wǎng)設(shè)備的安全性。根據(jù)該提案,英國(guó)政府將制定新的監(jiān)管計(jì)劃,以保護(hù)消費(fèi)者免受不安全的物聯(lián)網(wǎng)設(shè)備的傷害。同時(shí)能夠在不影響有效性的情況下,采取合適的方法賦予制造商一定的義務(wù)和責(zé)任,以實(shí)現(xiàn)對(duì)公民、網(wǎng)絡(luò)和物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的持續(xù)性保護(hù)。
在我國(guó),2021 年 6 月,工信部發(fā)布《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南》(征求意見(jiàn)稿)。該指南針對(duì)車載聯(lián)網(wǎng)設(shè)備、基礎(chǔ)設(shè)施、網(wǎng)絡(luò)通信、數(shù)據(jù)信息、平臺(tái)應(yīng)用、車聯(lián)網(wǎng)服務(wù)等關(guān)鍵環(huán)節(jié),提出覆蓋終端與設(shè)施安全、網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全、應(yīng)用服務(wù)安全、安全保障與支撐等方面的技術(shù)架構(gòu)。
2021 年 6 月,工信部發(fā)布《關(guān)于加強(qiáng)車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知》(征求意見(jiàn)稿),其中要求加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全、平臺(tái)安全、數(shù)據(jù)安全防護(hù),強(qiáng)化安全漏洞管理。具體包括落實(shí)企業(yè)網(wǎng)絡(luò)安全主體責(zé)任,建立健全數(shù)據(jù)安全管理制度,加強(qiáng)個(gè)人信息與重要數(shù)據(jù)保護(hù)等。
三、數(shù)據(jù)安全成為全球關(guān)注重點(diǎn),各國(guó)加快數(shù)據(jù)治理進(jìn)程
隨著全球數(shù)字化轉(zhuǎn)型,數(shù)據(jù)資源已經(jīng)成為數(shù)字時(shí)代的“軟黃金”,推動(dòng)國(guó)民經(jīng)濟(jì)快速發(fā)展。與此同時(shí),數(shù)據(jù)泄露事件屢見(jiàn)不鮮,對(duì)國(guó)家安全、企業(yè)安全和民眾安全均帶來(lái)了嚴(yán)重的危害。根據(jù)安全公司 Risk BasedSecurity 最近發(fā)布的《2021 年上半年數(shù)據(jù)泄露速覽報(bào)告》顯示,2021 年上半年共有 1767 起公開(kāi)報(bào)告的泄露事件,美國(guó)報(bào)告的泄露事件數(shù)量增長(zhǎng)了 1.5%,泄露數(shù)據(jù)總量達(dá)188 億條記錄。
當(dāng)前,各國(guó)都在加緊制定數(shù)字戰(zhàn)略,力求在數(shù)字化發(fā)展的浪潮中為數(shù)據(jù)安全保駕護(hù)航。以歐盟、美國(guó)為代表的西方國(guó)家和組織,相繼推出較成熟且側(cè)重點(diǎn)不同的配套數(shù)據(jù)安全政策法規(guī)。我國(guó)在數(shù)據(jù)安全方面也陸續(xù)推出了一系列法律法規(guī)及標(biāo)準(zhǔn)規(guī)范。
1. 加強(qiáng)數(shù)據(jù)安全頂層規(guī)劃
對(duì)歐盟來(lái)說(shuō),其數(shù)據(jù)安全立法處于全球領(lǐng)先地位,頒布的眾多政策法規(guī)都頗具影響力。2018 年 5 月正式實(shí)施的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)是全球第一部全面的隱私保護(hù)法,對(duì)各國(guó)的立法均具有啟示意義。2021 年 2 月,歐盟發(fā)布的《電子隱私條例》草案,是作為 GDPR 在電子通信領(lǐng)域的細(xì)化和補(bǔ)充的特別法,通過(guò)對(duì)數(shù)據(jù)類型的分類保護(hù)(例如區(qū)分電子通信內(nèi)容和元數(shù)據(jù))和對(duì)法人、自然人共同保護(hù)的方式加強(qiáng)和擴(kuò)大了對(duì)隱私保護(hù)的力度和范圍。
對(duì)美國(guó)來(lái)說(shuō),其跨國(guó)信息巨頭遍布全球,數(shù)據(jù)資源為美國(guó)創(chuàng)造了巨大的利益,因此美國(guó)數(shù)據(jù)治理模式更偏向于利益導(dǎo)向。美國(guó)目前尚未出臺(tái)國(guó)家層面統(tǒng)一的數(shù)據(jù)安全立法,大多是各州頒布的數(shù)據(jù)法案。例如,美國(guó)加利福尼亞州的《加州隱私權(quán)法案》、弗吉尼亞州的《消費(fèi)者數(shù)據(jù)保護(hù)法》和科羅拉多州的《科羅拉多州隱私法案》等。此外,美國(guó)政府還通過(guò)了《統(tǒng)一個(gè)人數(shù)據(jù)保護(hù)法》,該法案將成為各州數(shù)據(jù)隱私法案范本。
對(duì)我國(guó)來(lái)說(shuō),隨著數(shù)據(jù)安全保護(hù)浪潮的興起和各國(guó)數(shù)據(jù)安全保護(hù)實(shí)踐的深入,我國(guó)逐步建立了以《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》為統(tǒng)領(lǐng),專項(xiàng)法律、行政法規(guī)、部門(mén)規(guī)章為支撐,標(biāo)準(zhǔn)規(guī)范文件為配套的制度體系。同時(shí),《個(gè)人信息保護(hù)法》正式通過(guò),進(jìn)一步完善了我國(guó)個(gè)人隱私保護(hù)法律體系。
2. 規(guī)范數(shù)據(jù)跨境流動(dòng)制度
近年來(lái),各國(guó)都在出臺(tái)有關(guān)數(shù)據(jù)保護(hù)的法律法規(guī),其中大多涉及數(shù)據(jù)跨境流動(dòng)的法律或政策,但不同國(guó)家的立法標(biāo)準(zhǔn)不一致。
歐盟以“構(gòu)筑單一數(shù)字市場(chǎng)”為戰(zhàn)略目標(biāo),按照“外嚴(yán)內(nèi)松”原則引領(lǐng)建立全球數(shù)據(jù)規(guī)則體系。2021年6月,歐洲數(shù)據(jù)保護(hù)委員會(huì)正式通過(guò)關(guān)于英國(guó)的充分性決定,該決定表明未來(lái) 4 年內(nèi),英國(guó)和歐盟的個(gè)人數(shù)據(jù)可以自由合法地流動(dòng)。同月,作為對(duì) Schrem II 案(該案廢止了美歐數(shù)據(jù)跨境轉(zhuǎn)移機(jī)制“隱私盾協(xié)議”)的回應(yīng),歐盟數(shù)據(jù)保護(hù)委員會(huì)正式通過(guò)兩份關(guān)于數(shù)據(jù)跨境傳輸合法性的指導(dǎo)性意見(jiàn)。此外,歐盟委員會(huì)還頒布了新的關(guān)于數(shù)據(jù)跨境傳輸?shù)臉?biāo)準(zhǔn)合同條款的最終版本。
美國(guó)以維護(hù)數(shù)字競(jìng)爭(zhēng)優(yōu)勢(shì)和強(qiáng)化“長(zhǎng)臂管轄”為主旨,構(gòu)建數(shù)據(jù)跨境流動(dòng)與限制政策。2021 年 6 月,美國(guó)白宮頒布《關(guān)于保護(hù)美國(guó)公民敏感數(shù)據(jù)免受外國(guó)對(duì)手侵害的行政令》,該行政令撤銷了特朗普政府針對(duì) TikTok 等與中國(guó)相關(guān)軟件應(yīng)用程序的限制性政策,同時(shí)提出了一套全新的審查流程,由美國(guó)商務(wù)部持續(xù)評(píng)估國(guó)外聯(lián)網(wǎng)軟件應(yīng)用的安全風(fēng)險(xiǎn)。該行政令表明美國(guó)政府正逐步出臺(tái)相關(guān)法規(guī)限制本國(guó)數(shù)據(jù)跨境流動(dòng)。
我國(guó)以維護(hù)國(guó)家數(shù)據(jù)主權(quán)、確保安全與發(fā)展并重為目的,逐步建立數(shù)據(jù)跨境流動(dòng)保護(hù)體系。首先,《數(shù)據(jù)安全法》中規(guī)定了對(duì)跨境數(shù)據(jù)實(shí)施數(shù)據(jù)安全審查制度和數(shù)據(jù)出口管制,初步確立了我國(guó)針對(duì)數(shù)據(jù)跨境流動(dòng)的基本法律框架。其次,《個(gè)人信息保護(hù)法》中規(guī)定跨境傳輸個(gè)人信息時(shí)需要對(duì)數(shù)據(jù)進(jìn)行脫敏處理,同時(shí)在操作前要進(jìn)行風(fēng)險(xiǎn)評(píng)估。最后,新修訂的《網(wǎng)絡(luò)安全審查辦法》也增加了對(duì)數(shù)據(jù)安全方面的審查,同時(shí)要求掌握超過(guò)100 萬(wàn)用戶個(gè)人信息的企業(yè)赴國(guó)外上市,必須申報(bào)網(wǎng)絡(luò)安全審查。
可以看出,各國(guó)數(shù)據(jù)跨境流動(dòng)法律法規(guī)的主旨是在本國(guó)利益最大化的前提下合法推進(jìn)數(shù)據(jù)跨境流動(dòng)。在復(fù)雜形勢(shì)下,我國(guó)應(yīng)當(dāng)建立完善數(shù)據(jù)跨境流動(dòng)保障機(jī)制,確保國(guó)家安全、經(jīng)濟(jì)發(fā)展、維護(hù)公民權(quán)益的有效協(xié)同,真正推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)的發(fā)展,維護(hù)數(shù)據(jù)主權(quán)。
3. 個(gè)人隱私保護(hù)成為熱點(diǎn)
隨著新技術(shù)、新應(yīng)用的快速發(fā)展,以人臉識(shí)別為代表的人工智能技術(shù)帶來(lái)的隱私問(wèn)題持續(xù)引發(fā)全球關(guān)注。今年 3·15 晚會(huì),央視曝光了不少非法采集用戶人臉信息的不良商家,引發(fā)民眾對(duì)隱私數(shù)據(jù)的擔(dān)憂。
生物識(shí)別數(shù)據(jù)披露的個(gè)人特征精確,且采集門(mén)檻較低、極易獲取,一旦遭到泄露、篡改或非法共享,極易帶來(lái)“身份盜竊”風(fēng)險(xiǎn),且正在成為攻擊者的主要目標(biāo)。對(duì)此,各國(guó)政府紛紛出臺(tái)相關(guān)政策,開(kāi)始規(guī)范和限制生物識(shí)別數(shù)據(jù)的使用。
在人臉識(shí)別信息保護(hù)方面,2021 年 3 月,我國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部發(fā)布通告稱將加強(qiáng)對(duì)語(yǔ)音社交軟件和涉“深度偽造”技術(shù)的互聯(lián)網(wǎng)新技術(shù)新應(yīng)用安全評(píng)估工作。騰訊、阿里巴巴、字節(jié)跳動(dòng)、快手、小米等 11 家企業(yè)因未履行安全評(píng)估程序被國(guó)家有關(guān)部門(mén)約談。2021 年 7 月,我國(guó)最高人民法院審委會(huì)通過(guò)的《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》也進(jìn)一步明確,處理人臉信息必須征得自然人同意,不得強(qiáng)迫、變相強(qiáng)迫同意處理其人臉信息。
在車聯(lián)網(wǎng)數(shù)據(jù)保護(hù)方面,2021 年 3 月,歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)發(fā)布了《車聯(lián)網(wǎng)個(gè)人數(shù)據(jù)保護(hù)指南》。該指南聚焦于歐洲車聯(lián)網(wǎng)個(gè)人數(shù)據(jù)保護(hù),并提出指紋等生物識(shí)別數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在車內(nèi),應(yīng)當(dāng)從車聯(lián)網(wǎng)設(shè)計(jì)階段即將數(shù)據(jù)保護(hù)納入考慮等建議。我國(guó)也發(fā)布了一系列有關(guān)聯(lián)網(wǎng)汽車的數(shù)據(jù)保護(hù)制度,2021 年 8 月,國(guó)家互聯(lián)網(wǎng)辦公室等五部門(mén)出臺(tái)《汽車數(shù)據(jù)安全管理若干規(guī)定 ( 試行 )》;2021 年 6 月,工信部出臺(tái)《關(guān)于加強(qiáng)車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知》(征求意見(jiàn)稿)。
在 APP 個(gè)人信息保護(hù)方面,近期我國(guó)有關(guān)機(jī)構(gòu)頒布一系列技術(shù)規(guī)范與標(biāo)準(zhǔn)文本,旨在規(guī)范 APP 個(gè)人信息收集行為,保障公民個(gè)人信息安全。2021 年 3 月,國(guó)家互聯(lián)網(wǎng)信息辦公室秘書(shū)局、工信部辦公廳、公安部辦公廳、國(guó)家市場(chǎng)監(jiān)督管理總局辦公廳四部門(mén)聯(lián)合發(fā)布《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》;2021年 4 月,工信部發(fā)布《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見(jiàn)稿)》。
此外,我國(guó)不同行業(yè)主管部門(mén)也針對(duì)各領(lǐng)域特點(diǎn)制定相應(yīng)政策法規(guī),重點(diǎn)保護(hù)各行業(yè)有關(guān)數(shù)據(jù)。例如 , 交通運(yùn)輸部制定《交通運(yùn)輸政務(wù)數(shù)據(jù)共享管理辦法》、國(guó)家醫(yī)療保障局制定《加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作指導(dǎo)意見(jiàn)》等。
四、加強(qiáng)勒索軟件防范,完善供應(yīng)鏈風(fēng)險(xiǎn)管理與關(guān)基保護(hù)制度
近年來(lái),勒索軟件事件頻發(fā),造成的危害也愈加嚴(yán)重。近期,一起影響廣泛的軟件供應(yīng)鏈勒索攻擊事件引發(fā)全球關(guān)注。美國(guó) IT 管理軟件廠商卡西亞(Kaseya)遭遇勒索軟件攻擊,黑客組織利用一個(gè) 0day 漏洞將惡意軟件部署至卡西亞的管理系統(tǒng),全球上千家企業(yè)客戶超 100萬(wàn)個(gè)系統(tǒng)通過(guò)軟件更新感染了勒索病毒,而勒索團(tuán)伙開(kāi)出了價(jià)值 7000 萬(wàn)美元的比特幣贖金。
隨著安全防護(hù)技術(shù)的升級(jí),黑客開(kāi)始對(duì)軟件供應(yīng)鏈及能源、醫(yī)療等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)等薄弱環(huán)節(jié)實(shí)施攻擊。因此,各國(guó)紛紛出臺(tái)相關(guān)舉措以應(yīng)對(duì)此類安全威脅。
1. 積極防范勒索軟件攻擊
2021 年上半年以來(lái),勒索軟件攻擊十分猖獗,根據(jù)安全廠商 SonicWall 報(bào)告顯示,該公司檢測(cè)到的攻擊嘗試達(dá)到 3.047 億次,超過(guò)了 2020 年全年的攻擊總數(shù)。美國(guó)是受勒索軟件攻擊最嚴(yán)重的國(guó)家之一,其中美國(guó)受影響較大的地區(qū)是佛羅里達(dá)州,有 1.111 億次攻擊嘗試。美國(guó)政府近期接連出臺(tái)多項(xiàng)打擊勒索軟件攻擊的新舉措。
一是出臺(tái)有關(guān)政策法規(guī)。2021 年 6 月,美國(guó)司法部提交《關(guān)于勒索軟件和數(shù)字勒索調(diào)查和案件的指導(dǎo)意見(jiàn)》備忘錄,旨在通過(guò)一系列安全指令實(shí)踐來(lái)阻止勒索軟件感染、數(shù)據(jù)盜竊和向網(wǎng)絡(luò)犯罪集團(tuán)支付巨額款項(xiàng)等違法行為。
二是成立打擊勒索軟件工作組。成員包括網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)企業(yè)、政府部門(mén)、執(zhí)法機(jī)構(gòu)、非營(yíng)利組織以及國(guó)際組織等 50 余家機(jī)構(gòu)。工作組通過(guò)公私部門(mén)合作的方式,共同研究提出應(yīng)對(duì)勒索軟件攻擊的解決方案。
三是建立專門(mén)網(wǎng)站。主要用于匯集各機(jī)構(gòu)最新勒索軟件預(yù)警信息和應(yīng)對(duì)指南。民眾也可通過(guò)該網(wǎng)站向政府報(bào)送遭受勒索軟件攻擊的情況。
四是美國(guó)司法部實(shí)施獎(jiǎng)勵(lì)計(jì)劃,提供 1000 萬(wàn)美元的獎(jiǎng)金,用于鼓勵(lì)相關(guān)機(jī)構(gòu)和個(gè)人提供具有國(guó)家背景的黑客身份或位置信息。
對(duì)我國(guó)來(lái)說(shuō),尚未出臺(tái)專門(mén)針對(duì)勒索軟件攻擊的法律法規(guī),更多是偏執(zhí)行層面的規(guī)章制度。2021 年 7 月,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布了《勒索軟件防范指南》,其中規(guī)定了防范勒索軟件要做到九要、四不要。包括要備份重要數(shù)據(jù)和系統(tǒng)、要設(shè)置復(fù)雜密碼并保密、要做好身份驗(yàn)證和權(quán)限管理、要制定應(yīng)急響應(yīng)預(yù)案等九項(xiàng)建議。不要點(diǎn)擊來(lái)源不明郵件、不要打開(kāi)來(lái)源不可靠網(wǎng)站、不要安裝來(lái)源不明軟件,以及不要插拔來(lái)歷不明的存儲(chǔ)介質(zhì)等四項(xiàng)建議。
2. 著力加強(qiáng)軟件供應(yīng)鏈風(fēng)險(xiǎn)管理
根據(jù)奇安信《2021 中國(guó)軟件供應(yīng)鏈分析報(bào)告》數(shù)據(jù)顯示,國(guó)內(nèi)企業(yè)軟件項(xiàng)目 100% 使用開(kāi)源軟件;近 9 成軟件項(xiàng)目存在已知開(kāi)源軟件漏洞;平均每個(gè)軟件項(xiàng)目存在 66 個(gè)已知開(kāi)源軟件漏洞,軟件供應(yīng)鏈安全面臨巨大風(fēng)險(xiǎn)。
美國(guó)在遭遇 SolarWinds 大型供應(yīng)鏈安全事件后,緊急出臺(tái)了一系列有關(guān)供應(yīng)鏈安全的政策法規(guī)。2021 年2 月,美國(guó)總統(tǒng)拜登簽署《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》行政令,要求對(duì)半導(dǎo)體芯片等四類供應(yīng)鏈產(chǎn)品開(kāi)展審查,并在一年內(nèi)完成對(duì)美國(guó)國(guó)防、通信科技、能源等六大部門(mén)的生產(chǎn)供應(yīng)鏈進(jìn)行風(fēng)險(xiǎn)評(píng)估,提出改善措施。
2021 年 4 月,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)聯(lián)合發(fā)布《防御軟件供應(yīng)鏈攻擊》報(bào)告,描述了與軟件供應(yīng)鏈攻擊相關(guān)的信息、關(guān)聯(lián)風(fēng)險(xiǎn)及緩解措施。
2021 年 5 月,美國(guó)總統(tǒng)簽署的《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令》,要求聯(lián)邦政府采取行動(dòng)確保軟件供應(yīng)鏈的安全性和完整性,其中包括要求向政府出售的軟件必須符合基準(zhǔn)安全標(biāo)準(zhǔn),并引入軟件物料清單。
2021 年 6 月,美國(guó)參議院在通過(guò)的《2021 年美國(guó)創(chuàng)新和競(jìng)爭(zhēng)法案》中也提到要推進(jìn)“彈性供應(yīng)鏈戰(zhàn)略”、幫助美國(guó)公司“獲得穩(wěn)定可控的全球供應(yīng)鏈”等,從而確保美國(guó)在供應(yīng)鏈安全方面的領(lǐng)導(dǎo)地位,減少網(wǎng)絡(luò)攻擊的產(chǎn)生。
目前,我國(guó)在軟件供應(yīng)鏈方面的政策法規(guī)較為缺失,從國(guó)家和行業(yè)監(jiān)管層面來(lái)講,應(yīng)當(dāng)制定有關(guān)政策要求、標(biāo)準(zhǔn)規(guī)范和實(shí)施指南,確保我國(guó)軟件供應(yīng)鏈安全有序的發(fā)展。
3. 加大關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)力度
美國(guó)是世界上最早意識(shí)到關(guān)鍵信息基礎(chǔ)設(shè)施重要性并出臺(tái)一系列完備政策法規(guī)的國(guó)家,但依然面臨嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)。最為嚴(yán)重的是美國(guó)最大燃油運(yùn)輸管道公司科洛尼爾遭到網(wǎng)絡(luò)攻擊后被迫停運(yùn),直接造成美國(guó)東海岸燃油短缺,美國(guó)運(yùn)輸安全管理局(TSA)由此宣布美國(guó)多個(gè)州進(jìn)入緊急狀態(tài)。針對(duì)該事件,美國(guó)政府部門(mén)隨即出臺(tái)了一系列措施。
2021 年 5 月,美國(guó)國(guó)土安全部運(yùn)輸安全管理局(TSA)發(fā)布一項(xiàng)關(guān)于加強(qiáng)管道網(wǎng)絡(luò)安全的安全指令,要求各管道供應(yīng)商應(yīng)及時(shí)向運(yùn)輸安全管理局與網(wǎng)絡(luò)安全及基礎(chǔ)設(shè)施安全管理局上報(bào)網(wǎng)絡(luò)安全事件,并指派一位網(wǎng)絡(luò)安全協(xié)調(diào)員,全天候待命。
2021 年 7 月,TSA 再次發(fā)布針對(duì)關(guān)鍵管道運(yùn)營(yíng)者的網(wǎng)絡(luò)安全新要求的安全指令,該安全指令要求 TSA 指定的關(guān)鍵管道的所有者和運(yùn)營(yíng)商實(shí)施具體的緩解措施,以防止勒索軟件攻擊和對(duì)信息技術(shù)和運(yùn)營(yíng)技術(shù)系統(tǒng)的其他已知威脅,制定并實(shí)施網(wǎng)絡(luò)安全應(yīng)急和恢復(fù)計(jì)劃,并進(jìn)行網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)審查。
此外,美國(guó)政府還采取建立網(wǎng)絡(luò)安全審查委員會(huì)、啟動(dòng)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的試點(diǎn)項(xiàng)目等措施,保障關(guān)鍵基礎(chǔ)設(shè)施的安全,如電力行業(yè)網(wǎng)絡(luò)安全“百日計(jì)劃”等。
我國(guó)正加速推進(jìn)以《網(wǎng)絡(luò)安全法》為核心的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)法律體系建設(shè)。近日,國(guó)務(wù)院頒布出臺(tái)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》),這是我國(guó)首部專門(mén)針對(duì)關(guān)基安全保護(hù)工作的行政法規(guī),開(kāi)啟了我國(guó)網(wǎng)絡(luò)安全工作的新篇章。
《條例》對(duì)《網(wǎng)絡(luò)安全法》所確立的關(guān)基安全保護(hù)制度作了進(jìn)一步細(xì)化完善,明確了國(guó)家網(wǎng)信部門(mén)、國(guó)務(wù)院公安部門(mén)以及重要行業(yè)和領(lǐng)域的主管部門(mén)、監(jiān)督管理部門(mén)等相關(guān)職能部門(mén)的責(zé)任邊界和職責(zé)要求,明確了關(guān)基認(rèn)定原則和認(rèn)定機(jī)制,細(xì)化了運(yùn)營(yíng)者的主體責(zé)任和義務(wù),形成了關(guān)基安全保護(hù)工作相關(guān)各方的法律責(zé)任體系。
此外,漏洞管理也屬于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要組成部分。2021 年 7 月,工信部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,其中明確了網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者,以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的各類主體的責(zé)任和義務(wù)。此項(xiàng)規(guī)定的出臺(tái),推動(dòng)了網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作的制度化、規(guī)范化、法制化。
回顧 2021 年上半年,全球面臨嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì),各類攻擊事件層出不窮。各國(guó)都在加強(qiáng)網(wǎng)絡(luò)安全頂層規(guī)劃及細(xì)分領(lǐng)域制度建設(shè)。
2021 年下半年,數(shù)據(jù)安全及個(gè)人隱私、供應(yīng)鏈安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等方面仍將是網(wǎng)絡(luò)安全行業(yè)討論的熱點(diǎn)。我國(guó)對(duì)網(wǎng)絡(luò)空間安全的重視程度正日益增強(qiáng),未來(lái)網(wǎng)絡(luò)安全行業(yè)必將迎來(lái)高速發(fā)展期。