来源:数据观综合 时间:2021-04-15 15:15:53 作者:
当前,以互联网为代表的信息技术日新月异,对人类社会的发展进程产生深刻影响。当网络空间成为国家继陆、海、空、天之后的第五疆域,保障网络空间安全就是保障国家主权。
今天是第6个“全民国家安全教育日”。随着信息技术的快速发展正在推动企业和社会生产效率不断提升,信息化对国民经济的推动不断加强。我国政府高度重视信息基础设施建设、网络安全及企业信息化发展,国务院及相关政府部门先后颁布了一系列鼓励、支持行业发展的法律法规和政策文件。
1、《中华人民共和国计算机信息系统安全保护条例》
1994年2月,国务院颁布《中华人民共和国计算机信息系统安全保护条例。《条例》对计算机信息系统的安全保护制度、安全监督、法律责任等作了具体规定。
《条例》指出,计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
2、《信息安全等级保护管理办法》
2007年4月,公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合下发《信息安全等级保护管理办法》。
《办法》指出,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》
2012年6月,国务院下发《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》,明确提出要大力推进信息化发展,切实保障信息安全。
《意见》指出,完善国家网络与信息安全基础设施,加强网络与信息安全专业骨干队伍和应急技术支撑队伍建设,提高风险隐患发现、监测预警和突发事件处置能力。加强信息共享和交流平台建设,健全网络与信息安全信息通报机制。加大对网络违法犯罪活动的打击力度。进一步完善监管体制,充实监管力量,加强对基础信息网络安全工作的指导和监督管理。倡导行业自律,发挥社会组织和广大网民的监督作用。
4、贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
2020年7月,公安部制定出台《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》。《意见》就加强网络安全保护工作协作配合以及网络安全工作各项保障提出了要求。例如行业主管部门、网络运营者在建设本行业、本单位的网络安全保护业务平台以及平台智慧大脑时,都要与公安机关平台对接,进一步形成条块结合、纵横联通、协同联动的综合防控大格局。重点行业、网络运营者和公安机关要建设网络安全监控指挥中心,共同形成常态化、实战化的网络安全工作机制。
5、《中华人民共和国网络安全法》
《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。《网络安全法》将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。
6、《国家网络空间安全战略》
2016年12月,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布我国首部《国家网络空间安全战略》(以下简称《战略》。作为我国网络空间安全的纲领性文件,《战略》重点分析了当前我国网络安全面临的“七种机遇”和“六大挑战”,提出了国家总体安全观指导下的“五大目标”,建立了共同维护网络空间和平安全的“四项原则”,制定了推动网络空间和平利用与共同治理的“九大任务”。
《战略》强调,一个安全稳定繁荣的网络空间,对各国乃至世界都具有重大意义。中国愿与各国一道,坚持尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展,加强沟通、扩大共识、深化合作,积极推进全球互联网治理体系变革,共同维护网络空间和平安全。中国致力于维护国家网络空间主权、安全、发展利益,推动互联网造福人类,推动网络空间和平利用和共同治理。
7、《国家网络安全事件应急预案》
2017年6月,中央网信办公布《国家网络安全事件应急预案》。该预案是国家层面组织应对特别重大网络安全事件的应急处置行动方案,也是各地区、各部门、各行业开展网络安全应急工作的重要依据。
《预案》将网络安全事件分为四级,分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。符合重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力;国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁;其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件等三种情形则属于特别重大网络安全事件。在网络安全事件分级的基础上,预警等级由高到低用红、橙、黄和蓝四级颜色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
8、《公共互联网网络安全突发事件应急预案》
2017年11月,工信部印发《公共互联网网络安全突发事件应急预案》,明确了事件分级、监测预警、应急处置、预防与应急准备、保障措施等内容。根据社会影响范围和危害程度,预案将公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件。其中,全国范围大量互联网用户无法正常上网,.CN国家顶级域名系统解析效率大幅下降,1亿以上互联网用户信息泄露,网络病毒在全国范围大面积爆发,其他造成或可能造成特别重大危害或影响的网络安全事件为特别重大网络安全事件。
9、《加强工业互联网安全工作的指导意见》
2019年8月,工业和信息化部、教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国务院国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国家国防科技工业局十部门联合印发《加强工业互联网安全工作的指导意见》。
该意见提出两个阶段发展目标。到2020年底,建立监督检查、信息共享、应急处置等安全管理制度;制定设备、平台、数据等至少20项亟需的安全标准;基本建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境;在电子信息、航空航天等重点领域形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业。到2025年,建立起较为完备可靠的工业互联网安全保障体系。
10、《网络安全审查办法》
《网络安全审查办法》由国家互联网信息办、国家发展和改革委员会主任、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共12个部门于2020年4月13日联合印发,自2020年6月1日起实施。
网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。
附:2021年网络安全十大发展趋势
CCF计算机安全专委会评选出2021年网络安全十大发展趋势预测,来自国家网络安全主管部门、高校、科研院所、相关部委、大型央企、民营企业等不同团体的全体专委委员进行投票,最终确定网络安全十大发展趋势预测。
趋势1:等保和关保条例有望出台并进一步推动网络安全产业生态蓬勃向好
《网络安全审查办法》和《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》明确了关键基础设施的保护要求和工作要求。《网络安全等级保护条例》《关键信息基础设施安全保护条例》有望陆续出台,这意味着网络安全保护相关的一系列制度要素将进一步细化,促使各行业各领域网络安全投入持续加大。
趋势2:网络攻防对抗朝人工智能方向发展演化
随着人工智能(AI)技术的普及应用,攻击方利用AI实现更快、更准地发现漏洞,从而产生更难以检测识别的恶意代码,而防守方需要利用AI提升网络安全检测、防御及自动化响应能力。网络安全将从现阶段的人与人对抗、人机对抗逐渐向基于AI攻防对抗发展演化。
趋势3:数据安全相关法律的出台加速完善数据与个人信息保护体系
《民法典》明晰了个人信息处理的内涵、原则和条件,《数据安全法(草案)》《个人信息保护法(草案)》立法进程加快,有望陆续出台,包括个人信息在内的数据收集、存储、加工、使用、提供、交易、公开等环节的法律约束将更为规范,数据安全合规管理将成为各行业的必备能力,促进各行业多维度落实法律法规要求。
趋势4:网络安全人才需求看涨
网络安全人才需求单位越来越多、要求越来越高,但网络安全人才队伍培养没有跟上网络安全人才需求,预计未来我国网络安全人才数量缺口将突破百万,而实战型实用型的网络安全人才也将在2021年面临很大的缺口。
趋势5:数据交换共享的安全需求越来越强烈
数据蕴含着巨大的价值,已成为重要的生产要素和战略资产,数据的共享是数据开发、利用和增值的重要一环,但数据安全一直是制约数据共享的瓶颈。平衡数据共享与数据安全,加速释放数据要素市场红利,促进数字经济整体健康、持续发展的需求越来越强。
趋势6:网络攻防演练推动网络安全保护常态化和实战化
最近几年的实战网络攻防演练取得实效,得到政府和企事业单位的普遍认可,有效地提升了我国网络安全的防护与应急响应能力,实战化攻防演练将成为政企网络安全防御新思路,成为网络安全保护的常态。
趋势7:信创政策促进自主可控产业发展
近年来,在新的复杂的国际经济、政治、科技形势下,构建自主的IT底层架构和标准,形成可控的IT供应链,是保障网络与数据安全的重中之重,在国家、地方性政策不断牵引下,信创产业将带动从IT底层的基础软硬件到上层的应用软件全产业链的安全与自主可控。
趋势8:国家级网络攻击愈演愈烈
网络安全威胁国家安全,事关政治安全,网上渗透、破坏和颠覆的博弈日益尖锐复杂,地缘政治背景下的国家网络空间冲突将愈演愈烈,以黑客攻击炒作、窃取敏感数据、破坏关键基础设施为目的的国家APT活动将会更加频繁和活跃。
趋势9:深化打击整治网络犯罪背后的黑灰产业链
网络黑灰产业链成为网络犯罪多发高发的重要原因。2020年中央政法工作会议中提出要防控新型网络安全风险,深化打击整治行动,坚决打掉网络黑灰产业链,之后国务院打击治理电信网络新型违法犯罪工作部际联席会议部署在全国范围内开展“断卡”行动,公安部等五部委发文强调零容忍打击买卖电话卡和银行卡等灰黑产业。预计2021年政法机关将会继续深化打击网络黑灰产生态圈,为网络犯罪“断粮”。
趋势10:工业数字化进程导致工控安全问题凸显
作为能源、制造、军工等国家命脉行业的重要基础设施,工业控制系统具备体量大、种类多、结构复杂、体系结构复杂等特性。随着工业数字化进程的加快,工控系统接入设备种类和数量增长、应用范围更广,工控系统的整体受攻击面也随之扩大。此外,随着云计算、大数据、物联网等新技术在工控中的应用不断增加,工业处理流程的开放性和不确定性进一步增加,传统信息安全问题在工业控制领域不断延伸,工业控制系统将面临更严峻的考验,工控问题将更为凸显。
责任编辑:姚治
