论文部分内容阅读
2019年,我国关键基础设施安全防护能力不断提升,网络安全保障能力不断夯实,网络安全形势整体向好。展望2020年,全球网络攻击事件将更加频发,全球网络战形势将更加严峻,个人信息安全与隐私保护政策将不断完善。我国网络安全能力逐步提升,但需要处理好网络安全核心技术亟需实现自主可控、关键信息基础设施安全保障需进一步加强、数据安全治理能力有待提升、网络可信身份生态建设需进一步加快等问题,以提升我国网络安全保障能力。
对2020年形势的基本判断
1.全球网络攻击事件更加频发。世界经济论坛《2019年全球风险报告》中指出,网络攻击已成为全球五大风险之一。一是软硬件设备安全漏洞频出给网络空间安全带来严重威胁。2019年2月,WinRAR的漏洞被网络罪犯和黑客广泛使用,影响了自2000年以来发行的所有WinRAR版本,超过5亿WinRAR 用户面临风险。9月,Demant集团的勒索软件事件造成了高达9500万美元的损失。二是多行业关键信息基础设施遭受攻击。1月,韩国国防部30台计算机被破坏,重要武器和弹药采购的数据丢失。3月,委内瑞拉电力系统遭“电磁攻击”,导致全国大范围停电。三是个人信息与商业数据遭遇大规模泄露与违规利用。3月,美国思杰(Citrix)公司遭受严重的黑客攻击,大量政府机构和财富500强企业的文件被盗。9月,IT安全和云数据管理巨头Rubrik数据库中近10GB的客户信息数据遭到泄露。
2020年,随着当前生产生活对网络信息系统依赖性的增强,网络攻击事件的数量仍将不断增多,影响范围也将更加广泛。
2. 全球网络战威胁更加严重。各国为了维护本国在网络空间的核心利益,持续加大网络空间的军事投入,各国网络战威胁更加严重。2019年2月,美国防部发布《国防部云战略》,美军网络部队将融合人工智能等复合元素,打造更具优势的强力“网军”。7月,美国防部发布2018版《国家军事战略》概要,提出美国要实行“一体化军事战略”,联合部队及指挥官必须高度重视“网络空间的多样化”。二是网络作战机构设置日益完善。美国网络司令部升格为独立作战司令部;日本防卫省宣布组建专门部队保护国防通信网络。三是构建网络防御军事行动同盟。北约提出成立网络指挥部,以全面及时掌握网络空间状况;美澳、美日等也结成了网络防御军事同盟,一国受到网络攻击,两国将共同采取行动。四是积极开展网络安全军事演习。2019年4月,北约举行全球规模最大的网络安全演习——“锁盾—2019”,4000个虚拟军事系统承受了2000多次网络攻击;6月,美国举行“网络旗帜”演习,专注于演练“持久交战”。
2020年,随着全球网络战政策的完善以及网络军事力量建设加速,全球网络战威胁将更加种严重。
3. 我国将更为重视个人信息安全与隐私保护。大数据时代,数据是重要的战略资源。在充分挖掘数据价值的同时,我国对个人信息安全与隐私保护问题也越来越重视。一是进一步完善个人信息安全与隐私保护政策文件。2019年5月,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》,在个人信息收集、广告精准推送等问题上做出了明确规定。9月,《儿童个人信息网络保护规定》正式发布,作为我国第一部专门针对儿童网络保护的立法,具有里程碑意义。二是研究制定数据跨境流动规则。6月,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》,加强了出境数据非法利用的限制。三是积极开展个人信息安全与隐私保护治理工作。信安标委秘书处组织编制了《移动互联网应用个人信息收集指引》,并研发了App专项行动评估辅助工具、App个人信息保护检测系统等,为专项行动的开展提供支撑。
2020年,个人信息安全风险将更加突出,我国将继续完善相应法规体系,提升监管能力和个人信息保护力度。
4. 我国关键信息基礎设施安全防护能力将显著提升。随着信息技术的广泛应用,我国高度重视关键信息基础设施保护,加强关键信息基础设施安全监管。一是开展安全检查和评估。工业和信息化部连续十年组织基础电信企业、互联网企业、域名机构对自身网络系统开展安全性检查,年均处置数万起网络安全事件,有效保障了电信网和互联网安全稳定运行。二是加强对企业的考核通报。组织基础电信企业开展网络与信息安全责任考核,将监督检查及整改结果、安全事件和处置情况纳入年度考核。三是强化应急指挥能力建设。工业和信息化部构建了由各地通信管理局、基础电信企业等单位参与的行业一体化指挥体系。
2020年,面临严峻的内外部网络安全形势,我国关键信息基础设施安全能力将进一步提升。
5. 我国网络安全保障能力将进一步提升。为积极应对国内外网络安全产业形势的变化和技术发展趋势,我国相关主管部门不断夯实网络安全保障能力。一是强化网络安全技术保障。工业和信息化部依托制造业高质量发展工程,加快推进网络安全技术手段的建设,提升行业的网络安全手段建设水平和保障能力。二是着力发展网络安全产业。印发了《国家网络安全产业园区发展规划》,深入推进北京国家网络安全产业园区建设。三是积极开展网络安全技术应用试点示范工作。工业和信息化部从2016年起,连续四年开展网络安全技术应用试点示范,共遴选出231个优秀项目。
2020年,我国将继续加强网络安全核心技术的研发,优化网络安全产业的发展环境,进一步提升我国网络安全保障能力。
需要关注的几个问题
1.我国网络安全核心技术亟需实现自主。我国对国外信息技术产品的依赖度较高,CPU主要依赖英特尔和AMD等厂商;内存主要依赖三星、镁光等厂商;硬盘主要依赖东芝、日立和希捷等厂商;操作系统则被微软所垄断。国家安全体系的构建,一是亟需研发出可使用的核心信息技术产品,另一方面是亟需对网络产品和服务进行评估、扶持和推广,进而构建良好的生态。
2.我国关键信息基础设施安全保障需进一步加强。关键信息基础设施的网络攻击不断升级,我国关键信息基础设施的安全保护力度仍然不足。一是网络安全检查评估机制不健全。当前的网信安全检查侧重漏洞发现,缺乏对漏洞修复的激励措施以及危害等级的评估体系。二是关键信息基础设施安全保障工作存在标准缺失的问题。尽管行业内已加速开展相关标准的研究工作,但仍缺少金融、电力和通信等细分领域的安全保障标准研究。面对日益严峻的网络安全挑战,我国应尽快完善关键信息基础设施安全保障体系。 3.我国数据安全治理能力有待提升。数据已经发展成为新的关键生产要素,但我国数据资源的开发和治理仍然存在一些突出问题。一是我国尚未颁布统一的个人信息保护立法。有关个人信息保护整体的监管体系、执法机制也尚未建立,个人信息收集和使用规则不明确。二是缺乏专门的数据保护机构。虽然法律对违法侵害个人信息的行为做出了规定,但由于没有数据保护机构和审查部门,违法成本低,导致许多违法行为难以被发现。
4.我国网络可信身份生态建设需进一步加快。我国网络可信身份生态建设仍需进一步加快。一是网络可信身份体系建设顶层设计不完善。我国还未明确将网络身份管理纳入国家安全战略,也未形成推进网络可信身份体系建设的整体框架和具体路径。二是身份基础资源尚未实现广泛的互联互通。基础可信身份资源数据库还未实现广泛的互通共享,使得数据核查成本较高、效率较低。三是认证技术发展滞后,还不能满足新兴技术和应用的要求。因此,亟需开展针对性的研究,尽快制定国家网络可信身份战略,创建可信网络空间。
应采取的对策建议
1.加强关键技术研发,构建核心技术自主生态圈。一是加大对关键技术研发的支持力度。确定重点支持技术清单。在芯片设计、自主操作系统研发等方面加大投入。二是构建国产软硬件生态。大力推进操作系统统一接口工作,构建国产软硬件生态。联合建设国家主导的开源社区,发展基于自主社区的各类应用及迁移工具。三是优化核心技术自主创新环境。强化企业的创新主体地位,着力构建以企业为主体、市场为导向、产学研用相结合的技术创新体系,为企业充分利用国际资源提供支撑。
2.加强安全制度建设,全面保护关键信息基础设施。一是加快建立关键信息基础设施识别认定机制。国家网信部门联合行业主管部门制定关键信息基础设施识别认定标准;建立并维护国家关键信息基础设施清单。二是加强国家关键数据资源管理制度。在关键信息基础设施行业和领域推行数据分级分类制度;定期开展数据资源安全状况检测和风险评估。三是研究制定关键信息基础设施网络安全标准规范。研制关键信息基础设施的基础性标准,推动关键信息基础设施分类分级等标准的研制和发布
3.强化数据治理,提升数据安全保障水平。一是健全数据治理相关规则。制定统一的个人信息保护法,明确公民个人对其信息享有的权利、企业收集和使用个人信息的基本制度。二是推进数据资源建設与开放共享。加强宣传和引导,增强数据资源建设意识。制定实施数据开放国家计划,确立数据开放共享的原则,推动公共数据资源跨部门按需共享和向社会开放。三是加强数据安全保障。开展信息安全风险评估,落实重点领域数据出境安全评估制度,加大对数据跨境的监管力度。
4.强化网络可信身份体系建设,打造可信网络空间。一是加快建设个人和法人基础信息服务支撑平台。向政务、商务和个人提供权威、准确、安全的身份信息服务,构建网络可信身份基础设施。二是加快网络可信身份政策法规标准制度建设。出台网络可信身份体系建设行动纲要,布局网络可信身份框架层次,部署重点任务;制定网络可信身份技术标准,指导网络身份信息收集、存储、使用等行为。三是推动网络可信身份服务试点。在具备一定基础的区域、城市和行业开展基于网络可信身份的综合性业务试点。四是持续开展网络可信宣传交流。通过专题研讨、技术应用展览等系列活动,及时向社会宣贯国家法律法规和政策标准,打造网络可信领域具有国际影响力的活动。
5.完善人才培养、激励等机制,加快人才队伍建设。一是加快建立多层次的网络安全人才培养体系。加强高等院校网络空间安全专业建设,支持高等院校创新人才培养模式,与网络安全企业合作,产教结合共同培养人才。二是深化网络安全人才流动、评价、激励等机制创新。组织开展网络安全国有企事业单位股权期权激励试点;制定网络安全人才职称评价标准。三是强化重点行业和领域网络安全人员能力建设。开展党政机关网络安全关键岗位梳理工作,制定关键岗位分类规范及能力标准。
对2020年形势的基本判断
1.全球网络攻击事件更加频发。世界经济论坛《2019年全球风险报告》中指出,网络攻击已成为全球五大风险之一。一是软硬件设备安全漏洞频出给网络空间安全带来严重威胁。2019年2月,WinRAR的漏洞被网络罪犯和黑客广泛使用,影响了自2000年以来发行的所有WinRAR版本,超过5亿WinRAR 用户面临风险。9月,Demant集团的勒索软件事件造成了高达9500万美元的损失。二是多行业关键信息基础设施遭受攻击。1月,韩国国防部30台计算机被破坏,重要武器和弹药采购的数据丢失。3月,委内瑞拉电力系统遭“电磁攻击”,导致全国大范围停电。三是个人信息与商业数据遭遇大规模泄露与违规利用。3月,美国思杰(Citrix)公司遭受严重的黑客攻击,大量政府机构和财富500强企业的文件被盗。9月,IT安全和云数据管理巨头Rubrik数据库中近10GB的客户信息数据遭到泄露。
2020年,随着当前生产生活对网络信息系统依赖性的增强,网络攻击事件的数量仍将不断增多,影响范围也将更加广泛。
2. 全球网络战威胁更加严重。各国为了维护本国在网络空间的核心利益,持续加大网络空间的军事投入,各国网络战威胁更加严重。2019年2月,美国防部发布《国防部云战略》,美军网络部队将融合人工智能等复合元素,打造更具优势的强力“网军”。7月,美国防部发布2018版《国家军事战略》概要,提出美国要实行“一体化军事战略”,联合部队及指挥官必须高度重视“网络空间的多样化”。二是网络作战机构设置日益完善。美国网络司令部升格为独立作战司令部;日本防卫省宣布组建专门部队保护国防通信网络。三是构建网络防御军事行动同盟。北约提出成立网络指挥部,以全面及时掌握网络空间状况;美澳、美日等也结成了网络防御军事同盟,一国受到网络攻击,两国将共同采取行动。四是积极开展网络安全军事演习。2019年4月,北约举行全球规模最大的网络安全演习——“锁盾—2019”,4000个虚拟军事系统承受了2000多次网络攻击;6月,美国举行“网络旗帜”演习,专注于演练“持久交战”。
2020年,随着全球网络战政策的完善以及网络军事力量建设加速,全球网络战威胁将更加种严重。
3. 我国将更为重视个人信息安全与隐私保护。大数据时代,数据是重要的战略资源。在充分挖掘数据价值的同时,我国对个人信息安全与隐私保护问题也越来越重视。一是进一步完善个人信息安全与隐私保护政策文件。2019年5月,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》,在个人信息收集、广告精准推送等问题上做出了明确规定。9月,《儿童个人信息网络保护规定》正式发布,作为我国第一部专门针对儿童网络保护的立法,具有里程碑意义。二是研究制定数据跨境流动规则。6月,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》,加强了出境数据非法利用的限制。三是积极开展个人信息安全与隐私保护治理工作。信安标委秘书处组织编制了《移动互联网应用个人信息收集指引》,并研发了App专项行动评估辅助工具、App个人信息保护检测系统等,为专项行动的开展提供支撑。
2020年,个人信息安全风险将更加突出,我国将继续完善相应法规体系,提升监管能力和个人信息保护力度。
4. 我国关键信息基礎设施安全防护能力将显著提升。随着信息技术的广泛应用,我国高度重视关键信息基础设施保护,加强关键信息基础设施安全监管。一是开展安全检查和评估。工业和信息化部连续十年组织基础电信企业、互联网企业、域名机构对自身网络系统开展安全性检查,年均处置数万起网络安全事件,有效保障了电信网和互联网安全稳定运行。二是加强对企业的考核通报。组织基础电信企业开展网络与信息安全责任考核,将监督检查及整改结果、安全事件和处置情况纳入年度考核。三是强化应急指挥能力建设。工业和信息化部构建了由各地通信管理局、基础电信企业等单位参与的行业一体化指挥体系。
2020年,面临严峻的内外部网络安全形势,我国关键信息基础设施安全能力将进一步提升。
5. 我国网络安全保障能力将进一步提升。为积极应对国内外网络安全产业形势的变化和技术发展趋势,我国相关主管部门不断夯实网络安全保障能力。一是强化网络安全技术保障。工业和信息化部依托制造业高质量发展工程,加快推进网络安全技术手段的建设,提升行业的网络安全手段建设水平和保障能力。二是着力发展网络安全产业。印发了《国家网络安全产业园区发展规划》,深入推进北京国家网络安全产业园区建设。三是积极开展网络安全技术应用试点示范工作。工业和信息化部从2016年起,连续四年开展网络安全技术应用试点示范,共遴选出231个优秀项目。
2020年,我国将继续加强网络安全核心技术的研发,优化网络安全产业的发展环境,进一步提升我国网络安全保障能力。
需要关注的几个问题
1.我国网络安全核心技术亟需实现自主。我国对国外信息技术产品的依赖度较高,CPU主要依赖英特尔和AMD等厂商;内存主要依赖三星、镁光等厂商;硬盘主要依赖东芝、日立和希捷等厂商;操作系统则被微软所垄断。国家安全体系的构建,一是亟需研发出可使用的核心信息技术产品,另一方面是亟需对网络产品和服务进行评估、扶持和推广,进而构建良好的生态。
2.我国关键信息基础设施安全保障需进一步加强。关键信息基础设施的网络攻击不断升级,我国关键信息基础设施的安全保护力度仍然不足。一是网络安全检查评估机制不健全。当前的网信安全检查侧重漏洞发现,缺乏对漏洞修复的激励措施以及危害等级的评估体系。二是关键信息基础设施安全保障工作存在标准缺失的问题。尽管行业内已加速开展相关标准的研究工作,但仍缺少金融、电力和通信等细分领域的安全保障标准研究。面对日益严峻的网络安全挑战,我国应尽快完善关键信息基础设施安全保障体系。 3.我国数据安全治理能力有待提升。数据已经发展成为新的关键生产要素,但我国数据资源的开发和治理仍然存在一些突出问题。一是我国尚未颁布统一的个人信息保护立法。有关个人信息保护整体的监管体系、执法机制也尚未建立,个人信息收集和使用规则不明确。二是缺乏专门的数据保护机构。虽然法律对违法侵害个人信息的行为做出了规定,但由于没有数据保护机构和审查部门,违法成本低,导致许多违法行为难以被发现。
4.我国网络可信身份生态建设需进一步加快。我国网络可信身份生态建设仍需进一步加快。一是网络可信身份体系建设顶层设计不完善。我国还未明确将网络身份管理纳入国家安全战略,也未形成推进网络可信身份体系建设的整体框架和具体路径。二是身份基础资源尚未实现广泛的互联互通。基础可信身份资源数据库还未实现广泛的互通共享,使得数据核查成本较高、效率较低。三是认证技术发展滞后,还不能满足新兴技术和应用的要求。因此,亟需开展针对性的研究,尽快制定国家网络可信身份战略,创建可信网络空间。
应采取的对策建议
1.加强关键技术研发,构建核心技术自主生态圈。一是加大对关键技术研发的支持力度。确定重点支持技术清单。在芯片设计、自主操作系统研发等方面加大投入。二是构建国产软硬件生态。大力推进操作系统统一接口工作,构建国产软硬件生态。联合建设国家主导的开源社区,发展基于自主社区的各类应用及迁移工具。三是优化核心技术自主创新环境。强化企业的创新主体地位,着力构建以企业为主体、市场为导向、产学研用相结合的技术创新体系,为企业充分利用国际资源提供支撑。
2.加强安全制度建设,全面保护关键信息基础设施。一是加快建立关键信息基础设施识别认定机制。国家网信部门联合行业主管部门制定关键信息基础设施识别认定标准;建立并维护国家关键信息基础设施清单。二是加强国家关键数据资源管理制度。在关键信息基础设施行业和领域推行数据分级分类制度;定期开展数据资源安全状况检测和风险评估。三是研究制定关键信息基础设施网络安全标准规范。研制关键信息基础设施的基础性标准,推动关键信息基础设施分类分级等标准的研制和发布
3.强化数据治理,提升数据安全保障水平。一是健全数据治理相关规则。制定统一的个人信息保护法,明确公民个人对其信息享有的权利、企业收集和使用个人信息的基本制度。二是推进数据资源建設与开放共享。加强宣传和引导,增强数据资源建设意识。制定实施数据开放国家计划,确立数据开放共享的原则,推动公共数据资源跨部门按需共享和向社会开放。三是加强数据安全保障。开展信息安全风险评估,落实重点领域数据出境安全评估制度,加大对数据跨境的监管力度。
4.强化网络可信身份体系建设,打造可信网络空间。一是加快建设个人和法人基础信息服务支撑平台。向政务、商务和个人提供权威、准确、安全的身份信息服务,构建网络可信身份基础设施。二是加快网络可信身份政策法规标准制度建设。出台网络可信身份体系建设行动纲要,布局网络可信身份框架层次,部署重点任务;制定网络可信身份技术标准,指导网络身份信息收集、存储、使用等行为。三是推动网络可信身份服务试点。在具备一定基础的区域、城市和行业开展基于网络可信身份的综合性业务试点。四是持续开展网络可信宣传交流。通过专题研讨、技术应用展览等系列活动,及时向社会宣贯国家法律法规和政策标准,打造网络可信领域具有国际影响力的活动。
5.完善人才培养、激励等机制,加快人才队伍建设。一是加快建立多层次的网络安全人才培养体系。加强高等院校网络空间安全专业建设,支持高等院校创新人才培养模式,与网络安全企业合作,产教结合共同培养人才。二是深化网络安全人才流动、评价、激励等机制创新。组织开展网络安全国有企事业单位股权期权激励试点;制定网络安全人才职称评价标准。三是强化重点行业和领域网络安全人员能力建设。开展党政机关网络安全关键岗位梳理工作,制定关键岗位分类规范及能力标准。