轉眼間��,2021 年已過大半����。回顧 2021 年上半年����,新冠疫情的影響還未消退,網絡攻擊態(tài)勢卻愈演愈烈�����。
勒索軟件為代表的安全事件頻發(fā)。據統(tǒng)計����,2021 年平均每 11 秒就發(fā)生一次勒索攻擊事件,預計今年全球勒索軟件損失將達到 200 億美元��。5 月���,美國最大燃油運輸管道公司科洛尼爾和全球最大肉類供應商 JBS 集團遭勒索攻擊,造成短期內石油���、肉類供應緊張����。
數據泄露數量規(guī)模不斷擴大���,對國家安全�����、企業(yè)安全���、民眾安全均帶來了嚴重的危害。2021 年以來�,社交巨頭LinkedIn 已經歷了三輪大規(guī)模用戶個人資料被惡意抓取����,共計 18 億用戶數據遭泄露;4 月�,F(xiàn)acebook 超 5 億用戶信息泄露,涉及全球 106 個國家����。
此外,重大安全漏洞不斷涌現(xiàn)�����,涉及眾多知名廠商���。3 月���,蘋果公司緊急修復遠程命令執(zhí)行漏洞,影響涉及數十億設備;4 月�����,國內廠商小米披露了其 MIUI 系統(tǒng)的越權漏洞預警��,攻擊者可利用該漏洞獲取前臺運行進程信息;5 月,高通移動調制解調器 MSM 芯片被曝存在安全漏洞���,影響全球 40% 手機�。
2021 年網絡安全進入新階段:安全事件頻發(fā)���、影響日益嚴重�����,促使多國競相出臺加強網絡安全建設的政策���、法律和規(guī)劃����。
本文梳理全球主要國家在 2021 年上半年發(fā)布的政策法規(guī),從國家戰(zhàn)略���、新興技術�、數字治理�、供應鏈安全和關鍵信息基礎設施保護等角度,展示全球網絡安全發(fā)展態(tài)勢��。
一、多國出臺國家網絡安全戰(zhàn)略�,占據網絡空間競爭優(yōu)勢
2021 年上半年,美國�����、歐盟��、英國��、俄羅斯�、日本等國紛紛出臺國家安全總體戰(zhàn)略,重點加強網絡安全頂層規(guī)劃建設�,力圖在全球網絡空間激烈競爭局勢中占得先機。
1. 美國將網絡安全列為國家優(yōu)先級別
隨著年初美國總統(tǒng)拜登正式上任�,加之近期出現(xiàn)的一系列重大安全事件,美國政府加緊出臺新版國家安全總體戰(zhàn)略����,并提出將網絡安全列為國家安全首位。
2021 年 3 月����,美國白宮發(fā)布《國家安全戰(zhàn)略臨時指南》,作為拜登政府發(fā)布的第一份全面應對國際國內局勢的政策指導文件�,該指南提出加強美國在網絡空間中的能力和彈性�����。通過鼓勵公私合作����、加大資金投資���、加強國際合作�、制定網絡空間全球規(guī)范��、追求網絡攻擊責任���、增加網絡攻擊成本等方式保護美國網絡安全��,同時特別強調國家網絡人才庫多樣化的重要性。
2021 年 5 月���,美國總統(tǒng)拜登簽署發(fā)布了《改善國家網絡安全行政令》����,旨在從保護聯(lián)邦網絡���、改善美國政府與私營部門間信息共享以及增強美國對安全事件響應能力等方面���,提高國家網絡安全防御能力����。美國政府將通過推動聯(lián)邦政府采用零信任架構��、改善軟件供應鏈安全��、建立網絡安全審查委員會以及提升漏洞和事件處置能力等措施����,實現(xiàn)網絡安全現(xiàn)代化的目標。
2021 年 6 月����,美國國會參議院高票通過了《2021美國創(chuàng)新和競爭法案》,該法案主要由 1 個撥款方案和4 個相互獨立的法案構成�,涉及芯片、5G���、航空航天����、網絡安全及人工智能、醫(yī)學研究�����、美國制造等多個領域�����,相關投資額約 2500 億美元�,包括:向半導體制造業(yè)補貼逾 500 億美元;向美國國家科學基金會(NSF)撥款810 億美元,用于人工智能���、計算機技術等 10 個重點領域研究;向 5G 行業(yè)提供 15 億美元以鼓勵技術創(chuàng)新等�����。
2. 歐盟制定數字十年的網絡安全戰(zhàn)略
歐盟在“戰(zhàn)略自主”的框架下全面提出數字主權建設���,并計劃圍繞這一整體戰(zhàn)略出臺一系列政策法規(guī)。未來十年�����,歐盟將通過大力發(fā)展數字技術和數字基礎設施�,推進全球網絡空間開放合作。
2021 年 3 月�,歐盟委員會發(fā)布《關于歐盟數字十年網絡安全戰(zhàn)略的結論》文件。該戰(zhàn)略于 2020 年 12 月底發(fā)布���,旨在增強歐洲抵御網絡威脅的能力��,并指出未來歐盟主要行動包括建立歐盟安全運營中心網絡計劃;明確歐盟網絡安全危機管理框架;加強與國際組織和伙伴國家的合作�����,以增強網絡威脅形勢的共識等�����。
2021 年 3 月����,歐盟委員會發(fā)布《2030 數字指南針:歐洲數字十年之路》報告�����,明確了到 2030 年���,歐洲數字化轉型的目標和實現(xiàn)途徑����。報告制定了包括提升公民數字素養(yǎng)、建立安全和可持續(xù)的數字基礎設施�、推動企業(yè)數字化轉型、促進公共服務數字化在內的四大類目標�����。為落實歐盟總體數字計劃中的部分規(guī)定����,歐盟委員會于2021 年 6 月提出歐盟數字身份框架計劃,敦促成員國為歐盟所有公民設立數字身份檔案系統(tǒng)��,提供數字身份錢包�����。
3. 英國制定戰(zhàn)略重塑國家網絡安全愿景
在面對新冠疫情�����、地緣政治與脫歐等多重挑戰(zhàn)的背景下�����,英國政府制定“全球英國”的戰(zhàn)略規(guī)劃愿景�,并提出總體目標,將網絡安全列為英國目前面臨的核心問題��。
2021 年 3 月�����,英國政府正式發(fā)布《競爭時代的全球英國:安全�、國防、發(fā)展與外交政策綜合評估》報告�,該報告提出四項總體目標:一是通過科學和技術來維持戰(zhàn)略優(yōu)勢;二是塑造未來的開放國際秩序;三是加強國內外的安全與防御;四是在國內外建立彈性。
根據報告顯示����,英國即將發(fā)布 2021 年新版網絡戰(zhàn)略。該戰(zhàn)略明確了五大優(yōu)先事項:一是加強英國的網絡生態(tài)系統(tǒng)����,采取一種整體的網絡方法,并加深政府����、學術界和業(yè)界之間的合作伙伴關系;二是建立一個彈性和繁榮的“數字英國”,使民眾在網絡中感到安全,并對個人數據受到保護充滿信心;三是引領對網絡力量至關重要的技術�����,包括微處理器��、安全系統(tǒng)設計��、量子技術和新形式數據傳輸等;四是與其他政府和業(yè)界合作�,并利用英國在網絡安全方面的思想領導力,促進自由��、開放�����、和平與安全的網絡空間;五是發(fā)現(xiàn)��、破壞和威懾英國的對手��。
4. 俄羅斯新版國家戰(zhàn)略中新增信息安全保障
2021 年 7 月��,俄羅斯總統(tǒng)普京簽署新版《國家安全戰(zhàn)略》���。此戰(zhàn)略由俄羅斯聯(lián)邦安全會議制定�,是國家安全保障領域的最高層次指導文件。俄羅斯《國家安全戰(zhàn)略》每六年更新修訂一次�����,與 2015 年底頒布的上一版戰(zhàn)略相比�����,新版戰(zhàn)略首次加入信息安全章節(jié)�����,體現(xiàn)了俄羅斯對于網絡信息安全的重視程度日益增加�。
新版《戰(zhàn)略》主要分析了當前全球和俄羅斯的發(fā)展態(tài)勢及安全環(huán)境����,提出了國家和社會安全、信息安全���、科學技術發(fā)展等九個國家戰(zhàn)略性優(yōu)先事項���,并明確了各優(yōu)先事項框架下的形勢、目標與任務�。
在信息安全領域,該戰(zhàn)略明確反對他國運用信息通信技術對俄羅斯實施網絡攻擊、情報偵察����,防止運用互聯(lián)網散布不利于俄羅斯政治局勢穩(wěn)定的不實信息等,提出包括加強電子數據管理系統(tǒng)防護��、建立信息安全威脅預警系統(tǒng)�����、應用人工智能技術和量子計算等先進技術改進信息安全保障方法等 16 項任務��。
5. 日本發(fā)布網絡安全戰(zhàn)略應對復雜安全形勢
為應對日益嚴峻的數字化威脅以及東京奧運會網絡安全挑戰(zhàn)����,日本發(fā)布一系列網絡安全戰(zhàn)略文件。2021 年5 月�����,日本內閣秘書處內閣網絡安全中心(NISC)發(fā)布《下一代網絡安全戰(zhàn)略綱要》《網絡安全研發(fā)戰(zhàn)略(修訂版)》
《網絡安全委員會倡議》等多份有關網絡安全的政策文件�����,進一步推進數字社會建設����,構建網絡防御體系���,以建立自由安全的公共網絡空間。
2021 年 7 月�,日本發(fā)布新版《網絡安全戰(zhàn)略》草案并征求公眾意見,戰(zhàn)略草案確定了實施有關網絡安全措施的五項基本原則����,確保信息的自由傳播���、法治�����、開放性��、自主性和多方合作���。戰(zhàn)略草案指出,為確?���!白杂?��、公平和安全的網絡空間”,應從以下三個方向推進相關工作:一是在數字化變革的基礎上����,同步推進數字化轉型和網絡安全;二是促進網絡空間安全,“實現(xiàn)公民在社會能夠安全的生活”;三是從安全角度加強努力�����,增強參與�����、協(xié)調和合作���。
二�����、新興技術構建萬物互聯(lián)����,制度建設推動安全建設
近年來�����,以 5G、人工智能����、物聯(lián)網等為代表的新興技術迅猛發(fā)展,一個萬物互聯(lián)的智能時代即將誕生���。物聯(lián)網正在推動人類社會從“信息化”向“智能化”轉變�,促進信息科技與產業(yè)發(fā)生巨大變化���。
在新興技術為人類社會帶來新一輪科技革命與產業(yè)變革的同時,其中也蘊藏著許多網絡安全風險�。
縱觀全球,各國都在加快新興技術戰(zhàn)略布局����,出臺相應政策法規(guī),確保智能時代的經濟發(fā)展安全有序���。
1. 5G 建設步入高速發(fā)展期����,安全風險引發(fā)關注
如果說 2020 年是 5G 建設之年,那么 2021 年就是5G 高速發(fā)展之年��。隨著 5G 技術的蓬勃發(fā)展����,由此引發(fā)的網絡安全問題成為各界關注的重點。2021 年 2 月���,移動安全公司 AdaptiveMobile 向 GSM 協(xié)會報告了最新研究成果�,發(fā)現(xiàn) 5G 架構的網絡切片與虛擬化網絡功能存在安全漏洞���,惡意攻擊者可能借此跨越移動運營商 5G網絡上的各個不同網絡切片���,發(fā)動數據訪問與拒絕服務攻擊。
因此���,各國紛紛發(fā)布與 5G 安全相關的戰(zhàn)略��、政策和標準���,同時加大資金投入,致力于建立一個完善的 5G發(fā)展體系�����。
美國方面,在 2021 年 2 月����,美國國家標準與技術研究院(NIST)發(fā)布了《5G 網絡安全實踐指南》草案,該指南旨在幫助使用 5G 網絡的組織以及網絡運營商和設備供應商提高安全能力�����。
2021 年 3 月���,美國國際戰(zhàn)略研究中心(CSIS)發(fā)布《加速美國 5G 發(fā)展》報告����,報告提出完善電信法規(guī)以消除監(jiān)管障礙���、與盟國建立網絡安全合作機制等 11 項具體建議,確保美國 5G 發(fā)展能夠最大程度的降低國家安全風險���,同時最大化經濟回報����。
2021 年 5 月,美國國家情報總監(jiān)辦公室�、美國國家 安全局和國土安全部網絡安全與基礎設施安全局聯(lián)合發(fā) 布《5G 基礎設施潛在威脅載體報告》,分析了 5G 在政 策標準��、供應鏈��、5G 系統(tǒng)架構三個領域的威脅載體���,以 加強對 5G 應用面臨威脅的了解���,制定全面的解決方案。歐盟方面�����,在 2020 年 12 月��,歐盟網絡安全局 (ENISA)發(fā)布《5G 網絡威脅態(tài)勢報告》��,探討了未 來應如何利用安全技術幫助減輕 5G 網絡安全風險的措 施��,對 5G 安全生態(tài)系統(tǒng)中的利益相關方提出了創(chuàng)新性 建議����。
2021 年 3 月���,歐盟委員會在《關于歐盟數字十年網 絡安全戰(zhàn)略的結論》文件中要求實施并加速完成歐盟 5G 工具箱,努力確保 5G 網絡安全性和未來網絡發(fā)展�。對我國來說,2021 年 6 月�,國家發(fā)展改革委等四部 門聯(lián)合發(fā)布《能源領域 5G 應用實施方案》。實施方案 提出進一步拓展能源領域 5G 應用場景��、加快能源領域 5G 專用技術研發(fā)����、加大相關基礎設施和安全保障能力建 設三項重點任務。在安全保障能力建設方面����,實施方案 要求構建 5G 應用安全保障體系,確保 5G 融合應用相 關網絡基礎設施和核心系統(tǒng)安全���。同時健全能源領域 5G 應用安全技術標準���,將 5G 網絡安全保障納入能源領域 5G 應用的全流程��、全環(huán)節(jié)。
2021 年 7 月����,工信部、中央網絡安全和信息化委員 會辦公室等十部門聯(lián)合發(fā)布《5G 應用“揚帆”行動計劃 (2021-2023 年)》�,旨在顯著提升我國 5G 應用發(fā)展 水平,保護 5G 應用安全等��。根據行動計劃��,提升 5G 應 用安全的具體舉措包括以下四個方面����,一是加強 5G 應 用安全風險評估;二是開展 5G 應用安全示范推廣;三 是提升 5G 應用安全評測認證能力;四是強化 5G 應用安 全供給支撐服務。
2. 人工智能引發(fā)雙重考驗����,政策監(jiān)管仍需加強
近年來,人工智能技術日趨成熟�����,應用十分廣泛���。伴隨而來的網絡安全問題對現(xiàn)實生活也造成一定影響��,F(xiàn)acebook 創(chuàng)始人兼 CEO 扎克伯格���、美國前總統(tǒng)奧巴馬均遭遇過“AI 換臉”��,引發(fā)社會廣泛關注�。目前�����,以美歐為代表的西方國家正加快出臺監(jiān)管政策�,規(guī)范人工智能領域發(fā)展。
美國方面��,2021 年 3 月���,美國國家人工智能安全委員會向國會提交發(fā)展人工智能的最終建議報告�。報告規(guī)劃了美國在人工智能時代取勝的戰(zhàn)略�����,并制定了行動路線圖��。報告中首次提及�����,中國擁有在未來 10 年超越美國成為人工智能領域領導者的“潛力”����,建議美國政府在領導力、人才���、硬件和創(chuàng)新投資等四個方面立即采取應對行動��。
2021 年 7 月���,美國國土安全部科學技術局發(fā)布《人工智能與機器學習戰(zhàn)略計劃》,提出了未來三大戰(zhàn)略目標:一是推動用于跨領域國土安全能力的下一代人工智能和機器學習技術發(fā)展;二是促進在國土安全任務中使用經過驗證的人工智能與機器學習能力;三是建立經人工智能與機器學習技術培訓的跨學科員工隊伍���。
歐盟方面�����,2021 年 4 月��,歐盟委員會通過了《人工智能法》提案��,旨在建立關于人工智能技術的統(tǒng)一規(guī)則�。提案不僅對人工智能技術在諸如汽車自動駕駛、銀行貸款��、社會信用評分等一系列日?�;顒又械膽迷O定了限制�����,而且還對歐盟內部的執(zhí)法系統(tǒng)和司法系統(tǒng)使用人工智能的情形提出了相應的問題解決方案�����。
2021 年 5 月��,歐洲政策研究中心(CEPS)成立的人工智能和網絡安全工作組�����,發(fā)布了《人工智能與網絡安全:技術��、治理和政策挑戰(zhàn)》報告���。該報告概述了人工智能在網絡安全領域的有效應用��,以及人工智能系統(tǒng)可能被操縱所帶來的風險����,并介紹了與人工智能實施相關的主要倫理影響和政策問題。報告根據歐盟數字戰(zhàn)略的目標�,提出了建設性和具體的政策建議,以確保人工智能的安全應用��。
3. 物聯(lián)網成攻擊重災區(qū)�����,相關政策加緊出臺
隨著萬物互聯(lián)時代的到來�����,機構物聯(lián)網設備數量不斷增加�,但缺乏對應保護措施�����,相關網絡攻擊事件頻發(fā)���。2021 年 3 月�,特斯拉工廠攝像頭供應商被黑��,導致多家機構共計 15 萬個監(jiān)控訪問權限被獲取。近期����,各國政府加快出臺有關政策法規(guī),加強物聯(lián)網安全防范���。
美國方面�,在 2021 年 3 月���,美國參議院與眾議院再次引入《網絡護盾法案》�,其中建議為物聯(lián)網設備創(chuàng)建一個自愿的網絡安全認證計劃�。該法案建議由各界網絡安全專家組成的咨詢委員會負責為物聯(lián)網設備定義一個安全標準。所生產產品符合這些標準的物聯(lián)網制造商可以將此認證展示給公眾并打上“網絡護盾”標簽����,這將有助于消費者在購買物聯(lián)網設備時做出決策。
英國方面���,2021 年 4 月����,英國數字�、文化��、傳媒和體育部(DCMS)發(fā)布了對《物聯(lián)網設備網絡安全提案》征求意見稿的回復��。該提案概述了英國政府對調控物聯(lián)網設備網絡安全的意圖和政策主張����,并倡導通過完善立法來促進消費者使用物聯(lián)網設備的安全性�����。根據該提案��,英國政府將制定新的監(jiān)管計劃��,以保護消費者免受不安全的物聯(lián)網設備的傷害����。同時能夠在不影響有效性的情況下���,采取合適的方法賦予制造商一定的義務和責任�,以實現(xiàn)對公民�����、網絡和物聯(lián)網基礎設施的持續(xù)性保護。
在我國�,2021 年 6 月,工信部發(fā)布《車聯(lián)網(智能網聯(lián)汽車)網絡安全標準體系建設指南》(征求意見稿)��。該指南針對車載聯(lián)網設備��、基礎設施�����、網絡通信�、數據信息、平臺應用��、車聯(lián)網服務等關鍵環(huán)節(jié)��,提出覆蓋終端與設施安全�����、網聯(lián)通信安全����、數據安全、應用服務安全、安全保障與支撐等方面的技術架構�。
2021 年 6 月,工信部發(fā)布《關于加強車聯(lián)網(智能網聯(lián)汽車)網絡安全工作的通知》(征求意見稿)���,其中要求加強車聯(lián)網網絡安全���、平臺安全、數據安全防護�,強化安全漏洞管理。具體包括落實企業(yè)網絡安全主體責任�,建立健全數據安全管理制度,加強個人信息與重要數據保護等�。
三、數據安全成為全球關注重點�����,各國加快數據治理進程
隨著全球數字化轉型���,數據資源已經成為數字時代的“軟黃金”,推動國民經濟快速發(fā)展����。與此同時,數據泄露事件屢見不鮮,對國家安全���、企業(yè)安全和民眾安全均帶來了嚴重的危害�。根據安全公司 Risk BasedSecurity 最近發(fā)布的《2021 年上半年數據泄露速覽報告》顯示��,2021 年上半年共有 1767 起公開報告的泄露事件����,美國報告的泄露事件數量增長了 1.5%,泄露數據總量達188 億條記錄����。
當前,各國都在加緊制定數字戰(zhàn)略���,力求在數字化發(fā)展的浪潮中為數據安全保駕護航��。以歐盟�、美國為代表的西方國家和組織�����,相繼推出較成熟且側重點不同的配套數據安全政策法規(guī)���。我國在數據安全方面也陸續(xù)推出了一系列法律法規(guī)及標準規(guī)范���。
1. 加強數據安全頂層規(guī)劃
對歐盟來說��,其數據安全立法處于全球領先地位�,頒布的眾多政策法規(guī)都頗具影響力����。2018 年 5 月正式實施的歐盟《通用數據保護條例》(GDPR)是全球第一部全面的隱私保護法,對各國的立法均具有啟示意義�。2021 年 2 月,歐盟發(fā)布的《電子隱私條例》草案���,是作為 GDPR 在電子通信領域的細化和補充的特別法�,通過對數據類型的分類保護(例如區(qū)分電子通信內容和元數據)和對法人�����、自然人共同保護的方式加強和擴大了對隱私保護的力度和范圍����。
對美國來說����,其跨國信息巨頭遍布全球�����,數據資源為美國創(chuàng)造了巨大的利益�����,因此美國數據治理模式更偏向于利益導向�。美國目前尚未出臺國家層面統(tǒng)一的數據安全立法����,大多是各州頒布的數據法案。例如�,美國加利福尼亞州的《加州隱私權法案》、弗吉尼亞州的《消費者數據保護法》和科羅拉多州的《科羅拉多州隱私法案》等��。此外���,美國政府還通過了《統(tǒng)一個人數據保護法》��,該法案將成為各州數據隱私法案范本����。
對我國來說,隨著數據安全保護浪潮的興起和各國數據安全保護實踐的深入���,我國逐步建立了以《中華人民共和國網絡安全法》《中華人民共和國數據安全法》為統(tǒng)領���,專項法律、行政法規(guī)��、部門規(guī)章為支撐�����,標準規(guī)范文件為配套的制度體系���。同時�����,《個人信息保護法》正式通過����,進一步完善了我國個人隱私保護法律體系��。
2. 規(guī)范數據跨境流動制度
近年來�����,各國都在出臺有關數據保護的法律法規(guī)���,其中大多涉及數據跨境流動的法律或政策�����,但不同國家的立法標準不一致�。
歐盟以“構筑單一數字市場”為戰(zhàn)略目標��,按照“外嚴內松”原則引領建立全球數據規(guī)則體系��。2021年6月�,歐洲數據保護委員會正式通過關于英國的充分性決定,該決定表明未來 4 年內�,英國和歐盟的個人數據可以自由合法地流動。同月��,作為對 Schrem II 案(該案廢止了美歐數據跨境轉移機制“隱私盾協(xié)議”)的回應�,歐盟數據保護委員會正式通過兩份關于數據跨境傳輸合法性的指導性意見。此外��,歐盟委員會還頒布了新的關于數據跨境傳輸的標準合同條款的最終版本��。
美國以維護數字競爭優(yōu)勢和強化“長臂管轄”為主旨,構建數據跨境流動與限制政策�。2021 年 6 月,美國白宮頒布《關于保護美國公民敏感數據免受外國對手侵害的行政令》�����,該行政令撤銷了特朗普政府針對 TikTok 等與中國相關軟件應用程序的限制性政策��,同時提出了一套全新的審查流程���,由美國商務部持續(xù)評估國外聯(lián)網軟件應用的安全風險����。該行政令表明美國政府正逐步出臺相關法規(guī)限制本國數據跨境流動�����。
我國以維護國家數據主權�、確保安全與發(fā)展并重為目的,逐步建立數據跨境流動保護體系����。首先,《數據安全法》中規(guī)定了對跨境數據實施數據安全審查制度和數據出口管制,初步確立了我國針對數據跨境流動的基本法律框架���。其次��,《個人信息保護法》中規(guī)定跨境傳輸個人信息時需要對數據進行脫敏處理,同時在操作前要進行風險評估���。最后��,新修訂的《網絡安全審查辦法》也增加了對數據安全方面的審查���,同時要求掌握超過100 萬用戶個人信息的企業(yè)赴國外上市,必須申報網絡安全審查����。
可以看出,各國數據跨境流動法律法規(guī)的主旨是在本國利益最大化的前提下合法推進數據跨境流動���。在復雜形勢下�,我國應當建立完善數據跨境流動保障機制�����,確保國家安全、經濟發(fā)展�����、維護公民權益的有效協(xié)同����,真正推動我國數字經濟的發(fā)展,維護數據主權�����。
3. 個人隱私保護成為熱點
隨著新技術��、新應用的快速發(fā)展�����,以人臉識別為代表的人工智能技術帶來的隱私問題持續(xù)引發(fā)全球關注����。今年 3·15 晚會,央視曝光了不少非法采集用戶人臉信息的不良商家��,引發(fā)民眾對隱私數據的擔憂����。
生物識別數據披露的個人特征精確��,且采集門檻較低�����、極易獲取����,一旦遭到泄露��、篡改或非法共享����,極易帶來“身份盜竊”風險��,且正在成為攻擊者的主要目標����。對此,各國政府紛紛出臺相關政策����,開始規(guī)范和限制生物識別數據的使用。
在人臉識別信息保護方面,2021 年 3 月����,我國國家互聯(lián)網信息辦公室、公安部發(fā)布通告稱將加強對語音社交軟件和涉“深度偽造”技術的互聯(lián)網新技術新應用安全評估工作�����。騰訊�����、阿里巴巴���、字節(jié)跳動���、快手、小米等 11 家企業(yè)因未履行安全評估程序被國家有關部門約談��。2021 年 7 月�����,我國最高人民法院審委會通過的《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》也進一步明確����,處理人臉信息必須征得自然人同意����,不得強迫���、變相強迫同意處理其人臉信息�。
在車聯(lián)網數據保護方面�����,2021 年 3 月�����,歐盟數據保護機構發(fā)布了《車聯(lián)網個人數據保護指南》�。該指南聚焦于歐洲車聯(lián)網個人數據保護��,并提出指紋等生物識別數據應當存儲在車內���,應當從車聯(lián)網設計階段即將數據保護納入考慮等建議���。我國也發(fā)布了一系列有關聯(lián)網汽車的數據保護制度��,2021 年 8 月����,國家互聯(lián)網辦公室等五部門出臺《汽車數據安全管理若干規(guī)定 ( 試行 )》;2021 年 6 月����,工信部出臺《關于加強車聯(lián)網(智能網聯(lián)汽車)網絡安全工作的通知》(征求意見稿)。
在 APP 個人信息保護方面�����,近期我國有關機構頒布一系列技術規(guī)范與標準文本���,旨在規(guī)范 APP 個人信息收集行為��,保障公民個人信息安全��。2021 年 3 月����,國家互聯(lián)網信息辦公室秘書局����、工信部辦公廳���、公安部辦公廳、國家市場監(jiān)督管理總局辦公廳四部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》;2021年 4 月�����,工信部發(fā)布《移動互聯(lián)網應用程序個人信息保護管理暫行規(guī)定(征求意見稿)》���。
此外����,我國不同行業(yè)主管部門也針對各領域特點制定相應政策法規(guī)��,重點保護各行業(yè)有關數據����。例如 , 交通運輸部制定《交通運輸政務數據共享管理辦法》���、國家醫(yī)療保障局制定《加強網絡安全和數據保護工作指導意見》等����。
四�����、加強勒索軟件防范,完善供應鏈風險管理與關基保護制度
近年來���,勒索軟件事件頻發(fā)�����,造成的危害也愈加嚴重�����。近期��,一起影響廣泛的軟件供應鏈勒索攻擊事件引發(fā)全球關注�����。美國 IT 管理軟件廠商卡西亞(Kaseya)遭遇勒索軟件攻擊����,黑客組織利用一個 0day 漏洞將惡意軟件部署至卡西亞的管理系統(tǒng)���,全球上千家企業(yè)客戶超 100萬個系統(tǒng)通過軟件更新感染了勒索病毒����,而勒索團伙開出了價值 7000 萬美元的比特幣贖金。
隨著安全防護技術的升級���,黑客開始對軟件供應鏈及能源�、醫(yī)療等關鍵信息基礎設施行業(yè)等薄弱環(huán)節(jié)實施攻擊���。因此�����,各國紛紛出臺相關舉措以應對此類安全威脅�。
1. 積極防范勒索軟件攻擊
2021 年上半年以來����,勒索軟件攻擊十分猖獗,根據安全廠商 SonicWall 報告顯示�����,該公司檢測到的攻擊嘗試達到 3.047 億次����,超過了 2020 年全年的攻擊總數。美國是受勒索軟件攻擊最嚴重的國家之一�,其中美國受影響較大的地區(qū)是佛羅里達州,有 1.111 億次攻擊嘗試����。美國政府近期接連出臺多項打擊勒索軟件攻擊的新舉措。
一是出臺有關政策法規(guī)����。2021 年 6 月,美國司法部提交《關于勒索軟件和數字勒索調查和案件的指導意見》備忘錄��,旨在通過一系列安全指令實踐來阻止勒索軟件感染�����、數據盜竊和向網絡犯罪集團支付巨額款項等違法行為�����。
二是成立打擊勒索軟件工作組�����。成員包括網絡安全和互聯(lián)網企業(yè)、政府部門�、執(zhí)法機構、非營利組織以及國際組織等 50 余家機構����。工作組通過公私部門合作的方式,共同研究提出應對勒索軟件攻擊的解決方案�����。
三是建立專門網站�。主要用于匯集各機構最新勒索軟件預警信息和應對指南。民眾也可通過該網站向政府報送遭受勒索軟件攻擊的情況�。
四是美國司法部實施獎勵計劃,提供 1000 萬美元的獎金�,用于鼓勵相關機構和個人提供具有國家背景的黑客身份或位置信息。
對我國來說�����,尚未出臺專門針對勒索軟件攻擊的法律法規(guī)���,更多是偏執(zhí)行層面的規(guī)章制度��。2021 年 7 月����,國家互聯(lián)網應急中心發(fā)布了《勒索軟件防范指南》��,其中規(guī)定了防范勒索軟件要做到九要���、四不要��。包括要備份重要數據和系統(tǒng)��、要設置復雜密碼并保密�����、要做好身份驗證和權限管理����、要制定應急響應預案等九項建議�。不要點擊來源不明郵件、不要打開來源不可靠網站��、不要安裝來源不明軟件�,以及不要插拔來歷不明的存儲介質等四項建議。
2. 著力加強軟件供應鏈風險管理
根據奇安信《2021 中國軟件供應鏈分析報告》數據顯示�����,國內企業(yè)軟件項目 100% 使用開源軟件;近 9 成軟件項目存在已知開源軟件漏洞;平均每個軟件項目存在 66 個已知開源軟件漏洞,軟件供應鏈安全面臨巨大風險�。
美國在遭遇 SolarWinds 大型供應鏈安全事件后,緊急出臺了一系列有關供應鏈安全的政策法規(guī)�����。2021 年2 月��,美國總統(tǒng)拜登簽署《確保信息和通信技術及服務供應鏈安全》行政令�,要求對半導體芯片等四類供應鏈產品開展審查,并在一年內完成對美國國防��、通信科技�、能源等六大部門的生產供應鏈進行風險評估,提出改善措施�。
2021 年 4 月,美國網絡安全和基礎設施安全局(CISA)和美國國家標準技術研究院(NIST)聯(lián)合發(fā)布《防御軟件供應鏈攻擊》報告���,描述了與軟件供應鏈攻擊相關的信息���、關聯(lián)風險及緩解措施。
2021 年 5 月�����,美國總統(tǒng)簽署的《關于改善國家網絡安全的行政命令》,要求聯(lián)邦政府采取行動確保軟件供應鏈的安全性和完整性����,其中包括要求向政府出售的軟件必須符合基準安全標準���,并引入軟件物料清單���。
2021 年 6 月,美國參議院在通過的《2021 年美國創(chuàng)新和競爭法案》中也提到要推進“彈性供應鏈戰(zhàn)略”�����、幫助美國公司“獲得穩(wěn)定可控的全球供應鏈”等���,從而確保美國在供應鏈安全方面的領導地位����,減少網絡攻擊的產生��。
目前�����,我國在軟件供應鏈方面的政策法規(guī)較為缺失,從國家和行業(yè)監(jiān)管層面來講����,應當制定有關政策要求、標準規(guī)范和實施指南���,確保我國軟件供應鏈安全有序的發(fā)展�。
3. 加大關鍵信息基礎設施保護力度
美國是世界上最早意識到關鍵信息基礎設施重要性并出臺一系列完備政策法規(guī)的國家�����,但依然面臨嚴峻的網絡安全態(tài)勢��。最為嚴重的是美國最大燃油運輸管道公司科洛尼爾遭到網絡攻擊后被迫停運��,直接造成美國東海岸燃油短缺�,美國運輸安全管理局(TSA)由此宣布美國多個州進入緊急狀態(tài)。針對該事件����,美國政府部門隨即出臺了一系列措施。
2021 年 5 月����,美國國土安全部運輸安全管理局(TSA)發(fā)布一項關于加強管道網絡安全的安全指令��,要求各管道供應商應及時向運輸安全管理局與網絡安全及基礎設施安全管理局上報網絡安全事件����,并指派一位網絡安全協(xié)調員�,全天候待命。
2021 年 7 月����,TSA 再次發(fā)布針對關鍵管道運營者的網絡安全新要求的安全指令��,該安全指令要求 TSA 指定的關鍵管道的所有者和運營商實施具體的緩解措施���,以防止勒索軟件攻擊和對信息技術和運營技術系統(tǒng)的其他已知威脅�����,制定并實施網絡安全應急和恢復計劃�����,并進行網絡安全架構設計審查��。
此外�,美國政府還采取建立網絡安全審查委員會、啟動針對關鍵基礎設施保護的試點項目等措施�����,保障關鍵基礎設施的安全�����,如電力行業(yè)網絡安全“百日計劃”等�����。
我國正加速推進以《網絡安全法》為核心的關鍵信息基礎設施保護法律體系建設��。近日��,國務院頒布出臺《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)�����,這是我國首部專門針對關基安全保護工作的行政法規(guī)����,開啟了我國網絡安全工作的新篇章��。
《條例》對《網絡安全法》所確立的關基安全保護制度作了進一步細化完善����,明確了國家網信部門��、國務院公安部門以及重要行業(yè)和領域的主管部門��、監(jiān)督管理部門等相關職能部門的責任邊界和職責要求���,明確了關基認定原則和認定機制���,細化了運營者的主體責任和義務�,形成了關基安全保護工作相關各方的法律責任體系。
此外�����,漏洞管理也屬于關鍵信息基礎設施保護的重要組成部分��。2021 年 7 月�����,工信部、國家互聯(lián)網信息辦公室����、公安部聯(lián)合發(fā)布《網絡產品安全漏洞管理規(guī)定》,其中明確了網絡產品提供者�、網絡運營者,以及從事漏洞發(fā)現(xiàn)��、收集���、發(fā)布等活動的各類主體的責任和義務�����。此項規(guī)定的出臺�����,推動了網絡產品安全漏洞管理工作的制度化�����、規(guī)范化�、法制化。
回顧 2021 年上半年��,全球面臨嚴峻的網絡安全態(tài)勢��,各類攻擊事件層出不窮�����。各國都在加強網絡安全頂層規(guī)劃及細分領域制度建設��。
2021 年下半年��,數據安全及個人隱私�、供應鏈安全和關鍵信息基礎設施保護等方面仍將是網絡安全行業(yè)討論的熱點。我國對網絡空間安全的重視程度正日益增強��,未來網絡安全行業(yè)必將迎來高速發(fā)展期���。
