1.4 世界各国网络空间安全政策法规
随着全球各行业数字化进程的不断加速,各类新兴信息通信技术快速发展,万物互联正一步步向人们走来。因此,各行各业对于数据的安全需求也日益递增。而且,这其中有相当一部分是保障民生的重要行业。
然而,互联网的蔓延带来的并不全是增益,还造成了一系列风险缺口:在数字化推动生产和消费革命的同时,犹如新生婴儿一般缺乏防护能力,传统行业正面临网络安全威胁的挑战。大量的数据表明,近年来随着智能设备和控制系统的增多,数字化的设施越来越容易遭到黑客的攻击,传统产业的网络安全性堪忧。
因此,想要实现万物互联的网络世界需要完善的网络安全政策体系,以实现更高效的安全防御。
1.4.1 美国
美国可以说是网络方面“第一大国”,无论是从网络规模、黑客数量、安全事件还是互联网行业水平来看,都处于领先地位。
在2018年年初,美国众议院能源和商业小组委员会通过了4项法案。
1)要求美国能源部长里克·佩里制订计划提高美国能源管道和液化天然气设施的物理安全与网络安全(《管道与液化天然气设施网络安全准备法案》)。
2)提出将美国能源部的应急响应和网络安全工作领导权力提至助理部长一级(《能源应急领导法案》)。
3)制订计划帮助私营公共事业公司识别并使用网络安全功能强大的产品(《2018网络感知法案》)。
4)提出加强公私合作确保电力设施安全(《公私合作加强电网安全法案》)。
这些法案提出“采取可行的措施”,确保美国能源部能有效执行应急和安全活动,并确保美国能源供应安全可靠。与此同时,美国相继发布了多份网络安全相关政策文件,进一步强化网络安全政策指导。
2018年5月,美国能源部发布《能源行业网络安全多年计划》,确定了美国能源部未来5年力图实现的目标和计划,以及实现这些目标和计划将采取的相应举措,以降低网络事件给美国能源带来的风险。
2018年12月,美国众议院能源和商业委员会发布《网络安全战略报告》,提出6个应对网络安全事件的核心内联概念及解决网络安全问题的6个重点。
除此之外,美国相关部门也发布了其他指导性文件,包括美国国家标准与技术研究院(NIST)的《提升关键基础设施网络安全的框架》、美国国家安全电信咨询委员会(NSTAC)的《网络安全“登月”计划》等。
美国“2019财年国防授权法案”将网络安全预算大幅增加至300亿美元,将从推进技术发展、扩大采购权限、强化政企合作、支持人才培养、创建试点项目等方面提升国家网络安全能力。
1.4.2 欧盟
作为世界最大的经济共同体,汇聚了众多发达国家的欧盟在网络安全方面自然也不甘示弱。
2016年7月6日,欧洲议会全体会议通过首部相关法规《网络与信息系统安全指令》,主要内容包括:要求欧盟各成员国加强跨境管理与合作;制定本国的网络信息安全战略;建立事故应急机制,对能源、金融、交通和医疗等公共服务重点领域的基础服务运营者进行梳理,强制这些企业加强其网络信息系统的安全,增强防范风险和处理事故的能力。
2018年5月,欧盟《网络与信息系统安全指令》正式生效。此项面向欧盟范围内的新法令旨在提高关键基础设施相关组织的IT安全性,同时亦将约束各搜索引擎、在线市场及其他对现代经济拥有关键性影响的组织机构。
此外,另一项家喻户晓的法案也于2018年5月25日正式生效,即《通用数据保护条例》(即GDPR)。这是目前为止出台的全球现有数据隐私保护法规中,覆盖面最广、监管条件最严格的法案。GDPR管辖的范围涵盖所有处理欧盟居民数据的公司,在欧盟地区的企业必须遵守GDPR,欧盟之外的企业只要处理欧盟居民的数据也需要遵守GDPR。目前为止,谷歌公司(以下简称谷歌)、Facebook公司(以下简称Facebook)等多家大型企业也都先后因为安全问题而遭到了GDPR的“制裁”。
除了欧盟层面的法规之外,欧洲几大国也相继发布国家战略及系列规划,加强顶层设计。
1.4.3 德国
2016年8月,德国联邦参议院通过一项信息安全法案,要求关键基础设施机构和服务商必须执行新的信息安全规定,否则将被处以最高10万欧元的罚款。
2016年11月,德国发布一项新的网络安全战略计划,以应对越来越多针对政府机构、关键基础设施、企业及公民的网络威胁。
2018年5月,德国能源与水资源经济联邦协会(BDEW)发布《能源系统网络安全建议白皮书》,对能源系统的安全控制与通信提出了相关建议。
此外,德国国防部长和内政部长在2018年9月宣布,将在未来5年投入2亿欧元组建网络安全与关键技术创新局,机构定位类似于美国国防部高级研究计划局(DARPA),主要致力于推动自主网络安全技术创新。
1.4.4 英国
2016年11月,英国发布《国家网络安全战略(2016—2021年)》,确保网络安全的重要地位,并提出,英国政府将投入19亿英镑强化网络安全能力。
2017年3月,英国正式出台《英国数字化战略2017》,提出七大战略任务,其中,安全的数字基础设施是其首要任务。
2018年6月,英国政府内阁办公室发布实施网络安全最低标准(Minimum CyberSecurity Standard),从识别、保护、检测、响应和恢复5个维度,提出了一套网络安全能力建设的最低措施要求。
1.4.5 中国
十八大以来,我国确立了网络强国战略,为了加快数字中国的建设,互联网已经成为国家发展的重要驱动力,随后在十九大也同样指出,网络安全是人类面临的许多共同挑战。
2017年6月1日,《网络安全法》正式实施。关键基础设施安全成为国内网络安全的主要关注点之一。其中,由于工业控制系统在日常生产制造中占据了非常大的比例,因此为了进一步推动工控系统网络安全建设,一系列法律法规和规范性文件相继出台:国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》,工业和信息化部印发《工业控制系统信息安全防护能力评估工作管理办法》,工业和信息化部制定了《工业控制系统信息安全行动计划(2018—2020年)》等。工控系统的安全被提升到了前所未有的高度。
2018年4月,全国信息安全标准化技术委员会正式发布《大数据安全标准化白皮书(2018版)》。重点介绍了国内外的大数据安全法律法规、政策执行,以及标准化现状,分析了大数据安全所面临的风险和挑战。同时规划了大数据安全标准的工作重点,描绘了大数据安全标准化的体系框架,并提出了开展大数据安全标准化的工作建议。
2018年6月,国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》发布,表示2018—2020年是我国工业互联网建设起步阶段,对未来发展影响深远。随后,为了深入实施工业互联网创新发展战略,推动实体经济与数字经济深度融合,2018年5月工业和信息化部印发《工业互联网发展行动计划(2018—2020年)》和《工业互联网专项工作组2018年工作计划》。
2018年7月,工业和信息化部正式印发《工业互联网平台建设及推广指南》和《工业互联网平台评价方法》,要求制定完善工业信息安全管理等政策法规,明确安全防护要求。建设国家工业信息安全综合保障平台,实时分析平台安全态势。强化企业平台安全主体责任,引导平台强化安全防护意识,提升漏洞发现、安全防护和应急处置能力。
2018年9月,国家能源局印发《关于加强电力行业网络安全工作的指导意见》。指导意见将有效地促进电力行业网络安全责任体系,并有助于完善网络安全监督管理体制机制,进一步提高电力监控系统安全防护水平,强化网络安全防护体系,提高自主创新及安全可控能力,从而防范和遏制重大网络安全事件,以保障电力系统安全稳定运行和电力可靠供应。
各类政策接踵而来,但我国非但没有减慢步伐,仍然在不断地推陈出新。中央网络安全和信息化领导小组提出:“没有网络安全就没有国家安全,没有信息化就没有现代化,中国要由网络大国走向网络强国。”2019年5月,网络安全等级保护制度2.0(以下简称等保2.0)国家标准发布,等保2.0时代正式到来。
等保2.0中将采用安全通用要求和安全扩展要求的划分,使得标准的使用更加具有灵活性和针对性。不同等级保护对象由于采用的信息技术不同,所采用的保护措施也会不同。例如,传统的信息系统和云计算平台的保护措施有差异,云计算平台和工业控制系统的保护措施也有差异。为了体现不同对象的保护差异,新的等级保护条例将安全要求划分为安全通用要求和安全扩展要求。等级保护对象的安全保护措施需要同时实现安全通用要求和安全扩展要求,从而更加有效地保护等级保护对象。
1.4.6 其他国家
2018年2月,新加坡国会通过《网络安全法案》,旨在加强保护提供基本服务的计算机系统,防范网络攻击。该法案提出针对关键信息基础设施的监管框架,并明确了所有者确保网络安全的职责。能源、交通、航空等基础设施领域的关键网络安全信息被点名加强合作。如果关键信息基础设施所有者不履行义务,将面临最高10万新元的罚款,或两年监禁,亦或二者并罚。
以色列创新局将联合以色列经济和工业部、国家网络局启动为期三年的产业发展计划,包括对有全球影响力的技术、有突破性研发潜力的网络安全企业提供资金支持等,投资9000万新谢克尔(约2443万美元)。
可以看出,全世界各国都在积极应对网络空间安全问题。而我国正处于互联网发展的窗口期,加强互联网数据保护、提高抵御黑客攻击的能力将是今后互联网发展的一个重要课题。政策体系还需要进一步完善,而安全产品和技术措施也要跟上互联网发展普及的步伐。网络空间安全仍旧“未来可期”。