综合篇
第一章 2023年全球网络安全发展状况
网络安全牵一发而动全身,与其他领域安全相互交融、相互影响,已经成为最复杂、最现实、最严峻的非传统安全问题之一。随着人工智能、量子科技、大数据等新一代信息技术的高速发展,网络攻防逐步进入智能化对抗时代,全球数据泄露、勒索软件攻击、分布式拒绝服务攻击等网络安全事件频发,给国家网络安全带来新的严峻挑战。2023年,全球多个国家和地区纷纷发布、更新国家安全战略或基础性立法,强化网络安全保障顶层设计,重点加强关键信息基础设施和数据安全保护,积极防范新技术新应用安全风险,多维度构建坚实的网络空间安全保护屏障。
第一节 网络安全顶层设计不断加强
网络安全是国家安全的重要组成部分,是关乎长远、关乎未来、关乎全局的重大战略问题。为更好地应对复杂多变的网络安全隐患,进一步筑牢国家网络安全屏障,多个国家和地区于2023年密集出台战略政策文件,持续推进法律法规体系建设,更新优化技术标准,推动顶层设计不断升级完善。
一、国家网络安全战略密集出台
2023年3月,美国白宫发布新版《国家网络安全战略》,提出了改善美国数字安全的整体方法,着力捍卫关键基础设施、打击和瓦解威胁行为者、通过市场力量推动安全和弹性、加强对未来安全弹性的投资和发展网络空间国际伙伴关系。美国国防部发布《2023—2027年国防部网络劳动力战略》,构建涵盖“识别、招聘、发展、留存”的网络劳动力发展路线图,提出建立标准并分配管理网络劳动力的责任、通过当前和未来的计划扩大网络劳动力的发展与教育等六大举措。5月,美国白宫发布了《关键和新兴技术的国家标准战略》,重点关注通信和网络技术、半导体和微电子、人工智能、生物技术、量子信息技术等20项“关键和新兴技术”,围绕加强国家安全创新基础、保持技术优势两大战略目标,提出推动技术创新、对关键技术实施出口管制、确保供应链安全等20余项具体措施。9月,美国国防部发布《2023年美国国防部网络战略摘要》,延续“以攻为守”的网络安全思想,概述了美国国防部如何最大限度地发挥其网络能力,以支持综合威慑,并与其他国家力量工具协同运用于网络空间行动。12月,澳大利亚政府发布《2023—2030年澳大利亚网络安全战略》,该战略号召开创澳大利亚网络合作的新时代,提出通过“六层网络护盾”构建更强大的网络防御体系,使公民生活有序、企业经营繁荣,并在遭受网络攻击时能够及时应对。
二、网络安全法律法规持续完善
2023年1月,《关于在欧盟全境实现高度统一网络安全措施的指令》(NIS 2指令)正式生效,NIS 2指令取代了《网络和信息系统安全规则》(NIS指令),大大扩展了属于其范围的关键实体的部门和类型,加强了网络安全风险管理要求,为欧盟成员国采取更具创新性的网络安全监管措施铺平了道路。12月6日,美国参众两院通过《2024财年国防授权法案》,只待提交总统签署并正式生效。初步统计,该法案网络安全预算约14.5亿美元,同比增长14%,增速远高于国防预算整体增速。根据法案,2024年美国国防工业网络安全主要支出领域包括网络安全风险和态势感知、信息技术和数据管理、网络战能力、人工智能等。12月7日,欧洲议会工业、研究与能源委员会通过《网络团结法案》草案,提出建设欧盟安全运营中心“网络护盾”、建立以欧盟网络民兵为支撑的网络应急机制、实施网络安全事件审查机制等。12月8日,欧盟委员会、欧洲议会和欧盟成员国代表就《人工智能法案》达成临时协议,旨在确保投放到欧洲市场并在欧盟使用的人工智能系统安全并尊重公民基本权利和欧盟价值观。该法案提出:针对高影响力通用人工智能模型以及高风险人工智能系统制定专门规则;在欧盟层面建立具备执行权的人工智能治理机构;扩大禁止类人工智能技术清单,允许政府出于执法目的在公共场所使用远程生物识别技术,但须遵守保障措施;高风险人工智能系统的部署者有义务在投入使用之前进行权利影响评估等。
三、技术标准体系建设纵深推进
2023年5月,美国国家标准与技术研究院(以下简称NIST)发布《对联邦漏洞披露指南的建议》(NIST SP800-216),提出建立联邦漏洞披露框架、正确处理漏洞报告以及沟通漏洞的缓解和修复措施,以推进漏洞披露体系化建设。8月,NIST发布《网络安全框架2.0》(Cybersecurity Framework 2.0)草案,提出了治理(govern)、识别(identify)、保护(protect)、检测(detect)、响应(respond)和恢复(recover)的网络安全框架的六大核心功能,帮助行业、政府机构和其他组织更好地理解、评估和部署网络安全工作。
四、网络安全国际合作继续开展
2023年4月,美韩两国元首签署《战略性网络安全合作框架》协议,将开发并运用多种手段切断和遏制网络空间的恶意行为,向在网络空间参与破坏和非法行为的国家追究责任;合作开展网络训练、核心基础设施保护研究及开发、人才培养,实时共享网络威胁信息,构建民官学合作网络等。11月,美国网络安全和基础设施安全局与韩国国家情报院签署《关于加强防御网络威胁合作的谅解备忘录》,提出加强计算机应急响应小组之间的沟通,围绕关键基础设施供应链弹性开展合作,加强联合演习、专家交流、人才培养,以及分享网络和基础设施领域最佳实践等。11月22日,英国科学、创新和技术部与韩国科学技术信息通信部建立数字合作伙伴关系,围绕改进基线网络安全和确保关键技术的安全等4个方面开展合作。
第二节 数据安全和个人信息保护制度建立完善
当前,数据安全已成为数字经济时代最紧迫和最基础的安全问题,加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。与此同时,个人隐私泄露事件频发,健全个人信息保护的综合治理体系成为各国关注的重点。2023年,多国持续优化完善数据安全和个人信息保护法律法规,加速构建数据跨境流动新秩序,全面推进数据安全和个人信息保护监督执法,全面提升数据安全治理和个人信息保护水平。
一、多部法律法规加快落地实施
2023年3月,英国提交《数据保护和数字信息法案》修订案,在沿用欧盟出台的《通用数据保护条例》优势的基础上为企业提供更大的灵活性,进一步减少合规性文书,不为企业增加额外成本,明确何时可在未经同意的情况下处理个人数据。8月,印度通过《2023年数字个人数据保护法案》,在保留数据受托人义务、数据委托人权利和义务以及创设印度数据保护委员会等主体立法框架的同时,对“数字个人数据”“特征分析”“特定合法使用”等关键概念以及数据出境、豁免与违法处罚等规则做了进一步调整,为确保个人数据的隐私和安全奠定了坚实的法律基础。11月,欧盟理事会正式通过了《关于公平访问和使用数据的统一规则的条例》,明确了数据访问、共享和使用的规则,规定了获取数据的主体和条件,旨在提高欧盟行业通过产品和关联服务产生的数据的价值,为数据驱动的创新提供更加开放、竞争的市场环境。
二、数据跨境流动新秩序初步构建
2023年7月,欧盟委员会通过《关于欧盟-美国数据隐私框架的充分性决定》,反映了欧盟确信该框架能确保美国对两国之间传输的个人数据的保护与欧盟提供的保护相当,标志着欧美间数据跨境传输的第三次合作正式落地。10月21日,“英美数据桥”(UK-US data bridge)生效,英国的组织能够将个人数据传输到获得“欧盟-美国数据隐私框架的英国扩展”认证的美国组织,而无须进一步的保护措施。10月28日,欧盟和日本就数据跨境流动达成协议,该协议将取消数据本地化要求,使金融服务、运输、机械和电子商务等多个行业的企业受益,使它们无须烦琐且成本高昂的管理即可处理数据。
三、数据安全监督执法全面推进
2023年4月,英国数据监管机构对TikTok处以1270万英镑的罚款,原因是TikTok未经相关父母同意非法处理和使用平台下140万名13岁以下儿童的数据。5月,爱尔兰数据保护委员会因Meta违规向美国传输大量欧盟用户个人数据,对Meta处以12亿欧元的罚款,要求Meta在接到裁决通知的5个月内暂停向美国传输欧盟用户个人数据,半年内停止非法处理及存储欧盟用户个人数据,该判例成为欧盟对违反数据保护条例的企业开出的最重罚单。9月,TikTok因处理用户的个人数据不当,被爱尔兰数据保护委员会处以3.45亿欧元的罚款。9月,谷歌因未经用户同意擅自收集、存储和使用用户位置信息,向美国加利福尼亚州支付了9300万美元和解金。
第三节 关键信息基础设施日益成为安全防护的重中之重
关键信息基础设施的系统数据资产价值较高,遭受网络攻击的影响范围较广、后果较重,越发成为网络攻击的首选阵地,全球范围内针对关键信息基础设施的网络攻击事件层出不穷,通信、能源、医疗、制造、交通、金融、教育等行业无一幸免,给多国带来重要数据泄露、社会系统瘫痪等重大危害,严重威胁国家安全。2023年,世界多国积极应对关键信息基础设施的重大网络安全威胁,加速推进关键信息基础设施安全相关立法工作,着力缓解漏洞安全风险,提高供应链安全水平,进一步加大关键信息基础设施安全保护力度。
一、聚焦关键信息基础设施的重点保护
2023年2月,澳大利亚政府发布了《2023年关键基础设施弹性战略》,该战略提供了一个全国性框架,指导澳大利亚加强关键基础设施的安全性和弹性。3月,美国出台《国家网络安全战略》,将“保护关键基础设施”列为战略确立的五大支柱之首,明确关键基础设施保护的目标是“运作持久且有效的协作防御模式,公平分配风险和责任,为美国数字生态提供基本安全和韧性”。5月,澳大利亚网络和基础设施安全中心发布《关键基础设施资产类别定义指南》,该指南对关键基础设施资产分类提供了指导意见,涵盖了通信、金融、能源、运输等十大类别22个关键基础设施行业,有助于提高运营弹性、降低复杂性。5月,美国网络安全和基础设施安全局(以下简称CISA)发布《增强网络物理关键基础设施弹性的研究、开发和创新:需求和战略行动》白皮书,强调增强网络物理关键基础设施弹性,提出相关研发需求和战略行动,包括开发集成模型以识别互联基础设施的系统性风险以及中断造成的级联影响,围绕网络物理基础设施的弹性建立跨机构研发与创新测试平台等。10月,美国网络安全和基础设施安全局宣布修订《国家网络事件响应计划》,帮助美国及其盟友更有效地应对网络事件并从中恢复,从而减少网络伤害。
二、着力缓解关键信息基础设施漏洞的安全风险
施行强制漏洞披露要求、建立漏洞披露计划、发布漏洞早期预警、鼓励安全研究人员善意发现并报告漏洞等是各国消减关键信息基础设施漏洞的重要途径。2023年1月,美国国防部宣布发起“黑掉五角大楼3.0”计划,重点是查找维持五角大楼和相关场地网络运行的操作技术中的漏洞。2月,比利时网络安全中心(CCB)发布新法律框架,允许任何自然人或法人在没有欺诈或恶意情况下发现和报告位于比利时的网络信息系统中的现存漏洞,并在符合特定“严格”条件的前提下,保护上报可能影响比利时各类系统、网络或应用程序的安全漏洞的个人或组织免受起诉。8月,美国众议院提出《联邦网络安全漏洞减少法案》,要求美国联邦供应商实施符合NIST相关指南要求的漏洞披露政策,以识别软件漏洞,并建立标准化的漏洞披露政策。9月,CISA发布《为供水公司提供免费的网络漏洞扫描》情况说明书,介绍了免费漏洞扫描服务的4个阶段的注册流程,在水及污水处理网络系统中推行免费漏洞扫描服务,旨在识别和解决饮用水和废水处理系统漏洞,降低供水系统遭受网络攻击的风险。
三、重点提升关键信息基础设施供应链的安全水平
2023年4月,美国、加拿大、英国、德国、新加坡等国的17个政府机构联合发布《改变网络安全风险的平衡:软件安全设计原则和方法指南》,强化软件制造商的网络安全责任,要求软件制造商优先考虑产品的安全性,保障产品功能安全运行,减少被攻击的可能性。9月,CISA发布开源软件安全路线图,实行美国政府网络和关键基础设施“小核心”重点保护,强化开源生态系统“大范围”联动协作,提出梳理美国关键基础设施中开源软件使用情况、制定开源软件风险优先级框架、评估关键开源软件依赖性威胁、促进开源软件开发人员的安全教育、发布开发源码安全使用指南等措施,旨在确保联邦政府网络安全和关键基础设施安全。10月,CISA、美国联邦调查局、美国国家安全局和美国财政部联合发布《提高运营技术和工业控制系统中开源软件安全性的说明书》,旨在帮助操作技术供应商和关键基础设施实体更好地管理开源软件使用所带来的风险,提高系统的安全性和韧性。
第四节 新技术应用带来的网络安全挑战得到有效应对
以人工智能、量子计算等为代表的新兴技术,对网络安全的两面性影响不断扩大并持续呈现新变化,成为未来网络空间的“游戏规则改变者”。2023年,多国统筹发展和安全,加快人工智能、量子计算、零信任等新技术在网络安全领域的融合创新应用,积极防范新技术新应用的安全风险,更好地应对越发严峻的新兴网络安全威胁。
一、主动应对人工智能安全风险成为全球主旋律
一是国际层面对人工智能安全发展达成初步共识。2023年11月1日,中国、美国、英国、日本、德国、印度和欧盟等28个国家和地区签署首个全球性人工智能(以下或简称AI)声明《布莱切利宣言》,提出在全球范围内安全发展AI,以安全的方式设计、开发、部署AI,加强对AI共同风险的识别,建立应对这些风险的共识。11月26日,美国、英国、德国等18个国家签署《安全人工智能系统开发指南》,敦促企业打造“设计安全”的AI系统,确保AI在设计、开发和部署等环节的安全。
二是重点国家发布人工智能安全发展路线图。2023年5月,美国白宫发布2023年版《国家人工智能研发战略计划》,提出长期投资基础和负责任的人工智能研究、确保人工智能系统的安全性等9项战略任务。6月,澳大利亚发布《安全和负责任的人工智能讨论文件》,对人工智能潜在风险进行分级管理。9月,英国竞争和市场管理局通过新的人工智能监管原则,强调AI的问责制和透明度,防止人工智能模型被少数科技公司主导。10月30日,时任美国总统拜登签署总统行政令,要求开发和应用安全、可靠和可信赖的人工智能。
二、积极布局量子技术产业和后量子密码算法
2023年1月,加拿大政府宣布启动《国家量子战略》,将在7年内逐步投入3.6亿加拿大元,持续开发、推广和使用量子计算科学技术,构建国家安全量子通信网络和后量子密码学。3月,英国科学、创新和技术部发布《国家量子战略》,将量子技术确定为未来十年保障英国繁荣和安全的重中之重,并为英国国家量子科技计划提供十年愿景和扩展行动计划,将在2024—2034年提供25亿英镑的政府投资,并吸引至少10亿英镑的额外私人投资,用于开发量子技术。8月,NIST发布了三份后量子密码标准草案,并在全球范围内公开征求意见,该标准草案旨在推动后量子密码技术发展,更好地抵御量子计算机带来的潜在攻击,并为全球提供保护敏感信息免受量子计算攻击的新工具。
三、加快推动零信任技术在网络安全中的落地实施
2023年4月,CISA发布《零信任成熟度模型》(第二版),对跨多个关键支柱(身份、网络、工作负载及数据等)的联邦机构实施指南进行了更新。CISA将这套成熟度模型定义为联邦机构转向零信任架构的“众多路线图之一”,旨在通过跨网络检查点持续验证用户凭证,借此防止对政府数据及服务的未经授权或危险的访问。