- 2018—2019年中国网络安全发展蓝皮书
- 中国电子信息产业发展研究院(赛迪研究院)
- 3字
- 2020-08-27 18:52:31
综合篇
第一章 2018年全球网络安全发展状况
当今社会,科技日益发展,互联网连接万物,生活中的方方面面都离不开网络。尤其是近年来发展迅猛的物联网,让人们的生产生活方式发生了翻天覆地的变化,人们对网络的依赖度也达到了前所未有的高度。在这一背景下,网络安全的重要性就显得尤为突出。2018年,各国国家层面、行业管理相关的网络安全战略持续推进;法律法规制度设计进一步完善,着重在防范打击网络犯罪、网络不良信息监管和关键信息基础设施保护方面开展立法探索;安全管理体制加速调整,陆续成立新的国家与行业网络安全管理机构,并对现有机构职能进行调整;数据安全治理重要性凸显,多国制定数据安全保护法规政策,积极探索数据跨境流动,并不断加大对数据安全事件的执法监督;新兴技术发展得到高度重视,纷纷制定5G、人工智能等发展战略,研究新兴技术在网络安全领域的应用,同时,部分西方国家持续对我国高科技企业进行限制打压;网络安全领域国际合作与交流持续推进。
第一节 网络安全战略规划大量出台
网络安全是一个关系着国家安全和主权、关系着社会稳定、关系着民族文化继承和发扬的重要问题,其重要性随着全球信息化步伐的加快与信息技术的深入发展不断提升。2018年,多国持续推进国家与行业等不同层面网络安全战略的制定,构建多层立体的网络安全战略规划体系。除此之外,部分国家还在数字经济发展等相关战略中明确了对网络安全的相关要求。
一、国家网络安全战略不断完善
2月,埃及最高网络安全委员会正式启动《2017—2021年国家网络安全战略》,旨在为各领域的综合电子服务创造一个安全的环境。4月,日本网络安全战略本部于首相官邸召开第17次会议,就《新一期日本网络安全战略纲要(草案)》等7项内容进行讨论,旨在强化网络安全保障能力。5月,卢森堡发布《第三版国家网络安全战略》,旨在提出欧盟委员会制订国家层面一揽子计划的目标,同时也反映了日益数字化的世界。7月,乌克兰内阁批准《关于乌克兰网络安全战略实施的行动计划》,确定了网络安全领域活动的监管办法,提升国家网络安全系统的技术手段,与乌克兰的国际伙伴建立合作关系,制定网络安全领域人员培训流程等18项任务。8月,立陶宛政府批准了新版《国家网络安全战略》,明确未来五年国家公共、私营部门网络安全政策的主要方向,并纳入了欧盟《网络和信息系统安全指令》的规定。9月,美国总统特朗普总统签署《美国国家网络战略》,确定了联邦政府为保护美国免受网络威胁和加强美国在网络空间的能力将采取的新举措。多国国家网络安全战略的制修订显示出各国对于网络安全顶层设计的高度重视,不仅要填补网络安全战略的空白,还要不断依照形势变化对相关战略进行完善。
二、专项网络安全战略陆续出台
3月,英国政府公布《网络安全出口战略》,旨在帮助本国中小企业开展海外贸易。4月,美国网络司令部发布《实现和维护网络空间优势:美国网络司令部指挥愿景》,该战略明确了美国网络司令部的目的、方式和手段。5月,美国能源部发布《能源行业网络安全多年计划》,确定了能源部未来五年力图实现的目标及相应举措。9月,美国国防部发布《2018国防部网络战略》,保护美国网络和主要基础设施免受网络攻击,指出中国和俄罗斯对美国及其盟国的“战略性威胁”日益加大,表示为防范网络攻击可进行先发制人攻击。10月,日本金融服务厅发布最新的金融部门网络安全政策文件,以提高金融基础设施的网络弹性,应对可能在2020年东京奥运会之际遭到的大规模网络攻击。12月,美国联邦能源监管委员会发布《规则制定提案公告》,将引导北美电力可靠性中心修改关键基础设施保护可靠性标准,拓宽网络事件报告范围,增强电网威胁意识。英国政府推出了一项新的网络安全技能战略,旨在招募更多技能熟练的专业人员进入该行业,提高普通劳动力的网络安全意识,改善教育和培训,确保英国拥有一个“结构良好、易于引导”的职业,并成立了一个新的独立机构,帮助塑造该行业的未来。重点领域与关键行业积极开展行业网络安全战略制定,不断细化网络安全顶层设计,使其在行业、领域内更具有实践性。
三、国家发展战略中的网络安全要求进一步明确
7月,美国政府公布了正在拟订的《联邦数据战略》草案,指出数据的使用和治理应优先考虑数据的安全、隐私、透明度,同时加强“联邦数据实践对公众影响”的评估。12月,美国国土安全部发布新版部门优先目标行动计划,强调应加强网络安全防御,提升态势感知能力。澳大利亚政府启动《澳大利亚技术未来》的数字经济战略,该战略涵盖了七大主题,即技能、包容性、数字政府、数字基础设施、数据、网络安全和监管。其中,数字技能、数字服务等成为重点内容。网络安全是国家发展,尤其是信息化发展中重要的部分,各国通过在发展战略中明确网络安全要求,进一步平衡了发展与安全的关系,不断在发展中强化网络安全保障。
第二节 法律法规体系加速调整
法律法规是开展网络威胁治理、保障网络空间安全的重要依据,近年来,世界各国在网络安全法律法规制定方面已经取得了一定成果,在打击网络犯罪、监管不良信息与保护关键信息基础设施等重点领域发力,着力完善法律法规体系,更好适应网络威胁治理新形势的发展。
一、网络犯罪打击力度不断增大
8月,埃及总统签署《反网络及信息技术犯罪法》,打击极端分子利用互联网开展恐怖行动的行为。阿联酋颁布了修订后的《网络犯罪法》,扩大了对违法者实施制裁的范围,引入缓刑、限制使用电子媒介、强制驱逐等制裁措施。澳大利亚发布《2018年电信和其他立法修正案(援助和访问)条例草案》,要求向澳大利亚公民提供通信服务的公司在涉及犯罪问题时需向执法部门提供加密通信记录。11月,南非议会司法委员会正式通过《网络犯罪和网络安全法案》,旨在让南非与其他国家的网络法律接轨,应对不断增长网络犯罪的趋势。12月,津巴布韦批准了《2018网络保护、数据保护和电子交易法》,将进一步明确计算机网络犯罪的定义,强化打击力度。网络恐怖主义、网络犯罪等依靠网络的新型违法犯罪类型、数量均不断增加,各国也在持续加强相关法律法规建设,使网络犯罪治理有法可依。
二、网上不良信息监管力量不断加强
4月,俄罗斯总统普京签署《互联网诽谤法案》,允许当局封锁发布诽谤公众人物信息的网站。8月,美国联邦调查局宣布制定《打击外国影响力指南》,旨在教育公众,并开展有关虚假信息、网络攻击和“境外势力对社会的整体影响”的政治运动。9月,俄罗斯国家杜马通过一项法案,拒绝撤下被法院裁定为“虚假”网上信息的俄罗斯公民,可被判入狱长达一年,还可能被处以5万卢布罚款。埃及总统正式批准《社交媒体监控法》,授权最高媒体监管委员会,可以对在社交媒体、个人博客或网站上粉丝超过5000名的用户进行监控,也可以暂停或阻止任何账户“发布或播放煽动暴力或仇恨的虚假信息”。近年来,社交媒体在如美国大选、英国脱欧等重大政治事件中均发挥了重要的作用,其对于舆论乃至社会的影响受到广泛关注,各国均积极强化网上不良信息监管,努力营造风清气正的网络空间环境。
三、关键信息基础设施保护不断深化
4月,美国国家标准与技术研究院发布《提升关键基础设施网络安全的框架》,该框架适用于对美国国家与经济安全至关重要的行业(能源、银行、通信和国防工业等)。7月,乌克兰内阁批准《关于乌克兰网络安全战略实施的行动计划》,确定了关键基础设施信息安全的独立审计需求、国家关键基础设施的设备分配流程及标准,并形成设施清单。8月,波兰总统正式签署网络安全法案,将在欧盟《网络与信息安全指令》框架下,为波兰关键信息基础设施保护提供更为直接的遵循依据。南非警察委员会通过《关键基础设施保护法案》替代1980年实施且有争议的《国家重点设施法案》,规定了识别关键基础设施风险、提交漏洞报告的全部流程,以及关键基础设施的保护和恢复措施要求。各国进一步明确了关键信息基础设施清单、风险及相关流程,关键信息基础设施保护工作不断深化。
第三节 安全管理体制进一步完善
随着网络威胁的增加,各国进一步完善安全管理体制,部分国家根据网络安全威胁应对需求,建立新的国家与行业网络安全机构,已建立了网络安全机构的国家也在实践中对现有机构不断进行升级重组,使其能够满足现实要求。
一、国家或地区网络安全机构逐步完备
6月,西澳大利亚州宣布建立数字政府办公室,重点改进政府网络安全措施,确保西澳大利亚人民的信息安全。8月,美国国土安全部国家计划和保护局成立国家风险管理中心,负责保障美国关键基础设施安全。英国国家网络安全中心宣布,将批准在坎特伯雷肯特大学、伦敦国王学院、卡迪夫大学新设立3个网络安全卓越学术中心。德国内政部和国防部宣布成立德国网络安全创新局,以进一步加强网络安全领域能力建设,摆脱对美国、中国和其他国家的技术依赖。9月,泰国政府设立国家网络安全局和数据保护局,数据保护局负责打击非法数据盗版,保护数据隐私;国家网络安全局将成为泰国网络安全的通信中心和数据中心,负责解决和防范该国网络安全问题。11月,澳大利亚国防部宣布启用在南澳大利亚州首府阿德莱德市的联合网络安全中心。美国国防部成立名为“保护关键技术任务组”的跨职能工作小组,旨在加强数据安全防御能力,防止外国窃取美国机密消息。2018年,全球各国按照网络安全形势的发展和变化,建立各级网络安全机构,强化网络安全管理体制。
二、行业网络安全机构加快成立
4月,新加坡海事与港务管理局成立海事网络安全运营中心,将支持提高意识和能力发展,帮助提高行业网络应变能力。霍尼韦尔公司在新加坡开设亚洲首个卓越工业网络安全中心,旨在帮助保护该地区的工业制造商免受不断增加的网络安全威胁。6月,美国能源部表示将成立网络安全、能源安全和应急响应办公室(CESER)。9月,印度首个网络取证实验室将在维杰亚瓦达市投入运营,主要用于打击与“一次性口令”认证、金融诈骗、脸谱网、短信、电子邮件和ATM卡偷窃及社交媒体信息滥用等相关的网络犯罪行为。10月,北约计划成立新军事指挥中心“网络指挥部”,以便全面及时掌握网络空间状况,并有效对抗各类网络威胁。11月,美国的华盛顿州、伊利诺伊州、威斯康星州为加强中期选举网络安全保障,计划启用国民警卫队网络安全部队。海事、工业、军事等多个重点领域行业也加速成立行业网络安全机构,有效提升行业网络安全保障水平。
三、现有网络安全机构加速调整
11月,美国国土安全部管理网络安全的前全国防护与计划处改组为网络安全与基础设施安全局,负责保护国家的重要基础设施免受物理和网络威胁,同时将与各级政府部门及私营部门合作以应对未来不断变化的风险。意大利副总理宣布意大利国防相关机构的网络部门将进行内部重组,要求整个国防部门必须使用统一指令,不仅要达成提高网络安全防御能力的目标,还要提高网络空间的进攻能力。12月,欧洲议会、欧洲理事会和欧盟委员会就《网络安全法案》达成一致,该法案增强了欧洲网络与信息安全局授权,能够更好地支持成员国应对网络安全威胁和攻击。除建立新网络安全机构外,各国还加速调整现有网络安全机构的设置与职能,不断适应新的网络安全形势与需求。
第四节 数据治理日益加强
随着云计算、物联网等新兴技术的蓬勃发展,数据资源的重要性在数字社会越发凸显,其安全问题也持续受到广泛关注,全球范围内数据安全法律法规密集出台,积极探索数据跨境流动规则的制定,并大力加强数据安全执法监督。
一、数据安全保护法律密集出台
5月,欧盟的《一般数据保护条例》在欧盟全体成员国正式生效,全面加强欧盟所有网络用户的数据隐私权利,明确提升了企业的数据保护责任,并显著完善了有关监管机制。7月,巴西参议院通过《个人数据保护法案》,旨在建立一套保护国内个人数据的完整体系。印度公布首份数据保护法案《2018年个人数据保护法案》,该法案在印度《2000年信息技术法》的基础上,借鉴欧盟的《一般数据保护条例》而成。9月,为匹配《一般数据保护条例》,比利时新的数据保护法生效,该法整合了比利时不完善的数据保护监管框架。西班牙部长理事会通过皇家法令,确保《一般数据保护条例》在西班牙的应用,规定涉及个人数据保护相关的检查、制裁制度和指导程序。阿根廷的行政部门向国会提交《数据保护法案(草案)》,使该国的数据保护标准与欧盟的《一般数据保护条例》保持一致。11月,塞尔维亚议会通过《个人数据保护法》,该法律符合欧盟的《一般数据保护条例》,同时对公共、私营部门起约束作用。11月,加拿大公布新的《保护个人信息和电子文件法》,要求公司在发生客户信息及数据泄露事件时,须尽快报告,否则将面临处罚,每次违规的罚款额最高可达10万加元。自5月起,欧盟的《一般数据保护条例》(以下简称GDPR)正式生效后,欧盟国家,如爱尔兰、西班牙、比利时与塞尔维亚等欧盟国家参照GDPR相继研究制定或发布国内数据保护相关规定;非欧盟国家,如阿根廷、巴西、伊朗、印度、泰国等国也将其数据保护法规与GDPR保持一致。
二、数据跨境流动规则不断完善
4月,巴西向世界贸易组织提交文件,对互联网数据流动的规则展开讨论。7月,日本和欧盟达成协议,将实现双方数据自由流动。10月,欧盟议会通过《欧盟非个人数据自由流动条例》,消除欧盟成员国数据本地化的限制。美国、日本和欧盟共同制定跨境数据传输规则,并计划在2019年6月G20大阪峰会召开前制定完成。11月,欧盟理事会批准关于非个人数据在欧盟自由流动的新法规,旨在限制在特定国家存储非个人数据,鼓励在整个欧盟范围内交换数据,支持单一市场发展。12月,欧盟各国政府同意“加强规则草案”,允许执法部门直接获取科技公司存储在另一个欧洲国家云端的电子证据。欧盟委员会公布《欧盟—美国隐私盾报告》,认为美国实施了2017年审查中提出的建议,隐私保护框架得到了显著改善,数据从欧盟向美国传输是充分安全的。2018年,多个国家和地区积极探索数据跨境流动理论与实践,制定了一系列数据跨境流动规则,为全球化发展提供了支撑与保障。
三、数据安全执法检查力度不断加大
1月,美国联邦贸易委员会对伟易达处以65万美元罚款,因其安全漏洞导致数百万个家长和孩子的数据遭曝光。2月,比利时一法院判定,脸谱网在比利时网民不知情的情况下搜集和保存其上网信息,违反比利时隐私法。3月,韩国通信委员会表示,将针对脸谱网即时消息应用收集用户通话和短信记录的情况启动正式调查。4月,美国逾20个保护儿童及消费者组织当日向美国联邦贸易委员会投诉,要求调查优兔允许广告商向儿童推送广告是否违反《儿童在线隐私保护法》,优兔母公司谷歌可能面临数十亿美元的罚款。巴西联邦检察官要求法院强制微软更改Windows 10的默认安装过程,称其违反当地法律,未经“明确同意”收集用户数据。8月,韩国政府开始对20家跨国公司在韩办事处开展用户数据安全审查。11月,荷兰、波兰、捷克、希腊、挪威、斯洛文尼亚和瑞典等7国消费者团体投诉谷歌的位置跟踪功能违反了欧盟的《一般数据保护条例》。英国信息专员办公室表示,脸谱网数据保护力度缺乏,呼吁议员加强立法和监督,并将联合爱尔兰数据保护专员办公室,对其数据安全保护进行调查。多国对重大数据安全事件与企业数据保护责任落实开展执法监督,惩处了一批违反数据保护相关法律法规的企业。
第五节 新兴技术应用成为各国关注焦点
新技术的发展为网络安全能力的提升带来了新机会,也提出了新挑战,各国对其重视程度也逐渐提升。多国陆续发布人工智能、量子计算、5G等新技术发展战略,并探索将新技术应用于网络安全领域。与此同时,以美国为首的西方国家,不断以国家安全名义限制我国科技企业的国际交流与发展。
一、新技术研究开发与监督管理持续加强
2月,美国国家标准与技术研究院发布报告草案,提供物联网设备和系统上实施网络安全的标准。3月,英国政府公布投入2500万英镑的5G试验和测试平台计划的六个获资助项目,为在英国推出5G技术铺平道路。6月,荷兰政府公布了最新国家数字战略,旨在充分实现荷兰社会和经济的数字化,确保企业、消费者和公共部门应用更好的数字技术,并有效维护国家网络安全。7月,马耳他议会通过法案将区块链技术的监管框架纳入法律。8月,英国信息专员办公室发布《2018—2021年科技战略》,概述了应对快速变化的新技术挑战的监管方法,确定了网络安全、人工智能、网络和跨设备跟踪三个2018—2019年度优先领域。9月,美国国防高级研究计划局宣布,五角大楼计划在未来5年将花费超过20亿美元推动人工智能技术发展。10月,英国发布消费类物联网设备安全行为准则,指导参与物联网设备的开发、制造和零售的相关方。世界各国大力推动5G、人工智能、区块链、物联网等新技术新业务发展,同时也高度关注其中可能面临的网络安全问题。
二、网络安全领域新兴技术应用不断深入
1月,日本总务省下属的信息通信研究机构开发出了新型加密技术,连新一代超高速计算机量子计算机也难以破解。2月,英国内政部发布利用人工智能检测涉恐信息的软件工具。4月,美国国防部高级研究计划局(DARPA)表示希望利用人工智能来提高网络漏洞检测的速度。7月,俄罗斯国防部提出将建立区块链研究实验室,研究利用区块链技术加强网络安全和打击针对关键信息基础设施的网络攻击。8月,美国国防部高级研究计划局与英国BAE系统公司联合研发人工智能网络安全技术以应对高级别网络攻击。美国联邦调查局启动了两个新的项目,利用人工智能系统追踪和应对内部威胁。多国积极探索将人工智能、密码、区块链等技术应用于网络安全领域,为网络安全保障提供新思路、新手段。
三、我国科技企业发展受到西方多国限制
7月,美国国防部官员表示,五角大楼正在制定一个“不购买”清单,其中包括禁止购买由中国和俄罗斯公司编写的软件程序。8月,美国总统特朗普签署《2019财年国防授权法案》,禁止任何美国政府部门使用中国华为与中兴通讯两家公司的产品,同时禁止美国联邦政府采购海康威视、大华股份等中国制造商供应的视频监控设备。澳大利亚表示禁止华为和中兴通讯向澳大利亚提供5G技术,原因是存在安全风险。10月,美国商务部宣布对中国福建晋华集成电路有限公司进行出口限制,禁止其购买美国技术产品,理由是该公司新增的存储芯片生产能力将威胁到为美国军方提供此类芯片的美国供应商的生存能力。11月,新西兰通信部长宣称将会禁止华为参加该国的5G网络建设。12月,捷克国家网络与信息安全局警告其国内网络运营商,称不要使用华为与中兴通讯生产的软硬件产品,原因是“构成安全威胁”。2018年,以美国为代表的部分西方国家,以网络安全风险为借口,持续阻挠我国科技企业的正常贸易合作。
第六节 国际间网络安全合作日趋深化
国际合作是网络空间安全治理的不变主题,随着各国间各项合作与交流的增多,国际网络安全合作也日趋深化,各国积极推动与相关国家间的单边和多边网络安全合作,有效提升全球网络安全威胁治理、关键信息基础设施保护、打击网络犯罪等各项能力。
一、双边战略合作持续加强
6月,澳大利亚和英国政府发表联合声明支持《英联邦网络宣言》,呼吁公共、私营部门在网上为公益事业共同努力,并鼓励全球各国将应用在现实世界中的法律和规范以同样方式应用在网络行动上。9月,日本和美国在东京举办为期5天的演习,内容为防御针对企业的网络攻击,参与者包括来自日本、美国、东盟、韩国和印度的政府官员。智利电信部副部长与以色列大使馆就电信网络安全和关键基础设施展开对话,表示将与以色列签署协议,以加强该国电信基础设施的网络安全。11月,新西兰和澳大利亚外交部长当日宣布了一项联合承诺,将与太平洋岛国合作,以增强太平洋地区的集体网络弹性。2018年,网络安全合作仍是世界各国开展合作的重要领域,多国在关键信息基础设施保护、电信网络安全等领域积极开展合作,共同推进全球网络安全保障能力的提升。
二、多边战略合作不断深入
7月,美国、日本和韩国在华盛顿就网络安全问题举行了三方网络安全专家会议,会议同意就网络安全相关问题继续加强合作。10月,加纳总统表示,政府正在努力推动议会批准联合国签署的《网络犯罪公约》,加纳将成为第三个将该公约签署为法律的非洲国家。11月,乌拉圭和20个欧洲委员会成员国签署一项欧洲理事会条约,旨在加强国际层面保护个人数据的原则和规则。法国总统马克龙在巴黎和平论坛上公布了《巴黎网络空间信任与安全倡议》,目前该文件签署方增至450多个。签署各方就限制攻击性和防御性网络武器的原则上达成了一致意见,还承诺采取行动防止外国对选举的干涉,并保护平民免遭网络攻击。日本与东盟十国建立网络攻击情报共享机制,以进一步提高应对网络攻击的时效性。网络安全问题作为一个全球性问题,并非是由某个或某些国家可以解决的,世界各国对网络安全合作之间的需求逐渐增大,全球网络安全多边战略合作内容不断扩展,范围不断增大。