转眼间,2021 年已过大半。回顾 2021 年上半年,新冠疫情的影响还未消退,网络攻击态势却愈演愈烈。
勒索软件为代表的安全事件频发。据统计,2021 年平均每 11 秒就发生一次勒索攻击事件,预计今年全球勒索软件损失将达到 200 亿美元。5 月,美国最大燃油运输管道公司科洛尼尔和全球最大肉类供应商 JBS 集团遭勒索攻击,造成短期内石油、肉类供应紧张。
数据泄露数量规模不断扩大,对国家安全、企业安全、民众安全均带来了严重的危害。2021 年以来,社交巨头LinkedIn 已经历了三轮大规模用户个人资料被恶意抓取,共计 18 亿用户数据遭泄露;4 月,Facebook 超 5 亿用户信息泄露,涉及全球 106 个国家。
此外,重大安全漏洞不断涌现,涉及众多知名厂商。3 月,苹果公司紧急修复远程命令执行漏洞,影响涉及数十亿设备;4 月,国内厂商小米披露了其 MIUI 系统的越权漏洞预警,攻击者可利用该漏洞获取前台运行进程信息;5 月,高通移动调制解调器 MSM 芯片被曝存在安全漏洞,影响全球 40% 手机。
2021 年网络安全进入新阶段:安全事件频发、影响日益严重,促使多国竞相出台加强网络安全建设的政策、法律和规划。
本文梳理全球主要国家在 2021 年上半年发布的政策法规,从国家战略、新兴技术、数字治理、供应链安全和关键信息基础设施保护等角度,展示全球网络安全发展态势。
一、多国出台国家网络安全战略,占据网络空间竞争优势
2021 年上半年,美国、欧盟、英国、俄罗斯、日本等国纷纷出台国家安全总体战略,重点加强网络安全顶层规划建设,力图在全球网络空间激烈竞争局势中占得先机。
1. 美国将网络安全列为国家优先级别
随着年初美国总统拜登正式上任,加之近期出现的一系列重大安全事件,美国政府加紧出台新版国家安全总体战略,并提出将网络安全列为国家安全首位。
2021 年 3 月,美国白宫发布《国家安全战略临时指南》,作为拜登政府发布的第一份全面应对国际国内局势的政策指导文件,该指南提出加强美国在网络空间中的能力和弹性。通过鼓励公私合作、加大资金投资、加强国际合作、制定网络空间全球规范、追求网络攻击责任、增加网络攻击成本等方式保护美国网络安全,同时特别强调国家网络人才库多样化的重要性。
2021 年 5 月,美国总统拜登签署发布了《改善国家网络安全行政令》,旨在从保护联邦网络、改善美国政府与私营部门间信息共享以及增强美国对安全事件响应能力等方面,提高国家网络安全防御能力。美国政府将通过推动联邦政府采用零信任架构、改善软件供应链安全、建立网络安全审查委员会以及提升漏洞和事件处置能力等措施,实现网络安全现代化的目标。
2021 年 6 月,美国国会参议院高票通过了《2021美国创新和竞争法案》,该法案主要由 1 个拨款方案和4 个相互独立的法案构成,涉及芯片、5G、航空航天、网络安全及人工智能、医学研究、美国制造等多个领域,相关投资额约 2500 亿美元,包括:向半导体制造业补贴逾 500 亿美元;向美国国家科学基金会(NSF)拨款810 亿美元,用于人工智能、计算机技术等 10 个重点领域研究;向 5G 行业提供 15 亿美元以鼓励技术创新等。
2. 欧盟制定数字十年的网络安全战略
欧盟在“战略自主”的框架下全面提出数字主权建设,并计划围绕这一整体战略出台一系列政策法规。未来十年,欧盟将通过大力发展数字技术和数字基础设施,推进全球网络空间开放合作。
2021 年 3 月,欧盟委员会发布《关于欧盟数字十年网络安全战略的结论》文件。该战略于 2020 年 12 月底发布,旨在增强欧洲抵御网络威胁的能力,并指出未来欧盟主要行动包括建立欧盟安全运营中心网络计划;明确欧盟网络安全危机管理框架;加强与国际组织和伙伴国家的合作,以增强网络威胁形势的共识等。
2021 年 3 月,欧盟委员会发布《2030 数字指南针:欧洲数字十年之路》报告,明确了到 2030 年,欧洲数字化转型的目标和实现途径。报告制定了包括提升公民数字素养、建立安全和可持续的数字基础设施、推动企业数字化转型、促进公共服务数字化在内的四大类目标。为落实欧盟总体数字计划中的部分规定,欧盟委员会于2021 年 6 月提出欧盟数字身份框架计划,敦促成员国为欧盟所有公民设立数字身份档案系统,提供数字身份钱包。
3. 英国制定战略重塑国家网络安全愿景
在面对新冠疫情、地缘政治与脱欧等多重挑战的背景下,英国政府制定“全球英国”的战略规划愿景,并提出总体目标,将网络安全列为英国目前面临的核心问题。
2021 年 3 月,英国政府正式发布《竞争时代的全球英国:安全、国防、发展与外交政策综合评估》报告,该报告提出四项总体目标:一是通过科学和技术来维持战略优势;二是塑造未来的开放国际秩序;三是加强国内外的安全与防御;四是在国内外建立弹性。
根据报告显示,英国即将发布 2021 年新版网络战略。该战略明确了五大优先事项:一是加强英国的网络生态系统,采取一种整体的网络方法,并加深政府、学术界和业界之间的合作伙伴关系;二是建立一个弹性和繁荣的“数字英国”,使民众在网络中感到安全,并对个人数据受到保护充满信心;三是引领对网络力量至关重要的技术,包括微处理器、安全系统设计、量子技术和新形式数据传输等;四是与其他政府和业界合作,并利用英国在网络安全方面的思想领导力,促进自由、开放、和平与安全的网络空间;五是发现、破坏和威慑英国的对手。
4. 俄罗斯新版国家战略中新增信息安全保障
2021 年 7 月,俄罗斯总统普京签署新版《国家安全战略》。此战略由俄罗斯联邦安全会议制定,是国家安全保障领域的最高层次指导文件。俄罗斯《国家安全战略》每六年更新修订一次,与 2015 年底颁布的上一版战略相比,新版战略首次加入信息安全章节,体现了俄罗斯对于网络信息安全的重视程度日益增加。
新版《战略》主要分析了当前全球和俄罗斯的发展态势及安全环境,提出了国家和社会安全、信息安全、科学技术发展等九个国家战略性优先事项,并明确了各优先事项框架下的形势、目标与任务。
在信息安全领域,该战略明确反对他国运用信息通信技术对俄罗斯实施网络攻击、情报侦察,防止运用互联网散布不利于俄罗斯政治局势稳定的不实信息等,提出包括加强电子数据管理系统防护、建立信息安全威胁预警系统、应用人工智能技术和量子计算等先进技术改进信息安全保障方法等 16 项任务。
5. 日本发布网络安全战略应对复杂安全形势
为应对日益严峻的数字化威胁以及东京奥运会网络安全挑战,日本发布一系列网络安全战略文件。2021 年5 月,日本内阁秘书处内阁网络安全中心(NISC)发布《下一代网络安全战略纲要》《网络安全研发战略(修订版)》
《网络安全委员会倡议》等多份有关网络安全的政策文件,进一步推进数字社会建设,构建网络防御体系,以建立自由安全的公共网络空间。
2021 年 7 月,日本发布新版《网络安全战略》草案并征求公众意见,战略草案确定了实施有关网络安全措施的五项基本原则,确保信息的自由传播、法治、开放性、自主性和多方合作。战略草案指出,为确保“自由、公平和安全的网络空间”,应从以下三个方向推进相关工作:一是在数字化变革的基础上,同步推进数字化转型和网络安全;二是促进网络空间安全,“实现公民在社会能够安全的生活”;三是从安全角度加强努力,增强参与、协调和合作。
二、新兴技术构建万物互联,制度建设推动安全建设
近年来,以 5G、人工智能、物联网等为代表的新兴技术迅猛发展,一个万物互联的智能时代即将诞生。物联网正在推动人类社会从“信息化”向“智能化”转变,促进信息科技与产业发生巨大变化。
在新兴技术为人类社会带来新一轮科技革命与产业变革的同时,其中也蕴藏着许多网络安全风险。
纵观全球,各国都在加快新兴技术战略布局,出台相应政策法规,确保智能时代的经济发展安全有序。
1. 5G 建设步入高速发展期,安全风险引发关注
如果说 2020 年是 5G 建设之年,那么 2021 年就是5G 高速发展之年。随着 5G 技术的蓬勃发展,由此引发的网络安全问题成为各界关注的重点。2021 年 2 月,移动安全公司 AdaptiveMobile 向 GSM 协会报告了最新研究成果,发现 5G 架构的网络切片与虚拟化网络功能存在安全漏洞,恶意攻击者可能借此跨越移动运营商 5G网络上的各个不同网络切片,发动数据访问与拒绝服务攻击。
因此,各国纷纷发布与 5G 安全相关的战略、政策和标准,同时加大资金投入,致力于建立一个完善的 5G发展体系。
美国方面,在 2021 年 2 月,美国国家标准与技术研究院(NIST)发布了《5G 网络安全实践指南》草案,该指南旨在帮助使用 5G 网络的组织以及网络运营商和设备供应商提高安全能力。
2021 年 3 月,美国国际战略研究中心(CSIS)发布《加速美国 5G 发展》报告,报告提出完善电信法规以消除监管障碍、与盟国建立网络安全合作机制等 11 项具体建议,确保美国 5G 发展能够最大程度的降低国家安全风险,同时最大化经济回报。
2021 年 5 月,美国国家情报总监办公室、美国国家 安全局和国土安全部网络安全与基础设施安全局联合发 布《5G 基础设施潜在威胁载体报告》,分析了 5G 在政 策标准、供应链、5G 系统架构三个领域的威胁载体,以 加强对 5G 应用面临威胁的了解,制定全面的解决方案。欧盟方面,在 2020 年 12 月,欧盟网络安全局 (ENISA)发布《5G 网络威胁态势报告》,探讨了未 来应如何利用安全技术帮助减轻 5G 网络安全风险的措 施,对 5G 安全生态系统中的利益相关方提出了创新性 建议。
2021 年 3 月,欧盟委员会在《关于欧盟数字十年网 络安全战略的结论》文件中要求实施并加速完成欧盟 5G 工具箱,努力确保 5G 网络安全性和未来网络发展。对我国来说,2021 年 6 月,国家发展改革委等四部 门联合发布《能源领域 5G 应用实施方案》。实施方案 提出进一步拓展能源领域 5G 应用场景、加快能源领域 5G 专用技术研发、加大相关基础设施和安全保障能力建 设三项重点任务。在安全保障能力建设方面,实施方案 要求构建 5G 应用安全保障体系,确保 5G 融合应用相 关网络基础设施和核心系统安全。同时健全能源领域 5G 应用安全技术标准,将 5G 网络安全保障纳入能源领域 5G 应用的全流程、全环节。
2021 年 7 月,工信部、中央网络安全和信息化委员 会办公室等十部门联合发布《5G 应用“扬帆”行动计划 (2021-2023 年)》,旨在显著提升我国 5G 应用发展 水平,保护 5G 应用安全等。根据行动计划,提升 5G 应 用安全的具体举措包括以下四个方面,一是加强 5G 应 用安全风险评估;二是开展 5G 应用安全示范推广;三 是提升 5G 应用安全评测认证能力;四是强化 5G 应用安 全供给支撑服务。
2. 人工智能引发双重考验,政策监管仍需加强
近年来,人工智能技术日趋成熟,应用十分广泛。伴随而来的网络安全问题对现实生活也造成一定影响,Facebook 创始人兼 CEO 扎克伯格、美国前总统奥巴马均遭遇过“AI 换脸”,引发社会广泛关注。目前,以美欧为代表的西方国家正加快出台监管政策,规范人工智能领域发展。
美国方面,2021 年 3 月,美国国家人工智能安全委员会向国会提交发展人工智能的最终建议报告。报告规划了美国在人工智能时代取胜的战略,并制定了行动路线图。报告中首次提及,中国拥有在未来 10 年超越美国成为人工智能领域领导者的“潜力”,建议美国政府在领导力、人才、硬件和创新投资等四个方面立即采取应对行动。
2021 年 7 月,美国国土安全部科学技术局发布《人工智能与机器学习战略计划》,提出了未来三大战略目标:一是推动用于跨领域国土安全能力的下一代人工智能和机器学习技术发展;二是促进在国土安全任务中使用经过验证的人工智能与机器学习能力;三是建立经人工智能与机器学习技术培训的跨学科员工队伍。
欧盟方面,2021 年 4 月,欧盟委员会通过了《人工智能法》提案,旨在建立关于人工智能技术的统一规则。提案不仅对人工智能技术在诸如汽车自动驾驶、银行贷款、社会信用评分等一系列日常活动中的应用设定了限制,而且还对欧盟内部的执法系统和司法系统使用人工智能的情形提出了相应的问题解决方案。
2021 年 5 月,欧洲政策研究中心(CEPS)成立的人工智能和网络安全工作组,发布了《人工智能与网络安全:技术、治理和政策挑战》报告。该报告概述了人工智能在网络安全领域的有效应用,以及人工智能系统可能被操纵所带来的风险,并介绍了与人工智能实施相关的主要伦理影响和政策问题。报告根据欧盟数字战略的目标,提出了建设性和具体的政策建议,以确保人工智能的安全应用。
3. 物联网成攻击重灾区,相关政策加紧出台
随着万物互联时代的到来,机构物联网设备数量不断增加,但缺乏对应保护措施,相关网络攻击事件频发。2021 年 3 月,特斯拉工厂摄像头供应商被黑,导致多家机构共计 15 万个监控访问权限被获取。近期,各国政府加快出台有关政策法规,加强物联网安全防范。
美国方面,在 2021 年 3 月,美国参议院与众议院再次引入《网络护盾法案》,其中建议为物联网设备创建一个自愿的网络安全认证计划。该法案建议由各界网络安全专家组成的咨询委员会负责为物联网设备定义一个安全标准。所生产产品符合这些标准的物联网制造商可以将此认证展示给公众并打上“网络护盾”标签,这将有助于消费者在购买物联网设备时做出决策。
英国方面,2021 年 4 月,英国数字、文化、传媒和体育部(DCMS)发布了对《物联网设备网络安全提案》征求意见稿的回复。该提案概述了英国政府对调控物联网设备网络安全的意图和政策主张,并倡导通过完善立法来促进消费者使用物联网设备的安全性。根据该提案,英国政府将制定新的监管计划,以保护消费者免受不安全的物联网设备的伤害。同时能够在不影响有效性的情况下,采取合适的方法赋予制造商一定的义务和责任,以实现对公民、网络和物联网基础设施的持续性保护。
在我国,2021 年 6 月,工信部发布《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)。该指南针对车载联网设备、基础设施、网络通信、数据信息、平台应用、车联网服务等关键环节,提出覆盖终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等方面的技术架构。
2021 年 6 月,工信部发布《关于加强车联网(智能网联汽车)网络安全工作的通知》(征求意见稿),其中要求加强车联网网络安全、平台安全、数据安全防护,强化安全漏洞管理。具体包括落实企业网络安全主体责任,建立健全数据安全管理制度,加强个人信息与重要数据保护等。
三、数据安全成为全球关注重点,各国加快数据治理进程
随着全球数字化转型,数据资源已经成为数字时代的“软黄金”,推动国民经济快速发展。与此同时,数据泄露事件屡见不鲜,对国家安全、企业安全和民众安全均带来了严重的危害。根据安全公司 Risk BasedSecurity 最近发布的《2021 年上半年数据泄露速览报告》显示,2021 年上半年共有 1767 起公开报告的泄露事件,美国报告的泄露事件数量增长了 1.5%,泄露数据总量达188 亿条记录。
当前,各国都在加紧制定数字战略,力求在数字化发展的浪潮中为数据安全保驾护航。以欧盟、美国为代表的西方国家和组织,相继推出较成熟且侧重点不同的配套数据安全政策法规。我国在数据安全方面也陆续推出了一系列法律法规及标准规范。
1. 加强数据安全顶层规划
对欧盟来说,其数据安全立法处于全球领先地位,颁布的众多政策法规都颇具影响力。2018 年 5 月正式实施的欧盟《通用数据保护条例》(GDPR)是全球第一部全面的隐私保护法,对各国的立法均具有启示意义。2021 年 2 月,欧盟发布的《电子隐私条例》草案,是作为 GDPR 在电子通信领域的细化和补充的特别法,通过对数据类型的分类保护(例如区分电子通信内容和元数据)和对法人、自然人共同保护的方式加强和扩大了对隐私保护的力度和范围。
对美国来说,其跨国信息巨头遍布全球,数据资源为美国创造了巨大的利益,因此美国数据治理模式更偏向于利益导向。美国目前尚未出台国家层面统一的数据安全立法,大多是各州颁布的数据法案。例如,美国加利福尼亚州的《加州隐私权法案》、弗吉尼亚州的《消费者数据保护法》和科罗拉多州的《科罗拉多州隐私法案》等。此外,美国政府还通过了《统一个人数据保护法》,该法案将成为各州数据隐私法案范本。
对我国来说,随着数据安全保护浪潮的兴起和各国数据安全保护实践的深入,我国逐步建立了以《中华人民共和国网络安全法》《中华人民共和国数据安全法》为统领,专项法律、行政法规、部门规章为支撑,标准规范文件为配套的制度体系。同时,《个人信息保护法》正式通过,进一步完善了我国个人隐私保护法律体系。
2. 规范数据跨境流动制度
近年来,各国都在出台有关数据保护的法律法规,其中大多涉及数据跨境流动的法律或政策,但不同国家的立法标准不一致。
欧盟以“构筑单一数字市场”为战略目标,按照“外严内松”原则引领建立全球数据规则体系。2021年6月,欧洲数据保护委员会正式通过关于英国的充分性决定,该决定表明未来 4 年内,英国和欧盟的个人数据可以自由合法地流动。同月,作为对 Schrem II 案(该案废止了美欧数据跨境转移机制“隐私盾协议”)的回应,欧盟数据保护委员会正式通过两份关于数据跨境传输合法性的指导性意见。此外,欧盟委员会还颁布了新的关于数据跨境传输的标准合同条款的最终版本。
美国以维护数字竞争优势和强化“长臂管辖”为主旨,构建数据跨境流动与限制政策。2021 年 6 月,美国白宫颁布《关于保护美国公民敏感数据免受外国对手侵害的行政令》,该行政令撤销了特朗普政府针对 TikTok 等与中国相关软件应用程序的限制性政策,同时提出了一套全新的审查流程,由美国商务部持续评估国外联网软件应用的安全风险。该行政令表明美国政府正逐步出台相关法规限制本国数据跨境流动。
我国以维护国家数据主权、确保安全与发展并重为目的,逐步建立数据跨境流动保护体系。首先,《数据安全法》中规定了对跨境数据实施数据安全审查制度和数据出口管制,初步确立了我国针对数据跨境流动的基本法律框架。其次,《个人信息保护法》中规定跨境传输个人信息时需要对数据进行脱敏处理,同时在操作前要进行风险评估。最后,新修订的《网络安全审查办法》也增加了对数据安全方面的审查,同时要求掌握超过100 万用户个人信息的企业赴国外上市,必须申报网络安全审查。
可以看出,各国数据跨境流动法律法规的主旨是在本国利益最大化的前提下合法推进数据跨境流动。在复杂形势下,我国应当建立完善数据跨境流动保障机制,确保国家安全、经济发展、维护公民权益的有效协同,真正推动我国数字经济的发展,维护数据主权。
3. 个人隐私保护成为热点
随着新技术、新应用的快速发展,以人脸识别为代表的人工智能技术带来的隐私问题持续引发全球关注。今年 3·15 晚会,央视曝光了不少非法采集用户人脸信息的不良商家,引发民众对隐私数据的担忧。
生物识别数据披露的个人特征精确,且采集门槛较低、极易获取,一旦遭到泄露、篡改或非法共享,极易带来“身份盗窃”风险,且正在成为攻击者的主要目标。对此,各国政府纷纷出台相关政策,开始规范和限制生物识别数据的使用。
在人脸识别信息保护方面,2021 年 3 月,我国国家互联网信息办公室、公安部发布通告称将加强对语音社交软件和涉“深度伪造”技术的互联网新技术新应用安全评估工作。腾讯、阿里巴巴、字节跳动、快手、小米等 11 家企业因未履行安全评估程序被国家有关部门约谈。2021 年 7 月,我国最高人民法院审委会通过的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》也进一步明确,处理人脸信息必须征得自然人同意,不得强迫、变相强迫同意处理其人脸信息。
在车联网数据保护方面,2021 年 3 月,欧盟数据保护机构发布了《车联网个人数据保护指南》。该指南聚焦于欧洲车联网个人数据保护,并提出指纹等生物识别数据应当存储在车内,应当从车联网设计阶段即将数据保护纳入考虑等建议。我国也发布了一系列有关联网汽车的数据保护制度,2021 年 8 月,国家互联网办公室等五部门出台《汽车数据安全管理若干规定 ( 试行 )》;2021 年 6 月,工信部出台《关于加强车联网(智能网联汽车)网络安全工作的通知》(征求意见稿)。
在 APP 个人信息保护方面,近期我国有关机构颁布一系列技术规范与标准文本,旨在规范 APP 个人信息收集行为,保障公民个人信息安全。2021 年 3 月,国家互联网信息办公室秘书局、工信部办公厅、公安部办公厅、国家市场监督管理总局办公厅四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》;2021年 4 月,工信部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。
此外,我国不同行业主管部门也针对各领域特点制定相应政策法规,重点保护各行业有关数据。例如 , 交通运输部制定《交通运输政务数据共享管理办法》、国家医疗保障局制定《加强网络安全和数据保护工作指导意见》等。
四、加强勒索软件防范,完善供应链风险管理与关基保护制度
近年来,勒索软件事件频发,造成的危害也愈加严重。近期,一起影响广泛的软件供应链勒索攻击事件引发全球关注。美国 IT 管理软件厂商卡西亚(Kaseya)遭遇勒索软件攻击,黑客组织利用一个 0day 漏洞将恶意软件部署至卡西亚的管理系统,全球上千家企业客户超 100万个系统通过软件更新感染了勒索病毒,而勒索团伙开出了价值 7000 万美元的比特币赎金。
随着安全防护技术的升级,黑客开始对软件供应链及能源、医疗等关键信息基础设施行业等薄弱环节实施攻击。因此,各国纷纷出台相关举措以应对此类安全威胁。
1. 积极防范勒索软件攻击
2021 年上半年以来,勒索软件攻击十分猖獗,根据安全厂商 SonicWall 报告显示,该公司检测到的攻击尝试达到 3.047 亿次,超过了 2020 年全年的攻击总数。美国是受勒索软件攻击最严重的国家之一,其中美国受影响较大的地区是佛罗里达州,有 1.111 亿次攻击尝试。美国政府近期接连出台多项打击勒索软件攻击的新举措。
一是出台有关政策法规。2021 年 6 月,美国司法部提交《关于勒索软件和数字勒索调查和案件的指导意见》备忘录,旨在通过一系列安全指令实践来阻止勒索软件感染、数据盗窃和向网络犯罪集团支付巨额款项等违法行为。
二是成立打击勒索软件工作组。成员包括网络安全和互联网企业、政府部门、执法机构、非营利组织以及国际组织等 50 余家机构。工作组通过公私部门合作的方式,共同研究提出应对勒索软件攻击的解决方案。
三是建立专门网站。主要用于汇集各机构最新勒索软件预警信息和应对指南。民众也可通过该网站向政府报送遭受勒索软件攻击的情况。
四是美国司法部实施奖励计划,提供 1000 万美元的奖金,用于鼓励相关机构和个人提供具有国家背景的黑客身份或位置信息。
对我国来说,尚未出台专门针对勒索软件攻击的法律法规,更多是偏执行层面的规章制度。2021 年 7 月,国家互联网应急中心发布了《勒索软件防范指南》,其中规定了防范勒索软件要做到九要、四不要。包括要备份重要数据和系统、要设置复杂密码并保密、要做好身份验证和权限管理、要制定应急响应预案等九项建议。不要点击来源不明邮件、不要打开来源不可靠网站、不要安装来源不明软件,以及不要插拔来历不明的存储介质等四项建议。
2. 着力加强软件供应链风险管理
根据奇安信《2021 中国软件供应链分析报告》数据显示,国内企业软件项目 100% 使用开源软件;近 9 成软件项目存在已知开源软件漏洞;平均每个软件项目存在 66 个已知开源软件漏洞,软件供应链安全面临巨大风险。
美国在遭遇 SolarWinds 大型供应链安全事件后,紧急出台了一系列有关供应链安全的政策法规。2021 年2 月,美国总统拜登签署《确保信息和通信技术及服务供应链安全》行政令,要求对半导体芯片等四类供应链产品开展审查,并在一年内完成对美国国防、通信科技、能源等六大部门的生产供应链进行风险评估,提出改善措施。
2021 年 4 月,美国网络安全和基础设施安全局(CISA)和美国国家标准技术研究院(NIST)联合发布《防御软件供应链攻击》报告,描述了与软件供应链攻击相关的信息、关联风险及缓解措施。
2021 年 5 月,美国总统签署的《关于改善国家网络安全的行政命令》,要求联邦政府采取行动确保软件供应链的安全性和完整性,其中包括要求向政府出售的软件必须符合基准安全标准,并引入软件物料清单。
2021 年 6 月,美国参议院在通过的《2021 年美国创新和竞争法案》中也提到要推进“弹性供应链战略”、帮助美国公司“获得稳定可控的全球供应链”等,从而确保美国在供应链安全方面的领导地位,减少网络攻击的产生。
目前,我国在软件供应链方面的政策法规较为缺失,从国家和行业监管层面来讲,应当制定有关政策要求、标准规范和实施指南,确保我国软件供应链安全有序的发展。
3. 加大关键信息基础设施保护力度
美国是世界上最早意识到关键信息基础设施重要性并出台一系列完备政策法规的国家,但依然面临严峻的网络安全态势。最为严重的是美国最大燃油运输管道公司科洛尼尔遭到网络攻击后被迫停运,直接造成美国东海岸燃油短缺,美国运输安全管理局(TSA)由此宣布美国多个州进入紧急状态。针对该事件,美国政府部门随即出台了一系列措施。
2021 年 5 月,美国国土安全部运输安全管理局(TSA)发布一项关于加强管道网络安全的安全指令,要求各管道供应商应及时向运输安全管理局与网络安全及基础设施安全管理局上报网络安全事件,并指派一位网络安全协调员,全天候待命。
2021 年 7 月,TSA 再次发布针对关键管道运营者的网络安全新要求的安全指令,该安全指令要求 TSA 指定的关键管道的所有者和运营商实施具体的缓解措施,以防止勒索软件攻击和对信息技术和运营技术系统的其他已知威胁,制定并实施网络安全应急和恢复计划,并进行网络安全架构设计审查。
此外,美国政府还采取建立网络安全审查委员会、启动针对关键基础设施保护的试点项目等措施,保障关键基础设施的安全,如电力行业网络安全“百日计划”等。
我国正加速推进以《网络安全法》为核心的关键信息基础设施保护法律体系建设。近日,国务院颁布出台《关键信息基础设施安全保护条例》(以下简称《条例》),这是我国首部专门针对关基安全保护工作的行政法规,开启了我国网络安全工作的新篇章。
《条例》对《网络安全法》所确立的关基安全保护制度作了进一步细化完善,明确了国家网信部门、国务院公安部门以及重要行业和领域的主管部门、监督管理部门等相关职能部门的责任边界和职责要求,明确了关基认定原则和认定机制,细化了运营者的主体责任和义务,形成了关基安全保护工作相关各方的法律责任体系。
此外,漏洞管理也属于关键信息基础设施保护的重要组成部分。2021 年 7 月,工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》,其中明确了网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的各类主体的责任和义务。此项规定的出台,推动了网络产品安全漏洞管理工作的制度化、规范化、法制化。
回顾 2021 年上半年,全球面临严峻的网络安全态势,各类攻击事件层出不穷。各国都在加强网络安全顶层规划及细分领域制度建设。
2021 年下半年,数据安全及个人隐私、供应链安全和关键信息基础设施保护等方面仍将是网络安全行业讨论的热点。我国对网络空间安全的重视程度正日益增强,未来网络安全行业必将迎来高速发展期。
作者:张文辉来源:虎符智库