信息來源：51cto

隨著全球各行業(yè)數(shù)字化的進(jìn)程不斷加速，各類新型信息通信技術(shù)快速發(fā)展，萬物互聯(lián)正一步步向我們走來。因此，各行各業(yè)對(duì)于數(shù)據(jù)的安全需求也日益遞增。而且，這其中有相當(dāng)一部分是保障民生的重要行業(yè)。

我們每天都享受著掃碼支付、人臉識(shí)別這些信息技術(shù)帶來的便捷服務(wù)，所謂的ABC(人工智能、大數(shù)據(jù)、云計(jì)算)早已不僅僅是資本運(yùn)作的噱頭，它已經(jīng)滲透到日常生活的方方面面。

然而，互聯(lián)網(wǎng)的蔓延帶來的并不全是增益，反而還造成了一系列風(fēng)險(xiǎn)缺口：在數(shù)字化推動(dòng)生產(chǎn)和消費(fèi)革命的同時(shí)，猶如新生嬰兒一般缺乏防護(hù)能力，傳統(tǒng)行業(yè)正面臨網(wǎng)絡(luò)安全威脅的挑戰(zhàn)。大量的數(shù)據(jù)表明，近年來隨著智能設(shè)備和控制系統(tǒng)的增多，數(shù)字化的設(shè)施越來越容易遭到黑客的攻擊，傳統(tǒng)產(chǎn)業(yè)的網(wǎng)絡(luò)安全性堪憂。

因此，想要實(shí)現(xiàn)萬物互聯(lián)的網(wǎng)絡(luò)世界需要完善的網(wǎng)絡(luò)安全政策體系，以實(shí)現(xiàn)更高效的安全防御。

國內(nèi)政策

十八大以來，我國確立了網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略，為了加快數(shù)字中國的建設(shè)，互聯(lián)網(wǎng)已經(jīng)成為國家發(fā)展的重要驅(qū)動(dòng)力，隨后在中共十九大也同樣指出，網(wǎng)絡(luò)安全是人類面臨的許多共同挑戰(zhàn)。

2017年6月1日，《網(wǎng)絡(luò)安全法》正式實(shí)施。關(guān)鍵基礎(chǔ)設(shè)施安全成為了國內(nèi)網(wǎng)絡(luò)安全的主要關(guān)注點(diǎn)之一。

其中，由于工業(yè)控制系統(tǒng)在日常生產(chǎn)制造中占據(jù)了非常大的比例，因此為了進(jìn)一步推動(dòng)工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)，一系列法律法規(guī)和規(guī)范性文件相繼出臺(tái)：國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)條例(送審稿)》，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估管理辦法》，工業(yè)和信息化部制定了《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》等。工控系統(tǒng)的安全被提升到了前所未有的高度。

隨后我們步入了2018年，這也是我國網(wǎng)絡(luò)安全政策體系建設(shè)非常迅速的一年。

4月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式發(fā)布《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書(2018版)》。重點(diǎn)介紹了國內(nèi)外的大數(shù)據(jù)安全法律法規(guī)、政策執(zhí)行，以及標(biāo)準(zhǔn)化現(xiàn)狀，分析了大數(shù)據(jù)安全所面臨的風(fēng)險(xiǎn)和挑戰(zhàn)。同時(shí)規(guī)劃了大數(shù)據(jù)安全標(biāo)準(zhǔn)的工作重點(diǎn)，描繪了大數(shù)據(jù)安全標(biāo)準(zhǔn)化的體系框架，并提出了開展大數(shù)據(jù)安全標(biāo)準(zhǔn)化的工作建議。

6月，《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》發(fā)布，表示2018-2020年是我國工業(yè)互聯(lián)網(wǎng)建設(shè)起步階段，對(duì)未來發(fā)展影響深遠(yuǎn)。隨后，為了深入實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略，推動(dòng)實(shí)體經(jīng)濟(jì)與數(shù)字經(jīng)濟(jì)深度融合，工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃(2018-2020年)》 和《工業(yè)互聯(lián)網(wǎng)專項(xiàng)工作組2018年工作計(jì)劃》。

7月，工業(yè)和信息化部正式印發(fā)《工業(yè)互聯(lián)網(wǎng)平臺(tái)建設(shè)及推廣指南》和《工業(yè)互聯(lián)網(wǎng)平臺(tái)評(píng)價(jià)方法》，要求制定完善工業(yè)信息安全管理等政策法規(guī)，明確安全防護(hù)要求。建設(shè)國家工業(yè)信息安全綜合保障平臺(tái)，實(shí)時(shí)分析平臺(tái)安全態(tài)勢。強(qiáng)化企業(yè)平臺(tái)安全主體責(zé)任，引導(dǎo)平臺(tái)強(qiáng)化安全防護(hù)意識(shí)，提升漏洞發(fā)現(xiàn)、安全防護(hù)和應(yīng)急處置能力。

9月，國家能源局印發(fā)《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》。指導(dǎo)意見將有效地促進(jìn)電力行業(yè)網(wǎng)絡(luò)安全責(zé)任體系，并有助于完善網(wǎng)絡(luò)安全監(jiān)督管理體制機(jī)制，進(jìn)一步提高電力監(jiān)控系統(tǒng)安全防護(hù)水平，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系，提高自主創(chuàng)新及安全可控能力，從而防范和遏制重大網(wǎng)絡(luò)安全事件，以保障電力系統(tǒng)安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)。

各類政策接踵而來，但我國非但沒有減慢步伐，仍然在不斷的推陳出新。中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組提出：“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化，中國要由網(wǎng)絡(luò)大國走向網(wǎng)絡(luò)強(qiáng)國?！币虼?，2019年5月，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國家標(biāo)準(zhǔn)發(fā)布，等保2.0時(shí)代正式到來。

等保2.0中將采用安全通用要求和安全擴(kuò)展要求的劃分使得標(biāo)準(zhǔn)的使用更加具有靈活性和針對(duì)性。不同等級(jí)保護(hù)對(duì)象由于采用的信息技術(shù)不同, 所采用的保護(hù)措施也會(huì)不同。例如, 傳統(tǒng)的信息系統(tǒng)和云計(jì)算平臺(tái)的保護(hù)措施有差異, 云計(jì)算平臺(tái)和工業(yè)控制系統(tǒng)的保護(hù)措施也有差異。為了體現(xiàn)不同對(duì)象的保護(hù)差異, 新的等級(jí)保護(hù)條例將安全要求劃分為安全通用要求和安全擴(kuò)展要求。

另外，安全通用要求是針對(duì)共性化保護(hù)需求提出的, 無論等級(jí)保護(hù)對(duì)象以何種形式出現(xiàn), 需要根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求。安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出, 等級(jí)保護(hù)對(duì)象需要根據(jù)安全保護(hù)等級(jí)、使用的特定技術(shù)或特定的應(yīng)用場景實(shí)現(xiàn)安全擴(kuò)展要求。等級(jí)保護(hù)對(duì)象的安全保護(hù)措施需要同時(shí)實(shí)現(xiàn)安全通用要求和安全擴(kuò)展要求, 從而更加有效地保護(hù)等級(jí)保護(hù)對(duì)象。

國外政策

當(dāng)然，并不是只有國內(nèi)如此重視網(wǎng)絡(luò)安全，WannaCry的傳說仍然在坊間流傳。隨著各行各業(yè)逐漸融入互聯(lián)網(wǎng)，各國在網(wǎng)絡(luò)安全領(lǐng)域的國家級(jí)投入也持續(xù)處于強(qiáng)勢增長狀態(tài)，在有力支撐國際戰(zhàn)略政策落地的同時(shí)，也為產(chǎn)業(yè)發(fā)展注入了強(qiáng)心劑。

1. 美國

美國可以說是當(dāng)今網(wǎng)絡(luò)“第一大國”，不論是網(wǎng)絡(luò)規(guī)模、黑客數(shù)量、安全事件還是互聯(lián)網(wǎng)產(chǎn)業(yè)水平，他都擔(dān)得起這個(gè)名號(hào)，一個(gè)硅谷就已經(jīng)讓很多國家望塵莫及。

因此，為了穩(wěn)固自己的地位，針對(duì)網(wǎng)絡(luò)的相關(guān)法律也必須與時(shí)俱進(jìn)，才能應(yīng)對(duì)時(shí)下不斷變換的網(wǎng)絡(luò)形勢。

在2018年年初，美國眾議院能源和商業(yè)小組委員會(huì)通過了4項(xiàng)法案：

• 要求美國能源部長里克·佩里制定計(jì)劃提高美國能源管道和液化天然氣設(shè)施的物理安全與網(wǎng)絡(luò)安全(《管道與液化天然氣設(shè)施網(wǎng)絡(luò)安全準(zhǔn)備法案》);
• 提出將美國能源部的應(yīng)急響應(yīng)和網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)權(quán)力提至助理部長一級(jí)(《能源應(yīng)急領(lǐng)導(dǎo)法案》);
• 制定計(jì)劃幫助私營公共事業(yè)公司識(shí)別并使用網(wǎng)絡(luò)安全功能強(qiáng)大的產(chǎn)品(《2018網(wǎng)絡(luò)感知法案》);
• 提出加強(qiáng)公私合作確保電力設(shè)施安全(通過《公私合作加強(qiáng)電網(wǎng)安全法案》)。

這些法案提出“采取可行的措施”，確保美國能源部能有效執(zhí)行應(yīng)急和安全活動(dòng)，并確保美國能源供應(yīng)安全可靠。與此同時(shí)，美國相繼發(fā)布了多份網(wǎng)絡(luò)安全相關(guān)政策文件，進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全政策指導(dǎo)：

5月，美國能源部發(fā)布《能源行業(yè)網(wǎng)絡(luò)安全多年計(jì)劃》，確定了美國能源部未來五年力圖實(shí)現(xiàn)的目標(biāo)和計(jì)劃，以及實(shí)現(xiàn)這些目標(biāo)和計(jì)劃將采取的相應(yīng)舉措，以降低網(wǎng)絡(luò)事件給美國能源帶來的風(fēng)險(xiǎn)。

12月，美國眾議院能源和商業(yè)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全戰(zhàn)略報(bào)告》，提出6個(gè)應(yīng)對(duì)網(wǎng)絡(luò)安全事件的核心內(nèi)聯(lián)概念以及解決網(wǎng)絡(luò)安全問題的6個(gè)重點(diǎn)。

除此之外，美國相關(guān)部門也發(fā)布了其他指導(dǎo)性文件，包括：商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》、國家安全電信咨詢委員會(huì)(NSTAC)《網(wǎng)絡(luò)安全“登月”計(jì)劃》等。

另外，美國網(wǎng)絡(luò)司令部將在政府網(wǎng)站安全、主動(dòng)防御、實(shí)地運(yùn)營、反恐和基礎(chǔ)設(shè)施抵御力、身份識(shí)別管理等 5個(gè)方向加大投入，總預(yù)算達(dá)15.13億美元。美國“2019 財(cái)年國防授權(quán)法案”將網(wǎng)絡(luò)安全預(yù)算大幅增加至300億美元，將從推進(jìn)技術(shù)發(fā)展、擴(kuò)大采購權(quán)限、強(qiáng)化政企合作、支持人才培養(yǎng)、創(chuàng)建試點(diǎn)項(xiàng)目等方面提升國家網(wǎng)絡(luò)安全能力。

2. 歐盟

作為世界最大的經(jīng)濟(jì)共同體，匯聚了眾多發(fā)達(dá)國家的歐盟在網(wǎng)絡(luò)安全方面自然也不會(huì)袖手旁觀。

2016年7月6日，歐洲議會(huì)全體會(huì)議通過首部相關(guān)法規(guī)——《歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全指令》，主要內(nèi)容包括：

要求歐盟各成員國加強(qiáng)跨境管理與合作;制定本國的網(wǎng)絡(luò)信息安全戰(zhàn)略;建立事故應(yīng)急機(jī)制，對(duì)能源、金融、交通和飲水、醫(yī)療等公共服務(wù)重點(diǎn)領(lǐng)域的基礎(chǔ)服務(wù)運(yùn)營者進(jìn)行梳理，強(qiáng)制這些企業(yè)加強(qiáng)其網(wǎng)絡(luò)信息系統(tǒng)的安全，增強(qiáng)防范風(fēng)險(xiǎn)和處理事故的能力。

2018年5月，歐盟網(wǎng)絡(luò)與信息系統(tǒng)(NIS)指令正式生效。此項(xiàng)面向歐盟范圍內(nèi)的新法令旨在提高關(guān)鍵基礎(chǔ)設(shè)施相關(guān)組織的IT安全性，同時(shí)亦將約束各搜索引擎、在線市場以及其它對(duì)現(xiàn)代經(jīng)濟(jì)擁有關(guān)鍵性影響的組織機(jī)構(gòu)。

此外，另一項(xiàng)家喻戶曉的法案也于2018年5月25日正式生效，《通用數(shù)據(jù)保護(hù)條例》，即GDPR。這是目前為止出臺(tái)的全球現(xiàn)有數(shù)據(jù)隱私保護(hù)法規(guī)中，覆蓋面最廣、監(jiān)管條件最嚴(yán)格的政策。GDPR管轄的范圍涵蓋所有處理歐盟居民數(shù)據(jù)的公司，在歐盟地區(qū)的企業(yè)必須遵守GDPR，歐盟之外的企業(yè)只要處理歐盟居民的數(shù)據(jù)也需要遵守GDPR。每一單GDPR違規(guī)行為將受到高達(dá)2000萬歐元的嚴(yán)重處罰，或者上一年全球年?duì)I業(yè)額的4%，以較高者為準(zhǔn)。目前為止，Google、Facebook等多家大型企業(yè)也都先后因?yàn)榘踩珕栴}而遭到了GDPR的“制裁”?？此圃诖蠹叶家呀?jīng)踏上了“合規(guī)”的不歸路。

除了歐盟層面的法規(guī)之外，歐洲幾大國也相繼發(fā)布國家戰(zhàn)略及系列規(guī)劃，加強(qiáng)頂層設(shè)計(jì)。

3. 德國

2016年8月，德國聯(lián)邦參議院通過一項(xiàng)信息安全法案，要求關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu)和服務(wù)商必須執(zhí)行新的信息安全規(guī)定，否則將被處以最高10萬歐元的罰款。

2016年9月，德國聯(lián)邦經(jīng)濟(jì)部發(fā)布了《數(shù)字化行動(dòng)綱要》，制定了12項(xiàng)針對(duì)未來數(shù)字化發(fā)展的措施，以吸引更多風(fēng)投資金并促進(jìn)中型企業(yè)數(shù)字化轉(zhuǎn)型。

2016年11月，德國發(fā)布一項(xiàng)新的網(wǎng)絡(luò)安全戰(zhàn)略計(jì)劃，以應(yīng)對(duì)越來越多針對(duì)政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)以及公民的網(wǎng)絡(luò)威脅。

2018年5月，德國能源與水資源經(jīng)濟(jì)聯(lián)邦協(xié)會(huì)(BDEW)發(fā)布《能源系統(tǒng)網(wǎng)絡(luò)安全建議白皮書》，對(duì)能源系統(tǒng)的安全控制與通信提出了相關(guān)建議。

此外，德國國防部長和內(nèi)政部長在2018年9月宣布， 將在未來五年投入2億歐元組建網(wǎng)絡(luò)安全與關(guān)鍵技術(shù)創(chuàng)新局，機(jī)構(gòu)定位類似于美國國防部高級(jí)研究計(jì)劃局(DARPA)，主要致力于推動(dòng)自主網(wǎng)絡(luò)安全技術(shù)創(chuàng)新。

4. 英國

2016年11月，英國發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略(2016-2021)》，確保網(wǎng)絡(luò)安全的重要地位，并提出，英國政府將投入19億英鎊強(qiáng)化網(wǎng)絡(luò)安全能力。

2017年3月，英國正式出臺(tái)《2017英國數(shù)字化戰(zhàn)略》，提出七大戰(zhàn)略任務(wù)，其中，安全的數(shù)字基礎(chǔ)設(shè)施是其首要任務(wù)。

2018年6月，英國政府內(nèi)閣辦公室發(fā)布實(shí)施網(wǎng)絡(luò)安全最低標(biāo)準(zhǔn)(Minimum Cyber Security Standard) ，從識(shí)別、保護(hù)、檢測、響應(yīng)和恢復(fù)五個(gè)維度，提出了一套網(wǎng)絡(luò)安全能力建設(shè)的最低措施要求。

標(biāo)準(zhǔn)的強(qiáng)制效力將驅(qū)動(dòng)英國政府部門、非政府公共機(jī)構(gòu)、承包商等相關(guān)單位加大網(wǎng)絡(luò)安全保障投入，提升安全防護(hù)能力。

5. 其他國家

2018年2月，新加坡國會(huì)通過《網(wǎng)絡(luò)安全法案》，旨在加強(qiáng)保護(hù)提供基本服務(wù)的計(jì)算機(jī)系統(tǒng)，防范網(wǎng)絡(luò)攻擊。該法案提出針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)管框架，并明確了所有者確保網(wǎng)絡(luò)安全的職責(zé)。能源、交通、航空等基礎(chǔ)設(shè)施領(lǐng)域的關(guān)鍵網(wǎng)絡(luò)安全信息被點(diǎn)名加強(qiáng)合作。如果關(guān)鍵信息基礎(chǔ)設(shè)施所有者不履行義務(wù)，將面臨最高10萬新元的罰款，或兩年監(jiān)禁，亦或二者并罰。

以色列創(chuàng)新局將聯(lián)合以色列經(jīng)濟(jì)和工業(yè)部、國家網(wǎng)絡(luò)局啟動(dòng)為期三年的產(chǎn)業(yè)發(fā)展計(jì)劃，包括對(duì)有全球影響力的技術(shù)、有突破性研發(fā)潛力的網(wǎng)絡(luò)安全企業(yè)提供資金支持等，投資9000萬新謝克爾 (約2443萬美元)。

……

可以看出，全世界各國都在積極應(yīng)對(duì)網(wǎng)絡(luò)安全問題。而我國正處于互聯(lián)網(wǎng)發(fā)展的窗口期，加強(qiáng)互聯(lián)網(wǎng)數(shù)據(jù)保護(hù)、提高抵御黑客攻擊的能力將是今后互聯(lián)網(wǎng)發(fā)展的一個(gè)重要課題。隨著網(wǎng)絡(luò)邊界愈發(fā)的模糊，日后出現(xiàn)的各種紛亂繁雜也勢必更加洶涌。毋庸置疑，政策體系還需要進(jìn)一步完善，而安全產(chǎn)品和技術(shù)措施的進(jìn)步也要跟得上互聯(lián)網(wǎng)發(fā)展普及的步伐。信息安全仍舊“未來可期”。