行業(yè)動態(tài)

網絡安全法律法規(guī)知多少

來源:聚銘網絡    發(fā)布時間:2019-08-05    瀏覽次數:
 

信息來源:51cto

隨著全球各行業(yè)數字化的進程不斷加速,各類新型信息通信技術快速發(fā)展,萬物互聯(lián)正一步步向我們走來。因此,各行各業(yè)對于數據的安全需求也日益遞增。而且,這其中有相當一部分是保障民生的重要行業(yè)。

我們每天都享受著掃碼支付、人臉識別這些信息技術帶來的便捷服務,所謂的ABC(人工智能、大數據、云計算)早已不僅僅是資本運作的噱頭,它已經滲透到日常生活的方方面面。

然而,互聯(lián)網的蔓延帶來的并不全是增益,反而還造成了一系列風險缺口:在數字化推動生產和消費革命的同時,猶如新生嬰兒一般缺乏防護能力,傳統(tǒng)行業(yè)正面臨網絡安全威脅的挑戰(zhàn)。大量的數據表明,近年來隨著智能設備和控制系統(tǒng)的增多,數字化的設施越來越容易遭到黑客的攻擊,傳統(tǒng)產業(yè)的網絡安全性堪憂。

因此,想要實現萬物互聯(lián)的網絡世界需要完善的網絡安全政策體系,以實現更高效的安全防御。

國內政策

十八大以來,我國確立了網絡強國戰(zhàn)略,為了加快數字中國的建設,互聯(lián)網已經成為國家發(fā)展的重要驅動力,隨后在中共十九大也同樣指出,網絡安全是人類面臨的許多共同挑戰(zhàn)。

2017年6月1日,《網絡安全法》正式實施。關鍵基礎設施安全成為了國內網絡安全的主要關注點之一。

其中,由于工業(yè)控制系統(tǒng)在日常生產制造中占據了非常大的比例,因此為了進一步推動工控系統(tǒng)網絡安全建設,一系列法律法規(guī)和規(guī)范性文件相繼出臺:國家互聯(lián)網信息辦公室發(fā)布《關鍵基礎設施安全保護條例(送審稿)》,工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護能力評估管理辦法》,工業(yè)和信息化部制定了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》等。工控系統(tǒng)的安全被提升到了前所未有的高度。

隨后我們步入了2018年,這也是我國網絡安全政策體系建設非常迅速的一年。

4月,全國信息安全標準化技術委員會正式發(fā)布《大數據安全標準化白皮書(2018版)》。重點介紹了國內外的大數據安全法律法規(guī)、政策執(zhí)行,以及標準化現狀,分析了大數據安全所面臨的風險和挑戰(zhàn)。同時規(guī)劃了大數據安全標準的工作重點,描繪了大數據安全標準化的體系框架,并提出了開展大數據安全標準化的工作建議。

6月,《國務院關于深化“互聯(lián)網+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網的指導意見》發(fā)布,表示2018-2020年是我國工業(yè)互聯(lián)網建設起步階段,對未來發(fā)展影響深遠。隨后,為了深入實施工業(yè)互聯(lián)網創(chuàng)新發(fā)展戰(zhàn)略,推動實體經濟與數字經濟深度融合,工信部印發(fā)《工業(yè)互聯(lián)網發(fā)展行動計劃(2018-2020年)》 和《工業(yè)互聯(lián)網專項工作組2018年工作計劃》。

7月,工業(yè)和信息化部正式印發(fā)《工業(yè)互聯(lián)網平臺建設及推廣指南》和《工業(yè)互聯(lián)網平臺評價方法》,要求制定完善工業(yè)信息安全管理等政策法規(guī),明確安全防護要求。建設國家工業(yè)信息安全綜合保障平臺,實時分析平臺安全態(tài)勢。強化企業(yè)平臺安全主體責任,引導平臺強化安全防護意識,提升漏洞發(fā)現、安全防護和應急處置能力。

9月,國家能源局印發(fā)《關于加強電力行業(yè)網絡安全工作的指導意見》。指導意見將有效地促進電力行業(yè)網絡安全責任體系,并有助于完善網絡安全監(jiān)督管理體制機制,進一步提高電力監(jiān)控系統(tǒng)安全防護水平,強化網絡安全防護體系,提高自主創(chuàng)新及安全可控能力,從而防范和遏制重大網絡安全事件,以保障電力系統(tǒng)安全穩(wěn)定運行和電力可靠供應。

各類政策接踵而來,但我國非但沒有減慢步伐,仍然在不斷的推陳出新。中央網絡安全和信息化領導小組提出:“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化,中國要由網絡大國走向網絡強國?!币虼耍?019年5月,網絡安全等級保護制度2.0國家標準發(fā)布,等保2.0時代正式到來。

等保2.0中將采用安全通用要求和安全擴展要求的劃分使得標準的使用更加具有靈活性和針對性。不同等級保護對象由于采用的信息技術不同, 所采用的保護措施也會不同。例如, 傳統(tǒng)的信息系統(tǒng)和云計算平臺的保護措施有差異, 云計算平臺和工業(yè)控制系統(tǒng)的保護措施也有差異。為了體現不同對象的保護差異, 新的等級保護條例將安全要求劃分為安全通用要求和安全擴展要求。

另外,安全通用要求是針對共性化保護需求提出的, 無論等級保護對象以何種形式出現, 需要根據安全保護等級實現相應級別的安全通用要求。安全擴展要求針對個性化保護需求提出, 等級保護對象需要根據安全保護等級、使用的特定技術或特定的應用場景實現安全擴展要求。等級保護對象的安全保護措施需要同時實現安全通用要求和安全擴展要求, 從而更加有效地保護等級保護對象。

國外政策

當然,并不是只有國內如此重視網絡安全,WannaCry的傳說仍然在坊間流傳。隨著各行各業(yè)逐漸融入互聯(lián)網,各國在網絡安全領域的國家級投入也持續(xù)處于強勢增長狀態(tài),在有力支撐國際戰(zhàn)略政策落地的同時,也為產業(yè)發(fā)展注入了強心劑。

1. 美國

美國可以說是當今網絡“第一大國”,不論是網絡規(guī)模、黑客數量、安全事件還是互聯(lián)網產業(yè)水平,他都擔得起這個名號,一個硅谷就已經讓很多國家望塵莫及。

因此,為了穩(wěn)固自己的地位,針對網絡的相關法律也必須與時俱進,才能應對時下不斷變換的網絡形勢。

在2018年年初,美國眾議院能源和商業(yè)小組委員會通過了4項法案:


  • 要求美國能源部長里克·佩里制定計劃提高美國能源管道和液化天然氣設施的物理安全與網絡安全(《管道與液化天然氣設施網絡安全準備法案》);
  • 提出將美國能源部的應急響應和網絡安全工作領導權力提至助理部長一級(《能源應急領導法案》);
  • 制定計劃幫助私營公共事業(yè)公司識別并使用網絡安全功能強大的產品(《2018網絡感知法案》);
  • 提出加強公私合作確保電力設施安全(通過《公私合作加強電網安全法案》)。


這些法案提出“采取可行的措施”,確保美國能源部能有效執(zhí)行應急和安全活動,并確保美國能源供應安全可靠。與此同時,美國相繼發(fā)布了多份網絡安全相關政策文件,進一步強化網絡安全政策指導:

5月,美國能源部發(fā)布《能源行業(yè)網絡安全多年計劃》,確定了美國能源部未來五年力圖實現的目標和計劃,以及實現這些目標和計劃將采取的相應舉措,以降低網絡事件給美國能源帶來的風險。

12月,美國眾議院能源和商業(yè)委員會發(fā)布《網絡安全戰(zhàn)略報告》,提出6個應對網絡安全事件的核心內聯(lián)概念以及解決網絡安全問題的6個重點。

除此之外,美國相關部門也發(fā)布了其他指導性文件,包括:商務部國家標準與技術研究院(NIST)《提升關鍵基礎設施網絡安全的框架》、國家安全電信咨詢委員會(NSTAC)《網絡安全“登月”計劃》等。

另外,美國網絡司令部將在政府網站安全、主動防御、實地運營、反恐和基礎設施抵御力、身份識別管理等 5個方向加大投入,總預算達15.13億美元。美國“2019 財年國防授權法案”將網絡安全預算大幅增加至300億美元,將從推進技術發(fā)展、擴大采購權限、強化政企合作、支持人才培養(yǎng)、創(chuàng)建試點項目等方面提升國家網絡安全能力。

2. 歐盟

作為世界最大的經濟共同體,匯聚了眾多發(fā)達國家的歐盟在網絡安全方面自然也不會袖手旁觀。

2016年7月6日,歐洲議會全體會議通過首部相關法規(guī)——《歐盟網絡與信息系統(tǒng)安全指令》,主要內容包括:

要求歐盟各成員國加強跨境管理與合作;制定本國的網絡信息安全戰(zhàn)略;建立事故應急機制,對能源、金融、交通和飲水、醫(yī)療等公共服務重點領域的基礎服務運營者進行梳理,強制這些企業(yè)加強其網絡信息系統(tǒng)的安全,增強防范風險和處理事故的能力。

2018年5月,歐盟網絡與信息系統(tǒng)(NIS)指令正式生效。此項面向歐盟范圍內的新法令旨在提高關鍵基礎設施相關組織的IT安全性,同時亦將約束各搜索引擎、在線市場以及其它對現代經濟擁有關鍵性影響的組織機構。

此外,另一項家喻戶曉的法案也于2018年5月25日正式生效,《通用數據保護條例》,即GDPR。這是目前為止出臺的全球現有數據隱私保護法規(guī)中,覆蓋面最廣、監(jiān)管條件最嚴格的政策。GDPR管轄的范圍涵蓋所有處理歐盟居民數據的公司,在歐盟地區(qū)的企業(yè)必須遵守GDPR,歐盟之外的企業(yè)只要處理歐盟居民的數據也需要遵守GDPR。每一單GDPR違規(guī)行為將受到高達2000萬歐元的嚴重處罰,或者上一年全球年營業(yè)額的4%,以較高者為準。目前為止,Google、Facebook等多家大型企業(yè)也都先后因為安全問題而遭到了GDPR的“制裁”??此圃诖蠹叶家呀浱ど狭恕昂弦?guī)”的不歸路。

除了歐盟層面的法規(guī)之外,歐洲幾大國也相繼發(fā)布國家戰(zhàn)略及系列規(guī)劃,加強頂層設計。

3. 德國

2016年8月,德國聯(lián)邦參議院通過一項信息安全法案,要求關鍵基礎設施機構和服務商必須執(zhí)行新的信息安全規(guī)定,否則將被處以最高10萬歐元的罰款。

2016年9月,德國聯(lián)邦經濟部發(fā)布了《數字化行動綱要》,制定了12項針對未來數字化發(fā)展的措施,以吸引更多風投資金并促進中型企業(yè)數字化轉型。

2016年11月,德國發(fā)布一項新的網絡安全戰(zhàn)略計劃,以應對越來越多針對政府機構、關鍵基礎設施、企業(yè)以及公民的網絡威脅。

2018年5月,德國能源與水資源經濟聯(lián)邦協(xié)會(BDEW)發(fā)布《能源系統(tǒng)網絡安全建議白皮書》,對能源系統(tǒng)的安全控制與通信提出了相關建議。

此外,德國國防部長和內政部長在2018年9月宣布, 將在未來五年投入2億歐元組建網絡安全與關鍵技術創(chuàng)新局,機構定位類似于美國國防部高級研究計劃局(DARPA),主要致力于推動自主網絡安全技術創(chuàng)新。

4. 英國

2016年11月,英國發(fā)布《國家網絡安全戰(zhàn)略(2016-2021)》,確保網絡安全的重要地位,并提出,英國政府將投入19億英鎊強化網絡安全能力。

2017年3月,英國正式出臺《2017英國數字化戰(zhàn)略》,提出七大戰(zhàn)略任務,其中,安全的數字基礎設施是其首要任務。

2018年6月,英國政府內閣辦公室發(fā)布實施網絡安全最低標準(Minimum Cyber Security Standard) ,從識別、保護、檢測、響應和恢復五個維度,提出了一套網絡安全能力建設的最低措施要求。

標準的強制效力將驅動英國政府部門、非政府公共機構、承包商等相關單位加大網絡安全保障投入,提升安全防護能力。

5. 其他國家

2018年2月,新加坡國會通過《網絡安全法案》,旨在加強保護提供基本服務的計算機系統(tǒng),防范網絡攻擊。該法案提出針對關鍵信息基礎設施的監(jiān)管框架,并明確了所有者確保網絡安全的職責。能源、交通、航空等基礎設施領域的關鍵網絡安全信息被點名加強合作。如果關鍵信息基礎設施所有者不履行義務,將面臨最高10萬新元的罰款,或兩年監(jiān)禁,亦或二者并罰。

以色列創(chuàng)新局將聯(lián)合以色列經濟和工業(yè)部、國家網絡局啟動為期三年的產業(yè)發(fā)展計劃,包括對有全球影響力的技術、有突破性研發(fā)潛力的網絡安全企業(yè)提供資金支持等,投資9000萬新謝克爾 (約2443萬美元)。

……

可以看出,全世界各國都在積極應對網絡安全問題。而我國正處于互聯(lián)網發(fā)展的窗口期,加強互聯(lián)網數據保護、提高抵御黑客攻擊的能力將是今后互聯(lián)網發(fā)展的一個重要課題。隨著網絡邊界愈發(fā)的模糊,日后出現的各種紛亂繁雜也勢必更加洶涌。毋庸置疑,政策體系還需要進一步完善,而安全產品和技術措施的進步也要跟得上互聯(lián)網發(fā)展普及的步伐。信息安全仍舊“未來可期”。

 
 

上一篇:2019年08月05日 聚銘安全速遞

下一篇:為更快尋找 iOS 漏洞 蘋果將向安全專家提供開發(fā)版 iPhone