2018-09-03 13:43:221396300人阅读
近几年,随着移动互联网、大数据、云计算、人工智能等新一代信息技术的快速发展,围绕网络和数据的服务与应用呈现爆发式增长,丰富的应用场景下暴露出越来越多的网络安全风险和问题,并在全球范围内产生广泛而深远的影响,例如近几年频繁发生的勒索病毒攻击、跨国电信诈骗、数据泄露、网络暴力等事件,给各国的互联网发展与治理带来巨大的挑战。
从概念上来看,“网络安全”所涵盖的内容和范畴越来越大,从过去简单的上网和网络传输方面的安全问题扩展到整个“网络空间”的安全问题。国际电信联盟将网络安全定义为:“网络安全是集合工具、政策、安全概念、安全保障、指南、风险管理方法、行动、培训、实践案例、技术等内容的一整套安全管理体系,用于保护网络环境、组织以及用户的资产。组织和用户的资产包括连接的计算机设备、人员、基础设施、应用程序、网络服务、电信系统以及网络环境中传输和/或存储的信息[1]”。这个定义将网络安全视为一个生态系统,生态系统的良好运行需要来自技术、法律、政策、组织机构、技能、合作等多方面的保证,这一理念已经在许多国家得到认可和传播。国外近几年除了推动网络安全的立法和政策,也在推进网络安全的保险服务,保险行业需要对网络安全的概念和范畴进行更明确的限定,例如知名国际保险行业智库日内瓦协会(The Geneva Association)将网络安全定义为“在使用信息通信技术过程中产生的危及数据和服务机密性、可用性和完整性的任何风险[2]”。保险行业更加关注数据和服务的安全问题,在实际操作层面,保险公司会确定一系列网络安全事件,并及时更新事件类型和安全风险的场景。我国在2017年6月1日正式实施的《中华人民共和国网络安全法》中也对网络安全赋予了更加明确的定义,“网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”,其中网络数据的安全问题成为一项重要内容。在实际应用层面,我国也是从网络安全事件类型的角度出发,制定一系列政策、标准、条例、指南等对不同的网络安全问题进行防范、处置和应对。目前,不论是政府、企业还是相关行业协会等机构都在积极推动网络安全治理能力的提升和网络安全生态的完善,但在具体实践中也面临着诸多方面的挑战。
政府层面,过去三年推动了一系列网络安全管理的法律法规、标准和政策的落地。2015年7月1日,《国家安全法》公布施行,其中首次以法律形式提出“维护国家网络空间主权”,并明确提出国家建设网络与信息安全保障体系。2015年7月6日,《中国人民共和国网络安全法(草案)》发布,于2017年6月1日正式实施。过去三年间先后提出或颁布了多个配套法律法规和规范性文件,包括《网络空间国际合作战略》、《国家网络安全应急预案》、《网络产品和服务安全审查办法》、《网络关键设备和网络安全专用产品目录》、《公共互联网网络安全威胁监测与处置办法》、《公共互联网网络安全突发事件应急预案》、《个人信息和重要数据出境安全评估办法》、《关键信息基础设施安全保护条例》等等。这些法律法规和政策的落地极大地促进了我国网络空间法制体系的建设和完善,在保护网络空间主权、防范公共互联网风险、规范企业网络服务和保护个人数据与隐私方面形成了良好的指导作用,不过还需要通过较长时期的实践检验,才能在整个网络安全生态中营造出有效的规制作用。
企业层面,一方面企业正在积极提高自身网络安全防护能力和行业协作,例如2015年 6月19日,国内32家单位在北京共同签署了《中国互联网协会漏洞信息披露和处置自律公约》,这是首次以行业自律的方式共同规范漏洞信息的接收、处置和发布的行为。就当前发展阶段来看,近几年来企业对自身网络安全防护能力越来越重视,特别是对数据资产保护的重要性有了很强的意识,但是不同行业企业的网络安全防护能力差异很大,特别是一些依靠新兴数字技术快速发展起来的小微企业、初创企业,由于资本和能力的限制,自身网络安全能力建设水平较低,存在很大的网络安全风险。另一方面,企业也积极加强对客户隐私数据的保护和合规使用,特别是在欧盟的《通用数据保护条例》(The General Data Protection Regulation, GDPR)和《中华人民共和国网络安全法》落地实施后,对个人数据和隐私的保护有了更加严格的要求,企业尤其是跨国企业针对客户数据的收集、存储、使用等方面建立了严格的规范和准则,但就实施初期来看数据滥用、数据泄露的问题依然突出。
整体来说,当前我国的网络安全生态系统尚处于发展初期,相关技术、法律、政策、组织机构、技能、合作等内容正在逐步建立和完善,且处于快速发展的阶段。与其他国家相比,我国在过去十年经历了移动互联网和新兴数字技术的飞速发展,应用场景纷繁复杂,在诸多行业引发了深刻的数字化变革。在这样的背景下,我国面临的网络安全问题具有诸多独特性,下文将从机构和个人两个角度出发,梳理我国的重点网络安全议题,进而分析我国网络安全的整体现状,并对重点行业的网络安全现状和发展方向进行了详细的分析和阐述。
点击下面附件,查看详细内容
[1] 参考国际电信联盟官方网站,https://www.itu.int/en/ITU-/studygroups/com17/Pages/cybersecurity.aspx
[2] The Geneva Association (2016), Ten Key Questions on Cyber Risk and Cyber Risk Insurance, The Geneva Association, Zurich.
本研究由清华大学经济管理学院互联网发展与治理研究中心主任陈煜波教授领导的研究团队与百度安全合作完成,转载与引用需注明出处及本文链接