陸英

隨著全球各行業(yè)數(shù)字化進程的不斷加速，各類新型信息通信技術(shù)快速發(fā)展，萬物互聯(lián)正一步步向我們走來。各行各業(yè)對于數(shù)據(jù)安全的需求日益遞增，而且，有相當(dāng)一部分是保障民生的重要行業(yè)。

我們每天都在享受著掃碼支付、人臉識別等信息技術(shù)帶來的便捷服務(wù)，所謂的人工智能、大數(shù)據(jù)和云計算（ABC）早已不僅是資本運作的噱頭，已經(jīng)滲透到日常生活的方方面面。然而，互聯(lián)網(wǎng)的蔓延帶來的并不全是增益，還造成了一系列風(fēng)險缺口：數(shù)字化在推動生產(chǎn)和消費革命的同時，猶如新生嬰兒一般缺乏防護能力，傳統(tǒng)行業(yè)正面臨網(wǎng)絡(luò)安全威脅的挑戰(zhàn)。大量數(shù)據(jù)表明，近年來隨著智能設(shè)備和控制系統(tǒng)的增多，數(shù)字化設(shè)施越來越容易遭到黑客的攻擊，傳統(tǒng)產(chǎn)業(yè)的網(wǎng)絡(luò)安全性堪憂。

因此，想要實現(xiàn)萬物互聯(lián)，需要完善的網(wǎng)絡(luò)安全政策體系，以實現(xiàn)更高效的安全防御。

國內(nèi)政策

十八大以來，我國確立了網(wǎng)絡(luò)強國戰(zhàn)略，為了加快建設(shè)數(shù)字中國，互聯(lián)網(wǎng)已成為國家發(fā)展的重要驅(qū)動力。中共十九大也同樣指出，網(wǎng)絡(luò)安全是人類面臨的共同挑戰(zhàn)。2017年6月1日，《網(wǎng)絡(luò)安全法》正式實施，關(guān)鍵基礎(chǔ)設(shè)施安全成為了國內(nèi)網(wǎng)絡(luò)安全的主要關(guān)注點之一。

工業(yè)控制系統(tǒng)在日常生產(chǎn)制造中占據(jù)非常大的比例，因此，為了進一步推動工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)，一系列法律法規(guī)和規(guī)范性文件相繼出臺：國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵基礎(chǔ)設(shè)施安全保護條例（送審稿）》；工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護能力評估管理辦法》；工業(yè)和信息化部制定了《工業(yè)控制系統(tǒng)信息安全行動計劃（2018- 2020年）》等。工控系統(tǒng)的安全被提升到了前所未有的高度。

2018年，是我國網(wǎng)絡(luò)安全政策體系建設(shè)非常迅速的一年。4月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正式發(fā)布《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書（2018版）》。重點介紹了國內(nèi)外大數(shù)據(jù)安全法律法規(guī)、政策執(zhí)行以及標(biāo)準(zhǔn)化現(xiàn)狀，分析了大數(shù)據(jù)安全面臨的風(fēng)險和挑戰(zhàn)。同時規(guī)劃了大數(shù)據(jù)安全標(biāo)準(zhǔn)的工作重點，描繪了大數(shù)據(jù)安全標(biāo)準(zhǔn)化的體系框架，并提出了開展大數(shù)據(jù)安全標(biāo)準(zhǔn)化的工作建議。

6月，《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》發(fā)布，表示2018- 2020年是我國工業(yè)互聯(lián)網(wǎng)建設(shè)起步階段，對未來發(fā)展影響深遠。隨后，為了深入實施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略，推動實體經(jīng)濟與數(shù)字經(jīng)濟深度融合，工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃（2018- 2020年）》和《工業(yè)互聯(lián)網(wǎng)專項工作組2018年工作計劃》。

7月，工業(yè)和信息化部正式印發(fā)《工業(yè)互聯(lián)網(wǎng)平臺建設(shè)及推廣指南》和《工業(yè)互聯(lián)網(wǎng)平臺評價方法》，要求制定完善的工業(yè)信息安全管理等政策法規(guī)，明確安全防護要求；建設(shè)國家工業(yè)信息安全綜合保障平臺，實時分析平臺安全態(tài)勢；強化企業(yè)平臺安全主體責(zé)任，引導(dǎo)平臺強化安全防護意識，提升漏洞發(fā)現(xiàn)、安全防護和應(yīng)急處置能力。

9月，國家能源局印發(fā)《關(guān)于加強電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》。指導(dǎo)意見將有效促進電力行業(yè)網(wǎng)絡(luò)安全責(zé)任體系，并有助于完善網(wǎng)絡(luò)安全監(jiān)督管理體制機制，進一步提高電力監(jiān)控系統(tǒng)安全防護水平，強化網(wǎng)絡(luò)安全防護體系，提高自主創(chuàng)新及安全可控能力，從而防范和遏制重大網(wǎng)絡(luò)安全事件，以保障電力系統(tǒng)安全穩(wěn)定運行和電力可靠供應(yīng)。

各類政策接踵而來，非但沒有減慢步伐，還仍然在不斷地推陳出新。中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組提出：“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化，中國要由網(wǎng)絡(luò)大國走向網(wǎng)絡(luò)強國?！币虼?，2019年5月，《網(wǎng)絡(luò)安全等級保護制度2.0國家標(biāo)準(zhǔn)》發(fā)布，等保2.0時代正式到來。

等保2.0將采用安全通用要求和安全擴展要求的劃分使得標(biāo)準(zhǔn)的使用更加具有靈活性和針對性。不同等級保護對象由于采用的信息技術(shù)不同，所采用的保護措施也會不同。例如，傳統(tǒng)信息系統(tǒng)和云計算平臺的保護措施有差異，云計算平臺和工業(yè)控制系統(tǒng)的保護措施也有差異。為了體現(xiàn)不同對象的保護差異，新的等級保護條例將安全要求劃分為安全通用要求和安全擴展要求。

另外，安全通用要求是針對共性化保護需求提出的，無論等級保護對象以何種形式出現(xiàn)，需要根據(jù)安全保護等級實現(xiàn)相應(yīng)級別的安全通用要求。安全擴展要求針對個性化保護需求提出，等級保護對象需要根據(jù)安全保護等級、使用的特定技術(shù)或特定應(yīng)用場景實現(xiàn)安全擴展要求。等級保護對象的安全保護措施需要同時實現(xiàn)安全通用要求和安全擴展要求，從而更加有效地保護等級保護對象。

國外政策

當(dāng)然，并不是只有國內(nèi)如此重視網(wǎng)絡(luò)安全，WannaCry的傳說仍然在坊間流傳。隨著各行各業(yè)逐漸融入互聯(lián)網(wǎng)，各國在網(wǎng)絡(luò)安全領(lǐng)域的國家級投入也處于持續(xù)勢增長狀態(tài)，在有力支撐國際戰(zhàn)略政策落地的同時，也為產(chǎn)業(yè)發(fā)展注入了強心劑。

美國

美國可以說是當(dāng)今網(wǎng)絡(luò)“第一大國”，不論是網(wǎng)絡(luò)規(guī)模、黑客數(shù)量、安全事件還是互聯(lián)網(wǎng)產(chǎn)業(yè)水平，都擔(dān)得起這個名號，一個硅谷就已經(jīng)讓很多國家望塵莫及。

因此，為了穩(wěn)固自己的地位，針對網(wǎng)絡(luò)的相關(guān)法律也必須與時俱進，才能應(yīng)對時下不斷變換的網(wǎng)絡(luò)形勢。

2018年初，美國眾議院能源和商業(yè)小組委員會通過了4項法案：

要求美國能源部長里克·佩里制定計劃提高美國能源管道和液化天然氣設(shè)施的物理安全與網(wǎng)絡(luò)安全（《管道與液化天然氣設(shè)施網(wǎng)絡(luò)安全準(zhǔn)備法案》）；

提出將美國能源部的應(yīng)急響應(yīng)和網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)權(quán)力提至助理部長一級（《能源應(yīng)急領(lǐng)導(dǎo)法案》）；

制定計劃幫助私營公共事業(yè)公司識別并使用網(wǎng)絡(luò)安全功能強大的產(chǎn)品（《2018網(wǎng)絡(luò)感知法案》）；

提出加強公私合作確保電力設(shè)施安全（通過《公私合作加強電網(wǎng)安全法案》）。

這些法案提出“采取可行的措施”，確保美國能源部能有效執(zhí)行應(yīng)急和安全活動，并確保美國能源供應(yīng)安全可靠。與此同時，美國相繼發(fā)布了多份網(wǎng)絡(luò)安全相關(guān)政策文件，進一步強化網(wǎng)絡(luò)安全政策指導(dǎo)：

5月，美國能源部發(fā)布《能源行業(yè)網(wǎng)絡(luò)安全多年計劃》，確定了美國能源部未來5年力圖實現(xiàn)的目標(biāo)和計劃，以及實現(xiàn)這些目標(biāo)和計劃將采取的相應(yīng)舉措，以降低網(wǎng)絡(luò)事件給美國能源帶來的風(fēng)險。

12月，美國眾議院能源和商業(yè)委員會發(fā)布《網(wǎng)絡(luò)安全戰(zhàn)略報告》，提出6個應(yīng)對網(wǎng)絡(luò)安全事件的核心內(nèi)聯(lián)概念以及解決網(wǎng)絡(luò)安全問題的6個重點。

除此之外，美國相關(guān)部門也發(fā)布了其他指導(dǎo)性文件，包括：商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》和國家安全電信咨詢委員會（NSTAC）《網(wǎng)絡(luò)安全“登月”計劃》等。

另外，美國網(wǎng)絡(luò)司令部將在政府網(wǎng)站安全、主動防御、實地運營、反恐和基礎(chǔ)設(shè)施抵御力以及身份識別管理等5個方向加大投入，總預(yù)算達15.13億美元。美國“2019財年國防授權(quán)法案”將網(wǎng)絡(luò)安全預(yù)算大幅增加至300億美元，將從推進技術(shù)發(fā)展、擴大采購權(quán)限、強化政企合作、支持人才培養(yǎng)和創(chuàng)建試點項目等方面提升國家網(wǎng)絡(luò)安全能力。

歐盟

作為世界最大的經(jīng)濟共同體，匯聚了眾多發(fā)達國家的歐盟在網(wǎng)絡(luò)安全方面自然也不會袖手旁觀。

2016年7月6日，歐洲議會全體會議通過首部相關(guān)法規(guī)———《歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全指令》，主要內(nèi)容包括：要求歐盟各成員國加強跨境管理與合作；制定本國的網(wǎng)絡(luò)信息安全戰(zhàn)略；建立事故應(yīng)急機制，對能源、金融、交通和飲水和醫(yī)療等公共服務(wù)重點領(lǐng)域的基礎(chǔ)服務(wù)運營者進行梳理，強制這些企業(yè)加強其網(wǎng)絡(luò)信息系統(tǒng)的安全，增強防范風(fēng)險和處理事故的能力。

2018年5月，歐盟網(wǎng)絡(luò)與信息系統(tǒng)（NIS）指令正式生效。此項面向歐盟范圍內(nèi)的新法令旨在提高關(guān)鍵基礎(chǔ)設(shè)施相關(guān)組織的IT安全性，同時亦將約束各搜索引擎、在線市場以及其他對現(xiàn)代經(jīng)濟擁有關(guān)鍵性影響的組織機構(gòu)。

此外，另一項家喻戶曉的法案也于2018年5月25日正式生效，《通用數(shù)據(jù)保護條例》，即GDPR。這是目前為止出臺的全球現(xiàn)有數(shù)據(jù)隱私保護法規(guī)中，覆蓋面最廣、監(jiān)管條件最嚴(yán)格的政策。GDPR管轄的范圍涵蓋所有處理歐盟居民數(shù)據(jù)的公司，在歐盟地區(qū)的企業(yè)必須遵守GDPR，歐盟之外的企業(yè)只要處理歐盟居民的數(shù)據(jù)也需要遵守GDPR。每一單GDPR違規(guī)行為將受到高達2 000萬歐元的嚴(yán)重處罰，或者上一年全球年營業(yè)額的4 %，以較高者為準(zhǔn)。目前為止，Google、Facebook等多家大型企業(yè)也都先后因為安全問題而遭到了GDPR的“制裁”?？此拼蠹叶家呀?jīng)踏上了“合規(guī)”的不歸路。

除了歐盟層面的法規(guī)之外，歐洲幾大國也相繼發(fā)布國家戰(zhàn)略及系列規(guī)劃，加強頂層設(shè)計。

德國

2016年8月，德國聯(lián)邦參議院通過一項信息安全法案，要求關(guān)鍵基礎(chǔ)設(shè)施機構(gòu)和服務(wù)商必須執(zhí)行新的信息安全規(guī)定，否則將被處以最高10萬歐元的罰款。

2016年9月，德國聯(lián)邦經(jīng)濟部發(fā)布了《數(shù)字化行動綱要》，制定了12項針對未來數(shù)字化發(fā)展的措施，以吸引更多風(fēng)投資金并促進中型企業(yè)數(shù)字化轉(zhuǎn)型。

2016年11月，德國發(fā)布一項新的網(wǎng)絡(luò)安全戰(zhàn)略計劃，以應(yīng)對越來越多針對政府機構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)以及公民的網(wǎng)絡(luò)威脅。

2018年5月，德國能源與水資源經(jīng)濟聯(lián)邦協(xié)會（BDEW）發(fā)布《能源系統(tǒng)網(wǎng)絡(luò)安全建議白皮書》，對能源系統(tǒng)的安全控制與通信提出了相關(guān)建議。

此外，德國國防部長和內(nèi)政部長在2018年9月宣布，將在未來5年投入2億歐元組建網(wǎng)絡(luò)安全與關(guān)鍵技術(shù)創(chuàng)新局，機構(gòu)定位類似于美國國防部高級研究計劃局（DARPA），主要致力于推動自主網(wǎng)絡(luò)安全技術(shù)創(chuàng)新。

英國

2016年11月，英國發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略（2016- 2021）》，確保網(wǎng)絡(luò)安全的重要地位，并提出，英國政府將投入19億英鎊強化網(wǎng)絡(luò)安全能力。

2017年3月，英國正式出臺《2017英國數(shù)字化戰(zhàn)略》，提出七大戰(zhàn)略任務(wù)，其中，安全的數(shù)字基礎(chǔ)設(shè)施是其首要任務(wù)。

2018年6月，英國政府內(nèi)閣辦公室發(fā)布實施網(wǎng)絡(luò)安全最低標(biāo)準(zhǔn)（Minimum Cyber Security Standard），從識別、保護、檢測、響應(yīng)和恢復(fù)5個維度，提出了一套網(wǎng)絡(luò)安全能力建設(shè)的最低措施要求。

標(biāo)準(zhǔn)的強制效力將驅(qū)動英國政府部門、非政府公共機構(gòu)和承包商等相關(guān)單位加大網(wǎng)絡(luò)安全保障投入，提升安全防護能力。

其他國家

2018年2月，新加坡國會通過《網(wǎng)絡(luò)安全法案》，旨在加強保護提供基本服務(wù)的計算機系統(tǒng)，防范網(wǎng)絡(luò)攻擊。該法案提出針對關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)管框架，并明確了所有者確保網(wǎng)絡(luò)安全的職責(zé)。能源、交通和航空等基礎(chǔ)設(shè)施領(lǐng)域的關(guān)鍵網(wǎng)絡(luò)安全信息被點名加強合作。如果關(guān)鍵信息基礎(chǔ)設(shè)施所有者不履行義務(wù)，將面臨最高10萬新元的罰款，或2年監(jiān)禁，亦或二者并罰。

以色列創(chuàng)新局將聯(lián)合以色列經(jīng)濟和工業(yè)部、國家網(wǎng)絡(luò)局啟動為期3年的產(chǎn)業(yè)發(fā)展計劃，包括對有全球影響力的技術(shù)和有突破性研發(fā)潛力的網(wǎng)絡(luò)安全企業(yè)提供資金支持等，投資9 000萬新謝克爾（約2 443萬美元）。

可以看出，世界各國都在積極應(yīng)對網(wǎng)絡(luò)安全問題。我國正處于互聯(lián)網(wǎng)發(fā)展的窗口期，加強互聯(lián)網(wǎng)數(shù)據(jù)保護、提高抵御黑客攻擊的能力將是今后互聯(lián)網(wǎng)發(fā)展的一個重要課題。隨著網(wǎng)絡(luò)邊界愈發(fā)模糊，日后出現(xiàn)的各種紛亂繁雜也勢必更加洶涌。毋庸置疑，政策體系還需要進一步完善，而安全產(chǎn)品和技術(shù)措施的進步也要跟上互聯(lián)網(wǎng)發(fā)展普及的步伐。信息安全仍舊“未來可期”。