网络安全政策法规月月谈(第二期)

发布者:Editor
发布于:2023-05-16 11:15

栏目简介

伴随数字化和网络安全深入发展,网络安全市场的政策性特征日渐显著,合规需求已与攻防需求一道,成为引领网络安全产业发展的两大核心驱动力。

本栏目立足团队在网络安全政策法规方面的日常跟踪,分析筛选国内外近期部分热点政策法规文件,并重点结合网络安全产业发展,对其内容跟和影响等进行简析。栏目分为国内篇和国外篇。本期筛选分析2022年12月国内外发布的热点政策法规。

欢迎共同研讨和批评指正。



  +

+

国外篇


1.美国白宫发布《量子计算网络安全防范法案》


【内容概述】2022年12月21日,美国白宫发布《量子计算网络安全防范法案》(Quantum Computing Cybersecurity Preparedness Act)(以下简称《法案》),旨在解决美国联邦政府机构的信息技术系统向后量子密码[1]学(PQC)迁移的风险,并鼓励机构采用不受量子计算影响的加密技术。


《法案》为联邦政府机构提出四项要求。第一,要求白宫管理与预算办公室(OMB)在《法案》颁布之日起180日内,发布关于信息技术向后量子密码学迁移的指南;第二,要求各联邦机构在《法案》颁布之日起1年内,提供正在使用的所有易受量子计算攻击导致泄密的信息技术清单;第三,要求OMB在美国国家标准与技术研究院(NIST)发布后量子密码学标准后1年内,发布有关指导意见要求各机构的信息技术迁移到后量子密码;第四,要求OMB在《法案》颁布之日起15个月内,向国会提交一份报告,内容包括:一是解决联邦机构信息技术漏洞带来的风险的战略;二是联邦机构为确保此类信息技术免受美国对手使用量子计算机破坏加密所带来的风险所需的资金;三是描述由NIST领导的联邦民事行政部门的协调工作,包括时间表,以制定后量子密码学的标准等。 


注释:[1] 后量子密码,指经评估不易受到量子计算机或经典计算机攻击的密码算法或方法。


原文链接:https://www.congress.gov/bill/117th-congress/house-bill/7535


【导读分析】随着量子计算、量子通信等新兴技术不断发展,其带来的安全风险受到各国广泛关注。近年来,美国政府加快推进后量子密码学发展,持续加速相关政策法规进程。如《关于促进美国在量子计算领域的领导地位同时降低易受攻击的密码系统风险的国家安全备忘录》、美国CISA后量子密码学计划、NIST后量子密码学算法标准化研究等。本次发布的《法案》为解决美国联邦政府机构信息系统向后量子密码学迁移工作提供了总纲领。值得注意的是,该《法案》的适用范围不包括美国国家安全系统。


后量子密码是能够抵抗量子计算机对现有密码算法攻击的新一代密码算法,我国同样高度重视该领域的研究与应用,并在基础研究领域取得了相应的进展。后量子密码研究中的网络安全有关问题,值得我们重点关注。例如:一方面是强化对量子攻击的防护,如:加强对量子攻击技术的跟踪观测,提升监测预警能力并制定应急响应方案;对处于新旧密码体系更替阶段的重要系统构建全方位防护体系,为客户增强系统网络安全韧性等。另一方面是探索如何利用后量子密码技术提升现有网络安全技术产品和方案的性能。



2.拜登签署法案明确美国2023财年网络安全预算及优先事项


【内容概述】2022年12月底,美国总统拜登接连签署通过了《2023年综合拨款法案》(Consolidated Appropriations Act, 2023)(以下简称《2023拨款法案》)以及《2023财年詹姆斯·M·因霍夫国防授权法案》(James M. Inhofe National Defense Authorization Act for Fiscal Year 2023)(以下简称《2023授权法案》)。这两部法案确定了美国2023财年在国防及非国防方面的资金支出计划,同时明确提出美国在网络安全、国家安全等重点领域的优先事项。


在总体预算方面,《2023拨款法案》总计拨款1.7万亿美元,相比2022财年增长约13.3%(1.5万亿美元),其中包括8000亿美元的非国防资金以及8580亿美元的国防资金。《2023授权法案》总计为美国国防活动制定8576亿美元的预算,相比2022财年增长约10.2%(7780亿美元),此外还比美国总统拜登在年初提议的预算多出450亿美元。


在网络安全预算方面,根据不完全统计,2023财年美国政府预计在网络空间安全投入约31.8亿美元的资金,其中国防网络安全方面约12.7亿美元,主要包括网络安全情报支持、网络安全研究、信息技术和网络安全等方面;非国防网络安全方面约19.1亿美元,包含美国国家网络总监办公室、网络安全和基础设施安全局、运输管理局等10个联邦政府部门,以及国家网络安全政策和战略的协调与实施、网络安全运营、管道网络安全等11个子项。


原文链接:

https://www.congress.gov/bill/117th-congress/house-bill/7900


【导读分析】《2023授权法案》与《2023拨款法案》的发布,反映出在国际地缘政治局势变换莫测的情况下,美国进一步寻求强化网络安全领域的资金支持和有关战略部署。以下三方面特点尤其值得我们关注和思考。


一是国防网络安全更加主动,强调“以攻为守”的网络作战方式。如《2023授权法案》强调美国将持续推进“前出狩猎”(Hunt Forward)行动,这是美国网络司令部“持续交战”(Persistent Engagement)战略的重要组成部分,该行动采取主动追捕形式,在网络空间展开与对手的不断较量。


二是非国防网络安全攻势趋缓,更加注重网络安全防护。特朗普时期奉行的以攻为守的网络安全思想,在其国内外形势日益复杂化的背景下显然不是最优解。拜登上台后,“战略回调”成为美网络安全发展的主基调。受其影响,网络安全防守态势也成为美及其盟友国家网络安全政策较为显著的特点之一。


三是网络安全领域的联合与合作趋势进一步增强。面对网络安全威胁和风险的日益全球化发展,以往美等国家奉行的“退群”策略逐渐失去市场,取而代之的是对合作与联合的认同。这一特点在美国本次颁布的两部法案中也得到进一步印证。当然,因受传统阵营意识等因素的影响,网络安全领域的合作也势必会是一个相对曲折的过程。


  +

+

国内篇


1.国家能源局印发《电力行业网络安全等级保护管理办法》及《电力行业网络安全管理办法》


【内容概述】2022年12月12日,国家能源局印发《电力行业网络安全等级保护管理办法》(以下简称《等保办法》)及《电力行业网络安全管理办法》(以下简称《网安办法》),旨在加强电力行业网络安全监督管理,规范电力行业网络安全与等级保护管理工作,提高电力行业网络安全保障能力和水平。


两办法立足电力行业网络安全管理工作,重点优化和更新了三个方面的规定和要求。一是监管机制。《网安办法》规定的监管主体主要包括“行业部门”和“电力调度机构”两类;《等保办法》涉及的相关监管主体包括“国家能源局及其派出机构”和“密码管理部门”各两类。二是主体责任。《网安办法》第三章“电力企业责任义务”具体规定了电力企业需要履行的十余项“主体责任”,其中“首席网络安全官制度”和“资金保障制度”2项需要特别关注;《等保办法》规定的电力企业“主体责任”中,“第二级网络应当每两年进行一次等级保护测评”以及“对于电力企业选择测评机构规定了明确、严格的条件”2项需要特别关注。三是管理保障。《网安办法》第三十二条明确规定了约谈和通报机制;《等保办法》第二十七条规定了对测评机构的监督约束机制。


原文链接:http://zfxxgk.nea.gov.cn/2022-11/16/c_1310683245.htm


【导读分析】两办法与此前版本相比,内容有较多补充发展,主要体现为以下三方面。一是规章名称,两办法名称从“网络与信息安全”和“信息安全”统一修改为“网络安全”,并且对于“电力网络”给出了相对明确的界定。二是主体权责,两办法首先更加细化了国家能源局及其派出机构、地方各级能源主管部门的分工定位和具体职责。同时,相应对于电力企业的主体责任也做出了较大篇幅的细化完善。三是管理流程,两办法依据相关法律法规的要求,对电力行业的网络安全管理、等级保护管理相关管理流程进行了细化规定,同时,还将近年来国家网络安全的重要制度在电力行业的落地进行了细化。


两办法的发布,在进一步完善电力行业网络安全监管体系的同时,也将为网络安全相关产业的发展带来潜在市场机会。电力行业网络安全专用产品和服务。两办法对于电力企业使用专用产品和服务提出了明确需求,包括:电力行业商用密码产品和服务、电力行业安全可信网络产品和服务、电力监控系统专用安全产品、电力专用横向单向安全隔离装置、电力专用纵向加密认证装置或者加密认证网关等设备设施等等。电力行业关键信息基础设施安全保护。按照《关键信息基础设施安全保护条例》的规定,电力行业本就是关键信息基础设施安全保护的八个重点行业之一;此次两办法也明确大幅度增加了有关关基保护的相关规定。从产业机会来看,电力关基监测预警、检测和风险评估、应急演练、事件处置等等都是较为确定的市场机会。电力行业等级保护相关服务。两办法从完善管理体系、细化管理要求的不同角度,分别对加强电力行业等级保护做出了规定部署。对于网络安全产业发展而言,电力行业等级保护增加一档等保测评频次要求、强化对测评机构相关人员背景要求、明确监督检查和抽查要求等,极大程度上会对网络安全等级保护相关的人员培训、工具供给、运营支撑等产生实质性的市场拉动。



2.工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》


【内容概述】2022年12月13日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》),旨在规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用。《管理办法》共计8章42条,立足工业和信息化领域数据安全管理,完善细化了系列制度和工作要求。


从整体内容来看,初步构建起工业和信息化领域数据安全管理的体系,主要包括以下5个方面。第一,明确管理对象为“工业和信息化领域数据处理活动”,包括“工业和信息化领域数据”、“数据处理者”和“数据处理活动”的主要类型等三层含义。第二,明确了管理主体,首先,从层级上看,管理主体涵盖两级、四类部门机构;其次,从职能上看,四类部门机构按照法定职能,分工负责并协同一致。第三,明确了工信数据安全的管理手段,主要包括常规监管、安全评估、举报投诉、法律追责等4类。第四,明确了工信数据安全的主要管理内容,一是在行业监管侧,《管理办法》规定了分类分级、监测和应急处置等两类管理内容;二是在数据处理者侧,规定了数据处理生命周期主要环节的重点管理内容。第五,明确了工信数据安全的管理保障,一是强化工信数据安全基础保障;二是建设工信数据安全能力服务保障。                      


原文链接:https://www.miit.gov.cn/jgsj/waj/gzdt/art/2022/art_b7d9d715d6ce428abe4b606d74981f24.html


【导读分析】《管理办法》作为数据安全保护体系中的一部重要政策文件,其发布对于巩固和拓展行业数据安全保护成效具有积极意义,主要体现在以下两个方面。一是推进数据安全保护法规政策体系的完善。《管理办法》的发布,将填补工业和信息化领域数据安全法规政策的空白,推进我国数据安全法规政策体系的逐步建立健全。二是开启行业数据保护的先河。《管理办法》系统回答了数据安全法律制度如何在行业落地的问题,是工业和信息化领域探索落实《数据安全法》的重要实践,且从行业层面而言也是率先之举。


《管理办法》的发布实施,不仅进一步明确了工信领域数据安全保护要求,更为数据安全供给侧企业发展赋予了新动能。对行业来说,可重点关注以下三方面工作。一是持续推进产品创新,围绕《管理办法》明确的监管和保障两类需求,重点围绕数据发现与风险评估、数据脱敏、数据安全管理平台等方向加强创新,持续完善数据安全产品体系。二是强化服务创新,结合《管理办法》提出的数据安全生命周期保护需求,重点强化数据安全培训和认证服务、数据出境安全服务等,持续完善数据安全服务体系。三是不断拓展应用保障,结合工信数据安全的重点领域和应用场景,如装备制造、工业企业和平台等,以实战化应用持续提升优化服务运营能力和团队体系。



3.中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》


【内容概述】2022年12月19日,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》),旨在充分发挥数据要素作用、提高数据要素治理效能。《意见》提出了我国构建数据基础制度的指导思想、工作原则和保障措施,并提出构建四个制度。


主要制度包括以下4方面。一是建立保障权益、合规使用的数据产权制度,探索数据产权结构性分置制度,建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架;二是建立合规高效、场内外结合的数据要素流通和交易制度,从规则、市场、生态、跨境等四个方面构建适应我国制度优势的数据要素市场体系;三是建立体现效率、促进公平的数据要素收益分配制度,在初次分配阶段,按照“谁投入、谁贡献、谁受益”原则,推动数据要素收益向数据价值和使用价值创造者合理倾斜,在二次分配、三次分配阶段,重点关注公共利益和相对弱势群体,防止和依法规制资本在数据领域无序扩张形成市场垄断等各类风险挑战;四是建立安全可控、弹性包容的数据要素治理制度,构建政府、企业、社会多方协同的治理模式。


原文链接:http://www.gov.cn/zhengce/2022-12/19/content_5732695.htm


【导读分析】《意见》对于全面支撑数字经济实现高质量发展具有全局性战略价值,尤其是对数据要素产权、规则、安全等方面的规定,将进一步强化我国数据要素制度的根基。


一是以产权活资源。产权难划分向来是制约数据资源化、市场化的核心问题。《意见》创制性明确了数据要素的资源持有权、加工使用权、产品经营权三种基本权利,并提出了完善公共、企业、个人三类授权机制设计。这将有力推进数据资源领域的“定分止争”,为激活数据要素奠定坚实基础。


二是以市场定规则。市场是我国实现高质量发展的重要经验和优势,《意见》以市场为主线构建数据要素规则:完善规则体系、统筹交易场所、培育服务生态、健全跨境机制,推进建设数据要素的流通体系。《意见》还兼顾效率与公平,发挥政府调节引导作用,推进数据资源领域的社会公平和共同富裕。


三是以安全促发展。数据的易复制、虚拟化等特性,决定了安全是数据要素发展的题中之义。《意见》从政府治理、企业自律、社会参与等层面,为数据要素的发展擎画安全围栏:既有对安全审查、算法审查、监测预警等数据安全制度的衔接,也有打破“数据垄断”、促进公平竞争的指引。这不仅是对数据安全要素的梳理整合,更为数据安全规划了巨大的市场机会。



附录:2022年12月国内外重要政策一览表



声明:该文观点仅代表作者本人,转载请注明来自看雪