2023年是全面落实党的二十大精神开局之年,也是国家“十四五”规划实施的中期评估之年。一年中,国家持续加强网络安全能力和体系建设,制定发布了多项网络安全法规和政策,推动我国网络安全法治体系的持续完善。与此同时,国外相关国家也结合其本国需求,以法规手段强化其自身的网络安全管理。
绿盟科技基于持续跟踪和研究,特此对2023年度国内外网络安全法规政策发展情况进行了梳理分析,并完成《2023年国内外网络安全法规政策系列盘点》,从行业视角对部分重要法规政策进行简评并提出绿盟观点。《2023年国内外网络安全法规政策系列盘点》共四部分,分别是:“网络安全篇”、“数据安全篇”、“个人信息保护篇”、“技术发展和治理篇”,每篇又分为“国内部分”和“国外部分”;内容条目以时间线为序。
本篇概览
《网络安全篇》是《2023年国内外网络安全法规政策系列盘点》的第一篇。主要对涉及传统网络安全的法规政策进行专题梳理和点评。
从内容看,2023年度网络安全法规政策主要涵盖战略规划、关键基础设施保护、供应链安全、密码应用、行业监管机制、重点领域应用、人才资金保障等。
一、国内部分
3月
1. 中国证券监督管理委员会发布《证券期货业网络和信息安全管理办法》
http://www.csrc.gov.cn/csrc/c100028/c7202729/content.shtml
【绿盟观点】证券期货业的行业性质决定了其发展与网络、数据密不可分,其面临的网络安全挑战也更加突出和复杂。2012年以来,证监会相继发布了《证券期货业信息安全保障管理办法》《证券基金经营机构信息技术管理办法》等规范性文件,推进行业网络和信息安全治理体系建设。以此为基础,2022年4月,证监会发布了《证券期货业网络安全管理办法(征求意见稿)》(以下简称《征求意见稿》),面向社会公开征求意见。
相比《征求意见稿》,《办法》主要有3方面重要变化。一是拓展规范对象范围,规范对象由原来的“网络安全”调整为“网络和信息安全”;二是突出个人信息保护,将原来的“数据安全统筹管理”一章整体变更为“投资者个人信息保护”,相关内容也更加聚焦于核心机构和经营机构的个人信息保护义务;三是进一步明确细化相关规定,如细化了对于人员职责、运行标准、管理制度等方面的要求,增加了新业务模式安全的规定等等。
《办法》的发布,或将带来网络安全产业发展的新契机。一是在证券期货行业网络和信息安全方面,《办法》明确了监测预警、入侵检测和防御、态势感知等方面的建设需求,有助于促进网络安全咨询和评估、网络安全运维、网络安全事件响应等业务的发展。二是在证券期货行业个人信息保护方面,《办法》重点强调了个人信息保护相关的加密、脱敏、备份和恢复、审计监督等保护措施,无疑将带动与个人信息保护强相关的数据信息处理技术研发、数据信息审计溯源等业务发展。三是在关键信息基础设施安全保护方面,《办法》将《关键信息基础设施安全保护条例》的相关要求在证券期货行业落地,并具体化为关键信息基础设施分类分级保护、关键信息基础设施产品风险监测和评估检测、关键信息基础设施应急保障等,也有助于促进关键信息基础设施网络安全相关产品、方案和服务的发展。四是在行业网络安全基础方面,《办法》所明确的人才培育、资金投入、技术支持等保障举措,对于进一步优化网络安全人才实训、推进行业网络安全产业生态构建等,也会有较直接的促进。
2. 国家市场监管总局等四部门联合印发《关于开展网络安全服务认证工作的实施意见》
https://www.gov.cn/zhengce/zhengceku/2023-04/02/content_5749741.htm
【绿盟观点】此次《实施意见》对于进一步推动网络安全服务认证工作的体系化、规范化和有序化发展,对完善我国网络安全认证体系具有现实意义。一是立足解决当前网络安全服务机构面临的重复认证等问题,推动网络安全服务认证的一体化发展;二是推进完善、优化网络安全服务认证体系,明确提出建立“网络安全服务认证目录”、组建“网络安全服务认证技术委员会”等制度安排;三是实现政策间的衔接,例如《实施意见》将等级保护测评纳入认证目录,与此前发布的《检验机构能力认可准则在网络安全等级测评领域的应用说明》等制度设计保持一致。
对于网络安全行业而言,“网络安全服务认证目录”等制度值得持续关注。如新的网络安全服务认证涉及哪些服务类别?现有的网络安全服务认证资质在申请流程等方面是否有变化?都与业务开展密切相关。
4月
3. 国家互联网信息办公室等五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》
http://www.cac.gov.cn/2023-04/17/c_1683373663312410.htm
【绿盟观点】按照此前发布的《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》,截至2023年4月,国家已公布了10批次、290种检测合格产品,且这些产品均为“网络关键设备”;而此次《公告》的发布,则意味着“网络安全专用产品”的统一检测认证工作即将启动实施。
《公告》对于开展“网络安全专用产品”统一检测认证工作,做出了“破旧”、“立新”两方面规定尤其值得关注。
在“破旧”方面。一是规定停止执行《关于调整信息安全产品强制性认证实施要求的公告》和《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》两个文件;二是规定停止颁发《计算机信息系统安全专用产品销售许可证》。不难看出,即将启动的“网络安全专用产品”统一检测认证,将对相关产品的适用范围、市场准入、应用场景、程序规则等做出重要调整,这无疑会对当前的网络安全专用产品市场产生切实而深远的影响。
在“立新”方面。一是明确了实施统一检测认证的主要标准依据为《信息安全技术 网络安全专用产品安全技术要求》(该标准为国家强制标准,于2023年7月1日正式生效);二是明确了两个重要目录/名录,即《网络关键设备和网络安全专用产品目录》《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》。这些规定,在巩固统一检测认证基本管理模式的基础上,填补了标准依据空白,解决了“网络安全专用产品”统一检测认证工作亟需已久的检测依据问题。
统一检测认证事关产品资质,因此文件所提及的“一个标准”、“一个目录”、“一个名录”的具体内容、更新频率,以及后续将出台的相关检测认证规则、机构管理方式等等问题,则无疑会成为引导网络安全厂商乃至网络安全产业发展的重要风向标。
5月
4. 交通运输部发布《公路水路关键信息基础设施安全保护管理办法》,为我国首个行业级关基保护专项规章
https://xxgk.mot.gov.cn/2020/jigou/fgs/202305/t20230506_3822075.html
【绿盟观点】2022年8月23日,交通运输部发布《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》,此次为正式颁行。
《管理办法》是首个行业级关键信息基础设施保护专项规章。此前,不同行业针对关基保护工作的法规依据,大多是融入到各自行业的网络安全整体法规中,如《医疗卫生机构网络安全管理办法》《电力行业网络安全管理办法》《证券期货业网络和信息安全管理办法》等。
《管理办法》于2023年6月1日起施行,或将为网络安全行业带来以下两大市场抓手。一是供应链安全市场,如公路水路领域监管侧网络资产梳理的市场机会,以及供应链安全监测预警能力建设市场机会,包括公路水路关键基础设施产品的网络安全风险检测支撑等。二是个人信息和数据安全市场,如公路水路关基系统个人信息和数据安全保护、数据跨境安全技术和产品方案,包括敏感数据发现与风险评估、数据脱敏、数据泄露防护、数据安全服务等。
5. 国务院印发《商用密码管理条例》,全面强化商密监管重要制度体系
http://www.gov.cn/zhengce/zhengceku/202305/content_6875928.htm
【绿盟观点】从内容对比来看,《条例》主要有3方面修订。一是优化商用密码监管方式,包括由原《条例》规定的全面严格管控,调整为以重点制度强化对关键环节的重点把控,管理方式由重事前审批转为加强事前事中事后的全周期监管;二是强化商用密码检测认证,以此严守产品服务的“入口关”,包括推进商用密码检测认证体系建设、明确商用密码检测和认证机构资质规范、对使用网络关键设备和网络安全专用产品的商用密码服务等实行强制性检测认证制度等;三是加强商用密码进出口管理,包括明确商用密码实施进出口管理的范围、对商用密码实行进口许可清单和出口管制清单管理等。
对网络安全行业来说,有三方面值得重点关注。一是密切关注商密相关重要资质管理规定,及时履行商用密码合规义务,及时梳理企业是否涉及相关商密产品的使用许可、是否涉及商密服务认证许可,以及是否需要开展商密应用安全性评估(即密评);二是密切关注商密重要制度同现行网络安全相关制度的衔接,如商密检测认证与“网络关键设备和网络安全专用产品”制度的衔接变化、相关检测产品目录和检测机构目录的变化调整等等;三是加强商用密码技术、产品和方案研发,如安全认证网关、密钥管理系统、数字证书认证系统、可信计算密码支撑平台等,为或将到来的新一轮商密市场机会做好积极准备。
6月
6. 国家密码管理局就《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》公开征求意见
https://www.oscca.gov.cn/sca/hdjl/2023-06/09/content_1061072.shtml
【绿盟观点】两办法是落实《中华人民共和国密码法》和新修订的《商用密码管理条例》等上位法规定,对国家密码局2017年颁布的《商用密码应用安全性测评机构管理办法(试行)》和《商用密码应用安全性评估管理办法(试行)》进行的修订。
与此前版本相比,两办法内容修订主要体现在以下3方面。一是检测机构职责范围,主要为《机构办法》由“应用安全性测评”改为“检测”,体现了对原有相互独立的商密检测机构、密评测评机构进行统一管理的新模式,是对《商密条例》相关规定的细化落实。二是监管职级调整,此前规定省级主管部门的部分权责下放至县一级,并进一步明确了相关监管职责。三是管理流程优化,《机构办法》明确对商用密码检测机构实行资质证书管理,并对资质的申请流程做出细化;《评估办法》将商用密码应用安全性评估的方式,由委托测评机构开展评估调整为自行或委托商用密码检测机构进行评估,并明确要求评估不通过的系统不得投入运行。
7. 工业和信息化部印发《工业互联网专项工作组2023年工作计划》,提升工业互联网安全防护水平
https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_747f4c19cd484676aa3f7583e25bb57a.html
【绿盟观点】《2023年工作计划》是《工业互联网创新发展行动计划(2021-2023年)》的第3个年度任务安排。
对比三个年度任务安排,我们大致可以学习理解国家对工业互联网安全管理政策的基本发展脉络。一是在政策体系层面,经历了由分级分类向外围相关政策发展的过程,呈现出“建制、试点验证、扩展”的脉络特征;二是在防护对象层面,防护重点经历了由国家到地方再到企业的发展过程,呈现出防护对象日渐具体细化的脉络特征;三是在监测管理层面,经历了由建立健全平台功能到逐步完善覆盖对象范围的发展过程,呈现出从监测平台入手逐步健全监测范围的发展脉络。
《2023年工作计划》的发布,标志着三年行动计划进入收官阶段。后续在工业互联网安全管理方面如何布局?无疑成为各界普遍关注的焦点问题。从2023年度工作任务的部署来看,数据安全或将成为工业互联网安全在三年行动计划任务完成后新的重要领域之一。另外,如何推动工业互联网安全市场的快速提升、并形成规模,也是需要重点关注的潜在方向之一。
8. 国家金融监督管理总局发布《关于加强第三方合作中网络和数据安全管理的通知》,加强金融行业供应链安全管理
https://m.21jingji.com/article/20230628/herald/4dba73ab5c2b7cb445bd00e697548a82.html
【绿盟观点】《通知》是金融监管总局挂牌以来发布的首个网络安全管理文件,突出强化了对金融保险行业信息技术供应链的安全管理要求。
近年来,金融保险业因其业务范围广、数据处理量大等特殊性,往往成为供应链攻击的重灾区。《通知》在强化供应链安全管理要求的同时,还重点对两方面风险进行了通报:一是企业微信服务风险,包括不当存储敏感个人数据、私自利用存档数据进行模型训练等;二是科技外包风险,包括越权访问漏洞、私自使用邮件代理工具被攻击等。
目前,我国在信息技术供应链安全方面的专项政策法规尚未出台。从国家和行业监管需求来讲,亟待建立健全有关政策制度和标准规范,以指导和规范提升重点行业信息技术供应链的保障能力和水平。从实践层面来看,建立健全信息技术供应链安全的监测预警能力,或是强化信息技术供应链安全的基础性制度之一,包括供应商资质和风险行为监测、关键基础设施产品脆弱性监测、开源技术脆弱性监测等重要内容。
7月
9. 国家互联网信息办公室等四部门联合印发《关于调整<网络关键设备和网络安全专用产品目录>的公告》,明确网络安全专用产品范围
http://www.cac.gov.cn/2023-07/03/c_1690034742530280.htm
【绿盟观点】为落实《网络安全法》提出的“国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测”等要求,国家网信办会同有关部门出台《网络关键设备和网络安全专用产品目录(第一批)》(以下简称《第一批目录》)等文件,并发布《关于调整网络安全专用产品安全管理有关事项的公告》(以下简称《公告》),明确提出将“统一公布和更新符合要求的网络关键设备和网络安全专用产品清单”。本次发布的《产品目录》进一步落实了《公告》的有关规定,为后续政策制度的更新提供了基础。
与《第一批目录》相比,新版《产品目录》主要对“网络安全专用产品”进行了全面更新,以保持与新生效国家标准《信息安全技术 网络安全专用产品安全技术要求》(GB 42250-2022)相一致。如新增23项专用产品,并增加了供应链安全、密码要求、标识和鉴别等产品类别等。
对网络安全行业来说,有两点值得重点关注。第一,《产品目录》的更新事关网络产品的市场准入,根据此前发布的《公告》,现行《计算机信息系统安全专用产品销售许可证》后续停发,新产品的市场准入,将极有可能统一纳入专用产品认证体系中。第二,网络安全产品相关制度的衔接,《产品目录》的出台,会带动有关管理制度的联动调整,如与商密检测、网络安全审查等的衔接等。
10. 习近平总书记对网络安全和信息化工作作出重要指示,对网络安全产业发展意义重大
http://www.cac.gov.cn/2023-07/15/c_1691074006592801.htm
【绿盟观点】总书记的重要指示,进一步强调和明确了网络安全行业的发展思路、发展模式和发展方向,对于指导网络安全产业实现高质量发展具有重大理论和实践意义。
在发展思路方面,就是要“坚持统筹发展和安全”,确立以“总体国家安全观”为引领的网络安全企业发展思路。要求网络安全企业胸怀“国之大者”,牢固树立全局意识,从国家网络安全的整体和大局出发,以扎实的研发、过硬的产品为国家网络安全事业持续贡献力量。
在发展模式方面,就是要“构建大网络安全工作格局”,建设开放协同的网络安全企业发展模式。要求参与网络安全的各类型主体不仅要找准定位,更要强化开放、强化协同。作为企业而言立足技术研发创新,并持续探索促进技术研究与科研成果转化之间的高效链接,同高校、研究机构和地方建立深度联合攻关和产业化协同。
在发展方向上,就是要“坚持筑牢国家网络安全屏障”,以持续创新全面提升网络安全服务供给能力。要求企业牢牢把握需求导向,结合网信领域的新发展、新应用,不断拓展着网络安全保障的内涵和外延,强化技术攻关、优化产品和服务体系,注重提升服务质量、创新服务模式。
11. 工信部、国家金融监管总局联合印发《关于促进网络安全保险规范健康发展的意见》,推动网络安全保险行业健康有序发展
https://www.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2023/art_0cc1cefdb4e74a169e0a98649c427153.html
【绿盟观点】《意见》作为我国网络安全保险领域的首份政策文件,初步回答了网络安全保险发展中的“是什么”和“怎么做”的问题,无论对于促进网络安全保险行业自身规范发展,还是对于提升网络安全行业的整体发展效率和质量,都具有开创性的意义。
《意见》对内建章立制,明确网络安全保险行业的内涵和机制。明确了网络安全保险的基本界定和产业意义;明确了网络安全保险的基本产品门类;划定了网络安全保险的政策框架和标准体系。
《意见》对外整合资源,明确网络安全保险行业的建设发展模式。一是引导技术赋能,包括网络安全风险评估技术和网络安全风险监测技术;二是强化市场培育,包括行业级市场和企业级市场;三是注重生态发展,包括塑造生态链关键主体和培育生态链关键机制等。
对网络安全行业来说,《意见》的发布,无疑将为网络安全产业发展带来新机遇。一是为网络安全企业提供一种新的抗风险方案。按照《意见》的制度设计,网络安全保险将逐步健全覆盖技术开发和创新风险,以风险转移和社会化的方式,有助于拓展企业的抵御风险机制。二是为网络安全企业提供新的市场机遇。网络安全保险模型开发、风险评估工具开发、风险评估服务技术支撑等,都是网络安全产业较为直接的市场驱动因素。此外,由网络安全保险政策标准制订、生态机制建设等带来的衍生类市场需求,如咨询规划、方案设计等服务,也会带来一定规模的市场驱动力。
8月
12. 工业和信息化部发布《关于开展移动互联网应用程序备案工作的通知》
https://ythxxfb.miit.gov.cn/ythzxfwpt/hlwmh/tzgg/bayw/txxyghjsglxxxt/art/2023/art_133f415075024d7c96eaf060cb7e0be4.html
【绿盟观点】APP备案是移动互联网监督管理的一项重要制度,其意义堪称移动互联网领域的“网站备案”。该监管机制源于《中华人民共和国反电信网络诈骗法》第二十三条“设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续”。
本次《通知》进一步细化了移动互联网应用程序备案制度要求。除了申请备案需提交相关资料外,《通知》尤其开宗明义地明确了“未履行备案手续的,不得从事APP互联网信息服务”。可见,对“APP主办者”而言,备案是开展从业的“必备动作”。同时,从《通知》的立法依据来看,《互联网信息服务管理办法》(国务院令第292号)也将是实施备案工作的重要操作准则之一。
对网络安全行业来说,有两点需要重点关注。一是备案实施工作中的能力匹配和保障,如支撑相关备案实施机构强化数据安全监测和防护、开展相关突发事件的应急处置等。二是密切关注相关法规的修订衔接,《互联网信息服务管理办法》(国务院令第292号)距上次修订已近十年,此间已有多部有关移动互联网监管的法规和政策文件发布,如《移动互联网应用程序信息服务管理规定》等等。
13. 国家认证认可委员会发布《关于修订<网络关键设备和网络安全专用产品安全认证实施规则>的公告》,相关安全认证工作迎来重大更新
https://www.cnca.gov.cn/zwxx/gg/2023/art/2023/art_ef3bb2fec17b44929aae94f807bbf2cf.html
【绿盟观点】此前,国家网信办已会同有关部门先后发布了《关于调整网络安全专用产品安全管理有关事项的公告》《网络关键设备和网络安全专用产品目录》等政策文件,分别就检测认证工作机制衔接、产品范围等问题做出专门规定。本次《公告》的发布,对实施规则进行了明确,又朝着优化并推进认证工作迈出了坚实一步,也为后续认证工作的实际落地奠定了基础。
与2018版《实施规则》相比,新版《实施规则》在认证模式、认证流程、认证时限等方面进行了全面更新。如认证模式减少“工厂检查”环节,变为“型式试验+获证后监督”;认证流程将“认证申请及受理、文档审核”等简化为“认证委托”程序;认证时限由90个工作日缩短为60天等。此外,该规则还要求认证机构编制认证实施细则,包括细化监督频次、评价内容及评价方式等方面。
9月
14. 中央网信办发布《云计算服务安全评估专业技术机构》,持续完善云计算服务安全评估机制
http://www.cac.gov.cn/2023-09/25/c_1697301645483790.htm
【绿盟观点】早在2019年7月,国家互联网信息办公室、工业和信息化部等四部门联合印发了《云计算服务安全评估办法》,旨在“提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平”。
云计算服务安全评估由国家市场监管总局下属的中国网络安全审查技术与认证中心(CCRA)牵头组织开展,此次专业技术机构新增4家,总数共8家。截止到2023年7月底,通过云计算服务安全评估的云平台已有70余家。
15. 全国信息安全标准化技术委员会发布《信息安全技术 网络安全保险应用指南》(征求意见稿),推进网络安全保险规范化
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230913143935&norm_id=20221102152348&recode_id=53044&from=industrynews
【绿盟观点】近年来,我国积极探索网络安全保险管理体制建设,出台了相关政策文件。早在2021年7月,工信部《网络安全产业高质量发展三年行动计划(2021-2023年)》(征求意见稿)中明确提出,要“探索开展网络安全保险,开展网络安全保险服务试点,加快网络安全保险政策引导和标准制定”;2023年7月,工信部、国家金融监管总局又联合印发《关于促进网络安全保险规范健康发展的意见》,提出了网络安全保险标准体系的基本构成,包括:网络安全保险行业术语规范、风险量化评估标准、监测管理服务标准、理赔实施标准等。
《征求意见稿》是网络安全保险领域的首个国家标准(稿),主要从风险管理角度描述了网络安全保险中各方的主要行为、网络安全保险的基本流程等。勾画了推进网络安全保险落地实施的基本操作依据。而对于网络安全保险中的风险量化、检测管理、理赔实施等重点内容,或将成为网络安全保险标准领域未来关注的核心问题。
10月
16. 工业和信息化部发布《工业互联网安全分类分级管理办法(公开征求意见稿)》
https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_cce18e45a43f4cf6818f0b98ee39c2b4.html
【绿盟观点】工业互联网是制造强国和网络强国两大战略的衔接点。近年来,国家相继开展了工业控制系统信息安全防护、工业互联网+安全、工业互联网安全深度行等一系列专项行动,持续加强工业互联网安全。
分类分级管理制度是实践形成的工业互联网安全基础制度之一,本次《征求意见稿》的发布无疑是对我国工业互联网安全管理实践工作的阶段性总结提升。《征求意见稿》重点明确了工业互联网安全分级分类的基本界定、监管机制、配套保障等内容。另一方面,从《征求意见稿》目前内容体系可以发现,其管理范围又不仅局限于分类分级,还涵盖了工业互联网安全的其他制度,如监测、应急、评估等,后续如何协调工业互联网分级分类制度与工业互联网安全的其他制度之间的关系,是值得业界深入探讨的重要课题。
11月
17. 公安部发布《电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)》
https://www.mps.gov.cn/n2254536/n4904355/c9288546/content.html
【绿盟观点】《征求意见稿》旨在落实《反电信网络诈骗法》“由国务院公安部门会同有关主管部门规定联合惩戒的具体办法”的规定,其内容呈现出三方面特点。一是强化关键点管控,突出体现为“三张(个)卡或账户”、“三次违法行为”“三个交易对象”等重点环节和行为的管控。二是突出惩戒措施的整体性,即全面推进涵盖金融、电信网络、信用三方面的综合惩戒体系。三是强调过惩相当原则,在综合运用相关惩戒措施的同时,保留了惩戒对象基本的金融、通信服务,充分体现了惩戒的适度性。作为《反电信网络诈骗法》正式施行后的首个配套性实施政策(草案),《征求意见稿》无疑将会对预防、遏制和惩戒电信网络诈骗违法犯罪提供新的综合治理思路。
12月
18. 多部门持续强化涉电信网络诈骗专项整治
https://www.spp.gov.cn/xwfbh/wsfbt/202311/t20231130_635181.shtml?from=industrynews#1
https://app.mps.gov.cn/asop/login.asop
https://www.miit.gov.cn/jgsj/waj/gzdt/art/2023/art_eff87105d3b7463293b999f6e49491c8.html
【绿盟观点】截至2023年12月,《中华人民共和国反电信网络诈骗法》实施满一周年,多部门展开反电信网络诈骗相关总结工作。最高人民检察院、公安部等重点从法律监督和打击犯罪角度推进相关工作,而工业和信息化部作为行政机关,则更加侧重于行业准入监管,如开展电信和互联网行业反电诈法宣贯培训等。对网络安全行业而言,可重点关注电信诈骗黑产整治、电信网络诈骗技术防护能力等业务机会,合规依据主要有《电信业务涉诈风险安全评估要求》(行业标准,标准号YD/T 0723—2022)等。
19. 国家互联网信息办公室发布《网络安全事件报告管理办法(征求意见稿)》
http://www.cac.gov.cn/2023-12/08/c_1703609634347501.htm
【绿盟观点】长期以来,各类网络安全法律、法规大多都会规定监管对象的网络安全事件报告义务,但管理机制、上报内容都存在不尽一致的情况,对贯彻落实造成一定困扰。可见,除了提高网络安全事件应对效率之外,加强对网络安全报告工作的统筹管理,或许也是《征求意见稿》的重要立法目的之一。《征求意见稿》主要明确了网络安全事件报告的四个关键问题,即“谁该报告、报告给谁、报告什么、何时报告”,并以附件形式提出了《网络安全事件分级指南》作为重要操作依据。《征求意见稿》的相关规定对网络安全供应商而言,既是责任也是拓展市场的机会,尤其是网络安全威胁情报监测、事件应急响应和处置等方面。
20. 中央经济工作会议在北京举行
https://www.miit.gov.cn/xwdt/szyw/art/2023/art_5fc8189b9540403482b37ca018fbe4d6.html
【绿盟观点】会议的主旨是部署2024年经济发展总体任务和要求,与2022年经济工作会议相比,“新质生产力”、“先立后破”等为新提法,且增加了区域协调、绿色低碳、民生等三项工作重点。
对于网络安全的关联可以从三个方面予以理解。一是在统筹重大关系层面,强调安全和发展的协同,“必须坚持高质量发展和高水平安全良性互动”,强调发展为安全赋能、安全为发展护航,而不是片面强调安全。二是重视产业链安全,尤其强调在现代化产业体系建设过程中,提升产业链供应链韧性和安全水平。三是重视数据安全,将解决数据跨境流动作为提高对外开放水平的一项重要工作。这些都是网络安全行业发展的重要风向标。
二、国外部分
1月
1. 《关于在欧盟全境实现高度统一网络安全措施的指令》正式生效
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555&qid=1672747885309&from=EN
【绿盟观点】为应对数字化发展带来的网络安全威胁,欧盟于2016年7月通过关于网络安全的第一部综合性立法——《网络和信息系统安全指令》(《NIS指令》),旨在欧盟范围内实现统一、高水平的网络和信息系统安全,为提升欧盟成员国网络安全水平发挥了指引作用。本次发布的《指令》在《NIS指令》的基础上,扩大了被约束对象的范围,增至包括公共电子通信网络和服务、数据中心服务、医疗卫生和关键产品制造等关键部门与实体。同时该指令还是“欧盟数字战略”的重要组成部分。
2. 美国CISA宣布联合网络防御协作组织的2023年规划议程
https://www.cisa.gov/blog/2023/01/26/jcdc-focused-persistent-collaboration-and-staying-ahead-cyber-risk-2023
【绿盟观点】JCDC由CISA及其合作伙伴在2021年成立,旨在落实《2021年国防授权法案》中“增加和扩大公共和私营部门人员对联邦网络防御和安全工作的参与和整合”等相关规定。JCDC的核心职能包括制定网络防御行动计划、推动公私部门协作与信息共享以及制定网络防御指南等,其主要成员包括政府组织、服务提供商、基础设施运营商和网络安全公司等。本次发布的《议程》是该组织制定的首份规划文件,对于促进美国在网络安全领域的合作与健全美国政府部门信息共享机制具有里程碑意义。
3月
3. 美国白宫发布《国家网络安全战略》,完善网络安全施政纲领
https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/
【绿盟观点】2023版《战略》体现出以下4方面特点。第一,2023版《战略》是美国承前启后推进网络安全战略思路的重要一环,完善了美国网络安全治理体系;第二,持续强化重点领域战略投资举措,重点强调“投资和建设未来的数字生态系统”;第三,以联合手段逐步增强网络安全联盟生态;第四,优化网络安全监管原则、压实企业主体责任。
2023版《战略》提出的建设内容反映了拜登政府下一步网络安全治理思路。一是进一步强化“以攻为守”的网络安全策略,后续或将对美国网络安全的监管方式、合作路径等方面产生影响;二是带动网络安全市场发展,如零信任、量子计算等相关技术和信息基础设施、半导体供应链等应用场景;三是对产业、外交等领域的溢出效应将持续显现,影响网络空间生态、地域联盟等的发展。
5月
4. 美国NIST发布《对联邦漏洞披露指南的建议》,推进漏洞披露体系化建设
https://csrc.nist.gov/publications/detail/sp/800-216/final
【绿盟观点】《建议指南》旨在落实《2020年提升物联网网络安全法案》(IoT Cybersecurity Improvement Act of 2020)第5章的要求,由NIST制定“与信息系统(包括物联网设备)相关的安全漏洞的披露流程指南”,以帮助美国联邦政府机构建立标准化的漏洞披露流程。
美国此次发布的《建议指南》,有两个特点。一是以“框架”的模式,推动加强网络产品和系统漏洞相关标准的体系化发展,提升标准间的衔接与协同;二是以指南建议的方式,加强对网络产品和系统漏洞的披露规范化,推进不同部门、行业间相关漏洞披露机制、披露信息的权威性、准确性和及时性。
7月
5. 美国白宫发布《国家网络安全战略实施计划》,细化网络安全战略目标“路线图”
https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/13/fact-sheet-biden-harrisadministration-publishes-thenational-cybersecurity-strategyimplementation-plan/
【绿盟观点】《国家网络安全战略实施计划》是ONCD发布的首份《实施计划》,该计划将根据网络威胁形势的变化完善对应举措,并以年度为单位进行更新。
《实施计划》有三个特点。一是强调具体举措的可操作性,包括划定相关部门具体时间表,为每项举措明确规定了负责机构、参与实体和截止日期等。二是注重修复和强化网络安全联盟生态,加强对合作与联合的回归和强化。三是突出网络安全监管中的企业主体责任,强化软件产品和服务提供商的网络安全保护义务。
总体来看,本次《实施计划》对网络安全发展或将产生以下影响。一是强化争夺技术标准国际话语权,《实施计划》明确提出“要根据《关键和新兴技术的国家标准战略》加强美国联邦机构对国际网络安全标准化进程的参与”。二是带动网络安全技术和应用的市场发展。《实施计划》提出的零信任、量子计算等相关技术和应用场景,对其国内乃至国外网络安全相关的市场发展都会起到重要的风向标作用。三是对产业、外交等领域的溢出效应将持续显现。
6. 美国白宫发布《国家网络人才和教育战略》,加强网络安全人才培养
https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/31/fact-sheet-biden-%e2%81%a0harris-administration-announces-national-cyber-workforce-and-education-strategy-unleashing-americas-cyber-talent/
【绿盟观点】近年来,美国政府高度重视网络人才建设,出台一系列政策法规促进网络人才培养,如《加强联邦网络安全人才战略》(Strengthening the Federal Cybersecurity Workforce)(奥巴马政府)、《美国网络安全人才行政令》(Executive Order on America’s Cybersecurity Workforce)(特朗普政府)、《2021年联邦网络人才轮岗计划法案》(Federal Rotational Cyber Workforce Program Act of 2021)(拜登政府)等。本次发布的《国家网络人才和教育战略》不仅落实了美国《国家网络安全战略》和《国家网络安全战略实施计划》中提出的“制定国家战略以加强美国网络人才”的相关要求,而且还体现了美国在网络人才培养方面的综合方法,后续或将对其他国家在该领域的政策出台起到一定示范作用。
9月
7. 美国网络安全和基础设施安全局发布《为供水公司提供免费的网络漏洞扫描》情况说明书,加强供水关键基础设施信息安全
https://www.cisa.gov/resources-tools/resources/cisas-free-cyber-vulnerability-scanning-water-utilities
【绿盟观点】供水系统事关民众基本生活,近年来针对城市供水系统的网络攻击日益增加,如以色列中部供水设施遭遇国家级黑客组织网络攻击、美国佛罗里达州自来水厂系统遭黑客入侵等。美国政府此前开展一系列监管行动审查供水行业网络安全,如针对水和废水部门的百日行动计划、环境保护署提高公共供水系统的网络安全弹性专项行动、NIST提出《确保水和污水公共服务的安全:水和污水系统部门的网络安全》草案等。
“水及污水处理系统”是美国政府认定的16类关键基础设施部门之一(奥巴马总统行政令PPD-21,2013)。在水及污水处理网络系统中推行免费漏洞扫描服务,是美国加强水及污水处理系统关键基础设施安全的一项重要举措。
8. 美国国防部发布《2023年国防部网络战略》摘要
https://www.defense.gov/News/Releases/Release/Article/3523199/dod-releases-2023-cyber-strategy-summary/
【绿盟观点】美国于2011年发布了首份《国防部网络空间行动战略》(Department of Defense Strategy for Operating in Cyberspace),此后又发布了《2015年国防部网络战略》《2018年国防部网络战略》。《2023战略》贯彻了美国网络安全战略的“综合威慑、国际合作、投资引领”等指导思想,并对美国国防领域的具体网络行动进行了明确,如开展前出防御(Defend Forward)、前出狩猎(Hunt Forward)等。
美国防部每年发布的网络战略可以视为其网络空间军事化发展的一个风向标。从中,不仅可以观察美军的网络武器储备、网络攻防技术研发等领域的大致情况,也能对其发展目标、战略布局、重点工作和举措等有一个大概的了解。
9. 美国网络安全和基础设施安全局发布《CISA开源软件安全路线图》
https://www.cisa.gov/resources-tools/resources/cisa-open-source-software-security-roadmap
【绿盟观点】开源软件是美国网络安全监管的重点领域之一。开源软件安全风险主要来自两方面。一方面,开源软件自身的安全风险,会直接威胁基于其建立的各类信息系统,此类典型事件如Log4j2事件。另一方面,对开源软件供应链的攻击,会威胁开源软件上、下游多个环节,此类典型事件如太阳风(SolarWinds)事件等。美国政府对此开展了一系列行动,包括召开开源软件安全峰会、发布《关于开源软件安全和内存安全编程语言的征求意见》、发布《提高运营技术和工业控制系统中开源软件的安全性》政策文件等。
10月
10. 美国网络安全和基础设施安全局宣布修订《国家网络事件响应计划》
https://www.cisa.gov/news-events/news/cisa-announces-effort-revise-national-cyber-incident-response-plan
【绿盟观点】《响应计划》是白宫此前发布的《2023年国家网络安全战略实施计划》所明确的一项重要任务,也是美国CISA的联合网络防御协作组织(JCDC)2023年规划议程中的优先事项之一。根据CISA公布的情况说明书,新版《响应计划》将于2023年12月开始撰写,然后向公众开放以征求意见,并将于2024年底之前获得批准和发布。
11月
11. 美国网络安全和基础设施安全局与韩国国家情报院签署《关于加强防御网络威胁合作的谅解备忘录》
https://www.cisa.gov/news-events/news/cisa-signs-memorandum-understanding-republic-korea-share-cyber-threat-information-and-cybersecurity
【绿盟观点】近年来,美国与韩国持续加强网络安全领域合作。顶层设计方面,美韩两国元首曾于2023年4月签署新的双边《网络安全框架》(以下简称《框架》);组织架构方面,CISA和NIS于2023年6月成立关键基础设施框架行动小组。此次《备忘录》强调了《框架》中概述的两国合作领域,如加强联合演习、专家交流、人才培养,以分享网络和基础设施领域最佳实践等。开展同盟合作是美国网络安全战略规划的重要举措之一,除签署备忘录外,CISA还通过发布联合网络安全咨询、漏洞/恶意软件分析报告等方式加强与国际伙伴网络安全合作。
12. 拜登宣布采取30余项新行动以加强美国的供应链
https://www.whitehouse.gov/briefing-room/statements-releases/2023/11/27/fact-sheet-president-biden-announces-new-actions-to-strengthen-americas-supply-chains-lower-costs-for-families-and-secure-key-sectors/
【绿盟观点】长期以来,美国政府高度关注关键部门供应链安全。拜登政府执政期间发布多项供应链政策文件,如《美国供应链行政令》(第14017号)、《利用安全的软件开发实践增强软件供应链的安全性》备忘录、《2022年芯片和科学法案》《网络安全供应链风险管理指南》(NIST)等。本次发布的一揽子供应链行动计划,不仅是对未来相关部门的工作部署,也是对拜登执政期间供应链工作的总结。行动虽没有特别针对信息技术供应链制定规则,但在网络安全方面宣布成立新的机构、并推动关键跨境供应链安全演习,也突出反映了美国近期重点关注的供应链网络安全领域,如港口、跨境以及半导体供应链等方面。
12月
13. 欧洲议会审议通过《网络团结法案》提案
https://www.europarl.europa.eu/news/en/press-room/20231204IPR15645/cybersecurity-meps-back-plans-to-increase-cooperation-against-threats
【绿盟观点】《网络团结法案》将进一步完善欧盟网络安全法律体系,对提升欧盟应对网络威胁能力具有重要意义。从本提案可以看出欧盟在对待网络安全方面的几个基本主张和态度。一是注重技术防御,从欧盟安全运营中心(SOC)的设置和运营模式不难发现,欧盟在网络安全防护体系建设中,较强调先进技术在网络安全中的融合应用,如人工智能等。二是重视中小企业网络防御,这些企业设施由于缺乏财政资源往往更容易受到网络攻击,属于国家网络安全防御的薄弱环节。三是看重公私合作,这一点也可体现在创建欧盟网络安全后备军、强化网络安全应急机制等方面。四是开展集体防御,这可以视为欧洲集体防御政策在网络安全领域的延伸,以夯实成员国之间的协同,促进欧洲的区域网络安全防护体系不断走向健全。
14. 美国联邦调查局发布《关于投资者要求延迟报告重大网络安全事件程序的指南》
https://www.fbi.gov/investigate/cyber/fbi-guidance-to-victims-of-cyber-incidents-on-sec-reporting-requirements-fbi-policy-notice-summary
【绿盟观点】美国证券交易的强制公开披露制度,是根据美国证券交易委员会(SEC)的规定,上市公司必须定期向公众披露财务信息、业务运营情况、风险因素和其他重要信息的制度。这些披露文件包括年度报告(Form 10-K)、季度报告(Form 10-Q)、重大事件报告(Form 8-K)等。这些披露文件的目的是保护投资者,让他们能够获得充分的信息。此次《指南》则是旨在为重大网络安全事件的报告披露设定了时限的延迟和例外。
15. 美国众议院通过《2024财年国防授权法案》
https://www.armed-services.senate.gov/press-releases/reed-wicker-praise-senate-passage-of-the-fy-2024-national-defense-authorization-act
【绿盟观点】法案此前已经由参议院投票通过,此后将提交总统签署并正式生效。总预算8860亿美元,较2023年增长了280亿美元,增幅约3%。据初步统计,其中网络安全预算约14.5亿美元,比2023年增长14%。可见,美国网络安全国防预算的增速远高于国防预算整体增速。根据法案,2024年美国网络安全国防主要支出领域包括:网络安全风险和态势感知、信息技术和数据管理、网络战能力、人工智能等。可见,在网络安全投入方面的增长速度远高于国防预算整体增速,反映了美国大力加强国防网络安全的趋势。