日期:
来源:中国信息安全收集编辑:
邮发代号 2-786
征订热线:010-82341063
今年全国“两会”上,网络安全领域代表,全国政协委员、安天集团创始人肖新光聚焦网络安全领域责任机制与公共安全机制,提交了《关于落实<网络安全法>,完善细化网络安全责任制的提案》和《关于强化网络安全公共安全属性的提案》。在《关于落实<网络安全法>,完善细化网络安全责任制的提案》中,肖新光指出,《网络安全法》的颁布施行,确立了网络安全责任法理依据。为达成工作要求,落实执行效果,建议主管部门围绕落实《网络安全法》进一步细化网络安全责任体系。肖新光认为,目前网络安全责任制的实际落实,仍有三方面存在问题,一是责任机制层次不够清晰,二是责任机制的覆盖范围仍存盲区,三是责任机制缺少综合支撑要素。对此,肖新光建议,可以从以下三方面展开工作:一是完善层次化风险与责任分析体系。二是压实“关口前移,防患于未然”的工作要求,提升责任制覆盖度。三是将网络安全问责机制、奖励机制、帮扶赋能机制有机结合。在《关于强化网络安全公共安全属性的提案》中,肖新光指出,新时期十年,我国网络安全体系和能力建设取得巨大成就。技术水平不断提升,产业规模持续扩大。二十大报告要求我们坚定不移贯彻总体国家安全观,对网络安全工作提出了更高要求。但对比二十大提出的目标要求,我们依然存在较大差距和短板。肖新光认为,问题主要在以下两方面:一是缺少全面收敛网络安全威胁风险的刚性目标。二是单纯依靠网络安全责任制+市场化供给机制难以充分达成治理效果。肖新光建议,面对复杂的国际形势,要进一步强化网络安全领域,可在以下两方面展开工作:一是强化构建网络安全战略优势能力的目标导向。基于相关工作的复杂性,建议先行先试以下两个方面。一方面将关键信息基础设施的防护水平放到围绕超高能力网空威胁行为体构建“敌情想定”,能够经受最高等级攻击的实战检验看待。另一方面,建议将人民群众和政企机构高度关切的“手机反诈”、“防数据窃取勒索攻击”等安全保障工作纳入平安中国和新型社会治理的考评指标。二是借鉴公共安全治理经验,渐进推动网络安全公共安全服务机制。当前可以优先支持面向重点行业领域和地缘安全热点区域省份的网络安全公共安全服务化支撑能力试点、强化网络安全领域的国家安全基础设施建设。
关于落实《网络安全法》,
完善细化网络安全责任制的提案
十八大以来,我国网络安全治理能力不断提升。《网络安全法》的颁布施行,确立了网络安全责任法理依据。为达成工作要求,落实执行效果,建议主管部门围绕落实《网络安全法》进一步细化网络安全责任体系。一是责任机制层次不够清晰。网络安全是一个极为复杂的治理体系,不同政企机构所建设运营的信息系统承载着海量客户信息。这些系统和数据资产与国家安全、社会治理安全、政企机构安全和公民个人安全四个层次息息相关。因此网络安全责任机制不应单纯是建设运营单位的责任机制。目前网络安全责任制的实际落实,更偏重于“谁建设、谁负责,谁运营、谁负责”的主体责任机制,并未明确四个风险层次间的责任界面。政企机构缺少层次化的风险分析指引,综合协同机制有所不足。二是责任机制的覆盖范围仍存盲区。从目前责任机制落实来看,基于事件驱动的问责动作较多,但对于推动网络安全与信息化同步规划、同步建设、同步运营全生命周期提升的全过程责任覆盖还不够。与此同时,网络安全水平高度依赖于网信产品,特别是应用开发商的自身安全水平。当前我国网信行业整体代码安全工程能力普遍较差,产品带有严重缺陷和漏洞部署到用户现场情况屡见不鲜,很多厂商不能履行快速修复已知漏洞义务。研发场景和软件分发链安全能力差,易于被攻击者入侵,预埋后门木马。上述都是政企机构遭遇网络入侵的重要原因,但目前没有配套的联动问责机制。三是责任机制缺少综合支撑要素。大部分网络安全事件并非是事故,而是攻击者施加于被攻击目标的恶意行为活动。在这些事件中遭受攻击损失的机构兼具责任者和受害者的双重角色。既需要督促追责、整改检查,也需要辅助帮扶,包括增加预算保障等。一般性政企机构的投入能力和技术水平,很难单独支撑对抗高水平国家级的网络威胁攻击。如果只有问责机制,而没有免责、激励和赋能机制,政企机构一方面没有能力发现隐蔽性很强的高级持续性威胁,另一方面出于避责心理,采用瞒报掩盖方式应对网络攻击,影响了网络安全事件的强制性报告制度的落实,影响了网络安全威胁的整体有效感知和威胁情报的快速共享。一是完善层次化风险与责任分析体系。建议主管部门围绕重要信息系统和关键信息基础设施,完善共性方法指引,依托敌情想定和模拟推演等方式,梳理重要信息系统和关键信息基础设施遭遇攻击向国家安全、社会治理安全和公民个人安全的外溢风险,以风险后果视角重新分析网络安全规划和投入的合理性。量化分析规划投入的差距和短板,基于共性和弹性安全能力建设,专项投入支持等方式,弥补重要信息系统和关键信息基础设施运营方的安全投入不足。二是压实“关口前移,防患于未然”的工作要求,提升责任制覆盖度。建议相关部门组织细化,下沉赋能,对运营关键信息基础设施的政企机构的敌情想定构建、网络安全规划建设情况进行前置检查指导,细化IT供应链网络安全的整体要求、工作机制和流程规范。建立对安全事件有直接责任的网信供应商的关联问责机制。对供应商代码安全能力低下,研发生产环境安全防护投入不足,严重漏洞不及时通报用户并修复,以及提供云、APP等服务关联导致客户资产损失等情况予以追责。鼓励基础安全能力嵌入信息产品,实现安全基因的原生融合。三是将网络安全问责机制、奖励机制、帮扶赋能机制有机结合。问责机制作为事后惩治手段,对未落实工作要求导致数据泄漏、系统失陷、造成风险损失的,依法追究。同时鼓励积极作为、扎实投入的导向。对高水平建设、规划、运营安全能力的,实施奖励。对按照高水平完成相关能力建设、按照高要求持续安全运营的政企机构,因遭受国家级高水平攻击造成损失的,适度免责。对发现带有国家和地缘安全背景网络攻击时第一时间上报,发现高价值威胁线索,捕获有价值信息的,提供奖励。
关于强化网络安全公共安全属性的提案
新时期十年,我国网络安全体系和能力建设取得巨大成就。技术水平不断提升,产业规模持续扩大。二十大报告要求我们坚定不移贯彻总体国家安全观,对网络安全工作提出了更高要求。“构建全域联动、立体高效的国家安全防护体系。增强维护国家安全能力。”“筑牢国家安全人民防线。提高公共安全治理水平,坚持安全第一、预防为主,建立大安全大应急框架,完善公共安全体系,推动公共安全治理模式向事前预防转型,提高防灾减灾救灾和急难险重突发公共事件处置保障能力。”等要求贯通覆盖网络安全领域,“加强个人信息保护”则是针对网络安全领域的专门工作要求。对比二十大提出的目标要求,我们依然存在较大差距和短板。一是缺少全面收敛网络安全威胁风险的刚性目标。信息体系是承载价值信息资产的“载体”,更已经成为支撑社会运行的“筋脉”。信息体系的暴露面和可攻击面不断扩大,遭遇攻击将带来风险连锁传导。相关霸权国家在网络攻击能力上的投入持续增加,导致网络空间军事化加剧;网络空间非国家行为体活动持续升级,全球网络犯罪带来的经济损失已经超过实体犯罪。网络安全风险处于持续膨胀的状态,经济社会运行存在因国家背景高强度网络攻击导致失控崩盘的风险。我国在整体安全监测、应急响应联动、风险通报机制等方面有较好运行基础,但缺少从总体国家安全观视角研判网络安全投入规模总量的方法,缺少和其他公共安全领域工作的对比拉通和经验借鉴。以消防领域来类比,根据国家应急管理部统计发布,2022年1-9月份我国火灾直接财产损失为55亿元,而为了控制火灾风险和连锁损失,我国每年消防市场规模已经达到准万亿级别。证明公共安全领域的风险达到可控收敛的状态,必然需要超额投入。而我国网络安全每年实质性市场规模仍在几百亿水平,数字经济年度市场规模已经达到45万亿,保障投入和保障的目标价值相对比,严重失衡。二是单纯依靠网络安全责任制+市场化供给机制难以充分达成治理效果。网络空间信息资产分散在各个政企机构所构建的信息体系上。网络安全依托主体责任机制进行管理,以市场化产品服务供给为主要模式,是发展演化的自然结果。但网络安全的防护水平受到建设运营机构的风险意识、技术能力和投入规模的制约。高水平网络攻击表现为持续隐蔽性信息窃取和潜伏预置,被攻击机构难以感知。这些因素导致政企机构往往视网络安全投入为成本,普遍倾向按照能力低线进行合规建设,在实际产品服务选择中普遍按照“最低价中标”,而非选择能力更强、更适配的产品服务。长期的低线投入导致建设水平不高,防护能力低下,无力管控政企机构自身网络安全风险向国家安全、社会治理安全等领域传导转化,最终无法有效保障社会公共利益。这其中既有提升改进空间,也是单纯依靠市场供给机制推动的规律使然。而即使按照高线投入,单独的政企机构,也很难具有足够技术能力与财力,去独立对抗国家级、高水平的网络威胁攻击,需要更多的共性能力支撑与赋能。从全球来看,2021年仅网络犯罪使全球经济损失已经超过1万亿美元,同样证明,单纯以市场商品供给为主导的网络安全运行模式不足应对网络安全威胁。消防、防疫等公共安全领域的成熟经验,值得网络安全领域借鉴和参考。一是强化构建网络安全战略优势能力的目标导向。面对复杂的国际形势,网络安全领域可制定更具进取性的目标——成为国家治理体系中的能力长板,成为相较于主要地缘竞合方的能力优势,在应对霸权国家综合打压,甚至面临高烈度安全冲突过程中不会成为重大制约和风险软肋。在投入总量测算上,基于战略优势目标、数字经济体量规模和底线风险评价,以达成风险增量趋于收敛可控为导向,重新评估合理投入规模,将投入增量以集约化的模式投入到公共安全服务能力建设中。在评价机制上,不仅进行纵向的发展对比,也要和世界最先进水平进行横向对比。整体防护水平立足于不断缩小与最发达国家间差距并部分超越,相较周边地缘国家具备明显优势,能对抗国家级高水平攻击。基于相关工作的复杂性,建议先行先试以下两个方面。一是将关键信息基础设施的防护水平放到围绕超高能力网空威胁行为体构建“敌情想定”,能够经受最高等级攻击的实战检验看待。二是建议将人民群众和政企机构高度关切的“手机反诈”、“防数据窃取勒索攻击”等安全保障工作纳入平安中国和新型社会治理的考评指标。二是借鉴公共安全治理经验,渐进推动网络安全公共安全服务机制。借鉴我国在消防、灾难救援、卫生防疫等领域的成熟公共安全治理经验,积极研究国际对网络安全公共服务化的研究进展和实践尝试,探索网络安全公共安全服务化的中国模式。分析强化网络安全公共安全服务属性的分工协同机制和能力供给体系。针对重要信息系统和关键信息基础设施,基于国家安全、社会治理安全、政企机构安全的三个责任层次,和公民个人安全的关联维度,层次化梳理出需要国家和各级政府统一保障和支撑的部分、需要主管部门赋能的部分、需要机构本身投入的部分等,清晰化网络安全市场供给机制和网络安全公共安全服务化机制的工作界面和主体责任。参考消防等公共服务模式,分析网络安全公共安全服务化的运行模式和需求总量,建构以风险后果为主要度量衡的评价和投入体系,逐步形成国家安全、社会治理安全、政企机构安全共担成本,协调共建的层次化建设投入机制。当前可以优先支持面向重点行业领域和地缘安全热点区域省份的网络安全公共安全服务化支撑能力试点、强化网络安全领域的国家安全基础设施建设。鼓励各地开展网络安全公共安全服务化试点探索和示范评优。优先支持在经济发展相对落后地区,构建网络安全共性基础设施和网络安全公共安全服务化能力,通过强化网络安全公共安全服务能力,弥补信息化及网络安全保障的历史投入不足。(注:相关工作涉及细化网络安全责任制,另案提交)