国家安全工作是党治国理政一项十分重要的工作。2014年,习近平总书记创造性提出总体国家安全观,涵盖政治、军事、经济、文化、网络等诸多领域,为新时代国家安全工作指明了方向。当前,百年变局和世纪疫情交织叠加,国际环境日趋复杂,我们面临的国家网络安全问题的复杂程度、艰巨程度明显加大。2018年,习近平总书记在全国网络安全和信息化工作会议上强调:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”2023年是全面贯彻党的二十大精神的开局之年,2024年是总体国家安全观提出十周年,深入推进国家网络安全治理相关问题研究具有重要现实意义。
一、新时代网络安全的重要意义
筑牢可信可控数字中国安全屏障的重要保障。一是网络安全是数字中国建设的重要基础。2023年,《数字中国建设整体布局规划》明确提出,“筑牢可信可控的数字安全屏障”。一个强大而高性能的网络,是保障数字中国发展的重要基础。二是网络安全成为数字经济安全的重要内容。安全是发展的前提和保障。加快推进数字中国建设,必须切实维护网络安全。数字经济的高速增长放大了网络安全风险,带动网络安全需求激增。打通数据壁垒、消除数据孤岛、挖掘数据最大价值,成为各类组织机构新的业务需求。在保障网络安全的前提下,充分利用数据资源,使数据价值最大化,已然成为政府、企业数字化转型和推动数字经济高质量发展的关键。
以新安全格局保障新发展格局的战略需求。一是网络安全是新安全格局的关键组成。党的二十大报告提出,“以新安全格局保障新发展格局”,“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”,是新征程上顺应世界之变、时代之变、历史之变的必然要求。二是网络安全是新发展格局不可或缺的重要保障。一方面,我国网络安全制度体系不断完善,《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律相继颁布,《关键信息基础设施安全保护条例》《网络安全审查办法》等规范性文件陆续出台,依“法”保障网络安全的“四梁八柱”逐渐成型。另一方面,网络安全已成为新时代我国面临的复杂挑战。2023年4月,中国网络安全产业联盟发布报告,披露了2010年以来曝光的十余起美国情报机构实施网络攻击、开展网络监控及窃密、泄露扩散网络攻击武器和工具的案例,网络安全复杂多变、日益严峻。面对安全风险交织叠加的新形势,必须统筹兼顾、综合施策、提前预判,系统部署。
推动国家安全体系和能力现代化建设的必要条件。一是筑牢网络安全防线事关国家安全和社会稳定。当今时代,网络空间战略博弈和安全斗争的内容与形式进一步复杂化,筑牢网络安全防线刻不容缓。网络空间不仅成为各类网络攻击与安全威胁的第一战场,也是推进社会治理的重要场域。二是网络安全是信息化协同发展的必要条件。“现代化”作为一个具有历史性、不断发展的概念,其核心要求经历了从工业化向信息化的关键转变。随着信息技术的普及和应用,现代化的重心逐渐向信息化领域转移。习近平总书记强调,“网络安全和信息化是一体之两翼、驱动之双轮”。信息化为我国抢占新一轮发展制高点、构筑国际竞争新优势提供了有利契机,需要统一谋划和部署。网络安全为信息化协同发展提供了有力保障。
二、网络安全的演进及新时代发展趋势
网络安全的演进。新中国成立以来,随着时代发展、技术进步,我国网络安全的发展不断深化(见表1)。早期网络安全措施主要集中在访问控制。20世纪70~80年代,重要的安全问题是限制计算机的访问权限,弱密码和简单访问控制方式容易受到黑客攻击。随着互联网快速普及,20世纪90年代,防火墙成为网络安全的重要组成部分。2000年初,网络攻击变得普遍复杂,加密技术、虚拟专用网络(VPN)、网络流量分析等新安全防御方式出现。党的十八大以来,网络安全宏观布局不断强化,网络治理法治化、科学化水平不断提升,网络安全的防线越来越牢固。
新时代网络安全的发展趋势。第一,网络安全制度体系化。党的二十大报告提出,“健全网络综合治理体系,推动形成良好网络生态”。建设网络强国,已经成为中国式现代化的核心内容和战略性问题。网络安全法律体系现代化建设,既是保护网民合法权益和网络经济发展的应有之义,也是维护国家网络主权和国防安全的必要条件。近年来,以《中华人民共和国网络安全法》为核心的网络安全法律体系逐步建立健全,目前已形成了“以《中华人民共和国民法典》为指引,《中华人民共和国网络安全法》为基础性法律,具体领域专门性立法为主体,各法律中有关网络安全的实施细则或有关规定为补充”的多层次、立体化国家网络安全制度体系,为推进网络强国建设提供了基本的制度保障(见表2)。
第二,网络安全基础设施化。当前,我国新型智慧城市建设进入全面发展阶段,在国家政策引导、各部门协同推进和各地方持续创新的推动下,我国新型智慧城市建设取得了显著成效,涌现出“一网通办”、“一网统管”、“城市大脑”、数据资产登记等一批特色亮点和创新应用,在部分领域为全球智慧城市建设提供了中国方案。物联网、移动互联网、导航定位等新技术应用的不断推动给新型智慧城市建设带来了新的安全问题,互联网、物联网、大数据等进一步增加了网络空间和物理空间的安全互依赖性。城市网络是联接物理城市和数字孪生城市的纽带,既是智慧城市发展的关键基石底座和数字运力中枢,也是支撑城市数字政府高效协同、数字经济高质量发展、数字社会普惠和谐的重要基础设施和支撑服务载体。随着智慧城市建设蓬勃发展,各种创新应用与服务都离不开互联网、物联网等网络基础设施的保障与支撑,随之而来的网络安全问题日益突出,服务中断、勒索软件攻击、信息泄露等问题屡见不鲜,对智慧城市的日常运营造成了巨大的风险与安全隐患。随着网络安全监管理念的创新和监管手段的进步,应统筹推进安全风险分析、协同监管机制、智能监管技术和安全应急处置等方面建设,为智慧城市发展保驾护航。
第三,网络安全风险交织化。全球网络安全事件频发,数据泄露、业务中断、工厂停工等时有发生,网络安全形势依然严峻,甚至愈加错综复杂。一是网络攻防对抗趋势愈演愈烈。网络攻击方转向以多重手段规避网络安全防线,攻击目标也愈加精准。比如,德国燃料储存供应商Oiltanking GmbH Group遭受网络攻击造成燃油供应中断,丰田公司供应商电装公司遭到勒索软件攻击,中断了设备的网络连接,数据发生大量泄密,汽车生产线被迫停工。二是大国网络空间安全博弈加剧。俄乌冲突使得军事行动延续到网络空间,俄罗斯和乌克兰作为冲突双方已在网络空间多次交手。在俄乌冲突的影响下,更多国家加强了网络军事能力建设,如美国明确将进攻性网络理念作为指导方针,开展了前置防御、前沿狩猎等多种形式的网络行动,导致各国的国家安全风险更多地暴露在网络空间,这不仅加剧了各方在网络空间治理进程中的博弈,而且正在重新塑造网络空间秩序的未来。
第四,网络安全边界融合化。随着云计算、人工智能等数字技术的不断创新和深度应用,智慧城市也显现出融合化、协同化、智能化的特征。通过网络更好地连接智慧城市的服务、连接百姓、连接企业,成为智慧城市发展的新趋势。智慧城市的核心价值是实现信息的高度集中和共享,但在推进信息资源集中共享的同时,也使得各类安全风险更为集中。云计算、大数据、物联网、移动互联网催生了与传统电子政务、传统行业信息化完全不同的新的安全需求。在新的发展阶段,智慧城市正由稳态系统转向敏态系统,数据正由静态转向实时,时空正从单一物理转向多维社会网络,随之而来的网络安全边界也逐渐泛化模糊,呈现出易变化、复杂化、模糊化和不确定性等特点,以防火墙、堡垒机等为代表的传统边界防护模式逐渐“失灵”,基于边界的传统安全架构不再可靠。传统的“打补丁”“局部整改”“事后补救”式的网络安全防护手段已经不能满足未来经济社会的安全发展需求,从全局视角开展网络安全顶层设计,在统筹规划基础上系统性部署网络安全策略与基础设施建设将成为未来网络安全发展的主流方向。
第五,网络安全工具数智化。随着越来越多的数据迁移到云端,网络安全问题变得更加复杂。许多传统安全系统无法监控云计算数据,但新的人工智能增强网络安全是专门为云计算设计的,采用跨多个运营环境监控和分析数据的混合网络安全解决方案将成为一种必要的措施。随着人工智能,包括物联网等新技术的大量普及,产生海量的数据,区块链对于这些数据的加密、传输、存储、防篡改等问题,可以起到非常好的提升作用。区块链技术比其他平台或记录保存系统具有更高的安全性,任何被记录的交易都需要根据共识规则达成一致。篡改证据和广泛可访问的基于区块链的注册可以提供更高的透明度和数据民主。目前,我们国家大力出台各种政策,扶持支持区块链技术的应用落地和技术升级。自2020年以来,全球数字经济的发展已显著提速,以5G和区块链为代表的“新型基础设施”建设全面铺开,区块链与物联网、大数据、云计算、人工智能等前沿科技与网络安全深度融合,推动网络安全工具再上新台阶。
第六,网络安全治理主动化。随着《中华人民共和国网络安全法》、欧盟《通用数据保护条例》等国内外数据安全法律的施行,网络安全治理方式转向主动化。过去的网络安全管理侧重被动防御,即在网络遭受威胁或攻击之后,采取相应的补救措施以减轻或阻止损害。例如,当发现网络病毒时,立即采用技术手段清除并同时阻止病毒扩散。随着信息技术的进步,预测网络安全的发展趋势,并且利用大数据提供的大量信息进行网络安全风险的评估越来越容易,因此,网络安全治理更具主动性且更加高效可靠。随着网络安全问题带来的威胁和损失日益增加,提前预判预处置网络安全的需求不断增加,要进一步助推网络安全风险技术的迭代升级,进而促使网络安全治理趋于主动。
第七,网络安全监管常态化。近年来,公安部作为网络安全监管的重要职能部门之一,履行网络安全监管职责,持续开展网络安全监督检查和行政执法工作,有力确保了网络和数据安全,保障数字经济有序运行。自从2018年以来,公安部已连续六年开展“净网”专项行动,瞄准侵犯公民个人信息泄露、网络诈骗等违法犯罪行为重拳出击,依法严打严管涉案人员、团伙和企业。此外,关键信息基础设施、重要信息系统也是开展网络安全监督检查的重点领域,常态化开展网络安全隐患排查工作,确保网络安全问题整改到位。
第八,网络生态环境清朗化。构建健康有序的网络交流平台,是党为人民群众创造福祉、实现可持续发展的重要途径。2016年以来,《中华人民共和国网络安全法》《互联网信息内容管理行政执法程序规定》《公安机关互联网安全监督检查规定》《网信部门行政执法程序规定(征求意见稿)》相继发布,在此基础上,国家网信办等部门展开了“清朗”等系列专项行动,网络生态环境得到有效改善。2021年,累计清理违法和不良信息2200多万条,关闭网站3200余家。2022年,公安机关网安部门破获“侵犯公民个人信息案件”1.6万余起、“网络水军”案件550余起,有力维护了网络空间安全。
三、新时代网络安全面临的挑战
网络安全法律体系不够完善。第一,法律法规仍待细化落实。尽管网络安全法律体系逐步建立健全,但是每部新法案从开始实施到完善落实,都需要一定的过渡期。新法内的一些具体规定要具体“落地”,都需要完善一系列措施及配套政策。《中华人民共和国数据安全法》出台后,仍需要制定相关的配套措施,针对需要明确的重点问题进一步细化,明确《中华人民共和国数据安全法》的分级分类制度的具体要求与标准,进一步提高实操性,才能提供实践指导。
第二,法律法规配套仍需加强。总体来说,网络安全领域的立法质量不断提高,法律的操作性、规范性不断增强,但现有网络安全领域配套法律法规仍需完善。一方面,法律配套制度涉及部门多,协调难度大,影响因素交错复杂,客观上会带来一定的困难。另一方面,网络技术发展迅猛,情况变化很快,这也给法律法规配套的制定和落实带来一定的挑战。
新技术引发网络安全新风险。第一,新场景引发新挑战。随着互联网应用的普及,网络安全技术的应用场景也越来越广泛。在线支付、在线购物、在线教育等都离不开网络安全技术,随之而来的网络安全风险也不断激增。一是网络黑客、电信网络诈骗等犯罪问题频发。根据公安部公布的最新数据,2022年全国共破获电信网络诈骗案件46.4万起,同比上升5%。随着科技的进步,互联网为人们的工作生活带来便利的同时,网络诈骗手法也不断翻新,封装App、群发邮件“引流”、AI语音视频造假诈骗等花招层出不穷。据公安部门统计,高发电信网络诈骗案件发案占比近80%。二是虚拟货币存在网络安全风险。虚拟货币的网络安全风险主要源于其网络特性。一方面,虚拟货币存在网络漏洞和后门程序等安全风险,黑客利用这些漏洞可以窃取用户信息,进而盗取用户的虚拟货币资产。另一方面,在线交易平台的安全性、个人信息的保护程度不够等都是影响虚拟货币安全的重要因素。有些在线交易平台缺乏安全保障,导致用户在交易过程中遭受虚拟货币被盗的风险。
第二,网络技术犯罪持续高发。随着网络技术的飞速发展,网络技术犯罪已成为一个不容忽视的问题。近年来,网络技术犯罪持续高发,带来了重大经济损失和数据安全风险。一是勒索软件攻击愈演愈烈。勒索软件是一种流行的网络攻击工具,通过加密用户文件等方式进行勒索。近年来几乎所有国家的政府、金融、医疗、交通等行业均受到影响。2022年,勒索软件活跃程度再度飙升,攻击事件数量同比增长13%,超过以往五年的总和。各大勒索攻击团伙不断改进攻击手法和模式,使得新一代勒索软件攻击更加复杂、更有针对性,呈现出勒索软件智能化、多重勒索常态化等趋势。以多重勒索为例,新型勒索软件攻击从单端的支付赎金即可恢复被加密的数据,逐渐演变成窃取商业信息、非法销售数据、DDoS攻击等勒索方式结合的新模式。Lapsus$黑客组织通过多重勒索已攻击了微软、英伟达、优步等多家知名企业,一旦受害者拒绝支付赎金,该组织就会将窃取的数据发布到网上组织非法售卖。二是软件供应链数据泄露事件频发。随着软件产业快速发展,软件供应链也愈加复杂,极易触发一系列安全问题,网络安全整体防护难度越来越大。据IBM发布《2022年数据泄露成本报告》显示,五分之一的数据泄露事件是由软件供应链受陷造成,识别并遏制供应链事件所耗费的平均总时长要比全球数据泄露事件长26天。供应链攻陷事件的总成本是446万美元,比数据泄露事件的全球平均总成本高2.5%,且后者已达到史上最高水平,比过去两年高出近13%。据相关网络安全公司报告显示,2022年针对软件供应商的网络攻击同比增长146%,其中62%的数据泄露归因于供应链安全漏洞。
第三,网络战形势错综复杂。我国面临的网络战、封锁战、舆论战形势日益严峻。一是网络代码已经被武器化。网络攻击手段和网络攻击主体的特征明显,敌对势力利用其掌控的强大网络技术对我国连接的国际互联网实施有组织、集团化的网络断网、网域除名等,对我国政府部门、高校、重点企事业单位的网络系统进行精准的网络攻击及窃密。2022年9月,美国国家安全局NSA对我国西北工业大学网络长时间入侵攻击,窃取关键敏感数据,对我国的国家安全造成了严重的危害。二是社交媒体被政治化、“武器化”。敌对势力利用网络漏洞实施攻击和制造散布虚假信息,利用其影响力制造发动网络舆论战,造成网络舆论信息真假难辨,从而迷惑蛊惑网民,影响民众的思想和准确分析判断,制造对立,引发社会矛盾。同时,网络空间的军事化趋势加剧,威胁越来越大,数字外交、网络外交成为维护数字利益的政治手段。面对网络风险和挑战,加强网络安全和维护国家安全十分迫切和重要。
第四,核心技术自主可控能力不够强。自主可控是确保网络安全的必要条件。目前,我国在网信领域(如芯片和基础软件等方面)仍存在一些短板。芯片方面,其短板在于制造工艺、装备、材料、设计工具等方面。以AI芯片为例,我国起步晚,在算法方面缺乏原始创新,目前仍依赖进口。基础软件方面,操作系统大部分依赖Windows,国产操作系统很少;大型工业基础软件,如集成电路涉及软件基本上是进口,自主研发的较少。我国亟需“扬长处,补短板”,努力突破“卡脖子”问题,提升自主可控能力,保障网络安全。
网络空间竞争加剧,网络安全人才供需失衡。其一,网络安全攻防实战人才不足。当前,我国网络安全领域人才不足,已成为阻碍我国产业发展的主要因素,特别是实战型人才培养方面,存在显著的需求缺口。据《网络安全人才实战能力白皮书》调查数据显示,“到2027年,我国网络安全人员缺口将达327万,而高校人才培养规模为3万/年,许多行业面临着网络安全人才缺失的困境”。此外,由于高校缺乏实战环境,过于注重理论知识传授而轻视实践能力培养,所培养的网络安全人才往往无法迅速融入实际工作,高达92%的企业认为自己缺乏网络安全实战人才。攻防实战人才必须具备在实际业务环境中,利用网络安全技术和工具进行安全监督和解析、危险度评估或风险评估与衡量、渗透测试事件研判等业务能力,这对网络安全攻防实战人才的培养路径提出了高标准、高要求。
其二,缺乏网络安全人才发展规划。随着全球信息化进程的推进,众多国家已经认识到网络安全的重要性,并纷纷制定国家网络安全战略。然而,相较于美国等发达国家在网络安全人才培养方面的系统性和层次性,我国在这方面起步较晚。尽管我国已经发布了一些网络安全战略规划文件,强调了人才培养的重要性,但总体上来说,仍缺乏网络安全人才培养的整体规划和顶层设计。相比之下,美国已具备领先的网络人才战略和体系,并发布了《国家网络人才和教育战略》,旨在推动政府、企业、学校和其他组织在人才培养和发展领域的改革,以适应当前和未来的网络人才需求,将对国际网络安全产生深远影响,同时,也给我国的网络安全人才培养战略带来了挑战。
国际竞争新格局带来新考验。其一,网络空间国际规则尚未形成共识。在网络安全事件和局部地区冲突风险相互交织的背景下,网络空间国际规则的模糊性和不确定性加剧。2022年,国际地缘政治冲突加剧,俄乌陷入“拉锯战”,中美博弈更加激烈,在网络空间主权、全球网络产品和服务供应链以及数据跨境流动等方面,可能面临新一轮的规则和格局调整。我国正面临国际网络空间规则、信息技术产业等领域更为严峻和复杂的竞争态势,这给我国参与和主导网络空间规则制定带来了新的挑战。
其二,全球网络空间安全机制尚未形成。在数字时代,信息技术为人们生活带来便捷的同时,也为网络犯罪全球化和产业化创造了条件。当前阶段,全球面临着网络霸权、网络犯罪和数据泄露等问题的严峻挑战,深刻影响着各国和地区的政治、经济、社会和文化等各个方面。金融、交通、能源三大关键基础设施领域成为网络攻击重灾区,安全态势严峻,其中34%的网络攻击都发生在金融领域。鉴于网络犯罪具有隐蔽性和跨国性,更容易逃避监管,传统的国际刑事司法协助机制程序复杂、过程冗长、条件严苛,已经无法适应现实需求。然而,新型的网络空间国际规则制定工作尚未取得突破性进展。
四、新时代下筑牢网络安全屏障的对策建议
多措并举加强网络安全管理。一是健全法律法规建设。建立健全网络安全的法律保障体系,强化数据分类分级保护、数据安全审查、数据出境管理等制度措施,提高网络数据监测预警和应急处置能力,维护网络空间秩序。二是要加强网络安全监管。不断创新和落实我国网络安全战略,实现权责明确的多部门联动结合监管和合作协调,提高跨部门的网络安全响应能力,加强网络安全监管工作。开展网络设备日常巡检和自查,及时采取措施堵塞安全风险漏洞,查漏补缺、减少风险点,维护计算机及网络基础设施安全,确保网络安全。
科技赋能推动网络安全发展。一是加强技术创新,提升自主可控能力。加强数字技术创新,实现网络安全关键技术自主可控,是筑牢数字中国安全屏障的底气所在。要加强网络安全核心技术的自主研发,提升我国国产网络安全产品质量,加强先进安全产品和技术创新,进一步提高科技转化运用能力,加强人工智能技术、区块链等新一代信息技术的应用转化,形成价值闭环,保证相关技术创新的持续推进。二是坚持科技向善,针对新场景加强科技治理。依据电信网络诈骗技术迭代升级等特点,打通数据壁垒,通过“反诈大数据法律监督模型”,对涉诈网址、域名、App等黑灰产违法犯罪进行溯源治理;针对数字藏品、数字身份等跨平台流通和持久存续的迫切需求,推动区块链底层框架适配互通,打造区块链公用基础设施,支撑形成自主可控、全国一体、流通顺畅、全程追溯的分布式数字凭证技术应用体系。
提升全民全社会网络安全素养。一是制定人才专项计划。通过明确培养目标、优化培养方式,有计划、有目的地推进和实施网络安全人才培养工作。高校是网络安全人才培养的主阵地,要以目标为导向,依托学校教育系统开展扎实的基础知识教育,通过专项培训活动促进领域专业人才的培养,通过高水平的行业竞赛发现和培养特殊人才,以“硬实力”打造一支具有全球竞争力的网络安全团队。二是加强网络安全宣传。一方面,完善网络安全工作机制。定期组织网络安全工作者学习网络相关法律知识;积极开展网络安全应急处置应急演练,推进构建网络安全工作体系;开展网络安全风险点摸排,强化重要数据安全和个人信息保护意识,切实维护网络信息安全。另一方面,加强社会网络安全教育。促进政府、企业和社会各界对网络安全宣传的共同参与及配合,着力提高公众的网络安全意识和技能水平。除了利用传统的电视、报纸和杂志等媒体,还可充分利用社交网络、视频平台、移动应用等新媒体渠道,向公众传递网络安全知识和信息。
推动国际网络安全多元化合作。一是积极开展国际合作,共同应对网络安全问题。加强对话,共同构建网络安全命运共同体。加强国际网络问题的信息共享及在网络安全技术和管理工作方面的沟通与合作,积极汲取其他国家的成功经验和技术,主动争取网络空间的主导权和话语权。在保证公开、公正的前提下,持续开展交流合作,共促技术发展,并致力于完善全球网络安全治理。二是加强网络犯罪综合防治体系,积极推进网络安全合作关系的机制建设和平台建设,充分整合资源,共同打击网络洗钱、勒索、贩毒等犯罪行为。鉴于网络犯罪相比于传统犯罪更易于逃避监管,执法机关应积极开展国际合作,与相关国家和地区建立制度化、常态化的合作机制,共同打击网络犯罪。
(本文系国家社会科学基金重大项目“智慧城市智能数据治理创新机制研究”和国家自然科学基金重点项目“智能物联网系统自进化统一安全机制”的阶段性成果,项目批准号分别为:22&ZD153、61832012;来源:《人民论坛·学术前沿》2023年10月下;作者:单志广 国家信息中心信息化和产业发展部主任、研究员)