网信安全政策动态_贵重.pdf

1、28 2023年2月 第 2 期（第36卷 总第307期）月刊电信工程技术与标准化 专 栏 网信安全政策动态贵重，何鹏，何瑛，刘畅，李云翔，杜鹃，杜雅端（中国移动通信集团有限公司，北京 100053）【专栏介绍】中华人民共和国国家安全法规定，要“坚持总体国家安全观”，“统筹传统安全和非传统安全”。网信安全作为总体国家安全观中非传统安全的重要组成部分，与其他领域安全相互交融、相互影响。中国移动网安观察智库密切追踪近期国内外网信安全政策法律动态、技术热点焦点，积极研判网络安全产业整体发展态势，提出相关建议，力求在网络安全领域提供有价值的信息参考。一、网安聚焦：美国提升太空网络安全能力，构建太空网络

2、安全框架近期，国际社会发生多起针对卫星地面和太空基础设施的攻击。在俄乌冲突中，覆盖乌克兰的美国卫星运营商 Viasat 受到网络攻击，导致多家卫星互联网运营商服务中断。黑客组织 Killnet 宣称对星链（Starlink）卫星宽带服务进行网络攻击，导致其服务关闭数小时。美国在太空网络安全体系和能力建设方面起步较早，陆续发布了系列政策文件和标准规范，初步搭建了太空网络安全框架，其在太空领域网络安全能力发展方面的经验做法，对于应对太空网络安全问题、提高通信安全能力具有借鉴意义。（一）政策文件2020 年 9 月，美国发布了首份针对太空系统的网络安全政策文件，即太空系统网络安全原则1，建立了针对外

3、太空和近太空系统的网络安全原则。具体内容如下。一是应使用已完成网络安全风险排查的工程，对太空系统及其基础设施进行开发和运行。二是太空系统管理者应制定网络安全计划，确保太空飞行器仅在预定时间执行授权端发送的命令。三是相关部门应执行太空系统网络安全原则，制定相应规则条例和行为规范。四是太空系统所有者和经营者应在法律允许范围1 太空系统网络安全原则，Space Policy Directive-5。DOI:10.13992/ki.tetas.2023.02.01529 2023年2月 第 2 期（第36卷 总第307期）月刊电信工程技术与标准化 专 栏2 商业卫星运营网络安全导论，Introduct

4、ion to Sybersecurity for Commercial Satellite Operation。3基础 PNT 概述：应用网络安全框架以负责地使用定位、导航、授时服务，Foundational PNT Profile:Applying Sybersecurity Framework for the Responsible Use of Positioning，Navigation and Timing(PNT)Services。PNT 即定位、导航和授时。4网络安全框架：应用于卫星地面部分，Satellite Ground Segment:Applying the Cybers

5、ecurity Framework to Satellite Command and Control。5 卫星是由有效载荷和卫星总线组成的在轨资产。有效载荷执行卫星的任务功能。卫星总线承载有效载荷并为其提供电力、热控制和通信能力。内开展合作，共享信息和风险警告。五是太空系统执行者应根据特定任务要求，在太空系统风险容忍度范围内减少不必要的负担。（二）标准规范一般来说，太空系统由空间部分、用户部分和地面部分组成。空间部分主要包括卫星平台和卫星有效载荷，共同为用户提供通信、导航等卫星服务。用户部分由各类型用户站构成，用户站与卫星建立用户链路，使用导航、通信等卫星服务。地面部分包括卫星测控中心、各类测

6、控站以及运维管控中心等，主要负责对卫星平台及整个系统进行管理、调度与控制，是整个系统的控制中枢。自 2020 年开始，美国国家标准与技术研究院（NIST）陆续针对太空系统的空间部分、用户部分和地面部分，分别制定网络安全规范文件，例如商业卫星运营网络安全导论2、基础 PNT 概述：应用网络安全框架以负责地使用定位、导航、授时服务3等。由于尺寸、重量和功能的限制，在卫星的空间部分无法实施某些网络安全控制措施，因此卫星地面部分的网络安全显得更为重要。2022年1月3日，NIST发布 网络安全框架：应用于卫星地面部分4。该框架可以帮助拥有或运营空间系统的组织，确定与空间飞行器总线和有效载荷5的指挥和控

7、制有关的系统和流程，识别威胁，保护系统，检测保密性、完整性或可用性的损失，应对事故，并从异常情况中迅速恢复，包括识别、保护、检测、响应和恢复 5 个核心功能。识别功能是有效使用网络安全框架的基础，包括确认组织的任务和业务目标，识别威胁环境、资产和脆弱性。保护功能需要制定和实施适当的保障措施，以确保提供关键基础设施服务。检测功能涉及开发和部署适当的活动，以监测异常事件并及时通知用户和应用程序。响应功能是指采取适当措施对网络安全事件采取应对行动。恢复功能是使用经过验证的恢复程序，将地面段的服务恢复至适当工作状态，以确保相关系统正常运行。（三）启示思考一是完善政策标准体系。为适应太空网络安全的新形势

8、新要求，建议针对太空网络安全特点，研究制定太空网络安全政策法规，明确标准规范，指导相关部门开展太空网络安全能力建设。二是加快提升自主创新能力。太空网络安全为交叉领域，建议着眼关键技术和主要瓶颈，大力推进零信任、区块链、人工智能、内生安全等新兴技术的研究和部署，研究完善太空系统网络内生安全防御性能的安全机制。三是整体强化综合保护水平。建议加强立体化太空网络安全监测预警与应急处置工作体系建设，完善太空网络威胁情报共享机制，密切追踪新型太空网络攻击手段，定期开展应急演练，强化风险防范与实战应对能力。二、美国和日本签署新版网络安全合作备忘录【内容简介】2023 年 1 月 6 日，美国与日本签署了新版

9、网络安全合作备忘录，以应对日益复杂和持续增30 2023年2月 第 2 期（第36卷 总第307期）月刊电信工程技术与标准化 专 栏加的网络攻击。美国国土安全部发布消息称，“该备忘录将有助于相关部门加强业务合作，提高关键基础设施安全水平，扩大合作机会，并继续与亚太地区合作伙伴分享先进经验。”备忘录的具体文本并未对外公开发布。据外媒报道，备忘录主要内容为美国国土安全部和日本经济产业省将推进运营合作，提高工控系统的安全性，开展能力建设合作，协调与网络安全有关的法规适用等。根据备忘录，两国将在政府软件采购上引入相同级别的安全标准，建立专门系统，从软件供应商处获取网络安全相关信息，以降低网络攻击损害与

10、风险。【点评分析】备忘录的签署是日本国家安全战略调整6后，美日在网络领域合作的第一步。美日通过新版网络安全合作备忘录，将构建起覆盖范围更广的制度化网络安全合作体系，通过对接政策法规、协调制度执行、推广网络安全技术标准和操作实践等方式，不断加强在网络空间的协同合作，并以保障国家安全为名，有针对性地强化网军建设与能力提升，巩固扩大其在亚太地区的网络空间影响力。三、工信部等十六部门联合发布关于促进数据安全产业发展的指导意见【内容简介】2023 年 1 月 13 日，工业和信息化部、国家互联网信息办公室、国家发展和改革委员会等十六部门联合印发关于促进数据安全产业发展的指导意见（以下简称指导意见），共

11、9 章 19 条。主要内容包括三方面。一是明确数据安全产业的内涵。数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态。二是明确数据安全产业的发展目标。到 2025 年，数据安全产业基础能力和综合实力明显增强。到2035年，数据安全产业进入繁荣成熟期，对数字中国建设和数字经济发展的支撑推动作用大幅提升。三是明确促进数据安全产业发展的内外部要素。内在要素包括 7 项，即提升产业创新能力、壮大数据安全服务、推进标准体系建设、推广技术产品应用、构建产业繁荣生态、强化人才供给保障和深化国际合作交流。外在要素包括加强组织领导、加大政策支持和优化发展环境等 3 项。【点评分析】2022 年 12 月，中央发布关于构建数据基础制度更好发挥数据要素作用的意见，提出强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程。基于此，指导意见聚焦数据安全保护及相关数据资源开发利用需求，构建了数据安全产业顶层制度，对加速数据要素市场培育和价值释放具有重要意义。建议相关企业强化数据安全防护技术，创新数据安全产品与服务，拓展新型数据应用场景，推动数据安全产业高质量发展。6 2022 年 12 月 16 日，日本政府发布新版国家安全保障战略。具体内容详见网信安全政策动态2023 年第 1 期。