我国亟需加快构建网络安全弹性体系（网安所）.pdf

1、1-2023 年 8 月 21 日 第2023 年 8 月 21 日 第4040期 总第 828 期期 总第 828 期 我国亟需加快构建网络安全弹性体系 我国亟需加快构建网络安全弹性体系 随着信息技术的发展和数字化应用的不断深入，网络空间边界逐渐扩大，且已渗透到人类生产生活的各个方面。当前网络系统预防、承受、恢复和适应不利条件、压力、攻击或危害的能力和效率遇到极大挑战，构建能够有效应对上述冲击且具有灵活敏捷、高可靠特性的网络安全弹性体系势在必行。基于此，以美国、英国和欧盟为首的主要国家和地区聚焦该领域纷纷出台重磅文件，从政策标准、监管架构、市场投资、人才培养和协同合作等 -2-方面加快部署

2、建设。赛迪研究院网络安全研究所认为，我国正值网络安全基础设施和法治建设的关键期，应前瞻布局并加快构建灵活敏捷、稳定高效的网络安全弹性体系，切实提升数字经济时代的网络安全保障能力。一、美国、欧盟和英国出台政策，布局网络安全弹性建设（一）美国聚焦未来网络安全生态，从投资、市场和技术等方面加大投入建设弹性体系 一、美国、欧盟和英国出台政策，布局网络安全弹性建设（一）美国聚焦未来网络安全生态，从投资、市场和技术等方面加大投入建设弹性体系 2023 年 5 月，美国白宫发布国家网络安全战略（以下简称美国战略 2023），以“通向具有弹性的网络空间之路”为目标，旨在建立一个“可防御、有弹性”的数字生态系统

3、该战略提出的五大支柱中有两个都聚焦网络安全弹性建设，即塑造市场力量以推动安全弹性；以投资打造富有弹性的未来。同月，美国网络安全和基础设施安全局发布加强关键基础设施弹性的研发需求和战略行动，要求从技术与创新角度提高关键基础设施安全性和恢复力。该战略与美国 2022 年 1 月发布的基础设施弹性规划框架相匹配，用于摸底关键基础设施的安全弹性，为建立关键基础设施快速恢复应急机制制定框架。-3-（二）欧盟着眼于网络设施复原能力，从标准和程序方面紧前制定弹性规范（二）欧盟着眼于网络设施复原能力，从标准和程序方面紧前制定弹性规范 2021 年 12 月，欧盟委员会发布了新版网络安全战略，提出五项基本目标

4、首要目标即实现网络弹性。此外，还同步发布 关键设施弹性指令，设定了关键设施复原力国家战略，组建了关键设施复原力小组。2022 年 5 月，欧盟委员会通过网络团结法案，重点阐述了面对重大网络攻击时，如何提高欧盟成员国的网络弹性能力。2022 年 9 月，欧盟委员会发布提案网络弹性法案，对包括软件在内的所有联网设备提出了基线网络安全标准要求，对关键产品提出更严格的符合性评定程序，旨在整合现有网络安全监管框架，提高网络安全弹性，加强数字产品网络安全。（三）英国围绕国家网络安全战略，加快构建政府、国防等弹性框架（三）英国围绕国家网络安全战略，加快构建政府、国防等弹性框架 英国 2021 年 12 月

5、颁布了国家网络空间战略 2022 版（以下简称英国战略 2022），将网络弹性列为五大支柱之一，提出要建设一个弹性和繁荣的数字英国。2022 年 1 月颁布了政府网络安全战略 2022-2030，要求所有政府机构于 2030 年前须针对-4-已知的漏洞和攻击方法完成弹性能力建设。2022 年 5 月，英国国防部发布的 国防网络弹性战略 提出要建立国防弹性网络体系，并确立了 7 大优先事项及其实现途径。二、国外网络安全弹性建设的特点（一）精简管理流程，加强灵活敏捷性 美国二、国外网络安全弹性建设的特点（一）精简管理流程，加强灵活敏捷性 美国：美国战略 2023要求理顺和精简新的和现行法规，最大限

6、度地降低合规成本负担，灵活制定网络安全法规，在攻击者提高能力或改变战术时有足够的敏捷性应对。鼓励监管机构推动采用安全设计原则，优先考虑服务的可用性，确保系统自由应对并快速恢复，优化情报收集和瓦解威胁风险的效率。欧盟欧盟：2020 年 12 月，欧盟委员会提出一项关键实体弹性指令提案，针对能源、运输、金融和卫生等领域基础设施网络安全防护，要求减轻会员国的总体负担，计划通过提出新的框架确保灵活性，使实体能够随着时间的推移应对不同的风险。英国英国：在政府网络安全战略 2022-2030中，针对网络弹性建设，要求以给政府组织带来最小负担为原则，专注于保护用户数字环境、防止攻击、服务基本的安全性。在各地

7、建立专门的-5-网络执法单位、网络保护单位和区域网络恢复中心，以提高管理单位在设施面对风险时的恢复效率。（二）扩大监管范围，延伸安全责任主体 美国（二）扩大监管范围，延伸安全责任主体 美国：美国战略 2023要求将网络风险责任从用户侧转向系统拥有者、运营者和技术供应商。将立法规定软件产品和服务的责任，与联邦机构的网络安全合同要求标准化。同时，对收集、使用、传输和维护数据的处理主体制定强有力的明确要求，让数据管理者负起责任。欧盟欧盟：网络弹性法案将监管范围扩大到了所有数字产品供应商（涵盖了所有硬件和软件），将具有数字元素产品的制造商和开发商纳入通用网络安全规则管理范筹。该法案根据产品存在网络安全

8、风险的相关级别，将其分为三类“具有数字元素的关键产品”，要求制造商在产品的整个生命周期内对网络安全负责。英国英国：国防网络弹性战略提出，要将数字环境的各个部分都纳入对网络攻击的固有保护和抵御能力中，安全防御要贯穿整个网络安全生命周期，供应商应定期更新和维护网络安全。-6-（三）鼓励多方协作，打破公私国界合作壁垒 一是鼓励公私合作（三）鼓励多方协作，打破公私国界合作壁垒 一是鼓励公私合作。美国战略 2023要求扩大公私合作规模，将建立机制使联邦政府加强和深化与软件、硬件及管理服务提供商等私营部门的战略合作。管理单位必须协调与私营部门和州、地方、部落等合作伙伴的关系，并密切关注联邦政府的应对举措。

9、欧盟网络安全战略提出要打破公私部门间的信息壁垒，引入产业合作，加强协调反应能力。英国战略 2022将通过制定一些对网络安全有效的激励措施，推动公私合作行为的调整，在政府、企业和组织之间建立更加密切的伙伴关系。国防网络弹性战略提出，要在政策允许的情况下积极与政府、盟友和伙伴合作建立相互支持的网络弹性。二是鼓励跨行业协作。二是鼓励跨行业协作。美国战略 2023提出，弹性生态体系的建设需要政府、盟友和合作伙伴划时代的、有针对性的投资。之前，美国已成立由学术、私营行业、政府和专业协会专家组成的弹性投资规划和发展工作组。英国战略 2022提出，将更多地与市场影响者尤其是金融机构、投资者、审计和保险公司合

10、作，激励整个经济体的良好网络安全实践。国防弹性战略提出，-7-将制订计划将网络弹性基金与行业联系起来。三是鼓励国际合作。三是鼓励国际合作。美国 战略 2023 提出了几个重要理念，拓展开放、自由、全球化、可互操作和可靠安全的互联网，促进全球市场竞争。提升国际合作伙伴的能力，努力将供应链转移到伙伴国家和值得信赖的供应商那里。欧盟网络团结法案重点强调，要加强会员国之间的团结，提高危机管理和应对能力。网络弹性法案为进入欧盟市场的运营商创造了更可行的条件。英国战略 2022提出，要更积极主动地与盟友和伙伴合作，促使英国的国际合作伙伴拥有更强的能力、政治决心、治理和系统，可以调查和破坏网络威胁以建立弹性

11、四）关注人员培养，激励主动防护能力提升 一是强化专业人才组织培养。（四）关注人员培养，激励主动防护能力提升 一是强化专业人才组织培养。美国战略 2023提出，要不断扩充网络人才队伍，解决经济部门对网络安全专业知识需求，以及满足保护信息基础设施的要求。欧盟委员会针对网络安全弹性提交了一份网络安全技能学院建设提案，旨在缩小网络安全人才缺口，并认为增强人才欧洲网络弹性和恢复能力的先决条件是增加欧盟熟练网络安全专业人员的数量。英国国防网络弹性战-8-略要求培养国防网络专家骨干，最大限度地实施军事网络专家的统一职业管理，同时将整个部队的强制性培训纳入网络安全和弹性内容范畴。二是提高应用方的参与度和专

12、业性。二是提高应用方的参与度和专业性。美国在加强关键基础设施弹性的研发需求和战略行动中强调，联邦机构、安全产品供应商与用户必须共同创造知识，以提高研发与创新对社区层面基础设施行动的相关性和适用性。新版 基础设施弹性规划框架提出，企业应提供有关的分析方法，以提高相关工作人员对社区基础设施系统的理解。欧盟认为，要帮助欧盟成员国用户提高网络安全能力以提高网络安全复原力。英国国防网络弹性战略强调，每个参与者都是网络防御的一部分，要培养相关人员的基本网络安全技能，培训和教育相关人员做一名合格的维护网络弹性的参与者，提高专业人员的熟练程度。三是鼓励主动提升安全能力。三是鼓励主动提升安全能力。美国将优先投资

13、具有安全性和弹性设计的产品和服务，优先为全生命周期安全与弹性研究、开发和演示的项目和供应商提供资金。欧盟则通过地平线研发框架计划等，加大前沿战略性技术领域的研发投入，激励公私部门在-9-网络安全防护方面广泛采用人工智能等新兴技术。英国倡导相关人员积极参与实验、研究和创新，推动未来防御性网络能力概念的开发、分析和测试，不断提高网络弹性，提升行业设计的未来安全防御能力。三、几点思考（一）完善法规制度，提高监管灵活性 三、几点思考（一）完善法规制度，提高监管灵活性 目前我国相关法律法规在实际使用中尚未形成联动，缺乏灵活性，面对网络数字技术应用场景的不断增多，现有法律法规和监管力度难以全面兼顾。为此，

14、应做好制度设计，有机协调部门管理权限和能力，整合安全监管力量，保留安全防范灵活处置空间。可借鉴美国、欧洲等国家和地区做法，出台我国网络弹性建设指南。针对安全风险保障效率，尝试设置独立的协调管理机构，例如，在各地设置专门的网络执法、恢复中心等，提升网络安全运营效率和敏捷性。（二）细化产品要求，压实供应商责任（二）细化产品要求，压实供应商责任 当前，我国网络安全法律规定了网络产品、服务应当符合国家相关标准的强制性要求，制定了等级保护、专用网络安全产品-10-清单等。但在安全产品提供方责任方面缺乏明确划分，安全供应链产品保障能力评估标准缺失，导致惩罚追责要求难以落实，不少产品厂商在完成项目建设和交付

15、后便不再更新安全能力，致使保障效果下降。应完善针对产品服务商的安全管理政策法规，加快制定统一、多元的网络安全产品标准，将涉及数据应用场景的产品广泛纳入安全管理范围，构建网络安全产品供给服务资源池，分类分级做好监督管理。（三）加强用户安全意识，鼓励弹性技术创新（三）加强用户安全意识，鼓励弹性技术创新 网络安全防护不应完全依赖厂商和产品，当前用户单位普遍缺乏既懂专业知识也懂网络安全的人才。应强化针对应用单位网络安全人才培养、考核的措施和标准，定期开展安全人才培训考核，加强实战演练，提高用户单位和产品使用人员的网络安全能力和意识，使其在遇到安全风险和攻击时，能够快速有效地预警处置，避免危害扩大。应从政策端、应用端和金融端多措并举，鼓励安全产品供应商加强安全弹性关键技术研发攻关，提高安全隔离、侦擦检测、异构冗余等技术能力，增强主动防御、监测能力，提高快速恢复的能力。-11-（四）深化多方开放合作，构建安全供应链体系（四）深化多方开放合作，构建安全供应链体系积极推动政府与安全产业、金融行业等多元和有机合作，探索新的政企合作模式，集中突破安全关键技术能力，增强常态化防护水平。持续加强双边、多边国际对话合作，比如，依托一带一路、上海合作组织、中国中东欧国家、中国中亚五国、金砖国家等国际合作平台，不断深化网络安全国际交流合作，构建安全且富有弹性的网络安全供应链合作伙伴体系。