我國亟需加快構(gòu)建網(wǎng)絡(luò)安全彈性體系

我國亟需加快構(gòu)建網(wǎng)絡(luò)安全彈性體系隨著信息技術(shù)的發(fā)展和數(shù)字化應(yīng)用的不斷深入，網(wǎng)絡(luò)空間邊界逐漸擴(kuò)大，且已滲透到人類生產(chǎn)生活的各個(gè)方面。當(dāng)前網(wǎng)絡(luò)系統(tǒng)預(yù)防、承受、恢復(fù)和適應(yīng)不利條件、壓力、攻擊或危害的能力和效率遇到極大挑戰(zhàn)，構(gòu)建能夠有效應(yīng)對上述沖擊且具有靈活敏英國和歐盟為首的主要國家和地區(qū)聚焦該領(lǐng)域紛紛出臺(tái)重磅文件，從政策標(biāo)準(zhǔn)、監(jiān)管架構(gòu)、市場投資、人才培養(yǎng)和協(xié)同合作等方面加快部署建設(shè)。賽迪研究院網(wǎng)絡(luò)安全研究所認(rèn)為，我國正值網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和法治建設(shè)的關(guān)鍵期，應(yīng)前瞻布局并加快構(gòu)建靈活敏捷、穩(wěn)定高效的網(wǎng)絡(luò)安全彈性體系，切實(shí)提升數(shù)字經(jīng)濟(jì)時(shí)代的網(wǎng)絡(luò)安全保障能力。一、美國、歐盟和英國出臺(tái)政策，布局網(wǎng)絡(luò)安全彈性建設(shè)（一）美國聚焦未來網(wǎng)絡(luò)安全生態(tài)，從投資、市場和技術(shù)等方面加大投入建設(shè)彈性體系20235（2320221月發(fā)布的《基礎(chǔ)設(shè)施彈立關(guān)鍵基礎(chǔ)設(shè)施快速恢復(fù)應(yīng)急機(jī)制制定框架。（二）歐盟著眼于網(wǎng)絡(luò)設(shè)施復(fù)原能力，從標(biāo)準(zhǔn)和程序方面緊前制定彈性規(guī)范1259（三）英國圍繞國家網(wǎng)絡(luò)安全戰(zhàn)略，加快構(gòu)建政府、國防等彈性框架2021122022（以202202212022-20302030年前須針對202257大優(yōu)先事項(xiàng)及其實(shí)現(xiàn)途徑。二、國外網(wǎng)絡(luò)安全彈性建設(shè)的特點(diǎn)（一）精簡管理流程，加強(qiáng)靈活敏捷性美國：美國《戰(zhàn)略2023》要求理順和精簡新的和現(xiàn)行法規(guī)，最大限度地降低合規(guī)成本負(fù)擔(dān)，靈活制定網(wǎng)絡(luò)安全法規(guī)，在攻擊者提高能力或改變戰(zhàn)術(shù)時(shí)有足夠的敏捷性應(yīng)對。鼓勵(lì)監(jiān)管機(jī)構(gòu)推動(dòng)采用安全設(shè)計(jì)原則，優(yōu)先考慮服務(wù)的可用性，確保系統(tǒng)自由應(yīng)對并快速恢復(fù)，優(yōu)化情報(bào)收集和瓦解威脅風(fēng)險(xiǎn)的效率。歐盟：2020年12月，歐盟委員會(huì)提出一項(xiàng)關(guān)鍵實(shí)體彈性指令提案，針對能源、運(yùn)輸、金融和衛(wèi)生等領(lǐng)域基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，要求減輕會(huì)員國的總體負(fù)擔(dān)，計(jì)劃通過提出新的框架確保靈活性，使實(shí)體能夠隨著時(shí)間的推移應(yīng)對不同的風(fēng)險(xiǎn)。英國：在《政府網(wǎng)絡(luò)安全戰(zhàn)略2022-2030》中，針對網(wǎng)絡(luò)彈網(wǎng)絡(luò)執(zhí)法單位、網(wǎng)絡(luò)保護(hù)單位和區(qū)域網(wǎng)絡(luò)恢復(fù)中心，以提高管理單位在設(shè)施面對風(fēng)險(xiǎn)時(shí)的恢復(fù)效率。（二）擴(kuò)大監(jiān)管范圍，延伸安全責(zé)任主體美國2023使用、傳輸和維護(hù)數(shù)據(jù)的處理主體制定強(qiáng)有力的明確要求，讓數(shù)據(jù)管理者負(fù)起責(zé)任。歐盟：《網(wǎng)絡(luò)彈性法案》將監(jiān)管范圍擴(kuò)大到了所有數(shù)字產(chǎn)品供應(yīng)商（涵蓋了所有硬件和軟件，將具有數(shù)字元素產(chǎn)品的制造商和開發(fā)商納入通用網(wǎng)絡(luò)安全規(guī)則管理范籌。該法案根據(jù)產(chǎn)品存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的相關(guān)級別，將其分為三類“具有數(shù)字元素的關(guān)鍵產(chǎn)品”，要求制造商在產(chǎn)品的整個(gè)生命周期內(nèi)對網(wǎng)絡(luò)安全負(fù)責(zé)。英國：《國防網(wǎng)絡(luò)彈性戰(zhàn)略》提出，要將數(shù)字環(huán)境的各個(gè)部分都納入對網(wǎng)絡(luò)攻擊的固有保護(hù)和抵御能力中，安全防御要貫穿整個(gè)網(wǎng)絡(luò)安全生命周期，供應(yīng)商應(yīng)定期更新和維護(hù)網(wǎng)絡(luò)安全。（三）鼓勵(lì)多方協(xié)作，打破公私國界合作壁壘一是鼓勵(lì)公私合作2023提供商等私營部門的戰(zhàn)略合作。管理單位必須協(xié)調(diào)與私營部門和州、地方、部落等合作伙伴的關(guān)系，并密切關(guān)注聯(lián)邦政府的應(yīng)對20222023之前，美國已成立由學(xué)術(shù)、私營行業(yè)、政府和專業(yè)協(xié)會(huì)專家組成2022將制訂計(jì)劃將網(wǎng)絡(luò)彈性基金與行業(yè)聯(lián)系起來。20232022可以調(diào)查和破壞網(wǎng)絡(luò)威脅以建立彈性。（四）關(guān)注人員培養(yǎng)，激勵(lì)主動(dòng)防護(hù)能力提升2023略》要求培養(yǎng)國防網(wǎng)絡(luò)專家骨干，最大限度地實(shí)施軍事網(wǎng)絡(luò)專家的統(tǒng)一職業(yè)管理，同時(shí)將整個(gè)部隊(duì)的強(qiáng)制性培訓(xùn)納入網(wǎng)絡(luò)安全和彈性內(nèi)容范疇。二是提高應(yīng)用方的參與度和專業(yè)性。美國在《加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施彈性的研發(fā)需求和戰(zhàn)略行動(dòng)》中強(qiáng)調(diào)，聯(lián)邦機(jī)構(gòu)、安全產(chǎn)品供應(yīng)商與用戶必須共同創(chuàng)造知識，以提高研發(fā)與創(chuàng)新對社區(qū)層面提出，企業(yè)應(yīng)提供有關(guān)的分析方法，以提高相關(guān)工作人員對社區(qū)基礎(chǔ)設(shè)施系統(tǒng)的理解。歐盟認(rèn)為，要幫助歐盟成員國用戶提高網(wǎng)絡(luò)安全能力以提高網(wǎng)絡(luò)安全復(fù)原力。英國《國防網(wǎng)絡(luò)彈性戰(zhàn)略》強(qiáng)調(diào)，每個(gè)參與者都是網(wǎng)絡(luò)防御的一部分，要培養(yǎng)相關(guān)人員的基本網(wǎng)絡(luò)安全技能，培訓(xùn)和教育相關(guān)人員做一名合格的維護(hù)網(wǎng)絡(luò)彈性的參與者，提高專業(yè)人員的熟練程度。網(wǎng)絡(luò)安全防護(hù)方面廣泛采用人工智能等新興技術(shù)。英國倡導(dǎo)相關(guān)人員積極參與實(shí)驗(yàn)、研究和創(chuàng)新，推動(dòng)未來防御性網(wǎng)絡(luò)能力概念的開發(fā)、分析和測試，不斷提高網(wǎng)絡(luò)彈性，提升行業(yè)設(shè)計(jì)的未來安全防御能力。三、幾點(diǎn)思考（一）完善法規(guī)制度，提高監(jiān)管靈活性目前我國相關(guān)法律法規(guī)在實(shí)際使用中尚未形成聯(lián)動(dòng)，缺乏靈活性，面對網(wǎng)絡(luò)數(shù)字技術(shù)應(yīng)用場景的不斷增多，現(xiàn)有法律法規(guī)和監(jiān)管力度難以全面兼顧。為此，應(yīng)做好制度設(shè)計(jì)，有機(jī)協(xié)調(diào)部門管理權(quán)限和能力，整合安全監(jiān)管力量，保留安全防范靈活處置空間?？山梃b美國、歐洲等國家和地區(qū)做法，出臺(tái)我國網(wǎng)絡(luò)彈性建例如，在各地設(shè)置專門的網(wǎng)絡(luò)執(zhí)法、恢復(fù)中心等，提升網(wǎng)絡(luò)安全運(yùn)營效率和敏捷性。（二）細(xì)化產(chǎn)品要求，壓實(shí)供應(yīng)商責(zé)任當(dāng)前，我國網(wǎng)絡(luò)安全法律規(guī)定了網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合國家相關(guān)標(biāo)準(zhǔn)的強(qiáng)制性要求，制定了等級保護(hù)、專用網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)品廣泛納入安全管理范圍，構(gòu)建網(wǎng)絡(luò)安全產(chǎn)品供給服務(wù)資源池，分類分級做好監(jiān)督管理。（三）加強(qiáng)用戶安全意識，鼓勵(lì)彈性技術(shù)創(chuàng)新網(wǎng)絡(luò)安全防護(hù)不應(yīng)完全依賴廠商和產(chǎn)品，當(dāng)前用戶單位普遍缺乏既懂專業(yè)知識也懂網(wǎng)絡(luò)安全的人才。應(yīng)強(qiáng)化針對應(yīng)用單位網(wǎng)絡(luò)安全人才培養(yǎng)、考核的措施和標(biāo)準(zhǔn)，定期開展安全人才培訓(xùn)考核，加強(qiáng)實(shí)戰(zhàn)演練，提高用戶單位和產(chǎn)品使用人員的網(wǎng)絡(luò)安全能力和意識，使其在遇到安全風(fēng)險(xiǎn)和攻擊時(shí)，能夠快速有效地預(yù)警處置，避免危害擴(kuò)大。應(yīng)從政策端、應(yīng)用端和金融端多措并舉，鼓勵(lì)安全產(chǎn)品供應(yīng)商加強(qiáng)安全彈性關(guān)鍵技術(shù)研發(fā)攻關(guān)，提高安全隔離、偵擦檢測、異構(gòu)冗余等技術(shù)能力，增強(qiáng)主動(dòng)防御、監(jiān)測能力，提高快速恢復(fù)的能力。（四）深化多方開放合作，構(gòu)建安全供應(yīng)鏈體系積極推動(dòng)政府與安全產(chǎn)業(yè)、金融行業(yè)等多元和有機(jī)合作，探索新的政企合作模式，