伴随各行各业拥抱数字化转型的速度不断加快,物联网、大数据、云计算、AI、区块链等技术不断落地应用,信息网络安全的重要性正在持续提高。为此,国内外相继推出加强信息安全的法案。业内人士指出,信息安全正面临着前所未有的新挑战,我国网络安全法规体系建设亟待完善。
全球网络信息安全事件频现
自2018年以来,网络信息安全事件频发。从肆虐爆发的勒索病毒GlobeImposter 家族、Facebook5000万用户数据遭泄、新加坡保健集团遭网络攻击,到印度公民信息数据库遭遇攻击,再到号称日本最大的加密货币交易所之一Coin Check遭遇黑客攻击。
“2017年规模达990亿美元,2018年预计增长至1060亿美元。”Gartner Group今年4月发布的报告显示,全球安全产业规模正持续、稳步增长。然而,投入的持续加大并未有效改善安全形势,网络恶性事件频率不降反升,尤其是数字经济快速发展,各领域企业、机构纷纷联网、上云进行数字化转型,让信息安全问题的影响范围更大、程度更深,信息安全正面临前所未有的新挑战。
“事实证明,网络安全事件在破坏的严重性方面,已经不再局限于传统意义上的物质、财产损失,而是会影响到运营、制造乃至人的生命安全。”腾讯高级副总裁丁珂表示,伴随着各个传统领域拥抱数字化变革、进行数字化转型进程的不断深入,在AI、金融区块链、物联网、车联网、云和大数据等各个领域,安全问题也愈加复杂化,一起安全事件往往覆盖多个技术范畴、横跨多个行业领域,影响多个产业形态,问题爆发的中心也从个人走向企业和公共机构,安全边界愈发模糊。
各国信息安全法案相继出台
事实上,信息安全一直是受到各国关注。不久前,美国众议院通过《2018DHS网络事件响应小组法案》,提出授权由美国国土安全部(DHS)国家网络安全与通信整合中心(NC-CIC)下的“网络狩猎及事件响应小组”(HIRT),帮助保护联邦网络和关键基础设施免于遭受网络攻击。“法案授权HIRT 帮助关键基础设施的所有者和运营者响应网络攻击,并提供缓解网络安全风险的策略。法案还允许DHS部长将私营企业的网络安全专家纳入到HIRT当中。该创新方法有助于加强网络安全人才建设,能够利用更多的专家加强对美国网络的保护。”腾讯安全联合实验室负责人向《上海金融报》记者表示。
“而在欧盟,关于网络安全相关法案的推出以及相关改革一直是全球的焦点,而随着网络发展在安全领域带来的诸多挑战,欧盟更加深入地推进信息安全以及数据保护相关政策的落地,继续加大对于网络安全领域的投入力度。这一系列动作无疑会对全球网络安全格局产生重大影响。”上述腾讯安全联合实验室负责人举例表示,例如,早在1995年,欧盟部长会议就以《欧盟数据保护指令》(DPD)引领了信息时代个人数据隐私的法律保护规则。过去20年里,成员国个人数据保护法律碎片化问题,以及新时代下大数据、电子商务、网络安全等新领域带来的诸多挑战,促使欧盟大刀阔斧地改革DPD,并于2016年4月由欧盟议会审议通过了GDPR新规。
该负责人进一步表示,2018年5月25日,《通用数据保护条例》(GDPR)正式生效;而欧盟成员国在2018年5月9日之前,将《指令》落实到国家法律之中。这是欧盟出台的第一部关于网络与信息安全的指导性法规,主要针对“基础服务运营商”和“数字服务供应商”。《指令》的出台经过反复的公众咨询和调查,欧洲网络和信息安全局(ENISA)为此召开了多次研讨会,政府与私营部门进行了积极合作。关于安全认证,《指令》规定“成员国应鼓励使用网络和信息系统安全相关的欧洲或国际认可的标准和规范”。欧盟成员国将该《指令》作为网络安全方法的基准,在实施过程中可以进行适当调整,以满足独特的国家需求。
对照国内,据《上海金融报》记者了解,早在2017年7月11日,国家互联网信息办公室公布了《关键信息基础设施安全保护条例(征求意见稿)》,该条例是《网络安全法》的重要配套法规,对关键信息基础设施进行保护。中国政府“关键信息基础设施安全保护”的概念与其他国家政府不同,它的定义同时包括传统行业和大型商业互联网服务(电子商务、搜索和社交媒体),对此先后发布《国家安全法》、《网络安全法》,并就《关键信息基础设施安全保护条例(征求意见稿)》公开征求意见,初步构建起关键信息基础设施的法律制度框架。
对此,中国电子技术标准化研究院副院长杨建军向《上海金融报》记者表示,自《网络安全法》发布以来,对我国整个网络安全工作有很大的指导,但整个法规体系建设亟需完善,标准体系建设也要跟着法规制度建设进一步完善,因此,对数据安全、更新、保护等方面仍有很多工作要做。