■史爱武
9月9日至15日,2024年国家网络安全宣传周(简称“网安周”)在全国统一开展,今年是我国全功能接入国际互联网30周年、网络强国战略目标提出10周年、总体国家安全观提出10周年,也是网络安全工作“四个坚持”重要指示5周年。特殊的时间节点赋予了今年网安周特殊的历史意义。
随着新一轮科技和产业变革的加速演进,互联网对人类文明进步发挥出促进作用的同时,网络安全问题也日益凸显,已经成为国家安全的关键组成部分。近年来,网络攻击事件层出不穷,网络安全事件的影响范围广泛,后果深重。对于个人而言,网络安全关系到个人隐私和财产安全;对于企业而言,网络安全关系到商业机密和市场竞争力;对于国家而言,网络安全则关乎国家安全和社会稳定。没有网络安全就没有国家安全,网络安全为人民、网络安全靠人民。
网络安全的政策法规体系
网络安全通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。国际标准化组织(ISO)对计算机网络安全的定义是:为保护数据处理系统而采取的技术和管理的安全措施,保护计算机硬件、软件和数据不会因偶然和故意的原因而遭到破坏、更改和泄露。网络安全包含可用性、机密性、完整性、可控性和可审查性等五大基本要素。不同的应用环境下,网络安全的解释稍有不同。针对网络中的一个运行系统而言,网络安全就是指信息处理和传输的安全,包括硬件系统的安全可靠运行、操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防护等。狭义的网络安全,侧重于网络传输的安全。
近年来,为了进一步筑牢网络安全防线,提高网络安全保障水平,我国不断完善和发展网络安全法律法规体系,颁布实施网络安全法、数据安全法、个人信息保护法等法律法规,建立关键信息基础设施保护、数据安全管理、个人信息保护、网络安全审查、云计算服务安全评估等一批重要制度文件,发布了三百余项网络安全领域国家标准,基本构建起网络安全政策法规体系的“四梁八柱”。
2017年6月施行的《中华人民共和国网络安全法》,是我国第一部全面规范网络安全管理方面的基础性法律,是我国网络安全法治建设的重要里程碑。2020年1月施行的《中华人民共和国密码法》规范密码应用和管理,促进密码发展,维护国家网络安全。2021年9月施行的《中华人民共和国数据安全法》是我国数据领域的基础性法律,也是国家安全领域的一部重要法律。2021年11月施行的《中华人民共和国个人信息保护法》是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用而制定的法律。
2019年9月施行的《云计算服务安全评估方法》明确了云计算服务安全评估目的、对象、申请方式、重点评估内容和主要环节等内容。2021年9月施行的《关键信息基础设施安全保护条例》是我国首部专门针对信息基础设施安全保护工作的行政法规,也是《网络安全法》的重要配套法规。2023年8月施行的《生成式人工智能服务管理暂行办法》是我国首个针对生成式人工智能服务的规范性政策。2024年7月施行的《互联网政务应用安全管理规定》旨在提高互联网政务应用安全防护水平,保障和促进互联网政务应用安全稳定运行。
自主可控是增强网络安全的前提
2024年7月19日(周五)下午开始,全球大量Windows用户出现电脑崩溃、蓝屏死机、无法重启等情况。此次Win⁃dows故障不仅出现在办公室,随着安全事件不断扩大,全球多国金融、航空、医疗、交通等行业业务一度中断。此外,多国的石油、天然气、股票、货币和债券交易都在19日当天难以正常交易。微软官方事后回应称,该故障并非由于微软相关服务及产品导致,而是由于第三方杀毒软件Falcon更新导致。根据微软的报告,此次大规模宕机事件影响了全球大约850万台安装微软Windows操作系统的设备,可能是有史以来最大的IT故障。
不过,此次事件在中国造成的影响范围较小。网络安全公司奇安信发布的分析报告指出,国内使用CrowdStrike杀毒产品Falcon的企业较少。360创始人周鸿祎公开表示,这次全球IT大瘫痪中,受害最深的行业是全球各大航空公司,但中国航空公司与机场受影响很小,主要由于国内安全策略与国外不同,国内航空公司、医疗等行业普遍采用国产安全软件,在安全保护方面采取更为本地化的策略。
自主可控是保障网络安全、信息安全的前提。近年来,国产操作系统在不断推动产品技术创新的同时,在软硬兼容等生态建设方面有了长足的进步,更加好用易用,因此,越来越多的国内用户选择更安全更稳定的自主操作系统,安装国产杀毒软件等应用软件。在手机系统方面,鸿蒙最新版本告别了Linux内核和AOSP等传统代码,采用鸿蒙内核,并仅支持鸿蒙原生应用,独立于安卓、iOS的操作系统,是一个源自中国、自主可控的操作系统。随着工业互联网、物联网、企业上云、智能制造、5G和AI的广泛应用,整个工业产业链的网络安全问题变得越来越重要而紧迫,水电煤生产及管网、轨道交通、石油石化……这些关键信息基础设施领域涉及国计民生,这些领域的网络安全无疑涉及国家安全。
自主可控意味着信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞。反之,不能自主可控就意味着具“他控性”,就会受制于人,其后果是信息安全难以治理,产品和服务一般存在恶意后门并难以不断改进或修补漏洞。为了保障网络安全,必须实现技术、产品、服务、系统的自主可控。自主可控是实现网络安全的一个必要条件,但并不是充分条件。换言之,采用自主可控的技术不等于实现了网络安全,但没有采用自主可控的技术一定不安全。因此,为了实现网络安全,首先要实现自主可控,再结合其他各种安全措施实现传统意义上的安全,最终达到保障网络安全的目标。
网络安全为数字经济稳定发展保驾护航
十多年来,数字经济发展迅猛、创新活跃、已经辐射到各行各业,正在成为全球经济复苏和增长的重要驱动力,全球主要国家经济体均已迈入数字经济时代。随着数字经济的快速发展,催生出了大数据、人工智能、物联网、5G、云计算、元宇宙等一批新产业新业态,以数字技术为核心的多元创新在多领域呈现群体性加速突破态势,实体经济利用数字技术提升经营的广度深度仍在不断地扩展,新模式新业态持续不断涌现,经济运行成本大幅降低、效率显著提升,产业组织形态和实体经济形态不断得到了重塑。
数字经济成为当下主要的经济形态,发展数字经济是国家的重要战略部署。当数据创造价值的同时,也面临着数据被泄露、篡改、滥用等网络隐患,造成对个人、组织、社会公共利益甚至国家利益的严重威胁和损害。数字经济的发展离不开网络安全的保护,网络安全在数字经济中扮演着至关重要的角色。在数字经济时代,经济活动高度依赖于网络和数字化技术,这使得网络安全成为保护资产,稳定运营,促进创新发展的基石。加快推动数字经济可持续发展,必须维护和保障好数据安全和网络安全,加快提升数字技术核心技术的研发和网络监管能力,共建数据安全和网络安全新态势,为数字经济的发展保驾护航。中国工程院沈昌祥院士在2024中国互联网大会接受访问说,构建安全可信的网络新生态,不仅是发展新质生产力的关键举措,更是布局产业链、推动数字经济健康发展的核心支撑。
2014年以来,我国每年举办国家网络安全宣传周活动,多形式多渠道宣传网络安全理念、普及网络安全知识、推广网络安全技能,让“网络安全为人民,网络安全靠人民”的理念深入人心。随着网络安全宣传力度的持续加强、全民网络安全知识水平的不断提升、网络治理力度的逐步加大,终将筑成网络安全的坚固屏障,共创网络美好未来。