关于网络空间安全发展的启示建议
2022-03-19
来源:信息安全与通信保密杂志社
纵观2021年全球网络安全态势发展,网络安全前景不容乐观。勒索软件数量在2021年呈现指数级增长,也随着爆炸式增长的攻击次数而转型,同时,网络攻击呈现多样化和复杂化趋势,以关键基础设施为目的的网络攻击行动也将继续增长,高度警惕关键基础设施网络安全势在必行;数据时代背景下,各国对数据安全问题都高度重视。数据战略价值凸显,各国围绕数据展开战略竞争;另一方面数据成为安全重灾区,针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新,给经济、政治、社会等各领域带来巨大风险。
1
持续完善相关法律法规,配套制度建设迫不及待
面对日益严峻的数据安全威胁,2021年部分国家通过颁布政策法规、加强监管执法、提升安全治理技术能力等举措,全面强化数据安全保护。我国《数据安全法》于6月经表决通过,是围绕网络、数据、信息安全主题的系列法律之一,与《网络安全法》以及将要出台的《个人信息保护法》构成该领域的三大基础性法律。《数据安全法》尤其确立了数据安全管理的大原则,以及国家党政机构的管理和处罚权限。
当前,我国数据安全法已经落地,完善数据安全保护的配套法规制度迫不及待。目前,还缺乏配套的下位法,部分问题处于模糊地带,需进一步出台与之配套的法律法规,针对具体问题制定相应的解决措施,强化数据安全保护。例如,针对数据确权问题,考虑通过采用数据分类确权思路,厘清数据类型和数据性质,明确主体数据权利边界;针对政务数据安全共享问题,出台相关政策文件,以明确上下游责任边界,促进政务数据安全共享,实现政务数据管理模式由纵向到横向的转型,保障政务数据的可享、可管、可信。建立健全数据安全保护标准规范。针对数据开放共享、交易、跨境流动等不同场景,完善相应的标准规范;制定数据安全评测指南,持续加强数据安全标准的宣贯实施。同时,对特殊敏感数据进行分类专项保护。根据数据的不同特征选取不同治理模式,促进治理精细化。
2
加快完善网络安全治理体系,提升网络安全管理水平
当前,我国网络安全领域仍然存在着如黑客攻击、信息泄露、网络勒索和系统性安全等问题,对社会和企业的正常运行产生了不利影响,也对公民的个人生活造成了困扰。网络安全问题治理与网络本身的开放性、无中心性、信息量大和广泛连接等特性有关,也与新技术的广泛应用有关,新技术与新问题同时出现,解决问题的新技术具有滞后性。在应用过程中出现的新问题,也给监管部门提出了挑战,即监管的滞后性和问题的先发性,成为了解决网络安全问题面临的另一困境。治理完善方面,应着重于建立预防、治理和惩戒三位一体的治理体系,以实现对网络安全问题的有效治理。预防层面,要在网络安全问题进行清晰界定的基础上,对预防主体的职能、网络安全问题的检测方法和预警体系的建立等功能进行整合,形成高效的预防体系。治理层面,要着重于体制的完善,建立集中有效的监管机制,同时以法律的形式对机构的功能进行保障。惩戒层面,应将完善网络安全立法和强化追责机制有机结合起来,以确保对引发网络安全问题主体的震慑,实现对网络安全问题的有效治理。
3
提升防范勒索软件攻击的整体防护水平,自力更生自主创新
面对数字化时代如此严峻的网络安全形势,尤其是2021年上半年美国最大的成品油管道公司科罗尼尔遭到勒索软件攻击事件前后,美国政府已经在逐步采取一系列措施,颁布法案或者行政命令,为维护关键信息基础设施的网络安全提供制度保障,这也给我们敲响了警钟。当前,勒索软件迭代进化加速,攻击手段会更加复杂多样,攻击范围也将不断扩大并且更加难以防范。面对愈加强大的定向勒索攻击者,我们对网络安全防御需要提升整体的防护水平,要以面对APT组织攻击的策略进行防御体系建设,才能够抵御目前网络攻击技术水平愈加高强的定向针对性勒索软件攻击。要实现整体安全,必须加强技术升级换代,聚焦核心技术突破,在基础性技术、前沿性技术、颠覆性技术投入研发方面花大力气,尽早实现关键信息基础设施网络安全装备自主创新。
4
提前布局前沿技术,打造网络安全产业国际竞争力
当前,除CrowdStrike、Okta、Fortinet 等专业网络安全企业积极布局网络安全领域外,微软、谷歌、亚马逊等全球科技巨头也在不断提升自身产品安全性能,构建强大的网络安全产品线和服务体系。经研究,国外网络安全领域重点针对网络攻击追踪溯源技术、面向人工智能应用的网络安全技术、大数据威胁情报分析技术、云环境下数据存储安全技术、信息内容理解和研判技术等技术开展研究,并研发出Cloud Sniper、Kubetriker、REW-sploit等新型网络安全工具。
2021年,我国网络安全企业综合实力稳步提升,但在快速发展的同时,大部分网络安全企业核心技术创新能力仍有提升空间。对此,我们要提前布局前沿技术,密切关注相关领域的颠覆性技术创新,尤其是在AI、零信任、隐私增强计算等方面做好技术储备。针对勒索软件威胁,积极引入人工智能进行检测,如趋势科技公司正在开发的勒索软件移除解决方案本质上是一个智能反勒索软件工具,其利用最新的人工智能算法,包括防病毒、家庭保护、密码管理和隐私保护等安全包,对检测勒索软件极为有效;针对传统防护手段缺陷,采用零信任架构降低风险,如美国能源部已于2021年10 月启动用于清洁能源系统的零信任网络安全解决方案,将支持电网现代化,解决网络安全漏洞;针对数据泄露风险,引入隐私增强技术,Gartner 预计到 2025 年60%的大型企业机构将使用一种或多种隐私增强计算技术。
5
加强开展网络演习活动,谋求提升同网络作战能力
2021年,美西方国家继续开展网络演习竞赛活动,并在联合演习中增大网络作战科目,呈现出“专联兼顾、实战性强、形式创新、技战结合、整体协同”的主要特点。当前,国内也如火如荼地举办了各种级别、多种形式的演习,我们应该寻求一些新的形式来进行这种攻防演习,让演习真正提高我们的安全防御水平,无论从关键基础设施还是国家层面都有安全的保证。我们应该重视场景化设计,鼓励使用高仿真的靶场进行相关的演习,进行桌面推演的训练 ,从而针对不同的安全场景要有相关防守方的应对措施。同时,我国要把关键信息基础设施管理运营单位将开展常态化网络安全演练纳入管理制度和考核指标中。尤其针对关键信息基础设施防护,引入现实社会因素,设置训练题目和训练流程,尽可能真实地模拟现实复杂情况,在演练中发现问题解决问题,不断提高网络安全防护水平。