重磅解读:网络安全“合规”建设迫在眉睫的深层因素
本文 7532字 阅读约需 20分钟
《说文解字》曰,“规,有法度也。”《孟子·离娄章句上》提到,“不以规矩,不能成方圆”,《韩非子·解老》也指出,“万物莫不有规矩”。规矩就是法度与礼仪,它无处不在,没有规矩,难成方圆;没有规矩,天下就会大乱。
现实世界如此,虚拟数字空间同样适用,在网络安全(注:本文中的网络安全是广义概念,即CyberSecurity)行业约30年的发展历程中,合规始终是一个极其重要的安全发展驱动引擎。1994年2月发布的《中华人民共和国计算机信息系统安全保护条例》,是我国第一个计算机安全法规。2007 年《信息安全等级保护管理办法》的发布,标志着等保 1.0 时代正式开启,被公认为第一轮网络安全行业兴起的起点。
此后,网络安全法律法规伴随着行业高速成长而不断完善和丰富。从2017年6月实施的《中华人民共和国网络安全法》,再到2019年12月实施的网络安全等级保护制度2.0标准(简称:等保2.0),以及2021年连续实施的《关键信息基础设施安全保护条例》、《中华人民共和国数据安全法》,以及《中华人民共和国个人信息保护法》等等,2022年《网络数据安全管理条例》也正式纳入立法过程。无论是政策法规、规章条例的数量之多,还是近期政策推出的频度之密,都凸显了网络安全合规的重要性和紧迫性。
图:我国重要的网络安全政策法规
2022年9月14日,实施了5年多的《网络安全法》迎来首次修改。其中包括进一步压实网络安全责任、大幅提高重大网络安全事故的罚款幅度、处罚力度与公司营业额挂钩、增加禁业处罚措施,增加对关键信息基础设施运营者违法行为罚则等等,这势必将显著提升了对大型政企机构对于网络安全的重视程度。
那么,国家相关部门为何近年来显著加大网络安全的合规力度,其背后的深层逻辑又有哪些呢?
一、内外部形势严峻 网络安全加强合规建设迫在眉睫
哲学认为,事物的发展是内外因共同起作用的结果。网络安全在合规驱动的道路上,至少有国际外部环境、国家战略要求,数字化经济发展、威胁形式变化等多重因素的联合驱动。
首先,国际环境波云诡谲,网络对抗威胁日益严峻。
9月5日,中国相关部门对外宣布,此前西北工业大学声明遭受境外网络攻击,攻击方是美国国家安全局(NSA)特定入侵行动办公室(TAO)。此后国家计算机病毒应急处理中心与北京奇安盘古实验室对此次入侵事件进一步深入分析,在最新的调查报告中,美国实施攻击的技术细节被公开:即在41种网络武器中名为“饮茶”的嗅探窃密类网络武器就是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。
图:国家战略与网络安全法律法规概览
当前,世界百年未有之大变局正在加速演进,和世纪疫情交织叠加,国际环境日趋复杂,网络霸权主义对世界和平与发展构成威胁,全球产业链、供应链遭受冲击,网络空间安全面临的形势持续复杂多变。数字化空间的对抗已成为大国交锋的重要战场,网络安全已经成为了国家安全的重中之重。这也就不难理解我国在平衡安全与发展之间关系时的逻辑。强化安全法律体系构建与合规要求,如何强调其重要性都不为过。
其次,数字化潮流大势所趋,安全底板重要性凸显。
蓬勃发展的“数字经济”正成为拉动中国经济增长的新引擎。根据中国信通院发布的报告显示, 2021年,我国数字经济规模达到45.5万亿元,同比名义增长16.2%,占GDP比重由2005年的14.2%提升到2021年的39.8%。数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。
数字经济的高速发展离不开国家宏观规划和政策的支撑。2021年3月,“中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要”获表决通过并正式发布。其中第五篇“加快数字化发展 建设数字中国”,提出迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。
在本纲要中,“安全”一词共计出现175次,仅次于出现468次的“发展”、349次的“建设”、206次的“制度”,成为纲要中排名第四的高频热词。在175次提及安全相关的内容中,有14次与网络安全相关,5次与数据安全相关。在“加快数字化发展 建设数字中国”的篇章中,专门对网络安全保护进行了阐述;在“统筹发展与安全 建设更高水平的平安中国”篇章,也给出了“全面加强网络安全保障体系和能力建设”的阐述。可见,网络安全已成为国家、社会发展面临的重要议题,建设“安全中国”也将成为十四五规划中的战略重点和发展方向,更带来了网络安全建设的巨大机遇。
今年4月,《中共中央国务院关于加快建设全国统一大市场的意见》提到,要加快培育数据要素市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范,深入开展数据资源调查,推动数据资源开发利用。《意见》强调,要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,加强重点领域执法司法,把必须管住的坚决管到位。要构建政府、企业、社会多方协同治理模式,强化分行业监管和跨行业协同监管,压实企业数据安全责任。
2022年6月22日,中央全面深化改革委员会第二十六次会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》等,对数据确权、流通、交易、安全等方面做出部署。会议明确,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。
与此同时,国务院印发《关于加强数字政府建设的指导意见》(以下简称《指导意见》),就主动顺应经济社会数字化转型趋势,充分释放数字化发展红利,全面开创数字政府建设新局面作出部署。在构建数字政府全方位安全保障体系方面,《指导意见》强化安全管理责任,落实安全制度要求,提升安全保障能力,提高自主可控水平,筑牢数字政府建设安全防线。
最后,网络空间威胁形势日新月异,影响范围与维度不断扩展,也是网络安全政策法规密集出台的有一大推动因素。近年来,安全攻击呈现出以下四个新趋势:
第一是勒索攻击事件呈现显著上升趋势。相关数据统计,2021年平均每11秒就有一个企业受到勒索病毒攻击。而奇安信应急响应中心统计的数据也显示,2021年,大中型政企机构的应急响应事件中勒索攻击占到了近30%。
第二是数据窃密事件指数级攀升。2022年4月,国家安全机关公布,有间谍窃取我国电信运营商、航空公司等单位的部分数据并发送至境外,严重威胁到我国关键基础设施的数据安全。IBM发布的《2021年数据泄露成本报告》指出,2021年每起数据泄露事件带来的平均损失高达424万美元,同比增加10%,达到了七年来的最大增幅。
第三是有组织的APT攻击威胁不减。之前国家计算机病毒应急处理中心披露的《西北工业大学遭受美国NSA网络攻击调查报告》,其幕后是“饮茶”嗅探窃密工具与Bvp47木马程序其他组件配合实施联合攻击,堪称典型的APT攻击。另一起震惊全球的APT事件是,9月7日,北约成员国阿尔巴尼亚宣布与伊朗断绝外交关系,缘由是伊朗APT组织在7月对阿国进行了大规模网络攻击,这是世界上第一起因网络攻击导致两国断交的事件。
第四是供应链安全已成为网络安全的新战场。根据行业估计,供应链攻击现在占所有网络攻击的50%,去年同比激增了 78%。多达三分之二的公司经历了至少一次供应链攻击事件,平均成本达110万美元。美国的Solarwinds供应链安全事件,也使得全球看到了这类攻击手段的深度应用,促使各重点行业,从这个新维度视角考虑供应链安全领域。Verizon发布的《2021年数据泄露调查报告》显示,62%的系统入侵事件是由供应链造成的。
二、从合规体系完善到实际效果落地尚存在三大缺失
面对复杂而严峻的网络安全威胁形式,当前我国各个行业的合规落地实施仍存在诸多软肋和不足,具体表现在三个方面
第一,网络安全的主体责任未压实
对于任何一家政企机构而言,网络安全事故的发生是一个概率事件,因此考虑到投入产出比,在很多客户看来,投资网络安全至少在明面上并不是一个“非常划算”的生意。即便是在《中华人民共和国网络安全法》正式实施以后,其最高罚款也不超过100万元,对于中大型企业尤其是各行业的头部公司而言,相较于复杂的网络安全技术与人才的投入,其处罚力度也远远不够。
这就带来了一个问题,网络安全主体责任并未压实。尤其越是头部的大型企业和政府机构,其发生网络安全事故后导致的后果也越严重,不仅是经济损失,更多时候其造成的国家安全与社会民生影响往往更为严重。这也是为什么在《关基保护条例》中,特别强调了从关基运营者的主体责任,以及保护工作部门的本行业本领域监测预警与指导任务。
9月14日,国家互联网信息办公室发布了关于修改《中华人民共和国网络安全法》的决定(征求意见稿),本次修改主要有以下几点。
一是完善违反网络运行安全一般规定的法律责任。并且拟调整违反网络安全保护义务或导致危害网络运行安全等后果的行为的处罚种类与处罚服务,使得罚款激增,对企业的罚款从最高100万提高到5000万或上一年度营业额的5%,并可以责令暂停相关业务进行停业整顿,甚至吊销相关业务许可与营业支招。对直接负责的主管人员从最高10万元提高到100万元
二是新增禁业规定,对直接负责的主管人员和其他直接责任人员,可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
三是修改关键信息基础设施安全保护相关的法律责任制度。
四是更加注重法律的衔接,尤其与《数据安全法》、《个人信息保护法》等相关新颁布法律的一致性。
可以预见的是,考虑到综合了五千万与营业额5%的顶格处罚,以及停业整顿、对于相关管理人员的从业禁止的综合处罚,即便是头部政企机构也不得不重新审视自己的网络安全责任落实与建设情况。
第二,网络安全“能力体系”的亟待完善
需要的注意的是,网络安全从法规到落地执行,需要大量的能力支撑,这些能力中包括技术、管理、运行能力,这种综合能力体系的构建,就需要有框架、参考架构、标准、指南作为指导。
近两年来我国网络安全法律法规完善速度非常快,已经走在了全球前列,但在网络安全能力体系的建设上,相比最先进的体系而言,中间这层的能力指引缺失却在一定程度上阻碍了我国网络安全整体水平的进步。
2021年5月,美国总统拜登签署《改善国家网络安全的行政命令》(下文简称“行政令”),提出多项行动以加强美国网络安全防御能力,包括情报共享、零信任架构、供应链安全事件的防范等多个方面,解决美国当前易受网络攻击的安全问题。
在这些方面,美国都有相对完善的参考架构与技术指南作为指引。
例如在关基保护方面,2018年美国国土安全部专门整合资源组建了“网络安全与基础设施安全局(CISA)”,在关基保护的政策制定、防御协同、能力指南、情报共享、安全演习等方面发挥作用。除了拜登政府《改善国家网络安全》行政令,CISA也发布了《云计算安全技术参考架构》、《零信任成熟度模型》;2021年2月拜登签署《确保信息和通信技术及服务供应链安全》的行政令,NIST也快速着手制定相关标准,2022年9月《利用安全的软件开发时间增强软件供应链安全行》的备忘录随即出台;2022年,发布了《2022年关键基础设施网络事件报告法案》。而在这之前,美国在关基保护的范围划定、保护体系建立方面早已陆续出台了各类的政策、法案、技术指南、标准等体系化内容。覆盖面宽,落地管理细节依据较为完整,且配套的能力体系构建指引、相关标准规范丰富。
在威胁情报方面,美国联邦系统安全控制建议(NIST 800-53)、美国联邦网络威胁信息共享指南(NIST 800-150)、STIX 结构化威胁表达式、CyboX 网络可观察表达式以及指标信息的可信自动化交换 TAXII 等都为国际间威胁情报的交流和分享题攻克可靠参考。而这些标准,不仅得到了包括 IBM、思科、戴尔、大型金融机构以及美国国防部、国家安全局等主要安全行业机构的支持,还积累了大量实践经验,在实践中不断优化。更是有如美国情报共同体这样的组织机制来进行支撑。
在零信任方面,早在2021年5月,美国总统签署了行政命令,强制要求政府部门全面迈向零信任架构。与此同时,美国国家标准与技术研究院(NIST)在发布《零信任安全架构标准》之后,再次为联邦管理人员发布了一份规划指南,概述了如何将NIST风险管理框架(RMF)应用于实施零信任架构。RMF 提出了一种方法,其中包括一组集成到企业风险分析、规划、开发和运营中的步骤和任务。这些步骤分为七个行动:准备、分类、选择、实施、评估、授权和监控。
图:美国NIST风险管理框架七个步骤
在供应链安全方面,2022年5月5日NIST发布了新版《系统和组织网络安全供应链风险管理实践》,旨在提供识别、评估和应对整个供应链各级组织网络安全风险的指导,提高了组织在供应链内部和整个供应链中管理网络安全风险的能力。它是NIST对有关网络安全的行政命令的回应的一部分。修订后的标准主要面向产品、软件和服务的购买者以及最终用户。该指南有助于各组织将网络安全供应链风险考虑和要求纳入其收购流程,并强调了风险监控的重要性。
第三,常态化、实战化的深度运营缺失
网络安全最终的效果需要从实战化的安全运营中体现,从2016年开始,我国有关部门都会在全国范围内组织一次较大规模的实战攻防演习,用以检验部分重要机构的网络安全建设成果和实战化攻防水平。除此之外,各省市、行业等自行组织的小范围实战攻防演习,更是数不胜数。
能够看到的是,历经数年的发展,实战攻防演习的水平越来越高,战况也越来越激烈,各种攻防手段层出不穷,对推动我国整体实战化水平和产业发展,起到了巨大的推动作用。
正如部分业内专家所谈论的那样,伴随着时代大潮,还有很多问题也隐藏其中。比如面对演习期间高频度的攻击,作为防守方不得不严阵以待、如履薄冰,加派人手修补潜在的安全隐患,处置每一个可疑的告警。而随着演习的结束,所有运营手段都又恢复成“老样子”:对那些高危甚至已经发生在野利用的漏洞视而不见、需要进行加固的策略无持续优化、安全设备的检测规则也不及时更新……
演习的主要目的是为了帮助防守方检查哪里还存在着不足,因此在演习结束后,大量机构都会根据自身情况采购最需要的产品和服务。但网络安全的本质是人与人的对抗,缺乏常态化和实战化运营的设备堆砌,很难起到保障企业网络安全的作用。如此一来,原本查漏补缺的目的就并未达到,借演习来提升常态化、实战化安全能力的目标也就随之落空。
三、推动合规落地 需做好三项工作
面对日益严峻的外部形势,错综复杂的安全威胁,奇安信认为,广大政企机构应积极推动以下三项措施,尽快补齐合规短板,构筑牢固的安全防线。
第一步是夯实地基,确保“合规不踩线”。
一直以来,很多企业都对合规存在误解,认为合规是网络安全工作的目标。事实上,合规仅仅是网络安全的基本要求和底线。企业不遵守安全规范,就像没有打牢地基,注定无法长久。
企业需要深刻认知到,安全的本质是要解决业务连续性和安全风险相关的问题,脱离业务就很难让安全达到很好的效果。企业在落实网络安全合规建设的同时,还需要从业务视角出发,基于动态风控的思路,实现面向业务风险的安全治理,最终达到守牢安全底线和保障业务经营的双重目标。
第二步是角色转化,健全组织机制。
从9月份的《网安法修订稿》中可以看出,有两个信息和企业的经营负责人紧密相关。第一是顶格处罚激增,对企业罚款从最高100万元提高到5000万或上年度营业额的5%,甚至直接造成到企业运营停摆。第二,《网安法修订稿》特别增加了“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”,有力强化对涉及违法行为的相关管理人员的惩戒效果。可见,网络安全是否合规,安全责任是否压实,不仅直接关乎企业的经营指标、利润盈亏,同时还和企业管理者的个人职业生涯密切相关。
为了避免企业遭受可能高达数十亿级的巨额罚款,以及管理者遭受禁业处罚,政企一把手需要对三个问题了如指掌,即:组织是否健全,责任是否落实,技术能力支撑是否到位。
具体落实上,企业应组建“网络安全合规专项工作组”,合规的第一责任人,需要从单纯的IT部门、网络安全部门负责人,上升到政企机构的一把手、经营管理负责人。通过一把手领导牵头,建立一个横跨公司管理、法务、技术、业务等多个部门的综合组织,才能将网络安全合规工作责任落到实处,满足监管需求,并避免安全和业务相脱节。
第三步是补齐短板,兼顾长远,体系规划。
据统计,国内85%以上的政企机构在面对最新的数据安全法律法规的合规要求时,最需要“先理后治、补短固底”。“补短板、防违规”,是网络安全与数据安全的当务之急,更是合规建设的突破口。滴滴、知网等频遭审查或处罚的事件说明,企业迫切需要尽快自查隐藏的合规风险,分析问题原因,及时补齐安全短板,才能最大程度降低监管部门处罚的风险。
在补齐短板的同时,企业还需兼顾长期的体系化建设,以及常态化的安全运营。过去,企业只要按照要求部署产品,就是做到了合规,这就导致很多企业仅仅把合规当成“应试”和“交差”,觉得只要通过检查和测试就万事大吉了,没有把后续的实际效果和可持续性考虑在内,使得合规流于形式,面对新的监管和网络攻击时依然千疮百孔。
完整的网络安全能力体系的构建,与“新管理”的落地,和实战攻防演习不同,它是一个长期、有序、常态的过程。在数字化时代,缺乏能力体系支撑,缺乏安全技术控制点的合规条文,是难以最终落地的。所以网络安全的新管理,也需要从传统的“条文式管理”发展到有能力体系支撑的,有数据结果驱动的“效果型”管理上来。
在这个过程中,除了企业和监管单位的努力之外,还需要充分借助外部的专业力量,依托专业网络安全公司,以及第三方法律机构的参与和支持,对合规制度流程不断完善,对人员技术能力不断提升,对各类安全风险持续跟踪及修复,才能从长远角度提升企业的安全水平。
四、结束语
从无法可依到有法可依,从合规性驱动到合规性和强制性驱动并重,以《网络安全法》、《数据安全法》、《个人信息保护法》等为代表的网络空间安全法治建设,为维护国家总体安全、抵御网络空间各种不确定性因素和未知风险发挥了重要作用。然而,在当前国际严峻的威胁形势下,网络安全面对的挑战依然严峻,合规建设任重而道远。
只有落实体系化建设,实现国家指导、行业保护、网络服务机构支持、运营者落实等多方协同,才能落实相关合规监管要求,筑牢网络安全底板,筑牢网络安全底板,化解重大风险,保障业务正常运转,为我国数字强国之路保驾护航。
关于作者
奇安信战略规划设计院,基于“内生安全框架”为政企机构进行“顶层规划、体系设计、实现设计”,构建动态综合的网络安全防御体系与实战化运行体系。目前已帮助超过百家的大型央企、政府部委、智能制造、数字城市、金融等机构开展了十四五或中长期网络安全规划工作,持续保障政企数字化业务发展。
END