一、新时代网络安全面临的挑战
网络安全法律体系不够完善。第一,法律法规仍待细化落实。尽管网络安全法律体系逐步建立健全,但是每部新法案从开始实施到完善落实,都需要一定的过渡期。新法内的一些具体规定要具体“落地”,都需要完善一系列措施及配套政策。《中华人民共和国数据安全法》出台后,仍需要制定相关的配套措施,针对需要明确的重点问题进一步细化,明确《中华人民共和国数据安全法》的分级分类制度的具体要求与标准,进一步提高实操性,才能提供实践指导。
第二,法律法规配套仍需加强。总体来说,网络安全领域的立法质量不断提高,法律的操作性、规范性不断增强,但现有网络安全领域配套法律法规仍需完善。一方面,法律配套制度涉及部门多,协调难度大,影响因素交错复杂,客观上会带来一定的困难。另一方面,网络技术发展迅猛,情况变化很快,这也给法律法规配套的制定和落实带来一定的挑战。
新技术引发网络安全新风险。第一,新场景引发新挑战。随着互联网应用的普及,网络安全技术的应用场景也越来越广泛。在线支付、在线购物、在线教育等都离不开网络安全技术,随之而来的网络安全风险也不断激增。一是网络黑客、电信网络诈骗等犯罪问题频发。根据公安部公布的最新数据,2022年全国共破获电信网络诈骗案件46.4万起,同比上升5%。随着科技的进步,互联网为人们的工作生活带来便利的同时,网络诈骗手法也不断翻新,封装App、群发邮件“引流”、AI语音视频造假诈骗等花招层出不穷。据公安部门统计,高发电信网络诈骗案件发案占比近80%。二是虚拟货币存在网络安全风险。虚拟货币的网络安全风险主要源于其网络特性。一方面,虚拟货币存在网络漏洞和后门程序等安全风险,黑客利用这些漏洞可以窃取用户信息,进而盗取用户的虚拟货币资产。另一方面,在线交易平台的安全性、个人信息的保护程度不够等都是影响虚拟货币安全的重要因素。有些在线交易平台缺乏安全保障,导致用户在交易过程中遭受虚拟货币被盗的风险。
第二,网络技术犯罪持续高发。随着网络技术的飞速发展,网络技术犯罪已成为一个不容忽视的问题。近年来,网络技术犯罪持续高发,带来了重大经济损失和数据安全风险。一是勒索软件攻击愈演愈烈。勒索软件是一种流行的网络攻击工具,通过加密用户文件等方式进行勒索。近年来几乎所有国家的政府、金融、医疗、交通等行业均受到影响。2022年,勒索软件活跃程度再度飙升,攻击事件数量同比增长13%,超过以往五年的总和。各大勒索攻击团伙不断改进攻击手法和模式,使得新一代勒索软件攻击更加复杂、更有针对性,呈现出勒索软件智能化、多重勒索常态化等趋势。以多重勒索为例,新型勒索软件攻击从单端的支付赎金即可恢复被加密的数据,逐渐演变成窃取商业信息、非法销售数据、DDoS攻击等勒索方式结合的新模式。Lapsus$黑客组织通过多重勒索已攻击了微软、英伟达、优步等多家知名企业,一旦受害者拒绝支付赎金,该组织就会将窃取的数据发布到网上组织非法售卖。二是软件供应链数据泄露事件频发。随着软件产业快速发展,软件供应链也愈加复杂,极易触发一系列安全问题,网络安全整体防护难度越来越大。据IBM发布《2022年数据泄露成本报告》显示,五分之一的数据泄露事件是由软件供应链受陷造成,识别并遏制供应链事件所耗费的平均总时长要比全球数据泄露事件长26天。供应链攻陷事件的总成本是446万美元,比数据泄露事件的全球平均总成本高2.5%,且后者已达到史上最高水平,比过去两年高出近13%。据相关网络安全公司报告显示,2022年针对软件供应商的网络攻击同比增长146%,其中62%的数据泄露归因于供应链安全漏洞。
第三,网络战形势错综复杂。我国面临的网络战、封锁战、舆论战形势日益严峻。一是网络代码已经被武器化。网络攻击手段和网络攻击主体的特征明显,敌对势力利用其掌控的强大网络技术对我国连接的国际互联网实施有组织、集团化的网络断网、网域除名等,对我国政府部门、高校、重点企事业单位的网络系统进行精准的网络攻击及窃密。2022年9月,美国国家安全局NSA对我国西北工业大学网络长时间入侵攻击,窃取关键敏感数据,对我国的国家安全造成了严重的危害。二是社交媒体被政治化、“武器化”。敌对势力利用网络漏洞实施攻击和制造散布虚假信息,利用其影响力制造发动网络舆论战,造成网络舆论信息真假难辨,从而迷惑蛊惑网民,影响民众的思想和准确分析判断,制造对立,引发社会矛盾。同时,网络空间的军事化趋势加剧,威胁越来越大,数字外交、网络外交成为维护数字利益的政治手段。面对网络风险和挑战,加强网络安全和维护国家安全十分迫切和重要。
第四,核心技术自主可控能力不够强。自主可控是确保网络安全的必要条件。目前,我国在网信领域(如芯片和基础软件等方面)仍存在一些短板。芯片方面,其短板在于制造工艺、装备、材料、设计工具等方面。以AI芯片为例,我国起步晚,在算法方面缺乏原始创新,目前仍依赖进口。基础软件方面,操作系统大部分依赖Windows,国产操作系统很少;大型工业基础软件,如集成电路涉及软件基本上是进口,自主研发的较少。我国亟需“扬长处,补短板”,努力突破“卡脖子”问题,提升自主可控能力,保障网络安全。
网络空间竞争加剧,网络安全人才供需失衡。其一,网络安全攻防实战人才不足。当前,我国网络安全领域人才不足,已成为阻碍我国产业发展的主要因素,特别是实战型人才培养方面,存在显著的需求缺口。据《网络安全人才实战能力白皮书》调查数据显示,“到2027年,我国网络安全人员缺口将达327万,而高校人才培养规模为3万/年,许多行业面临着网络安全人才缺失的困境”。此外,由于高校缺乏实战环境,过于注重理论知识传授而轻视实践能力培养,所培养的网络安全人才往往无法迅速融入实际工作,高达92%的企业认为自己缺乏网络安全实战人才。攻防实战人才必须具备在实际业务环境中,利用网络安全技术和工具进行安全监督和解析、危险度评估或风险评估与衡量、渗透测试事件研判等业务能力,这对网络安全攻防实战人才的培养路径提出了高标准、高要求。
其二,缺乏网络安全人才发展规划。随着全球信息化进程的推进,众多国家已经认识到网络安全的重要性,并纷纷制定国家网络安全战略。然而,相较于美国等发达国家在网络安全人才培养方面的系统性和层次性,我国在这方面起步较晚。尽管我国已经发布了一些网络安全战略规划文件,强调了人才培养的重要性,但总体上来说,仍缺乏网络安全人才培养的整体规划和顶层设计。相比之下,美国已具备领先的网络人才战略和体系,并发布了《国家网络人才和教育战略》,旨在推动政府、企业、学校和其他组织在人才培养和发展领域的改革,以适应当前和未来的网络人才需求,将对国际网络安全产生深远影响,同时,也给我国的网络安全人才培养战略带来了挑战。
国际竞争新格局带来新考验。其一,网络空间国际规则尚未形成共识。在网络安全事件和局部地区冲突风险相互交织的背景下,网络空间国际规则的模糊性和不确定性加剧。2022年,国际地缘政治冲突加剧,俄乌陷入“拉锯战”,中美博弈更加激烈,在网络空间主权、全球网络产品和服务供应链以及数据跨境流动等方面,可能面临新一轮的规则和格局调整。我国正面临国际网络空间规则、信息技术产业等领域更为严峻和复杂的竞争态势,这给我国参与和主导网络空间规则制定带来了新的挑战。
其二,全球网络空间安全机制尚未形成。在数字时代,信息技术为人们生活带来便捷的同时,也为网络犯罪全球化和产业化创造了条件。当前阶段,全球面临着网络霸权、网络犯罪和数据泄露等问题的严峻挑战,深刻影响着各国和地区的政治、经济、社会和文化等各个方面。金融、交通、能源三大关键基础设施领域成为网络攻击重灾区,安全态势严峻,其中34%的网络攻击都发生在金融领域。鉴于网络犯罪具有隐蔽性和跨国性,更容易逃避监管,传统的国际刑事司法协助机制程序复杂、过程冗长、条件严苛,已经无法适应现实需求。然而,新型的网络空间国际规则制定工作尚未取得突破性进展。
二、新时代下筑牢网络安全屏障的对策建议
多措并举加强网络安全管理。一是健全法律法规建设。建立健全网络安全的法律保障体系,强化数据分类分级保护、数据安全审查、数据出境管理等制度措施,提高网络数据监测预警和应急处置能力,维护网络空间秩序。二是要加强网络安全监管。不断创新和落实我国网络安全战略,实现权责明确的多部门联动结合监管和合作协调,提高跨部门的网络安全响应能力,加强网络安全监管工作。开展网络设备日常巡检和自查,及时采取措施堵塞安全风险漏洞,查漏补缺、减少风险点,维护计算机及网络基础设施安全,确保网络安全。
科技赋能推动网络安全发展。一是加强技术创新,提升自主可控能力。加强数字技术创新,实现网络安全关键技术自主可控,是筑牢数字中国安全屏障的底气所在。要加强网络安全核心技术的自主研发,提升我国国产网络安全产品质量,加强先进安全产品和技术创新,进一步提高科技转化运用能力,加强人工智能技术、区块链等新一代信息技术的应用转化,形成价值闭环,保证相关技术创新的持续推进。二是坚持科技向善,针对新场景加强科技治理。依据电信网络诈骗技术迭代升级等特点,打通数据壁垒,通过“反诈大数据法律监督模型”,对涉诈网址、域名、App等黑灰产违法犯罪进行溯源治理;针对数字藏品、数字身份等跨平台流通和持久存续的迫切需求,推动区块链底层框架适配互通,打造区块链公用基础设施,支撑形成自主可控、全国一体、流通顺畅、全程追溯的分布式数字凭证技术应用体系。
提升全民全社会网络安全素养。一是制定人才专项计划。通过明确培养目标、优化培养方式,有计划、有目的地推进和实施网络安全人才培养工作。高校是网络安全人才培养的主阵地,要以目标为导向,依托学校教育系统开展扎实的基础知识教育,通过专项培训活动促进领域专业人才的培养,通过高水平的行业竞赛发现和培养特殊人才,以“硬实力”打造一支具有全球竞争力的网络安全团队。二是加强网络安全宣传。一方面,完善网络安全工作机制。定期组织网络安全工作者学习网络相关法律知识;积极开展网络安全应急处置应急演练,推进构建网络安全工作体系;开展网络安全风险点摸排,强化重要数据安全和个人信息保护意识,切实维护网络信息安全。另一方面,加强社会网络安全教育。促进政府、企业和社会各界对网络安全宣传的共同参与及配合,着力提高公众的网络安全意识和技能水平。除了利用传统的电视、报纸和杂志等媒体,还可充分利用社交网络、视频平台、移动应用等新媒体渠道,向公众传递网络安全知识和信息。
推动国际网络安全多元化合作。一是积极开展国际合作,共同应对网络安全问题。加强对话,共同构建网络安全命运共同体。加强国际网络问题的信息共享及在网络安全技术和管理工作方面的沟通与合作,积极汲取其他国家的成功经验和技术,主动争取网络空间的主导权和话语权。在保证公开、公正的前提下,持续开展交流合作,共促技术发展,并致力于完善全球网络安全治理。二是加强网络犯罪综合防治体系,积极推进网络安全合作关系的机制建设和平台建设,充分整合资源,共同打击网络洗钱、勒索、贩毒等犯罪行为。鉴于网络犯罪相比于传统犯罪更易于逃避监管,执法机关应积极开展国际合作,与相关国家和地区建立制度化、常态化的合作机制,共同打击网络犯罪。