硬核盘点 | 2021必须了解的十大网安政策,深度解析


2021年是中国共产党成立100周年,也是“十四五”开局之年,在复杂多变的安全环境下,国家不仅从立法层面不断提升全社会对网络安全的关注与重视程度,而且相继发布了多项网络安全相关政策,为我国网络安全产业发展提供了新的契机和更有力的支持。

本文将盘点2021年最受关注的网络安全法规、条例和政策文件,并从顶层设计的角度对这些政策出台的原因内网络安全领域未来发展趋势进行简要总结和分析。

 

一、十大网络安全政策

以下对2021年国内网络安全领域发布的十大重要政策文件进行梳理:

1、2021年1月13日,工信部发布《关于开展工业互联网企业网络安全分类分级管理试点工作的通知》

该《通知》指出,开展工业互联网企业网络安全分类分级管理试点工作,旨在进一步完善工业互联网企业网络安全分类分级规则标准定级流程,加快构建工业互联网企业网络安全分类分级管理制度。

 

2、 2021年4月6日,《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》(医保发〔2021〕23号)印发

该《意见》指出到2022年,我国基本建成基础强、技术优、制度全、责任明、管理严医疗保障网络安全数据安全保护工作体制机制。到“十四五”期末,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。

 

3、2021年6月10日,《关于开展车联网身份认证和安全信任试点工作的通知》(工信厅网安函〔2021〕148号)发布

该《通知》主要贯彻落实《新能源汽车产业发展规划(2021-2035年)》《智能汽车创新发展战略》和车联网产业发展专委会第四次全体会议工作任务要求,加快推进车联网网络安全保障能力建设,构建车联网身份认证和安全信任体系,推动商用密码应用,保障蜂窝车联网(C-V2X)通信安全

 

4、2021年6月10日,第十三届全国人大常委会第二十九次会议通过《中华人民共和国数据安全法》

《数据安全法》是我国数据安全领域的基础性法律,其完善了国家数据安全工作体制机制,规定中央国家安全领导机构负责国家数据安全工作的决策和议事协调等职责,并提出建立国家数据安全工作协调机制。标志着我国在数据安全领域有法可依,为各行业数据安全提供监管依据。

 

5、2021年7月13日,工信部、网信办、**部联合发布《网络产品安全漏洞管理规定》(工信部联网安〔2021〕66号)

该《规定》规范了漏洞发现、报告、修补和发布等行为,明确了网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务,并鼓励发现网络产品安全漏洞的组织或者个人积极报送网络产品安全漏洞信息。

 

6、2021年8月17日,国务院发布《关键信息基础设施安全保护条例》(国令第745号)

该《条例》明晰了关键信息基础设施的定义,明确了保护工作部门的职责,强化了运营者的安全管理主体责任,规定了国家保障和促进措施,确立了监督管理体制。《条例》是对《网络安全法》确立的关键信息基础设施安全保护制度的细化完善,有助于构建多方尽责、共同协作的关键信息基础设施安全防护体系,更好地应对网络安全风险挑战。

 

7、 2021年8月20日,网信办、发改委、工信部等五部委联合发布《汽车数据安全管理若干规定(试行)》

该《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,明确汽车数据处理者应当履行个人信息保护责任,加强重要数据安全保护,做好汽车数据安全管理和保障工作。

 

8、2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》

《个人信息保护法》对自然人关于个人信息的权利、个人信息处理者对于个人信息的义务、相关部门对于个人信息的保护职责、个人信息处理具体要求、个人信息跨境、法律责任等做出了明确和可操作的规定。

 

9、2021年9月29日,网信办、教育部、科技部等九部委联合发布《关于加强互联网信息服务算法综合治理的指导意见》(国信办发文〔2021〕7号)

该《意见》提出要逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局,其中,鼓励组织积极开展算法安全评估。建立专业技术评估队伍,深入分析算法机制机理,评估算法设计、部署和使用等应用环节的缺陷和漏洞,研判算法应用产生的意识形态、社会公平、道德伦理等安全风险,提出针对性应对措施。

 

10、2021年12月27日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》,对我国“十四五”时期信息化发展作出部署安排,是“十四五”国家规划体系的重要组成部分,是指导各地区、各部门信息化工作的行动指南。

该《规划》提出:到2025年,数字中国建设取得决定性进展,信息化发展水平大幅跃升。数字基础设施体系更加完备,数字技术创新体系基本形成,数字经济发展质量效益达到世界领先水平,数字社会建设稳步推进,数字政府建设水平全面提升,数字民生保障能力显著增强,数字化发展环境日臻完善。

该《规划》围绕确定的发展目标,部署了10项重大任务,一是建设泛在智联的数字基础设施体系,二是建立高效利用的数据要素资源体系,三是构建释放数字生产力的创新发展体,四是培育先进安全的数字产业体系,五是构建产业数字化转型发展体系,六是构筑共建共治共享的数字社会治理体系,七是打造协同高效的数字政府服务体系,八是构建普惠便捷的数字民生保障体系,九是拓展互利共赢的数字领域国际合作体系,十是建立健全规范有序的字化发展治理体系,并明确了5G创新应用工程等17项重点工程作为落实任务的重要抓手。

 

二、原因浅析

网络安全牵一发而动全身,没有网络安全就没有国家安全。从宏观层面来看,2021年,我国网络安全相关法规、条例的发布使网络空间安全治理体系日趋完备,加之一系列政策组合拳协同发力,为国家网络安全和网络安全产业发展提供了坚实保障。此外,从具体内容来看,发布以上十大网络安全政策的主要原因还可能包括:

 

1、数据交换共享的安全需求越来越强烈

数据蕴含着巨大的价值,已成为重要的生产要素和战略资产,数据的共享是数据开发、利用和增值的重要一环,但数据安全一直是制约数据共享的瓶颈。平衡数据共享与数据安全,加速释放数据要素市场红利,促进数字经济整体健康、持续发展的需求越来越强。

 

2、国家级网络攻击愈演愈烈

网络安全威胁国家安全,事关政治安全,网上渗透、破坏和颠覆的博弈日益尖锐复杂,地缘政治背景下的国家网络空间冲突将愈演愈烈,以黑客攻击炒作、窃取敏感数据、破坏关键基础设施为目的的国家APT活动将会更加频繁和活跃。

 

3、车联网安全需求日益凸显

车联网作为汽车、电子、信息等深度融合的新兴产业生态,正在加速融入人们的日常生活,在给人们带来便利的同时,也让网络安全面临新的挑战。随着汽车智能化、网络化、平台化发展特征日益凸显,车云、车车、车路、车与设备间的安全通讯需求快速增长。车联网安全信任体系将通过身份认证、通信加密等方式,探索解决车联网安全通信问题。

 

三、发展趋势

网络空间安全相关政策的制定必须适应网络安全领域的发展趋势,据来自国家网络安全主管部门、高校、科研院所、相关部委、大型央企及民营企业等不同单位(组织)的专家联合分析和预测,网络安全领域在未来将呈现以下发展趋势

 

1、等保和关保条例有望进一步推动网络安全产业生态蓬勃向好

《网络安全审查办法》和《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》明确了关键基础设施的保护要求和工作要求。。《网络安全等级保护条例》有望出台,《关键信息基础设施安全保护条例》也已发布,这意味着网络安全保护相关的一系列制度要素将进一步细化,促使各行业各领域网络安全投入持续加大。

 

2、网络攻防对抗朝人工智能方向发展演化

随着人工智能(AI)技术的普及应用,攻击方利用AI实现更快、更准地发现漏洞,从而产生更难以检测识别的恶意代码,而防守方需要利用AI提升网络安全检测、防御及自动化响应能力。网络安全将从现阶段的人与人对抗、人机对抗逐渐向基于AI攻防对抗发展演化

 

3、网络安全人才需求看涨

网络安全人才需求单位越来越多、要求越来越高,但网络安全人才队伍培养没有跟上网络安全人才需求,预计未来我国网络安全人才数量缺口将突破百万,而实战型实用型的网络安全人才也将面临更大的缺口。

 

4、网络攻防演练推动网络安全保护常态化和实战化

最近几年的实战网络攻防演练取得实效,得到政府和企事业单位的普遍认可,有效地提升了我国网络安全的防护与应急响应能力,实战化攻防演练将成为政企网络安全防御新思路,成为网络安全保护的常态。

 

5、**政策促进自主可控产业发展

近年来,在新的复杂的国际经济、政治、科技形势下,构建自主的IT底层架构和标准,形成可控的IT供应链,是保障网络与数据安全的重中之重,在国家、地方性政策不断牵引下,**产业将带动从IT底层的基础软硬件到上层的应用软件全产业链的安全与自主可控。

 

6、工业数字化进程导致工控安全问题凸显

作为能源、制造等国家命脉行业的重要基础设施,工业控制系统具备体量大、种类多、结构复杂、体系结构复杂等特性。随着工业数字化进程的加快,工控系统接入设备种类和数量增长、应用范围更广,工控系统的整体受攻击面也随之扩大。此外,随着云计算、大数据、工业物联网等新技术在工控中的应用不断增加,工业处理流程的开放性和不确定性进一步增加,传统信息安全问题在工业控制领域不断延伸,工业控制系统将面临更严峻的安全考验。