2020年,突发的疫情催化了全球数字化进程的加速,但与之同时,急加速的数字化转型也让网络安全威胁前所未有的放大。网络基础设施更加多样化,网络攻击、数据泄露、勒索软件等类型的网络安全事件频繁发生。为了应对日益复杂的网络安全风险,国家不断完善网络安全保护方面的顶层设计,国家各部门出台发布了包括《数据安全法(草案)》、《个人信息保(草案)》等在内的数十项信息安全法律法规,以加强对网络安全、信息安全的监管与治理,为我国数字化转型和科技发展提供安全保障,肃清网络空间环境,推动网络安全企业技术创新,企业综合服务能力提升,为我国数字经济战略落地提供网络安全屏障。
2021年伊始,安全419综合参考各家网络安全厂商发布的信息,对2020年我国信息安全相关政策法规、标准、指南等文件进行了数据和汇总,以帮助行业同仁回顾整体地回顾中国网络安全、信息安全现状与发展趋势。
《密码法》是总体观框架下,法律体系的重要组成部分,是我国密码领域的综合性、基础性法律。该法律的颁布实施,极大提升了密码工作的科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护、社会公共利益以及公民、法人和其他组织的合法权益。
为规范国家政务信息化建设管理,推动政务信息系统跨部门跨层级互联互通、信息共享和业务协同,强化政务信息系统应用绩效考核,根据《国务院关于印发政务信息资源共享管理暂行办法的通知》等有关规定,制定本办法。2007年8月13日国家发展改革委公布的《国家电子政务工程建设项目管理暂行办法》同时废止。
新修订的金融行业标准《网上银行系统信息安全通用规范》(以下简称“规范”)由中国人民银行正式发布,这是继2012版《网上银行系统信息安全通用规范》后第一次进行替换修订的金融行业标准。该《标准》通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上银行案件, 针对性地提出安全要求,旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。《规范》既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据,也可作为行业主 管部门、专业检测机构进行检查、检测及认证的依据。
本标准规定了分布式账本技术的安全体系,包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、隐私保护、监管支撑、运维要求和治理机制等方面,适用于在金融领域从事分布式账本系统建设或者服务运营的机构。
该标准由中国人民银行提出,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。 标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考
《工作要点》涵盖三个核心目标,一是全面落实党中央、国务院对教育领域网络安全和信息化的战略部署;二是深入实施教育信息化2.0行动计划;三是教育网络安全支撑体系不断完善,网络安全人才培养能力和质量全面提升,教育系统网络安全防护水平不断提高。
为贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,制定本指南。工业数据分类分级以提升企业数据管理能力为目标,坚持问题导向、目标导向和结果导向相结合,企业主体、行业指导和属地监管相结合,分类标识、逐类定级和分级管理相结合。
《规定》以网络信息内容为主要治理对象,以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,突出了“政府、企业、社会、网民”等多元主体参与网络生态治理的主观能动性,重点规范网络信息内容生产者、网络信息内容服务平台、网络信息内容服务使用者以及网络行业组织在网络生态治理中的权利与义务,这是我国网络信息内容生态治理法治领域的一项里程碑事件,而且以“网络信息内容生态”作为网络空间治理立法的目标,这在全球也属首创。
《通知》明确提出加快新型基础设施建设、加快拓展融合创新应用、加快健全安全保障体系等6个方面20项具体措施,旨在落实中央关于推动工业互联网加快发展的决策部署,统筹发展与安全,推动工业互联网在更广范围、更深程度、更高水平上融合创新。
该指南旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。实践指南分析了在线会议、即时通信、文档协作等典型远程办公应用场景中存在的主要安全风险,从安全管理、安全运维等方面,给出了具体的安全控制措施建议,为远程办公安全防护提供参考。
为贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》任务要求,加快提升IPv6端到端贯通能力,持续提升IPv6活跃用户和网络流量规模,工信部印发该《通知》,《通知》明确提出优化提升IPv6网络接入能力、加快提升内容分发网络(CDN)IPv6应用加速能力、提升云服务平台IPv6业务承载能力、全面扩大数据中心(IDC)IPv6覆盖范围、着力提升终端设备IPv6支持能力、稳步提升行业网站及互联网应用IPv6浓度、着力强化IPv6网络安全保障能力,同时,《通知》还对2020年末主要目标、相关保障措施做出了要求。
《通知》明确提出加快5G网络建设部署、丰富5G技术应用场景、持续加大5G技术研发力度、着力构建5G安全保障体系、加强组织实施等五方面18项措施,旨在全力推进5G网络建设、应用推广、技术发展和安全保障,充分发挥5G新型基础设施的规模效应和带动作用,支撑经济高质量发展。
该指南建设内容主要集中在“网络数据安全标准体系框架”和“重点标准化领域及方向”两方面,其中网络数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准。
该《指导意见》明确将工业数据汇聚共享、深化数据融合创新、提升数据治理能力、加强数据安全管理,着力打造资源富集、应用繁荣、产业进步、治理有序的工业大数据生态体系。并提出加快数据汇聚、推动数据共享、深化数据应用、完善数据治理、强化数据安全、促进产业发展、加强组织保障等七方面21条指导意见。
《个人健康信息码》系列国家标准包括《个人健康信息码参考模型》、《个人健康信息码数据格式》和《个人健康信息码应用接口》3项内容。《个人健康信息码参考模型》规定了健康码的组成和展现形式,提出了健康码应用系统的参考模型和跨地区互认的技术机制。《个人健康信息码数据格式》规定了疫情防控所需个人健康信息的数据结构、数据元属性和数据管理要求。《个人健康信息码应用接口》规定了个人健康信息服务的接口,各类应用可通过统一接口对接不同的个人健康信息服务,为打通个人健康证明属地管理限制提供了技术支持,也为各地出行人员跨地区流动提供了便利。该系列国家标准实施后,可实现个人健康信息码的码制统一、展现方式统一、数据内容统一,统筹兼顾个人信息保护和信息共享利用,适用于指导健康码相关信息系统的设计、开发和系统集成。
为切实加强档案部门使用政务云平台过程中的档案信息安全管理,依据中央网信办印发的《关于加强党政部门云计算服务网络安全管理的意见》等文件要求,对档案部门提出以下要求:充分认识使用政务云平台的安全风险、切实加强使用政务云平台的安全管理、准确划分使用政务云平台的数据和业务范围。
为了确保关键信息基础设施供应链安全,维护,依据《中华人民共和国法》《中华人民共和国网络安全法》制定本办法,要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响的,应当按照本办法进行网络安全审查。本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。
聚焦“新网络、新要素、新生态、新平台、新应用、新安全”六大方向,到2022年,本市基本建成具备网络基础稳固、数据智能融合、产业生态完善、平台创新活跃、应用智慧丰富、安全可信可控等特征,具有国际领先水平的新型基础设施,对提高城市科技创新活力、经济发展质量、公共服务水平、社会治理能力形成强有力支撑。
规划到2022年,支撑贵州省大数据高质量发展的标准化体系基本建成,在国内外有较高的影响力和贡献,“国家技术标准创新基地(贵州大数据)”建成并运行良好。大数据标准化工作加快推进,大数据标准化的有效性、先进性和适用性显著增强。大数据标准化体制机制健全,大数据标准化服务更加高效,基本形成“供给快、重应用、谋创新”的新局面。同时,规划从“标准支撑创新,取得显著成效”和“标准赋能产业,形成带动效应”两个方面提出了主要任务。
《草案》确立数据分级分类管理以及风险评估,检测预警和应急处置等数据安全管理各项基本制度;明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;坚持安全与发展并重,锁定支持促进数据安全与发展的措施;建立保障政务数据安全和推动政务数据开放的制度措施。
2020年7月22日《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
该《指导意见》从深入贯彻实施国家网络安全等级保护制度、建立并实施关键信息基础设施安全保护制度、加强网络安全保护工作协作配合、加强网络安全工作各项保障等多个方面进行了规定,指导重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度,健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力处置重大网络安全事件,配合公安机关加强网络安全监管,严厉打击危害网络安全的违法犯罪活动,切实保障关键信息基础设施、重要网络和数据安全。
2020年7月22日《网络安全标准实践指南-移动互联网应用程序(APP)搜集使用个人信息自评估指南》发布
本《实践指南》依据《网络安全法》等法律法规要求,参照《App违法违规收集使用个人信息行为认定方法》和相关国家标准,结合检测评估工作经验,归纳总结出App收集使用个人信息的六个评估点:是否公开收集使用个人信息的规则;是否明示收集使用个人信息的目的、方式和范围;是否征得用户同意后才收集使用个人信息;是否遵循必要原则,仅收集与其提供的服务相关的个人信息;是否经用户同意后才向他人提供个人信息;是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息,供App运营者自评估参考使用。小程序、快应用等运营者也可参考其中的适用条款进行自评估。
为深入贯彻习总关于发展网络安全产业的重要指示精神,落实党中央、国务院关于加快新型基础设施建设的重大决策部署,挖掘新一代信息技术与网络安全技术融合创新的典型应用场景,提炼推广网络安全最佳实践和解决方案,促进网络安全教育、技术、产业融合发展,提升网络安全产业发展水平,强化新型信息基础设施安全保障能力,工业和信息化部办公厅开展2020年网络安全技术应用试点示范工作。重点方向包括:新型信息基础设施安全类、网络安全公共服务类以及网络安全“高精尖”技术创新平台类。
该文件描述了关键信息基础设施安全防护能力评价模型,给出了能力评价方法,适用于关键信息基础设施运营者对自身安全能力进行评价、网络安全服务机构对关键信息基础设施运营者安全能力进行评价,以及对关键信息基础设施运营者的安全管理,同时也可供关键信息基础设施保护工作部门和关键信息基础设施安全保护的其他参与者参考。
该指南的建设内容主要包括”数据安全标准体系框架“、”数据安全重点标准化领域及方向“两个方面。安全管理标准从数据安全保护的管理视角出发,指导行业有效落实法律法规关于数据安全管理的要求,包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。数据安全重点标准从基础共性标准 、关键技术标准、安全管理标准、重点领域标准等多个方面进行了说明。
该条例征求意见稿共九章六十四条,修订内容主要集中于“立法宗旨”、“管理范围”、“管理体制”、“科技创新与标准化”、“检测认证和产品、服务管理”、“电子认证”、“进出口”、“应用促进”、“监督管理”等几个方面。自实施日起,1999 年 10 月 7 日国务院发布的《商用密码管理条例》将同时废止。
本文件规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求。适用于网络运营者规范数据处理活动,提高数据安全管理和个人信息保护水平,也适用于主管监管部门对网络运营者数据处理活动进行监督管理,同时还可为第三方评估机构开展相关评估工作提供指导。
2020年9月8日,中国在“抓住数字机遇,共谋合作发展”国际研讨会上提出《全球数据安全倡议》,倡议的主要内容包括:积极维护全球供应链的开放、安全和稳定;反对利用信息技术破坏他国关键基础设施或窃取重要数据;采取措施防范制止利用信息技术侵害个人信息,反对滥用信息技术从事针对他国的大规模监控;要求企业尊重当地法律,不得强制要求本国企业将境外数据存储在境内;未经他国允许不得直接向企业或个人调取境外数据;企业不得在产品和服务中设置后门。
2020年9月18日《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》发布
该《实践指南》针对App存在的超范围收集、强制索权、频繁索权等问题,给出了当前App个人信息保护十大常见问题和处置指南,适用于App运营者防范和处置个人信息保护常见问题,也可为App开发者、移动互联网应用分发平台运营者和移动智能终端厂商提供参考。
2020年9月18日《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》发布
本实践指南依据法律法规和政策标准要求,针对App申 请使用系统权限存在的强制、频繁、过度索权,及授权、 私自调用权限上传个人信息、敏感权限滥用等典型问题,给 出了App申请使用系统权限的基本原则和安全要求,建议App 提供者参考本实践指南规范App系统权限申请和使用行为, 防范因系统权限不当利用造成的个人信息安全风险。
该指南分为三部分,分别为政务信息系统密码应用与安全性评估实施过程指南、政务信息系统密码应用措施指南、政务信息系统密码应用与安全性评估质量保障指南,给出了政务信息系统规划、建设、运行阶段,项目建设单位和使用单位分别应当开展的密码应用与安全性评估相关工作,对项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理提出了建议。
本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求,适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
《计划》提出到2023年底,工业互联网与安全生产协同推进发展格局基本形成,工业企业本质安全水平明显增强。一批重点行业工业互联网安全生产监管平台建成运行,“工业互联网+安全生产”快速感知、实时监测、超前预警、联动处置、系统评估等新型能力体系基本形成,数字化管理、网络化协同、智能化管控水平明显提升,形成较为完善的产业支撑和服务体系,实现更高质量、更有效率、更可持续、更为安全的发展模式。
为了保护个人信息权益,规范个人信息处理活动, 保障个人信息依法有序自由流动,促进个人信息合理利用,制定本法。草案就“个人信息处理规则”、“个人信息跨境提供的规则 ”、“个人在个人信息处理活动中的权利 ”、“个人信息处理者的义务”、“履行个人信息保护职责的部门 ”以及相关法律责任进行了规定。
该标准给出了网络安全事件应急演练实施的目的、原则、形式、方法及规则,并描述了应急演练的组织架构以及实施过程,适用于指导相关组织实施网络安全事件应急演练活动。
本条例对数字基础设施建设 、数据资源开发利用、数字产业发展、产业数字化转型、数字化治理、促进措施等进行了规定。
该标准提出了政务信息共享数据安全技术框架,规定了政务信息共享过程中数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求,适用于知道各级政务信息交换平台数据安全体系建设,规定各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。标准将于2021年6月1日起实施
2020年11月9日《信息安全技术 网络预约汽车服务数据安全指南国家标准(征求意见稿)》发布
该标准给出了网络预约汽车服务运营者开展服务时数据收集、存储、使用、共享、公开披露、删除的数据类型、范围、方式和条件,以及数据安全管理要求,适用于网络预约汽车服务运营者加强数据安全保护,也适用于国家主管部门、第三方评估机构等对网络预约汽车服务数据活动进行监督、管理和评估。 征集期至2021年1月8日。
2020年11月27日《《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》发布
针对当前 App使用SDK过程中可能面临的SDK安全漏洞、恶意行为、 违法违规收集使用个人信息等问题,参考当前SDK安全最佳 实践,给出了App使用SDK的安全实践指引,旨在减少因SDK 造成的App安全与个人信息保护问题。
为了规范数据活动,促进数据资源共享开放和全面深度开发利用,保护自然人、法人和非法人组织数据权利和合法权益,加快数据要素市场培育,促进数字经济高质量发展,根据法律、法规的规定,结合深圳经济特区实际,制定本条例。其中,该征求意见稿首次提出自然人、法人和非法人组织依据法律、法规和本《条例》的规定享有数据权,数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。
该《政策》从 “提高产业创新能力”、“建设产业人才高地” 、“提升产业服务能级”、“实施应用示范工程”、”营造产业发展环境“等5个方面进行了规定,旨在促进成都市网络信息安全产业高质量发展,聚力打造中国网络信息安全之城。
《指导意见》明确加快构建全国一体化大数据中心协同创新体系,强化数据中心、数据资源的顶层统筹和要素流通,加快培育新业态新模式,引领我国数字经济高质量发展,助力国家治理体系和治理能力现代化。到2025年,全国范围内数据中心形成布局合理、绿色集约的基础设施一体化格局。
《信息安全技术 Web 应用安全检测系统安全技术要求和测试评价方法》,2020年3月1日起实施;
《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》,2020年3月1日起实施;
《信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法》,2020年3月1日起实施;
《信息技术 安全技术 消息鉴别码 第3部分:采用泛杂凑函数的机制》,2020年3月1日起实施;
《信息安全技术 保护轮廓和安全目标的产生指南》2020年9月29日正式发布,2021年4月1日起实施
《信息安全技术 基于生物特征识别的移动智能终端身份鉴别技术框架》,2020年10月1日起实施;
《信息安全技术 轻量级鉴别与访问控制机制》2020年10月11日正式发布,2021年5月1日起实施
《信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作》,2020年11月1日起实施;
《信息技术 安全技术 匿名实体鉴别 第4部分:基于弱秘密的机制》,2020年11月1日起实施;
《信息技术 安全技术 GB/T 22080 具体行业应用 要求》,2020年11月1日起实施;
《信息技术 安全技术 匿名数字签名 第2部分:采用群组公钥的机制》,2020年11月1日起实施;
《信息安全技术 网络产品和服务安全通用要求》,2020年11月19日发布,2021年6月1日起实施;
《信息安全技术 个人信息安全影响评估指南》,2020年11月19日发布,2021年6月1日起实施;
《信息安全技术 政务信息共享 数据安全技术要求》,2020年11月19日发布,2021年6月1日起实施;
《信息安全技术 系统安全工程 能力成熟度模型》,2020年11月19日发布,2021年6月1日起实施;
《信息安全技术 XML 数据签名语法与处理规范》,2020年11月19日发布,2021年6月1日起实施;
《信息技术 安全技术 网络安全 第1部分:综述和概念》,2020年11月19日发布,2021年6月1日起实施;
《信息技术 安全技术 网络安全 第2部分 网络安全设计和实现指南》,2020年11月19日发布,2021年6月1日起实施;
《信息安全技术 网络安全漏洞标识与描述规范》,2020年11月19日发布,2021年6月1日起实施;
《信息安全技术 网络安全漏洞管理规范》,2020年11月19日发布,2021年6月1日起实施;
《信息安全技术 网络安全漏洞分类分级管理》,2020年11月19日发布,2021年6月1日起实施;
《信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制》,2020年12月14日发布,2021年7月1日起实施;
《信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南》,2020年12月14日发布,2021年7月起实施;
《信息技术 安全技术 信息管理体系审核指南》,2020年12月14日发布,2021年7月1日起实施;
《信息安全技术 服务器安全技术要求和测评准则》,2020年12月14日发布,2021年7月1日起实施;
《信息安全技术 移动智能终端安全技术要求及测试评价方法》,2020年12月14日发布,2021年7月1日起实施;
《信息安全技术 健康医疗数据安全指南》,2020年12月14日发布,2021年7月1日起实施
我们看到,国家对网络安全与信息安全的监管和考核越发严格,针对网络安全建设、数据安全治理、个人信息安全保护等方向发布的多项政策也不断加码。随着多项政策、法规的密集发布和落地实施,国家关于网络安全、信息安全相关法律法规及配套制度不断完善,逐渐形成了包括法律法规、监管制度、标准规范在内的综合性政策体系。
在政府、企业对网络安全的合规要求下,社会各界网络安全意识和重视程度都不断提升,驱动网络安全行业继续保持高速发展和技术创新。在国家政策的护航下,网络安全行业挑战与机遇并存,相信我国网络安全行业厂商会抓住这个战略机遇期,在网络安全的舞台上大放异彩。