7月6日,广东省深圳市人大常委会公布了《深圳经济特区数据条例》(以下简称《条例》),《条例》对于数据安全的监管和义务做了详细规定,其中规定市网信部门负责统筹协调本市个人数据保护、网络数据安全、跨境数据流通等相关监督管理工作。市发展改革、工业和信息化等部门依照有关法律、法规,在各自职责范围内履行数据监督管理相关职能。
上述规定进一步延续了《数据安全法》中的相关法规,《数据安全法》中要求工业、电信、交通等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作,《数据安全法》将于今年9月1日起施行。
疫情中,数字化应用的广度和深度均有猛烈扩展,也带来了巨大的安全市场空间,一位大型信息技术企业安全事业部负责人对经济观察网表示,在疫情后来咨询机构的数量和分布的行业均有大幅度增长。
在各类责任主体中,由于数据资源的分布特点以及基础设施数字化的推进,政府的需求增长格外明显。从2017年起,有关数据安全、网络安全法规和政策框架逐渐搭建,政府权责也进一步明晰,数据安全、网络安全正在成为一个国家安全的重要组成部分,成为各级政府的重要目标。
随着医疗、教育、供热、供水等基础设施数字化的推进,政府对于网络安全保护的重点也在从信息化层面进一步向智能化层面推进,在智慧城市建设的浪潮中,关键信息基础设施安全的重要性进一步提升。
政府重视度日益提升
6月18日,包头市网络安全运营中心揭牌,这是一个由包头市网信办与北京中科智慧安全技术有限公司共同组建的城市级网络安全运营中心,以中科国智(内蒙古)网络信息科技有限公司为依托,主要服务包头全域,实现网络安全产业落地、技术升级和人才引进与包头其他支柱产业、战略产业的充分融合。
北京中科智慧安全技术有限公司是中科院创新孵化投资有限责任公司孵化成立的以网络安全为主营业务的公司,上述与包头市的合作是其属地化网络安全服务的落地案例,中科智慧联合创始人、CTO刘雪松对经济观察报表示,目前公司还在推进3-4个与地方政府合作的项目。“目前政府对于网络安全服务的需求很旺盛,因为维持一个技术安全团队成本较高,一般会选择对外采购服务的形式”,刘雪松表示。
刘雪松介绍,目前政府部门受限于各种因素,网络使用不当造成的网络信息安全事件时有发生,网络信息安全面临的风险日趋严重,各级政府部门网络信息安全主要存在以下问题:一是管理制度缺失;二是安全意识不足;三是技术能力有限;四是经费保障缺乏;五是应急能力薄弱。
从原则上讲,网络信息安全的保障既是一个系统工程,也是政府部门“一把手”工程。网络信息安全既包括技术方面,也包括管理方面。因此,要做好网络信息安全的防护工作,就应该得到单位“一把手”领导的重视与支持,以国家法律法规及相关技术标准为依据,增强网络安全的技术防护能力,完善网络信息安全管理体系,进一步推动网络信息安全防护的法制化、科学化和正规化发展。
刘雪松认为,要强化安全意识、完善管理制度、同步安全规划、重视安全技术、提升人员能力。
一位从事网络安全服务的业内人士对经济观察报表示,在目前政府数字化业务中,基本逻辑出现了一些变化,即对安全的重视程度逐渐提升,成为了一个基本的红线。据其介绍,一地曾在今年上半年举行了一次智慧城市的发布会,有十多家企业参与其中,但最终被当地监管部门批评,原因在于其中没有一家网络安全的公司,该如何保障其网络安全?
一些头部公司的业务构成中也看到了这一迹象,奇安信2020年营业收入增长超过30%,其2020年报中显示,报告期内,公司来自政府、公检法司及军队军工部门的收入占主营业务收入的比重超过40%,为公司第一大收入来源。
上述年报中表示,目前,国内网络安全事件呈现出行业分布多、地域分布广的特点,影响面越来越大,损失日益严重。同时,网络安全主管部门不断加大安全检查与实网攻防演练的力度,使得关键信息基础设施的运营者及全社会对网络安全的重视与投入快速提升,政府部门和大中型企业需要能够保障IT基础设施、应用与数据、业务与管理的综合性安全防护体系。
上述从事网络安全服务的业内人士对经济观察报表示,政府每年在网络安全上的经费安排也较为充裕,一些三线城市在这一领域的预算安排能达到5000万左右。
智慧化建设需关注关键信息基础设施保护
政府客户对于安全重视程度的提升是一个渐进的过程,与2017年以来多部相关政策、法规的出台密切相关。
2017年6月1日《中华人民共和国网络安全法》正式实施,2019年年底,网络安全等级保护2.0标准正式实施。上述从事网络安全服务的业内人士对经济观察报表示,从2019年起多地政府均开展了针对网络安全的自查,降低了政务网站的安全风险。
根据国家计算机网络应急技术处理协调中心于今年5月发布的《2020年我国互联网网络安全态势综述》中介绍,2020年抽样监测发现,境内政府网站被植入后门的数量大幅下降,同比减少64.3%;被篡改的网站数量同比减少45.9%。
但在另一方面,由于疫情中智能化的进一步普及,有关医疗、教育等公共服务、基础设施的风险挑战也持续增加。
上述综述中提及:不论是在疫情防控相关工作领域,还是在远程办公、教育、医疗及智能化生产等生产生活领域,大量新型互联网产品和服务应运而生,在助力疫情防控的同时也进一步推进社会数字化转型。与此同时,安全漏洞、数据泄露、网络诈骗、勒索、病毒等网络安全威胁日益凸显,有组织、有目的的网络攻击形势愈加明显,为网络安全防护工作带来更多挑战。
由于智慧城市等项目的推进,基础设施的智能化在全球范围内成为趋势,但也带来了信息安全的风险,今年5月美国最大的燃油、燃气管道运营商ColonialPipeline即受到了黑客攻击,被迫关闭其管道运营系统。
上述综述也提及新冠肺炎疫情发生以来,涉及医疗卫生的关键信息基础设施成为攻击者的重点攻击对象。
疫情以来,数字化在广度和深度两个层面快速推进,一方面涉及个人隐私安全的风险在增长,另一方面此前部分处于封闭状态的政府数据、基础设施数据一一打通,也增加了其面临的风险,特别是关键信息基础设施领域。
按照2017年发布的《中华人民共和国网络安全法》规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
从2020年下半年至今,全国多地下沉至县,均开展了围绕关键信息基础设施领域的网络安全检查。
上述北京中科智慧安全技术有限公司与包头市合作的项目即包括与包头市热力(集团)有限责任公司、包头市供水有限责任公司共建的包头市智慧热力安全实验室、和包头市网络安全与工控实验室。
刘雪松对经济观察报表示,此前一轮智慧城市等智能化建设一方面提高了公共基础设施的效率和便利性,但也留下了部分安全隐患,需要高度重视对关键信息基础设施的保护。
文章来源:经济观察网