黨的十九屆五中全會在《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標(biāo)的建議》中明確提出，要“堅定維護國家政權(quán)安全、制度安全、意識形態(tài)安全，全面加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)”，并將其納入國家安全體系和能力建設(shè)范疇，充分體現(xiàn)了其對國家安全的重要性。可以看出，該建議突出制度機制和體系能力建設(shè)，彰顯了系統(tǒng)思維、目標(biāo)導(dǎo)向、問題導(dǎo)向，有助于精準解決當(dāng)前面臨的焦點、難點、痛點，對實現(xiàn)網(wǎng)絡(luò)綜合治理體系現(xiàn)代化、維護網(wǎng)絡(luò)空間安全、建設(shè)網(wǎng)絡(luò)強國具有重要意義。

　　一、聚焦制度體系建設(shè)，強化治理效能，實現(xiàn)從“制度管理”到“制度管用” 的轉(zhuǎn)變

　　網(wǎng)絡(luò)安全保障體系是管網(wǎng)治網(wǎng)的綜合體系，包括系列法律法規(guī)、制度機制、流程規(guī)范等。網(wǎng)絡(luò)安全保障能力，既包括技術(shù)實力，又包括治理能力，是全方位能力建設(shè)。戰(zhàn)略政策和法律法規(guī)，是體系和能力建設(shè)的有機組成及重要體現(xiàn)。近年來，我國加快推進網(wǎng)絡(luò)空間領(lǐng)域的頂層設(shè)計步伐，全面加強網(wǎng)絡(luò)安全制度體系建設(shè)，頒布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》等戰(zhàn)略文件，出臺了國家安全法、網(wǎng)絡(luò)安全法、電子商務(wù)法等法律法規(guī)，實施了網(wǎng)絡(luò)安全審查等多項制度，完善了網(wǎng)絡(luò)安全風(fēng)險評估等相關(guān)機制，基本形成了頂層清晰、目標(biāo)明確、框架完善、機制健全的制度體系，初步構(gòu)建起了我國在網(wǎng)絡(luò)空間的“四梁八柱”。

　　與黨的十九大提出的“構(gòu)建系統(tǒng)完備、科學(xué)規(guī)范、運行有效的制度體系”要求相比，仍有不少現(xiàn)實課題擺在面前。一是如何充分發(fā)揮現(xiàn)有法律法規(guī)的作用，激發(fā)其治理效能，形成聯(lián)動效應(yīng)、打造整體合力。二是如何進一步細化既有規(guī)定要求，確保有效執(zhí)行、落實落細。三是如何發(fā)揮好網(wǎng)絡(luò)安全工作責(zé)任制的抓手作用，通過健全責(zé)任機制將制度規(guī)范有機融合。四是如何進一步完善法律法規(guī)，加快重點領(lǐng)域和關(guān)鍵化環(huán)節(jié)立法，打通治理“盲點”。

　　在這方面，可以借鑒國外通過健全完善制度體系、發(fā)揮整體效能、帶動能力提升的經(jīng)驗做法。英國政府于 2020 年 11 月向議會提出《國家安全與投資法案》（National Security and Investment Bill），針對人工智能、量子技術(shù)等 17 個重點行業(yè)，建立投資審查機制，對一定比例的所有權(quán)或控制權(quán)的收購行為，進行強制性備案和預(yù)先審批。為細化機制流程，2020 年 9 月，美國國土安全部網(wǎng)絡(luò)安全及基礎(chǔ)設(shè)施安全局頒布了強制命令（Binding Operational Directive），要求所有聯(lián)邦機構(gòu)須公布漏洞披露政策，并注明披露范圍、報送渠道、響應(yīng)時間、可否匿名等細則，作為對此前漏洞披露政策的細化落地，推動構(gòu)建起更加高效的漏洞披露體系。

　　立足我國實際，要科學(xué)把握體系和能力的辯證關(guān)系。一是充分依托現(xiàn)有的戰(zhàn)略、法律、法規(guī)、政策、制度、規(guī)范，在嚴格執(zhí)行、落地實施的基礎(chǔ)上，做好配套銜接，形成規(guī)范合力。二是針對各界關(guān)注的數(shù)據(jù)安全、信息保護、關(guān)鍵信息基礎(chǔ)設(shè)施防護等焦點問題，推動關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、數(shù)據(jù)安全管理、個人信息出境安全評估等相關(guān)領(lǐng)域規(guī)章制度的立法進程。三是用好責(zé)任抓手，進一步優(yōu)化網(wǎng)絡(luò)安全管理體制和協(xié)調(diào)機制，將網(wǎng)絡(luò)安全工作責(zé)任制落實落細到各個環(huán)節(jié)，形成明責(zé)、履責(zé)、盡責(zé)、追責(zé)的閉環(huán)鏈條，加強對責(zé)任落實的監(jiān)督檢查，確保各項要求落實落細。

　　二、聚焦關(guān)鍵信息基礎(chǔ)設(shè)施安全，強化協(xié)同共享，實現(xiàn)從“重點保護”到“一體防護”的轉(zhuǎn)變

　　關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)安全防護的重中之重。我國高度重視關(guān)鍵信息基礎(chǔ)設(shè)施防護，推進網(wǎng)絡(luò)安全等級保護制度，建立健全關(guān)鍵信息基礎(chǔ)設(shè)施防護責(zé)任體系，持續(xù)開展網(wǎng)絡(luò)安全檢查，加強不同地區(qū)、行業(yè)、部門的信息共享，提升威脅感知和風(fēng)險應(yīng)對，推動關(guān)鍵信息基礎(chǔ)設(shè)施保障體系不斷完善。然而，現(xiàn)有的防護水平和能力，還不足以完全有效應(yīng)對不斷變化的形勢以及日趨復(fù)雜的威脅，風(fēng)險防范和能力不足之間的矛盾依然存在。

　　當(dāng)前，產(chǎn)業(yè)數(shù)字化發(fā)展趨勢使關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全風(fēng)險進一步加劇。關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)化程度加快， “聯(lián)網(wǎng)”“上云”導(dǎo)致安全風(fēng)險更加多元復(fù)雜。加之其多涉及電力、金融、能源等關(guān)鍵領(lǐng)域，一旦出現(xiàn)安全問題，將對實體經(jīng)濟社會造成連帶負面影響。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心 2020 年 9 月公開發(fā)布的《上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》數(shù)據(jù)，2020 年 1 月至 6 月，境內(nèi)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)，持續(xù)遭受來自境外掃描嗅探，日均超過 2 萬次，涉及境內(nèi)能源、制造、通信等多個重點行業(yè)。此外，我國大型工業(yè)云平臺持續(xù)遭受境外網(wǎng)絡(luò)攻擊，平均攻擊次數(shù)每日達 114 次，同比上升 27%。

　　西方國家在關(guān)鍵信息基礎(chǔ)設(shè)施防護方面，將建立信息共享機制、加強協(xié)同應(yīng)對，作為提升防護能力、健全防護體系的重要途徑。美國歷屆政府發(fā)布的網(wǎng)絡(luò)安全戰(zhàn)略、政策、立法，都會開辟專門章節(jié)闡述共享協(xié)同的重要性。英國、澳大利亞、加拿大、日本等國也在本國的網(wǎng)絡(luò)安全戰(zhàn)略中，強調(diào)加強信息共享，共同抵御網(wǎng)絡(luò)安全風(fēng)險。2020 年 7 月，歐盟宣布組織歐盟警察局、軍隊和私營企業(yè)打造聯(lián)合創(chuàng)新中心，建立協(xié)調(diào)機制，以共同應(yīng)對網(wǎng)絡(luò)安全威脅。美國為吸引關(guān)鍵企業(yè)參與安全項目，推出網(wǎng)絡(luò)安全保險刺激措施，在接受政府安全保護的基礎(chǔ)上共同抵御網(wǎng)絡(luò)安全風(fēng)險，當(dāng)這些企業(yè)遭遇攻擊時，政府將提供相應(yīng)補償。

　　對此，我國應(yīng)著力強化關(guān)鍵信息基礎(chǔ)設(shè)施防護體系和能力建設(shè)，不斷提升防范風(fēng)險挑戰(zhàn)的能力。一是加強信息共享，建立有效的安全信息共享機制，打造數(shù)據(jù)共享平臺，將相關(guān)漏洞、風(fēng)險、政策、知識等信息納入其中，提高發(fā)現(xiàn)安全風(fēng)險隱患和監(jiān)測、預(yù)警等能力。二是加強協(xié)同聯(lián)動，強化關(guān)鍵信息基礎(chǔ)設(shè)施在跨地區(qū)、跨行業(yè)、跨領(lǐng)域之間的協(xié)同，探索打造互聯(lián)互通的預(yù)警平臺，定期開展網(wǎng)絡(luò)安全檢查，明確保護范圍和對象，建立一體化、全鏈條的保障體系。三是加強處置應(yīng)對，不斷提高監(jiān)測、預(yù)警能力，制定完善的應(yīng)急處置預(yù)案，組織開展防范網(wǎng)絡(luò)安全事件處置模擬演練，定期開展網(wǎng)絡(luò)脆弱性評估，著力提升網(wǎng)絡(luò)安全應(yīng)急處置能力。

　　三、聚焦重要數(shù)據(jù)資源管理和應(yīng)用，強化精準識別，實現(xiàn)從“摸清去向”到“管理流向”的轉(zhuǎn)變

　　隨著數(shù)據(jù)作為戰(zhàn)略資源和生產(chǎn)要素的重要性日益凸顯，我國對數(shù)據(jù)的有效使用和科學(xué)管理的步伐不斷推進，特別是在重要數(shù)據(jù)保護和利用、個人信息安全防護等方面，持續(xù)建立健全法律法規(guī)，加強監(jiān)督執(zhí)法力度，深入開展專項行動，不斷構(gòu)建防護體系，全面提升技術(shù)監(jiān)管能力，推動我國重要數(shù)據(jù)和個人信息的保護能力得到顯著提升，為數(shù)字經(jīng)濟的健康發(fā)展提供了堅實的基礎(chǔ)和有力的保障。

　　但是，伴隨 5G、大數(shù)據(jù)、云計算、人工智能等廣泛應(yīng)用，與數(shù)據(jù)資源相伴的數(shù)據(jù)安全問題更加不容小覷。近年來，網(wǎng)絡(luò)運營者數(shù)據(jù)風(fēng)險監(jiān)測和防護能力雖然有所提升，但是包含大量用戶敏感信息和行業(yè)數(shù)據(jù)的大規(guī)模數(shù)據(jù)泄露事件仍然多發(fā)，非法售賣數(shù)據(jù)案件層出不窮，暗網(wǎng)已經(jīng)成為數(shù)據(jù)非法交易的重要渠道。

　　在數(shù)據(jù)保護方面，美國和一些歐洲國家進行了有益的實踐，重點圍繞平衡好數(shù)據(jù)流動和信息安全之間的關(guān)系、健全制度規(guī)范、形成治理合力的思路，通過完善機構(gòu)人員設(shè)置、加大違法打擊力度、嚴格保障用戶權(quán)益、做好潛在風(fēng)險應(yīng)對等舉措，構(gòu)建起較為完備的數(shù)據(jù)安全保障體系。例如，德國政府指出，歐盟《通用數(shù)據(jù)保護條例》是確保數(shù)據(jù)安全的重要文件，對此應(yīng)不斷完善本國的數(shù)據(jù)保護法律法規(guī)，重點強化大數(shù)據(jù)場景下的安全防護。同時，借助信息通信技術(shù)手段，綜合運用加密傳輸?shù)确绞?，確保數(shù)據(jù)資源的安全可控，并加快本土化數(shù)據(jù)中心建設(shè)，逐步推廣本地化存儲。英國政府于 2020年 9月發(fā)布《國家數(shù)據(jù)戰(zhàn)略》（NationalData Strategy）， 提出“四大支柱”和“五大任務(wù)”，為如何更好利用數(shù)據(jù)、加強數(shù)據(jù)安全保障提供了依據(jù)。2020 年 12 月，新西蘭政府新修訂的《隱私法》（PrivacyAct）生效。該法新增了跨境數(shù)據(jù)傳輸規(guī)則，要求向海外傳輸用戶個人信息的本國企業(yè)和組織遵守新的規(guī)定。

　　對此，我國應(yīng)進一步加強重要數(shù)據(jù)資源的利用和安全保護，重點強化跨境數(shù)據(jù)流動的監(jiān)管，同時做好大數(shù)據(jù)場景下的個人信息保護。一是建立健全數(shù)據(jù)安全管理體制機制，加強對大數(shù)據(jù)中心、云服務(wù)中心的安全管理，定期對重點網(wǎng)絡(luò)和信息系統(tǒng)開展網(wǎng)絡(luò)數(shù)據(jù)安全評估和檢查，持續(xù)強化對數(shù)據(jù)泄露、竊取等行為的監(jiān)測發(fā)現(xiàn)能力。二是嚴厲打擊對個人信息的非法盜取、收集、買賣、轉(zhuǎn)移等行為，強化網(wǎng)絡(luò)安全意識和技能教育，嚴格對網(wǎng)絡(luò)運營者和服務(wù)商的監(jiān)管，健全完善對個人用戶的信息獲取機制，完善個人信息安全風(fēng)險侵害舉報機制。三是加強數(shù)據(jù)跨境流動監(jiān)管，從國家層面完善數(shù)據(jù)出境安全評估管理體系，開展重要數(shù)據(jù)和個人信息出境安全評估，強化對數(shù)據(jù)流動的識別分析，提升標(biāo)準化、規(guī)范化程度。

　　四、聚焦安全防護能力提升，強化整體感知，實現(xiàn)從“有力處置”到“有效預(yù)防”的轉(zhuǎn)變

　　近年來，我國網(wǎng)絡(luò)空間防護能力不斷提升，監(jiān)測、預(yù)警、處置、響應(yīng)等能力顯著增強，應(yīng)對網(wǎng)絡(luò)安全重大事件的水平不斷提高，尤其是重點環(huán)節(jié)、關(guān)鍵領(lǐng)域、重要設(shè)施的安全防護更加堅固，在維護網(wǎng)絡(luò)空間安全、保障公民合法權(quán)益方面發(fā)揮了巨大的作用，為筑牢網(wǎng)絡(luò)安全屏障提供了有力的支撐和堅實的保障。然而，現(xiàn)有的安全保障能力，在應(yīng)對復(fù)雜疊加的網(wǎng)絡(luò)安全風(fēng)險方面還存在短板，面對西方大國先發(fā)制人的戰(zhàn)略優(yōu)勢，還缺少主動性，特別是對于網(wǎng)絡(luò)安全態(tài)勢的整體感知、對于重大事件的聯(lián)動處置、對于重要威脅的積極防范，還存在一定薄弱環(huán)節(jié)。

　　西方發(fā)達國家在網(wǎng)絡(luò)安全能力建設(shè)方面，將其與體系建設(shè)融合推進，集中力量強化關(guān)鍵能力攻關(guān)，以點帶面推動整體能力水平的提高。一是態(tài)勢感知能力。2020 年 8 月，澳大利亞發(fā)布新版《網(wǎng)絡(luò)安全戰(zhàn)略》（Cyber Security Strategy 2020），提出通過網(wǎng)絡(luò)威脅共享平臺分享惡意網(wǎng)絡(luò)活動情報，幫助關(guān)鍵基礎(chǔ)設(shè)施運營商增強態(tài)勢感知能力。二是風(fēng)險防范能力。在 2020年美國大選過程中，為保障選舉順利進行，美國政府召集數(shù)百名網(wǎng)絡(luò)安全專家組成工作組，全天候開展網(wǎng)絡(luò)安全保障，并隨時共享相關(guān)信息。三是應(yīng)急處置能力。美國在《增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》（Frameworkfor Improving Critical Infrastructure Cybersecurity）中，從識別、保護、偵測、響應(yīng)和恢復(fù)五個層面，制定了美國關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)空間安全防護體系框架，從“初始級”“風(fēng)險預(yù)警級”“可重復(fù)級”和“自適應(yīng)級”四個層級，描述企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理的推進過程。四是快速恢復(fù)能力。英國政府宣布，在全國范圍內(nèi)設(shè)立由警方、私營機構(gòu)、學(xué)術(shù)部門組成的網(wǎng)絡(luò)彈性中心，幫助中小企業(yè)打擊網(wǎng)絡(luò)犯罪，解決網(wǎng)絡(luò)安全問題。

　　對此，我國應(yīng)持續(xù)推進網(wǎng)絡(luò)安全保障能力建設(shè)，一是以構(gòu)建重要平臺為依托，加快整合相關(guān)手段、機制、資源，強化整體協(xié)同、統(tǒng)籌協(xié)調(diào)、融合賦能的能力。二是強化重點能力突破，以面向新型未知威脅、大規(guī)模網(wǎng)絡(luò)安全事件的監(jiān)測預(yù)警作為重點，著力提升網(wǎng)絡(luò)安全威脅態(tài)勢感知能力。三是持續(xù)提高網(wǎng)絡(luò)安全事件應(yīng)急處置能力，定期開展網(wǎng)絡(luò)安全應(yīng)急演練，著力強化應(yīng)急響應(yīng)、事件分析、追蹤溯源、快速恢復(fù)的能力。

　　五、聚焦技術(shù)應(yīng)用風(fēng)險防范，強化創(chuàng)新攻關(guān)，實現(xiàn)從“安全應(yīng)用”到“積極利用”的轉(zhuǎn)變

　　隨著我國在關(guān)鍵技術(shù)領(lǐng)域的投入不斷加大，實現(xiàn)了部分技術(shù)和應(yīng)用從跟跑、并跑再到領(lǐng)跑的躍進，一些領(lǐng)域的關(guān)鍵技術(shù)實現(xiàn)了新的突破，核心自主掌控程度、創(chuàng)新驅(qū)動發(fā)展能力得到顯著提升，創(chuàng)新型國家步伐顯著加快，我國正在從技術(shù)大國向技術(shù)強國邁進。

　　但是，我國面臨的技術(shù)風(fēng)險依然不容忽視。一是與西方發(fā)達國家相比，核心技術(shù)依然面臨受制于人的被動局面。目前，我國關(guān)鍵信息基礎(chǔ)設(shè)施的重要系統(tǒng)，面臨核心硬件多為外商巨頭制造、自主可控水平較低、安全防護能力嚴重不足、網(wǎng)絡(luò)接入控制不嚴格、網(wǎng)絡(luò)維護依賴國外廠商等問題。二是由于 5G、IPv6、區(qū)塊鏈、衛(wèi)星互聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用本身快速發(fā)展，使“未知”遠遠大于“已知”，衍生出新的安全風(fēng)險，給現(xiàn)有技術(shù)手段和監(jiān)管機制帶來挑戰(zhàn)。因此，必須要從技術(shù)能力和制度規(guī)范兩方面同步發(fā)力，既要做好風(fēng)險防范，也要做到為我所用。

　　在技術(shù)創(chuàng)新和風(fēng)險防范領(lǐng)域，國外相關(guān)舉措值得借鑒。一是開展關(guān)鍵技術(shù)攻關(guān)。針對前沿技術(shù)研發(fā)，美國政府在 2020 年宣稱，已經(jīng)投資 7500 萬美元資金，啟動 3 個量子研究所，加強在量子計算行業(yè)的領(lǐng)導(dǎo)地位。2020 年 10 月，美國白宮發(fā)布《國家關(guān)鍵與新興技術(shù)戰(zhàn)略》（National Strategy for Critical and EmergingTechnology），圍繞促進國家安全創(chuàng)新基礎(chǔ)和保護技術(shù)優(yōu)勢兩大目標(biāo)，確定包括人工智能在內(nèi)的 20 項關(guān)鍵技術(shù)清單。二是加強對新技術(shù)新應(yīng)用風(fēng)險的防范。2020年 7 月，美國參議院提出《合法獲取加密數(shù)據(jù)法案》（Lawful Access to Encrypted Data），要求科技公司向執(zhí)法部門提供訪問加密用戶數(shù)據(jù)的權(quán)限，旨在禁止犯罪分子試圖利用加密技術(shù)逃避制裁。三是充分借助新技術(shù)提升安全防范能力。2020 年 10 月，新加坡計算機協(xié)會（SCS）發(fā)布《人工智能倫理與治理指導(dǎo)手冊》（AIEthics & Governance Body of Knowledge），通過吸收人工智能應(yīng)用的相關(guān)案例，考察技術(shù)有效利用和構(gòu)建安全生態(tài)的潛力。

　　為此，應(yīng)著力做到以下幾點：一是加強核心技術(shù)攻關(guān)， 加大基礎(chǔ)研究投入力度，解決“卡脖子”的問題。同時，要集中優(yōu)勢資源力量，著力攻克一批技術(shù)難題，形成一批“殺手锏”技術(shù)。二是做好新技術(shù)新應(yīng)用的風(fēng)險防范，加強前瞻性戰(zhàn)略謀劃，健全對新技術(shù)新應(yīng)用網(wǎng)絡(luò)安全風(fēng)險評估的標(biāo)準規(guī)范體系建設(shè)，提高對人工智能、區(qū)塊鏈等新興技術(shù)的監(jiān)測評估。三是發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，加強統(tǒng)籌規(guī)劃和整體布局，完善支持網(wǎng)絡(luò)安全企業(yè)發(fā)展的政策措施，減輕企業(yè)負擔(dān)，激發(fā)企業(yè)活力，培育一批具有核心競爭力的安全企業(yè)。