1.4 世界各國網絡空間安全政策法規

隨著全球各行業數字化進程的不斷加速，各類新興信息通信技術快速發展，萬物互聯正一步步向人們走來。因此，各行各業對于數據的安全需求也日益遞增。而且，這其中有相當一部分是保障民生的重要行業。

然而，互聯網的蔓延帶來的并不全是增益，還造成了一系列風險缺口：在數字化推動生產和消費革命的同時，猶如新生嬰兒一般缺乏防護能力，傳統行業正面臨網絡安全威脅的挑戰。大量的數據表明，近年來隨著智能設備和控制系統的增多，數字化的設施越來越容易遭到黑客的攻擊，傳統產業的網絡安全性堪憂。

因此，想要實現萬物互聯的網絡世界需要完善的網絡安全政策體系，以實現更高效的安全防御。

1.4.1 美國

美國可以說是網絡方面“第一大國”，無論是從網絡規模、黑客數量、安全事件還是互聯網行業水平來看，都處于領先地位。

在2018年年初，美國眾議院能源和商業小組委員會通過了4項法案。

1）要求美國能源部長里克·佩里制訂計劃提高美國能源管道和液化天然氣設施的物理安全與網絡安全（《管道與液化天然氣設施網絡安全準備法案》）。

2）提出將美國能源部的應急響應和網絡安全工作領導權力提至助理部長一級（《能源應急領導法案》）。

3）制訂計劃幫助私營公共事業公司識別并使用網絡安全功能強大的產品（《2018網絡感知法案》）。

4）提出加強公私合作確保電力設施安全（《公私合作加強電網安全法案》）。

這些法案提出“采取可行的措施”，確保美國能源部能有效執行應急和安全活動，并確保美國能源供應安全可靠。與此同時，美國相繼發布了多份網絡安全相關政策文件，進一步強化網絡安全政策指導。

2018年5月，美國能源部發布《能源行業網絡安全多年計劃》，確定了美國能源部未來5年力圖實現的目標和計劃，以及實現這些目標和計劃將采取的相應舉措，以降低網絡事件給美國能源帶來的風險。

2018年12月，美國眾議院能源和商業委員會發布《網絡安全戰略報告》，提出6個應對網絡安全事件的核心內聯概念及解決網絡安全問題的6個重點。

除此之外，美國相關部門也發布了其他指導性文件，包括美國國家標準與技術研究院（NIST）的《提升關鍵基礎設施網絡安全的框架》、美國國家安全電信咨詢委員會（NSTAC）的《網絡安全“登月”計劃》等。

美國“2019財年國防授權法案”將網絡安全預算大幅增加至300億美元，將從推進技術發展、擴大采購權限、強化政企合作、支持人才培養、創建試點項目等方面提升國家網絡安全能力。

1.4.2 歐盟

作為世界最大的經濟共同體，匯聚了眾多發達國家的歐盟在網絡安全方面自然也不甘示弱。

2016年7月6日，歐洲議會全體會議通過首部相關法規《網絡與信息系統安全指令》，主要內容包括：要求歐盟各成員國加強跨境管理與合作；制定本國的網絡信息安全戰略；建立事故應急機制，對能源、金融、交通和醫療等公共服務重點領域的基礎服務運營者進行梳理，強制這些企業加強其網絡信息系統的安全，增強防范風險和處理事故的能力。

2018年5月，歐盟《網絡與信息系統安全指令》正式生效。此項面向歐盟范圍內的新法令旨在提高關鍵基礎設施相關組織的IT安全性，同時亦將約束各搜索引擎、在線市場及其他對現代經濟擁有關鍵性影響的組織機構。

此外，另一項家喻戶曉的法案也于2018年5月25日正式生效，即《通用數據保護條例》（即GDPR）。這是目前為止出臺的全球現有數據隱私保護法規中，覆蓋面最廣、監管條件最嚴格的法案。GDPR管轄的范圍涵蓋所有處理歐盟居民數據的公司，在歐盟地區的企業必須遵守GDPR，歐盟之外的企業只要處理歐盟居民的數據也需要遵守GDPR。目前為止，谷歌公司（以下簡稱谷歌）、Facebook公司（以下簡稱Facebook）等多家大型企業也都先后因為安全問題而遭到了GDPR的“制裁”。

除了歐盟層面的法規之外，歐洲幾大國也相繼發布國家戰略及系列規劃，加強頂層設計。

1.4.3 德國

2016年8月，德國聯邦參議院通過一項信息安全法案，要求關鍵基礎設施機構和服務商必須執行新的信息安全規定，否則將被處以最高10萬歐元的罰款。

2016年11月，德國發布一項新的網絡安全戰略計劃，以應對越來越多針對政府機構、關鍵基礎設施、企業及公民的網絡威脅。

2018年5月，德國能源與水資源經濟聯邦協會（BDEW）發布《能源系統網絡安全建議白皮書》，對能源系統的安全控制與通信提出了相關建議。

此外，德國國防部長和內政部長在2018年9月宣布，將在未來5年投入2億歐元組建網絡安全與關鍵技術創新局，機構定位類似于美國國防部高級研究計劃局（DARPA），主要致力于推動自主網絡安全技術創新。

1.4.4 英國

2016年11月，英國發布《國家網絡安全戰略（2016—2021年）》，確保網絡安全的重要地位，并提出，英國政府將投入19億英鎊強化網絡安全能力。

2017年3月，英國正式出臺《英國數字化戰略2017》，提出七大戰略任務，其中，安全的數字基礎設施是其首要任務。

2018年6月，英國政府內閣辦公室發布實施網絡安全最低標準（Minimum CyberSecurity Standard），從識別、保護、檢測、響應和恢復5個維度，提出了一套網絡安全能力建設的最低措施要求。

1.4.5 中國

十八大以來，我國確立了網絡強國戰略，為了加快數字中國的建設，互聯網已經成為國家發展的重要驅動力，隨后在十九大也同樣指出，網絡安全是人類面臨的許多共同挑戰。

2017年6月1日，《網絡安全法》正式實施。關鍵基礎設施安全成為國內網絡安全的主要關注點之一。其中，由于工業控制系統在日常生產制造中占據了非常大的比例，因此為了進一步推動工控系統網絡安全建設，一系列法律法規和規范性文件相繼出臺：國家互聯網信息辦公室發布《關鍵信息基礎設施安全保護條例（征求意見稿）》，工業和信息化部印發《工業控制系統信息安全防護能力評估工作管理辦法》，工業和信息化部制定了《工業控制系統信息安全行動計劃（2018—2020年）》等。工控系統的安全被提升到了前所未有的高度。

2018年4月，全國信息安全標準化技術委員會正式發布《大數據安全標準化白皮書（2018版）》。重點介紹了國內外的大數據安全法律法規、政策執行，以及標準化現狀，分析了大數據安全所面臨的風險和挑戰。同時規劃了大數據安全標準的工作重點，描繪了大數據安全標準化的體系框架，并提出了開展大數據安全標準化的工作建議。

2018年6月，國務院《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》發布，表示2018—2020年是我國工業互聯網建設起步階段，對未來發展影響深遠。隨后，為了深入實施工業互聯網創新發展戰略，推動實體經濟與數字經濟深度融合，2018年5月工業和信息化部印發《工業互聯網發展行動計劃（2018—2020年）》和《工業互聯網專項工作組2018年工作計劃》。

2018年7月，工業和信息化部正式印發《工業互聯網平臺建設及推廣指南》和《工業互聯網平臺評價方法》，要求制定完善工業信息安全管理等政策法規，明確安全防護要求。建設國家工業信息安全綜合保障平臺，實時分析平臺安全態勢。強化企業平臺安全主體責任，引導平臺強化安全防護意識，提升漏洞發現、安全防護和應急處置能力。

2018年9月，國家能源局印發《關于加強電力行業網絡安全工作的指導意見》。指導意見將有效地促進電力行業網絡安全責任體系，并有助于完善網絡安全監督管理體制機制，進一步提高電力監控系統安全防護水平，強化網絡安全防護體系，提高自主創新及安全可控能力，從而防范和遏制重大網絡安全事件，以保障電力系統安全穩定運行和電力可靠供應。

各類政策接踵而來，但我國非但沒有減慢步伐，仍然在不斷地推陳出新。中央網絡安全和信息化領導小組提出：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化，中國要由網絡大國走向網絡強國。”2019年5月，網絡安全等級保護制度2.0（以下簡稱等保2.0）國家標準發布，等保2.0時代正式到來。

等保2.0中將采用安全通用要求和安全擴展要求的劃分，使得標準的使用更加具有靈活性和針對性。不同等級保護對象由于采用的信息技術不同，所采用的保護措施也會不同。例如，傳統的信息系統和云計算平臺的保護措施有差異，云計算平臺和工業控制系統的保護措施也有差異。為了體現不同對象的保護差異，新的等級保護條例將安全要求劃分為安全通用要求和安全擴展要求。等級保護對象的安全保護措施需要同時實現安全通用要求和安全擴展要求，從而更加有效地保護等級保護對象。

1.4.6 其他國家

2018年2月，新加坡國會通過《網絡安全法案》，旨在加強保護提供基本服務的計算機系統，防范網絡攻擊。該法案提出針對關鍵信息基礎設施的監管框架，并明確了所有者確保網絡安全的職責。能源、交通、航空等基礎設施領域的關鍵網絡安全信息被點名加強合作。如果關鍵信息基礎設施所有者不履行義務，將面臨最高10萬新元的罰款，或兩年監禁，亦或二者并罰。

以色列創新局將聯合以色列經濟和工業部、國家網絡局啟動為期三年的產業發展計劃，包括對有全球影響力的技術、有突破性研發潛力的網絡安全企業提供資金支持等，投資9000萬新謝克爾（約2443萬美元）。

可以看出，全世界各國都在積極應對網絡空間安全問題。而我國正處于互聯網發展的窗口期，加強互聯網數據保護、提高抵御黑客攻擊的能力將是今后互聯網發展的一個重要課題。政策體系還需要進一步完善，而安全產品和技術措施也要跟上互聯網發展普及的步伐。網絡空間安全仍舊“未來可期”。