綜合篇

第一章　2023年全球網絡安全發展狀況

網絡安全牽一發而動全身，與其他領域安全相互交融、相互影響，已經成為最復雜、最現實、最嚴峻的非傳統安全問題之一。隨著人工智能、量子科技、大數據等新一代信息技術的高速發展，網絡攻防逐步進入智能化對抗時代，全球數據泄露、勒索軟件攻擊、分布式拒絕服務攻擊等網絡安全事件頻發，給國家網絡安全帶來新的嚴峻挑戰。2023年，全球多個國家和地區紛紛發布、更新國家安全戰略或基礎性立法，強化網絡安全保障頂層設計，重點加強關鍵信息基礎設施和數據安全保護，積極防范新技術新應用安全風險，多維度構建堅實的網絡空間安全保護屏障。

第一節　網絡安全頂層設計不斷加強

網絡安全是國家安全的重要組成部分，是關乎長遠、關乎未來、關乎全局的重大戰略問題。為更好地應對復雜多變的網絡安全隱患，進一步筑牢國家網絡安全屏障，多個國家和地區于2023年密集出臺戰略政策文件，持續推進法律法規體系建設，更新優化技術標準，推動頂層設計不斷升級完善。

一、國家網絡安全戰略密集出臺

2023年3月，美國白宮發布新版《國家網絡安全戰略》，提出了改善美國數字安全的整體方法，著力捍衛關鍵基礎設施、打擊和瓦解威脅行為者、通過市場力量推動安全和彈性、加強對未來安全彈性的投資和發展網絡空間國際伙伴關系。美國國防部發布《2023—2027年國防部網絡勞動力戰略》，構建涵蓋“識別、招聘、發展、留存”的網絡勞動力發展路線圖，提出建立標準并分配管理網絡勞動力的責任、通過當前和未來的計劃擴大網絡勞動力的發展與教育等六大舉措。5月，美國白宮發布了《關鍵和新興技術的國家標準戰略》，重點關注通信和網絡技術、半導體和微電子、人工智能、生物技術、量子信息技術等20項“關鍵和新興技術”，圍繞加強國家安全創新基礎、保持技術優勢兩大戰略目標，提出推動技術創新、對關鍵技術實施出口管制、確保供應鏈安全等20余項具體措施。9月，美國國防部發布《2023年美國國防部網絡戰略摘要》，延續“以攻為守”的網絡安全思想，概述了美國國防部如何最大限度地發揮其網絡能力，以支持綜合威懾，并與其他國家力量工具協同運用于網絡空間行動。12月，澳大利亞政府發布《2023—2030年澳大利亞網絡安全戰略》，該戰略號召開創澳大利亞網絡合作的新時代，提出通過“六層網絡護盾”構建更強大的網絡防御體系，使公民生活有序、企業經營繁榮，并在遭受網絡攻擊時能夠及時應對。

二、網絡安全法律法規持續完善

2023年1月，《關于在歐盟全境實現高度統一網絡安全措施的指令》（NIS 2指令）正式生效，NIS 2指令取代了《網絡和信息系統安全規則》（NIS指令），大大擴展了屬于其范圍的關鍵實體的部門和類型，加強了網絡安全風險管理要求，為歐盟成員國采取更具創新性的網絡安全監管措施鋪平了道路。12月6日，美國參眾兩院通過《2024財年國防授權法案》，只待提交總統簽署并正式生效。初步統計，該法案網絡安全預算約14.5億美元，同比增長14%，增速遠高于國防預算整體增速。根據法案，2024年美國國防工業網絡安全主要支出領域包括網絡安全風險和態勢感知、信息技術和數據管理、網絡戰能力、人工智能等。12月7日，歐洲議會工業、研究與能源委員會通過《網絡團結法案》草案，提出建設歐盟安全運營中心“網絡護盾”、建立以歐盟網絡民兵為支撐的網絡應急機制、實施網絡安全事件審查機制等。12月8日，歐盟委員會、歐洲議會和歐盟成員國代表就《人工智能法案》達成臨時協議，旨在確保投放到歐洲市場并在歐盟使用的人工智能系統安全并尊重公民基本權利和歐盟價值觀。該法案提出：針對高影響力通用人工智能模型以及高風險人工智能系統制定專門規則；在歐盟層面建立具備執行權的人工智能治理機構；擴大禁止類人工智能技術清單，允許政府出于執法目的在公共場所使用遠程生物識別技術，但須遵守保障措施；高風險人工智能系統的部署者有義務在投入使用之前進行權利影響評估等。

三、技術標準體系建設縱深推進

2023年5月，美國國家標準與技術研究院（以下簡稱NIST）發布《對聯邦漏洞披露指南的建議》（NIST SP800-216），提出建立聯邦漏洞披露框架、正確處理漏洞報告以及溝通漏洞的緩解和修復措施，以推進漏洞披露體系化建設。8月，NIST發布《網絡安全框架2.0》（Cybersecurity Framework 2.0）草案，提出了治理（govern）、識別（identify）、保護（protect）、檢測（detect）、響應（respond）和恢復（recover）的網絡安全框架的六大核心功能，幫助行業、政府機構和其他組織更好地理解、評估和部署網絡安全工作。

四、網絡安全國際合作繼續開展

2023年4月，美韓兩國元首簽署《戰略性網絡安全合作框架》協議，將開發并運用多種手段切斷和遏制網絡空間的惡意行為，向在網絡空間參與破壞和非法行為的國家追究責任；合作開展網絡訓練、核心基礎設施保護研究及開發、人才培養，實時共享網絡威脅信息，構建民官學合作網絡等。11月，美國網絡安全和基礎設施安全局與韓國國家情報院簽署《關于加強防御網絡威脅合作的諒解備忘錄》，提出加強計算機應急響應小組之間的溝通，圍繞關鍵基礎設施供應鏈彈性開展合作，加強聯合演習、專家交流、人才培養，以及分享網絡和基礎設施領域最佳實踐等。11月22日，英國科學、創新和技術部與韓國科學技術信息通信部建立數字合作伙伴關系，圍繞改進基線網絡安全和確保關鍵技術的安全等4個方面開展合作。

第二節　數據安全和個人信息保護制度建立完善

當前，數據安全已成為數字經濟時代最緊迫和最基礎的安全問題，加強數據安全治理已成為維護國家安全和國家競爭力的戰略需要。與此同時，個人隱私泄露事件頻發，健全個人信息保護的綜合治理體系成為各國關注的重點。2023年，多國持續優化完善數據安全和個人信息保護法律法規，加速構建數據跨境流動新秩序，全面推進數據安全和個人信息保護監督執法，全面提升數據安全治理和個人信息保護水平。

一、多部法律法規加快落地實施

2023年3月，英國提交《數據保護和數字信息法案》修訂案，在沿用歐盟出臺的《通用數據保護條例》優勢的基礎上為企業提供更大的靈活性，進一步減少合規性文書，不為企業增加額外成本，明確何時可在未經同意的情況下處理個人數據。8月，印度通過《2023年數字個人數據保護法案》，在保留數據受托人義務、數據委托人權利和義務以及創設印度數據保護委員會等主體立法框架的同時，對“數字個人數據”“特征分析”“特定合法使用”等關鍵概念以及數據出境、豁免與違法處罰等規則做了進一步調整，為確保個人數據的隱私和安全奠定了堅實的法律基礎。11月，歐盟理事會正式通過了《關于公平訪問和使用數據的統一規則的條例》，明確了數據訪問、共享和使用的規則，規定了獲取數據的主體和條件，旨在提高歐盟行業通過產品和關聯服務產生的數據的價值，為數據驅動的創新提供更加開放、競爭的市場環境。

二、數據跨境流動新秩序初步構建

2023年7月，歐盟委員會通過《關于歐盟-美國數據隱私框架的充分性決定》，反映了歐盟確信該框架能確保美國對兩國之間傳輸的個人數據的保護與歐盟提供的保護相當，標志著歐美間數據跨境傳輸的第三次合作正式落地。10月21日，“英美數據橋”（UK-US data bridge）生效，英國的組織能夠將個人數據傳輸到獲得“歐盟-美國數據隱私框架的英國擴展”認證的美國組織，而無須進一步的保護措施。10月28日，歐盟和日本就數據跨境流動達成協議，該協議將取消數據本地化要求，使金融服務、運輸、機械和電子商務等多個行業的企業受益，使它們無須煩瑣且成本高昂的管理即可處理數據。

三、數據安全監督執法全面推進

2023年4月，英國數據監管機構對TikTok處以1270萬英鎊的罰款，原因是TikTok未經相關父母同意非法處理和使用平臺下140萬名13歲以下兒童的數據。5月，愛爾蘭數據保護委員會因Meta違規向美國傳輸大量歐盟用戶個人數據，對Meta處以12億歐元的罰款，要求Meta在接到裁決通知的5個月內暫停向美國傳輸歐盟用戶個人數據，半年內停止非法處理及存儲歐盟用戶個人數據，該判例成為歐盟對違反數據保護條例的企業開出的最重罰單。9月，TikTok因處理用戶的個人數據不當，被愛爾蘭數據保護委員會處以3.45億歐元的罰款。9月，谷歌因未經用戶同意擅自收集、存儲和使用用戶位置信息，向美國加利福尼亞州支付了9300萬美元和解金。

第三節　關鍵信息基礎設施日益成為安全防護的重中之重

關鍵信息基礎設施的系統數據資產價值較高，遭受網絡攻擊的影響范圍較廣、后果較重，越發成為網絡攻擊的首選陣地，全球范圍內針對關鍵信息基礎設施的網絡攻擊事件層出不窮，通信、能源、醫療、制造、交通、金融、教育等行業無一幸免，給多國帶來重要數據泄露、社會系統癱瘓等重大危害，嚴重威脅國家安全。2023年，世界多國積極應對關鍵信息基礎設施的重大網絡安全威脅，加速推進關鍵信息基礎設施安全相關立法工作，著力緩解漏洞安全風險，提高供應鏈安全水平，進一步加大關鍵信息基礎設施安全保護力度。

一、聚焦關鍵信息基礎設施的重點保護

2023年2月，澳大利亞政府發布了《2023年關鍵基礎設施彈性戰略》，該戰略提供了一個全國性框架，指導澳大利亞加強關鍵基礎設施的安全性和彈性。3月，美國出臺《國家網絡安全戰略》，將“保護關鍵基礎設施”列為戰略確立的五大支柱之首，明確關鍵基礎設施保護的目標是“運作持久且有效的協作防御模式，公平分配風險和責任，為美國數字生態提供基本安全和韌性”。5月，澳大利亞網絡和基礎設施安全中心發布《關鍵基礎設施資產類別定義指南》，該指南對關鍵基礎設施資產分類提供了指導意見，涵蓋了通信、金融、能源、運輸等十大類別22個關鍵基礎設施行業，有助于提高運營彈性、降低復雜性。5月，美國網絡安全和基礎設施安全局（以下簡稱CISA）發布《增強網絡物理關鍵基礎設施彈性的研究、開發和創新：需求和戰略行動》白皮書，強調增強網絡物理關鍵基礎設施彈性，提出相關研發需求和戰略行動，包括開發集成模型以識別互聯基礎設施的系統性風險以及中斷造成的級聯影響，圍繞網絡物理基礎設施的彈性建立跨機構研發與創新測試平臺等。10月，美國網絡安全和基礎設施安全局宣布修訂《國家網絡事件響應計劃》，幫助美國及其盟友更有效地應對網絡事件并從中恢復，從而減少網絡傷害。

二、著力緩解關鍵信息基礎設施漏洞的安全風險

施行強制漏洞披露要求、建立漏洞披露計劃、發布漏洞早期預警、鼓勵安全研究人員善意發現并報告漏洞等是各國消減關鍵信息基礎設施漏洞的重要途徑。2023年1月，美國國防部宣布發起“黑掉五角大樓3.0”計劃，重點是查找維持五角大樓和相關場地網絡運行的操作技術中的漏洞。2月，比利時網絡安全中心（CCB）發布新法律框架，允許任何自然人或法人在沒有欺詐或惡意情況下發現和報告位于比利時的網絡信息系統中的現存漏洞，并在符合特定“嚴格”條件的前提下，保護上報可能影響比利時各類系統、網絡或應用程序的安全漏洞的個人或組織免受起訴。8月，美國眾議院提出《聯邦網絡安全漏洞減少法案》，要求美國聯邦供應商實施符合NIST相關指南要求的漏洞披露政策，以識別軟件漏洞，并建立標準化的漏洞披露政策。9月，CISA發布《為供水公司提供免費的網絡漏洞掃描》情況說明書，介紹了免費漏洞掃描服務的4個階段的注冊流程，在水及污水處理網絡系統中推行免費漏洞掃描服務，旨在識別和解決飲用水和廢水處理系統漏洞，降低供水系統遭受網絡攻擊的風險。

三、重點提升關鍵信息基礎設施供應鏈的安全水平

2023年4月，美國、加拿大、英國、德國、新加坡等國的17個政府機構聯合發布《改變網絡安全風險的平衡：軟件安全設計原則和方法指南》，強化軟件制造商的網絡安全責任，要求軟件制造商優先考慮產品的安全性，保障產品功能安全運行，減少被攻擊的可能性。9月，CISA發布開源軟件安全路線圖，實行美國政府網絡和關鍵基礎設施“小核心”重點保護，強化開源生態系統“大范圍”聯動協作，提出梳理美國關鍵基礎設施中開源軟件使用情況、制定開源軟件風險優先級框架、評估關鍵開源軟件依賴性威脅、促進開源軟件開發人員的安全教育、發布開發源碼安全使用指南等措施，旨在確保聯邦政府網絡安全和關鍵基礎設施安全。10月，CISA、美國聯邦調查局、美國國家安全局和美國財政部聯合發布《提高運營技術和工業控制系統中開源軟件安全性的說明書》，旨在幫助操作技術供應商和關鍵基礎設施實體更好地管理開源軟件使用所帶來的風險，提高系統的安全性和韌性。

第四節　新技術應用帶來的網絡安全挑戰得到有效應對

以人工智能、量子計算等為代表的新興技術，對網絡安全的兩面性影響不斷擴大并持續呈現新變化，成為未來網絡空間的“游戲規則改變者”。2023年，多國統籌發展和安全，加快人工智能、量子計算、零信任等新技術在網絡安全領域的融合創新應用，積極防范新技術新應用的安全風險，更好地應對越發嚴峻的新興網絡安全威脅。

一、主動應對人工智能安全風險成為全球主旋律

一是國際層面對人工智能安全發展達成初步共識。2023年11月1日，中國、美國、英國、日本、德國、印度和歐盟等28個國家和地區簽署首個全球性人工智能（以下或簡稱AI）聲明《布萊切利宣言》，提出在全球范圍內安全發展AI，以安全的方式設計、開發、部署AI，加強對AI共同風險的識別，建立應對這些風險的共識。11月26日，美國、英國、德國等18個國家簽署《安全人工智能系統開發指南》，敦促企業打造“設計安全”的AI系統，確保AI在設計、開發和部署等環節的安全。

二是重點國家發布人工智能安全發展路線圖。2023年5月，美國白宮發布2023年版《國家人工智能研發戰略計劃》，提出長期投資基礎和負責任的人工智能研究、確保人工智能系統的安全性等9項戰略任務。6月，澳大利亞發布《安全和負責任的人工智能討論文件》，對人工智能潛在風險進行分級管理。9月，英國競爭和市場管理局通過新的人工智能監管原則，強調AI的問責制和透明度，防止人工智能模型被少數科技公司主導。10月30日，時任美國總統拜登簽署總統行政令，要求開發和應用安全、可靠和可信賴的人工智能。

二、積極布局量子技術產業和后量子密碼算法

2023年1月，加拿大政府宣布啟動《國家量子戰略》，將在7年內逐步投入3.6億加拿大元，持續開發、推廣和使用量子計算科學技術，構建國家安全量子通信網絡和后量子密碼學。3月，英國科學、創新和技術部發布《國家量子戰略》，將量子技術確定為未來十年保障英國繁榮和安全的重中之重，并為英國國家量子科技計劃提供十年愿景和擴展行動計劃，將在2024—2034年提供25億英鎊的政府投資，并吸引至少10億英鎊的額外私人投資，用于開發量子技術。8月，NIST發布了三份后量子密碼標準草案，并在全球范圍內公開征求意見，該標準草案旨在推動后量子密碼技術發展，更好地抵御量子計算機帶來的潛在攻擊，并為全球提供保護敏感信息免受量子計算攻擊的新工具。

三、加快推動零信任技術在網絡安全中的落地實施

2023年4月，CISA發布《零信任成熟度模型》（第二版），對跨多個關鍵支柱（身份、網絡、工作負載及數據等）的聯邦機構實施指南進行了更新。CISA將這套成熟度模型定義為聯邦機構轉向零信任架構的“眾多路線圖之一”，旨在通過跨網絡檢查點持續驗證用戶憑證，借此防止對政府數據及服務的未經授權或危險的訪問。