2024 年新修订的《中华人民共和国保守国家秘密法》(以下简称《保密法》)在深入总结党的十八大以来保密工作重大理论和实践成果的基础上,对多个方面做出了调整和完善。《保密法》将总体国家安全观作为根本遵循,确立了其在保密工作中的指导性地位,同时,统筹考虑近年来网络和数据安全风险高企以及新科技应用需求,进一步完善了有关信息设备使用、数据汇聚处理、保密科技创新与应用等方面的规定,凸显了新时期保密工作的重点和难点。《保密法》与《网络安全法》《数据安全法》《反间谍法》等法律紧密衔接,进一步健全了中国特色网络安全法治体系,为切实筑牢国家网络安全屏障提供了更加坚实有力的法律保证。面对新形势新任务新挑战,必须深入贯彻总体国家安全观,准确把握其核心要义,更新观念,创新举措,加快推动网络安全保密工作实现高质量发展。
一、当前网络安全保密工作面临的新挑战
================================
进入信息化时代,网络不仅深刻地改变了人们的生活方式,也重塑了全社会的生产作业模式。从政府机构到私人企业,从科研院校到公共服务,网络已成为信息流通的主动脉。
国家机关和企事业单位为了提高工作质量效率、促进信息交流共享,对扩大网络新技术应用的需求日益迫切,业务信息化应用场景更加复杂多样,新型的技术形态和工作形态不断出现。例如,有的单位为提高公共服务能力,建立了基于公有云或私有云的信息系统平台,集中汇聚和处理有关国家事务或社会民众的数据信息;有的单位为满足多地机构工作需要,基于公共互联网建立了跨地域的协同办公网络或数据交换网络,在网上传送了日常的大量数据;有的单位为便于工作人员临时在办公区外处理工作事务,搭建了可以支持远程办公的网络技术通道;有的单位因特定工作任务要求,构建了基于公共通信信道的涉密移动办公场景,并为工作人员配备涉密移动办公终端;有的单位建设了小型物联网技术平台,实现对办公环境的智能管理和对重要区域的全时监控;有的单位受自身资源条件所限,将部分涉及国家秘密的网络系统建设工程、产品或服务委托给社会机构承担,等等。此外,人工智能等新兴技术在国家机关和企事业单位的应用也迅速增多,部分单位使用相关技术用于自动化办公、智能文档处理,甚至用于识别和处理涉密信息。
然而,网络新技术在机关单位的普及应用也伴生了新的安全隐患,现实和潜在风险不断增加。特别是随着网络应用规模扩大、环节增多,系统结构变得更为复杂,网络重要资产的暴露面进一步加大,存在漏洞隐患的可能性和受攻击的风险度也随之增大,为各种不法人员实施信息窃密、破坏等活动提供了更多可乘之机。例如,黑客人员潜伏在网络空间的隐匿角落,可能通过技术渗透等手段,非法侵入或破坏有关单位的网络信息系统;病毒、木马等恶意软件在互联网肆意流行扩散,可能感染影响有关单位的网络系统,导致发生数据泄露等安全事件;勒索软件日益泛滥,勒索攻击愈演愈烈,对机关单位办公网、生产网的数据安全和运行安全构成重大现实威胁。特别是境外情治机构一直觊觎我国一些国家机关和企事业单位的网络信息系统,通过搜集挖掘高危技术漏洞和研发使用先进技术工具,极力秘密攻击入侵相关网络,企图窃取重要数据信息。同时,网络攻击、病毒传播等传统威胁手法也快速衍变,并蔓延到新技术领域,导致新型网络安全风险不断涌现。例如,涉及移动互联网、移动智能终端的软硬件漏洞信息和漏洞利用攻击脚本、恶意程序等不时被媒体披露曝光,相关单位的移动办公系统及终端设备存在遭受攻击控制的可能;大量云存储平台存在策略配置不当、防护措施不严、安全监管不到位等问题,潜藏大规模数据泄露的风险;人工智能的安全监管和防控技术还不成熟,机关单位存在不当使用人工智能系统可能导致重要数据失泄密等隐患。此外,境内外不法机构、人员可能利用有关单位的涉密网络工程、产品、服务“外包”之机,以公开掩护秘密、合法掩护非法的手段,在供应链环节“钻空子”“做手脚”,或在产品中预置后门,或在运维中窃取数据,或在软件在线升级服务时秘密植入恶意代码,严重危及有关网络信息系统的安全。
因此,既要及时响应日益增长的网络新技术应用需求,又要有效防控不断加剧的网络安全风险,已成为各机关单位持续深入推进业务信息化和办公现代化必须攻克的难题,也是当前和未来一个时期网络安全保密工作面临的最重大挑战。
二、总体国家安全观对网络安全保密工作的重要指导作用
=======================================
2014 年 4 月 15 日,习近平总书记创造性提出总体国家安全观。总体国家安全观是一个内涵丰富、开放包容、不断发展的思想体系,核心要义集中于“五大要素”“五对关系”“五个统筹”和“十个坚持”,思想精髓体现在“总体”二字。“总体”展现的是一种深邃的思维理念和科学的思考方法,强调的是国家安全的全面性、系统性、整体性和共同性。同时,习近平总书记在 2016 年4 月 19 日网信工作座谈会上强调,要树立正确的网络安全观,指出网络安全具有整体性、动态性、开放性、相对性、共同性等五个特点。可以看出,总体国家安全观的“总体”二字以及核心要义中的“五个统筹”与网络安全的五个特点具有深刻的内在一致性。因此,作为新时代国家安全工作的根本遵循和行动指南,总体国家安全观对网络安全保密工作具有重要指导作用,特别是“统筹发展和安全”“统筹传统安全和非传统安全”和“统筹维护和塑造国家安全”的重要理念具有更现实、更直接的指导性。
(一)统筹发展和安全,协调推进网络应用与安全防范
总体国家安全观强调,“发展和安全是一体之两翼、驱动之双轮”“安全是发展的前提,发展是安全的保障”“发展和安全并重”,二者相互依赖、相互促进,实现协调平衡。这些理念对网络安全保密工作十分重要。
第一,要坚持发展是硬道理。在一切工作领域,发展都是第一要务。网络是新质生产力的关键支撑,对推动经济社会发展和提升国家治理能力具有极为重要的作用。尽管网络安全风险突出,但是绝不能因噎废食、固步自封,绝不能只要“安全”,不要发展。机关单位必须积极地将网络新技术应用于工作之中,因为不应用就会落后落伍。加强网络新技术的应用,既是工作高质量发展的必然要求,也是具体体现。
第二,要坚持安全的发展。安全是高质量的应有之义,是高质量发展的内在要求。机关单位在应用网络新技术时,必须同步采取与安全风险相对应、具备足够强度的技术措施和管理措施,构建起防护严密、能够有效抵御各类重大安全威胁风险的网络安全保密工作体系,确保重要网络信息系统始终安全可靠运行,切实做到“以安全保发展”。
第三,要坚持以发展促安全。发展是解决一切问题矛盾的基础和关键。通过不断发展进步,可以为安全奠定越来越坚实的物质基础和具体支撑。要将加快发展网络安全防护新科技新方法,作为提升网络安全保密工作能力水平的最主要方式之一。机关单位要积极运用并动态升级网络防护各项手段,通过防范体系和能力的持续发展,有效对抗不断衍变的内外部安全风险。
(二)统筹传统安全和非传统安全,全面防控各类网络安全风险
总体国家安全观强调,国家安全既有传统安全领域,也有非传统安全领域,而在每个领域,既包含传统安全要素,也包含非传统安全要素,各种要素相互交织、相互融合、相互依赖、相互影响。必须统筹考虑各个安全领域和各种安全要素,进而采取综合性的安全措施,保障国家整体安全。这些要求同样适用于网络安全保密工作。
第一,要既重视传统领域,又重视非传统领域。当前,网络已全面覆盖社会各行各业,既包括国家机关、军事单位、国有企业、科研院所等传统意义上能直接产生涉密信息的领域,也包括民营企业、其他社会组织和公民群体等在新形势下可能间接接触涉密或敏感事项信息的领域。为防止有关涉密或敏感事项信息失窃失控,所有领域都应纳入安全保密保护范畴,确保网络应用到哪里,安全保密工作就覆盖到哪里。
第二,要既重视传统应用,又重视非传统应用。近年来,云计算、移动互联网、大数据、区块链、人工智能等新技术逐步在机关单位应用,产生了多种形式的软硬件产品和应用形态。无论是传统的终端应用、电子邮件系统、网站系统,还是新兴的云平台、大数据系统、移动应用,都承载大量重要数据信息,都可能成为不法人员窃密和泄密的渠道,因而也都应当进行全维度的严密防护,堵塞安全隐患。
第三,要既重视传统威胁,又重视非传统威胁。当前,网络漏洞攻击、社会工程学攻击等传统攻击方式依然猖獗,传播病毒、植入木马、安插后门等传统攻击手法依然流行,同时,数据泄露、数据污染、数据投毒、数据篡改等危及数据安全的新型破坏活动数量显著增多,供应链攻击、人技结合攻击、勒索攻击、劫持攻击、侧信道攻击等新型攻击逐渐凸显。机关单位必须针对各种可能遭受进攻的通道路径,开展全方位防护,及时发现并阻断安全威胁。
(三)统筹维护和塑造国家安全,共同建设安全的网络空间
总体国家安全观强调,既要注重国家安全的现实维护,也要注重有利于国家安全的态势塑造,“塑造是更高层次、更具前瞻性的维护”,要有效发挥维护和塑造的双重综合作用,使国家安全得到全方位、可持续的保障,实现维护与塑造的统一。这些内容对于网络安全保密工作具有重要启示。
第一,要全力维护网络安全。机关单位要进一步建立完善适应新时代网络安全保密工作要求的组织体系、制度体系、技术体系、标准体系、责任体系和保障体系,形成针对各类重大安全风险的发现预警、防范处置和应急响应能力,构筑高标准高水平的网络安全保密基线。要充分发挥技术功能和管理效能,有效维护重要系统的网络安全和数据安全,确保持续安全稳定运行,守住不发生重大事故的安全底线。
第二,要积极塑造网络安全。要以在全社会形成重视安全的良好氛围和保卫安全的行动自觉为目标,通过强化网络安全宣传教育、技能培训、安全检查、执纪执法、国际合作等措施,并建立常态化的执行机制,推动各机关单位和全体公民全面增强网络安全风险意识和防范意识,构建个体具有正确认知和行为能力、整体可以高效协作联动的共同体,自觉与各种可能危害网络安全保密的行为作斗争,共同打造安全稳定的网络空间。
在遵循上述理念推进网络安全保密工作中,还应注意把握以下三点:一是稳中求进,要严格遵循安全保密规律和网络发展规律,在遵循规律基础上积极探索新规律,实现创新发展;二是实事求是,要科学客观评估各种机遇和挑战,全面权衡利弊,负责任、专业性地作出决策;三是依法办事,要严格按照法律和政策授权,以法治思维和法治方式开展各项工作。
三、加快推动网络安全保密工作高质量发展的重点工作
======================================
网络安全保密工作既是一项长期系统工程,也是一项现实紧迫任务,必须以总体国家安全观为指导,坚持系统治理、综合施策,加快构建网络安全保密工作新格局,推动工作实现高质量发展。针对制约网络安全保密工作的现实突出问题,当前亟需强化抓好以下工作。
(一)强化力量保障
网络安全保密工作任务繁重、责任重大,必须常态化运转、长效化推进。机关单位应在科学评估风险和任务等级基础上,以能充分履职尽责为标准,优化配置承担网络安全保密职责的人员力量。要善于发挥制度优势,创新设计工作运行机制,确保网络安全保密工作时刻都有专业的实体管事,有能力胜任的专门人员干事。同时,要建立全员参与、全程管控的工作体系,形成权责清晰、分工明确、全面覆盖的责任链条,确保网络安全每个环节都有人员负责,每名人员都有明确的网络安全保密职责。
(二)强化科技创新
切实提升网络安全保密能力的最大潜力在科技,根本保证靠创新。要加快技术产品的研发和应用,形成更完整更优质的产业生态。要加大终端安全、数据安全、云安全、移动安全、物联网安全等重点安全领域的难点技术攻关,以科技创新突破赋能网络安全保密。要加强内生安全、韧性安全、可信计算、零信任、人工智能安全等新兴安全理论、方法和技术研究,着力提高网络安全自主创新能力,实现保密科技的自立自强和高水平发展,加快生成保密战线的新质生产力、战斗力。
(三)强化标准施行
质量提升,标准先行。标准的严格制订和有力实施,对于提高相关产品质量和工作质量至关重要。要紧跟机关单位各种新业务和新技术场景发展变化,快速建立完善相适应的网络安全保密标准,按照技术标准、产品标准、数据标准、工程标准、检测标准、审查标准、管理标准、运维标准等分门别类细化制订。要加强标准落地实施的指导和督查,对于关键标准的执行,必须建立刚性约束,对于标准不落实或落实不到位的,要视情节轻重,依法给予处分。
(四)强化重点防控
紧盯可能对总体安全产生重大负面影响的关键点位,强化风险监测和管控,是一种十分有效的风险管理策略。机关单位要全面盘点各类网络资产,准确掌握其安全状态,定期深入开展风险评估,对重大风险点位,必须采取有针对性的防控措施。要建设高水准的网络安全保密自监管设施,辅助网管人员智能高效地管理网络资产,识别和响应安全风险。要加强对网络安全保密产品和保密技术装备的前置检测、事中抽查,加强对承接网络安全保密工程、产品、服务的社会机构的安全背景调查和保密能力审查,及时发现和排查隐患,最大程度降低风险。
(五)强化宣传教育
面向全社会开展国家安全宣传教育,对于提升全民安全意识、广泛凝聚社会共识、营造良好浓厚氛围、构筑国家安全屏障,具有不可替代的重要作用。要不断创新宣传教育的形式和内容,广泛开展网络安全保密法律宣传、敌情宣传、典型案例宣传、防范知识宣传,充分发挥舆论引导和塑造的作用,达到震慑坏人、教育群众的目的,努力营造安全稳定的社会环境和网络环境。要重视网络安全保密教育的系统性和持续性,将其纳入国民教育体系和公务员教育培训体系,帮助民众掌握必要的网络安全防范技能,切实提高全民的网络安全意识和素养。
原文来源:中国信息安全
“投稿联系方式:010-82992251 sunzhonghao@cert.org.cn”