联邦网络安全研发战略计划

① 全球大数据发展的新动向与新趋势

全球大数据发展的新动向与新趋势
目前，伴随移动互联网、智能硬件和物联网的快速普及，全球数据总量呈现指数级增长态势，与此同时，机器学习等先进的数据分析技术创新也日趋活跃，使得大数据隐含的价值得以更大程度的显现，一个更加注重数据价值的新时代正悄然来临。
瑞士洛桑国际管理学院2017年度《世界数字竞争力排名》显示，各国数字竞争力与其整体竞争力呈现出高度一致的态势，即数字竞争力强的国家整体竞争力也很强，同时也更容易产生颠覆性创新。实际上，以美国、英国、韩国和日本等为代表的发达国家一向重视大数据在促进经济发展和社会变革、提升国家整体竞争力等方面的重要作用，当前更是把大数据视为重要的战略资源，大力抢抓大数据技术与产业发展先发优势，积极捍卫本国数据主权，力争在数字经济时代占得先机。我们从各国发展大数据的新举措中或许可以窥探到大数据发展的新趋势。
美国：稳步实施“三步走”战略 打造面向未来的大数据创新生态
美国是率先将大数据从商业概念上升至国家战略的国家，通过稳步实施“三步走”战略，在大数据技术研发、商业应用以及保障国家安全等方面已全面构筑起全球领先优势。
第一步快速部署大数据核心技术研究，并在部分领域积极开发大数据应用。2012年白宫科技政策办公室发布《大数据研究发展倡议》，以提升从海量和复杂数据中获取知识、挖掘价值的能力，进而推动科学与工程领域创新步伐加速。第二步调整政策框架与法律规章，积极应对大数据发展带来的隐私保护等问题。2014年美国发布《大数据：把握机遇，守护价值》白皮书，再次重申要把握大数据可为经济社会发展带来创新动力的重大机遇，同时也要高度警惕大数据应用所带来的隐私、公平等问题，以积极、务实的态度深刻剖析可能面临的治理挑战。第三步强化数据驱动的体系和能力建设，为提升国家整体竞争力提供长远保障。2016年美国发布《联邦大数据研发战略计划》，形成涵盖技术研发、数据可信度、基础设施、数据开放与共享、隐私安全与伦理、人才培养以及多主体协同等七个维度的系统的顶层设计，打造面向未来的大数据创新生态。
特朗普就任美国总统后，对大数据应用及其产业发展持续关注，并督促相关部门实施大数据重大项目，构建并开放高质量数据库，强化5G、物联网和高速宽带互联网等大数据基础设施，促进数字贸易和跨境数据流动等。2017年4月美国能源部与退伍军人事务部联合发起“百万退伍军人项目（MVP）”，希望借助机器学习技术分析海量数据，以改善退伍军人健康状况。2017年9月医疗保健研究与质量局发布美国首个可公开使用的数据库，其中包括全美600多个卫生系统。白宫科技政策办公室一直积极与他国展开合作，以预防数字经济监管障碍、促进信息流动和反对数字本地化等。
英国：紧抓大数据产业机遇 应对脱欧后的经济挑战
大数据发展初期，英国在借鉴美国经验和做法的基础上，充分结合本国特点和需求，加大大数据研发投入、强化顶层设计，聚焦部分应用领域进行重点突破。近期英国特别重视大数据对经济增长的拉动作用，密集发布《数字战略2017》《工业战略：建设适应未来的英国》等，希望到2025年数字经济对本国经济总量的贡献值可达2000亿英镑，积极应对脱欧可能带来的经济增速放缓的挑战。
2012年，英国便将大数据作为八大前瞻性技术领域之首，一次性投入1.89亿英镑用于相关科研与创新，在八大领域投入总额中占比高达38.6%，远超其余七个领域。随后，英国将全方位构建数据能力上升为国家战略，于2013年发布《把握数据带来的机遇：英国数据能力战略规划》，提出人力资本（研发人才与善于运用数据的民众）、基础设施和软硬件开发能力，以及丰富开放的数据资产是发展大数据的核心，事关能否在未来竞争中占据领先优势。该战略同时提出了11项具体行动部署，短短两三年便释放出巨大的数字潜力。从2010年至2015年，数字经济对英国经济增加值的贡献增长了21.7%，超过了同期经济增加值增长率的17.4%，2015年数字经济规模为1180亿英镑，在经济增加值中的占比超过了7%，其中数字商品和服务出口总值超过500亿英镑。
为从数据中挖掘出更大的价值，创造并维护一个能够保持更多收益和增长的经济体系，同时让全社会都能从中收益，英国政府在2017年3月提出了新时期发展数字经济的顶层设计《数字战略2017》。新战略中提出七大目标及相应举措，特别是对各个目标都提出了更高标准的要求。一是打造世界一流的数字基础设施，二是使每个人都能获得所需的数字技能，三是成为最适合数字企业创业和成长的国家，四是推动每一个企业顺利实现数字化智能化转型，五是拥有最安全的网络安全环境，六是塑造平台型政府，为公众提供最优质的数字公共服务，七是充分释放各类数据的潜能的同时解决好隐私和伦理等问题。
2017年11月，英国面向全社会发布《工业战略：建设适应未来的英国》白皮书，强调英国应积极应对人工智能和大数据、绿色增长、老龄化社会以及未来移动性等四大挑战，呼吁各方紧密合作，促进新技术研发与应用，以确保英国始终走在未来发展前沿，实现本轮技术变革的经济和社会效益最大化。为此，2018年4月底英国专门发布《工业战略：人工智能》报告，立足引领全球人工智能和大数据发展，从鼓励创新、培养和集聚人才、升级基础设施、优化营商环境以及促进区域均衡发展等五大维度提出一系列实实在在的举措。
韩国：以大数据等技术为核心应对第四次工业革命
多年来，韩国的智能终端普及率以及移动互联网接入速度一直位居世界前列，这使得其数据产出量也达到了世界先进水平。为充分利用这一天然优势，韩国很早就制定了大数据发展战略，并力促大数据担当经济增长的引擎。2016年年底，韩国发布以大数据等技术为基础的《智能信息社会中长期综合对策》，以积极应对第四次工业革命的挑战。
2013年12月，韩国多部门便联合发布“大数据产业发展战略”，将发展重点集中在大数据基础设施建设和大数据市场创造上。2015年年初，韩国给出全球进入大数据2.0时代的重大判断，大数据技术日趋精细、专业服务日益多样，数据收益化和创新商业模式是未来大数据的主要发展趋势。基于此，在同年发布的《K-ICT》战略中，韩国将大数据产业定义为九大战略性产业之一，目标是到2019年使韩国跻身世界大数据三大强国。韩国还非常注重对他国经验的借鉴，2015年5月中国发布《大数据发展调查报告》后，韩国专门对中国与韩国大数据应用情况进行了比较分析，并聚焦韩国大数据应用水平与大数据市场不协调的问题，提出了一系列新举措。
近两年全球第四次工业革命浪潮的到来，倒逼韩国重新审视本国智能制造和信息技术的发展，并于2016年年底提出《智能信息社会中长期综合对策》，将大数据及其相关技术界定为智能信息社会的核心要素，并提出具体的发展目标与举措。
一是充分挖掘数据资源价值，强化未来竞争力源头。构筑开放共享的大规模数据基础设施，到2025年实现320个公共机构的数据开放；促进数据流通和使用，激活数据交易市场，推动公共和民间数据实现以价值为导向的交易；激活数据分析企业，到2020年数据专业服务企业规模达到100家；培养大数据专业人才，将每年培养的数据科学家数量从2017年的500名增长到2030年的1000名；发展区块链技术，提高数据管理可靠性等。二是筑牢大数据技术基础。加强数学方法论研究，长期稳定支持新型学习推断、量子计算、神经形态芯片等下一代计算技术研究，推动科研大数据开放共享，推进产业数据中心建设，强化产学研合作共同研发产业共性技术等。三是面向数据服务需求，构筑超连接网络环境。确保频率资源供应，有序推进5G商用化进程，实现大规模机器间通信，实现不同业务网络之间的实时超连接；推动通信运营商体系优化，摒除后发企业进入运营行业的壁垒；进一步强化物联网和云计算基础设施并充分利用智能传感器数据；分阶段引进量子通信与安全网络等。
大数据发展新趋势
综合以上几个典型国家的新动向和新举措，可以发现当前及未来全球大数据发展的新趋势。
一是大数据与人工智能、云计算、物联网、区块链等技术日益融合，成为各国抢抓未来发展机遇的战略性技术。英国在工业战略中强调大数据与人工智能的发展，很有可能推动现有的商品和服务市场被颠覆和取代。日本将大数据、物联网和人工智能界定为建设超智能社会服务平台必不可少的共性技术。韩国与日本相似，将智能信息化社会定义为“ICBM（物联网、云服务、大数据和手机）与AI（人工智能）相融合的社会”。
二是大数据资源对各国经济政治博弈的重要性更加凸显。美国最新版国家安全战略中，特朗普再次将“数据”比喻为一种能源，他认为掌握了数据及相关能力，就是为美国经济的持续增长、有效抵制敌对意识形态以及部署建设最强大军事力量等构建了最基础的保障。最近的“脸书危机”事件，再加上近年来“剑桥分析”及其母公司“战略通讯实验室”参与多国领导人选举活动事件，使得大数据资源及相关技术成为某些国家利益集团及企业影响政治生态和社会安全的重要手段，各国政治社会发展面临的风险变得更加复杂和不可预测。
三是大数据应用基础条件发生跨越式变化。一方面政府数据开放的广度和深度将进一步拓宽，多源数据融合技术的进步，为公共服务数字化与智能化水平的提升提供了技术层面的保障，数据的标准化及开放则成为各国建设服务型政府和平台型政府的资源保障。另一方面大数据应用的基础设施将成为与水电气暖等相类似的设施，成为人们生活中必不可少的部分。这其中包括物联网、智能硬件等数据采集类设施，5G、光通信等超高速数据传输类设施，以及超级计算机、云计算以及边缘计算等计算类设施，以及新型的存储设施等等。
四是大数据安全为各国实现“平衡”发展带来更严峻的挑战。各国大数据发展战略中，不同国家和地区对“数据开放共享”与“个人信息保护”的侧重点不同，比如欧盟希望通过强制性的统一标准最大限度的保护个人隐私，而美国则更相对弱化法律约束、希望充分调动企业的主动性，这种态势对未来全球大数据国际规则的融合发展提出了新难题。同时对大数据企业权利和义务也要进行再平衡，监管太严将限制企业创新的脚步，但如果放手太多，在实践中难免出现企业对个人隐私大规模侵害的问题。

② 美国近年来推进“新基建”的布局及启示

近年来，世界经济 呈现发展动能趋缓、下行风险上升、规则调整加快的特点。 为应对经济衰退，

美国推出了《美国重建基础设施立法纲要》，加快实施万亿基础设施重建计划，对交通，水资源、给水和排水系统，以及下一代能源基础设施，高速互联网等新型基础设施领域进行部署，以此帮助美国经济复苏。

美国近年来在新型基础设施建设方面的主要布局

受政治体制影响，美国在基础设施建设部署上存在较大不稳定性，但是对新型基础设施建设的投资却一直被作为推动经济增长的重要手段，相关战略部署立足长远、积极推进。

（一）主要战略部署

自2008年国际金融危机以来，美国先后实施了《美国复苏与再投资法案》《美国国家空间数据基础设施战略规划草案（2014-2016年）》《修复美国地面交通法基建法案》《联邦大数据研发战略计划》《增强联邦政府网络与关键型基础设施网络安全》《美国重建基础设施立法纲要》等战略计划，出台了《网络与信息技术研发计划》《大数据研究计划》《能源制造业系统伙伴关系计划》等具体的实施细则，旨在通过加大新型基础设施建设来摆脱经济危机，提升产业竞争力，实现经济复苏。其中 科技 领域新型基础设施建设主要包括下一代能源基础设施、高速互联网、科研基础设施、人工智能、大数据等方面。

（二）《美国重建基础设施立法纲要》的主要内容

2018年2月，特朗普政府出台《美国重建基础设施立法纲要》（以下简称《纲要》），从出台时间来看，《纲要》与我国“新基建”战略部署时间较为接近，面临着相似的国际背景和外部环境，建设领域上存在一定相似性。《纲要》更加偏重于融资，传统基础设施占比较大， 科技 领域的基础设施建设更多以其他的专项计划来部署。在技术领域上，《纲要》重点投资现代交通、新能源、5G通讯基站、智能电网、宽带网络、大数据等领域，注重对成熟技术的应用和推广。相比而言，根据国家发改委对“新基建”范围的界定，我国“新基建”包括信息基础设施、融合基础设施、创新基础设施，技术领域涉及5G、物联网、工业互联网、卫星互联网、人工智能、云计算、区块链等新兴技术，特别重视对重大 科技 基础设施、科教基础设施、产业技术创新基础设施等创新基础设施的投资。

美国推动新型基础设施建设的主要举措

自2008年以来，美国不断加强在新型基础设施建设领域的战略部署，主要包括五个方面的重要举措。

（一）加强对“新基建”的研发投入

2018年，特朗普政府出台的《美国重建基础设施立法纲要》提出设立200亿元的创新转型项目计划，发展自动驾驶技术和车辆、新轨道运输技术、无人机、模块化基础设施技术等。在2019-2021财年特朗普政府美国工业发展领域研发优先事项中，人工智能、量子信息、通信网络、自动驾驶、智能制造、工业机器人等技术领域成为优先布局事项。

（二）开展基础研究和关键核心技术研发

（三）强化关键基础设施技术的自主可控

对关系国家战略安全、影响国家竞争优势的基础设施领域，美国支持本国企业主导建设全过程，强化技术自主可控。美国颁布了《增强联邦政府网络与关键型基础设施网络安全》的行政指令，从联邦政府、关键基础设施和国家三个方面，要求采取一系列措施确保联邦政府及关键基础设施的技术安全。对于国外企业投资美国关键基础设施项目，尤其对高度敏感的国家安全项目，要接受美国外国投资委员会、美国国会美中经济和安全审查委员会、美国联邦能源监管委员会等机构的层层监管，确保技术安全可控。

（四）发挥杠杆效应支持引导企业参与

在新型基础设施建设中，美国十分重视发挥民营企业的作用。在《美国重建基础设施立法纲要》中，除政府拨款的2000亿美元外，其余2万亿美元的基础设施建设资金大部分来源于私营企业投资和债券，基础设施具体建设也由私人企业承担，该计划以融资为主，广泛吸收私营企业和个人的资金。采取公开招标方式，鼓励民营企业采用新技术，通过基础设施建设推进制造业回流，促进新兴产业发展和培育。

（五）加强科研基础设施设施建设

美国高度重视科研基础设施（包括大科学装置）建设。如在《美国复苏与再投资法案》中提出，支持用于科学研究、基础设施以及实验室大型仪器设备的更新，启动《民用超级计算机计划》，为能源部的生物能源中心和联合基因组研究所购置新的设备，为国家实验室和大学核聚变研究提供设备升级或购置新的设备等。近年来，美国能源部提出实施“前路计划”，设立“百亿亿次计算项目”，部署百亿亿次超级计算机，解决并行性、内存和存储问题，为推进基础设施建设提供运算支撑；在南达科他洲开工建设长基线中微子设施，开展地下深层中微子试验场所。为提高国家生物安全，美国开始新建5家生物安全四级实验室，包括美国国家过敏和传染病研究所、加尔维斯顿国家实验室、美国国家生物卫生分析与对策中心等。在人工智能领域，美国发布《国家人工智能研发战略规划》，提出要开发人工智能共享数据集和测试环境平台，开发开源软件库和工具集等。

对策和建议

通过总结美国近年来在推进基础设施建设方面的经验和做法，结合我省发展现状和需求，提出如下对策建议。

一是制定出台“新基建” 科技 支撑行动计划。 强化统筹安排与顶层设计，从 科技 创新支撑“新基建”发展角度，提出具体的行动方案和实施细则。设立“新基建”工程技术研发专项，围绕我省“新基建”过程中遇到的工程技术难题，组织省内外高层次团队进行攻关，推动工程 科技 发展。

二是构建多元化融资模式。 加快 科技 债券、融资租赁、PPP等融资模式在“新基建”中的应用，为推动我省创新基础设施建设提供资金支持。以建设国际风投创投中心为契机，引进风险投资进入 科技 类基础设施建设领域，发挥金融杠杆撬动作用，扩大市场化资金规模。

三是提高 科技 园区基础设施建设水平。 以高新区、专业镇、 科技 小镇等区域创新平台为依托，加快提升5G基建、特高压、城际高速铁路和城际轨道交通等基础设施建设，高水平打造智慧园区、 科技 园区、创新园区，提升 科技 对园区发展的支撑带动作用。在省级高新区动态评估中，引入新型基础设施建设指标，引导高新区提升新型基础设施建设水平。

四是加快科研基础设施和实验室建设。 以企业实际应用需求为导向，新建一批中小型科研基础设施，以应对大型科研基础设施（大科学装置）需求不足、成本过高、效能不匹配的问题。如中等性能超级计算机、低强度中子源、P3级生物安全实验室等。加快推进省实验室建设步伐，瞄准5G、大数据、工业互联网需求，建设一批工程领域省实验室。

转自丨三思派

③ 美国网络空间安全 立法 多少部

自2002年以来，美国通过了近50部与网络空间安全有关的联邦法律，其中包括《1984年伪造接入设备及计算机欺诈与滥用法》、《1986年电子通信隐私法》、《1987年计算机安全法》、《1995年削减公文法》、《1996年信息技术管理改革法》、《2002年国土安全法》、《2002年网络安全研发法》、《2002年电子政务法》、《2002年联邦信息安全管理法》等。
近年美国国会关于网络安全主要综合性立法建议包括《2012年网络安全法案》、《确保IT安全法案》、众议院共和党工作组提出的综合性建议，促成了众议院的5个专门性法案以及奥巴马政府向国会递交的综合性网络安全立法建议等。其中，《2012年网络安全法案》是美国第112届国会关于网络安全最重要的法案。

④ 专家解读2019年《网络安全法》草案

一、重大历史进步

网络安全不是今天才重要，网络安全立法也不是今天才迫切。十二年前的中央文件曾罕见地以书名号明确了立法任务，可见决心之巨。只是网络安全立法之路实在艰辛，时国务院信息办审时度势，由信息安全条例角度入手，并连续数年推动其列入国务院法制办二类立法计划，之后未能再进一步。2008年后，国务院信息办职能整体划转至工业和信息化部，有关方面意识到制定条例未必就比人大立法容易，且国务院行政法规无力调整现行上位法的法律规定，遂决定返回制定信息安全法。然而国民经济和社会发展颇多领域亟待立法，国家立法资源有限，每个部门允许提出的立法建议屈指可数。工业和信息化部既要考虑信息化立法，还要考虑工业立法，一半指标已不得用，而信息化方向还有一部历史更为悠久的电信法望眼欲穿，信息安全法终究连个队都没排上。期间，人大建议、政协提案不计其数，社会公众翘首以盼，均无果。

此次草案公开征求意见，表明这项工作进入了实质性立法程序，这是一个重大历史进步。欢欣鼓舞之所在，不是因为草案具体内容，而源于征求意见本身的象征意义。时至今日，我们对网络安全立法不是搞清楚、看明白了，而是问题更多、更复杂了，很多观点分歧可能更大了，网络安全立法难度不降反升，但突破恰恰在此时。中央网络安全和信息化领导小组成立后，中央领导同志英明决策，切实将网络安全提升到了国家安全和发展的高度，不但作出“网络强国”的全局战略部署，更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等，无一不历经多年论证而蹉跎，今朝方开花结果。

诚然，网络安全立法工作十分艰巨，草案肯定有这样那样的问题，但今天的一小步，是国家网络安全工作的一大步。我们应该宽容它、呵护它，使其不断成熟、更加科学，成长为护佑国家网络安全和信息化发展的参天大树。

二、彰显国家意志，确立基本原则

草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多，还设立一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法，这些“软性”法律规定确有必要，其意在于宣示国家网络安全工作的基本原则，明确建设网络安全保障体系的主要举措，从而为整体推进保障体系建设提供法律依据。

一是坚持网络安全和信息化发展并重原则。网络安全和信息化是一体之两翼，驱动之双轮，要坚持以安全保发展、以发展促安全，不能简单地通过不上网、不共享、不互联互通来保安全，或者片面强调建专网。要努力实现技术创新和体制机制创新，不断增强维护网络安全的新思路、新方法、新举措、新本领，而不是因噎废食、自甘落后。

二是提出了网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸，网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。草案虽未作解释，且一笔带过，然犹有石破天惊之意。

三是开展国际合作。网络安全是全球面临的共同问题，中国对广泛开展国际合作持积极态度，合作重点包括但不限于网络治理、技术与标准、打击违法犯罪等，目标是推动构建和平、安全、开放、合作的网络空间。

四是建立统筹协调、分工负责的网络安全管理体制。多年 实践 和各国经验表明，网络安全工作离不开统筹协调。随着中央网络安全和信息化领导小组的成立，有必要通过立法增强领导小组及其办公室的权威性。草案规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体包括，对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作，由网信部门统筹协调;对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作，由网信部门会同国务院有关部门制定办法或组织实施。由此，政府向解决分散、多头和重复管理迈出了关键一步。

五是加强行业自律。要充分发挥行业组织作用，指导行业组织成员加强网络安全防护，促进行业健康发展。

六是强化网络安全顶层设计。顶层设计至关重要，首先是要制定网络安全国家战略，对外宣示主张，对内指导工作;其次要由行业主管部门、其他有关部门制定重点行业、重点领域网络安全规划，确保战略落地，确保这些行业和领域的网络安全工作有目标、有任务、有举措、有监督。

七是建立和完善网络安全标准体系，充分发挥标准在网络安全建设中的指导性、规范性作用。

八是加大财政投入，以加快产业发展，深化技术研发，提升网络安全创新能力。

九是做好宣传教育和 人才 培养工作。首先，要开展经常性的网络安全宣传教育;其次，要通过学历教育和在职培训，采取多种方式培养网络安全人才。

三、关键信息基础设施保护工作进入正轨

关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全，与前者不完全一致，但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点，有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的“2+8”，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大，已是国家安全的软肋，草案为此设立了“关键信息基础设施的运行安全”一节。

一是扩展了保护范围。纵观世界各国，凡是已经开展了网络安全建设的国家，其关键基础设施的范围几乎都远超过我们，例如美国有17类，而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已经不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线(即基本要求)，其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。草案提出，关键信息基础设施安全保护办法由国务院制定。对于某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务，解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任，但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了，也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说，这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构如果没有强制性依据，很难得到业务部门的配合。此外，以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，草案明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，草案授权国家网信部门统筹协调有关部门，建立协作机制。特别是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。

四、兼具综合法与专门法的特点

网络安全包含的内容太多，当前需要立法规范的事项也很多，于是就有了综合法与专门法的争议。一个基本事实是，目前世界上鲜见网络安全的综合法，有名的美国《计算机安全法》实际上针对的是美国联邦政府信息系统安全保护，近几年美国国会讨论的《网络安全法》或《网络安全增强法》则主要解决关键基础设施的安全保护问题。

作为第一部网络安全法(《电子签名法》不应该计算在内)，草案首先要体现综合性，其侧重点应该在以下四个方面：

一是要明确部门、企业、社会组织和个人的权利、义务和责任。

二是规定国家网络安全工作的基本原则和理念。

三是将成熟的政策规定和措施上升为法律，为政府部门的工作提供法律依据，体现依法治国要求。这首先是政府部门的工作需要(如对境外违法信息予以阻断、实施网络通信管制等);其次，这些规定和措施往往经过了实践检验，部门间争议较小，有利于提高立法效率。

四是建立国家网络安全的一系列基本制度、形成制度框架，这些基本制度带有全局性、基础性，是推动基础性工作、夯实基础能力所必需。

此外，为了突出实用性，草案还应部分体现专门法的特点。这应从三个方面去考虑：

一是实施重点防护，对关键信息基础设施、网络信息内容等重点安全关注予以优先考虑。

二是防范重大威胁。例如，信息系统安全受控于人是我们面临的心腹大患，斯诺登事件使我们进一步看清风险所在，这就要对供应链安全进行规范。

三是对普遍性、长期存在的社会诉求予以响应。

总体看，草案比较好地处理了综合法与专门法的关系问题，但个别条款还是过于纠结细枝末节(如网络运营者的分项安全保护义务不必展开)，或细致到了足可取代部分专门法的地步(如个人信息保护应制定专门法，原有条款似可删减后将重心转向规范信息内容安全)。除了个人信息外，草案没有突出对公民个人权益的更多保护，如对危害网络安全行为的举报并不是为了解决公民作为受害者“报案无门”的困窘，这不能不说是小的遗憾。

五、“网络安全”的定义还可以更为妥帖

“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色，效果有云泥之别。近年的工作中，我们用过“信息安全”，也用过“网络安全”，学者们各抒己见，一些部门也喜欢朝向有利于自身职能的角度去解释，这些自不待言。但中央网络安全和信息化领导小组成立后，已经基本将其统一为“网络安全”。当然，国安委还是使用“信息安全”，《国家安全法》使用的是“网络与信息安全”，但这些已不会造成工作上的障碍。

只是这个“网络安全”实是“CyberSecurity”之译，非“NetworkSecurity”。这里面的“网络”其实指的是“网络空间”(Cyberspace)。因此，当草案试图从“网络空间”的内涵上去解释“网络”时，便挑战了大众的科技常识底线，且出现了“网络是指网络和系统”的尴尬。当然，如果就这么用下去，倒也自成一脉，但草案转眼就去使用狭义的“网络”了，如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等，这里都是指的“network”。由此，草案中频繁出现自己与自己打架的情况。

而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全，更是与“网络空间主权”没有关联。

解决这个问题的途径是，网络就是网络，不要让网络去包括信息系统。即，自始至终使用传统意义上的“Network”概念。对于“网络安全”，则按“网络空间安全”去解释即可。

另外，草案的起草坚持问题导向，对一些确有必要，但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益，但对于什么是“原则性规定”则要仔细琢磨。

⑤ 网络安全股：下一个市场风口

近期以核心资产为首的抱团股调整得比较充分，但是不是已经真正止跌尚待观察。由于美债长端利率上行已经形成趋势，导致核心资产估值全面承压是必然的，也是难以逆转的，A股中的所谓核心资产估值依旧面临重心下移的可能。在这种情况下，寻找盈利和基本面景气向上的板块就是市场下一步必然会做的动作。

数据让人眼睛一亮，网络安全股，一个沉寂已久的板块终于被人提起。细看几家细分龙头企业的业绩快报，果然，网络安全股俨然已沐浴在业绩上升的通道之中，犹如朝霞绽开的花朵，悄悄地释放出美丽的颜色。

绿盟 科技 2020年实现营业收入20.10亿元，同比增长20.29%；实现归属于母公司股东净利润3.07亿元，较上年同期增长35.47%。近年来，绿盟 科技 大力推动渠道建设，加速渠道战略变革。2019年，绿盟 科技 引进原华为BG高管胡忠华负责渠道体系建设，同时开展“绿盟渠道黄埔培训”项目，进行合作伙伴学员培训。2020年，绿盟 科技 成立渠道战略委员会，推出“星空计划”和“丰收计划”，进一步推动“开放 生态”的渠道战略部署。公司在2020绿盟 科技 合作伙伴峰会中表示，绿盟 科技 将长期坚持渠道战略，建立公平、公正、公开的渠道架构，聚焦有能力、有意愿、有投入的合作伙伴，将其纳入渠道体系，并力争在2020年实现渠道订单占比60%的目标。

启明信息2020年营业总收入约15.58亿元，同比增加2.38%；归属于上市公司股东的净利润约1.26亿元，同比增加38.43%；基本每股收益0.3078元，同比增加38.46%。公司主营业务主要面向 汽车 电子产品及服务、 汽车 制造行业管理软件、集成服务与数据中心三大领域。具体细分为企业数字运营、智慧 汽车 、智慧营销、云平台和安全集成等六大核心产品。2021年公司预计经营业绩同步稳定增长，通过加大研发力度持续提升产品质量和服务水平，增强公司综合实力。

卫士通受益于商密、安全服务、信创等需求旺盛，产品结构不断优化，2020年实现营业收入23.84亿元，同比增长13.31%，毛利率35.49%，同比提升2.95%；实现归母净利润1.59亿元，同比增长2.31%，公司营运能力持续改善，全年销售回款创 历史 新高，经营活动产生的现金流量净额达6.2亿元，同比增长736.15%。作为我国密码第一股，随着《密码法》的出台，公司大有用武之地。同时，卫士通作为中国网安旗下唯一上市公司，伴随院所转制与做大做强国企政策推进，具备稀缺平台价值。用公司的话说：卫士通在国家网络安全战略任务和赢得关键领域客户顶层信任方面具有天然的优势，具备雄厚的技术实力和创新能力。

启明星辰预计2020年营业收入实现36.50亿元，同比增长18.16%，同期归母净利润实现7.93亿元，同比增长15.19%。从单季度来看，公司2020年四季度营业收入实现22.07亿元，同比增长48.51%，同期归母净利润实现6.34亿元，同比增长7.17%。业绩如期改善。新兴业务持续高增长。

其实，不仅仅只是上述4家公司“困境翻转”，在2020年，其他网安概念股业绩普遍超预期。根据各家公司披露业绩快报数据，去年，深信服、奇安信、天融信、美亚柏科、安恒信息全年营收增速分为18.92%、32.04% 、 17.05% 、 15.42% 、40.04%，归母净利润增速分为5.75%、33.62%、18.45%、29.71%、48.19%，业绩增速皆好于预期，更好于市场整体。

综上所述，在不平凡的2020年，网安板块业绩逐渐走出低谷，恰恰说明整个板块已经处于景气赛道之中。国资委多次表示将加大新基建等领域投入，加快国有资本的布局优化和结构调整，补齐产业链供应链短板，加快突破一批行业共性技术和关键核心技术，对国有资本的重组整合，将加快我国数字经济的发展。周鸿祎曾经说过：网络安全是数字化战略的底座。数字化产业的发展离不开网络安全技术的保驾护航。

事实上，前不久，强制性的国家标准《网络关键设备安全通用要求》正式获批发布，将于今年8月1日实施，该标准是工信部为落实《中华人民共和国网络安全法》中有关网络关键设备安全的一项重要标准。标准规定了网络关键设备应满足的通用安全功能要求和安全保障要求，适用于网络关键设备，标准发布或将驱动产业，尤其是龙头企业发展。随着我国进入“十四五”关键时期，网络安全产业将迎来从局部整改到体系融合、从数据安全到数字经济安全、从重要信息保护到重点领域安全建设等多种机遇，叠加合规审查深度、广度和力度不断提高，网安产业增长动力充足。

券商研报数据显示，2021财年，美国联邦政府IT总预算922亿美元，其中网络安全领域预算188亿美元，占比20.4%。IDC2017年统计数据显示，中国安全市场占信息市场的比重为1.87%，美国为4.78%，全球平均占比为3.74%。对比而言，我国网络安全市场增长空间广阔。未来，我国网络安全市场在客户数增长、客户投入增加和应用场景增加等方面均具备重大机遇。据IDC预测，2020年中国网络安全市场总体支出将达到78.9亿美元，同比增长11.0%，增幅继续领跑全球。2020-2024年，CAGR预计为18.7%。由此可见，整个网络安全板块边际增速效应持续改善，下一个市场风口也许就是它。

本文源自金融投资报

⑥ ＂通俄门＂会如何扰动中美网络安全合作

自特朗普正式签发网络安全总统行政令后，8月9日将是第一个至关重要的时间节点。在那时，需要完成的任务包括，形成一份全政府范围的网络风险管理报告；提出一份计划，通过“共享服务”的方式实现联邦信息系统的现代化；形成一份国际合作与强化（网络）威慑的战略文件；在保护关键信息基础设施领域落实“市场透明”的途径等。以美国商务部国家技术标准局（NIST）、国土安全部、国防部等为代表的机构正在为达成这些目标积极开展各项工作。较之奥巴马政府，特朗普政府的网络安全战略具有鲜明的特色。根据2017年5月发布的2018财政年度预算案来看，国土安全部、国防部成为了重点与核心。从传承来看，这个举措再度向小布什政府2006-2008年推出的全面国家网络安全倡议（CNCI）回归，受到奥巴马政府偏爱的司法部，特别是联邦调查局则再次遭遇冷落。

从宏观战略层面看，中美网络安全关系的总体方向还是十分稳定的，但在具体议题领域必须做好应对新一轮不确定性的冲击和挑战。

⑦ 美国是在哪一年正式公布《网络空间国家安全战略》草案的

根据中新浙江网的消息：美国国家航空和航天局（NASA）曾公布载人登陆火星计划的详情，预计2031年初将派出一支宇航员队伍乘坐宇宙飞船登陆火星，估计这次载人登陆火星任务耗资将达200亿至450亿美元。据此间媒体报道，NASA计划派出“最低数量”的宇航员，在2031年乘坐重达400吨的“火星船”为期30个月的往返火星之旅。科研人员将利用3枚至4枚新一代重型货物运载火箭“大力神5号”把“火星船”运送到地球低轨道组装。组装完成后，由先进低温燃料推进系统提供动力，“火星船”开始向火星飞行，预计6个月至7个月后抵达火星。届时，宇航员会在火星表面逗留长达550天，进行各项科学研究。“火星船”载人上火星前，NASA分别会在2028年和2029年先行发射火箭将物资和器材送到火星。当宇航员到达后将采用核能供电，宇航员生活将做到自给自足，包括在太空船上种植蔬果作为食物。而太空船亦配备了循环系统，以使空气和饮水可循环利用。到2033年，NASA将派出第二支宇航员队伍出发上火星，他们同年12月到达后，将接替首批宇航员工作，首批宇航员则会重返地球。

⑧ 澳大利亚为何要花重金投入网络安全意图何在

如今，网络安全已受到澳大利亚政府和各个国家的普遍关注，这与澳大利亚的国家战略定位密切相关。

澳大利亚加强网络管理的重要原因是未成年人的身心保护，澳大利亚政府对未成年人上网有非常明确的规定。在澳大利亚想要上网必须要满18周岁，而且还要有监护人陪同，否则是不可以上网的，澳大利亚政府开始实施一项耗资8200万澳元（约合4.75亿元人民币）的互联网安全计划，以确保未成年人免受互联网上不健康内容的侵害。

他们告诉年轻人如何注意网络安全以及如何通过Internet保护个人隐私，在他们的网页上很明显提示：请勿告诉网民你的个人信息，例如家庭住址，学校名称等，以更好地保护你的安全。澳大利亚的学校也过滤互联网内容，例如，中小学网络将阻止一些约会网站和厌食症网站，学校还开设特殊课程，对学生进行网络安全教育。

⑨ 如何构建网络安全战略体系

网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电，以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁（APT）的犯罪团伙，以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全（例如应用安全和狭义的网络安全）至关重要。

安全应该成为整个企业的首要考虑因素，且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白，所有的系统都是按照一定的安全标准建立起来的，且员工都需要经过适当的培训。例如，所有代码都可能存在漏洞，其中一些漏洞还是关键的安全缺陷。毕竟，开发者也只是普通人而已难免出错。

安全培训

人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码，培训操作人员优先考虑强大的安全状况，培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之，网络安全始于意识。

然而，即便是有强大的网络安全控制措施，所有企业还是难逃遭遇某种网络攻击的威胁。攻击者总是利用最薄弱的环节，但是其实只要通过执行一些基本的安全任务——有时被称为“网络卫生”，很多攻击都是可以轻松防护的。外科医生不洗手决不允许进入手术室。同样地，企业也有责任执行维护网络安全的基本要求，例如保持强大的身份验证实践，以及不将敏感数据存储在可以公开访问的地方。

然而，一个好的网络安全战略需要的却不仅仅是这些基本实践。技术精湛的黑客可以规避大多数的防御措施和攻击面——对于大多数企业而言，攻击者入侵系统的方式或“向量”数正在不断扩张。例如，随着信息和现实世界的日益融合，犯罪分子和国家间谍组织正在威胁物理网络系统的ICA，如汽车、发电厂、医疗设备，甚至你的物联网冰箱。同样地，云计算的普及应用趋势，自带设备办公（BYOD）以及物联网（IoT）的蓬勃发展也带来了新的安全挑战。对于这些系统的安全防御工作变得尤为重要。

网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》（GDPR）这样严格的监管框架还要求赋予新的角色，以确保组织能够满足GDPR和其他法规对于隐私和安全的合规要求。

如此一来，对于网络安全专业人才的需求开始进一步增长，招聘经理们正在努力挑选合适的候选人来填补职位空缺。但是，对于目前这种供求失衡的现状就需要组织能够把重点放在风险最大的领域中。

网络安全类型

网络安全的范围非常广，但其核心领域主要如下所述，对于这些核心领域任何企业都需要予以高度的重视，将其考虑到自身的网络安全战略之中：

1.关键基础设施

关键基础设施包括社会所依赖的物理网络系统，包括电网、净水系统、交通信号灯以及医院系统等。例如，发电厂联网后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查，以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施，在遭遇网络攻击后会对他们自身造成的影响进行评估，然后制定应急计划。

2.网络安全（狭义）

网络安全要求能够防范未经授权的入侵行为以及恶意的内部人员。确保网络安全通常需要权衡利弊。例如，访问控制（如额外登录）对于安全而言可能是必要的，但它同时也会降低生产力。

用于监控网络安全的工具会生成大量的数据，但是由于生成的数据量太多导致经常会忽略有效的告警。为了更好地管理网络安全监控，安全团队越来越多地使用机器学习来标记异常流量，并实时生成威胁警告。

3.云安全

越来越多的企业将数据迁移到云中也会带来新的安全挑战。例如，2017年几乎每周都会报道由于云实例配置不当而导致的数据泄露事件。云服务提供商正在创建新的安全工具，以帮助企业用户能够更好地保护他们的数据，但是需要提醒大家的是：对于网络安全而言，迁移到云端并不是执行尽职调查的灵丹妙药。

4.应用安全

应用程序安全（AppSec），尤其是Web应用程序安全已经成为最薄弱的攻击技术点，但很少有组织能够充分缓解所有的OWASP十大Web漏洞。应用程序安全应该从安全编码实践开始，并通过模糊和渗透测试来增强。

应用程序的快速开发和部署到云端使得DevOps作为一门新兴学科应运而生。DevOps团队通常将业务需求置于安全之上，考虑到威胁的扩散，这个关注点可能会发生变化。

5.物联网（IoT）安全

物联网指的是各种关键和非关键的物理网络系统，例如家用电器、传感器、打印机以及安全摄像头等。物联网设备经常处于不安全的状态，且几乎不提供安全补丁，这样一来不仅会威胁到用户，还会威胁到互联网上的其他人，因为这些设备经常会被恶意行为者用来构建僵尸网络。这为家庭用户和社会带来了独特的安全挑战。

网络威胁类型

常见的网络威胁主要包括以下三类：

保密性攻击

很多网络攻击都是从窃取或复制目标的个人信息开始的，包括各种各样的犯罪攻击活动，如信用卡欺诈、身份盗窃、或盗取比特币钱包。国家间谍也将保密性攻击作为其工作的重要部分，试图获取政治、军事或经济利益方面的机密信息。

完整性攻击

一般来说，完整性攻击是为了破坏、损坏、摧毁信息或系统，以及依赖这些信息或系统的人。完整性攻击可以是微妙的——小范围的篡改和破坏，也可以是灾难性的——大规模的对目标进行破坏。攻击者的范围可以从脚本小子到国家间谍组织。

可用性攻击

阻止目标访问数据是如今勒索软件和拒绝服务（DoS）攻击最常见的形式。勒索软件一般会加密目标设备的数据，并索要赎金进行解密。拒绝服务（DoS）攻击（通常以分布式拒绝服务攻击的形式）向目标发送大量的请求占用网络资源，使网络资源不可用。

这些攻击的实现方式：

1.社会工程学

如果攻击者能够直接从人类身上找到入口，就不能大费周章地入侵计算机设备了。社会工程恶意软件通常用于传播勒索软件，是排名第一的攻击手段（而不是缓冲区溢出、配置错误或高级漏洞利用）。通过社会工程手段能够诱骗最终用户运行木马程序，这些程序通常来自他们信任的和经常访问的网站。持续的用户安全意识培训是对抗此类攻击的最佳措施。

2.网络钓鱼攻击

有时候盗取别人密码最好的方法就是诱骗他们自己提供，这主要取决于网络钓鱼攻击的成功实践。即便是在安全方面训练有素的聪明用户也可能遭受网络钓鱼攻击。这就是双因素身份认证（2FA）成为最佳防护措施的原因——如果没有第二个因素（如硬件安全令牌或用户手机上的软件令牌认证程序），那么盗取到的密码对攻击者而言将毫无意义。

3.未修复的软件

如果攻击者对你发起零日漏洞攻击，你可能很难去责怪企业，但是，如果企业没有安装补丁就好比其没有执行尽职调查。如果漏洞已经披露了几个月甚至几年的时间，而企业仍旧没有安装安全补丁程序，那么就难免会被指控疏忽。所以，记得补丁、补丁、补丁，重要的事说三遍！

4.社交媒体威胁

“Catfishing”一词一般指在网络环境中对自己的情况有所隐瞒，通过精心编造一个优质的网络身份，目的是为了给他人留下深刻印象，尤其是为了吸引某人与其发展恋爱关系。不过，Catfishing可不只适用于约会场景。可信的“马甲”账户能够通过你的LinkedIn网络传播蠕虫。如果有人非常了解你的职业联系方式，并发起与你工作有关的谈话，您会觉得奇怪吗?正所谓“口风不严战舰沉”，希望无论是企业还是国家都应该加强重视社会媒体间谍活动。

5.高级持续性威胁（APT）

其实国家间谍可不只存在于国家以及政府组织之间，企业中也存在此类攻击者。所以，如果有多个APT攻击在你的公司网络上玩起“捉迷藏”的游戏，请不要感到惊讶。如果贵公司从事的是对任何人或任何地区具有持久利益的业务，那么您就需要考虑自己公司的安全状况，以及如何应对复杂的APT攻击了。在科技领域，这种情况尤为显着，这个充斥着各种宝贵知识产权的行业一直令很多犯罪分子和国家间谍垂涎欲滴。

网络安全职业

执行强大的网络安全战略还需要有合适的人选。对于专业网络安全人员的需求从未像现在这样高过，包括C级管理人员和一线安全工程师。虽然公司对于数据保护意识的提升，安全部门领导人已经开始跻身C级管理层和董事会。现在，首席安全官（CSO）或首席信息安全官（CISO）已经成为任何正规组织都必须具备的核心管理职位。

此外，角色也变得更加专业化。通用安全分析师的时代正在走向衰落。如今，渗透测试人员可能会将重点放在应用程序安全、网络安全或是强化网络钓鱼用户的安全防范意识等方面。事件响应也开始普及全天制（724小时）。以下是安全团队中的一些基本角色：

1.首席信息安全官／首席安全官

首席信息安全官是C级管理人员，负责监督一个组织的IT安全部门和其他相关人员的操作行为。此外，首席信息安全官还负责指导和管理战略、运营以及预算，以确保组织的信息资产安全。

2.安全分析师

安全分析师也被称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师。这一角色通常具有以下职责:

计划、实施和升级安全措施和控制措施；

保护数字文件和信息系统免受未经授权的访问、修改或破坏；

维护数据和监控安全访问；

执行内／外部安全审计；

管理网络、入侵检测和防护系统；分析安全违规行为以确定其实现原理及根本原因；

定义、实施和维护企业安全策略；

与外部厂商协调安全计划；

3.安全架构师

一个好的信息安全架构师需要能够跨越业务和技术领域。虽然该角色在行业细节上会有所不同，但它也是一位高级职位，主要负责计划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这就需要安全架构师能够全面了解企业的业务，及其技术和信息需求。

4.安全工程师

安全工程师的工作是保护公司资产免受威胁的第一线。这项工作需要具备强大的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位，其重点在于IT基础设施中的质量控制。这包括设计、构建和防护可扩展的、安全和强大的系统；运营数据中心系统和网络；帮助组织了解先进的网络威胁；并帮助企业制定网络安全战略来保护这些网络。