重磅解讀：網絡安全“合規”建設迫在眉睫的深層因素

《說文解字》曰，“規，有法度也。”《孟子·離婁章句上》提到，“不以規矩，不能成方圓”，《韓非子·解老》也指出，“萬物莫不有規矩”。規矩就是法度與禮儀，它無處不在，沒有規矩，難成方圓；沒有規矩，天下就會大亂。

現實世界如此，虛擬數字空間同樣適用，在網絡安全（注：本文中的網絡安全是廣義概念，即CyberSecurity）行業約30年的發展歷程中，合規始終是一個極其重要的安全發展驅動引擎。1994年2月發布的《中華人民共和國計算機信息系統安全保護條例》，是我國第一個計算機安全法規。2007 年《信息安全等級保護管理辦法》的發布，標志著等保 1.0 時代正式開啟，被公認為第一輪網絡安全行業興起的起點。

此后，網絡安全法律法規伴隨著行業高速成長而不斷完善和豐富。從2017年6月實施的《中華人民共和國網絡安全法》，再到2019年12月實施的網絡安全等級保護制度2.0標準（簡稱：等保2.0），以及2021年連續實施的《關鍵信息基礎設施安全保護條例》、《中華人民共和國數據安全法》，以及《中華人民共和國個人信息保護法》等等，2022年《網絡數據安全管理條例》也正式納入立法過程。無論是政策法規、規章條例的數量之多，還是近期政策推出的頻度之密，都凸顯了網絡安全合規的重要性和緊迫性。

圖：我國重要的網絡安全政策法規

2022年9月14日，實施了5年多的《網絡安全法》迎來首次修改。其中包括進一步壓實網絡安全責任、大幅提高重大網絡安全事故的罰款幅度、處罰力度與公司營業額掛鉤、增加禁業處罰措施，增加對關鍵信息基礎設施運營者違法行為罰則等等，這勢必將顯著提升了對大型政企機構對于網絡安全的重視程度。

那么，國家相關部門為何近年來顯著加大網絡安全的合規力度，其背后的深層邏輯又有哪些呢？

一、內外部形勢嚴峻 網絡安全加強合規建設迫在眉睫

哲學認為，事物的發展是內外因共同起作用的結果。網絡安全在合規驅動的道路上，至少有國際外部環境、國家戰略要求，數字化經濟發展、威脅形式變化等多重因素的聯合驅動。

首先，國際環境波云詭譎，網絡對抗威脅日益嚴峻。

9月5日，中國相關部門對外宣布，此前西北工業大學聲明遭受境外網絡攻擊，攻擊方是美國國家安全局（NSA）特定入侵行動辦公室（TAO）。此后國家計算機病毒應急處理中心與北京奇安盤古實驗室對此次入侵事件進一步深入分析，在最新的調查報告中，美國實施攻擊的技術細節被公開：即在41種網絡武器中名為“飲茶”的嗅探竊密類網絡武器就是導致大量敏感數據遭竊的最直接“罪魁禍首”之一。

圖：國家戰略與網絡安全法律法規概覽

當前，世界百年未有之大變局正在加速演進，和世紀疫情交織疊加，國際環境日趨復雜，網絡霸權主義對世界和平與發展構成威脅，全球產業鏈、供應鏈遭受沖擊，網絡空間安全面臨的形勢持續復雜多變。數字化空間的對抗已成為大國交鋒的重要戰場，網絡安全已經成為了國家安全的重中之重。這也就不難理解我國在平衡安全與發展之間關系時的邏輯。強化安全法律體系構建與合規要求，如何強調其重要性都不為過。

其次，數字化潮流大勢所趨，安全底板重要性凸顯。

蓬勃發展的“數字經濟”正成為拉動中國經濟增長的新引擎。根據中國信通院發布的報告顯示， 2021年，我國數字經濟規模達到45.5萬億元，同比名義增長16.2%，占GDP比重由2005年的14.2%提升到2021年的39.8%。數字經濟發展速度之快、輻射范圍之廣、影響程度之深前所未有，正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。

數字經濟的高速發展離不開國家宏觀規劃和政策的支撐。2021年3月，“中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要”獲表決通過并正式發布。其中第五篇“加快數字化發展 建設數字中國”，提出迎接數字時代，激活數據要素潛能，推進網絡強國建設，加快建設數字經濟、數字社會、數字政府，以數字化轉型整體驅動生產方式、生活方式和治理方式變革。

在本綱要中，“安全”一詞共計出現175次，僅次于出現468次的“發展”、349次的“建設”、206次的“制度”，成為綱要中排名第四的高頻熱詞。在175次提及安全相關的內容中，有14次與網絡安全相關，5次與數據安全相關。在“加快數字化發展 建設數字中國”的篇章中，專門對網絡安全保護進行了闡述；在“統籌發展與安全 建設更高水平的平安中國”篇章，也給出了“全面加強網絡安全保障體系和能力建設”的闡述。可見，網絡安全已成為國家、社會發展面臨的重要議題，建設“安全中國”也將成為十四五規劃中的戰略重點和發展方向，更帶來了網絡安全建設的巨大機遇。

今年4月，《中共中央國務院關于加快建設全國統一大市場的意見》提到，要加快培育數據要素市場，建立健全數據安全、權利保護、跨境傳輸管理、交易流通、開放共享、安全認證等基礎制度和標準規范，深入開展數據資源調查，推動數據資源開發利用。《意見》強調，要把安全貫穿數據治理全過程，守住安全底線，明確監管紅線，加強重點領域執法司法，把必須管住的堅決管到位。要構建政府、企業、社會多方協同治理模式，強化分行業監管和跨行業協同監管，壓實企業數據安全責任。

2022年6月22日，中央全面深化改革委員會第二十六次會議審議通過了《關于構建數據基礎制度更好發揮數據要素作用的意見》等，對數據確權、流通、交易、安全等方面做出部署。會議明確，數據基礎制度建設事關國家發展和安全大局，要維護國家數據安全，保護個人信息和商業秘密，促進數據高效流通使用、賦能實體經濟，統籌推進數據產權、流通交易、收益分配、安全治理，加快構建數據基礎制度體系。

與此同時，國務院印發《關于加強數字政府建設的指導意見》（以下簡稱《指導意見》），就主動順應經濟社會數字化轉型趨勢，充分釋放數字化發展紅利，全面開創數字政府建設新局面作出部署。在構建數字政府全方位安全保障體系方面，《指導意見》強化安全管理責任，落實安全制度要求，提升安全保障能力，提高自主可控水平，筑牢數字政府建設安全防線。

最后，網絡空間威脅形勢日新月異，影響范圍與維度不斷擴展，也是網絡安全政策法規密集出臺的有一大推動因素。近年來，安全攻擊呈現出以下四個新趨勢：

第一是勒索攻擊事件呈現顯著上升趨勢。相關數據統計，2021年平均每11秒就有一個企業受到勒索病毒攻擊。而奇安信應急響應中心統計的數據也顯示，2021年，大中型政企機構的應急響應事件中勒索攻擊占到了近30%。

第二是數據竊密事件指數級攀升。2022年4月，國家安全機關公布，有間諜竊取我國電信運營商、航空公司等單位的部分數據并發送至境外，嚴重威脅到我國關鍵基礎設施的數據安全。IBM發布的《2021年數據泄露成本報告》指出，2021年每起數據泄露事件帶來的平均損失高達424萬美元，同比增加10%，達到了七年來的最大增幅。

第三是有組織的APT攻擊威脅不減。之前國家計算機病毒應急處理中心披露的《西北工業大學遭受美國NSA網絡攻擊調查報告》，其幕后是“飲茶”嗅探竊密工具與Bvp47木馬程序其他組件配合實施聯合攻擊，堪稱典型的APT攻擊。另一起震驚全球的APT事件是，9月7日，北約成員國阿爾巴尼亞宣布與伊朗斷絕外交關系，緣由是伊朗APT組織在7月對阿國進行了大規模網絡攻擊,這是世界上第一起因網絡攻擊導致兩國斷交的事件。

第四是供應鏈安全已成為網絡安全的新戰場。根據行業估計，供應鏈攻擊現在占所有網絡攻擊的50％，去年同比激增了 78％。多達三分之二的公司經歷了至少一次供應鏈攻擊事件，平均成本達110萬美元。美國的Solarwinds供應鏈安全事件，也使得全球看到了這類攻擊手段的深度應用，促使各重點行業，從這個新維度視角考慮供應鏈安全領域。Verizon發布的《2021年數據泄露調查報告》顯示，62%的系統入侵事件是由供應鏈造成的。

二、從合規體系完善到實際效果落地尚存在三大缺失

面對復雜而嚴峻的網絡安全威脅形式，當前我國各個行業的合規落地實施仍存在諸多軟肋和不足，具體表現在三個方面：

第一，網絡安全的主體責任未壓實

對于任何一家政企機構而言，網絡安全事故的發生是一個概率事件，因此考慮到投入產出比，在很多客戶看來，投資網絡安全至少在明面上并不是一個“非常劃算”的生意。即便是在《中華人民共和國網絡安全法》正式實施以后，其最高罰款也不超過100萬元，對于中大型企業尤其是各行業的頭部公司而言，相較于復雜的網絡安全技術與人才的投入，其處罰力度也遠遠不夠。

這就帶來了一個問題，網絡安全主體責任并未壓實。尤其越是頭部的大型企業和政府機構，其發生網絡安全事故后導致的后果也越嚴重，不僅是經濟損失，更多時候其造成的國家安全與社會民生影響往往更為嚴重。這也是為什么在《關基保護條例》中，特別強調了從關基運營者的主體責任，以及保護工作部門的本行業本領域監測預警與指導任務。

9月14日，國家互聯網信息辦公室發布了關于修改《中華人民共和國網絡安全法》的決定（征求意見稿），本次修改主要有以下幾點。

一是完善違反網絡運行安全一般規定的法律責任。并且擬調整違反網絡安全保護義務或導致危害網絡運行安全等后果的行為的處罰種類與處罰服務，使得罰款激增，對企業的罰款從最高100萬提高到5000萬或上一年度營業額的5%，并可以責令暫停相關業務進行停業整頓，甚至吊銷相關業務許可與營業支招。對直接負責的主管人員從最高10萬元提高到100萬元。

二是新增禁業規定，對直接負責的主管人員和其他直接責任人員，可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員或者從事網絡安全管理和網絡運營關鍵崗位的工作。

三是修改關鍵信息基礎設施安全保護相關的法律責任制度。

四是更加注重法律的銜接，尤其與《數據安全法》、《個人信息保護法》等相關新頒布法律的一致性。

可以預見的是，考慮到綜合了五千萬與營業額5%的頂格處罰，以及停業整頓、對于相關管理人員的從業禁止的綜合處罰，即便是頭部政企機構也不得不重新審視自己的網絡安全責任落實與建設情況。

第二，網絡安全“能力體系”的亟待完善

需要的注意的是，網絡安全從法規到落地執行，需要大量的能力支撐，這些能力中包括技術、管理、運行能力，這種綜合能力體系的構建，就需要有框架、參考架構、標準、指南作為指導。

近兩年來我國網絡安全法律法規完善速度非常快，已經走在了全球前列，但在網絡安全能力體系的建設上，相比最先進的體系而言，中間這層的能力指引缺失卻在一定程度上阻礙了我國網絡安全整體水平的進步。

2021年5月，美國總統拜登簽署《改善國家網絡安全的行政命令》（下文簡稱“行政令”），提出多項行動以加強美國網絡安全防御能力，包括情報共享、零信任架構、供應鏈安全事件的防范等多個方面，解決美國當前易受網絡攻擊的安全問題。

在這些方面，美國都有相對完善的參考架構與技術指南作為指引。

例如在關基保護方面，2018年美國國土安全部專門整合資源組建了“網絡安全與基礎設施安全局（CISA）”，在關基保護的政策制定、防御協同、能力指南、情報共享、安全演習等方面發揮作用。除了拜登政府《改善國家網絡安全》行政令，CISA也發布了《云計算安全技術參考架構》、《零信任成熟度模型》；2021年2月拜登簽署《確保信息和通信技術及服務供應鏈安全》的行政令，NIST也快速著手制定相關標準，2022年9月《利用安全的軟件開發時間增強軟件供應鏈安全行》的備忘錄隨即出臺；2022年，發布了《2022年關鍵基礎設施網絡事件報告法案》。而在這之前，美國在關基保護的范圍劃定、保護體系建立方面早已陸續出臺了各類的政策、法案、技術指南、標準等體系化內容。覆蓋面寬，落地管理細節依據較為完整，且配套的能力體系構建指引、相關標準規范豐富。

在威脅情報方面，美國聯邦系統安全控制建議（NIST 800-53）、美國聯邦網絡威脅信息共享指南（NIST 800-150）、STIX 結構化威脅表達式、CyboX 網絡可觀察表達式以及指標信息的可信自動化交換 TAXII 等都為國際間威脅情報的交流和分享題攻克可靠參考。而這些標準，不僅得到了包括 IBM、思科、戴爾、大型金融機構以及美國國防部、國家安全局等主要安全行業機構的支持，還積累了大量實踐經驗，在實踐中不斷優化。更是有如美國情報共同體這樣的組織機制來進行支撐。

在零信任方面，早在2021年5月，美國總統簽署了行政命令，強制要求政府部門全面邁向零信任架構。與此同時，美國國家標準與技術研究院（NIST）在發布《零信任安全架構標準》之后，再次為聯邦管理人員發布了一份規劃指南，概述了如何將NIST風險管理框架（RMF）應用于實施零信任架構。RMF 提出了一種方法，其中包括一組集成到企業風險分析、規劃、開發和運營中的步驟和任務。這些步驟分為七個行動：準備、分類、選擇、實施、評估、授權和監控。

圖：美國NIST風險管理框架七個步驟

在供應鏈安全方面，2022年5月5日NIST發布了新版《系統和組織網絡安全供應鏈風險管理實踐》，旨在提供識別、評估和應對整個供應鏈各級組織網絡安全風險的指導，提高了組織在供應鏈內部和整個供應鏈中管理網絡安全風險的能力。它是NIST對有關網絡安全的行政命令的回應的一部分。修訂后的標準主要面向產品、軟件和服務的購買者以及最終用戶。該指南有助于各組織將網絡安全供應鏈風險考慮和要求納入其收購流程，并強調了風險監控的重要性。

第三，常態化、實戰化的深度運營缺失

網絡安全最終的效果需要從實戰化的安全運營中體現，從2016年開始，我國有關部門都會在全國范圍內組織一次較大規模的實戰攻防演習，用以檢驗部分重要機構的網絡安全建設成果和實戰化攻防水平。除此之外，各省市、行業等自行組織的小范圍實戰攻防演習，更是數不勝數。

能夠看到的是，歷經數年的發展，實戰攻防演習的水平越來越高，戰況也越來越激烈，各種攻防手段層出不窮，對推動我國整體實戰化水平和產業發展，起到了巨大的推動作用。

正如部分業內專家所談論的那樣，伴隨著時代大潮，還有很多問題也隱藏其中。比如面對演習期間高頻度的攻擊，作為防守方不得不嚴陣以待、如履薄冰，加派人手修補潛在的安全隱患，處置每一個可疑的告警。而隨著演習的結束，所有運營手段都又恢復成“老樣子”：對那些高危甚至已經發生在野利用的漏洞視而不見、需要進行加固的策略無持續優化、安全設備的檢測規則也不及時更新……

演習的主要目的是為了幫助防守方檢查哪里還存在著不足，因此在演習結束后，大量機構都會根據自身情況采購最需要的產品和服務。但網絡安全的本質是人與人的對抗，缺乏常態化和實戰化運營的設備堆砌，很難起到保障企業網絡安全的作用。如此一來，原本查漏補缺的目的就并未達到，借演習來提升常態化、實戰化安全能力的目標也就隨之落空。

三、推動合規落地 需做好三項工作

面對日益嚴峻的外部形勢，錯綜復雜的安全威脅，奇安信認為，廣大政企機構應積極推動以下三項措施，盡快補齊合規短板，構筑牢固的安全防線。

第一步是夯實地基，確保“合規不踩線”。

一直以來，很多企業都對合規存在誤解，認為合規是網絡安全工作的目標。事實上，合規僅僅是網絡安全的基本要求和底線。企業不遵守安全規范，就像沒有打牢地基，注定無法長久。

企業需要深刻認知到，安全的本質是要解決業務連續性和安全風險相關的問題，脫離業務就很難讓安全達到很好的效果。企業在落實網絡安全合規建設的同時，還需要從業務視角出發，基于動態風控的思路，實現面向業務風險的安全治理，最終達到守牢安全底線和保障業務經營的雙重目標。

第二步是角色轉化，健全組織機制。

從9月份的《網安法修訂稿》中可以看出，有兩個信息和企業的經營負責人緊密相關。第一是頂格處罰激增，對企業罰款從最高100萬元提高到5000萬或上年度營業額的5%，甚至直接造成到企業運營停擺。第二，《網安法修訂稿》特別增加了“禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員或者從事網絡安全管理和網絡運營關鍵崗位的工作”，有力強化對涉及違法行為的相關管理人員的懲戒效果。可見，網絡安全是否合規，安全責任是否壓實，不僅直接關乎企業的經營指標、利潤盈虧，同時還和企業管理者的個人職業生涯密切相關。

為了避免企業遭受可能高達數十億級的巨額罰款，以及管理者遭受禁業處罰，政企一把手需要對三個問題了如指掌，即：組織是否健全，責任是否落實，技術能力支撐是否到位。

具體落實上，企業應組建“網絡安全合規專項工作組”，合規的第一責任人，需要從單純的IT部門、網絡安全部門負責人，上升到政企機構的一把手、經營管理負責人。通過一把手領導牽頭，建立一個橫跨公司管理、法務、技術、業務等多個部門的綜合組織，才能將網絡安全合規工作責任落到實處，滿足監管需求，并避免安全和業務相脫節。

第三步是補齊短板，兼顧長遠，體系規劃。

據統計，國內85%以上的政企機構在面對最新的數據安全法律法規的合規要求時，最需要“先理后治、補短固底”。“補短板、防違規”，是網絡安全與數據安全的當務之急，更是合規建設的突破口。滴滴、知網等頻遭審查或處罰的事件說明，企業迫切需要盡快自查隱藏的合規風險，分析問題原因，及時補齊安全短板，才能最大程度降低監管部門處罰的風險。

在補齊短板的同時，企業還需兼顧長期的體系化建設，以及常態化的安全運營。過去，企業只要按照要求部署產品，就是做到了合規，這就導致很多企業僅僅把合規當成“應試”和“交差”，覺得只要通過檢查和測試就萬事大吉了，沒有把后續的實際效果和可持續性考慮在內，使得合規流于形式，面對新的監管和網絡攻擊時依然千瘡百孔。

完整的網絡安全能力體系的構建，與“新管理”的落地，和實戰攻防演習不同，它是一個長期、有序、常態的過程。在數字化時代，缺乏能力體系支撐，缺乏安全技術控制點的合規條文，是難以最終落地的。所以網絡安全的新管理，也需要從傳統的“條文式管理”發展到有能力體系支撐的，有數據結果驅動的“效果型”管理上來。

在這個過程中，除了企業和監管單位的努力之外，還需要充分借助外部的專業力量，依托專業網絡安全公司，以及第三方法律機構的參與和支持，對合規制度流程不斷完善，對人員技術能力不斷提升，對各類安全風險持續跟蹤及修復，才能從長遠角度提升企業的安全水平。

四、結束語

從無法可依到有法可依，從合規性驅動到合規性和強制性驅動并重，以《網絡安全法》、《數據安全法》、《個人信息保護法》等為代表的網絡空間安全法治建設，為維護國家總體安全、抵御網絡空間各種不確定性因素和未知風險發揮了重要作用。然而，在當前國際嚴峻的威脅形勢下，網絡安全面對的挑戰依然嚴峻，合規建設任重而道遠。

只有落實體系化建設，實現國家指導、行業保護、網絡服務機構支持、運營者落實等多方協同，才能落實相關合規監管要求，筑牢網絡安全底板，筑牢網絡安全底板，化解重大風險，保障業務正常運轉，為我國數字強國之路保駕護航。