没有国家安全,就没有人民的幸福和国家的繁荣。加强国家安全能力建设是进一步全面深化改革、推进中国式现代化的必然要求。党的二十届三中全会强调,聚焦建设更高水平平安中国,健全国家安全体系,强化一体化国家战略体系,增强维护国家安全能力,创新社会治理体制机制和手段,有效构建新安全格局。
加强国家安全能力建设是当今中国的必然选择
健全国家安全体系是中国共产党的根本政治立场和执政理念的体现,也是维护国家、社会、个人发展利益的重要保障。习近平总书记在中央国家安全委员会第一次会议上提出总体国家安全观,强调了国家安全的全面性和系统性,包括政治安全、军事安全、国土安全、经济安全、金融安全、文化安全、社会安全、科技安全、信息安全等多个方面的安全。以习近平同志为核心的党中央贯彻发展与安全并重的策略,实现中国经济增长与安全保障的双轮驱动,保障社会经济发展与国家稳固防线相得益彰。党的二十大报告对推进国家安全体系和能力现代化进行专章部署,强调健全国家安全体系,增强维护国家安全能力。在全球化背景下,中国战略机遇和风险挑战并存,为应对日益复杂的国内外形势,应提高国家安全工作的法治化、科学化和精准化水平,加强科技在国家安全领域的应用,完善政治、经济、社会和信息等关键领域的安全防护体系,并建立全社会共同参与的国家安全防御机制。
网络安全风险管理是国家安全能力建设的重要一环
习近平总书记强调,党的十八大以来,党中央重视互联网、发展互联网、治理互联网,统筹协调涉及政治、经济、文化、社会、军事等领域信息化和网络安全重大问题,作出一系列重大决策、提出一系列重大举措,推动网信事业取得历史性成就。这充分说明网络安全能力建设对于维护国家的政治、经济、文化和社会稳定至关重要,也是保护公民个人利益和国家整体安全的关键因素。随着网络科技的快速发展及其在日常生活中的广泛应用,网络安全的威胁与挑战日益上升。因此,增强网络安全防御能力,提高网络安全防护措施的有效性,已成为国家战略中亟须解决的课题。
网络安全风险是当今个人、企业、国家面临的重大风险之一,是国家安全能力建设中必须面对和解决的问题,在全社会、各领域开展网络安全风险管理,构建网络安全风险防线,是我们党治国理政的必然要求。没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众的利益也难以得到保障。在数字化时代,随着互联网、大数据、人工智能等技术飞速发展,新的应用场景如在线支付、远程教育、远程工作等不断涌现,这些技术在带来便利的同时,也增加了新的网络安全风险,网络攻击、数据泄露和网络诈骗等网络安全事件频繁发生,网络空间成为新的战场,对个人隐私、企业运营乃至国家安全带来新的挑战。
在个人信息保护领域,有犯罪集团通过使用海外通信应用Telegram,非法获取了包括公民的个人信息和系统漏洞在内的省级社保系统的信息数据,严重侵犯了公民的隐私权和个人安全。在企业信息安全领域,随着智能汽车和车联网技术的迅猛发展,数据安全事件也日益增多。蔚来、通用、大众等汽车企业都曾遭遇用户信息泄露问题,损害了个人与企业的正当权益。在国家安全领域,近年来我国电信运营商和航空公司等关键单位的内部网络和信息系统频繁遭遇异常行为,包括未经授权的访问和数据泄露等问题。这些行为被确认为是由某些境外间谍情报机构精心策划和秘密实施的攻击,目的是试图对我国的关键信息基础设施进行战略控制。习近平总书记强调,要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。对此,要加强政策、监管、法律的统筹协调,加快法规制度建设,加强国际数据治理政策储备和治理规则研究,提出具有可行性的方案。
构建网络安全风险防线的切实举措
加强网络安全防护,建立健全网络安全风险防控体系,对于维护国家安全和社会稳定具有重大意义。我们必须坚持总体国家安全观,坚持以人民为中心的发展思想,统筹网络安全和信息化发展,加强网络安全教育和技术研究,提高全民网络安全意识和能力,共同构筑网络安全的坚固防线。
加强网络安全法律法规建设,明确网络安全责任。习近平总书记强调,网络空间同现实社会一样,既要提倡自由,也要保持秩序。自由是秩序的目的,秩序是自由的保障。因此,既要尊重网民交流思想、表达意愿的权利,也要依法构建良好网络秩序,保障广大网民的合法权益。我国应基于《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,顺应技术发展和网络安全形势的变化,进一步细化相关条款,增强法律的执行力,提升法律体系的适应性和前瞻性。针对信息泄露、网络诈骗等影响信息化进一步发展的问题,提出更为完善,具有预防、解决、反思升级效用的举措,包括加强网络安全防范管理、监测预警、信息通报、应急处置和侦查打击等。基于《中华人民共和国个人信息保护法》的实施,对《中华人民共和国网络安全法》中涉及个人信息保护的法律责任进行相应的调整和完善,以确保个人信息得到充分保护,明确《中华人民共和国数据安全法》中重要数据的具体要求与标准,提高实操性,为企业和组织提供更具体的指导。进一步强化网络安全监管,严厉打击网络违法犯罪等危害社会公平安定的行为,提升监管能力和技术水平,肃清网络风气,形成有效的震慑。
完善网络安全风险管理体系,建立首席网络安全风险官。习近平总书记强调,新时代新征程,网信事业的重要地位作用日益凸显,要坚持党管互联网,坚持网信为民,坚持走中国特色治网之道,坚持统筹发展和安全,坚持正能量是总要求、管得住是硬道理、用得好是真本事,坚持筑牢国家网络安全屏障,坚持发挥信息化驱动引领作用,坚持依法管网、依法办网、依法上网,坚持推动构建网络空间命运共同体,坚持建设忠诚干净担当的网信工作队伍,大力推动网信事业高质量发展。因此,应在企业中设立网络安全风险官职位,负责领导网络安全团队,制定和执行网络安全策略,监督日常的安全运营,管理安全团队,并确保组织遵守相关的法律法规。根据风险管理要求,分析网络安全风险特征,开发可行网络安全风险管理方法,选择最优网络安全风险管理方法,对网络安全风险管理结果进行监督和修正,构建网络安全风险管理体系。首先应识别企业面临的潜在网络安全风险,通过定期的漏洞扫描、安全审计等方式,了解需要保护的资产、系统和数据,识别潜在的威胁和漏洞。之后对已识别的风险进行评估,量化不同网络风险的潜在影响以及发生的可能性,确定风险的优先级,并合理分配防护资源,根据风险的关键特征,制定适合的风险化解策略,包括技术控制措施、流程改进、安全培训计划等。同时,部署必要的技术和管理措施来缓解风险,包括防火墙、入侵检测系统、数据加密、访问控制等技术措施,以及安全政策、程序和培训等管理措施,并定期监督和评估风险管理措施的有效性。
加强网络安全风险管理人才培养,构建整体网络安全风险意识观。习近平总书记强调,网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。应加强产学研合作,培养人才后备团队。鼓励企业参与高校网络安全风险管理人才培养,通过设立单独院系、开办实验班、完善培养体系、开展实践教学、研究横向课题以及创建联合培养平台等多项措施加强同高校的合作,培养素质高、实践能力强的网络安全风险管理人才。应向企业员工提供定期的网络安全教育和培训课程,开展持续学习计划,包括参加研讨会、网络研讨会和高级培训课程等,并通过模拟网络攻击和防御演练,提高个人实践能力,鼓励员工获取专业认证,提升个人在网络安全风险管理领域的专业技能。同时,应发挥国家网络安全宣传周的作用,开展全民宣传,促进全民对网络安全的了解。以“共建网络安全,共享网络文明”为主题,营造网络安全人人有责、人人参与的良好氛围,通过各种形式的宣传教育活动,如主题展览、知识讲座、技能大赛等,推动网络安全知识的普及和网络安全技能的提升,推动网络安全教育、技术、产业的融合发展,以及在网络安全领域的协同合作,增强公众的网络安全意识,提升自我保护能力,为构建安全、健康、和谐的网络环境,维护国家网络安全奠定坚实的基础。
(原载于2024年10月20日《河南日报》4版)