新加坡2020网络安全规划及对上海数字化转型的启示
2021-12-15 09:01
字体
保护色
打印

一、“新加坡2020网络安全规划”中的三大亮点

(一)强调分级和认证保护:三大举措保障信息基础设施运作安全

一是将5G网络安全放置首位。新加坡未来大部分基础设施和公共敏感数据会高度依赖5G网络,为保护基础设施安全,政府将大力推进5G发展安全计划,与学术界和龙头企业建立密切的合作关系,并主动提供测试环境,用来开展漏洞评估和威胁搜寻工作。例如,新加坡资讯通信媒体发展局与微软合作,利用Azure平台提供各类5G场景测试及技术咨询服务。二是审查更新多层云安全(MTCS)标准并开展“双重”安全控制,以保证云数据安全。新加坡网络安全局与云服务商、行业认证机构、行业协会、专业团体、学术界和中小企业代表等七方共同合作,审查并适时更新MTCS标准,快速查漏补缺。同时,政府基于风险等级进行双重安全控制:对企业云上托管的非关键业务数据和系统,提出安全控制基线;对企业云上的关键信息和系统采取更高规格的安全控制措施,安全监控框架接口会分类控制,限制敏感数据的访问和暴露频次。三是制定亚太地区首个网络安全标签计划(CLS),以保护智能产品用户安全。在使用安全性差的智能产品时,消费者会面临巨大风险。例如,智能路由器易被黑客攻击。CLS会对不同级别的智能产品进行网络安全评级(见表1),并公示产品级别名单,帮助消费者甄别智能产品的安全级别。目前,网络安全局官网公示名单主要包含无线路由器和智能家电产品,后期将逐步囊括网络摄像头等重要商用物联网产品。 

(二)重视预防和自查:四大手段保障企业网络活动安全

一是开发网络健康门户,协助企业网络安全自查并提供改良方案。健康门户具有三个亮点:第一,位置易查询。门户在网络安全局官网固定位置提供网络安全指南和工具包;第二,流程易操作。门户将简化定义网络安全指标,企业只需确认自身网络安全关键指标即可自查网络健康情况;第三,解决方案易获得。门户将多方整合网络健康侦查工具,帮助企业快速评估网络活动中的网站域名、电子邮件和连接网络的安全状况,并获得改良建议。二是提供“新加坡练习箱”,开展安全环境下的攻击测试服务。政府将推广“新加坡练习箱”(Exercise-in-a-Box Singapore)服务,根据各类企业和机构组织的需求,定向提供安全的互联网攻击测试环境,方便企业针对各类网络攻击场景进行应变练习,以及科学评估企业自身的网络恢复能力和安全缺失程度。三是对合规企业授予“安全信誉标志”,提升网络安全品牌优势意识。为引导企业将网络安全视作一种重要的市场竞争优势,新加坡政府于2021年启动针对合规申报企业的“新加坡网络安全信誉标志”授权服务,并将大力推介符合标准的“国民安全品牌”,使合格企业在市场更具竞争优势。四是制定“安全即服务”(SaaS)方案,助力企业网络安全升级。为提升企业安全意识,政府提供一份含13项网络安全要素的企业自评清单,其中前6项为关键“基本要素”(见图1)。企业自评后,还会针对不同企业提供定制化的网络安全解决方案。

(三)提升公众互联网技能:三大方法推进网络安全知识全覆盖

一是对于青少年人群,逐步将网络安全思维教育纳入小学高年级教育的“趣味代码”(CFF)计划。新加坡自2014年推出CFF计划以来,累计9.3万名学生获得了基本编码及互联网知识教育。未来,新加坡将加快推进高年级小学生(小四至小六)通过该计划获得网络安全基础教育。二是对于专业人士,为进一步支持数字化办公项目,新加坡政府计划为1000名“数字大使”提供专项网络安全培训,助力提升企业和机构高级管理者及相关技术人员的网络安全及数字化水平。三是对于普通公众,开展“安全上网”社区拓展活动,构建数字媒体信息框架,线上线下多渠道推广网络安全知识和活动,并根据公众的普遍问题,提出便捷化、可操作的私人网络安全保护建议。

二、“新加坡2020网络安全规划”对上海的启示

当前,上海网络隐患问题较突出,遭受网络攻击频次还较高,是城市数字化转型的障碍之一。根据《2019年中国互联网网络安全报告》,上海三类数据库(服务)隐患问题均位居全国第4位,上海木马或僵尸程序隐患问题位居全国第5位。根据上海网信办数据,2020年1月-11月,上海累计遭受网络安全威胁424455起,受攻击频次较高。借鉴“新加坡2020网络安全规划”经验,上海可重点发力三个方面:

1. 加快落实关键信息基础设施安全分级保护制度

对于公共基础设施,开展关键信息基础设施等级测评、分级备案、认证入库、保护监控一体化工作。以护航新基建为核心,对符合要求的关键信息基础设施,及时出具网络安全等级保护备案证明,强化整体防护、监测预警、应急处置与核心设备数据保护。尤其强调5G网络、云平台、物联网相关的重点设施防护,定期开展安全漏洞实战演练活动,并在实践中升级安全标准。对于商用物联网设备,积极开展上海智能制造产品“隐私安全品牌计划”。以保障用户隐私数据为核心,主要针对无线路由器、智能家电、网络摄像头等重要商用物联网产品,引导各类产品分级入库,实现入库产品安全年度考核和动态管理,公示产品级别榜单,并进行长期的宣传推广,打造上海数字化“隐私之都”信誉品牌。

2. 搭建上海企业网络安全综合服务平台,整合通报预警、实验测试、威胁监测及健康自查四大功能

依托各条线实时汇总的海量企业网络安全数据信息建设综合平台,提供金融、科技、物流等不同属性的企业所需的通报预警、实验测试、威胁监测及健康自查四大方案,并与公安机关对接,形成条块结合、协同联动的综合防控格局。同时,加快建设企业网络安全关键数据采集、网络威胁情报监察、网络安全健康检测三个标准,为上海企业数字化发展保驾护航。

3. 落实学生网络安全教育考核评测,升级教育培训服务

一是将网络安全教育内容纳入不同阶段学生学业评价范畴。加快落实《大中小学国家安全教育指导纲要》(2020年)中有关网络安全教育的内容,小学阶段侧重考察参与网络安全教育活动情况;中学阶段纳入学科考核评价范围,并考察参与活动情况;大学阶段进行课程考试,兼顾过程性考核。二是做到网络安全基础知识普及和咨询服务公众全覆盖。保证公众“时时可学、处处能问”,多渠道开展网络安全公众宣传活动。尤其是要让各个街道开展针对老年人群的定向数字化服务普及和网络安全知识宣传,做到老年人咨询服务“点对点”痕迹化管理,强化老年人网络诈骗防范意识。

 

 

原稿来源:《新加坡更安全的网络空间总体规划(2020年)》

执笔整理:上海发展战略研究所  张靓、张云伟