2018 全球网络安全政策一览

2018年5月25日，GDPR正式生效。同样是在2018年，各个国家也出台了许多网络安全相关的政策。回望18，或许我们能在其中看到未来发展的无限可能。

01

GDPR

时间：

出台日期 2016年4月14日

生效日期 2018年5月25日

地区：欧盟

概况：《通用数据保护条例》（缩写作 GDPR），是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范，涉及了欧洲境外的个人资料出口。GDPR 主要目标为取回公民以及住民对于个人资料的控制，以及为了国际商务而简化在欧盟内的统一规范。

GDPR 规定了所有欧盟的公民所享有的数字生活中的权利，其前身为 1995 年开始执行的《数据保护指令》（Data Protection Directive），大部分 GDPR 条款都从其继承而来，同时 GDPR 在生效后会取代旧的规定。在欧洲，事实上也是目前世界范围中，GDPR 是最完善、最严格的隐私保护规定。

02

《提升关键基础设施网络安全的框架》

时间：2018年4月16日

地区：美国

概况：《提升关键基础设施网络安全的框架》的基本思想，是一套着眼于安全风险，应用于关键基础设施广阔领域的安全风险管控的流程。该文件的开发目的是形成一套适用于各类工业技术领域的安全风险管控的“通用语言”，同时为确保可扩展性与开展技术创新，此框架力求做到“技术中性化”，即：

第一依赖于现有的各种标准、指南和实践，使关键基础设施供应商获得弹性能力。

第二依赖于全球标准、指南和实践（行业开发、管理、更新实践），实现框架效果的工具和方法将适用于跨国界，承认网络安全风险的全球性，并随着技术发展和业务需求而进一步发展框架。

因此，从某种角度上来观察，该文件就是一份“用于关键基础设施安全风险管控的标准化实施指南。”

03

《网络安全战略》

时间：2018年5月15日

地区：美国

概况：《网络安全战略》旨在使 DHS 的网络安全工作规划、设计、预算制定和运营活动按照优先级协调开展。该战略将致力于协调各部门的网络安全活动，以确保相关工作的协调一致。

主要确定了五大方向和七个目标：

方向一：风险识别

目标1：评估不断变化的网络安全风险

方向二：减少关键基础设施脆弱性

目标2：保护美国联邦政府信息系统

目标3：保护关键基础设施

方向三：降低网络犯罪活动威胁

目标4：防止并打击网络空间的犯罪

方向四：环节网络事件影响

目标5：有效响应网络事件

方向五：实现网络安全成果

目标6：提高网络生态系统的安全性和可靠性

目标7：加强管理DHS网络安全活动

04

《反加密网络法--援助获取法案》

时间：2018年12月6日

地区：澳大利亚

概况：澳大利亚通过了反加密网络法--援助获取法案(Assistance and Access Bill)，将使科技公司帮助澳大利亚当局解密用户的在线通信，或将对世界其他地方的数据隐私权，造成严重影响。

为澳大利亚政府提出了三项新的权力：

向公司提出自愿援助请求以获取信息的权力；

要求公司提供信息援助的权力；

向加密技术加入新的“后门特性”的权力。

05

《最低网络安全标准》

时间：2018.06

地区：英国

概况：2018年6月，英国政府与NCSC(国家网络安全中心)合作，推出了一套新的安全标准，要求所有政府“部门”，包括公司企业、政府机构、非政府公共机构和承包商，无一例外，必须遵守。而且，为应对新的威胁或新型漏洞，为融入新主动网络防御措施，这些标准还会随时间进程不断增多。

该标准细分为身份、保护、检测、响应和恢复五个部分，共提出10条具体要求。该标准中涉及的很多要求都是公司企业应采纳的基本控制措施。

06

《反网络及信息技术犯罪法》

时间：2018年8月18日

地区：埃及

概况：埃及首部涉及网络安全和打击极端分子利用网络进行违法活动的法律条例。

网络安全法共有45项条款。允许监管部门在获得司法授权的情况下处罚和查封“对国家安全构成威胁”或制造虚假新闻的网站，并监禁相关责任人。该法不仅适用于埃及人，也适用于在埃及境内外的外籍人士，如果确认某外国人违反了该法之相关规定，这有可能限制该人士之旅行权，也就是限制离境，接受调查。

不难看出，各国在安全政策方面都在做出不断努力。而2018一整年，数据和应用安全事件不断出现。随着技术的不断发展，安全与风险之间的博弈变得更加激烈，未来的发展呈现出以下几种趋势。

数据泄露很可能越来越严重

数据泄露相关事件层出不穷，2018年美国数据泄露事件的平均成本超过700万美元。在政策方面，无论是GDPR，澳大利亚隐私法，泰国的新隐私法还是土耳其的KVKK......都反映出当下面对信息泄露各国所作出的努力。

云安全更需要引起重视

LogicMonitor的调查表明，高达83％的企业工作负载将在同一时间上载到云端。这也就意味着，未来数字经济将带来更多商业利益，如何在其中保证安全，控制风险成为一个重要课题。

人工智能带来的机遇与风险

人工智能的发展，快速而深刻的改变着我们的生活。但是我们也应该看见，随着越来越多的组织转向人工智能和基于机器学习的安全控制决策，黑产攻击者或许也试图利用这一点攻克相应的防御。

参考来源：

1.《2019网络安全展望: 更多数据泄露, 相关法规出台以及AI崛起》——知乎

2.《划重点！世界各国网络安全政令概览》——Gump

>