数据联安全，智能想未来

图1. 全球各国网络安全立法情况

国际方面，世界各国纷纷针对当前的网络安全形势，出台或更新了自己的网络安全战略。1月25日，英国政府正式发布《国家网络安全战略》文件。该战略提出了英国未来五年的五项“优先行动”，包括加强英国网络生态系统，投资人才和技能，深化政产研间的伙伴关系；建设有弹性和繁荣的数字英国，降低网络风险，使企业最大限度利用数字技术的经济利益；在重要网络技术方面处于领先地位，开发框架确保未来技术安全；提升英国的全球领导地位和影响力，建立更安全、繁荣和开放的国际秩序；检测、干扰和威慑英国的对手，加强英国网络空间安全。9月，美国网络安全和基础设施安全局（CISA）发布了2023年至2025年的战略计划。该计划是CISA 2018年成立后首次推出的战略规划，提出了加强关注网络空间的防御和弹性；降低网络空间攻击风险并提高恢复能力；加强政府与私营部门之间的“全国业务合作和信息共享”；打破组织孤岛，在内部统一机构，提高服务价值等四项战略目标。10月，荷兰内阁公布《2022-2028年国家网络安全战略》。荷兰政府认为过于强调个人安全责任，并不能真正解决数字世界面临的安全问题，聚焦于使人们更清楚了解威胁的来源及其针对的对象，提高公民对网络事故的响应力和恢复力，政府和特定部门需要承担用户的部分安全责任，重新分配安全责任等四个方面，提出了有针对性的举措。12月，欧盟在首部网络安全法《网络与信息系统安全指令》的基础上，通过了《关于在欧盟全境实现高度统一网络安全措施的指令》的新立法，正式建立欧洲网络危机联络组织网络 EU-CyCLONe（The Cyber Crisis Liaison Organization Network），以进一步提高公共和私营部门以及整个欧盟的网络安全、弹性及事件响应能力。

与此同时，在供应链安全和聚焦数据跨境流动的数据安全方面，各国也纷纷出台法案。供应链安全方面，5月，美国能源部（DOE）公布了未来五年美国制造业加强竞争、网络安全和供应链管理的一系列优先事项。其中，《2022制造业网络安全路线图》为美国未来制造业，包括关键基础设施的网络安全部署，明确了基本目标与实施路线，凸显了美国为构筑制造业竞争优势，抢占网络安全主导权的重要举措。9月，美国国家安全局（NSA）、美国网络安全与基础设施安全局（CISA）以及国家情报局局长办公室（ODNI）发布《面向开发者的软件供应链安全指引》，旨在为国家关键基础设施提供网络安全指导，解决对国家关键基础设施的高度威胁。10月，英国国家网络安全中心（NCSC）发布了《供应链网络安全指南》，针对中大型组织日益复杂的供应链中的网络安全，提出了切实可行的步骤。数据安全方面，2月，欧盟委员会正式公布《数据法案》草案全文，涉及数据共享、公共机构访问、国际数据传输、云转换和互操作性等方面规定，致力于保障数字环境的公平，推动数据市场发展，为数据创新提供机会，并使所有人更容易获得数据。同时，欧盟数据保护委员会（EDPB）还发布了《关于GDPR行为守则作为数据跨境传输工具的04/2021号指南》的正式通过版。3月，在美国总统拜登访欧之际，美欧联合公布已经原则同意一个新的《跨大西洋数据隐私框架》，标志着美欧双方将为实现所有经济部门的跨大西洋商业活动，提供数据流动的持久基础。4月，美国联合加拿大、日本、韩国、菲律宾、新加坡等，建立“全球跨境隐私规则”体系，以支持数据的自由流动和有效保护。12月，欧盟委员会发布了《关于欧盟-美国数据隐私框架的充分性决定草案》，将允许欧洲人的个人信息合法存储在美国境内，从而减少监管机构对数千家定期传输此类信息的公司采取行动的威胁。

图2. 2022年国家网络安全宣传周

放眼今日中国，新一代网络信息技术的应用呈现广泛普及和快速迭代的显著态势，社会运行和经济发展的各个方面已经普遍驶入全要素数字化转型的历史快车道，由此催生新的技术架构、新的业务模式和新的应用场景，让各方拥抱着更为多样的发展机遇；同时也引发新的技术要素风险、组织管理风险和信息内容风险，使公众面对着更为广泛的安全威胁。

对于我国来说，我国高度重视数字经济在赋能传统产业转型升级，落地新产业、新业态、新商业模式，“三新”经济的重要作用。围绕数字经济发展中面临的网络、数据等安全保障问题，出台了一系列的政策法规：

●    1月12日，国务院印发的《“十四五”数字经济发展规划》，明确提出要着力要强化包括增强网络安全防护能力，和提升数据安全保障水平在内的数字经济安全体系。10月28日，国家发改委代表国务院提请全国人大审议的关于数字经济发展情况的报告中，也明确提出，要强化网络、数据等安全保障体系建设，健全网络应急事件预警通报和应急处置机制，强化网络安全技术措施同步规划、同步建设、同步使用要求，推动网络安全产业高质量发展，增强网络安全防护能力。建立健全数据安全治理体系，完善数据分类分级保护制度，规范数据全生命周期管理，加强数据跨境流动安全管理，推动数据安全产业发展，加强个人信息保护，提升数据安全保障水平，提升防诈反诈技防水平，完善长效治理机制。

●    2月，国家发改委、中央网信办、工业和信息化部、国家能源局联合印发通知，同意在京津冀、长三角、粤港澳大湾区、成渝、内蒙古、贵州、甘肃、宁夏等8地启动建设国家算力枢纽节点，并规划了10个国家数据中心集群。至此，全国一体化大数据中心体系完成总体布局设计，“东数西算”工程正式全面启动。“东数西算”明确提出，要加强对基础网络、数据中心、云平台、数据和应用的一体化安全保障，提高大数据安全可靠水平。加强对个人隐私等敏感信息的保护，确保基础设施和数据的安全。

●    6月23日，国务院关于加强数字政府建设的指导意见正式发布，要始终绷紧数据安全这根弦，加快构建数字政府全方位安全保障体系，全面强化数字政府安全管理责任。明确提出，要建立健全数据分类分级保护、风险评估、检测认证等制度，加强数据全生命周期安全管理和技术防护。加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度，完善相应问责机制，依法加强重要数据出境安全管理。加强关键信息基础设施安全保护和网络安全等级保护，建立健全网络安全、保密监测预警和密码应用安全性评估的机制，定期开展网络安全、保密和密码应用检查，提升数字政府领域关键信息基础设施保护水平。

●    7月7日，国家网信办发布《数据出境安全评估办法》（国家互联网信息办公室令 第11号），明确了应当申报数据出境安全评估的情形，并给出了数据出境安全评估的具体要求，规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确重点评估事项，明确在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。8月31日，网信办发布《数据出境安全评估申报指南（第一版）》，《指南》明确了符合数据出境安全评估适用情形的数据处理者向境外提供数据，应当通过所在地省级网信办向国家网信办申报数据出境安全评估，并对数据出境安全评估申报方式、申报流程、申报材料等具体要求做出了说明。

●    9月6日，工信部发布《5G 全连接工厂建设指南》，提出的安全要求包括：构建多层级网络安全防护体系；做好安全应急预案，阶段性开展安全检测评估，提升网络安全监测水平，确保网络运行平稳，提高安全威胁发现、快速处置和应急响应能力；推进企业全面落实工业互联网企业网络安全分类分级管理相关政策与标准，提升设备、控制、网络、平台和数据等安全防护能力；加大网络安全投入，明确责任部门和责任人，建立健全监测预警、数据上报、应急响应、风险评估等安全机制。

●    9月14日，网信办发布《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》公开征集意见，重点针对违反了网络运行安全一般规定、关键信息基础设施安全保护责任、网络信息安全义务、个人信息保护等四个方面的法律责任制度，进行了完善。

●    10月16日，中国共产党第二十次全国代表大会在人民大会堂开幕，习近平总书记代表第十九届中央委员会向大会作报告。二十大报告专章提出要“推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定”，尤其强调要强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设。

●    11月9日，国家主席习近平向2022年世界互联网大会乌镇峰会致贺信。强调中国愿同世界各国一道，携手走出一条数字资源共建共享、数字经济活力迸发、数字治理精准高效、数字文化繁荣发展、数字安全保障有力、数字合作互利共赢的全球数字发展道路，加快构建网络空间命运共同体，为世界和平发展和人类文明进步贡献智慧和力量。

●    12月13日，工信部印发了《工业和信息化领域数据安全管理办法（试行）》，针对工业数据、电信数据和无线电数据等工业和信息化领域数据，确定了数据分类分级管理、重要数据识别与备案相关要求；针对不同级别的数据，围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节，提出了7个方面的安全管理和保护要求。

图3. 联想第五届网络安全周活动日程

在2022联想创新科技大会（Tech World）上，元庆提出，从物理世界到虚实世界，从计算设备到计算力，从信息化到数字化、智能化，从经济价值到社会价值，是对未来科技发展的四大展望。为了应对未来科技发展对于网络安全的新需要，适应各国网络安全相关法律法规的新规则，联想客户对于云安全、元宇宙、边缘计算中数据安全保护的新要求，联想也进一步提升安全意识，加强安全保障工作。在China Site今年成立的中国安全管理委员会的领导下，全球安全实验室（中国）、网络安全团队、产品安全办公室、隐私和数据保护团队、中国区法务、公共政策研究中心与各业务部门一起，在IT设施安全、数据安全、产品安全、服务安全等领域，也推出了一系列新举措。

●    完善全生命周期的产品安全管理流程。从LSDL、法律法规标准合规、供应链安全、应急响应等方面，产品安全办公室进一步推动全生命周期的联想产品安全管理落地：在安全研发生命周期管理方面，根据产品线实际需求和管理升级不断升级管理框架。支持了联想多个团队、多条产品线的产品安全研发生命周期的落地和维护；在可信供应链方面，加强了联想可信供应商计划（TSP）在China Site的落地，通过对供应商的引入管理和持续审计，及时发现并减少供应商组织的安全弱点，降低联想产品的安全风险。今年前三季度TSP完成了对全球156家联想合作供应商的安全评估，对40余家供应商进行了安全审计；产品安全应急响应小组积极的响应和处理政府监管、上下游供应商、用户、媒体对于安全问题的咨询，同时对内启动安全应急响应机制，对外通过发布产品安全公告来支持我们的客户及时更新安全补丁。

●    将安全贯穿到产品全生命周期，确保安全审核。今年，全球安全实验室（中国）广泛收集了PCSD, China Geo的产品库存清单，以确保PCSD, China Geo产品安全审核覆盖率达到100%；同时，在SSRB收到2200多条评论，发现691个手动漏洞和43076个工具扫描漏洞并持续推进修复；完成210个CSRB项目，发现79个架构设计威胁、135个漏洞、4790个基础设施漏洞。在SSRB流程中新增了数据安全审核节点和隐私保护技术审核模块，为持续保证产品安全质量，开展Q1、Q2的产品安全抽检；建立了新版产品安全红线和安全漏洞管理规范；在隐私保护方面，建立了隐私保护基准和清单：在隐私节点新增了技术审核，发现200多个隐私合规问题；在数据安全方面，建立数据安全基准，在公司ESG月报中发布数据安全解决方案白皮书。发布公司级密钥管理系统，并在消费性笔记本电脑、台式电脑、平板电脑和China Geo试运行；完成了29个威胁建模项目，发现了7400多个威胁。实验室架构组与研发团队进行研讨，全面识别产品威胁并提供了解决方案，如参与设备协作和指纹扩展项目安全架构设计等。与产品安全办公室一起处理产品安全应急事件，提供强大的技术支撑能力，顺利完成由数安委和安管委发起的紧急响应项目。

●    积极参与网络安全标准化工作。今年，国内的安全标准工作重点在于对《数据安全法》和《个人信息保护法》的支持，涉及这两大类标准支持的全国性的标准化组织有TC260、CCSA和TAF。其中，与数据安全和个人信息保护相关的制定中的标准超过30个，联想已参与到十余个相关标准工作组。近日，由联想牵头制定的国家标准《GB/T 29829 可信计算密码支撑平台功能与接口规范》已于11月1日正式实施，牵头制定的中关村标准《移动终端快速充电适配器安全要求和测试方法》已于6月27日在中关村标准会协会正式发布。同时，欧盟亦发布了针对无线产品的RED法规要求，相应的标准正在制定中。新加坡也针对IoT产品提出了网络安全要求。联想产品安全办公室正在跟进这些法规和标准，并与相应的产品开发团队保持密切沟通，确保产品出口前符合销售地法规的要求。

●    系统部署和推动数据安全合规工作。中国区总法律顾问牵头负责的联想中国平台数据安全和隐私保护委员会开展数据资产盘点和数据分类分级工作，分三批完成对集团集中管控的31个重要系统的盘点工作，并据此制定、更新《数据分类分级规则》、《资产盘点汇总表》、《数据资产清单》、《个人信息目录清单》、《重要数据识别指南》。在数据出境合规方面，中国区法务牵头制定了《数据出境合规指引》，并在积极准备出境安全评估申报，并正在部署实施一些列数据出境合规工作。除此之外，法务还牵头制定了《爬虫合规指引与风险自查清单》、《互联网信息服务算法合规指引》、《个人信息全生命周期保护》等合规指引。此外，委员会还与中国移动、字节跳动、新浪等外部同仁交流数据安全与隐私保护合规建设，并积极参与中央网信办、信通院等政府部门或事业单位的培训、交流、研讨会议，持续提升合规意识与合规技能。首届企业合规战略高峰论坛也正在积极筹备之中，数据安全、网络安全将是该论坛的主要议题之一。信息安全团队通过更大范围地扫描服务器等的漏洞，以提高联想漏洞感知、管控和处置能力；持续推进NAC准入控制，BitLocker加密机制，加强对联想终端计算机的保护。同时，与法务团队共同推进联想数据分级保护的评估和落地工作，支持全球多个数据中心、工厂、信息系统的信息安全认证及合规工作。同时，在本届网络安全周，《联想数据安全分级培训》正式启动，进一步推动和宣传数据分类分级保护。委员会也将在网络安全周正式启动“数据合规专员”计划，从各个BU内部培养“数据合规专员”，从各个维度深入参与到数据安全合规的各项落地工作中。

●    更加重视安全培训和宣传工作。今年，产品安全办公室、全球安全实验室、信息安全团队和中国区法务、全球隐私团队等部门，给各业务部门提供了近百场涉及研发安全、产品安全审查、可信供应链、漏洞扫描、数据安全及隐私保护等方面的培训，以提升产品团队的安全技能和关键职能部门的安全意识。在宣传方面，我们不但参加了国内外多场网络安全宣传活动，向政府、客户、合作伙伴和投资者宣传我们的产品、服务、解决方案和运营的安全可靠性，更将隆重举行我们新一届的网络安全周活动。同时，网络安全周的一系列活动，如“数据合规专员”启动计划、《联想数据安全分级培训》等，都将进一步向小伙伴们宣传网络安全理念、普及网络安全知识、推广网络安全技能，广泛开展网络安全培训，一起推动联想网络安全意识和防护技能的提升，共同维护联想网络安全。

今年是联想网络安全周活动举办的第五年，也是世界百年未有之大变局加速演进的一年。2022年，全球经济增速因受多重负面冲击而整体处于下降态势，世界银行将2022年全球经济增速从2021年的5.7%下调至2.9%。2023年，全球经济增速可能会持续降低，国际货币基金组织（IMF）在《世界经济展望报告》中预测2023年全球经济增速将放缓至2.7%，部分国家和地区可能走向衰退边缘。但是，随着全球疫情冲击的极大缓和，以及作为世界经济增长火车头的中国即将挣脱疫情的束缚，重回高质量发展的轨道，我们必将跨过经济下行压力和市场悲观预期的“至暗时刻”，以数字经济为支撑，吹响全球经济复苏的号角。

今年网安周的口号是“数据联安全，智能想未来”，希望大家能够通过本次网安周丰富多彩的活动，学习到更多数字经济时代的安全知识和技能，为智能化的美好未来插上安全的翅膀。

最后，祝愿各位小伙伴身体健康，也预祝2022第五届联想集团网络安全周活动圆满成功！