摘要：

2014年，各国政府面临的网络安全形势依然严峻，网络攻击数量持续增长，攻击手段日趋复杂，安全风险进一步扩展到移动应用、关键基础设施领域。各国政府对网络安全越来越重视，网络安全保障逐渐从机构设置、队伍建设等向实际工作层面转变。本章分析了2014年国内外政府的网络安全形势，概述了各国政府在网络安全管理和新技术新应用安全方面采取的措施。

一 政府网络安全形势日益严峻

（一）多国政府网站和信息系统受严重攻击，威胁加剧

2014年，各国政府面临的网络安全形势依然严峻，遭受网络攻击的数量呈现增长趋势，网络攻击手段越来越复杂化，网络攻击的范围进一步扩展到移动应用、关键基础设施领域。

多国政府网站、信息系统频繁遭受黑客攻击，导致政府网站无法访问，甚至瘫痪，包括机密文件在内的政府内部文件可能遭到泄露，政府网站存储的用户信息遭泄露，国家公用系统无法使用，部分政府机构信息系统遭到破坏甚至遭黑客控制。表1列出了2014年部分国家和机构网站遭受攻击的情况。

（二）国内政府部门网站系统屡受攻击，危害升级

政府部门日益成为世界各国刺探情报、敌对势力攻击破坏的主要对象。数据表明，我国一直是网络攻击的最大受害国之一。国际上以“反共黑客”“匿名者”为代表的境外反共黑客组织，长期以来将我国政府部门的信息系统作为攻击的主要目标。他们主要攻击我国政府网站以及部分高校与社会组织网站，攻击成功后，即篡改网页，在网页上显示“反共”口号，发布的言论经常与当前一些时事热点相结合，煽动性强，负面影响大。2014年10月，由“匿名者”发起的黑客攻击事件，就是境外黑客组织为炒作香港“占中”事件，借机煽动反动势力阻挠中央政策执行的大规模、有组织性的网络攻击行为，通过破坏国内政府网站来宣扬其反动思想。值得一提的是，由于政府高度重视，全方位备好应急响应措施，此次大规模攻击行为远远没有达到反动黑客预期的破坏效果，极大地打击了反动势力的嚣张气焰。这也说明足够的重视配以积极的防治手段，就能有效遏制攻击行为。

“反共黑客”组织在国际黑客圈内小有名气，号称提供“最新、最快、最全的反共黑客们的战果汇报”，具有很强的意识形态色彩和“冷战思维”。活动兼具周期性和持续性特点，每周都要攻击两三个网站，公布在其官网上，并在谷歌地图上做标记，注明攻陷网站名称和具体时间，然后通过Twitter等网络媒介迅速扩大影响。据统计，截至2014年12月初，“反共黑客”组织本年度已对我国境内131个政府网站实施了攻击，攻击手段依旧以网页篡改、打出反动标语为主，但攻击目标由最初的网页、服务器，扩大至有线电视、LED户外显示屏等。据观察，该组织攻击形式有由“线上”转为“线下”的趋势，配合当前时事热点，其煽动程度更强和波及范围更广。部分影响较为恶劣的攻击事件如表2所示。

　　表2 部分中国政府网站/系统遭受“反共黑客”攻击情况

　　续表

我国政府网站被篡改事件的数量自2011年起呈下降趋势，但从2013年又开始反弹（见图1）。

　　图1 历年我国政府网站遭受篡改的数据

2014年，我国政府网站被篡改事件数量较上年同期略有下降，总量将少于2013年，但依然远远高于2012年总量（见图2）。这说明，政府网站安全保障措施初见成效，但形势不容乐观，还需要进一步的监测与防范。

　　图2 2012～2014年我国政府网站被篡改情况

政府网站被植入后门现象依旧大面积存在，不过同比下降明显。据CNCERT统计，2014年1～10月被植入后门的政府网站数量累计为1601个，远低于上年同期值（见图3）。这与规范安全管理、加大防范力度密切相关，各方面手段颇见成效。

　　图3 2013～2014年我国被植入后门的网站数量

此外，部分政府网站已经成为地下黑客广告产业链的重要一环。一些黑客采用“挂马”、“暗链”手段，大肆在政府网站添加广告，利用政府网站流量大、浏览用户数量多等特点，赚取点击数量，非法获利。为健全打击治理黑客地下产业链的长效机制，政府与有关行业开展了持续的专项行动，采取一系列措施防范和治理黑客活动，在网络钓鱼防治、木马和僵尸网络监测等方面取得一定成效，但现存问题依然十分突出，形势不容乐观，相关工作任重而道远。

二 政府网络安全管理稳步推进

面对日益严峻的网络安全形势，各国政府进一步认识到网络安全保障的重要性，纷纷加强网络安全管理，采取了一系列措施加强本国网络安全保障。

（一）美国加强政府信息安全管理

1.持续推动《联邦信息安全管理法案》实施

（1）《联邦信息安全管理法案》实施进展概况

随着政府信息化建设不断深入，美国政府面向公众提供信息服务的能力不断提高，但同时带来了新的安全风险。针对新的安全风险，美国政府按照《联邦信息安全管理法案》（Federal Information Security Management Act，FISMA）的要求，提出了阶段性的网络安全跨部门优先目标战略，在2012～2014年，实施可信网络连接、信息安全持续监控以及强验证。

可信网络连接指的是通过整合政府外部通信连接，实现政府信息系统互联网连接的最优化和标准化。为实现这一目标，政府组建了名为TICAP的网络提供服务运营商提供可信网络连接运营，要求这些运营商拥有具备保护联邦系统和信息所需的基本安全能力，包括防火墙、恶意软件防护策略、入侵检测系统以及网络安全运营中心，并且需要在第一时间将监测到的安全威胁通报给计算机应急响应小组。同时，针对云计算、移动互联网应用在政府信息系统的发展，2013年国土安全部结合相关部门对云服务连接、移动互联网等提出了安全管理要求。

信息安全持续监控是美国《联邦信息系统应用风险管理框架指南：安全生命周期方法》提出的风险管理框架的主要组成部分之一，是指维护对信息安全、脆弱性和威胁的感知，从而支持风险管理决策。2013年11月，美国管理和预算办公室就信息安全持续监控公布了《提升联邦信息和信息系统的安全》备忘录，为政府机构提供信息系统持续监控的政策框架，其中对信息系统实时监控、信息系统如何升级至动态即时授权、如何构建用于网络安全实时感知的技术基础设施等进行了描述，同时，国土安全部还推出了“持续诊断与减轻”计划，与美国总务管理局共同推出一项覆盖所有政府部门的一揽子采购合同，联邦、州和地方政府可以利用此合同来部署一套基本的信息系统安全实时监控系统。

强验证指的是所有国家重要基础设施涉及的信息系统对使用人员进行足够强度的认证，确保只有经过授权的人员才可以进入政府系统和应用。该战略始于2004年8月签发的国土安全12号总统令，要求政府机构在签发和使用联邦个人身份验证智能卡证书时必须遵循特定的技术标准和业务流程，包括验证员工和承包商身份所需的标准化背景调查。2013年，该战略的重点为充分发挥个人身份验证卡的功用，并已累计向约540万联邦雇员和承包商签发了个人身份验证卡。2013年9月，为适应移动设备对政府信息系统的接入要求，美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）对国土安全12号总统令标准进行了修订，实现了个人身份验证证书与移动设备和技术进步的整合。

（2）队伍建设取得进展

FISMA中的《国家网络安全劳动力框架》为美国政府各部门提供了制订人力资本管理计划中安全人员计划管理基线，包括定义角色、设计资质模型、标准化岗位描述以及提供专门培训。2013年3月，该框架进行了修订，由美国人事管理局和联邦首席信息官委员会根据该框架要求培养联邦网络安全人才。2013年10月，人事管理局将网络安全管理岗位正式纳入企业人力资源一体化数据库，进一步完善了政府、企业的网络安全人才体系。

根据FISMA对《首席财务官法》涉及的24家联邦机构2013财年的信息安全指标进行的分析显示，目前FISMA关注的安全管理能力主要包括：自动化资产管理、自动化配置管理、自动化漏洞管理、可信网络实施、个人身份验证、便携设备加密、域名系统安全、电子邮件加密、远程访问安全、人员培训和未授权软件管理，这些能力大都在2013财年得到一定程度的提升。美国政府各部门网络安全管理工作中，事故响应与报告、安全培训、远程访问管理和安全资本规划等方面工作做得较好，信息安全实时监控、自动化配置管理、风险管理以及应变规划等方面工作做得最差。

　　2.加强网络安全应急响应评估

（1）开展网络安全应急响应评估工作

面对日益复杂的网络安全形势，对网络安全突发事件进行有效的应急响应能在一定程度上遏制其产生更大范围的不利影响。2013财年，美国计算机应急响应小组监测到联邦机构上报的网络安全事件有46160起，数量居近三年之首，比上个财年上升约33%，共收到网络安全事件报告近22万起，其中对联邦政府造成影响的有6万多起，较2012年增长了26%。美国政府问责局（Government Accountability Office，GAO）选取了《首席财务官法》所涉及的24家联邦机构作为调查对象（见表3），这些机构全年共发生网络安全事件43931起。GAO对其网络安全事件应对情况做了调研，包括这些机构在出现网络安全事件后采取的应对措施及其行为的记录情况，以评估这些机构网络安全应急响应能力，并深入分析应急响应能力不足的原因，为提升联邦机构应急组织管理水平和保障能力提供对策建议。

　　表3 美国《首席财务官法》所列24家联邦机构

（2）调查评估方法

GAO以2012财年报告的网络安全事件的统计样本为基础，判断24家联邦机构是否采取了有效应对措施。同时，GAO还随机选取了6家机构（能源部、司法部、住房与城镇发展部、运输部、退伍军人事务部以及国家航空航天局），每个机构选取40起网络安全事件，如非授权访问、拒绝服务攻击、恶意代码入侵等，对不同安全事件的响应策略、计划和流程进行了评估，以判断其是否满足联邦机构应急管理的标准和要求。此外，GAO通过了解联邦机构主要官员处理应急事件的经验，以调查国土安全部和计算机应急响应小组以往发布的网络安全事件相关的政策、要求和指南的应用情况。

（3）调查评估分析结果

评估结果表明，这些机构对美国计算机应急响应小组监测到的65%的网络安全事件没有采取有效应对措施。深入分析有以下几点原因。

①对网络安全事件应对举措没有详细记录，无法为后续开展应急行动提供经验参考。

大多数联邦机构仅仅记下了遭受网络安全事件而采取应对行动的次数，但并没有详细记录如何进行事前准备、事中分析和处理、事后恢复的具体举措，无法清楚说明是否采取了预防措施以防止此类事件再次发生。

②责任主体不明，具体职责不清，难以有效开展应急处置。

GAO对选取的6个联邦机构应急管理情况进行了深入分析，发现仅运输部、航空航天局对网络安全责任部门进行了划分，其他机构尚未明确网络安全责任部门及其具体职责，这可能会导致一旦发生网络安全事件无法及时调动相应人员进行有效应对。

③尚未对网络安全事件影响进行分级分类，无法决定安全事件应急处理的优先级次序。

仅司法部、航空航天局考虑了安全事件应急处理优先级问题，其他的联邦机构没有明确网络安全事件所造成的影响，也没有对事件所造成后果的严重程度进行排序，无法为紧急处理安全事件的优先级次序提供依据。

④尚未对应急响应能力建立科学有效的衡量指标，无法量化能力评估结果并提出有针对性的改进建议。

除了司法部对应急响应能力建立了初步的衡量指标外，大多数联邦机构尚未对遭受到的网络安全事件处置能力进行有效评估，对能力高低及强弱无法进行客观的评价，以及没能提出有针对性的改进措施，这导致难以快速提升应急响应能力。

⑤制定的应急响应计划、流程等没有完全符合联邦政府安全事件应急响应的相关标准或要求。

尽管大多数机构制定了一些策略、计划和响应流程来指导他们对安全事件做出响应，但是仍未完全符合联邦机构安全事件应急响应的有关标准的要求，如NIST 800-61系列标准。同时，很多机构尚未针对网络安全事件制定相关政策，也没有对响应措施进行有效监督和管理，直接导致这些机构应对网络安全事件的响应和处置能力不足。

⑥美国计算机应急响应小组等国家技术力量对联邦政府有效应对网络安全事件的援助还有待加强。

通过对24家机构的高级官员进行调查，GAO掌握了计算机应急响应小组等技术力量协助联邦机构处理网络安全事件的基本情况，调查表明这些机构对于计算机应急响应小组在网络安全事件处置、增强风险意识、制定优化网络安全应急响应策略等方面提供了较大帮助，但同时还有很大的改进空间。

3.加速网络安全信息共享进程

2014年7月8日，美参议院情报委员会以12：3的票数通过了《网络安全信息共享法案2014》（Cybersecurity Information Sharing Act of 2014）。制定该法案的主要目的是在政府和私营部门之间鼓励和开放更多种类的信息共享。

（1）《网络安全信息共享法案2014》

该法案一共包括九个部分，包括联邦机构之间进行信息共享的原则、信息共享的对象、对共享信息进行收集和安全利用的有关要求，以及参与信息共享相关部门的职责等。

该法案明确了联邦机构之间信息共享的原则是必须以保护公民隐私和自由为前提，国家情报部门、国土安全部部长、国防部长和总检察长将和联邦机构负责人一起建立信息共享的机制和制定发布信息的流程；明确在信息共享中关于共享信息、监控对象、应对措施的授权规定，以保证共享的威胁信息及应对举措的安全性、机密性。例如州、部落、地方等相关部门出于预防、调查或起诉犯罪行为的目的，可通过预先书面同意或口头同意的方式使用共享的网络威胁信息。特别指出每个私营部门在共享信息之前应剔除不相关的个人信息，以防止未经授权的情况下披露给其他部门或联邦政府。该法案要求总检察长制定联邦政府共享网络威胁信息和应对措施的策略和流程，并在该法案施行60天内提交临时版，180天内提交正式版。明确国土安全部对信息共享的职责，要求国土安全部长能够实时接收任何机构提供的电子版网络威胁信息及对策。同时对联邦政府共享或提交的信息进行相应规定，强调为联邦政府提供的信息不影响商业秘密保护法等相关法律规定，该信息应被视为与商业、金融信息一样的专有信息。此外，只能以消除网络威胁、保障网络安全为目的披露、保存和使用共享信息，自愿性共享信息等应免予披露。

（2）美国开展信息共享的相关做法

美国提倡信息共享由来已久。2001年的《四年防务审查》即显示了美国国防部对信息共享的初始需求。从那时开始，美国从战略、政策和技术等多方面推动了跨机构、跨政府乃至多个国家信息共享机制的建立和发展。2005年13388号总统令《通过进一步加强反恐信息共享来保护美国》明确规定了多国信息共享内容，要求国防部机构和各个军种与跨机构组织共享保密和非保密的信息。当前，网络空间被视为未来网络竞争和对抗的主战场，美国将国防安全信息共享的思维直接应用在了网络空间领域。尤其是在关键基础设施安全保护方面，大部分文件将政府与私营部门的合作与信息共享列为重点内容。例如1998年第63号总统令鼓励政府与企业建立信息共享和分析中心，2002年《国土安全法》确立了关键基础设施的信息共享程序，明确要求各行业设立信息共享和分析中心，以收集、分析和披露关键基础设施相关信息，并对泄露信息的行为规定了相应的处罚。2013年发布的第13636号行政令，明确要求国土安全部采取措施推进网络安全信息共享，包括与国家情报局、司法部、国防部等进行合作。同期发布的第21号总统令更是直接将促进政府部门之间以及关键基础设施所有者和运营者之间的有效信息交换作为三大措施之一。

（二）日本加强网络安全管理

2014年，日本制定了网络安全法律法规、提升组织级别、开展国际合作等多方面强化网络安全的措施。5月12日，日本首相和以色列总理达成协议，同意以建立“一种新的全面合作伙伴关系”的方式来加强网络安全防御合作。5月15日，日本召开有关网络攻击对策工作会议，明确中央和地方政府的网络安全责任和义务，要求电力、金融等重要行业密切配合政府开展网络安全相关工作。5月19日，日本召开了政府信息安全政策会议，明确在日本政府新设立统筹网络安全事务的“网络安全战略总部”，由内阁官房长官任总部长，通过制定跨部门计划和开展国际合作等强化网络安全管理。

（三）东非国家加强网络安全管控

随着东非国家信息化建设发展，东非地区的网络攻击、网络犯罪呈现高发态势。据报道，2013年肯尼亚因网络犯罪损失了2330万美元；2010～2013年第一季度，坦桑尼亚因网络金融诈骗损失610万美元；德勤会计师事务所报告指出，60%的东非银行易受网络攻击。为应对逐渐猖獗的网络攻击，肯尼亚、乌干达和坦桑尼亚等东非国家正加速网络立法程序，该法律涵盖数据安全、网络犯罪、信息系统和电子交易。肯尼亚的《2014年网络犯罪和计算机相关攻击议案》草案已提交议会审议。早在2011年，乌干达政府就通过了三部网络法律，目前更严厉的网络犯罪法正在制定中。坦桑尼亚第一部网络犯罪法《数据保护与隐私法》已启动制定程序，随后还将制定《计算机和系统法》和《电子转账法》等，以此构建完整的网络法律体系。与此相对应，东非国家纷纷成立网络管理部门加强管控。肯尼亚通信委员会已经成立了网络安全指导委员会。肯尼亚主持的一个网络犯罪管理工作组正在协调旨在根除东非共同体五国网络犯罪的活动。肯尼亚还带头建立了东非地区的国家计算机应急小组，主持东非通信组织网络安全工作。此外，布隆迪和乌干达也都在筹备建立计算机事件应急小组。