当前位置:安全行业动态 → 正文

世界网络强国信息安全的战略动向与政策抓手

责任编辑:editor006 作者:吴世忠 桂畅旎 磨惟伟 |来源:企业网D1Net  2016-11-17 17:23:33 本文摘自:中国信息安全

编者按:知己知彼、百战百胜。从网络大国走向网络强国,必须兼顾国内国外两个大局,在借鉴中成长,在竞争中共赢,才能在为人类社会谋福祉的大格局中,体现全球网络治理的中国担当。为此,把脉世界网络强国信息安全战略动向,梳理世界网络强国信息安全政策的“抓手”,有利于切实落实好习总书记关于“从国际国内大势出发制定实施网络安全和信息化发展战略和重大政策”的明确指示,点亮网络空间国际合作的中国智慧,推动充满中国特色的网络“安全观”和“治理观”落到实处、走向世界。

党的十八大以来,习总书记围绕建设网络强国、治理网络空间、维护网络安全和构建国际互联网治理新体系等重大议题提出了充满中国特色的网络“安全观”和“治理观”,不仅为我国建设网络强国提供了根本遵循,也体现了完善全球治理的中国担当。“随时以举事,因资而立功,用万物之能而获利其上”。从4月19日的网络安全和信息化工作座谈会到10月9日政治局就网络强国战略进行的集体学习,习总书记进一步提出增强网络安全、发展核心技术、完善网络治理的基本要求,网络强国之梦日渐丰盈。为了切实落实好习总书记关于“从国际国内大势出发制定实施网络安全和信息化发展战略和重大政策”的明确指示,对世界主要网络强国的信息安全战略与政策抓手进行比较研究,对我们把握形势,找准短板,突破重点难点,开创网络强国之路具有重要意义。

一、世界网络强国信息安全战略动向

进入新世纪以来,互联网迅速普及推广,开辟出一个全新的网络空间,各国竞相将其纳入国家战略考虑。截至目前,全球已有64个国家发布了网络安全战略,其中美国出台了15份战略文件,日本发布了5份战略文件,俄罗斯、加拿大、荷兰、以色列等国也制定了相应战略与安全政策,纷纷向网络大国、强国迈进。综合来看,各国信息安全战略动向主要有以下三方面。

(一)提出网络空间治理的目标和原则。一是解决“网络空间向何处走”。美国用“繁荣、稳定、开放”三大目标以及“开放和互通、安全和可靠、规则与稳定”三大特征勾画网络空间蓝图。英国致力于构建网络强国和安全网空,促进经济繁荣、国家安全、社会稳定。二是明确“网络空间将如何管”。美国提出“基本自由、个人隐私、信息自由流动”三大原则引领和“外交、国防、发展”三大手段支撑,将政府、企业、智库、非政府组织、个人及跨国网络纳入统一战略管理框架,达成综合管理网络空间的目标。日本则把“确保信息的自由流动”、“风险管理的加强”、“基于责任分担的合作行动”作为其塑造网络安全国家的基本原则。三是规划“网络治理会如何做”。美国推出自由经济、加强网络保护、建立网络威慑、创新网络管理等“七大举措”。俄罗斯推出发展预警系统、提升重要信息基础设施可靠性、改进网络空间国家信息资源的安全保障措施等“六项措施”,多措并举落实战略目标。

(二)突出网络安全战略的优先方向与着力点。一是突出为网络空间“建章立制”。美国家网络战略突出“互联网自由”,宣扬“公开、透明和人权”等所谓的普世价值,意在维护其网络空间的既得利益,霸占全球网络空间制网权和制高点。不同于美国主张的“全球一网”,俄罗斯在网安政策上强调国家主权,谋求技术上的自主、管理上的可控,将“信息安全”作为国际社会讨论网安政策的起点,倚靠国际合作建立“国际信息安全”新秩序,体现出俄罗斯抢抓网络规则制定权,争夺网络治理话语权的决心。二是强调发挥网络的驱动作用。区别于美俄等国谋求网络空间的主导地位,英国网安战略更加聚焦本国网络安全,将网络作为新的经济增长点,致力于创造网络安全的商业环境,以加强本国网络安全产业的国际竞争力。以色列人信奉结果至上,注重以实践为导向,其网安战略非常注重网络产业的发展。三是聚焦网络空间的安全防范。为应对日益严峻的网络安全威胁,日本突出网络安全的“应急响应”,加强关键基础设施保护。加拿大聚焦网络安全保卫能力建设,突出政府信息系统的保护,强调与盟国合作应对跨国网络威胁,采取多种措施打击网络犯罪等。

(三)明确网络空间治理的方式与机构。世界网络强国均设立了高级别的专职协调机构,采取高层直接通报制负责网络治理的“内联外合”。美国在总统行政办公厅设立网络安全办公室,全权负责国家网络安全事务,办公室负责人由总统直接任命,为总统国家安全委员会成员。英国在内阁办公厅组建网络安全和信息保障办公室,为内阁部长和国家安全委员会提供有关网络安全方面的决策支持,协调政府的网络安全计划。日本在内阁官房成立国家信息安全中心,中心主任是三个助理内阁书记长之一,直接向内阁大臣报告工作。以色列成立直属于总理府的网络安全管理局,强化态势感知、信息共享和民生安全等领域的安全治理工作。

二、世界网络强国信息安全政策的“七大抓手”

综合比较当前网络强国的信息安全政策举措,可以看出,虽然各国国情不同、战略目标互异,但在网络安全政策上基本上均聚焦在以下“七大抓手”:

(一)加强关键基础设施的信息安全保护

围绕国家关键基础设施概念的界定、部门设置以及政策举措,网络强国无不作出相应部署。

一是明确国家关键基础设施的概念和范畴。美国在2001年《爱国者法案》中即明确了国家关键基础设施的定义,包括一旦中断运行或受到破坏,将对国家安全和经济安全构成严重影响的金融、电信、交通、能源、应急救援和政府核心事务等行业或业务信息系统的关键部位。日本2005年颁布的《关键基础设施信息安全措施行动方案》也对关键基础设施的概念进行了定义,即由提供高度不可代替且对人民社会生活和经济活动不可获取的服务的商业实体组成,如果其功能被暂停或削弱,人们的社会生活和经济活动会遭受重大破坏。在英国,国家关键基础设施被称为关键国家基础设施,它是由不间断向国家提供基本服务来说不可或缺的关键元素组成的。荷兰的规定则是对于社会不可或缺的,其损坏将造成全国性紧急状态,或者会在更长时间内对社会产生不良影响的基础设施。

二是建立完善的关键基础设施管理体系。美国建立了以国土安全部为主导、多机构参与的国家关键基础设施管理体系,以实现国家关键基础设施信息安全保护所需的监测预警、信息共享和应急处置。日本建立了以内阁秘书处为领导、政府部门和私营部门共同参与的关键信息基础设施保护组织机构体系。英国的管理体系由国务大臣主导,国家基础设施保护中心协调,各部门具体实施。

三是强调关键基础设施保护中的公私合作。由于大部分关键基础设施归私营企业经营和所有,因此各国政府都非常重视与私营机构的合作及信息共享。美国的各项关键基础设施相关法规都对公私合作做出了具体规定,包括设立共享机构、程序与措施等。以色列秉持关键基础设施的保护需由使用者和监管者共同承担的原则,实施义务上的分摊协作。日本也通过建立计算机安全应急响应小组,推动关键基础设施提供商与网络空间相关运营商和私人组织间确立共享关系。

(二)重视网络安全核心技术的研发

为应对网络空间的“非对称性优势”,各国纷纷将网络安全核心技术研发作为发展优先项。

一是立法推进网络安全技术研发。作为网络技术研发的全球领先者,日本在2001年通过《信息技术基本法》,提出推进信息技术的研究开发。美国也于2002年颁布了《网络安全研发法》,赋予国家科学基金会和国家标准与技术研究院开展网络安全研究的职责。

二是颁布网络安全技术研发战略。2011年12月,美国国家科学技术委员会发布《可信网络空间:联邦网空安全研发战略规划》,强化网络空间安全基础研究,着力构建网络安全知识体系,指导网络空间安全技术的研发与实践。2016年2月,美国更新和扩大了该战略,关注威慑、保护、侦查和适应四方面防御能力的科技开发,并提出了美国网络安全研发的近期、中期和长期目标。日本2011年颁布《2011-2015年度日本信息安全研究开发的中长远发展战略》,提出了未来10年信息安全技术研发的主要思想和重点发展领域。

三是实施网络安全研发发展计划。各国政府通过资金支持、政策倾斜以及加强基础设施保障等手段促进网络安全研发。美国通过实施“网络和信息技术研究发展计划”资助网络安全、高端计算系统等重大先进信息技术项目。2017财年美国科技预算中还为民用机构网络安全研发提供31800万美元的资金。2013年,以色列推出“前进计划”,旨在资助优选公司研发网络安全技术解决方案,带动国家网络安全产业发展。“前进计划”的资助金额达到1.36亿谢克,建立了11个相关孵化器,并将于近期推出升级版,资助突破性和颠覆性技术研发。

(三)提升基于风险管控的信息安全保障能力

为了将网络空间风险降到可接受的最小程度,各国普遍采取“事前风险评估、事中应急反应、事后灾难恢复”的措施管控网络空间日益增长的安全风险。

风险评估与测评认证是信息安全风险管理的重要手段。信息安全产品和信息系统固有的敏感性和特殊性,促使各国政府纷纷颁布标准实施实行相应的风险评估与测评认证。美国在风险管理以及政策支持方面走在世界前列,早在20世纪70年代,就开始信息安全测评认证标准的研究工作。1985年,美国公布《可信计算机系统评估标准》,并进而与英国、加拿大、德国、法国、荷兰等国一道共同推出信息安全评估与国际通用准则(CC)。“9?11事件”后,美国加快了信息系统风险评估的进程,其2002年推出的《联邦信息安全管理法案》规定必须对联邦信息系统进行安全评估并备案。英国标准协会1995年2月制定的BS7799风险管理标准在升级为ISO/IEC27001后,已成为目前全球使用最为普遍的信息安全管理体系标准。日本在风险管理方面综合美国和英国的做法,建立“安全管理系统评估制度”,指导政府和民间的风险管理实践。

应急响应贯穿信息系统的安全生命周期。为了应对信息安全威胁与风险,各国以“计算机应急响应中心”为抓手预警和处理网络安全事件。美国卡耐基?梅隆大学为应对“莫里斯蠕虫”事件,于1988年建立了全球最早的应急响应组,即计算机紧急响应组协调中心(CERT/CC)。随后,多个国家及地区相继成立应急响应组织,如日本的JPCERT/CC,英国的UKCERT,以色列的CERT-IL等。目前CERT的工作普遍体现为提升国家的网络安全态势,协调网络信息共享,前摄性地管理网络风险等,基本形成了民间与政府两个维度的配置。

灾难恢复是保障信息系统安全的“最后防线”。灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态。在国际上,灾难恢复监管机构的建立和政策发布最多的是美国,其灾难恢复工作始于20世纪70年代,目前已发布多项指南,包括《信息技术系统的应急计划指南》、《信息技术系统风险管理的指南》、《制定信息技术系统安全计划的指南》等。英国金融服务管理局制定了灾难备份的行业政策,如《商业银行业务连续性监管指引》、《高级管理层的安排、制度与控制》。国际上的BS-7799、25999,ISO/IEC27001、20000等体系也对容灾备灾作出了相关规定。可以看出,灾难恢复监管的体系涉及国家范畴、联邦范畴、行业范畴等方方面面,标准较为繁杂。

(四)打击网络犯罪与网络恐怖主义

作为网络治理最早面对的议题,各国在打击网络犯罪与网络恐怖主义上建立了较为完善的治理体系。

一是完善相关立法工作。“9?11事件”后,打击网络恐怖主义成为美国网络治理的重中之重,2001年的《爱国者法案》明确界定了“网络恐怖主义”的法律概念,并相继制定了《加强网络安全法》、《反计算机犯罪法》以及《反恐怖主义法》,加大对网络犯罪及网络恐怖主义的打击力度。英国也针对网络犯罪行为构建了强有力的法律框架,包括《计算机滥用法》、《通信监控权法》、《警察与审判法》以及最新的《通讯数据法》。加拿大在打击网络犯罪上成绩显著,突出表现在刑法上体现了网络犯罪的相关规定,相继颁布《统一电子证据法》、《个人信息保护与电子文件法》,就打击网络犯罪提出规范性要求。

二是加强执法能力建设。几乎所有的网络强国均在安全、情报部门设立专门的网络执法机构。美、俄、英、日、以、荷等国家先后投入巨资开发专门的网络执法技术平台,并对信息安全监管以及执法的实施作了明确的政策要求。针对网络犯罪证据难发现、难获取、难保全、难认定的特点,加拿大还非常注重电子证据调查取证的规范化和标准化建设,确保通过程序化、标准化的调查取证来更清晰地界定网络犯罪。

三是重视国际司法合作。网络的跨国性决定了网络安全是全球性的难题。联合国大会2001年通过了“打击滥用信息技术犯罪的决议”,呼吁各国在打击非法滥用信息技术方面加强执法合作;欧洲委员会同年通过的《网络犯罪公约》要求缔约国之间建立打击网络犯罪共同的刑事政策以及一致的法律体系和国际协助。目前,《网络犯罪公约》已成为影响范围最大、最重要的打击网络犯罪的国际公约。在国家层面上,英国政府2013年设立全球网络安全中心,建立应对跨国网络犯罪行为的国际合作机制;加拿大在皇家警骑技术犯罪调查部设立了网络犯罪国家联系中心。

(五)平衡网络安全与公民自由

在信奉个人权力至上的西方国家,网络治理与公民权利保护间的平衡是一项非常重要的议题,主要涉及个人言论自由、隐私保护、数据跨境自由流通与国家安全之间的关系。

一是网络言论自由与国家安全的平衡。无论是英、美等普通法系国家还是德、法等欧洲大陆法系国家,都认为言论的多元化是民主社会的根本要求。美国将言论自由规定置于宪法修正案的第一条,一直探索言论自由的法律界限,并先后形成了“危险倾向原则”、“煽动原则”、“明显且即刻的危险原则”等系列适用原则,并将这些原则运用于网络空间,在网络言论规制上多依靠司法判例,谨慎立法。

二是个人信息保护与国家安全的平衡。个人信息保护已成国际公识,目前全球已有近90个国家制定了个人信息保护的相关规制,特别是对于素来注重个人隐私保护的欧盟国家,则采用了强有力的立法模式。欧盟议会1995年通过的《个人数据保护指令》,涉及所有关于个人资料处理方面的规定,为欧盟成员国立法保护个人数据设立最低标准。欧盟对指令进行系列的修订与补充,并于2016年4月通过《一般数据保护条例》,在企业内控和合规管理方面制定了详细的规范,将个人数据保护管理提到了前所未有的高度。

三是信息自由流动与国家安全的平衡。在大数据时代,数据资源成为国家核心战略资产,网络空间的数据主权正在成为大国博弈的新领域。欧盟利用其完善的个人信息保护体系,塑造严格的跨境数据保护规则,为欧盟成员国的信息安全和数据保护筑起了围墙,同时也给在信息技术和网络服务商占据绝对优势的美国从全球经贸体系中获益制造了新的障碍。欧美2016年7月通过的《隐私盾协议》暂时调和了双方在跨境数据传输规制上的纠纷,但欧盟“数据本地化”的趋势与美国“数据自由流动”主张的根本矛盾仍然存在。

(六)加强网络空间的多维合作

由于网络威胁的复杂性,小到一个单位、大到一个国家均不能“独善其身”。因此,各国网络政策无一例外均强调加强合作的重要,并在政府部门间的合作、公私合作和国际合作等多个维度作出积极努力。

政府部门之间的合作意在加强信息共享。互联网的扁平化加速打破政府部门之间的藩篱,情报共享成为应对网络威胁的必要手段。2015年2月,美国成立网络威胁与情报整合中心(CTIIC),协调整合国土安全部、联邦调查局等多部门的情报力量,提高美国防范和应对网络攻击的能力。英国网络安全行动中心与网络安全办公室承担类似职能, 确保政府部门、各行业、国际合作伙伴以及普通民众间的信息共享。

公共与私营部门合作体现责任共担。由于私营部门掌握着互联网绝大部分资源,因此加强公私部门合作是整个网络治理的关键。美国政府2012年通过的《信息共享与信息安全国家战略》,明确提出情报部门、国防部、外交部、国土安全部、执法部门和私营部门团体之间要加强合作,共享信息资源。英国2013年成立的“网络安全信息共享合作机制”,由政府出资与产业界联合建立,汇聚众多商业机构,分享网络威胁的信息,搭建起一套信息共享合作方式。2015年12月,美国总统奥巴马签署《网络安全信息共享法案(CISA)》,允许技术制造企业和美国政府共享互联网流量信息,以加强网络防护。各国的计算机应急响应小组也是公私合作的典型,在协调政府机构与私营部门合作应对网络攻击上成绩显著。

国际合作成为建构国际治理新规则的重要平台。加强国际合作是提升国际网络治理效力的内在需求。美国一直利用其掌握互联网根服务器和域名管理等优势,谋求将多利益攸关方治理机制转为“网络法典”。英国政府近年召开“网络空间会议”(又称“伦敦会议”)旨在联合主要西方国家推动网络空间国际规则的出台。俄罗斯则充分利用联合国、上合组织等国际舞台,积极推进各国共同参与的多边治理。

(七)促进网络安全教育和培训

人员及其行为是安全的基础,各国普遍将提高国民网络安全知识、专业技能和应知应会作为提升国家网络安全保障能力的基础保证。

一是部署实施国家级的教育计划。美国在2008年的《国家网络安全综合计划》和之后的《网络空间政策评估》中均提出了网络安全专业人才需求,并于2010年3月启动了“国家网络安全教育计划”项目,次年发布《国家网络安全教育计划战略规划》,实施创新的网络行为教育、培训和加强相关意识。2016年7月,美国发布《联邦网络安全人员战略》,要求为美联邦政府确定、招募、培养、留用“最优秀、最聪明以及最多样化的网络安全人才”。英国2010年在《国家网络安全计划》下开展“新的网络安全教育与技能计划”,其目标是在全英形成网络安全的防御意识与技能,推动普通市民和企业获得简单、通用的安全措施。英国政府通讯总部目前正在试行一项名为“网络优先”的计划,搜寻顶尖网络安全人才,培养“下一代网络安全专家”。日本于2011年发布“信息安全普及与启蒙计划”,对不同群体开展有针对性的信息安全教育。日本还以2020年东京奥运会为契机,设立“网络安全与信息化审议官”一职以统管人才培养工作,计划在在未来4年内培养近千名专家。

二是将学历教育和职业教育并重。一方面是深化网络安全学历教育。美国最早在大学开设网络安全学历专业教育计划,其主要推手即美国安局1998年创立的“卓越学术中心”(CAE),极大地推动网络安全学历教育层次化发展,目前已成为网络安全高等教育领域的黄金标准。2011年,美国土安全部和人力资源办公室牵头提出《网络安全人才队伍框架》,细分网络信息安全人员的专业类别,详细定义了每个专业的主要工作任务以及应具备的专业知识、技术和能力,对开展网络安全专业学历教育起到了重要的指导作用。英国政府也非常重视网络安全学历教育,目前已经认证了网络安全领域的6个硕士学位,创建了2个新的博士培训中心,3个研究机构和13个卓越学术中心。俄罗斯将网络信息安全领域的7个专业作为国家教育和科技工作的优先发展方向。另一方面是加强网络安全职业培训。美国率先开展网络安全专业人才考试注册制度,目前已拥有完善的网络安全职业培训认证资质,包括国际注册信息系统安全师(CISSP)、国际注册信息系统审计师(CISA)等。英国政府则以其《信息安全保障专业人员认证》作为其网络安全人才认证与管理的主要依据,实施“注册专业人员”认证项目。

三是设立网络安全主题活动,提升全民网络安全意识。美国将每年10月定为网络安全意识月,以提高全民网络安全意识。从2010年开始,美国每年还要举办一次国家网络安全意识挑战赛,以强化公众、特别是青少年网络安全意识,普及和提高应对网络威胁的能力。此外,欧盟的“网络安全意识日”、英国的“国家防身份欺诈周活动”、日本“信息安全意识月”、以色列的“网络周”等活动,都是以此为契机宣传网络安全知识,提升全民网络安全意识。

三、结语

与传统公共政策相比,网络安全政策更加复杂、综合和多元。比较观察域外政策实践和成熟经验,对我们有效整合既有治理资源,进一步优化完善我国的网络安全政策具有重要意义。在落实“依法治网”的基本原则上,我国网络空间治理应加快完善关键信息基础设施安全保障体系,加强关键网络安全技术研发,提升国家信息安全风险管理能力,强化打击网络犯罪的执法组织体系与能力建设,加大网络安全人才培养,创新网络空间治理的合作格局。在创建网络空间的命运共同体中贡献中国大智慧。

(中国信息安全测评中心/吴世忠 桂畅旎 磨惟伟)

关键字:信息安全抓手网络恐怖主义

本文摘自:中国信息安全

x 世界网络强国信息安全的战略动向与政策抓手 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

世界网络强国信息安全的战略动向与政策抓手

责任编辑:editor006 作者:吴世忠 桂畅旎 磨惟伟 |来源:企业网D1Net  2016-11-17 17:23:33 本文摘自:中国信息安全

编者按:知己知彼、百战百胜。从网络大国走向网络强国,必须兼顾国内国外两个大局,在借鉴中成长,在竞争中共赢,才能在为人类社会谋福祉的大格局中,体现全球网络治理的中国担当。为此,把脉世界网络强国信息安全战略动向,梳理世界网络强国信息安全政策的“抓手”,有利于切实落实好习总书记关于“从国际国内大势出发制定实施网络安全和信息化发展战略和重大政策”的明确指示,点亮网络空间国际合作的中国智慧,推动充满中国特色的网络“安全观”和“治理观”落到实处、走向世界。

党的十八大以来,习总书记围绕建设网络强国、治理网络空间、维护网络安全和构建国际互联网治理新体系等重大议题提出了充满中国特色的网络“安全观”和“治理观”,不仅为我国建设网络强国提供了根本遵循,也体现了完善全球治理的中国担当。“随时以举事,因资而立功,用万物之能而获利其上”。从4月19日的网络安全和信息化工作座谈会到10月9日政治局就网络强国战略进行的集体学习,习总书记进一步提出增强网络安全、发展核心技术、完善网络治理的基本要求,网络强国之梦日渐丰盈。为了切实落实好习总书记关于“从国际国内大势出发制定实施网络安全和信息化发展战略和重大政策”的明确指示,对世界主要网络强国的信息安全战略与政策抓手进行比较研究,对我们把握形势,找准短板,突破重点难点,开创网络强国之路具有重要意义。

一、世界网络强国信息安全战略动向

进入新世纪以来,互联网迅速普及推广,开辟出一个全新的网络空间,各国竞相将其纳入国家战略考虑。截至目前,全球已有64个国家发布了网络安全战略,其中美国出台了15份战略文件,日本发布了5份战略文件,俄罗斯、加拿大、荷兰、以色列等国也制定了相应战略与安全政策,纷纷向网络大国、强国迈进。综合来看,各国信息安全战略动向主要有以下三方面。

(一)提出网络空间治理的目标和原则。一是解决“网络空间向何处走”。美国用“繁荣、稳定、开放”三大目标以及“开放和互通、安全和可靠、规则与稳定”三大特征勾画网络空间蓝图。英国致力于构建网络强国和安全网空,促进经济繁荣、国家安全、社会稳定。二是明确“网络空间将如何管”。美国提出“基本自由、个人隐私、信息自由流动”三大原则引领和“外交、国防、发展”三大手段支撑,将政府、企业、智库、非政府组织、个人及跨国网络纳入统一战略管理框架,达成综合管理网络空间的目标。日本则把“确保信息的自由流动”、“风险管理的加强”、“基于责任分担的合作行动”作为其塑造网络安全国家的基本原则。三是规划“网络治理会如何做”。美国推出自由经济、加强网络保护、建立网络威慑、创新网络管理等“七大举措”。俄罗斯推出发展预警系统、提升重要信息基础设施可靠性、改进网络空间国家信息资源的安全保障措施等“六项措施”,多措并举落实战略目标。

(二)突出网络安全战略的优先方向与着力点。一是突出为网络空间“建章立制”。美国家网络战略突出“互联网自由”,宣扬“公开、透明和人权”等所谓的普世价值,意在维护其网络空间的既得利益,霸占全球网络空间制网权和制高点。不同于美国主张的“全球一网”,俄罗斯在网安政策上强调国家主权,谋求技术上的自主、管理上的可控,将“信息安全”作为国际社会讨论网安政策的起点,倚靠国际合作建立“国际信息安全”新秩序,体现出俄罗斯抢抓网络规则制定权,争夺网络治理话语权的决心。二是强调发挥网络的驱动作用。区别于美俄等国谋求网络空间的主导地位,英国网安战略更加聚焦本国网络安全,将网络作为新的经济增长点,致力于创造网络安全的商业环境,以加强本国网络安全产业的国际竞争力。以色列人信奉结果至上,注重以实践为导向,其网安战略非常注重网络产业的发展。三是聚焦网络空间的安全防范。为应对日益严峻的网络安全威胁,日本突出网络安全的“应急响应”,加强关键基础设施保护。加拿大聚焦网络安全保卫能力建设,突出政府信息系统的保护,强调与盟国合作应对跨国网络威胁,采取多种措施打击网络犯罪等。

(三)明确网络空间治理的方式与机构。世界网络强国均设立了高级别的专职协调机构,采取高层直接通报制负责网络治理的“内联外合”。美国在总统行政办公厅设立网络安全办公室,全权负责国家网络安全事务,办公室负责人由总统直接任命,为总统国家安全委员会成员。英国在内阁办公厅组建网络安全和信息保障办公室,为内阁部长和国家安全委员会提供有关网络安全方面的决策支持,协调政府的网络安全计划。日本在内阁官房成立国家信息安全中心,中心主任是三个助理内阁书记长之一,直接向内阁大臣报告工作。以色列成立直属于总理府的网络安全管理局,强化态势感知、信息共享和民生安全等领域的安全治理工作。

二、世界网络强国信息安全政策的“七大抓手”

综合比较当前网络强国的信息安全政策举措,可以看出,虽然各国国情不同、战略目标互异,但在网络安全政策上基本上均聚焦在以下“七大抓手”:

(一)加强关键基础设施的信息安全保护

围绕国家关键基础设施概念的界定、部门设置以及政策举措,网络强国无不作出相应部署。

一是明确国家关键基础设施的概念和范畴。美国在2001年《爱国者法案》中即明确了国家关键基础设施的定义,包括一旦中断运行或受到破坏,将对国家安全和经济安全构成严重影响的金融、电信、交通、能源、应急救援和政府核心事务等行业或业务信息系统的关键部位。日本2005年颁布的《关键基础设施信息安全措施行动方案》也对关键基础设施的概念进行了定义,即由提供高度不可代替且对人民社会生活和经济活动不可获取的服务的商业实体组成,如果其功能被暂停或削弱,人们的社会生活和经济活动会遭受重大破坏。在英国,国家关键基础设施被称为关键国家基础设施,它是由不间断向国家提供基本服务来说不可或缺的关键元素组成的。荷兰的规定则是对于社会不可或缺的,其损坏将造成全国性紧急状态,或者会在更长时间内对社会产生不良影响的基础设施。

二是建立完善的关键基础设施管理体系。美国建立了以国土安全部为主导、多机构参与的国家关键基础设施管理体系,以实现国家关键基础设施信息安全保护所需的监测预警、信息共享和应急处置。日本建立了以内阁秘书处为领导、政府部门和私营部门共同参与的关键信息基础设施保护组织机构体系。英国的管理体系由国务大臣主导,国家基础设施保护中心协调,各部门具体实施。

三是强调关键基础设施保护中的公私合作。由于大部分关键基础设施归私营企业经营和所有,因此各国政府都非常重视与私营机构的合作及信息共享。美国的各项关键基础设施相关法规都对公私合作做出了具体规定,包括设立共享机构、程序与措施等。以色列秉持关键基础设施的保护需由使用者和监管者共同承担的原则,实施义务上的分摊协作。日本也通过建立计算机安全应急响应小组,推动关键基础设施提供商与网络空间相关运营商和私人组织间确立共享关系。

(二)重视网络安全核心技术的研发

为应对网络空间的“非对称性优势”,各国纷纷将网络安全核心技术研发作为发展优先项。

一是立法推进网络安全技术研发。作为网络技术研发的全球领先者,日本在2001年通过《信息技术基本法》,提出推进信息技术的研究开发。美国也于2002年颁布了《网络安全研发法》,赋予国家科学基金会和国家标准与技术研究院开展网络安全研究的职责。

二是颁布网络安全技术研发战略。2011年12月,美国国家科学技术委员会发布《可信网络空间:联邦网空安全研发战略规划》,强化网络空间安全基础研究,着力构建网络安全知识体系,指导网络空间安全技术的研发与实践。2016年2月,美国更新和扩大了该战略,关注威慑、保护、侦查和适应四方面防御能力的科技开发,并提出了美国网络安全研发的近期、中期和长期目标。日本2011年颁布《2011-2015年度日本信息安全研究开发的中长远发展战略》,提出了未来10年信息安全技术研发的主要思想和重点发展领域。

三是实施网络安全研发发展计划。各国政府通过资金支持、政策倾斜以及加强基础设施保障等手段促进网络安全研发。美国通过实施“网络和信息技术研究发展计划”资助网络安全、高端计算系统等重大先进信息技术项目。2017财年美国科技预算中还为民用机构网络安全研发提供31800万美元的资金。2013年,以色列推出“前进计划”,旨在资助优选公司研发网络安全技术解决方案,带动国家网络安全产业发展。“前进计划”的资助金额达到1.36亿谢克,建立了11个相关孵化器,并将于近期推出升级版,资助突破性和颠覆性技术研发。

(三)提升基于风险管控的信息安全保障能力

为了将网络空间风险降到可接受的最小程度,各国普遍采取“事前风险评估、事中应急反应、事后灾难恢复”的措施管控网络空间日益增长的安全风险。

风险评估与测评认证是信息安全风险管理的重要手段。信息安全产品和信息系统固有的敏感性和特殊性,促使各国政府纷纷颁布标准实施实行相应的风险评估与测评认证。美国在风险管理以及政策支持方面走在世界前列,早在20世纪70年代,就开始信息安全测评认证标准的研究工作。1985年,美国公布《可信计算机系统评估标准》,并进而与英国、加拿大、德国、法国、荷兰等国一道共同推出信息安全评估与国际通用准则(CC)。“9?11事件”后,美国加快了信息系统风险评估的进程,其2002年推出的《联邦信息安全管理法案》规定必须对联邦信息系统进行安全评估并备案。英国标准协会1995年2月制定的BS7799风险管理标准在升级为ISO/IEC27001后,已成为目前全球使用最为普遍的信息安全管理体系标准。日本在风险管理方面综合美国和英国的做法,建立“安全管理系统评估制度”,指导政府和民间的风险管理实践。

应急响应贯穿信息系统的安全生命周期。为了应对信息安全威胁与风险,各国以“计算机应急响应中心”为抓手预警和处理网络安全事件。美国卡耐基?梅隆大学为应对“莫里斯蠕虫”事件,于1988年建立了全球最早的应急响应组,即计算机紧急响应组协调中心(CERT/CC)。随后,多个国家及地区相继成立应急响应组织,如日本的JPCERT/CC,英国的UKCERT,以色列的CERT-IL等。目前CERT的工作普遍体现为提升国家的网络安全态势,协调网络信息共享,前摄性地管理网络风险等,基本形成了民间与政府两个维度的配置。

灾难恢复是保障信息系统安全的“最后防线”。灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态。在国际上,灾难恢复监管机构的建立和政策发布最多的是美国,其灾难恢复工作始于20世纪70年代,目前已发布多项指南,包括《信息技术系统的应急计划指南》、《信息技术系统风险管理的指南》、《制定信息技术系统安全计划的指南》等。英国金融服务管理局制定了灾难备份的行业政策,如《商业银行业务连续性监管指引》、《高级管理层的安排、制度与控制》。国际上的BS-7799、25999,ISO/IEC27001、20000等体系也对容灾备灾作出了相关规定。可以看出,灾难恢复监管的体系涉及国家范畴、联邦范畴、行业范畴等方方面面,标准较为繁杂。

(四)打击网络犯罪与网络恐怖主义

作为网络治理最早面对的议题,各国在打击网络犯罪与网络恐怖主义上建立了较为完善的治理体系。

一是完善相关立法工作。“9?11事件”后,打击网络恐怖主义成为美国网络治理的重中之重,2001年的《爱国者法案》明确界定了“网络恐怖主义”的法律概念,并相继制定了《加强网络安全法》、《反计算机犯罪法》以及《反恐怖主义法》,加大对网络犯罪及网络恐怖主义的打击力度。英国也针对网络犯罪行为构建了强有力的法律框架,包括《计算机滥用法》、《通信监控权法》、《警察与审判法》以及最新的《通讯数据法》。加拿大在打击网络犯罪上成绩显著,突出表现在刑法上体现了网络犯罪的相关规定,相继颁布《统一电子证据法》、《个人信息保护与电子文件法》,就打击网络犯罪提出规范性要求。

二是加强执法能力建设。几乎所有的网络强国均在安全、情报部门设立专门的网络执法机构。美、俄、英、日、以、荷等国家先后投入巨资开发专门的网络执法技术平台,并对信息安全监管以及执法的实施作了明确的政策要求。针对网络犯罪证据难发现、难获取、难保全、难认定的特点,加拿大还非常注重电子证据调查取证的规范化和标准化建设,确保通过程序化、标准化的调查取证来更清晰地界定网络犯罪。

三是重视国际司法合作。网络的跨国性决定了网络安全是全球性的难题。联合国大会2001年通过了“打击滥用信息技术犯罪的决议”,呼吁各国在打击非法滥用信息技术方面加强执法合作;欧洲委员会同年通过的《网络犯罪公约》要求缔约国之间建立打击网络犯罪共同的刑事政策以及一致的法律体系和国际协助。目前,《网络犯罪公约》已成为影响范围最大、最重要的打击网络犯罪的国际公约。在国家层面上,英国政府2013年设立全球网络安全中心,建立应对跨国网络犯罪行为的国际合作机制;加拿大在皇家警骑技术犯罪调查部设立了网络犯罪国家联系中心。

(五)平衡网络安全与公民自由

在信奉个人权力至上的西方国家,网络治理与公民权利保护间的平衡是一项非常重要的议题,主要涉及个人言论自由、隐私保护、数据跨境自由流通与国家安全之间的关系。

一是网络言论自由与国家安全的平衡。无论是英、美等普通法系国家还是德、法等欧洲大陆法系国家,都认为言论的多元化是民主社会的根本要求。美国将言论自由规定置于宪法修正案的第一条,一直探索言论自由的法律界限,并先后形成了“危险倾向原则”、“煽动原则”、“明显且即刻的危险原则”等系列适用原则,并将这些原则运用于网络空间,在网络言论规制上多依靠司法判例,谨慎立法。

二是个人信息保护与国家安全的平衡。个人信息保护已成国际公识,目前全球已有近90个国家制定了个人信息保护的相关规制,特别是对于素来注重个人隐私保护的欧盟国家,则采用了强有力的立法模式。欧盟议会1995年通过的《个人数据保护指令》,涉及所有关于个人资料处理方面的规定,为欧盟成员国立法保护个人数据设立最低标准。欧盟对指令进行系列的修订与补充,并于2016年4月通过《一般数据保护条例》,在企业内控和合规管理方面制定了详细的规范,将个人数据保护管理提到了前所未有的高度。

三是信息自由流动与国家安全的平衡。在大数据时代,数据资源成为国家核心战略资产,网络空间的数据主权正在成为大国博弈的新领域。欧盟利用其完善的个人信息保护体系,塑造严格的跨境数据保护规则,为欧盟成员国的信息安全和数据保护筑起了围墙,同时也给在信息技术和网络服务商占据绝对优势的美国从全球经贸体系中获益制造了新的障碍。欧美2016年7月通过的《隐私盾协议》暂时调和了双方在跨境数据传输规制上的纠纷,但欧盟“数据本地化”的趋势与美国“数据自由流动”主张的根本矛盾仍然存在。

(六)加强网络空间的多维合作

由于网络威胁的复杂性,小到一个单位、大到一个国家均不能“独善其身”。因此,各国网络政策无一例外均强调加强合作的重要,并在政府部门间的合作、公私合作和国际合作等多个维度作出积极努力。

政府部门之间的合作意在加强信息共享。互联网的扁平化加速打破政府部门之间的藩篱,情报共享成为应对网络威胁的必要手段。2015年2月,美国成立网络威胁与情报整合中心(CTIIC),协调整合国土安全部、联邦调查局等多部门的情报力量,提高美国防范和应对网络攻击的能力。英国网络安全行动中心与网络安全办公室承担类似职能, 确保政府部门、各行业、国际合作伙伴以及普通民众间的信息共享。

公共与私营部门合作体现责任共担。由于私营部门掌握着互联网绝大部分资源,因此加强公私部门合作是整个网络治理的关键。美国政府2012年通过的《信息共享与信息安全国家战略》,明确提出情报部门、国防部、外交部、国土安全部、执法部门和私营部门团体之间要加强合作,共享信息资源。英国2013年成立的“网络安全信息共享合作机制”,由政府出资与产业界联合建立,汇聚众多商业机构,分享网络威胁的信息,搭建起一套信息共享合作方式。2015年12月,美国总统奥巴马签署《网络安全信息共享法案(CISA)》,允许技术制造企业和美国政府共享互联网流量信息,以加强网络防护。各国的计算机应急响应小组也是公私合作的典型,在协调政府机构与私营部门合作应对网络攻击上成绩显著。

国际合作成为建构国际治理新规则的重要平台。加强国际合作是提升国际网络治理效力的内在需求。美国一直利用其掌握互联网根服务器和域名管理等优势,谋求将多利益攸关方治理机制转为“网络法典”。英国政府近年召开“网络空间会议”(又称“伦敦会议”)旨在联合主要西方国家推动网络空间国际规则的出台。俄罗斯则充分利用联合国、上合组织等国际舞台,积极推进各国共同参与的多边治理。

(七)促进网络安全教育和培训

人员及其行为是安全的基础,各国普遍将提高国民网络安全知识、专业技能和应知应会作为提升国家网络安全保障能力的基础保证。

一是部署实施国家级的教育计划。美国在2008年的《国家网络安全综合计划》和之后的《网络空间政策评估》中均提出了网络安全专业人才需求,并于2010年3月启动了“国家网络安全教育计划”项目,次年发布《国家网络安全教育计划战略规划》,实施创新的网络行为教育、培训和加强相关意识。2016年7月,美国发布《联邦网络安全人员战略》,要求为美联邦政府确定、招募、培养、留用“最优秀、最聪明以及最多样化的网络安全人才”。英国2010年在《国家网络安全计划》下开展“新的网络安全教育与技能计划”,其目标是在全英形成网络安全的防御意识与技能,推动普通市民和企业获得简单、通用的安全措施。英国政府通讯总部目前正在试行一项名为“网络优先”的计划,搜寻顶尖网络安全人才,培养“下一代网络安全专家”。日本于2011年发布“信息安全普及与启蒙计划”,对不同群体开展有针对性的信息安全教育。日本还以2020年东京奥运会为契机,设立“网络安全与信息化审议官”一职以统管人才培养工作,计划在在未来4年内培养近千名专家。

二是将学历教育和职业教育并重。一方面是深化网络安全学历教育。美国最早在大学开设网络安全学历专业教育计划,其主要推手即美国安局1998年创立的“卓越学术中心”(CAE),极大地推动网络安全学历教育层次化发展,目前已成为网络安全高等教育领域的黄金标准。2011年,美国土安全部和人力资源办公室牵头提出《网络安全人才队伍框架》,细分网络信息安全人员的专业类别,详细定义了每个专业的主要工作任务以及应具备的专业知识、技术和能力,对开展网络安全专业学历教育起到了重要的指导作用。英国政府也非常重视网络安全学历教育,目前已经认证了网络安全领域的6个硕士学位,创建了2个新的博士培训中心,3个研究机构和13个卓越学术中心。俄罗斯将网络信息安全领域的7个专业作为国家教育和科技工作的优先发展方向。另一方面是加强网络安全职业培训。美国率先开展网络安全专业人才考试注册制度,目前已拥有完善的网络安全职业培训认证资质,包括国际注册信息系统安全师(CISSP)、国际注册信息系统审计师(CISA)等。英国政府则以其《信息安全保障专业人员认证》作为其网络安全人才认证与管理的主要依据,实施“注册专业人员”认证项目。

三是设立网络安全主题活动,提升全民网络安全意识。美国将每年10月定为网络安全意识月,以提高全民网络安全意识。从2010年开始,美国每年还要举办一次国家网络安全意识挑战赛,以强化公众、特别是青少年网络安全意识,普及和提高应对网络威胁的能力。此外,欧盟的“网络安全意识日”、英国的“国家防身份欺诈周活动”、日本“信息安全意识月”、以色列的“网络周”等活动,都是以此为契机宣传网络安全知识,提升全民网络安全意识。

三、结语

与传统公共政策相比,网络安全政策更加复杂、综合和多元。比较观察域外政策实践和成熟经验,对我们有效整合既有治理资源,进一步优化完善我国的网络安全政策具有重要意义。在落实“依法治网”的基本原则上,我国网络空间治理应加快完善关键信息基础设施安全保障体系,加强关键网络安全技术研发,提升国家信息安全风险管理能力,强化打击网络犯罪的执法组织体系与能力建设,加大网络安全人才培养,创新网络空间治理的合作格局。在创建网络空间的命运共同体中贡献中国大智慧。

(中国信息安全测评中心/吴世忠 桂畅旎 磨惟伟)

关键字:信息安全抓手网络恐怖主义

本文摘自:中国信息安全

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^