這是一個沒有硝煙的戰(zhàn)場。政府加強網(wǎng)絡監(jiān)管,企業(yè)建設信息安全體系……網(wǎng)絡攻防,各有奇招。
2013年,“棱鏡計劃”的曝光使得美國政府及其合作企業(yè)假以國家安全為由,在全球范圍內(nèi)展開的網(wǎng)絡攻擊、信息竊聽圍獵行為得以敗露;敘利亞內(nèi)戰(zhàn)中由雙方黑客參與的網(wǎng)絡空間攻防再次證明,信息安全已經(jīng)成為現(xiàn)代化戰(zhàn)爭的重要組成;CISCO、D-Link、Tenda等多家主流路由器廠商產(chǎn)品后門披露引發(fā)網(wǎng)絡安全恐慌;“Heartbleed”大型安全漏洞浮出水面,數(shù)億用戶面臨安全風險……
伴隨著這一系列事件和全球信息化進程的推進、新信息技術的應用,以及全球網(wǎng)絡犯罪與攻擊行為的蔓延,政府、企業(yè)和個人都表現(xiàn)出對信息安全的極大關注。各國政府都在加強網(wǎng)絡監(jiān)管,企業(yè)在信息安全體系建設上的投資不斷增加,加強數(shù)據(jù)安全和隱私保護并提升IT基礎設施防御能力成為全球信息安全產(chǎn)品的主流。
目前,全球各個國家將對信息安全建設的重視上升到國家安全軍備競爭的高度,促使全球范圍內(nèi)的信息安全產(chǎn)業(yè)得以快速發(fā)展。信息安全上升到經(jīng)濟安全、社會安全和國家安全層面,美國、歐盟、俄羅斯、日本、中國等持續(xù)加強信息安全軟硬件和安全服務的投資。全球信息安全產(chǎn)業(yè)的競爭已經(jīng)超越傳統(tǒng)產(chǎn)業(yè)的范疇,加快信息安全產(chǎn)業(yè)發(fā)展是國家信息安全保障體系建設工作的一項重要任務,是保證信息化建設健康推進的基本要求。
信息安全投入不斷增強
世界上多數(shù)國家都將網(wǎng)絡空間視為發(fā)展重點,高度重視加強網(wǎng)絡戰(zhàn)的攻防實力,發(fā)展各自的“網(wǎng)絡威懾”能力,網(wǎng)絡空間已經(jīng)成為領土、領海、領空和太空之外的第五空間。
首先,世界各國都在加快組建網(wǎng)絡部隊,已經(jīng)有美國、俄羅斯、以色列、伊朗、韓國等將近46個國家成立了網(wǎng)絡部隊,并且在逐步擴大網(wǎng)絡部隊的規(guī)模。其次,世界各國不斷增加網(wǎng)絡武器、網(wǎng)絡安全人才等方面的投入。最后,各國不斷加強網(wǎng)絡演習,以提高網(wǎng)絡對抗實戰(zhàn)能力。
從資金投入上來看,美國國防部2012年在網(wǎng)絡安全和網(wǎng)絡技術方面的預算達到34億美元,主要用于新一代網(wǎng)絡武器研發(fā)方面,北約C3局(NC3A)于2012年3月份簽署了合同價值約5800萬歐元的網(wǎng)絡防御投資計劃,韓國于2012年投入19億韓元啟動“白色黑客”計劃以培養(yǎng)網(wǎng)絡安全人員。
各國紛紛建立信息安全生態(tài)體系
全世界主要國家和地區(qū)已經(jīng)就信息安全著力構(gòu)建了各自的生態(tài)系統(tǒng),在關鍵技術、行業(yè)標準、評估認證體系方面都有很多切實行動。
總體看來,美國已經(jīng)建立了較為完善的信息安全保障體系:信息安全技術體系、信息安全法律體系、信息安全防御體系、主管機構(gòu)管理體系。美國有眾多政府部門可以獲得信息安全建設的相關資助,受資助單位包括美國國防部高級研究計劃局、美國國家安全局、NSF、美國海軍等。美國在多個領域擁有關鍵技術,如防火墻、入侵檢測系統(tǒng)、容錯網(wǎng)絡、公鑰密碼等。此外,美國擁有一大批技術水平領先的IT企業(yè)/信息安全廠商,如思科、IBM、MS、McAfee、EMC/RSA、賽門鐵克、Juniper等。
英國擁有多項國際標準,如英國BS7799標準(國際信息安全管理標準體系)已成為國際標準,并主導ISO/IEC 27000(信息安全管理系統(tǒng)標準族)系列標準。英國建立了完善的信息安全評估與認證體系,如由英國貿(mào)工部和通信電子安全局建立的UKITSEC體系。CESC評估機構(gòu)是擁有獨立管理權(quán)的信息安全評估中心,它可以幫助網(wǎng)絡設備廠商與政府和國家安全機構(gòu)一起制定相關安全保障措施。此外,英國還擁有健全的信息安全法律保障體系,如《計算機濫用法》《調(diào)查權(quán)力規(guī)范法》《電子通信法案》《電子簽名法》等。
歐盟也積極建立信息安全戰(zhàn)略體系,希望通過重大信息基礎設施保護戰(zhàn)略,來應對任何網(wǎng)絡攻擊和入侵。其戰(zhàn)略重點是準備和預防、監(jiān)測和響應、減災和災后恢復、推動國際和歐盟范圍內(nèi)的合作,以及樹立ICT部門的標準。在信息安全管理機構(gòu)體系方面,歐盟成立了歐洲信息安全局,用于收集、分析成員國信息和向歐盟委員會提供分析結(jié)果,提供相關咨詢和幫助,增強合作,并協(xié)助歐盟與工業(yè)界對話,跟蹤信息安全相關產(chǎn)品和服務標準的發(fā)展狀況等。此外,歐盟還不斷推動信息安全法規(guī)體系的完善,通過頒布決議、指令、建議、條例等組成法律框架,目前已經(jīng)出臺了《信息安全框架決議》、《關于打擊信息系統(tǒng)犯罪的歐盟委員會框架決議》等法規(guī)。
俄羅斯具備全面的聯(lián)邦信息安全立法體系:以《俄羅斯聯(lián)邦憲法》為立法依據(jù),以《信息、信息技術和信息保護法》為立法基礎,以系列綱領性文件為立法的政策指導和理論依托,以具體的法律規(guī)范為立法支撐,以國際合作作為信息安全立法視角。俄羅斯在信息安全建設方面的特點是,信息安全法制觀念強,重視綱領性文件的制定,及時修訂現(xiàn)行法律,重視加強國際合作。至于信息安全技術體系,俄羅斯在信息安全技術上堅持自主創(chuàng)新、自成體系,強調(diào)數(shù)學模型與論證發(fā)揮自動控制理論的作用,注重芯片和操作系統(tǒng)的研發(fā)。其密碼服務體系自成系統(tǒng),保密性強,在金融信息安全方面與加密領域做了大量工作。
日本已經(jīng)建立了較為完善的信息安全保障體系。其運作模式為:針對計算機網(wǎng)絡信息安全管理,專門制訂了一套相應的規(guī)則,以制訂—引入—運用—評價—修正的步驟有序進行。日本強調(diào)官民協(xié)作,政府不斷加強與民間團體、企業(yè)研究機關之間的信息交換,以求建立官民緊密協(xié)作、聯(lián)動的合作機制。
韓國則注重建立信息安全防御體系,并取得了一定成果。目前,韓國擁有“三線防御體系”,即國際接口局、互聯(lián)網(wǎng)服務商、企業(yè),從不同角度探測和防范網(wǎng)絡恐怖襲擊的機制。韓國還制定了國家網(wǎng)絡安全綜合計劃,目的是開發(fā)下一代能動型網(wǎng)絡信息保護系統(tǒng),為信息通信系統(tǒng)提供自動保護。在政企合作方面,韓國政府鼓勵政府部門和民間企業(yè)對重要信息加密,要求主要IT設施具備數(shù)據(jù)備份功能,并構(gòu)筑災難恢復系統(tǒng)。
美國:強調(diào)關鍵基礎設施安全
美國加快了制定網(wǎng)絡空間安全戰(zhàn)略的力度和步伐。奧巴馬政府上臺后動作不斷,白宮相繼發(fā)布了《信息共享國家戰(zhàn)略》、《國家安全戰(zhàn)略》、《網(wǎng)絡空間政策評估報告》、《網(wǎng)絡空間可信身份國家戰(zhàn)略》、《網(wǎng)絡空間國際戰(zhàn)略》、《2012年信息共享與安全保障國家戰(zhàn)略》。隨后,美國國防部、國土安全部、商務部先后推出了本部門網(wǎng)絡安全戰(zhàn)略。同時,美國近年不斷加強網(wǎng)絡部隊的建設,已成為全球最主要的網(wǎng)絡攻擊策源地,2013年計劃新增40支網(wǎng)絡小隊,其中明確有13支的重點是進攻,另外27支的重點是培訓和監(jiān)控。2013年6月,美國“棱鏡”等互聯(lián)網(wǎng)監(jiān)視項目曝光。
美國依靠其在信息技術和產(chǎn)業(yè)上的巨大優(yōu)勢,繞過各國的信息安全防護,實現(xiàn)了對整個國際網(wǎng)絡空間的監(jiān)控。
根據(jù)美國關鍵基礎設施公司的報告數(shù)據(jù),美國網(wǎng)絡安全事件數(shù)量從2009年的9起、2010年的41起,急劇增加到2011年的198起。由此,包括美國國防部長在內(nèi)的眾多政府高級官員呼吁國會通過相關法律,有效保護關鍵基礎設施網(wǎng)絡安全,保障美國經(jīng)濟穩(wěn)定。2013年2月,美國總統(tǒng)奧巴馬簽署了名為《關于提升關鍵基礎設施網(wǎng)絡安全的決定》的行政令,旨在保護國家基礎設施免受網(wǎng)絡攻擊。奧巴馬在國情咨文中表示,“黑客們竊取人們的身份信息、入侵私人郵件、竊取企業(yè)秘密,試圖破壞電力網(wǎng)、金融機構(gòu)和空中交通管制系統(tǒng)”。
該行政令的主要內(nèi)容包括:在國家層面上,美國總統(tǒng)正式認定“信息戰(zhàn)”會一直持續(xù)下去,是目前顯而易見的威脅。政府將與私營部門合作建立“網(wǎng)絡安全框架”,實現(xiàn)網(wǎng)絡攻擊與威脅信息的共享,從而降低關鍵基礎設施的網(wǎng)絡安全風險。如何降低“關鍵基礎設施的網(wǎng)絡安全風險”的基本框架將由美國國家標準與技術研究所(NIST)制定。該基本框架包含一套標準、方法、步驟、流程,以及應對網(wǎng)絡安全風險的非指定的技術手段。“網(wǎng)絡安全框架”的建立有助于將現(xiàn)有的政府項目向私營部門擴展,這樣能讓更多的私營部門的專家在一段時間內(nèi)為政府服務。與此同時,該行政令規(guī)定了建立“網(wǎng)絡安全框架”的具體時間表,以及“網(wǎng)絡安全框架”對隱私狀況的影響的評估報告。行政令呼吁政府和機構(gòu)加強政策協(xié)調(diào),實現(xiàn)更廣泛的信息共享,但是該行政令并不具有和法律同等的效力,白宮期望能借此引入立法機制。
《關于提升關鍵基礎設施網(wǎng)絡安全的決定》的行政令意在擴大聯(lián)邦政府與私營企業(yè)合作的深度與廣度,以加強“關鍵基礎設施”部門的網(wǎng)絡安全管理與風險應對能力。該行政命令通過提供法律依據(jù)、行政支持的方式從信息共享與加強安全措施兩個方面提高“關鍵基礎設施”網(wǎng)絡安全,如擴大網(wǎng)絡安全強化服務項目范圍,制定降低“關鍵基礎設施網(wǎng)絡安全風險”的基本框架體系;充分利用網(wǎng)絡安全框架規(guī)范,評估、修訂各管理機構(gòu)現(xiàn)行的網(wǎng)絡安全規(guī)范等。值得注意的是,該行政命令對上述措施實施過程的執(zhí)行時間、執(zhí)行流程和責任主體要求明確,使得此行政命令行之有效。
歐洲:推行網(wǎng)絡安全戰(zhàn)略
2013年2月,歐盟委員會公布了《網(wǎng)絡安全戰(zhàn)略》,出臺這一戰(zhàn)略的根本目的在于構(gòu)建一個“公開、自由和安全”的網(wǎng)絡空間,就如何預防和應對網(wǎng)絡中斷和襲擊提出全面規(guī)劃,以確保數(shù)字經(jīng)濟安全發(fā)展。“棱鏡門”事件也使得這一戰(zhàn)略更為實際,歐盟已經(jīng)加速其數(shù)據(jù)安全法律的制定。
根據(jù)該戰(zhàn)略,歐盟在網(wǎng)絡安全方面有五項優(yōu)先工作:提升網(wǎng)絡的抗打擊能力、大幅減少網(wǎng)絡犯罪、在歐盟共同防務的框架下制定網(wǎng)絡防御政策和發(fā)展防御能力、發(fā)展網(wǎng)絡安全方面的工業(yè)和技術、為歐盟制定國際網(wǎng)絡空間政策。該戰(zhàn)略還提出一項立法建議,要求關鍵機構(gòu)在遭受網(wǎng)絡襲擊時要向歐盟匯報,包括重要基礎設施的提供商、關鍵的網(wǎng)絡企業(yè)和公共行政部門。歐盟還要求各成員國制定相應戰(zhàn)略,成立專門機構(gòu)以預防和處理網(wǎng)絡安全風險和事故,并與歐盟委員會共享早期風險預警信息。該戰(zhàn)略明確了各利益相關方的權(quán)利和責任,從國家、歐盟和國際三個層面,明確了各利益相關方在維護網(wǎng)絡安全過程中的角色——在國家層面,要求各成員國制定相關計劃,同時促進國家機構(gòu)與私營企業(yè)之間的信息共享;在歐盟層面,鼓勵NIS主管部門、執(zhí)法部門和國防部門開展合作,并重點推動政府部門間的信息共享;在國際層面,強調(diào)要加強與伙伴國及歐洲理事會、歐安組織等國際組織的合作。根據(jù)安全事件性質(zhì)和影響程度的不同,該戰(zhàn)略對發(fā)生重大網(wǎng)絡事件時的快速響應機制也做了相應界定。
為有效應對網(wǎng)絡安全挑戰(zhàn),該戰(zhàn)略確定了五大優(yōu)先戰(zhàn)略任務和行動路徑:一是提升網(wǎng)絡恢復能力。要求成員國在政策、體制、意識、培訓方面步調(diào)一致,以共享機制促進各國合作,提高公眾網(wǎng)絡安全意識和防御技能。二是強力打擊網(wǎng)絡犯罪。在法律、體制、能力建設方面形成合力,確定制止網(wǎng)絡犯罪的最佳實踐和可行技術。三是制定網(wǎng)絡防御政策。在歐盟網(wǎng)絡防御政策框架制定之下,借助北約軍民力量,增強歐盟網(wǎng)絡防御能力。四是尋求更多行業(yè)技術資源支持。以一個多方共同參與的平臺,在市場、標準、方案等方面加大投入,促進創(chuàng)新。五是推動雙邊多邊合作。強調(diào)與美國的雙邊合作,尋求與歐洲理事會、經(jīng)合組織、聯(lián)合國、歐洲安全組織、東盟等之間的多邊合作。
日本:轉(zhuǎn)向網(wǎng)絡安全威脅防御
2013年6月10日,日本國家信息安全中心(National Information Security Center,NISC)發(fā)布了《網(wǎng)絡安全戰(zhàn)略》,旨在創(chuàng)建“領先、彈性、活力的網(wǎng)絡空間”,實現(xiàn)“網(wǎng)絡安全立國”。據(jù)日本獨立行政法人情報通信研究機構(gòu)相關調(diào)查數(shù)據(jù):2013年日本遭受海外大規(guī)模網(wǎng)絡攻擊達128億次,上升趨勢明顯,盡管日本全國已經(jīng)設置了21萬個網(wǎng)絡監(jiān)控系統(tǒng),但是依然難以抵御來自黑客的攻擊。基于此背景,日本不得不改變原有的信息安全保障防護的策略,著手制定出新的網(wǎng)絡安全國家戰(zhàn)略,旨在適應新形勢變化,通過多項措施加強網(wǎng)絡空間安全保障。
《網(wǎng)絡安全戰(zhàn)略》主要內(nèi)容是:首先,明確日本網(wǎng)絡安全戰(zhàn)略目標和基本原則。戰(zhàn)略目標是,通過發(fā)展“領先世界”、“彈性”和“有活力”的網(wǎng)絡空間,確保國家安全和危機管理、社會經(jīng)濟發(fā)展、內(nèi)外部公共安全,實現(xiàn)一個能有效防范網(wǎng)絡攻擊、充滿創(chuàng)新的社會。基本原則一是確保信息的自由流動,二是提供新的措施應對日益嚴重的網(wǎng)絡安全風險,三是增強基于風險的響應,四是網(wǎng)絡安全參與各方基于各方的社會責任采取行動和與他人合作。其次,明確網(wǎng)絡安全參與各方和職責。參與各方包括國家、關鍵基礎設施服務提供者、產(chǎn)業(yè)界和學術界、用戶和中小企業(yè)、網(wǎng)絡空間相關機構(gòu)。國家負責網(wǎng)絡空間外交、國防和網(wǎng)絡犯罪打擊,增強處理上述三方面事務的能力。國家將賦予國家信息安全中心更多的權(quán)力,以使其成為網(wǎng)絡空間的指揮者,并在2016年底前完成對該中心的重組。信息通信技術、金融、航空、鐵路、電力、石油石化等十大關鍵基礎設施部門的服務提供者負責增強各自的網(wǎng)絡安全措施。產(chǎn)業(yè)界和學術界共同促進先進技術研發(fā)和信息安全人才培養(yǎng)。網(wǎng)絡空間相關機構(gòu)負責信息技術產(chǎn)品脆弱性分析、網(wǎng)絡安全事件分析等。
日本《網(wǎng)絡安全戰(zhàn)略》首次采用了“網(wǎng)絡安全”的概念,而不是以前戰(zhàn)略中的“信息安全”,標志著日本對安全威脅認識的整體轉(zhuǎn)變。其中:一是日本政府將賦予國家信息安全中心更多權(quán)力,使其在網(wǎng)絡威脅應對中承擔“指揮官”角色,旨在形成網(wǎng)絡空間的國家合力。二是日本將重新界定關鍵基礎設施,不僅僅包括原有10類關鍵基礎設施行業(yè)和部門,主要是針對日益變化的網(wǎng)絡安全威脅。三是繼續(xù)加強“官民協(xié)作”,實現(xiàn)與企業(yè)的信息共享,提高民眾網(wǎng)絡安全意識,使得監(jiān)測、發(fā)現(xiàn)威脅并防范網(wǎng)絡攻擊的能力有效提高。四是基于現(xiàn)有的網(wǎng)絡空間國際法,加強與美國之間的國際合作。
中國:建立日益完善的信息安全體系
近三年,中國在網(wǎng)絡安全政策、產(chǎn)業(yè)、技術等方面取得較大進展,國家對網(wǎng)絡安全的重視程度日益提高,網(wǎng)絡安全投入大幅增加,政策環(huán)境得到明顯改善;等級保護工作全面推進,測評認證工作取得較大進展,涉密信息系統(tǒng)分級保護快速發(fā)展,法律法規(guī)體系和標準化體系不斷完善,網(wǎng)絡安全基礎保障工作得到顯著加強;產(chǎn)業(yè)規(guī)模快速增長,企業(yè)實力進一步壯大,自主產(chǎn)品市場份額逐步增多,網(wǎng)絡安全產(chǎn)業(yè)支撐能力得到大幅提升;安全操作系統(tǒng)、安全芯片等基礎技術取得一定進展,自主密碼技術取得較大突破,安全認證技術、可信計算技術取得豐碩成果,網(wǎng)絡安全技術體系得到不斷完善;政府間網(wǎng)絡交流取得積極進展,標準化工作逐步融入國際體系,個別有實力的信息安全企業(yè)向國際市場進軍,網(wǎng)絡安全領域國際合作邁出實質(zhì)性步伐。
目前來看,中國已建立起信息安全標準化體系、信息安全產(chǎn)品的認證認可體系、信息安全等級保護體系,亦出臺了一系列信息安全方面的法律法規(guī)。“棱鏡門”后,中國對安全保障的重視程度更是達到前所未有的高度,2014年1月24日成立了國家安全委員會。
摘自 中國計算機報
