今日頭條
官方微信
官方抖音
資訊頻道 這是一個沒有硝煙的戰場。政府加強網絡監管,企業建設信息安全體系……網絡攻防,各有奇招。
2013年,“棱鏡計劃”的曝光使得美國政府及其合作企業假以國家安全為由,在全球范圍內展開的網絡攻擊、信息竊聽圍獵行為得以敗露;敘利亞內戰中由雙方黑客參與的網絡空間攻防再次證明,信息安全已經成為現代化戰爭的重要組成;CISCO、D-Link、Tenda等多家主流路由器廠商產品后門披露引發網絡安全恐慌;“Heartbleed”大型安全漏洞浮出水面,數億用戶面臨安全風險……
伴隨著這一系列事件和全球信息化進程的推進、新信息技術的應用,以及全球網絡犯罪與攻擊行為的蔓延,政府、企業和個人都表現出對信息安全的極大關注。各國政府都在加強網絡監管,企業在信息安全體系建設上的投資不斷增加,加強數據安全和隱私保護并提升IT基礎設施防御能力成為全球信息安全產品的主流。
目前,全球各個國家將對信息安全建設的重視上升到國家安全軍備競爭的高度,促使全球范圍內的信息安全產業得以快速發展。信息安全上升到經濟安全、社會安全和國家安全層面,美國、歐盟、俄羅斯、日本、中國等持續加強信息安全軟硬件和安全服務的投資。全球信息安全產業的競爭已經超越傳統產業的范疇,加快信息安全產業發展是國家信息安全保障體系建設工作的一項重要任務,是保證信息化建設健康推進的基本要求。
信息安全投入不斷增強
世界上多數國家都將網絡空間視為發展重點,高度重視加強網絡戰的攻防實力,發展各自的“網絡威懾”能力,網絡空間已經成為領土、領海、領空和太空之外的第五空間。
首先,世界各國都在加快組建網絡部隊,已經有美國、俄羅斯、以色列、伊朗、韓國等將近46個國家成立了網絡部隊,并且在逐步擴大網絡部隊的規模。其次,世界各國不斷增加網絡武器、網絡安全人才等方面的投入。最后,各國不斷加強網絡演習,以提高網絡對抗實戰能力。
從資金投入上來看,美國國防部2012年在網絡安全和網絡技術方面的預算達到34億美元,主要用于新一代網絡武器研發方面,北約C3局(NC3A)于2012年3月份簽署了合同價值約5800萬歐元的網絡防御投資計劃,韓國于2012年投入19億韓元啟動“白色黑客”計劃以培養網絡安全人員。
各國紛紛建立信息安全生態體系
全世界主要國家和地區已經就信息安全著力構建了各自的生態系統,在關鍵技術、行業標準、評估認證體系方面都有很多切實行動。
總體看來,美國已經建立了較為完善的信息安全保障體系:信息安全技術體系、信息安全法律體系、信息安全防御體系、主管機構管理體系。美國有眾多政府部門可以獲得信息安全建設的相關資助,受資助單位包括美國國防部高級研究計劃局、美國國家安全局、NSF、美國海軍等。美國在多個領域擁有關鍵技術,如防火墻、入侵檢測系統、容錯網絡、公鑰密碼等。此外,美國擁有一大批技術水平領先的IT企業/信息安全廠商,如思科、IBM、MS、McAfee、EMC/RSA、賽門鐵克、Juniper等。
英國擁有多項國際標準,如英國BS7799標準(國際信息安全管理標準體系)已成為國際標準,并主導ISO/IEC 27000(信息安全管理系統標準族)系列標準。英國建立了完善的信息安全評估與認證體系,如由英國貿工部和通信電子安全局建立的UKITSEC體系。CESC評估機構是擁有獨立管理權的信息安全評估中心,它可以幫助網絡設備廠商與政府和國家安全機構一起制定相關安全保障措施。此外,英國還擁有健全的信息安全法律保障體系,如《計算機濫用法》《調查權力規范法》《電子通信法案》《電子簽名法》等。
歐盟也積極建立信息安全戰略體系,希望通過重大信息基礎設施保護戰略,來應對任何網絡攻擊和入侵。其戰略重點是準備和預防、監測和響應、減災和災后恢復、推動國際和歐盟范圍內的合作,以及樹立ICT部門的標準。在信息安全管理機構體系方面,歐盟成立了歐洲信息安全局,用于收集、分析成員國信息和向歐盟委員會提供分析結果,提供相關咨詢和幫助,增強合作,并協助歐盟與工業界對話,跟蹤信息安全相關產品和服務標準的發展狀況等。此外,歐盟還不斷推動信息安全法規體系的完善,通過頒布決議、指令、建議、條例等組成法律框架,目前已經出臺了《信息安全框架決議》、《關于打擊信息系統犯罪的歐盟委員會框架決議》等法規。
俄羅斯具備全面的聯邦信息安全立法體系:以《俄羅斯聯邦憲法》為立法依據,以《信息、信息技術和信息保護法》為立法基礎,以系列綱領性文件為立法的政策指導和理論依托,以具體的法律規范為立法支撐,以國際合作作為信息安全立法視角。俄羅斯在信息安全建設方面的特點是,信息安全法制觀念強,重視綱領性文件的制定,及時修訂現行法律,重視加強國際合作。至于信息安全技術體系,俄羅斯在信息安全技術上堅持自主創新、自成體系,強調數學模型與論證發揮自動控制理論的作用,注重芯片和操作系統的研發。其密碼服務體系自成系統,保密性強,在金融信息安全方面與加密領域做了大量工作。
日本已經建立了較為完善的信息安全保障體系。其運作模式為:針對計算機網絡信息安全管理,專門制訂了一套相應的規則,以制訂—引入—運用—評價—修正的步驟有序進行。日本強調官民協作,政府不斷加強與民間團體、企業研究機關之間的信息交換,以求建立官民緊密協作、聯動的合作機制。
韓國則注重建立信息安全防御體系,并取得了一定成果。目前,韓國擁有“三線防御體系”,即國際接口局、互聯網服務商、企業,從不同角度探測和防范網絡恐怖襲擊的機制。韓國還制定了國家網絡安全綜合計劃,目的是開發下一代能動型網絡信息保護系統,為信息通信系統提供自動保護。在政企合作方面,韓國政府鼓勵政府部門和民間企業對重要信息加密,要求主要IT設施具備數據備份功能,并構筑災難恢復系統。
美國:強調關鍵基礎設施安全
美國加快了制定網絡空間安全戰略的力度和步伐。奧巴馬政府上臺后動作不斷,白宮相繼發布了《信息共享國家戰略》、《國家安全戰略》、《網絡空間政策評估報告》、《網絡空間可信身份國家戰略》、《網絡空間國際戰略》、《2012年信息共享與安全保障國家戰略》。隨后,美國國防部、國土安全部、商務部先后推出了本部門網絡安全戰略。同時,美國近年不斷加強網絡部隊的建設,已成為全球最主要的網絡攻擊策源地,2013年計劃新增40支網絡小隊,其中明確有13支的重點是進攻,另外27支的重點是培訓和監控。2013年6月,美國“棱鏡”等互聯網監視項目曝光。
美國依靠其在信息技術和產業上的巨大優勢,繞過各國的信息安全防護,實現了對整個國際網絡空間的監控。
根據美國關鍵基礎設施公司的報告數據,美國網絡安全事件數量從2009年的9起、2010年的41起,急劇增加到2011年的198起。由此,包括美國國防部長在內的眾多政府高級官員呼吁國會通過相關法律,有效保護關鍵基礎設施網絡安全,保障美國經濟穩定。2013年2月,美國總統奧巴馬簽署了名為《關于提升關鍵基礎設施網絡安全的決定》的行政令,旨在保護國家基礎設施免受網絡攻擊。奧巴馬在國情咨文中表示,“黑客們竊取人們的身份信息、入侵私人郵件、竊取企業秘密,試圖破壞電力網、金融機構和空中交通管制系統”。
該行政令的主要內容包括:在國家層面上,美國總統正式認定“信息戰”會一直持續下去,是目前顯而易見的威脅。政府將與私營部門合作建立“網絡安全框架”,實現網絡攻擊與威脅信息的共享,從而降低關鍵基礎設施的網絡安全風險。如何降低“關鍵基礎設施的網絡安全風險”的基本框架將由美國國家標準與技術研究所(NIST)制定。該基本框架包含一套標準、方法、步驟、流程,以及應對網絡安全風險的非指定的技術手段。“網絡安全框架”的建立有助于將現有的政府項目向私營部門擴展,這樣能讓更多的私營部門的專家在一段時間內為政府服務。與此同時,該行政令規定了建立“網絡安全框架”的具體時間表,以及“網絡安全框架”對隱私狀況的影響的評估報告。行政令呼吁政府和機構加強政策協調,實現更廣泛的信息共享,但是該行政令并不具有和法律同等的效力,白宮期望能借此引入立法機制。
《關于提升關鍵基礎設施網絡安全的決定》的行政令意在擴大聯邦政府與私營企業合作的深度與廣度,以加強“關鍵基礎設施”部門的網絡安全管理與風險應對能力。該行政命令通過提供法律依據、行政支持的方式從信息共享與加強安全措施兩個方面提高“關鍵基礎設施”網絡安全,如擴大網絡安全強化服務項目范圍,制定降低“關鍵基礎設施網絡安全風險”的基本框架體系;充分利用網絡安全框架規范,評估、修訂各管理機構現行的網絡安全規范等。值得注意的是,該行政命令對上述措施實施過程的執行時間、執行流程和責任主體要求明確,使得此行政命令行之有效。
歐洲:推行網絡安全戰略
2013年2月,歐盟委員會公布了《網絡安全戰略》,出臺這一戰略的根本目的在于構建一個“公開、自由和安全”的網絡空間,就如何預防和應對網絡中斷和襲擊提出全面規劃,以確保數字經濟安全發展。“棱鏡門”事件也使得這一戰略更為實際,歐盟已經加速其數據安全法律的制定。
根據該戰略,歐盟在網絡安全方面有五項優先工作:提升網絡的抗打擊能力、大幅減少網絡犯罪、在歐盟共同防務的框架下制定網絡防御政策和發展防御能力、發展網絡安全方面的工業和技術、為歐盟制定國際網絡空間政策。該戰略還提出一項立法建議,要求關鍵機構在遭受網絡襲擊時要向歐盟匯報,包括重要基礎設施的提供商、關鍵的網絡企業和公共行政部門。歐盟還要求各成員國制定相應戰略,成立專門機構以預防和處理網絡安全風險和事故,并與歐盟委員會共享早期風險預警信息。該戰略明確了各利益相關方的權利和責任,從國家、歐盟和國際三個層面,明確了各利益相關方在維護網絡安全過程中的角色——在國家層面,要求各成員國制定相關計劃,同時促進國家機構與私營企業之間的信息共享;在歐盟層面,鼓勵NIS主管部門、執法部門和國防部門開展合作,并重點推動政府部門間的信息共享;在國際層面,強調要加強與伙伴國及歐洲理事會、歐安組織等國際組織的合作。根據安全事件性質和影響程度的不同,該戰略對發生重大網絡事件時的快速響應機制也做了相應界定。
為有效應對網絡安全挑戰,該戰略確定了五大優先戰略任務和行動路徑:一是提升網絡恢復能力。要求成員國在政策、體制、意識、培訓方面步調一致,以共享機制促進各國合作,提高公眾網絡安全意識和防御技能。二是強力打擊網絡犯罪。在法律、體制、能力建設方面形成合力,確定制止網絡犯罪的最佳實踐和可行技術。三是制定網絡防御政策。在歐盟網絡防御政策框架制定之下,借助北約軍民力量,增強歐盟網絡防御能力。四是尋求更多行業技術資源支持。以一個多方共同參與的平臺,在市場、標準、方案等方面加大投入,促進創新。五是推動雙邊多邊合作。強調與美國的雙邊合作,尋求與歐洲理事會、經合組織、聯合國、歐洲安全組織、東盟等之間的多邊合作。
日本:轉向網絡安全威脅防御
2013年6月10日,日本國家信息安全中心(National Information Security Center,NISC)發布了《網絡安全戰略》,旨在創建“領先、彈性、活力的網絡空間”,實現“網絡安全立國”。據日本獨立行政法人情報通信研究機構相關調查數據:2013年日本遭受海外大規模網絡攻擊達128億次,上升趨勢明顯,盡管日本全國已經設置了21萬個網絡監控系統,但是依然難以抵御來自黑客的攻擊。基于此背景,日本不得不改變原有的信息安全保障防護的策略,著手制定出新的網絡安全國家戰略,旨在適應新形勢變化,通過多項措施加強網絡空間安全保障。
《網絡安全戰略》主要內容是:首先,明確日本網絡安全戰略目標和基本原則。戰略目標是,通過發展“領先世界”、“彈性”和“有活力”的網絡空間,確保國家安全和危機管理、社會經濟發展、內外部公共安全,實現一個能有效防范網絡攻擊、充滿創新的社會。基本原則一是確保信息的自由流動,二是提供新的措施應對日益嚴重的網絡安全風險,三是增強基于風險的響應,四是網絡安全參與各方基于各方的社會責任采取行動和與他人合作。其次,明確網絡安全參與各方和職責。參與各方包括國家、關鍵基礎設施服務提供者、產業界和學術界、用戶和中小企業、網絡空間相關機構。國家負責網絡空間外交、國防和網絡犯罪打擊,增強處理上述三方面事務的能力。國家將賦予國家信息安全中心更多的權力,以使其成為網絡空間的指揮者,并在2016年底前完成對該中心的重組。信息通信技術、金融、航空、鐵路、電力、石油石化等十大關鍵基礎設施部門的服務提供者負責增強各自的網絡安全措施。產業界和學術界共同促進先進技術研發和信息安全人才培養。網絡空間相關機構負責信息技術產品脆弱性分析、網絡安全事件分析等。
日本《網絡安全戰略》首次采用了“網絡安全”的概念,而不是以前戰略中的“信息安全”,標志著日本對安全威脅認識的整體轉變。其中:一是日本政府將賦予國家信息安全中心更多權力,使其在網絡威脅應對中承擔“指揮官”角色,旨在形成網絡空間的國家合力。二是日本將重新界定關鍵基礎設施,不僅僅包括原有10類關鍵基礎設施行業和部門,主要是針對日益變化的網絡安全威脅。三是繼續加強“官民協作”,實現與企業的信息共享,提高民眾網絡安全意識,使得監測、發現威脅并防范網絡攻擊的能力有效提高。四是基于現有的網絡空間國際法,加強與美國之間的國際合作。
中國:建立日益完善的信息安全體系
近三年,中國在網絡安全政策、產業、技術等方面取得較大進展,國家對網絡安全的重視程度日益提高,網絡安全投入大幅增加,政策環境得到明顯改善;等級保護工作全面推進,測評認證工作取得較大進展,涉密信息系統分級保護快速發展,法律法規體系和標準化體系不斷完善,網絡安全基礎保障工作得到顯著加強;產業規模快速增長,企業實力進一步壯大,自主產品市場份額逐步增多,網絡安全產業支撐能力得到大幅提升;安全操作系統、安全芯片等基礎技術取得一定進展,自主密碼技術取得較大突破,安全認證技術、可信計算技術取得豐碩成果,網絡安全技術體系得到不斷完善;政府間網絡交流取得積極進展,標準化工作逐步融入國際體系,個別有實力的信息安全企業向國際市場進軍,網絡安全領域國際合作邁出實質性步伐。
目前來看,中國已建立起信息安全標準化體系、信息安全產品的認證認可體系、信息安全等級保護體系,亦出臺了一系列信息安全方面的法律法規。“棱鏡門”后,中國對安全保障的重視程度更是達到前所未有的高度,2014年1月24日成立了國家安全委員會。
摘自 中國計算機報
北京市公安局海淀分局備案號:11010802023656號