《全球化背景的网络安全新思维:他国镜鉴及其下一步》由会员分享,可在线阅读,更多相关《全球化背景的网络安全新思维:他国镜鉴及其下一步(9页珍藏版)》请在金锄头文库上搜索。
1、全球化背景的网络安全新思维:他国镜鉴及其下一步摘要:随着IT产业和信息化的深入发展,网络安全日益成为国家安全的重要 组成部分。当前,世界各主要国家都将网络安全提升到国家战略层面去认识、规 划和管理,甚至是将其列为传统安全威胁的一个方面。在构建网络安全新思维方 面,无论是IT技术和信息化建设比较领先的英法还是IT技术和信息化建设不算 先进的俄罗斯,都从各自国家战略利益出发,发展出相应的国家网络安全新思维。 我国有必要在中央网络安全和信息化领导小组的总体架构下,充分认识和理解网 络安全的国际最新发展趋势,不断完善体制机制,构建具有中国特色的网络安全 战略框架。关键词:网络安全;国家安全;信息化建设
2、;2014年是中国接入国际互联网 20 周年。在这20 年的时间里,我国的互联网 行业抓住机遇、快速发展,成绩斐然,我国已经成为名副其实的网络大国。但是, 我国远非网络强国,我国网络安全正遭受较大威胁。在这样的背景下,我国于2014 年 2 月 27 日成立中央网络安全和信息化领导小组(以下简称“领导小组”)。借鉴 国际经验,加强和完善网络安全和信息化建设领导体制机制,为国民经济和社会 发展信息化提供强有力的组织制度保障,就显得尤为紧迫。一、网络安全和信息化领导机构建设的国际经验网络安全随着 IT 产业以及信息化建设的深入发展而变得日益重要。近年来 越来越多的国家开始将网络安全纳入国家安全范畴
3、,各国都认识到了网络安全的 重要性,并开始加快相应的组织机构建设步伐。在网络安全战略发展方面,英国、 俄罗斯和法国各具特色,具有比较显著的代表性,对建立完善我国网络安全和信 息化建设的新型领导体制具有重要的参考价值。(一)英国的网络安全战略与管理机构设置信息网络时代,欧美发达国家占据了信息化潮流的先机。在英国,随着信息 化战略的不断推进,国家经济社会生活对网络空间的依赖性也不断增强,越来越 感受到信息安全的威胁。近年来英国政府基于自身的历史使命,充分利用信息网 络的作用,逐步演化、发展出一套全面系统的网络空间战略,并通过设置相应的 机构、出台配套的法律进行保障。1. 国家网络安全战略英国充分认
4、识到信息安全对国家安全和经济社会发展的重要影响,将信息安 全列为国家安全战略的重要组成部分,确立了信息安全战略的重要地位,网络安 全也越来越受到英国的重视。近年来,英国不断制定国家层面的信息安全战略规划,连续发布了两份国家 网络安全战略。2009 年 6 月,英国首次发布英国网络安全战略报告,该报告 的出台对英国国家安全战略的发展产生了深远影响。1该战略报告论述了如何通 过综合建设和使用网络安全力量,追求网络安全优势。明确了英国网络安全战略 的目标,即降低使用网络空间的风险和充分利用网络空间,从而保证英国在网络 信息空间中的利益。构建了新的网络安全体制,成立了两个新的跨部门的网络安 全管理机构
5、:网络安全办公室和网络安全行动中心。2011年 11月,英国又发布了英国网络安全战略:在数字世界里保护英国并 促进国家发展,旨在加强英国对网络威胁的恢复能力,并建立以政府通信总部为 中心的监测网络。2在新的国家网络安全战略报告中,英国表示将建立更加可信 和适应性更强的数字环境,以实现经济繁荣,保护国家安全和公众生活;并加强 政府与私有部门的合作,共同创造安全的网络环境和良好的商业环境。鉴于互联 网对社会、政治和经济增长的重要作用,新战略不仅针对威胁国家安全的恐怖主 义,也将打击危害公众日常生活的网络犯罪,防范威胁网络安全的各种因素(1)。除发布两份国家网络安全战略外,2010 年 10 月英国
6、政府还发布了国家安全 战略报告不稳定时代中的强大英国:国家安全战略,将网络安全界定为 一级威胁3,开始启动新的国家网络安全计划。可见英国政府高度重视信息安全, 三年之内出台了两次国家网络安全战略,在国家安全战略中也将网络安全战略置 于重要地位。英国网络安全战略的总体愿景是构建一个充满活力的安全的网络空 间,并以此促进经济繁荣、国家安全和社会稳定。英国的网络安全战略更关注于 维护本国网络安全、加强本国网络安全产业竞争力、创造新的商业机遇,将网络 安全作为新的经济增长点,从而促进经济增长和经济繁荣。4它强调政府间的跨 部门协作和国际合作;注重发动社会的力量,鼓励全民参与;坚持技术为本,立足 于网络
7、安全技术的发展和更新;坚持积极防御和主动出击相结合。2. 网络安全管理机构的设置为贯彻执行网络安全战略,英国政府也在网络安全管理体制方面不断地进行 相应的调整,以使之更好地保障英国的国家安全,并日益成为实现英国国家战略 目标的崭新武器。在维护网络安全方面,英国政府并没有设置全国统一的机构, 而是在明确各部门职责分工的基础上加强统筹协作。英国政府与网络安全管理相 关的机构设置及其职责如表1(下页)所示。英国有着深厚的自由主义传统,这一传统也体现在英国的互联网管理上,它 的特点是轻政府管制、重社会自治。5因此,在维护网络安全方面,除设置相应 的政府部门行使职权外,自律组织和独立的规制机构也发挥着重
8、要作用。英国形 成了以网络观察基金组织(InternetWatchFoundation, IWF)为中心的行业自律体 系,IWF是1996年由英国网络服务提供商自发成立的半官方组织,其前身是原来 的安全网络基金会6,在英国城市警察署、内政部和英国贸易工业部的支持下开 展日常工作。在规制方面,英国通讯办公室(OfficeofCommunication, Ofcom)是根 据2003 通信法成立的独立的规制机构,统一监管广播电视和电信机构,拥有 高度的自主权,政府无权干涉其监管工作。2013年 3月,英国国家通信总局、政府通信总部、军情五处等情报机构和160 家英国企业共同宣布成立“网络安全信息共
9、享合作机制”(CyberSecuritylnformationSharingPartnership),政府、警方和企业都会派专家 支持该机制,保证一旦出现网络攻击,机制内的所有参与者都能从一个安全网络 门户获得共享信息,包括实时报警、网络攻击的技术细节及手段、应对措施等。 7在维护网络安全方面,英国形成了政府、行业、领域和社会密切联系、互相配 合的共管机制,并鼓励公众的广泛参与。83. 立法保障和行业自律自 20 世纪 90 年代以来,英国出台了很多互联网及相关领域的立法,网络自 治自律机制也在不断发展。英国在网络管理方面的主要做法就是立法保障和行业 自律,并辅之以政府指导。9在网络监管方面,
10、英国拥有比较完善的法律框架, 建立了完善的法律法规基础。最初关于互联网的立法,主要侧重于保护关键性信 息基础设施,随着互联网的不断发展,逐渐开始强调网络信息的安全,加强对网 络犯罪的打击。如规管调查权法明确赋予了相关机构的监听权力;防止滥用 电脑法旨在打击互联网犯罪;数据保护权法隐私和电子通信条例旨在保护 个人隐私。10除立法外,自律协议也发挥着重要作用,IWF为鼓励互联网从业者 自律,于1996年颁布了3R( 1)安全规则,这是国际上第一个网络监管的行业性 法规,对提供网络服务的机构、终端用户和编发信息的网络新闻组进行了明确的 职责分工。在控制和监管网络非法信息方面,行业自律发挥着重要的作用
11、。(二) 俄罗斯的网络安全管理体系为保障国民经济和社会发展信息化,俄罗斯建立了一套系统有效的网络安全 管理体制,从战略思维、组织保障、法律法规体系以及管理制度建设等多层次、多 角度地建立起综合立体的网络安全管理体系。1. 俄罗斯信息安全战略思维:国家信息安全学说随着信息化建设步伐的加快,俄罗斯对国家信息安全的重视程度也日益提高, 信息安全被纳入国家安全战略。为此,俄罗斯政府采取了一系列行之有效的措施, 从 1997 年起,就开始认真考虑如何推进本国的信息网络化建设,并重新提出要深 入研讨信息网络时代的国家安全问题以及建立有关国家网络安全机构的设想。此 后,俄安全会议组织有关部门专家、学者着手制
12、定俄联邦信息安全架构。2000 年 6月23日,国家信息安全学说讨论通过,为俄罗斯制定进一步的信息网络安全 政策奠定了基础。该学说将“信息战”问题放在突出地位,认为未来国家安全利益 面临着来自外部信息攻击的严重威胁。该学说主张加强信息对抗准备,要求成立 国家信息安全与信息对抗领导机构,建立特种信息部队,组织相关技术领域的关 键技术攻关等。学说的发表,表明俄罗斯已经将信息安全提升到国家战略高度, 它为俄罗斯“构建未来国家信息政策大厦”奠定了基础,被视作加强信息安全的 重要举措,为该领域国家政策的制定和专门立法活动提供了纲领性指导。此后,俄罗斯基于该学说主要精神,分别制定了2010年前俄罗斯信息化
13、发 展纲要、2002年至2010年电子俄罗斯联邦目标规划、俄罗斯联邦信息社会发展战略等,进一步丰富和完善了该学说的精神内涵。2. 健全的信息安全管理机构为贯彻落实以“国家信息安全学说”为主要内容的信息网络安全战略思想, 俄罗斯逐步建立、完善了其信息化和网络安全管理组织体系(见表 2)。这一系列旨在维护国家网络安全的专门机构和组织,分工明确、职权清晰, 可以更好地执行落实国家信息安全政策措施和法令法规。除此之外,俄罗斯联邦 安全局还与国防部、对外情报局、内务部及其他单位密切合作。3. 完善的信息安全立法体系俄罗斯重视信息领域的政策研究和法律规范制定,已经形成以联邦宪法规定 为立法依据,以信息、信
14、息技术和信息保护法为立法基础,以俄罗斯国家安 全构想、国家信息安全学说及2020 年前俄罗斯国家安全战略等若干纲领 性文件为立法的政策指导和理论依托,以具体的法律规范为立法支撑,以专门机 构的具体措施为立法保障的较为完善的信息安全立法体系(见表 3)。114. 完善的信息安全保障管理制度2004 年,俄罗斯进一步明确了信息安全保障体系的优先发展方向,包括发展 信息安全保障体系、改进并研制新的信息安全保障方法和手段、改进信息安全机 制、建立信息安全分析模型和方法、评估信息保护等级和发展信息质量管理系统 等。2011 年,俄罗斯联合中国、塔吉克斯坦、乌兹别克斯坦共同起草信息安全 国际行为准则,呼吁
15、各国在联合国框架内展开进一步讨论,并希望各国尽早就规 范网络空间行为的规则达成共识。在 2012年的国际电信大会上,俄罗斯提出议案, 认为成员国政府对互联网管理以及各国在互联网资源分配等方面拥有平等权利, 加强政府在互联网发展与管理中的作用。俄罗斯在加强信息安全组织机构建设的同时,还建立了多种信息安全制度: 强制认证制度,对信息加密保护设备进行认证,对从事保护国家秘密领域的活动 实行许可制度,统一信息保护设备和方式的标准;国家干预和调控制度,在信息 安全技术市场上实行国家干预和调控,保证优先发展特种信息保护设备和保护国 家机密的手段;数据恢复与备份制度,注重数据的灾难恢复和备份工作,大力普 及
16、和推广应对灾难恢复的软件产品;网络信息检查制度,对互联网传播的信息进 行监督检查,对个人在保护信息系统中的行为以及培养保障俄联邦信息安全干部 的情况进行监督;安全评估制度,制定计算机系统安全评估标准等。13俄联邦 还根据各个领域信息安全状况的特定因素制定不同的手段和方法,如经济领域、 科学技术领域、国内政策领域、对外政策领域、国防领域等。俄罗斯建立了一支特种网络部队,负责网络战的防护与实施。在积极关注网 络斗争的同时,俄罗斯也特别注重有关信息网络安全法律的制定。为专门探讨和 制定信息网络安全政策,俄罗斯在联邦安全会议下特设了“信息网络安全政策委 员会”。俄总统通过联邦安全会议、总统的国家安全助理和有关部委,对信息网络 安全工作进行直接领导和监督。俄罗斯保障信息网络安全的实施机制,是由有关 的联邦执行权力机关和地方执行权力机关组成
