(电子商务研究中心讯) 美国是互联网产业最为发达的国家,在互联网安全战略方面经验丰富,如《电信法》要求互联网基础建设要留警用接口接受政府部门监督审查,由国土安全部等多个部门参与美国国家网络安全综合计划等。另外,日本、印度、巴西等和中国一样处于互联网发展第二梯队的国家,也都在国家网络安全、信息安全方面进行了相关综合统筹和立法,值得中国借鉴。
启示一:顶层设计网络空间国家安全战略
中国计算机协会计算机安全委员会主任严明说,截至目前,已有40多个国家颁布了网络空间国家安全战略。德国与法国目前也在探讨建立欧洲独立互联网,拟从战略层面绕开美国以强化数据安全。另外,欧盟三大领导机构也明确表示,计划在2014年底通过欧洲数据保护改革方案。
作为中国亚洲邻国,日本和印度也一直在积极行动。日本2013年6月出台《网络安全战略》,明确提出“网络安全立国”。印度2013年5月出台《国家网络安全策略》,目标是建立“安全可信的计算机环境”。
2009年,日本政府批准了从2009年到2011年的第二个国家信息安全战略计划。这个三年计划包括四个主题:中央和地方政府、关键基础设施、商业团体和个人。其中,政策的四分之一针对改进中央和地方政府;在关于关键基础设施和商业团体的部分,私人企业起行动主体的作用,而政府则提供支持。
一些发展中国家也在通过立法等途径保障国家互联网信息安全。
今年3月,巴西国会众院表决通过《互联网民法》草案,该法被视为“网络宪法”,明确了互联网用户、企业和公共机构在巴使用互联网的权利和义务,包括言论自由、网络中立和隐私保护。两年前该法案即呈国会审议,但因涉及多方利益,一直遇到较大阻力,几近搁浅。
美国“监控门”事件爆发后,巴政府对草案作出重大修改。鉴于将在圣保罗举行全球互联网管理国际大会,巴政府被迫删除或修改民法中多数争议较大的条款,以求在大会召开前通过该法律。被删除的条款中,包括强制要求国际互联网巨头在巴西设立本土数据中心。但法律另行规定,要求跨国互联网公司作出承诺,在国外存储巴西公民信息时,应遵守巴相关法律,以防这些信息被窃取。
启示二:多位一体审查机制全覆盖
在美国,互联网基础建设过程中日常审查机制极为严格细致,国土安全部、FBI等多个部门共同参与。曾在美国工作近10年的国家千人计划特聘专家彭杨说,他在美国参与互联网基础设施建设的过程中发现,企业安装的任何一个交换机,都必须按照FBI等政府职能部门要求的标准进行施工,比如留警用接口等,而且FBI还会进行检测是否合格,这些都是美国《电信法》法律明确规定的,企业和个人都是理所当然的认为就应该这样做。但中国几大通讯运营商都未采取上述做法,国家尚未提出类似要求。
据介绍,美国早在2008年就制定了国家网络安全综合计划CNCI计划,即美国第54号国家安全总统令,2010年解密了部分内容。
该计划主要由以下四个机构负责:
国土安全部主要负责保护民用机构信息系统安全,减少和合并外部接入点,部署被动网络传感器,并确定公共和私营伙伴关系;
国防部负责监测军事情报系统,提高涉密网络的安全性,部署入侵防御系统等;
国家情报总监办公室监控情报界信息系统,以及其他与情报相关的活动,包括制定政府范围的网络反情报计划;
科学和技术政策办公室负责提供国内和国际事务科学技术影响的建议,负责关注先进技术的研究和发展。
该计划主要是为了实现下面三个重要目标,进而保护美国的网络空间安全。
第一,通过在联邦政府(最终将在州、地方和部族政府以及私营领域合作者)内部创建和增强对网络漏洞、威胁和事件的共享态势感知能力和对减少当前漏洞及防止入侵的快速反应能力,进而建立一个防御线以抵御当前面临的威胁;
第二,通过增强美国的反情报能力和增进关键信息技术供应链的安全,进而实现应对全方位威胁的防御能力;
第三,通过扩大网络教育、协调和重新定位整个联邦政府内的研发工作,以及致力于明确和制定相关战略,以阻止敌对和恶意的网络空间行动等措施,进而巩固未来的网络空间环境安全。
CNCI是涉及美国国家网络空间安全的一项庞大的综合计划,也是美国政府出台的一项网络空间安全综合战略。它对打造和构建美国网络空间安全具有现实和长远的战略性指导意义,是一份美国网络空间安全历史上具有划时代的里程碑式的纲领性法规性文献,同时也是奥巴马上台后,对美国的网络安全战略及政策进行一系列重大调整的主要依据。
启示三:开展网络攻防演习储备网战能力
除了在平常工作中进行的严格审查制度,自2006年以来,美国还进行了3次网络作战演练,而且一次更比一次动员规模大、投入力度强,用于全面检验美国政府各机构应对大规模网络攻击的紧急反应和“全面康复”能力。
2006年,美国举行首次“网络风暴”演习时,策划者制定了“黑客”大规模袭击通讯、信息、能源和航空巨头的情景,而今年则要模拟外国、恐怖组织和“阴谋分子”袭击美国的通讯、化工、管道运输以及铁路运输部门的情况。
2008年,美国举行代号“网络风暴Ⅱ”的网络战争演习,在美国9个州举行。18个联邦机构的信息技术专家和事故应急小组代表将参加本次演习,具体包括中情局、国防部、联邦调查局、国家安全局,以及宾夕法尼亚州、弗吉尼亚州和特拉华州等9个州的地方官员。
此外,像思科、微软、Dow化学公司和MaAfee公司等40余家高科技信息企业也派代表参加。而美国的4个盟国澳大利亚、新西兰、加拿大和英国也参加了此次演习。
2010年,美国举行“网络风暴3”演习,美国国土安全部会同商务部、国防部、能源部、司法部、交通部和财政部,联合11个州和60家私营企业,及12个伙伴国,包括澳大利亚、英国、加拿大、法国、德国、匈牙利、日本、意大利、荷兰、新西兰、瑞典及瑞士,其主要内容是针对互联网身份认证系统和域名系统的攻防战。数以千计的参演人员将应对1500起以上模拟事件,演习设想的网络攻击后果包括生命损失及通信或电力系统等重要公私部门运作受重创。
据《国际先驱导报》报道,早在2006年,美空军就在其颁布的《空军战略计划》中明确把网络空间正式界定为一个新的作战领域。在这一方针的指导下,美军加紧了网络战司令部的组建工作,并在级别定位时将其与作战司令部等设为平级,同属美空军一级司令部。
美国空军对网络战司令部采取“分布式”结构。他们会在路易斯安那州巴克斯代尔空军基地保留一个临时性的司令部,同时在全国军事基地分布541个具备实战功能的子司令部。(文程士华 南婷 编选:网经社)