安全,我们比比谁的调门高

自从计算机和网络进入人们的生活中,安全这个话题就一直绕不开。只不过,最早以前的安全,只是几个民营企业收钱替你杀杀病毒,而今天的安全则突然成为可以江山易主、毁国灭家的国之利器,使得人们谈到它的时候,不正襟危坐振臂高呼就不能凸显其战略地位。

美国

将网络安全提升到国家战略层面,是美国的创举。自此以后大多数的战略制定、布局、扩张和执行,以至到新概念、新技术和新领域,每每都出于美国。相对于克林顿的沉稳、小布什的张扬、奥巴马的专业,现任总统特朗普在安全战略的制定上显得相当拘谨。2017年的美国也罕见地没有在网络安全方面发布重磅消息。

美国总统特朗普在竞选期间就曾声称,“要让美国真正安全起来,我们必须把网络安全放到首要位置”。虽然特朗普政府至今尚未出台任何有关网络安全的重大政策,但分析近年来美国颁布的有关网络安全的重要文件,以及特朗普的相关表态,美国网络空间安全战略在以下几个方面的调整值得关注。

突出政府在网络防护中的主导作用

一方面,建立统一的安全标准。另一方面,加强危机的综合应对。

2017年1月,特朗普上台后,即提出将建立由军方、执法机构和私营部门组成的网络审查小组。该小组将审查包括关键基础设施在内的美国网络防御的状况。为保护重要的关键基础设施,政府将公开所有网络漏洞,并建立先进的网络攻防系统。可以看出,美国政府对网络空间关键基础设施将采取更加积极的保护措施。

加大公众网络安全意识的培育力度

近年,美国网络安全事件频发。“大选中的邮件门事件”、“大规模互联网瘫痪事件”等给美国政治、经济、社会安全带来严重影响。其中不少事件的起因源于网络使用者不良的上网习惯和网络安全意识的淡漠。2016 年2月,奥巴马政府发布的《网络安全国家行动计划》指出,美国公民在网络上的隐私和安全,与国家安全和经济状况紧密相关,甚至由总统“呼吁当登录在线账户时,不要仅仅使用密码,要利用多重身份验证”。同年12月,美国国家网络安全促进委员会在对美国网络安全状况进行全面评估的基础上,发布了《加强国家网络安全——促进数字经济的安全与发展》报告。该报告提出的九大网络挑战中,有两项涉及网络安全意识问题,即在强大市场压力下,科技公司忙于快速创新及上市,网络安全常常被忽略;大部分企业以及个人仍未遵循网络安全保障的基本要求,未采取基本的防护措施。上述政策报告虽然被认为是奥巴马政府的“政治遗产”,但反映了美国精英阶层对网络威胁的判断。其具体举措特朗普政府未必采纳,但从客观需要和长远发展看,加强公众网络安全意识与教育是维护国家网络安全的重要方面。

突显军队维护网络安全的特殊作用

首先,拓展军队的职能任务。其次,发展进攻性网络力量。2016年12月,美国国会参众两院通过了“2017年国防授权法案”。该法案提出,网络空间司令部将升级为一级联合司令部。这将使美军网络作战指挥体制更加扁平高效,也使网络部队的作战地位得到进一步提升。第三,融入国家网络安全的各个层面。军队将与政府各部门、企业,以及其他国家与国际组织进行紧密合作。在这些合作中,美军对其发挥作用的定位已由“支持协调”转向“主动塑造”。

积极抢占网络空间国际规则制定权

2010年以来,国际社会在运用国际法规范网络空间秩序方面逐步形成共识。2012年9月,美国国务院法律顾问高洪柱在网络空间司令部发表关于“网络空间的国际法”的演讲,强调武装冲突法在网络空间适用的必要性和重要性,并就适用原则进行了具体阐释。2013年,北约网络防御合作卓越中心推出“塔林手册1.0版”,主要对武装冲突法适用于网络空间进行了具体解释和讨论。2015年,美国国防部进一步推出“美国国防部《战争法手册》网络作战篇”。

目前,特朗普政府并未就网络空间国际规则问题做明确的表态和说明,但抢夺“游戏规则”制定的话语权一直是美国政府一贯做法,并被认为是确保美国世界领导地位“性价比”较高的做法,因此,特朗普政府必将更为积极地争夺网络空间的国际话语权和规则制定权。

打造以自我为核心的国际网络联盟

美国认为,长期单独主导网络空间是不现实的。因此,美国政府非常重视与盟友合作共同应对网络威胁。一方面,可借助盟友在技术和情报方面的一些优势,增强应对威胁的能力;另一方面,联盟本身就是一种威慑,攻击联盟中的任何一个国家,就意味着攻击了整个联盟,这对对手有很强的慑止作用。美国主要通过共享信息、能力构建、联合训练等方式加强与盟友的合作。近年,美国与北约展开紧密合作,修订了北约网络政策和相关行动计划。澳大利亚、加拿大、新西兰、英国已经参加到美国的网络作战模拟演练中。

除了与北约盟友的合作,近年来美国还不断拓展合作对象。2015年,在美国防部颁布的“网络空间战略”中,美军将中东、亚太作为推进伙伴能力建设的重要地区。2016年8月,美国与新加坡签署网络安全合作协议。此外,美国国防部还通过深化与日本、韩国的同盟关系,提升网络能力,阻止在网络空间针对美国的攻击行为。未来,构建不同层次的网络盟友和伙伴圈,将是美国网络安全战略的重要发展方向。

英国

与老大难得的低调不同,千年跟班的英国在2017年对于网络安全的投入不可谓不大。2016年11月,英国发布新版《国家网络安全战略(2016-2021)》,重新勾勒英国未来网络安全发展路线图,意在打造一个繁荣、可靠、安全和具有弹性的网络空间,确保在网络空间的优势地位。2016年12月,英国发布《国家安全战略实施2016年度报告》,提出加强网络安全建设,并将网络安全、国家威胁及恐怖主义一起列为重中之重的威胁问题。该报告指出:英国面临的网络威胁已显著增长,既有来自国家支持的网络攻击、也有非国家支持的网络犯罪活动。2017年3月,英国正式出台《2017英国数字化战略》,提出七大战略任务:

(1)连接性:为英国建立世界一流的数字基础设施;

(2)技能与包容性:让每个人都能获取所需的数字化技能;

(3)数字领域:让英国成为建立并发展数字化业务的最佳场所;

(4)宏观经济:帮助每一家英国企业成为数字化企业;

(5)网络空间:使英国成为提供在线生活与工作环境的全球最安全场所;

(6)数字政府:确保英国政府在线民众服务处于全球领先地位;

(7)数据经济:释放数据在英国经济中的重要力量,并提高公众对使用数据的信心。

2017年2月,英国国家网络安全中心(NCSC)正式启动,以应对越来越频繁和复杂的网络攻击。该中心将邀请各界专家参与合作,研究网络安全威胁和漏洞,并对如何应对网络攻击提出建议。2017年6月,英法两国发布联合反恐声明称,两国正对不配合移除恐怖宣传信息的社交网站进行罚款强制措施,旨在保证互联网不会成为恐怖分子和罪犯逍遥法外之地。

2016年9月,英国着手建立基于DNS的国家防火墙,目的是对抗网络犯罪,更高效地屏蔽已知恶意程序,阻止钓鱼邮件使用恶意域名进行网络犯罪。2016年10月,英国禁止部长级官员在政府会议期间佩戴Apple“智能手表”,原因是黑客能将Apple Watch用作窃听设备。2016年11月,英国交通系统技术发展中心称,随着信息技术的快速发展,英国交通运输业面临越来越大的网络安全威胁,将投入更多资源加强网络安全防范。2016年12月,英国议会督促情报机构政府通信总部,加大力度帮助金融业加强网络安全,应对不断升级的网络犯罪。英国议会表示,政府通信总部更侧重于恐怖主义和相关国家发起的网络攻击,而忽视了针对金融业的网络攻击。一系列举措表明,英国希望在关键基础设施领域和国家整体构建一个安全防控网。

德国

作为自诩为欧洲领头羊的德国,当然不能让英国专美,尤其是在它公决脱离欧盟之后。

2016年8月,德国联邦参议院通过一项新信息安全法案,要求关键基础设施机构和服务商必须执行新的信息安全规定,否则将被处以最高10万欧元的罚款。同时,还要执行一个最低的网络安全标准,并及时向德国联邦信息安全局报告所有针对其系统的网络攻击情况。2016年9月,德国联邦经济部发布了《数字化行动纲要》,制定了12项针对未来数字化发展的措施,以吸引更多风投资金并促进中型企业数字化转型,最终目的是在德国建设“大型数字化枢纽网络”。2016年11月,德国发布一项新的网络安全战略计划,以应对越来越多针对政府机构、关键基础设施、企业以及公民的网络威胁。新战略要求在联邦信息安全办公室建立一支快速反应部队,类似于联邦警署、国内情报机构以及政府部门内设的快速反应小组。

2017年4月1日,德国军方宣布正式成立网络与信息空间司令部,将与陆军、海军、空军并列,共同构成德国联邦国防军体系,主要任务为运营并保护军方自有的各类IT基础设施和计算机辅助武器系统,同时亦负责网络威胁监测活动,国家与政府IT系统的安全保障工作仍然由负责监督国内各反间谍活动安全机构的内政部进行管理。网络与信息空间司令部设在德国波恩,起步由260名信息技术专家组成,将着力发展网络攻击能力。预计到2021年,人员规模将扩充至14500人,具备全面作战能力。

德国网络与信息空间司令部是欧盟成员国中第一个网络司令部,其总司令希望凭借着这支全新数字化部队,在北约联盟中发挥主导作用。德国网络与信息空间司令部的成立可能触发其他成员国加快组建独立网络部队的进程,以加强网络作战能力和区域主导力量。

欧盟

而作为地区名义老大的欧盟,自然对于网络安全也要有个态度。

2017年1月,欧盟委员会提议制定一项新法案《隐私与电子通信条例》,该条例是《一般数据保护条例》的补充,将取代现有的《电子隐私指令》。新法案首次将即时通讯、VoIP 等OTT 服务商纳入与传统电信服务商一样的隐私监管范围,对通信内容及标记通信内容的元数据一并纳入电子通信数据的保护范畴。2017年4月,欧盟通过全球数据保护法规(GDPR),于2018年5月25日正式生效。新法规将直接或间接识别个人身份的数据全部纳入管理范畴,对数据收集、存储、处理、跨境传输等各环节进行了规范,任何违反GDPR的行为都将面临1000万到2000万欧元或企业全球年营业额的2%到4%的行政处罚。

2017年2月,欧盟网络和信息安全机构发布数字服务安全措施指南报告,该报告是关于数字服务提供商实施最低安全措施的技术指南,以帮助成员国和数字服务提供商制定切实可靠的信息安全措施。2017年6月,欧盟理事会推出“网络外交工具箱”联合框架,以指导成员国统一应对恶意网络活动,并对恶意攻击者采取惩罚措施。

2016年8月,欧盟委员会与业界建立第一个欧洲网络安全公私合作伙伴关系,预计至2020年将投入18亿欧元,以更好地应对网络攻击,并加强其网络安全部门的竞争力。伙伴关系包括来自欧盟和各成员国、各地区以及当地的公共管理机构、研究中心以及学术界的成员,旨在促进研究和创新过程早期阶段的合作,并为能源、卫生、交通和金融等多个行业制定网络安全解决方案。2017年4月,部分欧盟成员国和北约成员国签署了《谅解备忘录》,将在赫尔辛基建立一个应对网络攻击、政治宣传和虚假信息等问题的安全研究中心。

可以预见,未来的十年,或者五十年里,网络安全依然是一个无法忽视的问题。一方面,来自网络的威胁和风险确实存在,一方面,越来越多的利益团体希望分享这个潜力和生命无限的市场。所有涉足其中的人都清楚,只有共同——包括攻击者和防御者——把这个市场做大,大家的饭才会吃得香,吃得饱。

基于同样的道理,未来全球的网络安全建设势必掀起一轮又一轮的高潮,海量的资金、各种级别的规划和战略、以及层出不穷的概念和技术会如同潮汐一样,不断地涌入进来。即使这种亢奋的冲击偏离了网络安全的初衷,但这种热情依然不会消减。

至于这种巨大投入的后果,我们不妨拭目以待。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180102B085MQ00?refer=cp_1026

同媒体快讯

相关快讯

扫码关注云+社区