全球信息安全生态一瞥
- 来源:中国计算机报 smarty:if $article.tag?>
- 关键字:信息安全 smarty:/if?>
- 发布时间:2014-08-19 12:34
这是一个没有硝烟的战场。政府加强网络监管,企业建设信息安全体系……网络攻防,各有奇招。
2013年,“棱镜计划”的曝光使得美国政府及其合作企业假以国家安全为由,在全球范围内展开的网络攻击、信息窃听围猎行为得以败露;叙利亚内战中由双方黑客参与的网络空间攻防再次证明,信息安全已经成为现代化战争的重要组成;CISCO、D-Link、Tenda等多家主流路由器厂商产品后门披露引发网络安全恐慌;“Heartbleed”大型安全漏洞浮出水面,数亿用户面临安全风险……
伴随着这一系列事件和全球信息化进程的推进、新信息技术的应用,以及全球网络犯罪与攻击行为的蔓延,政府、企业和个人都表现出对信息安全的极大关注。各国政府都在加强网络监管,企业在信息安全体系建设上的投资不断增加,加强数据安全和隐私保护并提升IT基础设施防御能力成为全球信息安全产品的主流。
目前,全球各个国家将对信息安全建设的重视上升到国家安全军备竞争的高度,促使全球范围内的信息安全产业得以快速发展。信息安全上升到经济安全、社会安全和国家安全层面,美国、欧盟、俄罗斯、日本、中国等持续加强信息安全软硬件和安全服务的投资。全球信息安全产业的竞争已经超越传统产业的范畴,加快信息安全产业发展是国家信息安全保障体系建设工作的一项重要任务,是保证信息化建设健康推进的基本要求。
信息安全投入不断增强
世界上多数国家都将网络空间视为发展重点,高度重视加强网络战的攻防实力,发展各自的“网络威慑”能力,网络空间已经成为领土、领海、领空和太空之外的第五空间。
首先,世界各国都在加快组建网络部队,已经有美国、俄罗斯、以色列、伊朗、韩国等将近46个国家成立了网络部队,并且在逐步扩大网络部队的规模。其次,世界各国不断增加网络武器、网络安全人才等方面的投入。最后,各国不断加强网络演习,以提高网络对抗实战能力。
从资金投入上来看,美国国防部2012年在网络安全和网络技术方面的预算达到34亿美元,主要用于新一代网络武器研发方面,北约C3局(NC3A)于2012年3月份签署了合同价值约5800万欧元的网络防御投资计划,韩国于2012年投入19亿韩元启动“白色黑客”计划以培养网络安全人员。
各国纷纷建立信息安全生态体系
全世界主要国家和地区已经就信息安全着力构建了各自的生态系统,在关键技术、行业标准、评估认证体系方面都有很多切实行动。
总体看来,美国已经建立了较为完善的信息安全保障体系:信息安全技术体系、信息安全法律体系、信息安全防御体系、主管机构管理体系。美国有众多政府部门可以获得信息安全建设的相关资助,受资助单位包括美国国防部高级研究计划局、美国国家安全局、NSF、美国海军等。美国在多个领域拥有关键技术,如防火墙、入侵检测系统、容错网络、公钥密码等。此外,美国拥有一大批技术水平领先的IT企业/信息安全厂商,如思科、IBM、MS、McAfee、EMC/RSA、赛门铁克、Juniper等。
英国拥有多项国际标准,如英国BS7799标准(国际信息安全管理标准体系)已成为国际标准,并主导ISO/IEC 27000(信息安全管理系统标准族)系列标准。英国建立了完善的信息安全评估与认证体系,如由英国贸工部和通信电子安全局建立的UKITSEC体系。CESC评估机构是拥有独立管理权的信息安全评估中心,它可以帮助网络设备厂商与政府和国家安全机构一起制定相关安全保障措施。此外,英国还拥有健全的信息安全法律保障体系,如《计算机滥用法》《调查权力规范法》《电子通信法案》《电子签名法》等。
欧盟也积极建立信息安全战略体系,希望通过重大信息基础设施保护战略,来应对任何网络攻击和入侵。其战略重点是准备和预防、监测和响应、减灾和灾后恢复、推动国际和欧盟范围内的合作,以及树立ICT部门的标准。在信息安全管理机构体系方面,欧盟成立了欧洲信息安全局,用于收集、分析成员国信息和向欧盟委员会提供分析结果,提供相关咨询和帮助,增强合作,并协助欧盟与工业界对话,跟踪信息安全相关产品和服务标准的发展状况等。此外,欧盟还不断推动信息安全法规体系的完善,通过颁布决议、指令、建议、条例等组成法律框架,目前已经出台了《信息安全框架决议》、《关于打击信息系统犯罪的欧盟委员会框架决议》等法规。
俄罗斯具备全面的联邦信息安全立法体系:以《俄罗斯联邦宪法》为立法依据,以《信息、信息技术和信息保护法》为立法基础,以系列纲领性文件为立法的政策指导和理论依托,以具体的法律规范为立法支撑,以国际合作作为信息安全立法视角。俄罗斯在信息安全建设方面的特点是,信息安全法制观念强,重视纲领性文件的制定,及时修订现行法律,重视加强国际合作。至于信息安全技术体系,俄罗斯在信息安全技术上坚持自主创新、自成体系,强调数学模型与论证发挥自动控制理论的作用,注重芯片和操作系统的研发。其密码服务体系自成系统,保密性强,在金融信息安全方面与加密领域做了大量工作。
日本已经建立了较为完善的信息安全保障体系。其运作模式为:针对计算机网络信息安全管理,专门制订了一套相应的规则,以制订—引入—运用—评价—修正的步骤有序进行。日本强调官民协作,政府不断加强与民间团体、企业研究机关之间的信息交换,以求建立官民紧密协作、联动的合作机制。
韩国则注重建立信息安全防御体系,并取得了一定成果。目前,韩国拥有“三线防御体系”,即国际接口局、互联网服务商、企业,从不同角度探测和防范网络恐怖袭击的机制。韩国还制定了国家网络安全综合计划,目的是开发下一代能动型网络信息保护系统,为信息通信系统提供自动保护。在政企合作方面,韩国政府鼓励政府部门和民间企业对重要信息加密,要求主要IT设施具备数据备份功能,并构筑灾难恢复系统。
美国:强调关键基础设施安全
美国加快了制定网络空间安全战略的力度和步伐。奥巴马政府上台后动作不断,白宫相继发布了《信息共享国家战略》、《国家安全战略》、《网络空间政策评估报告》、《网络空间可信身份国家战略》、《网络空间国际战略》、《2012年信息共享与安全保障国家战略》。随后,美国国防部、国土安全部、商务部先后推出了本部门网络安全战略。同时,美国近年不断加强网络部队的建设,已成为全球最主要的网络攻击策源地,2013年计划新增40支网络小队,其中明确有13支的重点是进攻,另外27支的重点是培训和监控。2013年6月,美国“棱镜”等互联网监视项目曝光。
美国依靠其在信息技术和产业上的巨大优势,绕过各国的信息安全防护,实现了对整个国际网络空间的监控。
根据美国关键基础设施公司的报告数据,美国网络安全事件数量从2009年的9起、2010年的41起,急剧增加到2011年的198起。由此,包括美国国防部长在内的众多政府高级官员呼吁国会通过相关法律,有效保护关键基础设施网络安全,保障美国经济稳定。2013年2月,美国总统奥巴马签署了名为《关于提升关键基础设施网络安全的决定》的行政令,旨在保护国家基础设施免受网络攻击。奥巴马在国情咨文中表示,“黑客们窃取人们的身份信息、入侵私人邮件、窃取企业秘密,试图破坏电力网、金融机构和空中交通管制系统”。
该行政令的主要内容包括:在国家层面上,美国总统正式认定“信息战”会一直持续下去,是目前显而易见的威胁。政府将与私营部门合作建立“网络安全框架”,实现网络攻击与威胁信息的共享,从而降低关键基础设施的网络安全风险。如何降低“关键基础设施的网络安全风险”的基本框架将由美国国家标准与技术研究所(NIST)制定。该基本框架包含一套标准、方法、步骤、流程,以及应对网络安全风险的非指定的技术手段。“网络安全框架”的建立有助于将现有的政府项目向私营部门扩展,这样能让更多的私营部门的专家在一段时间内为政府服务。与此同时,该行政令规定了建立“网络安全框架”的具体时间表,以及“网络安全框架”对隐私状况的影响的评估报告。行政令呼吁政府和机构加强政策协调,实现更广泛的信息共享,但是该行政令并不具有和法律同等的效力,白宫期望能借此引入立法机制。
《关于提升关键基础设施网络安全的决定》的行政令意在扩大联邦政府与私营企业合作的深度与广度,以加强“关键基础设施”部门的网络安全管理与风险应对能力。该行政命令通过提供法律依据、行政支持的方式从信息共享与加强安全措施两个方面提高“关键基础设施”网络安全,如扩大网络安全强化服务项目范围,制定降低“关键基础设施网络安全风险”的基本框架体系;充分利用网络安全框架规范,评估、修订各管理机构现行的网络安全规范等。值得注意的是,该行政命令对上述措施实施过程的执行时间、执行流程和责任主体要求明确,使得此行政命令行之有效。
欧洲:推行网络安全战略
2013年2月,欧盟委员会公布了《网络安全战略》,出台这一战略的根本目的在于构建一个“公开、自由和安全”的网络空间,就如何预防和应对网络中断和袭击提出全面规划,以确保数字经济安全发展。“棱镜门”事件也使得这一战略更为实际,欧盟已经加速其数据安全法律的制定。
根据该战略,欧盟在网络安全方面有五项优先工作:提升网络的抗打击能力、大幅减少网络犯罪、在欧盟共同防务的框架下制定网络防御政策和发展防御能力、发展网络安全方面的工业和技术、为欧盟制定国际网络空间政策。该战略还提出一项立法建议,要求关键机构在遭受网络袭击时要向欧盟汇报,包括重要基础设施的提供商、关键的网络企业和公共行政部门。欧盟还要求各成员国制定相应战略,成立专门机构以预防和处理网络安全风险和事故,并与欧盟委员会共享早期风险预警信息。该战略明确了各利益相关方的权利和责任,从国家、欧盟和国际三个层面,明确了各利益相关方在维护网络安全过程中的角色——在国家层面,要求各成员国制定相关计划,同时促进国家机构与私营企业之间的信息共享;在欧盟层面,鼓励NIS主管部门、执法部门和国防部门开展合作,并重点推动政府部门间的信息共享;在国际层面,强调要加强与伙伴国及欧洲理事会、欧安组织等国际组织的合作。根据安全事件性质和影响程度的不同,该战略对发生重大网络事件时的快速响应机制也做了相应界定。
为有效应对网络安全挑战,该战略确定了五大优先战略任务和行动路径:一是提升网络恢复能力。要求成员国在政策、体制、意识、培训方面步调一致,以共享机制促进各国合作,提高公众网络安全意识和防御技能。二是强力打击网络犯罪。在法律、体制、能力建设方面形成合力,确定制止网络犯罪的最佳实践和可行技术。三是制定网络防御政策。在欧盟网络防御政策框架制定之下,借助北约军民力量,增强欧盟网络防御能力。四是寻求更多行业技术资源支持。以一个多方共同参与的平台,在市场、标准、方案等方面加大投入,促进创新。五是推动双边多边合作。强调与美国的双边合作,寻求与欧洲理事会、经合组织、联合国、欧洲安全组织、东盟等之间的多边合作。
日本:转向网络安全威胁防御
2013年6月10日,日本国家信息安全中心(National Information Security Center,NISC)发布了《网络安全战略》,旨在创建“领先、弹性、活力的网络空间”,实现“网络安全立国”。据日本独立行政法人情报通信研究机构相关调查数据:2013年日本遭受海外大规模网络攻击达128亿次,上升趋势明显,尽管日本全国已经设置了21万个网络监控系统,但是依然难以抵御来自黑客的攻击。基于此背景,日本不得不改变原有的信息安全保障防护的策略,着手制定出新的网络安全国家战略,旨在适应新形势变化,通过多项措施加强网络空间安全保障。
《网络安全战略》主要内容是:首先,明确日本网络安全战略目标和基本原则。战略目标是,通过发展“领先世界”、“弹性”和“有活力”的网络空间,确保国家安全和危机管理、社会经济发展、内外部公共安全,实现一个能有效防范网络攻击、充满创新的社会。基本原则一是确保信息的自由流动,二是提供新的措施应对日益严重的网络安全风险,三是增强基于风险的响应,四是网络安全参与各方基于各方的社会责任采取行动和与他人合作。其次,明确网络安全参与各方和职责。参与各方包括国家、关键基础设施服务提供者、产业界和学术界、用户和中小企业、网络空间相关机构。国家负责网络空间外交、国防和网络犯罪打击,增强处理上述三方面事务的能力。国家将赋予国家信息安全中心更多的权力,以使其成为网络空间的指挥者,并在2016年底前完成对该中心的重组。信息通信技术、金融、航空、铁路、电力、石油石化等十大关键基础设施部门的服务提供者负责增强各自的网络安全措施。产业界和学术界共同促进先进技术研发和信息安全人才培养。网络空间相关机构负责信息技术产品脆弱性分析、网络安全事件分析等。
日本《网络安全战略》首次采用了“网络安全”的概念,而不是以前战略中的“信息安全”,标志着日本对安全威胁认识的整体转变。其中:一是日本政府将赋予国家信息安全中心更多权力,使其在网络威胁应对中承担“指挥官”角色,旨在形成网络空间的国家合力。二是日本将重新界定关键基础设施,不仅仅包括原有10类关键基础设施行业和部门,主要是针对日益变化的网络安全威胁。三是继续加强“官民协作”,实现与企业的信息共享,提高民众网络安全意识,使得监测、发现威胁并防范网络攻击的能力有效提高。四是基于现有的网络空间国际法,加强与美国之间的国际合作。
中国:建立日益完善的信息安全体系
近三年,中国在网络安全政策、产业、技术等方面取得较大进展,国家对网络安全的重视程度日益提高,网络安全投入大幅增加,政策环境得到明显改善;等级保护工作全面推进,测评认证工作取得较大进展,涉密信息系统分级保护快速发展,法律法规体系和标准化体系不断完善,网络安全基础保障工作得到显著加强;产业规模快速增长,企业实力进一步壮大,自主产品市场份额逐步增多,网络安全产业支撑能力得到大幅提升;安全操作系统、安全芯片等基础技术取得一定进展,自主密码技术取得较大突破,安全认证技术、可信计算技术取得丰硕成果,网络安全技术体系得到不断完善;政府间网络交流取得积极进展,标准化工作逐步融入国际体系,个别有实力的信息安全企业向国际市场进军,网络安全领域国际合作迈出实质性步伐。
目前来看,中国已建立起信息安全标准化体系、信息安全产品的认证认可体系、信息安全等级保护体系,亦出台了一系列信息安全方面的法律法规。“棱镜门”后,中国对安全保障的重视程度更是达到前所未有的高度,2014年1月24日成立了国家安全委员会。