高级搜索

美国网络空间安全体系建设分析与思考

摘 要:网络空间安全建设是一项系统工程,涉及国家战略、标准技术、组织管理等诸多因素,各种因素相互影响、相互制约。论文介绍了美国网络空间安全体系的建设情况,简要分析了美国网络空间安全战略、法律法规、标准规范、安全技术、组织管理、教育与培训等方面的发展历程和主要特点,并结合我国网络空间安全建设现状,从组织协调、产业发展、教育培训、国际合作等几个方面,提出了我国网络空间安全体系建设的几点建议。

关键词:网络空间;安全;体系

Research on System of U.S. Cybersecurity

Liu Peng Yang Jian Liu fu-qiang

(The Chinese People’s Liberation Army 91655 Troops Beijing 100036)Abstract As a complicated system, cybersecurity is related to national strategies, standards andtechnologies, organization and management, and many other factors. In this paper, the development andcharacteristics of U.S. cybersecurity system, which contains cybersecurity strategy, legal regulations,standard specification, security technology, organization management, and education and training, arebriefly analysis. Finally, combining with our cybersecurity status analysis, some considerations on ourgovernment cybersecurity system construction are proposed.

Key words cyberspace; security; system

1 引言

以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间,各国均高度重视网络空间的安全问题。作为世界上实力最强大的国家,美国最早提出网络空间概念,并将网络空间安全提升至国家安全层面,在该领域的综合实力也远远领先于其他国家。近年来,为了应对日益严峻的网络空间安全挑战,确保美国国家安全和经济繁荣,夺取网络空间优势,维持霸主地位,美国越来越密集地发布针对性国家政策,组建专门的组织机构。在整个安全体系建设、确立国家在网络空间的定位、设立高级别协调机构、完善产学研用创新机制等方面,有很多做法和经验值得我们学习和借鉴。

2 美国网络空间安全体系现状分析

美国从国家战略、法律法规、标准规范、安全技术、组织管理等多个方面对网络空间安全领域进行了整体布局、规划和协调,各方面相互影响、相辅相成,构建了完善的安全体系 [1] 。

2.1 战略规划

美国是世界上第一个制定网络空间安全战略的国家,并将其视为国家安全战略的重要组成部分。该战略历经网络防御、攻防一体再到全球网络威慑的演变 [2,3] ,逐步确立起美国的制网权。20世纪80年代开始,随着互联网的迅速发展,为了维护国家信息网络安全,美国制定了《联邦计算机系统保护法案》、《计算机安全法案》等文件,实施以保障信息的安全保密为核心的信息安全战略。90年代初,为了支撑美国从工业时代向信息时代转型,刺激经济发展,美国提出了“信息高速公路”计划。同时,政府认识到信息安全保障在信息时代对于国家安全的重要性,先后发布了《关于保护美国关键基础设施的第63号总统令》、《2000年总统国家安全战略报告》等文件,在国家安全战略层面提出国家信息安全计划。这个阶段,安全保障的主题是基础设施保护,其战略重点在于全面防御。“9•11”事件使美国政府意识到国家网络空间安全面临的严峻挑战,从2001年开始,美先后发布了《信息时代的关键基础设施保护》、《保护网络空间的国家战略》、《关键基础设施和重要资产物理保护的国家战略》等文件,界定了关键基础设施的内涵和外延,突出了国家层面的战略任务。与此同时,美国防部提出加强网络空间安全研究作为重点发展方向之一,开始重视美军网络战能力建设,大力开发计算机网络战武器。

此阶段安全保障的主题为网络反恐,战略重点转变为攻防结合。到奥巴马政府时期,美国把网络安全确立为国家安全和经济发展的最大挑战。2011年,相继发布了《网络空间国际战略》和《网络空间行动战略》,前者目标是突破网络空间中的疆界限制,后者则为美国防部在网络空间领域制定了战略方针和行动原则。以“棱镜门”事件为典型,揭示出美国安全保障的战略重点已转变为“攻击为主,网络威慑”。

作为信息技术的发源地,技术领先和综合实力超强的大国,美国对网络空间的安全问题有着清醒的认识,一直都对网络空间安全战略高度重视,并围绕美国国家核心利益,持续调整战略以适应不断变化的环境。当前,美国网络空间安全战略已全面覆盖政治、经济、军事、外交等各个领域,主要呈现出四个特点。

(1)为了维持网络空间战略优势和技术领先,美政府通过法律法案、组织机构设置等多种手段,加大技术研究和人才培养的支持力度。

(2)利用信息技术推动美国经济持续发展,为此极力维护自身网络安全,争取更大的经济利益,防范任何借助网络威胁国家安全利益的行为。

(3)引入网络战概念,组建网络战部队,制定网络空间军事战略,谋求网络空间绝对优势和行动自由,实施战略威慑。

(4)利用网络优势,控制网络空间,制造有利于美国的舆论,开展价值观和意识形态输出,塑造一个符合美国国家利益的战略大环境,对其他国家施加影响。

2.2 法律法规

与安全战略相配套,美国发布了一系列针对网络空间安全的法律法规,形成当前世界上数量最多、内容最丰富的网络空间安全法律体系 [1,4] 。1978年,美国颁布了《联邦计算系统保护法案》,首次将计算机系统纳入法律保护范畴。1984年,美国对《联邦刑法》进行了修改,并通过了《假冒访问设备及计算机欺诈和滥用法案》,对未经授权访问和使用计算机网络行为规定了刑事处罚措施。20世纪90年代初,随着《国家信息基础设施计划》和《全球信息基础设施计划》的提出,为应对基于网络的信息系统和重要基础设施的安全威胁,保障计划的实施,美相继制定了《NII保护法案》、《关于保护美国关键基础设施的第63号总统令》。“9•11”事件后,相继颁布《爱国者法案》、《国土安全法案》等重要法律,加强对信息监控和关键信息基础设施保护,并推出《网络空间国际战略》,谋求网络空间安全领域国际合作,全方位保护美国安全。

截止目前,美国在网络空间安全领域颁布了100多项法律,规格高、数量多、内容全、涉及范围广,为其保护网络空间提供了全方位的法律保障;法律的出台始终服务于国家发展利益和战略规划,并根据变化持续不断地进行调整和完善;法律灵活采用法案、总统令、政策、指南等多种形式,具有很强的针对性和可操作性。

2.3 标准规范

网络空间安全标准是网络空间安全建设的基础。美国历来重视标准制定工作,通过立法推进标准体系的发展,在网络空间安全领域相继制定和发布了大量标准,形成了完善的安全标准体系和组织体制 [5] ,为国家战略的制定和实施提供支撑,不断扩大和巩固美国国际领导地位和影响力。美国网络空间安全标准体系主要呈现四个特点。

(1)大力推进国内标准国际化,获取网络空间主导权。美国积极参与ISO、IEC等国际标准组织机构的活动,确保在国际标准中的领导地位,以图打开海外市场,获取全球经济优势。

(2)极力维持标准的先进性,根据需求变化,及时对现有标准进行修订和更新。

(3)推进标准公开透明和融合互补,促进产品质量提升。

(4)突出自愿原则,形成灵活、适应性强的体系结构,积极促进经济发展和技术进步。

2.4 安全技术

在技术体系框架方面,基于纵深防御和风险管理思路,美国相继发布了信息保障技术框架、风险管理框架、网络空间可信身份国家战略、提升关键基础设施网络空间安全技术框架等文件,这些技术框架文件为美国建立信息安全保障体系提供了解决方案,促进了标准的制定和推广,推进了安全技术的发展。

在技术发展规划方面,以安全技术体系框架文件为出发点,结合时代背景,围绕保护网络和信息系统安全、构建可信网络空间、提升安全态势感知能力、保护关键基础设施安全、应对信息战和网络战等重点领域,以及应对云计算、大数据等新技术应用带来的安全威胁,美国投入大量经费和人员,支持安全技术基础研究,促进基础研究和应用研发协同发展。

此外,美国建立了包括政府、高校、企业和非盈利性组织等在内的科研体系和管理体制,非常重视网络空间安全技术研发工作,从顶层设计和战略规划角度,引导技术研发方向;不断出台科研规划文件,重视人才培养,加强经费支撑,鼓励技术创新,建立了完善的专利保护、成果转让制度和人才引进机制,有力保证了美国在网络空间安全技术领域的领先地位。

2.5 组织管理

美国从没有机构到多个机构管理,再到多个跨部门机构的协调管理,在安全机构设置和管理协调方面积累了丰富的经验。在机构设置方面,美国网络空间安全机构遍布于联邦政府的各类行政机构,主要包括白宫、国家安全局、网络空间战司令部等。这些机构职能基本覆盖了大到安全战略制定、小到科研经费管理的所有领域。为实现各个机构协同合作,美国还专门设置了一些跨部门的协调机构,如负责全国网络空间安全态势感知的协调机构、应急响应协调机构等。根据重大事件出现或战略转变,美国网络安全机构也根据现实需求不断进行着调整,以适应整体战略规划。

2.6 教育与培训

美国非常重视网络安全人才的培养工作。1998年,提出了“信息系统保护的国家计划”,旨在推进网络空间安全培训和教育的发展。1999年制定的《国家信息安全战略框架》,明确提出了美国需要进行网络安全意识培养工作,启动了国家信息保障教育培训计划,旨在通过政府、学术界和企业的多方合作,开展网络安全培训工作。2000年,发布了《信息系统保护国家计划》,组织政府、高校和企业共同开展网络空间安全教育活动。2003年,美国国家标准和技术研究院(NIST)发布了《信息技术安全意识和培训项目建设指南》,规范了信息技术安全意识和培训项目的设计、开发、应用和评价要求。2006年,发布了《美国竞争力计划》,提出培养具有科学、技术、工程和数学(STEM)素养人才的目标。2009年,发起了创新教育运动,对美国教育进行改革,加强STEM教育活动。2010年,制定了《国家网络空间安全教育计划》 [6] ,负责对美国网络空间安全教育工作进行全局指导;制定了《国际网络空间安全教育计划战略规划》,明确网络空间安全需求范围和具体目标。将每年10月定为国家网络空间安全月,面向美国网络用户开展网络空间安全常识宣传、教育和培训活动。美网络空间的安全教育主要依托政府、学校、企业等组织,分工明确,职责清晰。政府对美国网络空间安全教育工作进行整体规划、协调和推动;学校肩负传授网络空间安全知识、培养专业人才的职责;企业除了进行内部培训外,还可以为高校提供安全教育实践和应用场所。

3 对我国网络空间安全体系建设的启示

3.1 我国网络空间安全体系建设现状

在我国,随着“宽带中国”战略推进实施,互联网全面升级提速,网络化和信息化水平显著提高,极大地促进了传统产业转型升级,成为带动经济增长的重要动力。维护网络空间安全,是保障我国各领域信息化工作和促进产业经济持续稳定发展的先决条件。

(1)在战略规划方面,2003年,与美国出台《网络空间安全国家战略》几乎同步,我国颁布了信息安全保障的纲领性文件《关于加强信息安全保障工作的意见》,明确了信息安全保障工作的总体方针、目标和原则,在国家层面的认知和基本举措上,与美国国家战略基本保持了同步。但直到2016年12月,我国才发布了《国家网络空间安全战略》,首次公开阐明中国关于网络空间发展和安全的立场,宣示了未来我国网络安全治理的目标、原则和任务[7] 。总体而言,我国与美国较早的把信息安全确定为国家战略、制定详细的措施并持续发展相比还存在一定差距。

(2)在法律法规方面,我国从20世纪90年初开展制定与网络安全相关的法律,但主要是对已有的主要法律文件(如宪法、刑法等)进行修订,增加与网络安全相关的条款。2016年11月,我国通过了网络安全领域首部综合性、框架性法律 — 《网络安全法》,在保护个人信息、治理网络诈骗、保护关键信息基础设施等方面做出了明确规定[7]。此外,我国相关部门根据现实需求也制定了相关规章制度(如公安部发布的《计算机信息网络国际联网安全保护管理办法》)。与美国庞大的法律法规体系相比,我国安全法律还很不完善,存在立法层次低、出台连续性差、与传统法律兼容性差、网络监管和网络犯罪惩治力度小、缺乏国际合作等问题。

(3)在标准规范方面,近年来,我国建立了信息技术安全标准化技术委员会(CITS)和中国通信标准化协会(CCSA)的网络与信息安全技术工作委员会,但标准组织机构相对年轻,研究工作刚刚起步,与美国等发达国家短期内仍存在很大差距。

(4)在安全技术方面,由于长期以来我国信息化建设缺乏核心技术,网络安全技术自主创新能力不足,对发达国家技术和装备依赖性强。目前,我国正在重点推进芯片、操作系统等自主产权软硬件研发和应用工作,但与美国相比这些产品还存在可用性、可靠性等方面的问题,构建我国自主可控的信息技术体系还任重道远。

(5)在组织管理方面,2014年我国成立了中央网络安全和信息化领导小组,统一领导协调国家网络安全和信息化工作,把网络安全问题提高到了战略高度来统筹领导和总体布局,明确了网络安全与信息化工作的工作重点和前进方向。但由于网络空间安全工作涉及领域和部门众多,还需要加强统筹协调,改变职责使命模糊、管理职能分散、没有形成合力的现状。

(6)在教育和培训方面,2016年,我国出台了《关于加强网络安全学科建设和人才培养的意见》,从战略层面开始大力推动网络安全人才培养工作。但面对日益突出的网络安全问题,我国网络用户的网络安全意识还相对薄弱,缺乏网络安全防御意识和能力;教育师资力量薄弱,课程设置和教育培养模式不够完善,学科建设和人才选拔、培养工作还相对滞后。

3.2 主要启示

我国在网络空间安全领域建设起步晚、基础弱,但随着中央网络安全与信息化领导小组的成立,以及《国家网络空间安全战略》、《网络安全法》和相关重要政策的陆续出台,我国网络空间安全体系建设正加速推进。借鉴美国经验和做法,我们还需注重加强几方面工作。

(1)加强协调管理,提高网络安全管理、政策执行和监督的力度。尽快建立国家层面的网络空间安全协调机构,建立上下贯通、横向联动的协作机制,整合全国网络空间安全力量,加强信息共享和行动协调,保障战略规划、顶层设计的有效推进和实施。

(2)加强教育和培训力度,提升国民网络安全意识。应综合利用各类媒介,加强网络空间安全宣传教育和专题培训,努力提升国家网络安全社会氛围。

(3)加强网络安全产业培育,提升网络安全核心技术创新和研发能力。网络安全技术和产业是获取网络空间安全优势的重要基础。应对安全技术领域研究进行整体规划和战略指导,加强经费支持力度,拓展经费支撑渠道,建立激励机制,鼓励科研投入;加强研究团队的交流与合作,加速成果转化;加强对网络安全产业的扶植政策,扶持优势企业,加快产业发展整合步伐,提升技术竞争力。

(4)加强国际间网络空间安全交流合作,应对网络安全共同威胁和挑战。参与相关网络安全标准和国际条约制定,争取话语权;加强国际网络犯罪打击方面的协作,防范跨境网络攻击,促进国际网络空间领域的公平和正义,维护我国网络空间主权。

4 结束语

为了应对日益凸显的网络空间安全威胁,美国政府围绕国家核心利益,不断调整国家网络安全战略,全方位推进网络空间安全体系建设,不仅将网络列为关键基础设施,还将其升级为国家战略资产,利用战略、技术、产业、军事等方面的绝对优势,积极推动网络空间国际规则构建,进一步巩固其在网络空间的垄断地位。

我国自从2004年中央网络安全与信息化办公室成立以来,《网络安全法》、《国家网络空间安全战略》等重要制度性文件相继发布,标志我国在网络空间安全体系顶层设计全面展开并初步成型,正在加快推进网络强国战略。围绕战略目标,2016年以来,相继出台了《国家信息化发展战略纲要》、《关于加强国家网络安全标准化工作的若干意见》、《工业控制系统信息安全防护指南》等一系列重要政策文件,对网络空间安全顶层规划、学科建设、人才培养、标准规范、基础设施保护等方面全面展开并稳步推进。但我国在网络空间安全体系建设方面起步较晚,与美国还存在不小差距。我们应借鉴美国等网络安全强国经验,确立并完善符合本国国情的网络空间安全战略,提升技术和产业实力,强化安全基础设施建设,才能改变当前受制于人的状态,有效维护我国网络空间权益。

关注读览天下微信, 100万篇深度好文, 等你来看……
立即购买本期杂志
查看本期更多内容