隨著網絡信息技術的飛速發展和全面普及,人類生活、工作、思維方式正在發生深刻變革,以互聯網為主要載體的網絡空間和現實世界不斷融合,網絡空間成為繼陸、海、空、太空之外人類賴以生存的“第五空間”。
高度發達的信息網絡已然成為國家經濟發展的重要支柱與動力。借助網絡空間奪取信息霸權,獲取軟權力,輸出意識形態或政治價值觀念,塑造國際規則和決定政治議題,成為大國建立國際新秩序的重要方法和途徑。
本文從多個角度分析對比了中國、美國的網絡安全戰略。知己知彼,審時度勢,因勢而謀,希望借此啟發安全同行間的理性探討。
1.美國網絡安全戰略綜述
美國是互聯網技術最主要的發源地,也是互聯網應用最為普及、對網絡依賴性很高的國家,網絡安全問題成為美國主要現實隱患之一。為維護網絡空間安全,美國積極打造網絡安全保障體系,并在其國策中突出強調信息安全的重要地位,力圖利用網絡空間帶來的新發展機遇,繁榮經濟和推動國家發展,以實力保安全、以安全保發展成為世界網絡與信息安全發展大勢。
美國的信息安全政策從克林頓、小布什、到奧巴馬,再到特朗普時期,經過提出、細化、體系化,到國際化的過程,逐步成熟。美國近年來的信息安全政策目標并不僅僅是本國網絡安全,更著眼于戰略競爭,搶抓網絡規則制定權,爭奪網絡空間領域戰略優勢。
美國網絡安全戰略具有突出特點:
1)強化信息安全頂層設計,以網絡空間國際戰略提出國際理念,旨在謀求網絡空間霸權。美國網絡安全戰略推演,共經歷了四個階段,從“建網絡”、“保網絡”、“管網絡”再到“控網絡”,戰略包含法律法規、組織管理、技術以及執行四個方面。從階段性特點來看,美國四任總統實施的網絡安全政策,歷經保護關鍵基礎設施,擴展先發制人的網絡打擊,到謀取全球制網權的演變,凸顯“擴張性”本質。
2)加強網絡安全立法工作,逐步提升信息安全保障能力。在網絡安全立法方面,美國走得最早、也走得最遠。美國國會的網絡安全立法是一項系統工程,內容復雜、覆蓋面廣,但是條理清晰、進程不斷加速。美國通過各項立法,較為清晰地厘清了政府各個機構在網絡安全領域的角色與職能。法律法規覆蓋的領域也從早期的規范網絡色情開始,不斷發展到網絡知識產權保護、關鍵基礎設施保護、數據保護和打擊網絡恐怖主義等各個方面,已形成了一整套較為完善的法律法規體系。
3)構建信息安全機構“三駕馬車”,提出“網絡威懾”觀念實施積極防御。美國構筑網絡空間打擊能力、滲透能力、防御能力體系,一直以美國國家安全局、中央情報局和國土安全部為核心。通過強化政府的安全職能,改組信息管理機構,設立層層主管機構,加強網絡監控力度,美國逐步形成一整套完備的信息安全防范體系。除此之外,美國是目前世界上唯一提出主動網絡攻擊的國家,并由國家安全局牽頭組建了世界上規模最大的網絡戰部隊。與此同時,世界最大的情報部門——美國中央情報局,近年來在中東、北非等地實施網絡滲透和秘密活動,已經成為公開的秘密。
4)頻發政令,加強關鍵信息基礎設施的保護。“9·11”和“斯諾登”事件發生以后,美國逐步意識到其面臨的網絡安全威脅正在快速增長,已經給關鍵基礎設施帶來嚴重的安全隱患。美國在原有的國土安全辦公室的基礎上,成立了國土安全部,將關鍵基礎設施保護提升到國家安全的高度。此外,美國還特別重視強調公私合作和信息共享,專門在聯邦調查局成立了國家基礎設施保護中心,連接美國所有行政部門及私營部門的信息共享和分析中心,對網絡攻擊提供實時報警、綜合分析、執法調查和應急響應活動。
5) 加大信息技術研發的力度,以市場牽引為主,以政府調控為輔,促進信息技術產業化發展。美國作為全球網絡信息技術的發源地,誕生了賽門鐵克、麥咖啡和趨勢科技等早期安全企業。幾十年來,美國的政府、科研機構和企業攜手合作,推動著全球網絡信息技術產業的發展進程,以蘋果、谷歌、IBM、微軟、甲骨文、思科、英特爾等為代表的IT 巨頭在信息安全產業架構中充當著堅實的地基,成功控制著全球網絡信息產業鏈的主干。美國充分發揮企業在信息產業創新過程中的能動性,大力推動與基礎研究和核心技術相關的各種自主研發、應用研發和市場拓展,努力促進信息技術產業化發展,因此取得了重大成就。
6)加快信息安全人才培養, 增強民眾的信息安全意識。美國在網絡安全人才隊伍建設方面設計了清晰的戰略,社會各界基本形成了人才隊伍培養、管理和使用的體系化合作,充分地彌補了網絡信息安全人才供給不足等問題。2011 年8 月,美國國家標準技術研究所牽頭發布了《網絡空間安全人才隊伍框架(草案)》,對網絡安全人才的能力、知識、崗位職責提出了具體要求,隨后幾年該框架數度更新,充分體現了美國對網絡安全人才的重視程度及對網絡安全問題認識的不斷轉變。
2.我國網絡安全戰略綜述
我國正在努力建設網絡強國,亟待一個完善的網絡信息安全政策體系作為強有力的支撐。2014 年我國成立中央網絡安全和信息化領導小組,由中央網信辦落實中央精神統抓協管、大刀闊斧開展工作,從頂層設計、戰略制定、法規完善、科學管理、強化自主可控、開展國際合作等方面大步向前推進,國家網絡信息安全政策不斷完善,網絡與信息安全中的各項工作得到長足推進,同時也暴露出了一些差距和不足。
1)網絡安全戰略的制定與發布,是國家網絡安全頂層設計的核心與關鍵。近年來,我國陸續發布了國家層面的信息安全戰略與政策文件。2016 年12 月,國家互聯網信息辦公室正式發布《國家網絡空間安全戰略》,它是我國第一次向全世界系統、明確地宣布和闡述對于網絡空間發展和安全的立場和主張,是指導國家網絡安全工作的綱領性文件。目前,我國網絡安全相關的法律法規文書已有近百部,內容涉及網絡安全的多個領域,已初步建立形成了我國信息安全法律法規框架體系和多層級的立法體系結構。目前來看,我國信息安全戰略、政策與法律已經比較完備。但是,與國家網絡空間安全戰略相配套的網絡安全綜合政策略顯不足,《網絡安全法》與其他現行法律在具體表述和協調銜接等方面仍有不完善之處,有待進一步調整與完善。
2)在網絡安全保障政策方面,國務院發布了大量條例及規定等政策條款。國家組織制定了《計算機信息系統安全保護等級劃分準則》、《信息系統安全等級保護基本要求》等一大批安全保護法案及標準,初步構成了網絡安全標準體系,為重要行業部門開展網絡安全管理和技術措施提供了保障。目前我國尚未形成國家體系化的風險評估制度。盡管從等級保護角度定義了待評估信息系統的安全等級,但不同行業間同級別業務信息系統的安全關聯性差,網絡安全風險在同一行業不同產業鏈環節業務信息系統上的傳導或不同行業間業務信息系統的傳導難以體現,從而無法從國家整體上把握網絡安全風險狀況和態勢,也就難以明確評估系信息安全保障重點、確定相應的網絡安全政策取向、人財物投入等。
3)將互聯網信息內容治理納入法治化軌道,是推進互聯網信息內容治理體系建設和治理能力提升的基石所在。目前,我國已經建成的互聯網信息內容監管的法律體系主要包括:互聯網基礎資源管理法規、互聯網信息內容服務監管法規、與互聯網信息內容有關的其他法規、網絡著作權保護、個人信息保護以及打擊互聯網非法信息內容犯罪等方面。從最近十多年的發展經驗來看,我國互聯網信息內容安全法律法規的體系建設在不斷加快,不僅相關法律文本的數量不斷增長,同時涉及領域、覆蓋范圍不斷擴大。根據網絡空間的建設發展,互聯網信息內容安全的相關政策急需不斷完善,為下步深入打造清朗有序的網絡空間提供立法、執法的依據。
4)我國一直關注產業發展。在我國網絡強國的目標愿景中“戰略清晰、技術先進、產業領先、攻防兼備”都與產業的發展息息相關。現階段我國信息安全產業方面的政策仍然存在一些問題,主要表現在政策頂層設計和宏觀調控不足,政策存在缺失、滯后現象,整體政策力度不夠,政策落實不到位以及政策存在不適應性等方面。
5)國家對信息安全人才培養高度重視,相關的政策扶持及資源投入持續增進。現階段我國信息安全人才隊伍建設存在較為突出的問題,從國家政策角度出發,主要表現在:缺少對專業人才資格認證和資質認定的制度化和規范化管理,對國家核心涉密崗位和重點網絡相關工作崗位的從業人員進行有效的管控,對信息安全高端人才缺少特殊政策的扶持和政策傾斜,對敏感信息安全人員(如黑客)缺少有效的管控政策。
6)近年來,我國積極參與國際網絡空間發展動作,先后與美、英、法等國簽訂相關戰略合作條款,推進網絡空間領域合作。現階段我國面臨的網絡空間國際環境不容樂觀,西方發達國家“虎視眈眈”,技術與政策打壓和戰略不互信使得我國在信息安全的工作開展中尤為被動。作為剛剛崛起的發展中國家,我國信息安全領域的國家合作尚沒有走上規范化的道路,相關交流合作較為零散,重點領域缺少合作交流,很多現有的合作領域過于低端,國際會議實質性問題涉獵不足,很多情況流于形式,難以在交流中實際獲益。隨著網絡空間的發展變革,多邊交流勢在必行。網絡空間問題單靠一個國家很難應對,當前最大的問題是圍繞核心領域開展國際務實合作的工作沒有落到實處。
3.中美網絡安全戰略對比
1)頂層設計
2)法律法規
3)安全產業
據Cybersecurity Ventures發布的2018全球網絡安全企業500強名單,美國有358家上榜,中國8家上榜。
網絡安全企業500強評選依據包括:客戶基礎、CISO和決策者的反饋、IT安全評估員和推薦人的反饋、VAR,SI和顧問的反饋、風險投資、公司成長、產品的評價、會議演示和演講、企業營銷與品牌、媒體報道、公司重要舉措、創始人和管理層、高級管理人員訪談。
4)人才培養
5)漏洞管理
部分文字摘自《中美網絡信息安全政策比較與評估》(《信息安全與通信保密》雜志),由安數網絡重新整理完成,如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。電話:400-869-9193 負責人:張明
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:網絡
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明