来源:FreeBuf.COM
作者:安数君
本文从多个角度分析对比了中国、美国的网络安全战略。知己知彼,审时度势,因势而谋,希望借此启发安全同行间的理性探讨。
随着网络信息技术的飞速发展和全面普及,人类生活、工作、思维方式正在发生深刻变革,以互联网为主要载体的网络空间和现实世界不断融合,网络空间成为继陆、海、空、太空之外人类赖以生存的 “ 第五空间 ” 。
高度发达的信息网络已然成为国家经济发展的重要支柱与动力。借助网络空间夺取信息霸权,获取软权力,输出意识形态或政治价值观念,塑造国际规则和决定政治议题,成为大国建立国际新秩序的重要方法和途径。
本文从多个角度分析对比了中国、美国的网络安全战略。知己知彼,审时度势,因势而谋,希望借此启发安全同行间的理性探讨。
一、美国网络安全战略综述美国是互联网技术最主要的发源地,也是互联网应用最为普及、对网络依赖性很高的国家,网络安全问题成为美国主要现实隐患之一。为维护网络空间安全,美国积极打造网络安全保障体系,并在其国策中突出强调信息安全的重要地位,力图利用网络空间带来的新发展机遇,繁荣经济和推动国家发展,以实力保安全、以安全保发展成为世界网络与信息安全发展大势。
美国的信息安全政策从克林顿、小布什、到奥巴马,再到特朗普时期,经过提出、细化、体系化,到国际化的过程,逐步成熟。美国近年来的信息安全政策目标并不仅仅是本国网络安全,更着眼于战略竞争,抢抓网络规则制定权,争夺网络空间领域战略优势。
美国网络安全战略具有突出特点:
1.强化信息安全顶层设计,以网络空间国际战略提出国际理念,旨在谋求网络空间霸权
美国网络安全战略推演,共经历了四个阶段,从“建网络”、“保网络”、“管网络”再到“控网络”,战略包含法律法规、组织管理、技术以及执行四个方面。从阶段性特点来看,美国四任总统实施的网络安全政策,历经保护关键基础设施,扩展先发制人的网络打击,到谋取全球制网权的演变,凸显“扩张性”本质。
2.加强网络安全立法工作,逐步提升信息安全保障能力
在网络安全立法方面,美国走得最早、也走得最远。美国国会的网络安全立法是一项系统工程,内容复杂、覆盖面广,但是条理清晰、进程不断加速。美国通过各项立法,较为清晰地厘清了政府各个机构在网络安全领域的角色与职能。法律法规覆盖的领域也从早期的规范网络色情开始,不断发展到网络知识产权保护、关键基础设施保护、数据保护和打击网络恐怖主义等各个方面,已形成了一整套较为完善的法律法规体系。
3.构建信息安全机构 “ 三驾马车 ” ,提出 “ 网络威慑 ” 观念实施积极防御
美国构筑网络空间打击能力、渗透能力、防御能力体系,一直以美国国家安全局、中央情报局和国土安全部为核心。通过强化政府的安全职能,改组信息管理机构,设立层层主管机构,加强网络监控力度,美国逐步形成一整套完备的信息安全防范体系。
除此之外,美国是目前世界上唯一提出主动网络攻击的国家,并由国家安全局牵头组建了世界上规模最大的网络战部队。
与此同时,世界最大的情报部门 —— 美国中央情报局,近年来在中东、北非等地实施网络渗透和秘密活动,已经成为公开的秘密。
4.频发政令,加强关键信息基础设施的保护
“9·11” 和 “ 斯诺登 ” 事件发生以后,美国逐步意识到其面临的网络安全威胁正在快速增长,已经给关键基础设施带来严重的安全隐患。
美国在原有的国土安全办公室的基础上,成立了国土安全部,将关键基础设施保护提升到国家安全的高度。
此外,美国还特别重视强调公私合作和信息共享,专门在联邦调查局成立了国家基础设施保护中心,连接美国所有行政部门及私营部门的信息共享和分析中心,对网络攻击提供实时报警、综合分析、执法调查和应急响应活动。
5.加大信息技术研发的力度,以市场牵引为主,以政府调控为辅,促进信息技术产业化发展
美国作为全球网络信息技术的发源地,诞生了赛门铁克、麦咖啡和趋势科技等早期安全企业。几十年来,美国的政府、科研机构和企业携手合作,推动着全球网络信息技术产业的发展进程,以苹果、谷歌、 IBM 、微软、甲骨文、思科、英特尔等为代表的 IT 巨头在信息安全产业架构中充当着坚实的地基,成功控制着全球网络信息产业链的主干。
美国充分发挥企业在信息产业创新过程中的能动性,大力推动与基础研究和核心技术相关的各种自主研发、应用研发和市场拓展,努力促进信息技术产业化发展,因此取得了重大成就。
6.加快信息安全人才培养 , 增强民众的信息安全意识
美国在网络安全人才队伍建设方面设计了清晰的战略,社会各界基本形成了人才队伍培养、管理和使用的体系化合作,充分地弥补了网络信息安全人才供给不足等问题。2011 年 8 月,美国国家标准技术研究所牵头发布了《网络空间安全人才队伍框架(草案)》,对网络安全人才的能力、知识、岗位职责提出了具体要求,随后几年该框架数度更新,充分体现了美国对网络安全人才的重视程度及对网络安全问题认识的不断转变。
二、我国网络安全战略综述我国正在努力建设网络强国,亟待一个完善的网络信息安全政策体系作为强有力的支撑。2014 年我国成立中央网络安全和信息化领导小组,由中央网信办落实中央精神统抓协管、大刀阔斧开展工作,从顶层设计、战略制定、法规完善、科学管理、强化自主可控、开展国际合作等方面大步向前推进,国家网络信息安全政策不断完善,网络与信息安全中的各项工作得到长足推进,同时也暴露出了一些差距和不足。
1.网络安全战略的制定与发布,是国家网络安全顶层设计的核心与关键
近年来,我国陆续发布了国家层面的信息安全战略与政策文件。2016 年 12 月,国家互联网信息办公室正式发布《国家网络空间安全战略》,它是我国第一次向全世界系统、明确地宣布和阐述对于网络空间发展和安全的立场和主张,是指导国家网络安全工作的纲领性文件。
目前,我国网络安全相关的法律法规文书已有近百部,内容涉及网络安全的多个领域,已初步建立形成了我国信息安全法律法规框架体系和多层级的立法体系结构。
目前来看,我国信息安全战略、政策与法律已经比较完备。但是,与国家网络空间安全战略相配套的网络安全综合政策略显不足,《网络安全法》与其他现行法律在具体表述和协调衔接等方面仍有不完善之处,有待进一步调整与完善。
2.在网络安全保障政策方面,国务院发布了大量条例及规定等政策条款
国家组织制定了《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》等一大批安全保护法案及标准,初步构成了网络安全标准体系,为重要行业部门开展网络安全管理和技术措施提供了保障。
目前我国尚未形成国家体系化的风险评估制度。尽管从等级保护角度定义了待评估信息系统的安全等级,但不同行业间同级别业务信息系统的安全关联性差,网络安全风险在同一行业不同产业链环节业务信息系统上的传导或不同行业间业务信息系统的传导难以体现,从而无法从国家整体上把握网络安全风险状况和态势,也就难以明确评估系信息安全保障重点、确定相应的网络安全政策取向、人财物投入等。
3.将互联网信息内容治理纳入法治化轨道,是推进互联网信息内容治理体系建设和治理能力提升的基石所在
目前,我国已经建成的互联网信息内容监管的法律体系主要包括:互联网基础资源管理法规、互联网信息内容服务监管法规、与互联网信息内容有关的其他法规、网络著作权保护、个人信息保护以及打击互联网非法信息内容犯罪等方面。
从最近十多年的发展经验来看,我国互联网信息内容安全法律法规的体系建设在不断加快,不仅相关法律文本的数量不断增长,同时涉及领域、覆盖范围不断扩大。根据网络空间的建设发展,互联网信息内容安全的相关政策急需不断完善,为下步深入打造清朗有序的网络空间提供立法、执法的依据。
4.我国一直关注产业发展
在我国网络强国的目标愿景中 “ 战略清晰、技术先进、产业领先、攻防兼备 ” 都与产业的发展息息相关。现阶段我国信息安全产业方面的政策仍然存在一些问题,主要表现在政策顶层设计和宏观调控不足,政策存在缺失、滞后现象,整体政策力度不够,政策落实不到位以及政策存在不适应性等方面。
5.国家对信息安全人才培养高度重视,相关的政策扶持及资源投入持续增进
现阶段我国信息安全人才队伍建设存在较为突出的问题,从国家政策角度出发,主要表现在:缺少对专业人才资格认证和资质认定的制度化和规范化管理,对国家核心涉密岗位和重点网络相关工作岗位的从业人员进行有效的管控,对信息安全高端人才缺少特殊政策的扶持和政策倾斜,对敏感信息安全人员(如黑客)缺少有效的管控政策。
6.近年来,我国积极参与国际网络空间发展动作,先后与美、英、法等国签订相关战略合作条款,推进网络空间领域合作
现阶段我国面临的网络空间国际环境不容乐观,西方发达国家 “ 虎视眈眈 ” ,技术与政策打压和战略不互信使得我国在信息安全的工作开展中尤为被动。
作为刚刚崛起的发展中国家,我国信息安全领域的国家合作尚没有走上规范化的道路,相关交流合作较为零散,重点领域缺少合作交流,很多现有的合作领域过于低端,国际会议实质性问题涉猎不足,很多情况流于形式,难以在交流中实际获益。随着网络空间的发展变革,多边交流势在必行。
网络空间问题单靠一个国家很难应对,当前最大的问题是围绕核心领域开展国际务实合作的工作没有落到实处。
三、中美网络安全战略对比1.顶层设计
2
.法律法规
3.安全产业
据Cybersecurity Ventures发布的2018全球网络安全企业500强名单,美国有358家上榜,中国8家上榜。
网络安全企业500强评选依据包括:客户基础、CISO和决策者的反馈、IT安全评估员和推荐人的反馈、VAR ,SI和顾问的反馈、风险投资、公司成长、产品的评价、会议演示和演讲、企业营销与品牌、媒体报道、公司重要举措、创始人和管理层、高级管理人员访谈。
4.人才培养
5.漏洞管理