這是一個(gè)沒(méi)有硝煙的戰場(chǎng)。政府加強網(wǎng)絡(luò )監管，企業(yè)建設信息安全體系……網(wǎng)絡(luò )攻防，各有奇招。

    2013年，“棱鏡計劃”的曝光使得美國政府及其合作企業(yè)假以國家安全為由，在全球范圍內展開(kāi)的網(wǎng)絡(luò )攻擊、信息竊聽(tīng)圍獵行為得以敗露;敘利亞內戰中由雙方黑客參與的網(wǎng)絡(luò )空間攻防再次證明，信息安全已經(jīng)成為現代化戰爭的重要組成;CISCO、D-Link、Tenda等多家主流路由器廠(chǎng)商產(chǎn)品后門(mén)披露引發(fā)網(wǎng)絡(luò )安全恐慌;“Heartbleed”大型安全漏洞浮出水面，數億用戶(hù)面臨安全風(fēng)險……

    伴隨著(zhù)這一系列事件和全球信息化進(jìn)程的推進(jìn)、新信息技術(shù)的應用，以及全球網(wǎng)絡(luò )犯罪與攻擊行為的蔓延，政府、企業(yè)和個(gè)人都表現出對信息安全的極大關(guān)注。各國政府都在加強網(wǎng)絡(luò )監管，企業(yè)在信息安全體系建設上的投資不斷增加，加強數據安全和隱私保護并提升IT基礎設施防御能力成為全球信息安全產(chǎn)品的主流。

    目前，全球各個(gè)國家將對信息安全建設的重視上升到國家安全軍備競爭的高度，促使全球范圍內的信息安全產(chǎn)業(yè)得以快速發(fā)展。信息安全上升到經(jīng)濟安全、社會(huì )安全和國家安全層面，美國、歐盟、俄羅斯、日本、中國等持續加強信息安全軟硬件和安全服務(wù)的投資。全球信息安全產(chǎn)業(yè)的競爭已經(jīng)超越傳統產(chǎn)業(yè)的范疇，加快信息安全產(chǎn)業(yè)發(fā)展是國家信息安全保障體系建設工作的一項重要任務(wù)，是保證信息化建設健康推進(jìn)的基本要求。

    信息安全投入不斷增強

    世界上多數國家都將網(wǎng)絡(luò )空間視為發(fā)展重點(diǎn)，高度重視加強網(wǎng)絡(luò )戰的攻防實(shí)力，發(fā)展各自的“網(wǎng)絡(luò )威懾”能力，網(wǎng)絡(luò )空間已經(jīng)成為領(lǐng)土、領(lǐng)海、領(lǐng)空和太空之外的第五空間。

    首先，世界各國都在加快組建網(wǎng)絡(luò )部隊，已經(jīng)有美國、俄羅斯、以色列、伊朗、韓國等將近46個(gè)國家成立了網(wǎng)絡(luò )部隊，并且在逐步擴大網(wǎng)絡(luò )部隊的規模。其次，世界各國不斷增加網(wǎng)絡(luò )武器、網(wǎng)絡(luò )安全人才等方面的投入。最后，各國不斷加強網(wǎng)絡(luò )演習，以提高網(wǎng)絡(luò )對抗實(shí)戰能力。

    從資金投入上來(lái)看，美國國防部2012年在網(wǎng)絡(luò )安全和網(wǎng)絡(luò )技術(shù)方面的預算達到34億美元，主要用于新一代網(wǎng)絡(luò )武器研發(fā)方面，北約C3局(NC3A)于2012年3月份簽署了合同價(jià)值約5800萬(wàn)歐元的網(wǎng)絡(luò )防御投資計劃，韓國于2012年投入19億韓元啟動(dòng)“白色黑客”計劃以培養網(wǎng)絡(luò )安全人員。

    各國紛紛建立信息安全生態(tài)體系

    全世界主要國家和地區已經(jīng)就信息安全著(zhù)力構建了各自的生態(tài)系統，在關(guān)鍵技術(shù)、行業(yè)標準、評估認證體系方面都有很多切實(shí)行動(dòng)。

    總體看來(lái)，美國已經(jīng)建立了較為完善的信息安全保障體系：信息安全技術(shù)體系、信息安全法律體系、信息安全防御體系、主管機構管理體系。美國有眾多政府部門(mén)可以獲得信息安全建設的相關(guān)資助，受資助單位包括美國國防部高級研究計劃局、美國國家安全局、NSF、美國海軍等。美國在多個(gè)領(lǐng)域擁有關(guān)鍵技術(shù)，如防火墻、入侵檢測系統、容錯網(wǎng)絡(luò )、公鑰密碼等。此外，美國擁有一大批技術(shù)水平領(lǐng)先的IT企業(yè)/信息安全廠(chǎng)商，如思科、IBM、MS、McAfee、EMC/RSA、賽門(mén)鐵克、Juniper等。

    英國擁有多項國際標準，如英國B(niǎo)S7799標準(國際信息安全管理標準體系)已成為國際標準，并主導ISO/IEC 27000(信息安全管理系統標準族)系列標準。英國建立了完善的信息安全評估與認證體系，如由英國貿工部和通信電子安全局建立的UKITSEC體系。CESC評估機構是擁有獨立管理權的信息安全評估中心，它可以幫助網(wǎng)絡(luò )設備廠(chǎng)商與政府和國家安全機構一起制定相關(guān)安全保障措施。此外，英國還擁有健全的信息安全法律保障體系，如《計算機濫用法》《調查權力規范法》《電子通信法案》《電子簽名法》等。

    歐盟也積極建立信息安全戰略體系，希望通過(guò)重大信息基礎設施保護戰略，來(lái)應對任何網(wǎng)絡(luò )攻擊和入侵。其戰略重點(diǎn)是準備和預防、監測和響應、減災和災后恢復、推動(dòng)國際和歐盟范圍內的合作，以及樹(shù)立ICT部門(mén)的標準。在信息安全管理機構體系方面，歐盟成立了歐洲信息安全局，用于收集、分析成員國信息和向歐盟委員會(huì )提供分析結果，提供相關(guān)咨詢(xún)和幫助，增強合作，并協(xié)助歐盟與工業(yè)界對話(huà)，跟蹤信息安全相關(guān)產(chǎn)品和服務(wù)標準的發(fā)展狀況等。此外，歐盟還不斷推動(dòng)信息安全法規體系的完善，通過(guò)頒布決議、指令、建議、條例等組成法律框架，目前已經(jīng)出臺了《信息安全框架決議》、《關(guān)于打擊信息系統犯罪的歐盟委員會(huì )框架決議》等法規。

    俄羅斯具備全面的聯(lián)邦信息安全立法體系：以《俄羅斯聯(lián)邦憲法》為立法依據，以《信息、信息技術(shù)和信息保護法》為立法基礎，以系列綱領(lǐng)性文件為立法的政策指導和理論依托，以具體的法律規范為立法支撐，以國際合作作為信息安全立法視角。俄羅斯在信息安全建設方面的特點(diǎn)是，信息安全法制觀(guān)念強，重視綱領(lǐng)性文件的制定，及時(shí)修訂現行法律，重視加強國際合作。至于信息安全技術(shù)體系，俄羅斯在信息安全技術(shù)上堅持自主創(chuàng )新、自成體系，強調數學(xué)模型與論證發(fā)揮自動(dòng)控制理論的作用，注重芯片和操作系統的研發(fā)。其密碼服務(wù)體系自成系統，保密性強，在金融信息安全方面與加密領(lǐng)域做了大量工作。

    日本已經(jīng)建立了較為完善的信息安全保障體系。其運作模式為：針對計算機網(wǎng)絡(luò )信息安全管理，專(zhuān)門(mén)制訂了一套相應的規則，以制訂—引入—運用—評價(jià)—修正的步驟有序進(jìn)行。日本強調官民協(xié)作，政府不斷加強與民間團體、企業(yè)研究機關(guān)之間的信息交換，以求建立官民緊密協(xié)作、聯(lián)動(dòng)的合作機制。

    韓國則注重建立信息安全防御體系，并取得了一定成果。目前，韓國擁有“三線(xiàn)防御體系”，即國際接口局、互聯(lián)網(wǎng)服務(wù)商、企業(yè)，從不同角度探測和防范網(wǎng)絡(luò )恐怖襲擊的機制。韓國還制定了國家網(wǎng)絡(luò )安全綜合計劃，目的是開(kāi)發(fā)下一代能動(dòng)型網(wǎng)絡(luò )信息保護系統，為信息通信系統提供自動(dòng)保護。在政企合作方面，韓國政府鼓勵政府部門(mén)和民間企業(yè)對重要信息加密，要求主要IT設施具備數據備份功能，并構筑災難恢復系統。

    美國：強調關(guān)鍵基礎設施安全

    美國加快了制定網(wǎng)絡(luò )空間安全戰略的力度和步伐。奧巴馬政府上臺后動(dòng)作不斷，白宮相繼發(fā)布了《信息共享國家戰略》、《國家安全戰略》、《網(wǎng)絡(luò )空間政策評估報告》、《網(wǎng)絡(luò )空間可信身份國家戰略》、《網(wǎng)絡(luò )空間國際戰略》、《2012年信息共享與安全保障國家戰略》。隨后，美國國防部、國土安全部、商務(wù)部先后推出了本部門(mén)網(wǎng)絡(luò )安全戰略。同時(shí)，美國近年不斷加強網(wǎng)絡(luò )部隊的建設，已成為全球最主要的網(wǎng)絡(luò )攻擊策源地，2013年計劃新增40支網(wǎng)絡(luò )小隊，其中明確有13支的重點(diǎn)是進(jìn)攻，另外27支的重點(diǎn)是培訓和監控。2013年6月，美國“棱鏡”等互聯(lián)網(wǎng)監視項目曝光。

    美國依靠其在信息技術(shù)和產(chǎn)業(yè)上的巨大優(yōu)勢，繞過(guò)各國的信息安全防護，實(shí)現了對整個(gè)國際網(wǎng)絡(luò )空間的監控。

    根據美國關(guān)鍵基礎設施公司的報告數據，美國網(wǎng)絡(luò )安全事件數量從2009年的9起、2010年的41起，急劇增加到2011年的198起。由此，包括美國國防部長(cháng)在內的眾多政府高級官員呼吁國會(huì )通過(guò)相關(guān)法律，有效保護關(guān)鍵基礎設施網(wǎng)絡(luò )安全，保障美國經(jīng)濟穩定。2013年2月，美國總統奧巴馬簽署了名為《關(guān)于提升關(guān)鍵基礎設施網(wǎng)絡(luò )安全的決定》的行政令，旨在保護國家基礎設施免受網(wǎng)絡(luò )攻擊。奧巴馬在國情咨文中表示，“黑客們竊取人們的身份信息、入侵私人郵件、竊取企業(yè)秘密，試圖破壞電力網(wǎng)、金融機構和空中交通管制系統”。

    該行政令的主要內容包括：在國家層面上，美國總統正式認定“信息戰”會(huì )一直持續下去，是目前顯而易見(jiàn)的威脅。政府將與私營(yíng)部門(mén)合作建立“網(wǎng)絡(luò )安全框架”，實(shí)現網(wǎng)絡(luò )攻擊與威脅信息的共享，從而降低關(guān)鍵基礎設施的網(wǎng)絡(luò )安全風(fēng)險。如何降低“關(guān)鍵基礎設施的網(wǎng)絡(luò )安全風(fēng)險”的基本框架將由美國國家標準與技術(shù)研究所(NIST)制定。該基本框架包含一套標準、方法、步驟、流程，以及應對網(wǎng)絡(luò )安全風(fēng)險的非指定的技術(shù)手段。“網(wǎng)絡(luò )安全框架”的建立有助于將現有的政府項目向私營(yíng)部門(mén)擴展，這樣能讓更多的私營(yíng)部門(mén)的專(zhuān)家在一段時(shí)間內為政府服務(wù)。與此同時(shí)，該行政令規定了建立“網(wǎng)絡(luò )安全框架”的具體時(shí)間表，以及“網(wǎng)絡(luò )安全框架”對隱私狀況的影響的評估報告。行政令呼吁政府和機構加強政策協(xié)調，實(shí)現更廣泛的信息共享，但是該行政令并不具有和法律同等的效力，白宮期望能借此引入立法機制。

    《關(guān)于提升關(guān)鍵基礎設施網(wǎng)絡(luò )安全的決定》的行政令意在擴大聯(lián)邦政府與私營(yíng)企業(yè)合作的深度與廣度，以加強“關(guān)鍵基礎設施”部門(mén)的網(wǎng)絡(luò )安全管理與風(fēng)險應對能力。該行政命令通過(guò)提供法律依據、行政支持的方式從信息共享與加強安全措施兩個(gè)方面提高“關(guān)鍵基礎設施”網(wǎng)絡(luò )安全，如擴大網(wǎng)絡(luò )安全強化服務(wù)項目范圍，制定降低“關(guān)鍵基礎設施網(wǎng)絡(luò )安全風(fēng)險”的基本框架體系;充分利用網(wǎng)絡(luò )安全框架規范，評估、修訂各管理機構現行的網(wǎng)絡(luò )安全規范等。值得注意的是，該行政命令對上述措施實(shí)施過(guò)程的執行時(shí)間、執行流程和責任主體要求明確，使得此行政命令行之有效。

    歐洲：推行網(wǎng)絡(luò )安全戰略

    2013年2月，歐盟委員會(huì )公布了《網(wǎng)絡(luò )安全戰略》，出臺這一戰略的根本目的在于構建一個(gè)“公開(kāi)、自由和安全”的網(wǎng)絡(luò )空間，就如何預防和應對網(wǎng)絡(luò )中斷和襲擊提出全面規劃，以確保數字經(jīng)濟安全發(fā)展。“棱鏡門(mén)”事件也使得這一戰略更為實(shí)際，歐盟已經(jīng)加速其數據安全法律的制定。

    根據該戰略，歐盟在網(wǎng)絡(luò )安全方面有五項優(yōu)先工作：提升網(wǎng)絡(luò )的抗打擊能力、大幅減少網(wǎng)絡(luò )犯罪、在歐盟共同防務(wù)的框架下制定網(wǎng)絡(luò )防御政策和發(fā)展防御能力、發(fā)展網(wǎng)絡(luò )安全方面的工業(yè)和技術(shù)、為歐盟制定國際網(wǎng)絡(luò )空間政策。該戰略還提出一項立法建議，要求關(guān)鍵機構在遭受網(wǎng)絡(luò )襲擊時(shí)要向歐盟匯報，包括重要基礎設施的提供商、關(guān)鍵的網(wǎng)絡(luò )企業(yè)和公共行政部門(mén)。歐盟還要求各成員國制定相應戰略，成立專(zhuān)門(mén)機構以預防和處理網(wǎng)絡(luò )安全風(fēng)險和事故，并與歐盟委員會(huì )共享早期風(fēng)險預警信息。該戰略明確了各利益相關(guān)方的權利和責任，從國家、歐盟和國際三個(gè)層面，明確了各利益相關(guān)方在維護網(wǎng)絡(luò )安全過(guò)程中的角色——在國家層面，要求各成員國制定相關(guān)計劃，同時(shí)促進(jìn)國家機構與私營(yíng)企業(yè)之間的信息共享;在歐盟層面，鼓勵NIS主管部門(mén)、執法部門(mén)和國防部門(mén)開(kāi)展合作，并重點(diǎn)推動(dòng)政府部門(mén)間的信息共享;在國際層面，強調要加強與伙伴國及歐洲理事會(huì )、歐安組織等國際組織的合作。根據安全事件性質(zhì)和影響程度的不同，該戰略對發(fā)生重大網(wǎng)絡(luò )事件時(shí)的快速響應機制也做了相應界定。

    為有效應對網(wǎng)絡(luò )安全挑戰，該戰略確定了五大優(yōu)先戰略任務(wù)和行動(dòng)路徑：一是提升網(wǎng)絡(luò )恢復能力。要求成員國在政策、體制、意識、培訓方面步調一致，以共享機制促進(jìn)各國合作，提高公眾網(wǎng)絡(luò )安全意識和防御技能。二是強力打擊網(wǎng)絡(luò )犯罪。在法律、體制、能力建設方面形成合力，確定制止網(wǎng)絡(luò )犯罪的最佳實(shí)踐和可行技術(shù)。三是制定網(wǎng)絡(luò )防御政策。在歐盟網(wǎng)絡(luò )防御政策框架制定之下，借助北約軍民力量，增強歐盟網(wǎng)絡(luò )防御能力。四是尋求更多行業(yè)技術(shù)資源支持。以一個(gè)多方共同參與的平臺，在市場(chǎng)、標準、方案等方面加大投入，促進(jìn)創(chuàng )新。五是推動(dòng)雙邊多邊合作。強調與美國的雙邊合作，尋求與歐洲理事會(huì )、經(jīng)合組織、聯(lián)合國、歐洲安全組織、東盟等之間的多邊合作。

    日本：轉向網(wǎng)絡(luò )安全威脅防御

    2013年6月10日，日本國家信息安全中心(National Information Security Center，NISC)發(fā)布了《網(wǎng)絡(luò )安全戰略》，旨在創(chuàng )建“領(lǐng)先、彈性、活力的網(wǎng)絡(luò )空間”，實(shí)現“網(wǎng)絡(luò )安全立國”。據日本獨立行政法人情報通信研究機構相關(guān)調查數據：2013年日本遭受海外大規模網(wǎng)絡(luò )攻擊達128億次，上升趨勢明顯，盡管日本全國已經(jīng)設置了21萬(wàn)個(gè)網(wǎng)絡(luò )監控系統，但是依然難以抵御來(lái)自黑客的攻擊?；诖吮尘?，日本不得不改變原有的信息安全保障防護的策略，著(zhù)手制定出新的網(wǎng)絡(luò )安全國家戰略，旨在適應新形勢變化，通過(guò)多項措施加強網(wǎng)絡(luò )空間安全保障。

    《網(wǎng)絡(luò )安全戰略》主要內容是：首先，明確日本網(wǎng)絡(luò )安全戰略目標和基本原則。戰略目標是，通過(guò)發(fā)展“領(lǐng)先世界”、“彈性”和“有活力”的網(wǎng)絡(luò )空間，確保國家安全和危機管理、社會(huì )經(jīng)濟發(fā)展、內外部公共安全，實(shí)現一個(gè)能有效防范網(wǎng)絡(luò )攻擊、充滿(mǎn)創(chuàng )新的社會(huì )?；驹瓌t一是確保信息的自由流動(dòng)，二是提供新的措施應對日益嚴重的網(wǎng)絡(luò )安全風(fēng)險，三是增強基于風(fēng)險的響應，四是網(wǎng)絡(luò )安全參與各方基于各方的社會(huì )責任采取行動(dòng)和與他人合作。其次，明確網(wǎng)絡(luò )安全參與各方和職責。參與各方包括國家、關(guān)鍵基礎設施服務(wù)提供者、產(chǎn)業(yè)界和學(xué)術(shù)界、用戶(hù)和中小企業(yè)、網(wǎng)絡(luò )空間相關(guān)機構。國家負責網(wǎng)絡(luò )空間外交、國防和網(wǎng)絡(luò )犯罪打擊，增強處理上述三方面事務(wù)的能力。國家將賦予國家信息安全中心更多的權力，以使其成為網(wǎng)絡(luò )空間的指揮者，并在2016年底前完成對該中心的重組。信息通信技術(shù)、金融、航空、鐵路、電力、石油石化等十大關(guān)鍵基礎設施部門(mén)的服務(wù)提供者負責增強各自的網(wǎng)絡(luò )安全措施。產(chǎn)業(yè)界和學(xué)術(shù)界共同促進(jìn)先進(jìn)技術(shù)研發(fā)和信息安全人才培養。網(wǎng)絡(luò )空間相關(guān)機構負責信息技術(shù)產(chǎn)品脆弱性分析、網(wǎng)絡(luò )安全事件分析等。

    日本《網(wǎng)絡(luò )安全戰略》首次采用了“網(wǎng)絡(luò )安全”的概念，而不是以前戰略中的“信息安全”，標志著(zhù)日本對安全威脅認識的整體轉變。其中：一是日本政府將賦予國家信息安全中心更多權力，使其在網(wǎng)絡(luò )威脅應對中承擔“指揮官”角色，旨在形成網(wǎng)絡(luò )空間的國家合力。二是日本將重新界定關(guān)鍵基礎設施，不僅僅包括原有10類(lèi)關(guān)鍵基礎設施行業(yè)和部門(mén)，主要是針對日益變化的網(wǎng)絡(luò )安全威脅。三是繼續加強“官民協(xié)作”，實(shí)現與企業(yè)的信息共享，提高民眾網(wǎng)絡(luò )安全意識，使得監測、發(fā)現威脅并防范網(wǎng)絡(luò )攻擊的能力有效提高。四是基于現有的網(wǎng)絡(luò )空間國際法，加強與美國之間的國際合作。

    中國：建立日益完善的信息安全體系

    近三年，中國在網(wǎng)絡(luò )安全政策、產(chǎn)業(yè)、技術(shù)等方面取得較大進(jìn)展，國家對網(wǎng)絡(luò )安全的重視程度日益提高，網(wǎng)絡(luò )安全投入大幅增加，政策環(huán)境得到明顯改善;等級保護工作全面推進(jìn)，測評認證工作取得較大進(jìn)展，涉密信息系統分級保護快速發(fā)展，法律法規體系和標準化體系不斷完善，網(wǎng)絡(luò )安全基礎保障工作得到顯著(zhù)加強;產(chǎn)業(yè)規?？焖僭鲩L(cháng)，企業(yè)實(shí)力進(jìn)一步壯大，自主產(chǎn)品市場(chǎng)份額逐步增多，網(wǎng)絡(luò )安全產(chǎn)業(yè)支撐能力得到大幅提升;安全操作系統、安全芯片等基礎技術(shù)取得一定進(jìn)展，自主密碼技術(shù)取得較大突破，安全認證技術(shù)、可信計算技術(shù)取得豐碩成果，網(wǎng)絡(luò )安全技術(shù)體系得到不斷完善;政府間網(wǎng)絡(luò )交流取得積極進(jìn)展，標準化工作逐步融入國際體系，個(gè)別有實(shí)力的信息安全企業(yè)向國際市場(chǎng)進(jìn)軍，網(wǎng)絡(luò )安全領(lǐng)域國際合作邁出實(shí)質(zhì)性步伐。

    目前來(lái)看，中國已建立起信息安全標準化體系、信息安全產(chǎn)品的認證認可體系、信息安全等級保護體系，亦出臺了一系列信息安全方面的法律法規。“棱鏡門(mén)”后，中國對安全保障的重視程度更是達到前所未有的高度，2014年1月24日成立了國家安全委員會(huì )。

    摘自 中國計算機報