隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展和全面普及,人類生活、工作、思維方式正在發(fā)生深刻變革,以互聯(lián)網(wǎng)為主要載體的網(wǎng)絡(luò)空間和現(xiàn)實(shí)世界不斷融合,網(wǎng)絡(luò)空間成為繼陸、海、空、太空之外人類賴以生存的“第五空間”。
高度發(fā)達(dá)的信息網(wǎng)絡(luò)已然成為國家經(jīng)濟(jì)發(fā)展的重要支柱與動(dòng)力。借助網(wǎng)絡(luò)空間奪取信息霸權(quán),獲取軟權(quán)力,輸出意識(shí)形態(tài)或政治價(jià)值觀念,塑造國際規(guī)則和決定政治議題,成為大國建立國際新秩序的重要方法和途徑。
本文從多個(gè)角度分析對(duì)比了中國、美國的網(wǎng)絡(luò)安全戰(zhàn)略。知己知彼,審時(shí)度勢(shì),因勢(shì)而謀,希望借此啟發(fā)安全同行間的理性探討。
1.美國網(wǎng)絡(luò)安全戰(zhàn)略綜述
美國是互聯(lián)網(wǎng)技術(shù)最主要的發(fā)源地,也是互聯(lián)網(wǎng)應(yīng)用最為普及、對(duì)網(wǎng)絡(luò)依賴性很高的國家,網(wǎng)絡(luò)安全問題成為美國主要現(xiàn)實(shí)隱患之一。為維護(hù)網(wǎng)絡(luò)空間安全,美國積極打造網(wǎng)絡(luò)安全保障體系,并在其國策中突出強(qiáng)調(diào)信息安全的重要地位,力圖利用網(wǎng)絡(luò)空間帶來的新發(fā)展機(jī)遇,繁榮經(jīng)濟(jì)和推動(dòng)國家發(fā)展,以實(shí)力保安全、以安全保發(fā)展成為世界網(wǎng)絡(luò)與信息安全發(fā)展大勢(shì)。
美國的信息安全政策從克林頓、小布什、到奧巴馬,再到特朗普時(shí)期,經(jīng)過提出、細(xì)化、體系化,到國際化的過程,逐步成熟。美國近年來的信息安全政策目標(biāo)并不僅僅是本國網(wǎng)絡(luò)安全,更著眼于戰(zhàn)略競(jìng)爭(zhēng),搶抓網(wǎng)絡(luò)規(guī)則制定權(quán),爭(zhēng)奪網(wǎng)絡(luò)空間領(lǐng)域戰(zhàn)略優(yōu)勢(shì)。
美國網(wǎng)絡(luò)安全戰(zhàn)略具有突出特點(diǎn):
1)強(qiáng)化信息安全頂層設(shè)計(jì),以網(wǎng)絡(luò)空間國際戰(zhàn)略提出國際理念,旨在謀求網(wǎng)絡(luò)空間霸權(quán)。美國網(wǎng)絡(luò)安全戰(zhàn)略推演,共經(jīng)歷了四個(gè)階段,從“建網(wǎng)絡(luò)”、“保網(wǎng)絡(luò)”、“管網(wǎng)絡(luò)”再到“控網(wǎng)絡(luò)”,戰(zhàn)略包含法律法規(guī)、組織管理、技術(shù)以及執(zhí)行四個(gè)方面。從階段性特點(diǎn)來看,美國四任總統(tǒng)實(shí)施的網(wǎng)絡(luò)安全政策,歷經(jīng)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施,擴(kuò)展先發(fā)制人的網(wǎng)絡(luò)打擊,到謀取全球制網(wǎng)權(quán)的演變,凸顯“擴(kuò)張性”本質(zhì)。
2)加強(qiáng)網(wǎng)絡(luò)安全立法工作,逐步提升信息安全保障能力。在網(wǎng)絡(luò)安全立法方面,美國走得最早、也走得最遠(yuǎn)。美國國會(huì)的網(wǎng)絡(luò)安全立法是一項(xiàng)系統(tǒng)工程,內(nèi)容復(fù)雜、覆蓋面廣,但是條理清晰、進(jìn)程不斷加速。美國通過各項(xiàng)立法,較為清晰地厘清了政府各個(gè)機(jī)構(gòu)在網(wǎng)絡(luò)安全領(lǐng)域的角色與職能。法律法規(guī)覆蓋的領(lǐng)域也從早期的規(guī)范網(wǎng)絡(luò)色情開始,不斷發(fā)展到網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)保護(hù)和打擊網(wǎng)絡(luò)恐怖主義等各個(gè)方面,已形成了一整套較為完善的法律法規(guī)體系。
3)構(gòu)建信息安全機(jī)構(gòu)“三駕馬車”,提出“網(wǎng)絡(luò)威懾”觀念實(shí)施積極防御。美國構(gòu)筑網(wǎng)絡(luò)空間打擊能力、滲透能力、防御能力體系,一直以美國國家安全局、中央情報(bào)局和國土安全部為核心。通過強(qiáng)化政府的安全職能,改組信息管理機(jī)構(gòu),設(shè)立層層主管機(jī)構(gòu),加強(qiáng)網(wǎng)絡(luò)監(jiān)控力度,美國逐步形成一整套完備的信息安全防范體系。除此之外,美國是目前世界上唯一提出主動(dòng)網(wǎng)絡(luò)攻擊的國家,并由國家安全局牽頭組建了世界上規(guī)模最大的網(wǎng)絡(luò)戰(zhàn)部隊(duì)。與此同時(shí),世界最大的情報(bào)部門——美國中央情報(bào)局,近年來在中東、北非等地實(shí)施網(wǎng)絡(luò)滲透和秘密活動(dòng),已經(jīng)成為公開的秘密。
4)頻發(fā)政令,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)。“9·11”和“斯諾登”事件發(fā)生以后,美國逐步意識(shí)到其面臨的網(wǎng)絡(luò)安全威脅正在快速增長(zhǎng),已經(jīng)給關(guān)鍵基礎(chǔ)設(shè)施帶來嚴(yán)重的安全隱患。美國在原有的國土安全辦公室的基礎(chǔ)上,成立了國土安全部,將關(guān)鍵基礎(chǔ)設(shè)施保護(hù)提升到國家安全的高度。此外,美國還特別重視強(qiáng)調(diào)公私合作和信息共享,專門在聯(lián)邦調(diào)查局成立了國家基礎(chǔ)設(shè)施保護(hù)中心,連接美國所有行政部門及私營部門的信息共享和分析中心,對(duì)網(wǎng)絡(luò)攻擊提供實(shí)時(shí)報(bào)警、綜合分析、執(zhí)法調(diào)查和應(yīng)急響應(yīng)活動(dòng)。
5) 加大信息技術(shù)研發(fā)的力度,以市場(chǎng)牽引為主,以政府調(diào)控為輔,促進(jìn)信息技術(shù)產(chǎn)業(yè)化發(fā)展。美國作為全球網(wǎng)絡(luò)信息技術(shù)的發(fā)源地,誕生了賽門鐵克、麥咖啡和趨勢(shì)科技等早期安全企業(yè)。幾十年來,美國的政府、科研機(jī)構(gòu)和企業(yè)攜手合作,推動(dòng)著全球網(wǎng)絡(luò)信息技術(shù)產(chǎn)業(yè)的發(fā)展進(jìn)程,以蘋果、谷歌、IBM、微軟、甲骨文、思科、英特爾等為代表的IT 巨頭在信息安全產(chǎn)業(yè)架構(gòu)中充當(dāng)著堅(jiān)實(shí)的地基,成功控制著全球網(wǎng)絡(luò)信息產(chǎn)業(yè)鏈的主干。美國充分發(fā)揮企業(yè)在信息產(chǎn)業(yè)創(chuàng)新過程中的能動(dòng)性,大力推動(dòng)與基礎(chǔ)研究和核心技術(shù)相關(guān)的各種自主研發(fā)、應(yīng)用研發(fā)和市場(chǎng)拓展,努力促進(jìn)信息技術(shù)產(chǎn)業(yè)化發(fā)展,因此取得了重大成就。
6)加快信息安全人才培養(yǎng), 增強(qiáng)民眾的信息安全意識(shí)。美國在網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)方面設(shè)計(jì)了清晰的戰(zhàn)略,社會(huì)各界基本形成了人才隊(duì)伍培養(yǎng)、管理和使用的體系化合作,充分地彌補(bǔ)了網(wǎng)絡(luò)信息安全人才供給不足等問題。2011 年8 月,美國國家標(biāo)準(zhǔn)技術(shù)研究所牽頭發(fā)布了《網(wǎng)絡(luò)空間安全人才隊(duì)伍框架(草案)》,對(duì)網(wǎng)絡(luò)安全人才的能力、知識(shí)、崗位職責(zé)提出了具體要求,隨后幾年該框架數(shù)度更新,充分體現(xiàn)了美國對(duì)網(wǎng)絡(luò)安全人才的重視程度及對(duì)網(wǎng)絡(luò)安全問題認(rèn)識(shí)的不斷轉(zhuǎn)變。
2.我國網(wǎng)絡(luò)安全戰(zhàn)略綜述
我國正在努力建設(shè)網(wǎng)絡(luò)強(qiáng)國,亟待一個(gè)完善的網(wǎng)絡(luò)信息安全政策體系作為強(qiáng)有力的支撐。2014 年我國成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,由中央網(wǎng)信辦落實(shí)中央精神統(tǒng)抓協(xié)管、大刀闊斧開展工作,從頂層設(shè)計(jì)、戰(zhàn)略制定、法規(guī)完善、科學(xué)管理、強(qiáng)化自主可控、開展國際合作等方面大步向前推進(jìn),國家網(wǎng)絡(luò)信息安全政策不斷完善,網(wǎng)絡(luò)與信息安全中的各項(xiàng)工作得到長(zhǎng)足推進(jìn),同時(shí)也暴露出了一些差距和不足。
1)網(wǎng)絡(luò)安全戰(zhàn)略的制定與發(fā)布,是國家網(wǎng)絡(luò)安全頂層設(shè)計(jì)的核心與關(guān)鍵。近年來,我國陸續(xù)發(fā)布了國家層面的信息安全戰(zhàn)略與政策文件。2016 年12 月,國家互聯(lián)網(wǎng)信息辦公室正式發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》,它是我國第一次向全世界系統(tǒng)、明確地宣布和闡述對(duì)于網(wǎng)絡(luò)空間發(fā)展和安全的立場(chǎng)和主張,是指導(dǎo)國家網(wǎng)絡(luò)安全工作的綱領(lǐng)性文件。目前,我國網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)文書已有近百部,內(nèi)容涉及網(wǎng)絡(luò)安全的多個(gè)領(lǐng)域,已初步建立形成了我國信息安全法律法規(guī)框架體系和多層級(jí)的立法體系結(jié)構(gòu)。目前來看,我國信息安全戰(zhàn)略、政策與法律已經(jīng)比較完備。但是,與國家網(wǎng)絡(luò)空間安全戰(zhàn)略相配套的網(wǎng)絡(luò)安全綜合政策略顯不足,《網(wǎng)絡(luò)安全法》與其他現(xiàn)行法律在具體表述和協(xié)調(diào)銜接等方面仍有不完善之處,有待進(jìn)一步調(diào)整與完善。
2)在網(wǎng)絡(luò)安全保障政策方面,國務(wù)院發(fā)布了大量條例及規(guī)定等政策條款。國家組織制定了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等一大批安全保護(hù)法案及標(biāo)準(zhǔn),初步構(gòu)成了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系,為重要行業(yè)部門開展網(wǎng)絡(luò)安全管理和技術(shù)措施提供了保障。目前我國尚未形成國家體系化的風(fēng)險(xiǎn)評(píng)估制度。盡管從等級(jí)保護(hù)角度定義了待評(píng)估信息系統(tǒng)的安全等級(jí),但不同行業(yè)間同級(jí)別業(yè)務(wù)信息系統(tǒng)的安全關(guān)聯(lián)性差,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在同一行業(yè)不同產(chǎn)業(yè)鏈環(huán)節(jié)業(yè)務(wù)信息系統(tǒng)上的傳導(dǎo)或不同行業(yè)間業(yè)務(wù)信息系統(tǒng)的傳導(dǎo)難以體現(xiàn),從而無法從國家整體上把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況和態(tài)勢(shì),也就難以明確評(píng)估系信息安全保障重點(diǎn)、確定相應(yīng)的網(wǎng)絡(luò)安全政策取向、人財(cái)物投入等。
3)將互聯(lián)網(wǎng)信息內(nèi)容治理納入法治化軌道,是推進(jìn)互聯(lián)網(wǎng)信息內(nèi)容治理體系建設(shè)和治理能力提升的基石所在。目前,我國已經(jīng)建成的互聯(lián)網(wǎng)信息內(nèi)容監(jiān)管的法律體系主要包括:互聯(lián)網(wǎng)基礎(chǔ)資源管理法規(guī)、互聯(lián)網(wǎng)信息內(nèi)容服務(wù)監(jiān)管法規(guī)、與互聯(lián)網(wǎng)信息內(nèi)容有關(guān)的其他法規(guī)、網(wǎng)絡(luò)著作權(quán)保護(hù)、個(gè)人信息保護(hù)以及打擊互聯(lián)網(wǎng)非法信息內(nèi)容犯罪等方面。從最近十多年的發(fā)展經(jīng)驗(yàn)來看,我國互聯(lián)網(wǎng)信息內(nèi)容安全法律法規(guī)的體系建設(shè)在不斷加快,不僅相關(guān)法律文本的數(shù)量不斷增長(zhǎng),同時(shí)涉及領(lǐng)域、覆蓋范圍不斷擴(kuò)大。根據(jù)網(wǎng)絡(luò)空間的建設(shè)發(fā)展,互聯(lián)網(wǎng)信息內(nèi)容安全的相關(guān)政策急需不斷完善,為下步深入打造清朗有序的網(wǎng)絡(luò)空間提供立法、執(zhí)法的依據(jù)。
4)我國一直關(guān)注產(chǎn)業(yè)發(fā)展。在我國網(wǎng)絡(luò)強(qiáng)國的目標(biāo)愿景中“戰(zhàn)略清晰、技術(shù)先進(jìn)、產(chǎn)業(yè)領(lǐng)先、攻防兼?zhèn)洹倍寂c產(chǎn)業(yè)的發(fā)展息息相關(guān)。現(xiàn)階段我國信息安全產(chǎn)業(yè)方面的政策仍然存在一些問題,主要表現(xiàn)在政策頂層設(shè)計(jì)和宏觀調(diào)控不足,政策存在缺失、滯后現(xiàn)象,整體政策力度不夠,政策落實(shí)不到位以及政策存在不適應(yīng)性等方面。
5)國家對(duì)信息安全人才培養(yǎng)高度重視,相關(guān)的政策扶持及資源投入持續(xù)增進(jìn)。現(xiàn)階段我國信息安全人才隊(duì)伍建設(shè)存在較為突出的問題,從國家政策角度出發(fā),主要表現(xiàn)在:缺少對(duì)專業(yè)人才資格認(rèn)證和資質(zhì)認(rèn)定的制度化和規(guī)范化管理,對(duì)國家核心涉密崗位和重點(diǎn)網(wǎng)絡(luò)相關(guān)工作崗位的從業(yè)人員進(jìn)行有效的管控,對(duì)信息安全高端人才缺少特殊政策的扶持和政策傾斜,對(duì)敏感信息安全人員(如黑客)缺少有效的管控政策。
6)近年來,我國積極參與國際網(wǎng)絡(luò)空間發(fā)展動(dòng)作,先后與美、英、法等國簽訂相關(guān)戰(zhàn)略合作條款,推進(jìn)網(wǎng)絡(luò)空間領(lǐng)域合作。現(xiàn)階段我國面臨的網(wǎng)絡(luò)空間國際環(huán)境不容樂觀,西方發(fā)達(dá)國家“虎視眈眈”,技術(shù)與政策打壓和戰(zhàn)略不互信使得我國在信息安全的工作開展中尤為被動(dòng)。作為剛剛崛起的發(fā)展中國家,我國信息安全領(lǐng)域的國家合作尚沒有走上規(guī)范化的道路,相關(guān)交流合作較為零散,重點(diǎn)領(lǐng)域缺少合作交流,很多現(xiàn)有的合作領(lǐng)域過于低端,國際會(huì)議實(shí)質(zhì)性問題涉獵不足,很多情況流于形式,難以在交流中實(shí)際獲益。隨著網(wǎng)絡(luò)空間的發(fā)展變革,多邊交流勢(shì)在必行。網(wǎng)絡(luò)空間問題單靠一個(gè)國家很難應(yīng)對(duì),當(dāng)前最大的問題是圍繞核心領(lǐng)域開展國際務(wù)實(shí)合作的工作沒有落到實(shí)處。
3.中美網(wǎng)絡(luò)安全戰(zhàn)略對(duì)比
1)頂層設(shè)計(jì)
2)法律法規(guī)
3)安全產(chǎn)業(yè)
據(jù)Cybersecurity Ventures發(fā)布的2018全球網(wǎng)絡(luò)安全企業(yè)500強(qiáng)名單,美國有358家上榜,中國8家上榜。
網(wǎng)絡(luò)安全企業(yè)500強(qiáng)評(píng)選依據(jù)包括:客戶基礎(chǔ)、CISO和決策者的反饋、IT安全評(píng)估員和推薦人的反饋、VAR,SI和顧問的反饋、風(fēng)險(xiǎn)投資、公司成長(zhǎng)、產(chǎn)品的評(píng)價(jià)、會(huì)議演示和演講、企業(yè)營銷與品牌、媒體報(bào)道、公司重要舉措、創(chuàng)始人和管理層、高級(jí)管理人員訪談。
4)人才培養(yǎng)
5)漏洞管理
部分文字摘自《中美網(wǎng)絡(luò)信息安全政策比較與評(píng)估》(《信息安全與通信保密》雜志),由安數(shù)網(wǎng)絡(luò)重新整理完成,如涉及侵權(quán),請(qǐng)及時(shí)與我們聯(lián)系,我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。電話:400-869-9193 負(fù)責(zé)人:張明
及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)
【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用
本文來源:網(wǎng)絡(luò)
如涉及侵權(quán),請(qǐng)及時(shí)與我們聯(lián)系,我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負(fù)責(zé)人:張明
工商執(zhí)照