美国网络安全信息共享的政策经验及其对我国的启示
谢晶仁
(湖南省社会科学院,湖南 长沙 410003)
【摘 要】 网络安全信息共享主要包括网络威胁指标和防御性措施两个方面。实施网络安全信息共享,有利于实现国与国之间、本国各级政府之间、本国政府与私营企业之间、国内私营企业之间的信息共享。美国在网络安全信息共享方面制定了许多切实可行的政策,也积累了丰富的经验。对美国网络安全信息共享机制进行研究,能够为我国网络安全信息共享机制的建立提供有益的参考和借鉴。
【关键词】 国家安全;网络安全;网络信息;网络信息共享
20世纪90年代后期,美国第一次提出“网络安全信息共享”的概念[1],其目的在于实现国与国之间、本国各级政府之间、本国政府与私营企业之间、国内私营企业之间的信息共享。那么,如何达到这一目的,就需要建立和完善政府与企业之间、企业与企业之间的网络安全信息共享机制,健全网络安全风险识别机制、风险评估机制、风险预防机制和风险控制机制,增强网络信息安全共享环节的技术能力和资源优势,实现双向的及时的网络信息安全交换。
一、美国网络安全信息共享的主要政策
网络安全信息共享是多个利益主体协同共治模式。面对网络空间安全威胁的严峻挑战,多个利益主体通过相互分享安全信息的形式增强共享组织体的网络安全保护能力,减少或降低整个群体所面临的网络安全风险。为此,美国在网络安全信息共享方面制定了一系列政策:
今天,我国的物流业多项指标已经排名在世界前列,论规模已经成为世界物流大国。据了解,中国的物流市场已经达到12万多亿元,这已经超出美国的9万多亿元,论市场规模已经成为世界第一。
(一)信息安全管理政策
顶层设计是政策制定的重要选择。以顶层设计的方式将网络安全信息管理纳入国家长期发展战略,作为美国联邦机构的重要职责之一。它主要包括定期实施风险评估、制定安全保障计划、实施信息安全培训、检测评估策略有效性等职责。[2]在近几届总统任职期间,美国政府先后推出了一系列网络安全信息方面的政策,目的就是要维护本国网络空间安全。克林顿政府时期,美国公布了“国家安全战略”,以保障国家网络信息安全;布什政府时期,美国推出了“网络空间国家战略”,以保障国家网络空间安全;奥巴马政府时期,美国实施了“网络空间国际战略”“网络空间军事行动战略”“网络安全行动计划”等,以提升国家网络安全信息的水平。[3]
(二)网络风险评估政策
风险评估是组织确定信息安全需求的有效途径,是风险管理的前提基础。[4]美国国土安全部以NIPP风险管理框架进行探索,识别、评估并优先降低对国家关键功能的风险,从而保护国家政治安全、经济安全和文化安全。美国国防部将TCSEC/CC、DITSCAP/DIACAP、IA-CMM作为衡量国家网络信息系统安全的标准,国防部属下的国家安全局主要负责保密信息系统的安全工作。国家安全局局长负责本国的网络信息安全。国家安全系统的保密信息包括美国宪法2315款第102项规定的信息,涉及情报的活动、与国家安全有关的隐蔽活动、军队的指挥与控制、武器和武器系统的设备、完成军事或情报任务的设备等。[5]
(三)网络漏洞管理政策
漏洞是网络安全的命门。[6]美国在网络漏洞管理方面的政策主要包括两个方面:一方面,建立国家漏洞库(NVD)。NVD的最大特点就是数据统计,然后对漏洞进行分析,可以说功能十分强大,并且有利于推动网络安全信息共享。美国政府发挥NVD的优势和作用,无偿地为网民提供网络漏洞的软件下载,防止出现网络漏洞或解决网络漏洞相关问题。另一方面,开展漏洞的分类、评级等。加强政府部门、安全组织与商业公司之间的密切合作,及时发布有关预防网络漏洞的信息。
(四)关键基础设施保护政策
“棱镜门事件”发生以后,美国逐步意识到网络安全对其发展来说越来越重要,且网络空间威胁正在增长,给网络关键基础设施保护带来了严峻挑战。基于这样的认识,美国政府成立了国土安全部,强化关键基础设施的保护,以网络空间安全促进国家安全。从2001年至今,历任美国总统陆续发布了20余项法律、法案、战略、政策等,诸如“国家信息基础设施保护法”“爱国者法案”“关键基础设施信息法案”“网络空间政策评估报告”“国家基础设施保护计划”“国土安全网络和物理基础设施保护法案”等。[12]其一,扩大关键基础设施保护的领域和范畴,诸如“关键基础设施和重要资产物理保护的国家战略”“关键基础设施安全性及恢复力”等文件[13],这表明美国政府对关键基础设施的保护在不断加强。其二,调整关键基础设施安全保护的领导机构,诸如颁布“关键基础设施保护”“信息时代保护关键基础设施”等文件,以此强化本国关键基础设施的保护。其三,成立国家基础设施保护中心,对网络攻击实时报警,并且对网络攻击进行综合分析和执法调查,全面提升美国网络突发事件的应急能力。
(五)网络安全审查政策
网络安全审查不同于当前的网络安全认证和检测,重点审查网络产品和服务的安全性、可控性。美国在网络安全审查的主要政策体现在以下三个方面:一是严格限制外资活动和对外采购,诸如埃克森-弗罗里奥修正案、政府采购条例、国防部公布临时政策、合同商采购的产品等。这些既赋予了美国总统基于国家安全而采取行动的权利,也对外国采购行为作出了明确界定。二是依法管控网络内容。美国“电信法”(1996年)对互联网世界与现实世界实施严格管控,确保网络管控对象的一致性。三是依法实施网络管理。“儿童互联网保护法”“电脑信息传送法”等法的实施,进一步明确了美国网络安全信息管理的严肃性。
(六)网络犯罪整治政策
网络空间的打击能力、渗透能力、防御能力等方面的增强是一个国家网络信息安全的重中之重,也是美国国家安全局、中央情报局、国土安全部的核心工作。近年来,美国的网络信息安全防范体系得到逐步完善,网络信息管理机构得到进一步改善,网络信息安全的监控力得到提升。同时,美国中央情报局在中东、北非等地区实施网络渗透活动,试图破坏该地区的社会稳定。“9·11”以后,美国政府成立了国土安全部,把它作为国家网络安全的核心部门,制定国家网络安全防护计划,多次举行网络攻防和对抗演习,积极发展网络空间军事力量,极大地提升了美国网络部队的作战能力。
资源优化 我国高校以院系为单位,一个学院一般设置几个不同专业,因此,学院就需要建设几个相应的专业实验室。与基础实验室相比,专业实验室定位更为精准,课程安排严格按照理论课的进度,但是这也局限了专业实验室的使用率,资源不能被充分利用,在学院内部较难实现资源共享。专业实验室因其特殊性,一方面需要很多仪器满足实验教学;另一方面面向学生较少,仪器利用率并不高,甚至导致一些仪器被闲置,造成资源浪费[7]。另外,不同专业实验室中不可避免会有设备重复的情况,尤其是一些大型贵重仪器,重复性高也是一种资源浪费。鼓励专业实验室开放,即是避免资源浪费,以进一步提升资源共享。
二、美国网络安全信息共享的基本经验
随着互联网的普及以及网络技术的日新月异,极大地改变人类社会的生产生活方式,基本形成了人类独立于陆地、海洋、航空、航天之外的第五维空间[9]。网络空间已经成为各国优先争夺的重要战略空间,网络空间安全在国家安全、社会民生、经济发展和政府事务中的基础性作用日渐凸显。随着网络信息的不断丰富以及“国家安全观”的内涵拓展,美国逐步建立了一套“以系列政策法律文件为基础,以保障网络空间安全为核心,以组织机构体系建设为重点,以激励机制为保障,以公民隐私保护为补充”的网络安全信息共享机制。概括起来,主要体现在以下几个方面:
(一)突出信息安全顶层设计
美国网络安全政策经历了建网络、保网络、管网络、控网络的阶段,其中包括法律法规、组织管理、技术执行、政策实施等战略。[10]从网络安全政策的发展阶段来看,美国历任总统都十分重视关键基础设施的保护,主张先发制人的网络打击,推行全球制网权。这既体现了美国网络侵权的本质,也彰显了美国政府推行网络空间霸权主义的思维。2015年4月,美国政府公布新的“网络空间国际战略”,并将网络战当作美国的主要作战方法。同时,在推进网络安全信息战略过程中,美国历任总统亲自挂帅,并以总统令的形式对外发布有关网络空间安全方面的战略举措,确保本国网络空间安全战略的连续性和稳定性。
本文所指的新生代农民主要是指出生于20世纪80年代与90年代,年龄在16岁以上,在异地以非农就业为主的农业户籍人口。
(二)注重网络信息安全立法
网络信息安全立法是一项系统工程,其涉及领域广、针对性强,需要政府多个部门共同努力才能完成。美国是世界上第一个网络安全立法的国家,并且其相关法律越来越健全,领先世界各国。近年来,美国发布了许多与网络空间安全相关的联邦法律,据有关权威部门统计就有50部左右,这些法律大多涉及网络知识产权保护、关键基础设施保护、网络恐怖主义打击等内容。随着时间的推移,美国网络安全立法进程不断加快,既对原有法规进行整合,也对相关法律法规进行修订,诸如“联邦计算机系统保护法”“伪造接入设备及汁算机欺诈滥用法”“电子通信隐私法”“计算机安全法”“高性能计算机及网络法”“信息技术管理改革法”“统一电子交易法”“网络安全研发法”“国土安全法”“网络安全法案”等网络安全法。[11]美国通过不断的立法,制定系列法律法规,形成较为完整的网络安全信息法律体系。
(三)强化信息安全机构建设
网络犯罪是行为人运用计算机技术,借助于网络对其系统或信息进行攻击,破坏或利用网络进行其他犯罪。[8]美国在网络犯罪的打击和整治方面积累了许多成功的经验:一是拟定网络安全制裁计划,允许政府对网络犯罪负有责任的企业进行经济制裁。二是建立网络威胁情报整合中心,加强中心与政府相关部门的沟通协作,共同研究防治和打击网络犯罪措施,有效整合各方面的信息资源,严厉打击和整治网络犯罪活动,始终保持高压态势,从而增强美国政府抵御网络犯罪的能力。
(四)加大关键基础设施保护
关键基础设施是网络设施和信息系统一旦受到外来攻击,就有可能导致其功能丧失,危害国家安全或公共利益。美国政府在关键基础设施保护政策方面进行了有益的探索,并制定了许多相关政策。一方面,对关键基础设施的内涵及范畴进行了科学界定。美国克林顿政府于1996年第13010号行政令对关键基础设施进行了科学分类,诸如电信、电力系统、银行和金融、交通运输、紧急服务、政府连续性等;布什政府在2003年发布了“关键基础设施和重要资产物理保护国家战略”,并对关键基础设施进行了分门别类,诸如农业与食品、公共卫生、通信、能源、金融服务、政府设施、医疗保健和公共卫生等;布什政府在2003年第7号总统令对“关键基础设施标识、优先级和保护”进行了分类,并对国家重要基础设施和关键资源进行了重新界定。[7]另一方面,对公私合作和信息共享提出了明确要求。1998年美国政府新建“国家基础设施保护中心”,致力于加强政府与私营企业之间的合作;美国政府(2002年)“网络空间安全战略”中明确指出要重视私营部门的作用,同时推出了“国土安全法”,确立了关键基础设施信息的共享程序。
美国是世界上网络信息技术最发达的国家,也是世界上信息产业核心技术的领先国家。在财政支持、税收减免、金融支持等政策的引领下,美国互联网新企业、新技术的应运而生,诸如赛门铁克、麦咖啡、趋势科技等企业迅速成为信息安全产业快速发展的保障力量。多年来,美国政府、科研机构与企业广泛开展合作,推动全球网络信息技术快速发展,加快基础研究和核心技术相关的自主研发、应用研发的进程,诸如谷歌、微软、甲骨文等。此外,美国政府加大网络安全信息技术人才培养力度,提升网络信息技术人才的综合能力。与此同时,美国政府还制定了相关政策,支持和鼓励网络安全信息技术人才不断创新。
(五)强化网络信息技术研发
海岸电台根据通信设备组成和使用环境要求,相应分为发信台、收信台和中控台三个功能区域。南海海域除广州海岸电台为三址台外,其他海岸电台均为二址台。
三、美国网络安全信息共享对我国的启示
网络安全信息基础设施,已经成为世界各国加强网络空间安全制度建设的核心内容。[14]一是要建立关键信息基础设施名录,科学制定相关政策文件,明确网络安全信息保护要求;二是要加强统筹协调。保护关键基础设施安全是一项长期任务,涉及多个部门、多个行业和多个领域,需要多个部门统筹协调,既要从宏观层面制定相关政策,也应建立相关协调机制,明确关键信息基础设施保护的具体职能。三是要建立健全关键基础设施信息共享机制。保护关键基础设施运营者的利益是实施关键基础设施信息共享机制的重要选择。因此,要注重网络信息共享的保密性,让企业能自愿且放心地交换各种信息,以此达到双赢目的。
(一)加强关键基础设施保护
网络安全信息共享主要包括网络威胁性指标和防御性措施两大类,成为有效防御网络攻击的关键要素,并且为打击网络犯罪、网络间谍、网络恐怖主义等发挥着重要作用。基于此,对美国网络安全信息共享机制进行研究,能够为我国政府与企业之间、各级政府之间、企业与企业之间网络安全信息共享机制的建立提供有益的参考和借鉴。
(二)建立健全法律法规体系
网络安全信息的法律法规是保障公民、法人和其他组织合法权益的重要保障。一是要坚持刑法、国家安全法等国家现有法律与“网络安全法”的有效衔接,维护国家网络空间主权,切实保障公民合法权益;二是要增加、修订、完善与网络安全相关的法律条款,切实增强现行法律法规的可操作性;三是要出台相关司法解释和指导意见,推动现有法律法规延伸或适用到网络空间。
发病前用25%嘧菌酯1500倍液~2000倍液喷雾预防。发病初期,用20%三唑酮(粉锈宁)乳油800倍液~1000倍液,加优质叶面肥,或用1%多抗霉素可湿性粉剂800倍液、或12.5%烯唑醇可湿性粉剂600倍液。或10%氟硅唑(福星)7500倍液、或70%甲基托布津可湿性粉剂1000倍液~1500倍液,或50%硫悬浮剂200倍液~400倍液,75%百菌清可湿性粉剂500倍液~800倍液,或10%苯醚甲环唑(世高)1500倍液喷雾防治。隔7d~10d防治1次,连续防治2次或3次。药剂交替使用,每种药剂只能使用1次。采收前5d~7d停止用药。
(三)强化网络信息安全标准建设
网络安全信息标准是通过制定网络安全信息管理制度、建立责任制等措施,排查网络空间安全隐患和危险源。一是要建立与国家网络安全信息工作相适应的技术标准体系,牢牢守住国家网络空间安全底线;二是要有超前思维,做好新技术标准的预研和制定,进一步加强网络信息新技术预研的规范化管理;三是要出台相关激励措施,既发挥自己的主观能动性,也调动一切积极因素,主动参与网络安全信息的国际标准制定,增强本国的国际话语权。
(四)完善网络安全审查制度
网络安全审查是建立和完善网络空间安全保障体系的重要步骤。开展网络安全审查,有利于从网络信息供应链角度最大限度地降低网络产品和服务的安全风险。因此,应以网络安全审查为基础,建立和完善大数据、云计算等网络安全信息管理制度;应建立健全网络安全信息审查工作体系,制定有利于网络安全信息共享的相关配套政策,对网络信息内容进行严格审查,倡导文明上网,确保相关制度的严肃性和可操作性。
如图2所示,0.5%~2.0%SHLI组细胞存活率与RBL-2H3细胞和KU812细胞对照组比较无明显差异,表明SHLI无明显细胞毒性。
(五)注重自主创新产品研发
自主创新是通过拥有自主知识产权的独特的核心技术以及在此基础上实现新产品价值的过程。[15]进行自主创新,就是要拥有自主知识产权的产品、品牌等。一方面,应制订“国家信息领域核心技术设备发展战略”,确立相关主攻方向,实现核心技术设备新突破;另一方面,应出台推广应用自主可控产品的指导性意见,明确自主可控产品的相关要求及其用途,确保网络信息可控产品的安全性。
(六)创新人才培养机制
网络安全人才是解决网络空间安全问题的重要因素,是预防和解决网络安全风险问题的关键。一是要制定网络安全信息人才发展战略,把握网络安全信息人才的基本要求,明确网络安全信息人才培养的主要目标,确立网络安全信息人才培养的标准;二是要加强网络安全信息培训机构建设,既要出台相关政策性文件,也要从财政、金融、税收等方面对培训机构给予支持,并且鼓励其发展壮大;三是要进一步规范网络安全信息培训机构。既要对相关培训机构的资质进行严格审查,又要对不规范或违法的培训机构进行从严查处,并且吊销其营业执照,触犯法律的要移送司法机关处理。
参考文献:
[1]刘金瑞.美国网络安全立法近期进展及对我国的启示[J].暨南学报(哲学社会科学版),2014,(3).
[2]国家保密科技测评中心研究室.美国联邦信息系统安全标准制定实施规划研究[J].保密科学技术,2012,(10).
[3]本刊编辑部.2011年世界主要国家和地区信息安全建设情况[J].中国信息安全,2012,(1).
[4]郭磊.信息安全等级保护与风险评估[J].电子技术与软件工程,2018,(1).
[5]丁先存,王辉,段华洽.论电子政务中信息安全及法律保护[J].中国行政管理,2002,(10).
[6]杨世福.计算机网络安全的主要问题及对策研究[J].中国新技术新产品,2018,(9).
[7]左晓栋等.美国网络安全战略与政策二十年[M].北京:电子工业出版社,2018.
[8]陈步宇,张运燕.分析网络犯罪洗钱风险现状及对策[J].金融科技时代,2013,(12).
[9]王春晖.美国网络安全立法的思考及对我国的启示[J].中国信息安全,2014,(9).
[10][13]张舒,刘洪梅.中美网络信息安全政策比较与评估[J].信息安全与通信保密,2017,(5).
[11]周季礼,李慧.美国构筑网络安全顶层架构的主要做法及启示[J].信息安全与通信保密,2015,(8).
[12]蔡翠红.美国网络空间先发制人战略的构建及其影响[J].国际问题研究,2014,(1).
[14]王惠莅.关键信息基础设施安全保护研究[J].信息技术与标准化,2018,(6).
[15]汪家文.浅析安徽自主创新的现状与对策建议[J].广西教育学院学报,2010,(4).
【DOI】 10.3969/j.issn.1009-2293.2019.01.021
【中图分类号】 D521
【文献标识码】 A
【文章编号】 1009-2293(2019)01-0074-04
基金项目: 本文系湖南省社会科学院2018年院属课题“美国网络安全信息共享机制研究”的阶段性成果。
作者简介: 谢晶仁,湖南省社会科学院国际问题研究中心主任、研究员。
(责任编辑:许 烨)
标签:国家安全论文; 网络安全论文; 网络信息论文; 网络信息共享论文; 湖南省社会科学院论文;