编者按——中国信息安全博士网作为中国信息安全行业的高端智库平台,一直在我国信息安全行业发展过程中贡献着自己的力量。“高端访谈”作为中国信息安全博士网的重点主打栏目之一,将定期邀请我国信息安全行业内的顶尖级专家、学者、重要行业用户代表以及部分政府官员和产业精英,通过不同视角的深度剖析,为读者全面展示信息安全领域各方面、各层次的发展及尚存在的问题,为行业发展、产业进步提供建议,并将他们的观点,通过文字、音频或视频在 “高端访谈”栏目里展播,希望能引起读者的共鸣。
个人简介:闫晓丽,女,民商法学硕士,中国电子信息产业发展研究院信息安全研究所副所长。长期从事信息化和信息安全研究工作,熟悉信息信息化和信息安全法律政策,尤其对电子认证服务业有深入了解。曾参与了《信息网络传播权保护条例》、《互联网新闻信息服务管理规定》等多部法规和规章的起草、审查工作,承担了“2007-2008年中国电子认证服务业发展研究报告”、“电子认证服务业务承接管理办法”、《电子认证服务管理办法》解读”、“电子商务电子认证建设总体规划”、“电子认证服务管理办法实施意见”、“电子认证服务机构行政处罚细则”、“电子签名服务总体框架研究”等多项研究任务。
主持人:近年来,为应对日益严重的信息安全威胁,美国等主要国家纷纷加快调整信息安全战略。目前有哪些国家出台了信息安全战略?
闫晓丽副所长:自2009年以来,美国、英国、德国、法国、俄罗斯、日本、韩国、印度等主要国家相继出台了一系列信息安全或网络空间战略,将信息安全上升到国家战略层面。据我们调查了解到,目前已有13个国家出台了战略文件。
2009年美国发布了《网络安全政策评估》报告,认为来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一,保护网络基础设施将是美国维护国家安全的第一要务。2011年美国相继发布了《网络空间可信身份国家战略》、《网络空间国际战略》和《网络空间行动战略》。《网络空间可信身份国家战略》计划用10年左右的时间,建立一个以用户为中心的身份生态体系。《网络空间国际战略》集中阐述美国对互联网未来的看法、目标以及其计划着力推进的七项政策,包括经济、网络安全、执法、军事、互联网管理、国际发展、网络自由等方面。《网络空间行动战略》评估了美国国防部在网络空间领域面临的巨大机遇和严峻挑战,并提出了五项战略行动。
除美国外,欧盟和亚洲的多个国家也相继出台了网络空间或信息安全的战略。例如,2010年5月日本发布了《保护国民信息安全战略》,10月加拿大出台《加拿大网络安全战略:为了建设更加繁荣富强的国家》,10月俄罗斯联邦国家批准《俄罗斯联邦国家“信息社会”纲要(2011-2020年)》;2011年2月德国出台《德国网络安全战略》,3月法国和印度分别发布《信息系统防御和安全战略》和《国家网络安全政策(草稿)》,8月韩国政府决定建立和实施“国家网络安全综合计划”,11月英国政府出台《英国网络安全战略:在数字世界中保护和促进英国的发展》。
主持人:各国信息安全战略主要对哪几个方面做了部署?这些战略有哪些共同点值得我们关注?
闫晓丽副所长:应该说,各国战略有很多的共同点。战略都明确了当前和今后信息安全的目标和重点,并从几个方面作了重大部署:一是建设信息安全协调机制,组建信息安全协调机构;二是加强信息安全立法工作,明确网络安全参与各方的权利义务和责任;三是保护关键基础设施,确保关键基础设施的防入侵和防攻击能力;四是加强信息安全技术研发,提高信息安全自主创新能力;五是提高全民信息安全意识、培养全民信息安全技能;六是建设国家级专业队伍、加强人才队伍建设;七是推动政府、企业等多方合作;八是开展网络空间的国际合作。
主持人:当前,各国在网络空间的争夺日趋激烈,很多国家都纷纷组建网络战部队,网络建军潮目前情况如何?
闫晓丽副所长:在组建网络战部队方面,美国起到了带头作用。早在2008年,美国空军就成立了临时网络战司令部,核心任务是保证本国网络安全和袭击他国核心网络。2009年6月美国国防部长盖茨正式下令创建网络司令部,由现任国家安全局局长基思•亚历山大中将兼任网络司令部司令,协调网络安全以及指挥网络战。2009年8月美国空军设立新的网络空间作战部队(空军24部队),提供战备部队训练和持续的网络装备工作。2010年1月美国海军网络部队成立。
在美国的带头下,很多国家都兴起了网络建军潮。2009年2月德国联邦国防军开始训练自己的网络战部队,以应对针对有关外部服务器和网络的攻击;2010年1月日本防卫省决定在建立一支专门的“网络空间防卫队”,负责收集和分析研究最新的病毒信息,并进行反黑客攻击训练,以防备黑客攻击,加强保护机密信息的能力;2011年3月伊朗建立了一支由志愿者组成的网络部队,以反击网络攻击并摧毁“敌人网络”;2011年4月韩国军方决定将现在隶属于国防部情报本部的网络司令部(创建于2010年1月)升级为国防部直属的网络司令部,并将目前网络司令部人员增加到1000人左右。
主持人:我们知道,加快立法是各国信息安全建设的重要举措之一,近年来各国立法主要集中在哪些方面?有哪些新进展?
闫晓丽副所长:美国、欧盟等主要国家和地区有相对完善的信息安全立法。但是,信息技术变革和信息安全新形势的变化,使得法律调整也提上日程。综合来看,2009年以来各国主要在四个方面立法:一是网络安全促进立法,例如美国《加强网络安全法案2010》、《关键基础设施网络安全监管框架法案》;二是加强信息安全管理立法,如德国禁止所有政府工作人员使用包括黑莓和iPhone在内的智能手机的禁令、美国政府保密条令;三是加强网络安全内容监管立法,如日本《不良网站对策法》及据此启动的“互联网使用计划”,澳大利亚修订《传播服务法》及启动互联网过滤计划;四是打击网络犯罪立法,如澳大利亚网络犯罪法案等。
主持人:为加强网络防御和攻击能力建设,美国、俄罗斯等主要国家非常注重信息安全技术研发。近年来国外重点开展了哪几方面的研究?
闫晓丽副所长:主要是四个方面:一是网络安全前沿技术研究,如美国国防部高级研究计划局的CRASH项目、面向任务的弹性云(MRC)项目等;二是网络攻防模拟技术研发,如美国“国家网络靶场”项目、英国国家级网络实验场项目;三是网络安全威胁检测和网络监控技术研发,如美国爱因斯坦3系统开发、“完美公民”网络安全防护项目、印度集中监控和拦截系统建设;四是其他技术研发,如美国“影子网络”计划、印度面向未来的计算系统开发、俄罗斯全国性软件系统开发等。
主持人:近年来各国和国际社会都在开展网络攻防演习活动。国际上主要的网络攻防演习活动有哪些?反映了怎样的趋势?
闫晓丽副所长:2010年-2011年,美国、法国和德国等都开展了本国层面的网络攻防演习,2010年美国举行了“网络风暴III”演习和“网络闪电演习”、法国举行了应对大规模信息系统袭击的演习活动,2011年德国联邦政府和各州举行了简称为LUEKEX的模拟演习。
从国际层面看,2010年欧盟首次举办了代号为“网络欧洲2010”的网络安全演习,2011年欧盟与美国举行了名为“大西洋网络2011(Cyber Atlantic 2011)”首次网络安全联合演练,国际电信联盟、国际打击互联网威胁多边伙伴关系和东南亚四国联合举行了一次网络攻击跨国演习,北约组织了代号为“2011网络联盟”的演习。
网络攻防演习的核心目的有两个:一是检验能源、水利等关键基础设施对网络攻击的承受能力;二是信息安全参与各方在紧急状况发生时的应对和协作能力。上述演习反映出两个趋势:一是关键基础设施保护已经成为各国网络安全的第一要务,降低关键基础设施的脆弱性、确保其面对网络攻击有更强的防御和恢复能力,直接关系到各国在网络空间的核心利益;二是寻求国际协同攻防已经成为各国维护网络空间利益的重要途径。
主持人:提高全民信息安全意识是我国信息安全工作的重点之一,国外这方面有哪些经验可供借鉴?
闫晓丽副所长:在全民信息安全意识方面,美国、日本等国家都有很多好的做法可供借鉴之处。如美国将每年10月定为“信息安全意识月”,在此期间开展信息安全全民培训系列活动;2010年美国还启动了“国家网络安全教育计划”,该计划包括四项任务:一是国家安全意识;二是网络安全正式教育;三是联网网络安全劳动力结构;四是网络安全劳动力培训与职业发展。日本政府也将每年2月定为“信息安全月”,以防止因电脑病毒造成信息泄露或私人信息的丢失等,使每个国民都能安全享受IT带来的益处。
(责任编辑:管理员)
