網絡安全建設經驗及啟示

前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全建設經驗及啟示，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

一、強化國家層面統籌協調

強化工作統籌和綜合協調，成立國家層面的領導和協調機構成為各國網絡安全戰略部署的重要內容，并以此為網絡安全戰略的實施推進奠定基礎、提供組織保障。美國網絡安全職能部門眾多，相互間職責交叉、信息不通、無法形成工作合力的問題曾非常突出，“9•11”事件也曾經暴露過這些問題。為加強網絡安全工作的統籌和綜合協調，美國在總統辦公廳設立網絡安全辦公室，全權負責國家網絡安全事務，包括監督聯邦部門、機構信息安全政策實施情況，協調信息安全政策和程序與相關的信息資源管理政策和程序的關系，加強公私部門與有關機構和行業合作的信息共享和政策協調，在遭受針對信息技術的大規模攻擊情況下協調由各機構管理的信息基礎設施的防御，審核批準各機構信息技術保護預算等。該辦公室設在總統辦公廳，直接受命于總統，將網絡安全事務的協調層級提升至國家最高級，極大地提高了網絡安全工作力度和效率。網絡安全辦公室主任為國家網絡安全協調官，由總統任命，作為總統國家安全委員會成員，出席國家經濟咨詢會議。國家網絡安全辦公室向美國國家安全委員會和國家經濟委員會匯報工作，并通過這兩個委員會直接影響美國國家安全和經濟發展決策。英、日等國與美國相似，將網絡安全協調機構設在首腦辦事機構。英國組建網絡安全辦公室，設在內閣辦公廳，全權負責網絡安全戰略的實施推進，為各政府部門的網絡安全問題提供戰略指導和協調，并通過跨政府的方案推動網絡安全戰略的執行。日本在內閣官房成立國家信息安全中心，承擔日本網絡安全工作的領導與協調職能，主要負責應對國家級的網絡安全事件并組織應急響應，制定網絡安全標準，培養網絡安全人才，并向內閣大臣報告工作，同時負責與外國相關機構就網絡安全事宜開展合作。日本還成立了信息安全政策委員會，作為IT戰略指揮部的分支機構，承擔日本信息安全戰略規劃的統籌謀劃和制定實施職責。德國采取委員會制，成立了國家網絡安全委員會，負責從政治和戰略高度統籌網絡安全工作，協調聯邦層面的網絡安全管理，為公共和私營部門制定網絡安全政策并進行工作協調。委員會成員包括聯邦總理以及外交部、內政部、國防部、經濟與技術部、司法部、財政部、教研部及部分聯邦州代表，特定情況下，聯邦其他部門、產業界和學術界相關人員也會被邀請參加。此外，荷蘭成立網絡安全委員會和國家網絡安全中心，以統籌網絡安全各項工作，強化公私合作。歐盟成立了歐洲網絡安全局，作為歐洲網絡安全問題的協調、管理和咨詢中心，負責搜集分析網絡威脅信息、向歐盟委員會和各成員國提供分析結果、提高網絡和信息系統的安全性、增強歐盟成員國和歐盟機構的能力、在歐洲建立網絡安全文化以及推動區域數字化經濟發展等。

二、加強國家關鍵基礎設施防護

各國普遍將保護國家關鍵信息基礎設施作為網絡安全各項措施中的首要選項，給予最高優先級，積極采取措施加強防護。美國不僅專門出臺維護國家關鍵基礎設施安全的總統令，而且早在2003年的《國家網絡空間安全戰略》中就提出一系列保護措施，包括由聯邦政府向負責關鍵基礎設施管理和運營的私營企業共享網絡安全信息，由美國國家標準與技術研究院(NIST)制定自愿性的關鍵基礎設施網絡安全框架，鼓勵引導私營企業參加關鍵基礎設施網絡安全項目，確定最易受網絡攻擊的關鍵基礎設施清單，制定關鍵基礎設施安全研發計劃等。俄羅斯高度重視保障國家關鍵基礎設施安全，部署了若干具體措施，包括研發能夠防范網絡攻擊的標準軟件和設備，實施國產化替代;建設風險防范的技術評估系統和方法手段;對關鍵基礎設施和重要信息系統中使用的軟硬件進行統一登記備案;建立關鍵基礎設施使用的標準軟件庫等。英國提出通過政府部門與國家關鍵基礎設施所有者和運營部門合作，確保關鍵數據和信息系統的持久安全和可恢復，降低關鍵基礎設施的脆弱性。德國認為關鍵信息基礎設施是所有關鍵基礎設施的核心，要求公共和私營部門應建立更緊密的戰略和組織基礎，以進一步加強信息共享，同時擴展關鍵基礎設施保護執行計劃確立的合作范圍，并通過立法強化關鍵基礎設施保護執行計劃的約束力。法國在國家關鍵基礎設施領域采取公私合營，以加強網絡威脅分析，確保對國家正常運轉至關重要的關鍵基礎設施達到必要的防御強度。日本組建并促進關鍵基礎設施保護委員會發揮作用，制定國家關鍵基礎設施防護策略，促進關鍵基礎設施安全標準的制定、應用和改進，通過加強各領域網絡安全威脅分析和組織實施跨部門應急演練，增強關鍵基礎設施的信息安全措施，制定業務持續性計劃，加強關鍵基礎設施保護國際合作等。印度提出制定關鍵信息基礎設施保護計劃，組建國家關鍵信息基礎設施保護中心以統籌協調關鍵信息基礎設施保護。歐盟委員會要求促進成員國政府和關鍵基礎設施所有者、運營商的合作，及時發現關鍵基礎設施的系統漏洞，鼓勵開發具有恢復力的系統。為解決各成員國關鍵基礎設施互聯互通帶來的安全隱患，歐盟了《關鍵信息基礎設施保護戰略》，針對存在的突出問題，提出了準備和預防、監測和響應、減災和恢復以及內外合作等方面的行動措施;《歐洲關鍵基礎設施保護計劃新措施———讓歐洲關鍵基礎設施更安全》，提出采取預防、準備和響應等方面的具體措施，選取若干歐洲關鍵基礎設施進行試點，以測試和提升關鍵基礎設施的恢復力。

三、保障政府網絡信息系統安全

由于政府網絡信息系統中往往存儲傳輸大量的國家秘密信息或內部工作信息，直接涉及國家安全和政府日常運作，因而成為各國政府重點保護的對象。美國將聯邦部門網絡安全需求與預算和資金規劃掛鉤，政府機構在聯邦資金規劃中要考慮網絡安全問題并報告每項網絡信息技術投資的安全成本，要求持續地對聯邦網絡系統中的威脅和脆弱性進行評估，對聯邦網絡系統用戶權限進行認證和維護，保護聯邦政府無線局域網，改進聯邦政府外包和采購的安全性，鼓勵州和地方政府建立信息技術安全程序，進行信息安全實踐等。英國由網絡安全和信息保障辦公室負責領導提高政府部門網絡安全認識工作，明確網絡環境下應轉變哪些觀念和行為并進行宣傳，以促進網絡安全保障和業務工作的融合，使政府政策制定的各個方面充分考慮網絡安全的因素。同時，調查政府部門在網絡安全技能和專業知識方面的需求，以有針對性地開展提升計劃。德國認為政府部門應在數據安全方面作出表率，提出為聯邦機構建設一個公共、統一、安全的網絡基礎設施(聯邦網絡)，作為語音和數據通訊的基礎;要求所有聯邦機構積極參與和高效推進網絡信息系統安全保障，合理部署和調配資源;確保聯邦政府網絡安全方面的投資;聯邦規劃委員會將進一步加強聯邦部門間的合作，特別是與計算機應急響應小組的合作。法國要求將高度可信的安全產品應用于政府機構，以保護國家機密信息。俄羅斯為確保政府網絡信息系統安全，要求聯邦政府各部門在2015年前從使用私有軟件轉為使用免費或開源軟件(如Linux)，停止使用微軟產品，并建設國家開源軟件庫。日本部署加強政府部門信息安全基礎設施，強化各政府機構首席信息安全官職能，增強政府安全行動協調小組搜集和分析網絡安全信息的能力，持續改善政府機構信息系統的信息安全措施，在政府電子政務系統中推廣使用密碼技術，根據新的安全環境變化審查《中央政府計算機信息系統信息安全措施標準》，促進地方政府等落實信息安全措施。澳大利亞強化政府部門網絡信息系統防護，將政府部門互聯網接入口數量縮減至最低，以最大限度保障效率、可靠和安全;制定集約化的信息技術產品、服務采購和管理措施，建立政府基本網絡安全標準;對政府《防衛安全手冊》進行審查，對其中的安全政策和標準進行更新;還部署實施“OnSecure”計劃，由國防通信處和政府信息管理辦公室合作開展，向政府各部門通報網絡安全威脅及解決辦法。加拿大要求增強政府機構發現、阻止和抵御網絡攻擊的能力，部署了縮減聯邦政府互聯網接入口數量，強化確保供應鏈安全的相關程序以及提高聯邦政府雇員的網絡安全意識等具體措施。新西蘭在通信安全局設立國家網絡安全中心，改進政府機構內部網絡安全行為模式，以保障政府網絡信息系統和信息安全。

四、增強應急響應和恢復能力

網絡安全事件的突發性、破壞性強，影響范圍廣，往往在極短的時間內造成難以挽回的損失。因此，各國都普遍將增強網絡安全的應急響應和恢復能力作為一項重要戰略舉措，以在重大網絡安全事件發生后，第一時間作出反應加強應對，并通過迅速恢復將造成的損失降至最低。英國提出建設安全、可靠、可恢復的系統以加強應對各種網絡攻擊的準備和防護，提高快速反應能力，同時持續增強政府通信總部和國防部監測和防御網絡威脅的自主能力，組建網絡事件應急響應小組，負責協調國家級別的網絡安全事件處理。德國組建了國家網絡響應中心，由來自聯邦刑警局、聯邦警察局、聯邦情報局、國防軍、海關以及關鍵基礎設施運營部門等人員組成，向國家網絡安全委員會提交例行和特殊報告，在即將或已經發生網絡安全危機的情況下，中心將直接向內政部部長指揮的危機管理部門報告并采取措施。法國提出增強對網絡攻擊的監測能力并應用于政府網絡，及時發出預警信息，并在法國國家網絡和信息安全局(ANSSI)內設置專門機構，進行網絡威脅的實時監測和危機管理，提升必須的應急響應能力。俄羅斯提出建設國家防范網絡攻擊和網絡威脅預警系統，成立網絡安全事故響應中心，制定實施危機應對計劃，消除國家范圍內將要或已經出現的網絡威脅，增強網絡安全應急響應能力。日本通過組織政府部門進行重大網絡突發事件應急演練，確保能夠應對大規模網絡攻擊并采取有效的初期反制措施，同時，加強網絡安全事件的信息搜集、分析和信息共享系統建設，特別是加強內閣官房與相關政府機構間的信息共享系統建設等。荷蘭國家信息通信技術應急計劃，組織開展網絡安全演習，以提高應對網絡攻擊的響應能力。澳大利亞提出制定應對網絡突發事件國家計劃，采取措施增強連續、實時的網絡風險監控能力，包括在國防部組建國家網絡安全作戰中心，保持全天候網絡監測能力，協同應對國家級網絡安全事件;成立國家計算機應急響應小組，加強政府和私營部門的信息共享和協同應對網絡威脅的能力。印度提出組建國家計算機應急響應小組，以協調網絡安全應急響應和危機管理事務。歐盟設定統一的網絡安全最低要求，要求各成員國組建國家網絡安全主管部門和計算機安全應急響應小組;建立網絡安全預防、檢測、緩解和響應機制，以實現各國網絡安全主管部門間的信息共享和相互援助;組織各成員國參加及有美國等國際合作伙伴參加的網絡安全演習，提高應對網絡事件的能力;根據網絡安全事件的性質、級別和影響的不同，進行不同的應急響應。

五、加快技術研發和應用

網絡安全保障對網絡信息技術實力的高度依賴使得各國對技術研發和應用都給予高度重視，采取戰略性舉措提升技術的自主能力。英國要求各職能部門長期跟蹤網絡安全產業基礎的健康發展，確保相關研究和開發工作能夠突出重點，協調和利用取得最好效果;通過嘉獎網絡安全研究領域一流大學以及組織“網絡空間安全挑戰”活動等支持科研創新。德國提出深化信息技術安全和關鍵基礎設施保護方面的研究，加強德國在戰略信息技術領域核心競爭力方面的技術自主和盈利能力，并在可能范圍內與合作伙伴及盟友共享相關資源。在技術應用方面，堅持多樣性，在核心安全區域使用經國際標準認證的組件以保障網絡安全。法國認為網絡安全取決于技術和能力，提出發展科學、技術、工業等方面的能力，以保持法國在網絡安全方面的自主權，并要求通過政府與工業合作伙伴聯合組建網絡防御科研中心，進行密碼和信息安全技術等方面的研究。日本要求提升本國網絡安全產業國際競爭力，解決嚴重依賴國外技術、產品和服務問題，研發更具創新性的網絡安全技術，提高網絡攻擊監測和分析能力，日本防衛省2010年度預算中包含總額約70億日元(約合7525萬美元)的“應對網絡攻擊”項目，投入巨資建設“防衛信息通信平臺”和“計算機系統通用平臺”。歐盟啟動“地平線2020”項目計劃，支持技術創新，解決從研發到應用的轉化問題;建立歐盟與成員國研究機構的協作機制，鼓勵成員國在相關領域擴大投資;要求各會員國制定更有力的政府采購方案，促進應用更加安全可靠的網絡安全產品和服務;跟蹤網絡犯罪和網絡安全發展的新趨勢、新需求，開發相應的數字取證工具和技術;鼓勵政府、企業與保險業合作，降低企業投資網絡安全領域的風險等。俄羅斯把確保技術獨立性列入長期發展計劃和重要科研課題，自主研制了高安全等級操作系統，并在關鍵部門積極推廣自主研制的技術設備;明確網絡安全領域前沿科學技術研究重點并在開展應用和理論研究以及試驗設計工作中提供國家支持;向國內網絡安全設備生產商提供減免稅費、推廣等國家支持;推進國家規劃的網絡安全技術設備研發;制定系統措施推廣使用國產軟硬件等。澳大利亞將網絡安全科技研發納入國家安全科學創新戰略，通過開展國家級網絡安全項目研究，對網絡安全研發活動提供專項資金支持，同時制定年度研發重點，對各方面的科研工作進行引導。印度提出對應短期、中期、長期目標分別設立研發項目，開展網絡安全前沿技術研究，促進科研成果轉化應用，加強產學研的結合等措施。

六、開展公私合作和國際合作

網絡安全問題的復雜性、廣泛性決定了開展合作的必要性和重要性，加強政府部門與私營機構之間以及國與國之間的網絡安全合作，共享信息，協調聯動應對網絡威脅，已經成為各國網絡安全戰略中必不可少的重要舉措，一些國家甚至將合作作為整個網絡安全戰略的核心。英國政府通過建立與企業間的網絡安全信息共享合作機制，由政府通信總部等職能部門和金融、國防、能源、電信、醫藥等行業百余家企業開展合作，機制內的成員單位將能夠及時接收網絡攻擊預警、攻擊方式手段和應對措施等信息;由網絡安全和信息保障辦公室負責英國與國際伙伴和國際組織之間的合作，推動建立網絡空間行為國際準則，設立網絡能力建設基金，用于支持開展國際間網絡安全合作，為其他國家提供網絡安全方面的建議和指南，對網絡空間國際規則制定施加影響。德國提出建立高效合作以確保歐洲和世界范圍的網絡安全，支持歐盟內部保護關鍵信息基礎設施的相關措施，加強德國網絡安全政策與聯合國、歐洲安全與合作組織、歐盟委員會、經濟合作與發展組織以及北約等相關國際組織政策的協調互動，將德國保護關鍵基礎設施的標準作為統一標準提出，供北約其他成員國參考。法國認為保障網絡安全與各國職能部門間的信息交流密切相關，提出建立更廣泛的伙伴關系以共享信息資源，在打擊網絡犯罪方面加強合作，同時在盟國內組建一個小范圍互信合作聯盟以進行深度合作。日本提出建立各國網絡安全主管部門信息共享和應急協調機制，推進網絡空間國際合作全球框架建設;推動網絡空間國際規則制定，積極參加各類多邊框架下的網絡空間政策制定和能力建設磋商，傳播日本的網絡安全基本原則和政策等具體主張;加強日美、亞太區域、日歐等合作，深化日美伙伴關系，強化兩國政府部門間網絡安全對話、聯合演習和信息共享等方面的合作，深化日本與東盟在網絡空間人才建設、技術研發、信息共享和關鍵基礎設施保護等方面的合作等。澳大利亞提出加強政府部門與產業界合作以提高關鍵基礎設施、網絡、產品和服務的安全性和可恢復性，包括實行敏感信息共享，協同進行網絡安全行動，聯合開發網絡安全技術和標準以及組織網絡安全培訓等;積極參與國際網絡安全事務，與主要盟國及具有相同出發點國家協定雙邊和多邊協議，加強網絡安全合作等。

七、提高國民網絡安全意識和技能

各國將提高國民網絡安全意識和技能作為提升國家網絡安全保障能力和水平的重要基礎，部署實施國家級的行動計劃，廣泛開展各類宣傳和培訓。美國2003年起部署開展了全國性的網絡安全意識提升活動，由國土安全部負責領導提高家庭用戶和小型企業、大型機構等的網絡安全意識，制定提高中小學生網絡安全意識計劃。英國積極采取措施幫助公眾應對網絡安全威脅，包括通過社交媒體病毒和網絡威脅警告;鼓勵、支持并且發展各種層面的網絡安全教育、提高公民最為必要的技能;和互聯網服務供應商達成協議，使其能夠為網絡用戶發現網絡威脅及保護自身不受網絡威脅影響提供支持。法國提出加強面向公眾的宣傳，使公民加深對網絡攻擊危害后果的認識，更深入地理解網絡安全問題并采取防御措施，國家網絡和信息安全局將倡導和廣泛開展面向公民和企業的網絡安全交流活動。日本通過推進各類宣傳活動促進公民網絡安全意識提升，自2010年2月起，將每年2月定為“信息安全月”，制定綜合國民網絡安全意識啟發方案，并組建信息安全保密支援服務局，向國民提供信息安全相關咨詢服務，促進個人信息保護。俄羅斯提出組織綜合信息運動，以提高公民、組織等對網絡威脅的認識和應對方法的掌握，普及通俗易懂的網絡安全技術、措施和方法;開展服務公眾的國家互聯網門戶網站推廣運動，提供網絡威脅、網絡安全問題及應對措施等相關信息。澳大利亞開展教育培訓以提高國民網絡安全意識和技能，包括在中小學開展網絡安全教育，每年與網絡運營企業、社區等合作舉辦網絡安全周活動，通過建設權威的網絡安全信息網站為公眾提供網絡威脅信息及解決方法等。新西蘭提出由政府與網絡安全公司及非政府組織開展合作，幫助網絡用戶獲得網絡安全信息和建議，提升網絡安全意識。捷克加強政府部門與新聞媒體的合作以傳播網絡安全知識，提升公民網絡安全意識。印度提出開展網絡安全教育培訓項目，建設國家網絡安全培訓基礎設施，啟動全國性網絡安全意識增強項目。

八、加強人才培養

網絡空間的競爭和較量日益成為人才的競爭和較量，各國網絡安全戰略中普遍就培養網絡安全人才作出戰略部署。美國提出增強聯邦網絡安全教育培訓計劃的有效性，鼓勵開展更多的網絡安全教育和培訓項目，《國家網絡空間安全教育計劃》，實施網絡安全職業培訓計劃，制定國家網絡安全專業人員資格認證標準和指南并開展認證。英國要求將網絡安全納入各級立法和教育工作主流活動中，啟動了一系列人才培養和認證計劃，在大學培養網絡安全人才，對指定培養的博士進行資助，對網絡安全和信息保障方面的專家開展認證，以提高其技能;軍方還發起“網絡空間預備役”計劃，旨在招募和培養網絡安全方面的高端人才。德國認為從事網絡安全相關工作人員的素質和能力是政府應優先考慮和解決的問題，將加強聯邦當局內部人才交流和網絡安全技能培訓。日本提出通過加強網絡安全專業高等教育、產學合作以及職業資格認證，培養高素質網絡安全人才。俄羅斯提出制定網絡安全專業人員培養和進修教育標準，在各級教育機構開設信息安全課程，修訂信息技術和信息安全領域國家公務人員職業技能標準，定期開展考核等措施，以加強網絡安全人才培養。荷蘭提出由政府與職業團體和教育部門在網絡安全和信息通信技術領域開展合作，研究建立網絡安全專業人才資格認證制度等。新西蘭通過政府與教育科研機構、培訓機構開展合作，開展網絡安全資格認證、培訓等培養網絡安全人才。捷克將網絡安全納入公務員教育計劃，并通過評估分析各領域的需求，將網絡安全融入國家各層次教育培訓中。

九、國外經驗對我國網絡安全建設的啟示

網絡空間使國家利益的邊界得到極大延伸和擴展，網絡日益成為國家政治、經濟、文化和社會活動的基礎平臺，成為實體經濟的命脈和整個社會賴以正常運轉的神經系統。由此，網絡安全已不僅僅是網絡自身的安全問題，其影響已輻射至國家安全和國家利益的方方面面，從而也必然要求從國家戰略層面整體謀劃部署一國的網絡安全問題。美國等西方國家正是基于對網絡安全性質的深刻認識和對各自面臨的網絡安全環境的準確判斷，將網絡安全提升至國家戰略高度，作為國家安全保障體系的核心，一些國家還確立了建設“世界網絡防御強國”、建設世界一流的“信息安全先進國家”和“網絡安全立國”等國家戰略目標，提出構建“充滿活力的、可恢復的和安全的網絡空間”，“世界領先的、堅強的、充滿活力的網絡空間”等愿景，并在近十年時間通過連續多份國家戰略文件，整體部署實現網絡安全發展目標的具體措施。面對網絡安全問題的嚴峻挑戰和世界范圍內網絡安全戰略格局的深刻調整，我國應加快網絡安全國家戰略制定出臺步伐，既要注重回應國內外普遍關注的重大問題，闡明我國網絡安全邊界和重大國家利益關切，同時要提出我國維護網絡安全的戰略目標、方針原則、主要任務和行動舉措，充分發揮我國體制和制度優勢，強化各項部署的實施細節并且做到可操作、可審查、可評估，從而利用盡可能短的時間在管理升級、技術自主、體制完善、產業發展、國際合作等方面取得實實在在的成果，克服救火式應對、打補丁的被動局面，從整體上提高國家網絡安全保障能力，這也是我國與國際接軌，建設國家網絡安全保障體系的必然戰略選擇。黨的十八屆三中全會作出“加快完善互聯網管理領導體制，確保國家網絡和信息安全”、“完善國家安全體制和國家安全戰略，確保國家安全”的戰略部署，之后我國先后組建了國家安全委員會和中央網絡安全和信息化領導小組，分別由主席親自掛帥，有力強化了國家安全以及網絡安全和信息化工作的組織領導。特別是中央網絡安全和信息化領導小組的成立，是解決我國網絡管理體制“九龍治水”、職能交叉、權責不一、效率不高問題的重要戰略舉措。但也要看到，相關管理體制的完善還需要一個過程，跨部門跨行業跨領域的網絡安全綜合演練不夠，網絡重大突發事件應急處置能力不強成為現實的一大隱患。面對基礎信息網絡和重要信息系統將來可能發生的網絡安全重大突發事件，甚至是國家行為體之間的大規模網絡攻擊，我國亟需強化體制機制的調整完善，建立起一個政府部門、軍隊直至企業、公民共同參與、有效共享、協調聯動的快速響應和應急處置體系，全面提升國家網絡安全重大突發事件應急處置能力?？v觀網絡安全的國際國內形勢，我國既面臨嚴峻挑戰，也面臨重要發展機遇，既處于相對落后、相對弱勢地位，也具有自身的特點和優勢，加強網絡安全建設的道路任重而道遠，制定實施網絡安全國家戰略勢在必行、時不我待。必須從統籌國際國內兩個大局出發，站在黨和國家事業發展全局的戰略高度，將謀求“制網權”作為維護國家整體安全的重要方面，因勢而謀、應勢而動，抓緊進行戰略謀劃布局，全面形成和提升國家網絡安全防御能力、網絡信息技術自主能力、網絡輿情管控能力和網絡空間戰略威懾能力，建設“網絡強國”，確保網絡安全，為中國特色社會主義事業順利進行、實現中華民族偉大復興的中國夢提供堅強保障。

作者：王舒毅 單位：國家保密局政策法規司研究室 北京交通大學