中美網路安全戰略對比
摘要: 隨著網路資訊科技的飛速發展和全面普及,人類生活、工作、思維方式正在發生深刻變革,以網際網路為主要載體的網路空間和現實世界不斷融合,網路空間成為繼陸、海、空、太空之外人類賴以生存的“第五空間”。 高度發達的資訊網路已然成為國家經濟發展的重要支柱與動力。藉助網路空間...
隨著網路資訊科技的飛速發展和全面普及,人類生活、工作、思維方式正在發生深刻變革,以網際網路為主要載體的網路空間和現實世界不斷融合,網路空間成為繼陸、海、空、太空之外人類賴以生存的“第五空間”。
高度發達的資訊網路已然成為國家經濟發展的重要支柱與動力。藉助網路空間奪取資訊霸權,獲取軟權力,輸出意識形態或政治價值觀念,塑造國際規則和決定政治議題,成為大國建立國際新秩序的重要方法和途徑。
本文從多個角度分析對比了中國、美國的網路安全戰略。知己知彼,審時度勢,因勢而謀,希望藉此啟發安全同行間的理性探討。
1. 美國網路安全戰略綜述
美國是網際網路技術最主要的發源地,也是網際網路應用最為普及、對網路依賴性很高的國家,網路安全問題成為美國主要現實隱患之一。為維護網路空間安全,美國積極打造網路安全保障體系,並在其國策中突出強調資訊保安的重要地位,力圖利用網路空間帶來的新發展機遇,繁榮經濟和推動國家發展,以實力保安全、以安全保發展成為世界網路與資訊保安發展大勢。
美國的資訊保安政策從克林頓、小布什、到奧巴馬,再到特朗普時期,經過提出、細化、體系化,到國際化的過程,逐步成熟。美國近年來的資訊保安政策目標並不僅僅是本國網路安全,更著眼於戰略競爭,搶抓網路規則制定權,爭奪網路空間領域戰略優勢。
美國網路安全戰略具有突出特點:
- 強化資訊保安頂層設計,以網路空間國際戰略提出國際理念,旨在謀求網路空間霸權。 美國網路安全戰略推演,共經歷了四個階段,從“建網路”、“保網路”、“管網路”再到“控網路”,戰略包含法律法規、組織管理、技術以及執行四個方面。從階段性特點來看,美國四任總統實施的網路安全政策,歷經保護關鍵基礎設施,擴充套件先發制人的網路打擊,到謀取全球制網權的演變,凸顯“擴張性”本質。
- 加強網路安全立法工作,逐步提升資訊保安保障能力。 在網路安全立法方面,美國走得最早、也走得最遠。美國國會的網路安全立法是一項系統工程,內容複雜、覆蓋面廣,但是條理清晰、程序不斷加速。美國通過各項立法,較為清晰地釐清了政府各個機構在網路安全領域的角色與職能。法律法規覆蓋的領域也從早期的規範網路色情開始,不斷髮展到網路智慧財產權保護、關鍵基礎設施保護、資料保護和打擊網路恐怖主義等各個方面,已形成了一整套較為完善的法律法規體系。
- 構建資訊保安機構 “ 三駕馬車 ” ,提出 “ 網路威懾 ” 觀念實施積極防禦。 美國構築網路空間打擊能力、滲透能力、防禦能力體系,一直以美國國家安全域性、中央情報局和國土安全部為核心。通過強化政府的安全職能,改組資訊管理機構,設立層層主管機構,加強網路監控力度,美國逐步形成一整套完備的資訊安全防範體系。除此之外,美國是目前世界上唯一提出主動網路攻擊的國家,並由國家安全域性牽頭組建了世界上規模最大的網路戰部隊。與此同時,世界最大的情報部門——美國中央情報局,近年來在中東、北非等地實施網路滲透和祕密活動,已經成為公開的祕密。
- 頻發政令,加強關鍵資訊基礎設施的保護。 “9·11”和“斯諾登”事件發生以後,美國逐步意識到其面臨的網路安全威脅正在快速增長,已經給關鍵基礎設施帶來嚴重的安全隱患。美國在原有的國土安全辦公室的基礎上,成立了國土安全部,將關鍵基礎設施保護提升到國家安全的高度。此外,美國還特別重視強調公私合作和資訊共享,專門在聯邦調查局成立了國家基礎設施保護中心,連線美國所有行政部門及私營部門的資訊共享和分析中心,對網路攻擊提供實時報警、綜合分析、執法調查和應急響應活動。
- 加大資訊科技研發的力度,以市場牽引為主,以政府調控為輔,促進資訊科技產業化發展。 美國作為全球網路資訊科技的發源地,誕生了賽門鐵克、麥咖啡和趨勢科技等早期安全企業。幾十年來,美國的政府、科研機構和企業攜手合作,推動著全球網路資訊科技產業的發展程序,以蘋果、谷歌、IBM、微軟、甲骨文、思科、英特爾等為代表的IT 巨頭在資訊保安產業架構中充當著堅實的地基,成功控制著全球網路資訊產業鏈的主幹。美國充分發揮企業在資訊產業創新過程中的能動性,大力推動與基礎研究和核心技術相關的各種自主研發、應用研發和市場拓展,努力促進資訊科技產業化發展,因此取得了重大成就。
- 加快資訊保安人才培養 , 增強民眾的資訊保安意識。 美國在網路安全人才隊伍建設方面設計了清晰的戰略,社會各界基本形成了人才隊伍培養、管理和使用的體系化合作,充分地彌補了網路資訊保安人才供給不足等問題。2011 年8 月,美國國家標準技術研究所牽頭髮布了《網路空間安全人才隊伍框架(草案)》,對網路安全人才的能力、知識、崗位職責提出了具體要求,隨後幾年該框架數度更新,充分體現了美國對網路安全人才的重視程度及對網路安全問題認識的不斷轉變。
2. 我國網路安全戰略綜述
我國正在努力建設網路強國,亟待一個完善的網路資訊保安政策體系作為強有力的支撐。2014 年我國成立中央網路安全和資訊化領導小組,由中央網信辦落實中央精神統抓協管、大刀闊斧開展工作,從頂層設計、戰略制定、法規完善、科學管理、強化自主可控、開展國際合作等方面大步向前推進,國家網路資訊保安政策不斷完善,網路與資訊保安中的各項工作得到長足推進,同時也暴露出了一些差距和不足。
- 網路安全戰略的制定與釋出,是國家網路安全頂層設計的核心與關鍵。近年來,我國陸續釋出了國家層面的資訊保安戰略與政策檔案。2016 年12 月,國家網際網路資訊辦公室正式釋出《國家網路空間安全戰略》,它是我國第一次向全世界系統、明確地宣佈和闡述對於網路空間發展和安全的立場和主張,是指導國家網路安全工作的綱領性檔案。目前,我國網路安全相關的法律法規文書已有近百部,內容涉及網路安全的多個領域,已初步建立形成了我國資訊保安法律法規框架體系和多層級的立法體系結構。 目前來看,我國資訊保安戰略、政策與法律已經比較完備。但是,與國家網路空間安全戰略相配套的網路安全綜合政策略顯不足,《網路安全法》與其他現行法律在具體表述和協調銜接等方面仍有不完善之處,有待進一步調整與完善。
- 在網路安全保障政策方面,國務院釋出了大量條例及規定等政策條款。國家組織制定了《計算機資訊系統安全保護等級劃分準則》、《資訊系統安全等級保護基本要求》等一大批安全保護法案及標準,初步構成了網路安全標準體系,為重要行業部門開展網路安全管理和技術措施提供了保障。 目前我國尚未形成國家體系化的風險評估制度。儘管從等級保護角度定義了待評估資訊系統的安全等級,但不同行業間同級別業務資訊系統的安全關聯性差,網路安全風險在同一行業不同產業鏈環節業務資訊系統上的傳導或不同行業間業務資訊系統的傳導難以體現,從而無法從國家整體上把握網路安全風險狀況和態勢,也就難以明確評估系資訊保安保障重點、確定相應的網路安全政策取向、人財物投入等。
- 將網際網路資訊內容治理納入法治化軌道,是推進網際網路資訊內容治理體系建設和治理能力提升的基石所在。目前,我國已經建成的網際網路資訊內容監管的法律體系主要包括:網際網路基礎資源管理法規、網際網路資訊內容服務監管法規、與網際網路資訊內容有關的其他法規、網路著作權保護、個人資訊保護以及打擊網際網路非法資訊內容犯罪等方面。 從最近十多年的發展經驗來看,我國網際網路資訊內容安全法律法規的體系建設在不斷加快,不僅相關法律文字的數量不斷增長,同時涉及領域、覆蓋範圍不斷擴大。根據網路空間的建設發展,網際網路資訊內容安全的相關政策急需不斷完善,為下步深入打造清朗有序的網路空間提供立法、執法的依據。
- 我國一直關注產業發展。在我國網路強國的目標願景中“戰略清晰、技術先進、產業領先、攻防兼備”都與產業的發展息息相關。 現階段我國資訊保安產業方面的政策仍然存在一些問題,主要表現在政策頂層設計和巨集觀調控不足,政策存在缺失、滯後現象,整體政策力度不夠,政策落實不到位以及政策存在不適應性等方面。
- 國家對資訊保安人才培養高度重視,相關的政策扶持及資源投入持續增進。 現階段我國資訊保安人才隊伍建設存在較為突出的問題,從國家政策角度出發,主要表現在:缺少對專業人才資格認證和資質認定的制度化和規範化管理,對國家核心涉密崗位和重點網路相關工作崗位的從業人員進行有效的管控,對資訊保安高階人才缺少特殊政策的扶持和政策傾斜,對敏感資訊保安人員(如黑客)缺少有效的管控政策。
- 近年來,我國積極參與國際網路空間發展動作,先後與美、英、法等國簽訂相關戰略合作條款,推進網路空間領域合作。現階段我國面臨的網路空間國際環境不容樂觀,西方發達國家“虎視眈眈”,技術與政策打壓和戰略不互信使得我國在資訊保安的工作開展中尤為被動。 作為剛剛崛起的發展中國家,我國資訊保安領域的國家合作尚沒有走上規範化的道路,相關交流合作較為零散,重點領域缺少合作交流,很多現有的合作領域過於低端,國際會議實質性問題涉獵不足,很多情況流於形式,難以在交流中實際獲益。隨著網路空間的發展變革,多邊交流勢在必行。網路空間問題單靠一個國家很難應對,當前最大的問題是圍繞核心領域開展國際務實合作的工作沒有落到實處。
3. 中美網路安全戰略對比
-
頂層設計
-
法律法規
-
安全產業
據Cybersecurity Ventures釋出的2018全球網路安全企業500強名單, 美國有 358 家上榜,中國 8 家上榜。
網路安全企業500強評選依據包括:客戶基礎、CISO和決策者的反饋、IT安全評估員和推薦人的反饋、VAR,SI和顧問的反饋、風險投資、公司成長、產品的評價、會議演示和演講、企業營銷與品牌、媒體報道、公司重要舉措、創始人和管理層、高階管理人員訪談。
-
人才培養
-
漏洞管理
部分文字摘自《中美網路資訊保安政策比較與評估》(《資訊保安與通訊保密》雜誌),由安數網路重新整理完成,如涉及侵權,請及時與我們聯絡,我們會在第一時間刪除或處理侵權內容。電話:400-869-9193 負責人:張明
及時掌握網路安全態勢 盡在 傻蛋聯網裝置搜尋系統
【網路安全監管部門】免費試用→→ 點選申請
更多安全資訊請關注:
微信公眾號 安數網路 ;新浪微博 @傻蛋搜尋
相關文章