澳大利亞國家網路安全戰略發展及實施情況
【編者按】他山之石,可以攻玉。澳大利亞是最早關注網路安全的國家之一。近年來,澳政府在國家網路安全戰略指導下積極行動,推動網路安全建設取得了明顯的進展。澳政府還計劃以後每四年修訂併發布一版新的國家網路安全戰略,確保能更加有效地應對網路空間不斷增長的威脅與挑戰。本文從戰略推出、主要內容、實現措施和特點分析四個方面,詳細闡述了澳大利亞國家網路安全戰略發展及實施情況,希望能為我國網路安全發展提供借鑑。
澳大利亞是高度資訊化的國家之一,也是最早關注網路安全的國家之一。為保障國家網路和系統安全,使公私部門機構和公民個人等都能從中受益, 澳大利亞政府於 2009 年和2016 年先後推出兩版國家網路安全戰略,明確網路安全是事關國家安全的優先事項,並詳細闡述政府的網路安全理念及計劃,成為指導國家網路安全工作的綱領性檔案。近年來,澳政府在國家網路安全戰略指導下積極行動,推動網路安全建設取得了明顯的進展。根據獨立智庫機構澳大利亞戰略政策研究所(ASPI)釋出的《2017年亞太地區網路成熟度報告》,由於繼續投資治理改革和實施 2016 年國家網路安全戰略,澳大利亞應對網路空間威脅與挑戰的能力排名已從第四位上升至第二位。澳政府計劃以後每四年修訂併發布一版新的國家網路安全戰略,確保能更加有效地應對網路空間不斷增長的威脅與挑戰,助推國家持續創新、發展和繁榮。
一、戰略推出
澳大利亞是網路化和資訊化建設起步較早的國家。隨著網路化和資訊化程度的日益增加,澳大利亞的國家安全、經濟繁榮和社會福利越來越高度依賴於一系列資訊和通訊技術(ICT)的可用性、完整性和保密性。與此同時,澳大利亞面臨著日益增長的網路安全威脅。澳大利亞前總理陸克文 2008 年 12月 4 日發表《國家安全宣告》指出,全球網路犯罪問題的規模、複雜程度和成功率日益增加,網路安全已經成為澳大利亞國家安全優先考慮的問題之一,澳大利亞必須而且也將會全力以赴應對這一挑戰。
為指導和加強國家網路安全建設,最大限度地保障數字經濟時代的國家安全,澳政府於 2009 年 11 月 23 日釋出首份《網路安全戰略》(CSS)。在該戰略檔案中,澳政府描繪了網路安全戰略的總體目標,明確了建立網路安全政策的指導原則,並詳細闡述了未來保護經濟組織、關鍵基礎設施、政府機構、企業和家庭使用者免受網路威脅的戰略安排,包括實現戰略目標的行動重點與落實措施等。該戰略檔案釋出之後得到了澳大利亞國內尤其是業界的充分肯定,在澳政府的主導推動,特別是兩個新設立機構——澳大利亞網路安全中心(ACSC)和澳大利亞計算機應急響應小組(CERT Australia)的運作支援下,澳大利亞網路安全建設取得了明顯的進展。
由於網路安全威脅日趨嚴重複雜,澳政府在加強安全威脅態勢感知研判的同時,決定釋出新版國家網路安全戰略,用以指導新形勢下的網路安全建設。2015 年 7月 29 日,ACSC 釋出《2015威脅報告》指出,“對澳大利亞機構的網路威脅是不可否認的、無情的,並且還在持續增長”,澳必須保持警惕和積極主動並投入充足資源以應對複雜網路環境的挑戰。2016 年 2 月 25 日,澳政府釋出《2016 國防白皮書》指出,由於依賴資訊網路,網路攻擊對國防軍的作戰能力構成了直接威脅。2016 年 4月21日,澳政府釋出《澳大利亞網路安全戰略——助推創新、發展和繁榮》,決定在未來 4 年實施 33 項行動計劃,用以提高澳的網路安全能力,並通過強大的網路安全促進澳的創新、發展和繁榮。在新版戰略檔案中,澳政府提出將每年審查戰略執行進度並更新網路安全行動舉措,每四年修訂併發布一版新的《網路安全戰略》(以下簡稱《戰略》)。2017 年 4 月 27 日,澳政府釋出《戰略》2017 年第一次年度更新報告,宣稱 33項行動計劃的實施已經取得長足進展,其中 6 項已經完成,其它也在進行中。
二、主要內容
澳政府 2016 年《戰略》確立了未來 4 年國家網路安全行動的 5 大主題,即國家網路夥伴關係、強大的網路防禦能力、國際責任及影響力、發展與創新和網路智慧國家,以及為實現這些主題而採取的 33 項行動計劃。其主要內容包括:
(一)國家網路夥伴關係
該行動主題的目標是政府、企業和研究團體通力合作,共同推進澳大利亞的網路安全。澳政府認為,網路安全是澳大利亞經濟增長和繁榮的基本要素,對國家安全也至關重要,但保護網路安全是政府、企業和研究團體等的共同責任,因此其將與企業、研究團體等利益攸關方建立更加一體化的夥伴關係,通力合作共同提高整個國家的網路安全水平。行動計劃 4 項,包括:(1)政府每年評估《戰略》實施進度並更新行動計劃;(2)舉行年度網路安全領導人會議,由總理和企業領袖制定戰略性網路安全議程並自上而下推動《戰略》的實施;(3)簡化政府的網路安全治理和結構,具體舉措包括任命一名部長協助總理處理網路安全事務,重新安置澳大利亞網路安全中心(ACSC),增進公私部門合作等;(4)資助研究,更好地理解惡意網路活動對澳國經濟的影響,併為政企部門網路安全風險管理決策和公私部門投資決策提供資料支援。優先行動:一是共同領導。澳政府和企業領導人帶頭共同設計國家網路安全舉措,包括舉行總理主持、企業領導人蔘加的年度網路安全會議。二是建立更強大的夥伴關係。明確政府的領導責任,重新定位 ACSC,促進政府與企業的互動。三是理解代價和收益。資助研究,幫助各組織機構更好地理解惡意網路活動給經濟帶來的損失。
(二)強大的網路防禦能力
該行動主題的目標是使澳大利亞的網路和系統能夠有效抵禦網路攻擊。網路攻擊者對澳大利亞網路和資訊的攻擊具有永續性,澳政府將與私營部門共同努力,加強網路安全防禦能力和入侵發現、阻止與打擊能力的建設。行動計劃 17 項,其中發現、阻止和打擊惡意網路活動方面 8 項,包括:(1)與私營部門合作建立分層的網路威脅資訊共享方法;(2)提升澳大利亞計算機應急響應小組的能力;(3、4)提升澳大利亞打擊犯罪委員會和聯邦警察打擊網路犯罪的能力;(5)加強執法人員國內打擊網路犯罪所需的技能培訓;(6)提升澳大利亞訊號局(ASD)識別網路威脅和入侵分析的能力;(7)增強國防部網路安全防禦能力;(8)擴大國家網路事件管理安排和演習計劃。提高網路安全防禦標準方面 9 項,包括:(9)政府與私營部門共同制定國家網路安全實踐自願準則;(10)定期更新 ASD 減緩針對性網路入侵的策略;(11)為 ASX100上市企業引入國家自願網路安全治理“健康檢查”;(12)支援 CREST Australia New Zealand 擴充套件網路安全服務範圍;(13)支援小型企業由 CREST Australia New Zealand 認證提供商進行網路安全性測試;(14)實施 ASD 減緩針對性網路入侵策略,改善政府機構網路安全;(15)對網路風險較高的機構實施獨立網路安全評估,助其改善網路安全;(16)提高 ASD 脆弱性評估及研究新興技術等能力;(17)為政府機構管控 ICT 裝置與服務的供應鏈安全風險制定指導準則。優先行動:一是發現、阻止和打擊惡意網路活動。開放聯合網路威脅共享中心和線上網路威脅共享入口網站;提升情報蒐集、分析和打擊能力。二是提高網路安全防禦標準。共同制定自願網路安全治理“健康檢查”和國家良好實踐指南,開發和利用先進技術,以提高攻擊澳大利亞網路的難度;對政府機構進行網路安全評估。
(三)國際責任及影響力
該行動主題的目標是與國際夥伴合作,積極促進營造一個開放、自由和安全的網路空間。網路安全是澳大利亞國際合作的關鍵問題和外交努力的核心主題。針對目前一些國家仍對網際網路的開放施加限制、大多數網路犯罪都來自海外等情況,澳大利亞將與國際夥伴合作,共同努力解決網路安全威脅和促進網路空間的開放與自由,並確保澳大利亞在國際網路問題上擁有發言權。行動計劃:5 項,包括:(1)任命網路大使,在國際網路問題上積極發聲;(2)釋出網路安全國際參與戰略(International Cyber Engagement Strategy),用以指導澳大利亞在網路安全議題上的雙邊和區域合作;(3)倡導一個開放、自由和安全的網際網路,使所有國家都能從網路空間獲益;(4)支援國際夥伴關閉網路犯罪的安全避風港(特別關注印度 - 太平洋地區),並防止惡意網路活動;(5)通過公私合作伙伴關係,幫助澳大利亞建立在印太地區乃至全球範圍內抵禦惡意網路活動的能力。優先行動:一是倡導在印太地區仍至全球範圍內保持開放、自由和安全的網際網路;二是關閉網路犯罪的安全避風港;三是構建澳大利亞在地區和全球範圍內抵禦惡意網路活動的能力。
(四)發展與創新
該行動主題的目標是使澳大利亞企業通過網路安全創新不斷繁榮發展。澳大利亞國內的網路安全產業規模雖然很小,但享有良好的國際聲譽。網路空間為澳大利亞企業的發展提供了巨大的機會,澳政府將幫助企業發展創造適宜的環境,促進網路安全研發和催生新興企業,為企業多元化和培育新市場奠定基礎。行動計劃:4 項,包括:(1)通過“國家創新和科學議程(NISA)”建立一個以行業為主導的網路安全增長中心(Cyber Security Growth Center),以協調國家網路安全創新網路,促進網路安全研究和創新;(2)通過《國家創新和科學議程》提升數字化創新小組 Data61 的網路安全研究能力,支援網路安全解決方案的商業化,提高網路安全技能及加深與國際夥伴的聯絡;(3)與企業和研究界合作,更好地將網路安全研究作為澳大利亞網路安全挑戰的目標;(4)促進澳大利亞網路安全產品和服務的發展和出口,並側重於印度 - 太平洋地區。優先行動:一是實現網路安全創新。通過網路安全增長中心和創新網路推動對網路安全創新的投資,以加強網路防禦、促進經濟增長和創造就業機會。二是發展和擴大網路安全業務。支援新業務並促進澳大利亞網路安全產品和服務的出口。三是實現網路安全研究和開發。確保澳大利亞的網路安全研發能夠應對挑戰。
(五)網路智慧國家
該行動主題的目標是讓澳大利亞人擁有網路安全技能和知識,在數字時代蓬勃發展。與許多國家一樣,澳大利亞也面臨網路安全技能短缺的問題,許多澳大利亞人和組織並未意識到他們在網路空間所面臨的風險。澳政府將致力於為澳大利亞人提供網路安全技能和提高網路安全意識,使他們都能從網路空間的發展機遇中獲益。行動計劃(亦為優先行動):3 項,其中發展專業技能和知識方面 1 項,即(1)澳政府將與企業、教育機構和研究界合作,在全國範圍內努力發展網路安全專業技能和知識,提高網路安全技能人員的數量。重要舉措包括:在大學建立網路安全卓越學術中心,提高網路安全課程和師資力量的質量,培養具有高階網路安全技能的大學畢業生;與私營部門、各州和地區以及技能服務組織合作,支援擴大註冊培訓機構的網路安全培訓規模,培育各組織機構所需的網路安全工作者;擴大國家年度網路安全挑戰賽的參賽人員範圍等。提高國家網路安全意識方面 2 項,包括:(2)彙集並發展公共和私營部門的網路安全意識計劃,以充分利用綜合資源,增進人民對網路安全風險和影響的理解;(3)與其他國家合作開展網路安全意識提升計劃,以實現互利的成果。
三、實現措施
為提升網路安全保障能力,有效維護網路安全環境,澳政府自 2009 年釋出首份《戰略》以來,即積極推進一系列卓有成效的舉措。主要包括:
(一)強化政府職能,加強組織領導
澳政府認為,強有力的組織領導對實現國家網路安全戰略目標至關重要。近年來,澳政府主要通過新設職能機構、明確角色與責任、簡化管理結構等措施,加強對網路安全事務的組織領導。一是新設職能機構促進公私及國內外合作。澳 政 府 依 2009 年《 戰略》 於2010 年 1 月成立了兩個相互支援的新機構,即澳大利亞計算機應急響應小組(CERT Australia)和網路安全執行中心(CSOC)。其中,CERT Australia 為澳政府內的協調機構,主要職責包括促進公私部門合作,向企業、行業等提供網路安全資訊與建議;以及開展與其他國家 CERT 組織的合作等。CSOC 負責為澳政府提供全方位網路態勢感知,並協調政府機構和業界共同應對網路威脅。2014 年 11 月,澳政府以CSOC為基礎擴充套件建立了澳大利亞網路安全中心(ACSC)。澳政府還依據2016 年《戰略》於 2017 年至 2018 年先後在布里斯班、墨爾本、悉尼、珀斯啟用了聯合網路安全中心(JCSC),用以促進政府與業界、學界等之間的資訊共享和安全合作,並預計 2018 年晚些時候在阿德萊德成立最後一個 JCSC。二是明確網路安全管理三大支柱的角色與責任。澳政府依2016 年《戰略》確立了網路安全管理三大相互協調的戰略支柱,即總理內閣部、ACSC 和網路大使。其中,總理內閣部為制定國家網路安全政策的決策核心,對政府網路安全政策及《戰略》的實施進行綜合監督。ACSC 以國家網路安全優先事項為指導,持續整合政府網路安全運營能力,並利用其網路專業知識為各組織提供支援。國防部特別是澳大利亞訊號局(ASD)在抵禦惡意網路活動中發揮了極其重要的作用,將繼續領導 ACSC 的運作。網路大使(由外交貿易部任命)接受網路安全特別顧問指導並與之密切合作,負責國際網路事務。三是簡化政府網路安全管理結構。為滿足政府網路安全管理機構“簡單而一致”的需求,澳政府根據 2016 年《戰略》專門任命了一位部長協助總理處理網路安全事務,負責帶領政府與企業領導人合作,實施網路安全計劃;在總理內閣部新設網路安全特別顧問,負責領導網路安全戰略和政策的制定,為各機構提供明確的目標和重點,並監督各機構執行,確保國家政府與地方政府、私營部門、非政府組織、研究機構和國際夥伴有效合作;於 2018 年 7月將 CERT Australia 和數字化轉型局(DTA)的網路安全人力整合併入 ACSC,並將擴大後的 ACSC 正式成為 ASD 的一部分。
(二)持續資金投入,保障安全建設
愈演愈烈的黑客攻擊和網路詐騙讓澳政府意識到網路安全對國家安全和經濟的巨大影響,澳政府決心持續加強資金投入用於保障網路安全整治與建設。其中,2008 年 5月,澳政府承諾在未來 4 年內撥款 1.258 億美元,開展全方位的網路安全措施。2015 年 12 月,澳政府釋出重要科技政策檔案“國家創新和科學議程(NISA)”,承諾將在未來 4 年內投資 11 億澳元(約 8 億美元),用於鼓勵創新和企業家精神,提升學校科學、數學和計算機的水平,其中包括:投資 3000 萬澳元(約合 2185 萬美元)建立一個以行業為主導的網路安全增長中心,為澳大利亞的網路安全部門創造商機,並改善澳大利亞企業的網路安全;以及投資 3600 萬澳元(約合2500 萬美元)用於實施《創新全球化戰略》,鼓勵科研創新和促進國際合作等。2016 年 4 月,澳政府決定在未來 4 年投資 2.3 億澳元(約合 1.8 億美元),用以提高澳大利亞的網路安全能力。這項投資是對澳大利亞《2016 年國防白皮書》網路安全投資的重要補充。2017年 3月,澳國防工業部宣佈成立 7.3 億美元的“下一代技術基金”(NGTF),用於資助國防部門與工業界、學術界等合作,推動網路安全、量子技術等先進技術的創新發展,促進國防軍對先進技術的掌握。
(三)積極國際合作,實現對話交流
澳政府通過加入國際網際網路公約、倡導網路政策對話、積極開展區域合作等,構建全球性、區域性的夥伴關係,增強抵禦惡意網路活動的能力,並擴大在國際網路空間的影響力。一是加入國際網際網路公約及組織。澳大利亞於 2013 年簽署歐洲委員會《網路犯罪公約》,使澳執法機構能夠快速從世界各地合作機構獲得有關網路犯罪的通訊資料,幫助澳加強打擊偽造、欺詐、兒童色情、侵犯版權和智慧財產權等犯罪行為;2015 年加入“自由線上聯盟”(Freedom Online Coalition), 通過與20 多個聯盟成員國建立合作伙伴關係,促進建立自由的網際網路。二是倡導網路政策對話。澳大利亞致力通過網路政策對話,進一步加強與其他國家的網路安全合作,維護本國的網路安全利益。其中,澳自 2012 年以來與紐西蘭持續開展的網路政策對話,旨在促進公開、自由、安全的網際網路的建立;2014 年至2015 年間與中國、印度、日本和韓國等舉行網路政策多方會談,就網路安全相關議題進行意見交換。三是積極開展區域合作。澳聯邦警察署與印太地區各警察機構共同致力於應對網路犯罪問題、開展培訓合作、制定提升網路能力的倡議。例如,網路安全帕斯菲卡倡議就是一個太平洋各島國警察長與澳聯邦警察署的合作專案。此外,澳政府還與國際夥伴合作,偵察和防範恐怖分子利用網際網路實施極端恐怖主義活動。
(四)加強人才培育,持續智力供應
澳大利亞同許多國家一樣面臨著網路安全人才短缺的問題,並且人才供應不足的情況正日益加劇。澳政府在2016 年《戰略》提出“網路智慧國家”主題的目的就是要加強網路安全人才的培育,為《戰略》目標的實現持續提供智力支援。近年來澳政府採取的培育措施包括:一是建立網路安全卓越學術中心加強高技能人才培育。澳政府自2017 年 2 月啟動網路安全卓越學術中心(ACCSE)專案,承諾將在 4 年內提供 190 萬澳元(約合 138 萬美元)幫助高校建立 ACCSE,用於鼓勵更多學生開展網路安全研究和加強學生的網路安全高階技能培訓,以滿足澳商業和政府對網路安全技術人才的數質量需求。ACCSE 專案作為 2016 年《戰略》的一部分,得到了澳國防部、教育和培訓部、資訊產業協會等的大力支援,目前已獲得 ACCSE 資質認證和政府投資的兩所大學為墨爾本大學(UM)和埃迪斯科文大學(ECU)。二是擴大國家網路安全挑戰賽規模加強人才發掘。澳大利亞網路安全挑戰賽(CySCA)是由澳政府、商界和學術界聯合舉辦的黑客競賽,也是澳唯一的國家網路安全競賽,致力於發現下一代網路安全專業人才。首次挑戰賽在 2012 年舉行,開放澳全日制的大學本科生和職業技術學院(TAFE)學生組隊參加,此後每年舉辦一次。為利於持續向國家輸送人才,該項挑戰賽在 2016 年《戰略》釋出後還擴大了規模,將參賽人員範圍從高校學生擴大到了已經參加工作的從業人員。三是公私領域合作培養人才。澳大利亞網路安全研究院(ACSRI)是澳大利亞首個由政府機構、私營部門和研究界聯合開辦的戰略研究和教育機構,主要負責為政府關注的網路安全問題提供支援,協調各方力量建立覆蓋全國的網路威脅響應機制,並推動高技能網路安全專業人員的培養工作。另外,位於維多利亞州墨爾本市的博士山技術與繼續教育學院(Box Hill Institute of TAFE)與私營領域合作,開發了一個為期 12 個月的網路安全學徒制專案,積極培養網安人才;澳大利亞銀行和電信企業也在與高校合作,為學習科技課程(包括網路安全學位)的學生提供獎學金。
(五)強化安全宣傳,提高全民意識
澳政府認為,通過國家行為增進澳大利亞公民對網路安全風險和利益的理解,使澳大利亞公民能更好地保護自己和他人,並更有信心和意願在網上開展業務,也是加強網路安全防護的重要舉措。近年來,澳政府與國內各界合作加強網路安全宣傳的活動主要包括:一是舉辦網路安全意識周。澳大利亞國家網路安全意識周是由澳大利亞寬頻、通訊和數字經濟部主辦,澳政府設立的“保持安全線上”(Stay Smart Online)網站承辦的網路安全宣傳活動,於每年 10 月份舉行,主要面向家庭使用者和小型企業進行主題宣傳,幫助他們瞭解和掌握網路安全風險資訊,並提供保護網路安全的實用建議。例如,2015 年第八屆網路安全意識周以面向小微企業的“你的生意是你自己的”為主題,並首次釋出《小微企業網路安全指南》(Small Business Guide),獲得了企業的廣泛關注;2016 年第九屆網路安全周則以“網路安全從休息室到會議室”為主題,併發布了《網路安全實施指南》和《個人網路安全指南》。二是運營 Scamwatch 活動。Scamwatch 活動由澳大利亞競爭與消費者委員會(ACCC)運營,主要是利用 Scamwatch 網站向消費者和小型企業提供如何識別、避免和舉報網路詐騙的資訊。三是成立網路兒童保護組織。澳政府專門建立了兒童線上安全專員辦公室,為兒童及青少年提供如何安全健康上網的資訊和資源,幫助和指導兒童及青少年獲得線上安全的愉快體驗。
四、特點分析
澳大利亞國家網路安全戰略發展和實施的主要特點包括:
(一)戰略以網路防禦為核心
縱觀澳大利亞近年釋出的兩版網路安全戰略,構建強大的網路防禦能力、保障國家免受網路攻擊始終是該國網路安全戰略的核心。不管是 2009 年《戰略》還是 2016 年《戰略》,澳政府都將提升監測發現、阻止和打擊惡意網路活動的能力列為行動重點,用以保障政府、企業、關鍵基礎設施和其他關係國家利益的網路與系統的安全。一方面,強調通過投入使用網路防禦新技術、完善複雜網路威脅應對方案等,增加網路攻擊者成功入侵所需的努力並降低網路攻擊事件的影響。另一方面,強調通過提高網路安全標準、加強網路風險評估管理、合作打擊網路犯罪等,減少有針對性的網路入侵攻擊。與英國網路安全戰略奉行積極防禦與戰略威懾相比,澳大利亞的再版網路安全戰略中並沒有提及進攻性網路能力的發展建設,突顯戰略核心系以網路防禦為主。
(二)突出提升全民網安意識
澳政府認為,支援國家網路安全戰略所有行動成功的關鍵是解決澳大利亞公民對網路安全風險相對缺乏的認知。因此,澳政府重視全民網路安全意識的建立與提升,強調全民、全企共同應對網路安全威脅。澳政府在2009 年《戰略》中,就明確將“讓澳大利亞所有公民都意識到網路風險,確保其電腦保安,並採取行動確保其身份資訊、隱私和網上金融的安全”列為戰略首要目標;在 2016 年《戰略》中,則將提高澳大利亞公民網路安全意識納為“網路智慧國家”這一行動主題的優先執行事項。在提升全民網路安全意識的過程中,澳政府與企業、研究界和社群團體等密切協作,開展了一系列網路安全意識宣傳活動,特別是國家網路安全意識周時間固定、長期開展,取得了持續的、良好的社會宣傳效果。
(三)重視推動經濟發展繁榮
澳政府認為,網路安全不僅是國家安全問題,也是經濟安全問題;澳大利亞未來繁榮的關鍵是強大而充滿活力的“線上經濟”,因此澳大利亞積極的網路安全行動除了要改善國家網路安全之外,還要推動和實現澳大利亞經濟的發展和繁榮。在 2009 年《戰略》中,澳政府明確網路安全戰略的目的是維護一個安全、可靠和復原能力強的電子運營環境,從而促進澳大利亞的國家安全並從數字經濟中最大限度地獲取收益。在 2016 年《戰略》中,澳政府明確將企業通過網路安全創新不斷髮展繁榮列為“發展與創新”這一行動主題的目標,提出要通過促進澳網路安全產品和服務的開發和出口,在澳大利亞建立一個充滿活力的網路安全行業,為國家帶來可觀的經濟利益。
本文刊登於《網信軍民融合》雜誌2018年9月刊
宣告:本文來自網信軍民融合,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。