论文部分内容阅读
各成员国认识到,如何对不断发展的网络与信息安全威胁作出一致反应是现代信息安全领域的一个重要挑战。
自2009年起,欧洲网络与信息安全局(ENISA)对欧洲主要国家的“网络与信息安全”情况展开调查研究。今年5月,ENISA出版了2011年度欧洲30个国家关于“网络与信息安全”的发展情况报告,报告涉及各自国家的战略与主要方针措施、组织管理机构与运行机制、网络与信息安全经验等方面的内容。同时,ENISA还发布一份综述报告,分析了欧洲主要国家在网络与信息安全建设过程中一些值得关注的特点。
网络电磁安全成为战略焦点
虽然当前欧洲各国在制定“网络与信息安全”国家战略或网络电磁安全战略方面的进度不同,但勿庸质疑的是,网络电磁安全领域已经受到各国的普遍重视。
2011年初,欧洲几个主要国家,如法国、德国和荷兰,相继发表“网络与信息安全”国家战略或网络电磁安全战略。法国于2011年2月发布了有关信息系统防御与安全的国家战略,其目标是努力成为网络电磁防御领域的第一梯队国家。德国联邦政府在2011年初发布了国家网络电磁安全战略,以确保国家、商业以及公民通信网络的安全运行。荷兰制定的国家网络电磁安全战略,涉及打击网络电磁犯罪、改进网络与信息安全、网络电磁防御和网络电磁战等内容,包含对问题的分析、远景描述和行动计划。
上述国家的国家战略具有两个显著的共同点。一是重视国家基础设施的网络电磁安全。现代社会对重要信息基础设施的依赖性越来越强,而信息基础设施与其他基础设施之间又相互联系和依赖。因此,政府需要同网络供应商、运营商一起努力,在系统层面确保和改善关键系统的安全。二是重视国际合作。网络电磁攻击变得越来越复杂,网络电磁安全防御的界限可能超出国家的范畴,必须进行有效的国际合作。德国在战略中就表示将修改部分涉外法令,以适应网络电磁国际交流的需要。而法国在强调国际合作的同时,则要求保持自主性。
总体上看,各国都在努力提升网络与信息安全。即使那些还没有正式制定相关国家战略的国家,其网络电磁安全战略的基本原则也在政府相关的战略、倡议和措施中有所体现。目前,一些国家已经制定了总体的网络电磁安全战略,还有许多国家正在准备或考虑制定。
建立健全组织体制
在各国的报告中,按任务类型将网络电磁安全相关机构划分为以下几类:政府机构(国家机构、管理者等)、各级“计算机应急响应小组”(CERT)、致力于网络与信息安全的业界组织、学术组织以及其他相关组织。
为高效实施国家网络电磁安全战略,目前越来越多的国家都在建立统一的网络电磁安全机构(如英国、法国和荷兰等)。这些机构通常负有广泛的责任,特别是那些大型机构,如德国的“联邦信息安全办公室”和法国的“网络与信息安全局”,其主要任务是收集重要的网络与信息安全问题信息,提供咨询服务,为网络电磁领域的重要政策制定提供建议。
同时,各级CERT在网络电磁安全中也发挥着重要作用。CERT是一个专门的组织(或团队),任务是监测、预防和检测计算机安全事件和发布相关信息,国家报告显示,各国cERT的数量不断增加,其数量多少与国家的大小和关于网络电磁安全问题的认知水平有关。几乎所有国家都有多个公共部门的cERT,负责政府或国家研究/教育网络。同时,在许多国家中,越来越多的CERT实行全天候运行。为了更好地支持客户,CERT也不断扩展它们的服务,提供预防性的措施,包括警告和咨询等。
建立协作对话平台
各成员国认识到,如何对不断发展的网络与信息安全威胁作出一致反应是现代信息安全领域的一个重要挑战。为了作出一致反应,所有行为体要共同确定并采取统一的做法,以保护基础设施并处置安全事件。虽然各成员国可能能够战胜发生在其境内的自然灾害或恶意进攻,但面对具有全球影响的安全事件,则需要有协调一致的防护策略和牢固合作的应对机制。只有整个团体都明白其所承担的责任,并具备实施相关活动必要的能力,才有可能实现。总体来说,各主要利益攸关国之间的相互合作在过去几年中已经有所加强,信息交换机制也已建立。各成员国已经意识到网络与信息安全合作与对话平台的必要性,某些国家已经建立起部门协调机构和顾问计划,如“行业顾问委员会”和“报警、建议和报告点”等。
提升网络电磁态势感知水平
欧盟各成员国一直从各个层面上不断提升其态势感知水平。奥地利的做法尤其值得借鉴。奥地利出版了一本《信息技术安全手册》,是国家级网络电磁态势感知的重要工具,被各个部门用于确立广泛的IT安全程序。
目前,网络电磁态势感知活动主要有两个方面的内容:一是面向用户和公众的感知行为。典型的活动包括欧盟提出的“更安全互联网”计划,以及英国的“安全在线”倡议等。前者涉及公共感知行为、打击网上非法和有害内容、以及促进更加安全在线环境的行动;后者旨在为公民和微小型企业提供有关基本计算机安全和网络隐私的知识。通过其官方网站,人们可以得到关于互联网安全、如何在线自我保护等信息以及实用的建议。网站在为初学者提供信息的同时,也为商业和家庭用户提供更多的技术信息和指导。同时,在几乎所有欧盟国家中,因特网服务提供商都会为客户提供潜在缺陷及风险的信息,以及垃圾邮件过滤、黑名单等服务。银行则通过网站通知和警告客户关于网上银行的风险。二是针对垃圾邮件和恶意软件的感知活动。目前,各国针对垃圾邮件和恶意软件的感知行为不断增加且很受欢迎。用户可以通过业界或者消费者组织网站来了解更多关于垃圾邮件的信息以及用于防范未经请求商业通信的方法。例如在罗马尼亚,“互联网技术协会”通过网站提供了罗马尼亚第一份垃圾邮件黑名单。一些国家也举办些经常性的活动,例如德国的年度反垃圾邮件论坛等。
采用安全事件管理和报告制度
在此次研究涉及的大多数国家中,信息安全事件通过国家或政府CERT进行报告和处理。信息报告级别以及CERT所给予支持的级别根据事件或者问题的类型、严重程度、构成因素、受影响的用户群大小以及CERT可用资源等确定。一般来说,影响到重要基础设施的信息安全事件通常被加以特别关注。
同时,网络运营商在应对网络安全事件的过程中起到必不可少的作用。发生严重的安全事件,网络运营商代表将同网络电磁安全机构进行合作,以恰当处理当前事件。部分国家还通过采用“通知并删除”措施,使安全事件管理更为有效。
除以上特点外,ENISA的报告还指出,部分国家网络电磁的风险评估与网络弹性机制相对薄弱,主要体现在以下两个方面:一是全面的网络电磁安全风险评估未得到足够重视。网络电磁攻击的复杂程度越来越高,发生在爱沙尼亚、立陶宛和格鲁吉亚的大规模攻击事件充分体现出网络电磁攻击的趋势。在欧盟所有成员国家中,病毒、蠕虫、恶意软件、僵尸网络和垃圾电子邮件不断增加,充分说明网络信息安全问题已到了非常严重的程度。而目前各国对人为攻击、技术失误或者自然灾害所造成的风险往往没有进行充分的研究或分析。许多国家虽然具备在国家安全或者重要基础设施保护领域的风险管理程序,却缺乏全面的网络电磁安全风险评估过程。一个国家是否拥有国家级的网络与信息安全战略,会直接影响到该国在该领域全面的风险评估与管理,并进而影响到欧盟成员国在应对网络电磁风险方面的整体水平。二是在网络弹性机制方面缺乏制度性要求。在大多数国家中,政府机构、服务提供商协会通常采取建议的形式指导网络弹性机制的建设,重点关注商业的连贯性和网络的恢复措施。在网络弹性机制建设方面,奥地利、法国和马耳他拥有值得借鉴的经验。而在其他国家,在政府机构、电信供应商和基础设施所有者间,并未建立有关网络弹性和安全问题交流的固定机制。但在许多国家,业界已建立起自己的双边机制,如关于技术问题的委员会等。
自2009年起,欧洲网络与信息安全局(ENISA)对欧洲主要国家的“网络与信息安全”情况展开调查研究。今年5月,ENISA出版了2011年度欧洲30个国家关于“网络与信息安全”的发展情况报告,报告涉及各自国家的战略与主要方针措施、组织管理机构与运行机制、网络与信息安全经验等方面的内容。同时,ENISA还发布一份综述报告,分析了欧洲主要国家在网络与信息安全建设过程中一些值得关注的特点。
网络电磁安全成为战略焦点
虽然当前欧洲各国在制定“网络与信息安全”国家战略或网络电磁安全战略方面的进度不同,但勿庸质疑的是,网络电磁安全领域已经受到各国的普遍重视。
2011年初,欧洲几个主要国家,如法国、德国和荷兰,相继发表“网络与信息安全”国家战略或网络电磁安全战略。法国于2011年2月发布了有关信息系统防御与安全的国家战略,其目标是努力成为网络电磁防御领域的第一梯队国家。德国联邦政府在2011年初发布了国家网络电磁安全战略,以确保国家、商业以及公民通信网络的安全运行。荷兰制定的国家网络电磁安全战略,涉及打击网络电磁犯罪、改进网络与信息安全、网络电磁防御和网络电磁战等内容,包含对问题的分析、远景描述和行动计划。
上述国家的国家战略具有两个显著的共同点。一是重视国家基础设施的网络电磁安全。现代社会对重要信息基础设施的依赖性越来越强,而信息基础设施与其他基础设施之间又相互联系和依赖。因此,政府需要同网络供应商、运营商一起努力,在系统层面确保和改善关键系统的安全。二是重视国际合作。网络电磁攻击变得越来越复杂,网络电磁安全防御的界限可能超出国家的范畴,必须进行有效的国际合作。德国在战略中就表示将修改部分涉外法令,以适应网络电磁国际交流的需要。而法国在强调国际合作的同时,则要求保持自主性。
总体上看,各国都在努力提升网络与信息安全。即使那些还没有正式制定相关国家战略的国家,其网络电磁安全战略的基本原则也在政府相关的战略、倡议和措施中有所体现。目前,一些国家已经制定了总体的网络电磁安全战略,还有许多国家正在准备或考虑制定。
建立健全组织体制
在各国的报告中,按任务类型将网络电磁安全相关机构划分为以下几类:政府机构(国家机构、管理者等)、各级“计算机应急响应小组”(CERT)、致力于网络与信息安全的业界组织、学术组织以及其他相关组织。
为高效实施国家网络电磁安全战略,目前越来越多的国家都在建立统一的网络电磁安全机构(如英国、法国和荷兰等)。这些机构通常负有广泛的责任,特别是那些大型机构,如德国的“联邦信息安全办公室”和法国的“网络与信息安全局”,其主要任务是收集重要的网络与信息安全问题信息,提供咨询服务,为网络电磁领域的重要政策制定提供建议。
同时,各级CERT在网络电磁安全中也发挥着重要作用。CERT是一个专门的组织(或团队),任务是监测、预防和检测计算机安全事件和发布相关信息,国家报告显示,各国cERT的数量不断增加,其数量多少与国家的大小和关于网络电磁安全问题的认知水平有关。几乎所有国家都有多个公共部门的cERT,负责政府或国家研究/教育网络。同时,在许多国家中,越来越多的CERT实行全天候运行。为了更好地支持客户,CERT也不断扩展它们的服务,提供预防性的措施,包括警告和咨询等。
建立协作对话平台
各成员国认识到,如何对不断发展的网络与信息安全威胁作出一致反应是现代信息安全领域的一个重要挑战。为了作出一致反应,所有行为体要共同确定并采取统一的做法,以保护基础设施并处置安全事件。虽然各成员国可能能够战胜发生在其境内的自然灾害或恶意进攻,但面对具有全球影响的安全事件,则需要有协调一致的防护策略和牢固合作的应对机制。只有整个团体都明白其所承担的责任,并具备实施相关活动必要的能力,才有可能实现。总体来说,各主要利益攸关国之间的相互合作在过去几年中已经有所加强,信息交换机制也已建立。各成员国已经意识到网络与信息安全合作与对话平台的必要性,某些国家已经建立起部门协调机构和顾问计划,如“行业顾问委员会”和“报警、建议和报告点”等。
提升网络电磁态势感知水平
欧盟各成员国一直从各个层面上不断提升其态势感知水平。奥地利的做法尤其值得借鉴。奥地利出版了一本《信息技术安全手册》,是国家级网络电磁态势感知的重要工具,被各个部门用于确立广泛的IT安全程序。
目前,网络电磁态势感知活动主要有两个方面的内容:一是面向用户和公众的感知行为。典型的活动包括欧盟提出的“更安全互联网”计划,以及英国的“安全在线”倡议等。前者涉及公共感知行为、打击网上非法和有害内容、以及促进更加安全在线环境的行动;后者旨在为公民和微小型企业提供有关基本计算机安全和网络隐私的知识。通过其官方网站,人们可以得到关于互联网安全、如何在线自我保护等信息以及实用的建议。网站在为初学者提供信息的同时,也为商业和家庭用户提供更多的技术信息和指导。同时,在几乎所有欧盟国家中,因特网服务提供商都会为客户提供潜在缺陷及风险的信息,以及垃圾邮件过滤、黑名单等服务。银行则通过网站通知和警告客户关于网上银行的风险。二是针对垃圾邮件和恶意软件的感知活动。目前,各国针对垃圾邮件和恶意软件的感知行为不断增加且很受欢迎。用户可以通过业界或者消费者组织网站来了解更多关于垃圾邮件的信息以及用于防范未经请求商业通信的方法。例如在罗马尼亚,“互联网技术协会”通过网站提供了罗马尼亚第一份垃圾邮件黑名单。一些国家也举办些经常性的活动,例如德国的年度反垃圾邮件论坛等。
采用安全事件管理和报告制度
在此次研究涉及的大多数国家中,信息安全事件通过国家或政府CERT进行报告和处理。信息报告级别以及CERT所给予支持的级别根据事件或者问题的类型、严重程度、构成因素、受影响的用户群大小以及CERT可用资源等确定。一般来说,影响到重要基础设施的信息安全事件通常被加以特别关注。
同时,网络运营商在应对网络安全事件的过程中起到必不可少的作用。发生严重的安全事件,网络运营商代表将同网络电磁安全机构进行合作,以恰当处理当前事件。部分国家还通过采用“通知并删除”措施,使安全事件管理更为有效。
除以上特点外,ENISA的报告还指出,部分国家网络电磁的风险评估与网络弹性机制相对薄弱,主要体现在以下两个方面:一是全面的网络电磁安全风险评估未得到足够重视。网络电磁攻击的复杂程度越来越高,发生在爱沙尼亚、立陶宛和格鲁吉亚的大规模攻击事件充分体现出网络电磁攻击的趋势。在欧盟所有成员国家中,病毒、蠕虫、恶意软件、僵尸网络和垃圾电子邮件不断增加,充分说明网络信息安全问题已到了非常严重的程度。而目前各国对人为攻击、技术失误或者自然灾害所造成的风险往往没有进行充分的研究或分析。许多国家虽然具备在国家安全或者重要基础设施保护领域的风险管理程序,却缺乏全面的网络电磁安全风险评估过程。一个国家是否拥有国家级的网络与信息安全战略,会直接影响到该国在该领域全面的风险评估与管理,并进而影响到欧盟成员国在应对网络电磁风险方面的整体水平。二是在网络弹性机制方面缺乏制度性要求。在大多数国家中,政府机构、服务提供商协会通常采取建议的形式指导网络弹性机制的建设,重点关注商业的连贯性和网络的恢复措施。在网络弹性机制建设方面,奥地利、法国和马耳他拥有值得借鉴的经验。而在其他国家,在政府机构、电信供应商和基础设施所有者间,并未建立有关网络弹性和安全问题交流的固定机制。但在许多国家,业界已建立起自己的双边机制,如关于技术问题的委员会等。