论文部分内容阅读
2009年6月,德国内政部颁布了《关键基础设施防护国家战略》。该战略指出,为有效保护国家关键基础设施,必须制定相关战略规划,对关键基础设施防护的基本原理、应采取的行动、经验教训等加以阐述,同时也必须明确相关风险。
战略目标与举措
2011年初,德国颁布《德国网络电磁安全战略》。通过该战略,德国政府根据《关键基础设施防护国家战略》的执行计划,完善应对当前网络电磁安全威胁的手段,并提出联邦政府应重点关注以下十个战略领域。
①保护关键信息基础设施:这是网络电磁安全领域的重中之重;扩展《关键基础设施防护国家战略》执行计划确立的合作范围。
②确保德国IT系统的安全:形成包括社会团体在内的联合倡议,以便能持续汇集信息和建议;提高安全工具的可用性。
③加强公共行政部门的IT安全:在联邦行政部门构建公共、一致、安全的网络化基础设施,并将其作为语音和数据通信的基础。IT规划委员会将进一步加强联邦部门之间的运行合作。
④国家网络电磁响应中心:任务是优化各州行政部门之间的运行合作,改善针对IT突发事件的保护协调和响应措施。
⑤国家网络电磁安全委员会:任务是协调公共和私营部门的防御性工具以及跨领域的网络电磁安全手段。该委员会将能加强和协调联邦级别的IT管理,包括不同的政府部门和联邦机构。
⑥有效控制网络电磁空间领域的犯罪:包括与工业界共同建立联合机构,以及执法部门作为咨询机构进行参与。主要工作是依托“欧洲网络电磁犯罪协定委员会”,同全球刑法保持一致。
⑦采取高效协调的行动,以确保欧洲以及世界范围内的网络电磁安全:德国的对外网络电磁政策即将出台,因此将在国际组织内就网络电磁安全问题协调观念、谋求利益。
⑧采用可靠的信息、技术:德国将继续强化IT安全和关键基础设施防护方面的研究,并将加强其在战略IT领域核心竞争力方面的技术自主和经济能力。
⑨联邦当局人才队伍建设:包括评估是否需要额外增加人员并进行网络电磁安全的专业化培训,同时加强联邦机构之间的人才交流。
⑩开发应对网络电磁攻击的工具:必须与有能力的国家权威机构合作开发应对网络电磁攻击的综合性工具。
为执行该战略,德国采取多项举措,包括:出台规划计划加以推动,如《信息基础设施防护国家计划》以及相关的IT基础设施防护执行计划等;提出具体行动建议,如将国家“基本防护方案”作为关键物理基础设施防护的基本原则,确定关键基础设施运行人员的风险管理职能;制定标准规范,如针对关键基础设施运行人员的信息安全标准等。管理体制与法规制度
德国拥有一系列与网络电磁安全相关的机构,各自具有不同的使命。在国家层面,有联邦内政部,联邦经济与技术部,“联邦信息安全办公室”,“信息技术办公室”,“数据保护和信息自由专员”,“燃气、电信、邮政和铁路联邦网络局”,“联邦犯罪警察局”等。在计算机应急响应方面,有“联邦计算机应急响应小组”、“国防部计算机应急响应小组”、“网络计算机应急响应小组”、“西门子计算机应急响应小组”等。在业界组织方面,有“德国信息技术协会”、“电信和增值服务提供商协会”等。在学术组织方面,有“波恩大学计算机科学学院”、“IT安全国际学院”等。
这些机构通过以下机制进行网络电磁方面的对话和信息交流。一是依托“德国网络电磁防御中心”形成网络电磁领域信息共享平台。该中心隶属于“联邦信息安全办公室”,直接与“联邦宪法保护办公室”以及“公众防护和灾难援助联邦办公室”进行协作。其主要职责是信息传递,如在联邦政府信息技术专员主管的网络电磁安全委员会的协同下,实现对IT产品脆弱性、薄弱环节、攻击模式等信息的快速、密切的共享。二是通过定期会议实现机构问的合作与交互。针对当前安全主题,组织召开信息、安全会议,加强“联邦信息安全办公室”、计算机应急响应小组和其他机构之间的协作。三是出台法律法规加以约束。德国颁布了一系列信息安全领域的法律法规,如:《因特网数据保护法》(草案)、《电信法》、《加强联邦信息技术安全法案》、《电子签名法》、《电子身份认证和授权法》等。
国际合作
为进一步加强网络电磁安全,德国积极开展国际交流合作。
一是与欧洲委员会和美国法律机构的合作。德国“联邦网络局”隶属于“联邦经济与技术部”。该局不仅代表“联邦经济与技术部”参加欧洲和国际上的机构或组织,同时还具有自身的国际合作职责,如与美国联邦通信委员会等其他国家法律机构交流经验等。
二是与法国的合作。2010年2月,法德两国部长会议确定了未来两国双边合作路线图,提出了加强应对网络电磁攻击的防护性措施,并同意在国际论坛中加强合作。
三是与“欧洲政府计算机应急响应小组”团体的合作。德国联邦计算机应急响应小组作为“欧洲政府计算机应急响应小组”团体的成员,积极参与大规模或区域网络安全应对措施的研发、共享1T安全事件和恶意代码威胁信息、交流技术和人才。
主要经验
德国在安全事件应急管理、网络电磁风险控制、弹性机制、隐私与可信度等领域有以下实践经验。
一是在安全事件应急管理方面。德国“联邦信息安全办公室”统一搜集和评估所有联邦机构IT安全威胁的信息,特别是安全漏洞、恶意代码、针对IT安全的攻击以及执行这些攻击的方法等信息。办公室将每两年发布一次《德国IT安全状态报告》,包括涉及具体细节的保密版本和仅包括总体建议的公开版本。
二是在网络电磁风险控制方面。内政部为公司和政府机构提供了风险和危机管理指南,将风险和危机管理分为5个阶段,分别是:建立风险和危机管理系统、描述风险分析、采取防御性措施、描绘实施有效风险管理的各个方面、评估风险和危机管理系统。
三是在弹性机制方面。《信息基础设施防护国家计划》提出了3项战略目标,分别是:①防护性,为信息基础设施提供足够保护;②战备性,对IT突发安全事件进行有效响应;③可持续性,通过设立国际标准,增强德国的IT安全能力。
四是在隐私与可信度方面。德国颁布《联邦数据保护法案》保护个人数据,主要涉及9个领域:雇主因特网搜索,医疗考试,自动数据扫描,闭路电视监控,跟踪,生物统计学数据,电话、因特网和电子邮件监控,劳资联合委员会的协定,安全违规行为通知。并且,还规定数据控制器和处理器必须遵守访问控制、传输控制、输入控制、可用性控制和数据分离等要求。
五是在国家信启、安全感知方面。为了增强对IT安全重要性的认识,德国关键基础设施运行人员已经开始进行跨部门的合作,如开展联邦部门间的危机管理培训。德国更加关注云计算的安全需求,于2010年9月颁布云计算相关信息安全问题的报告框架草案,就服务提供商安全管理需求、安全检测和认证、互操作性、云认证等问题进行了探讨。此外,德国还开展了反垃圾邮件、加强中小型商务安全等方面的工作。
战略目标与举措
2011年初,德国颁布《德国网络电磁安全战略》。通过该战略,德国政府根据《关键基础设施防护国家战略》的执行计划,完善应对当前网络电磁安全威胁的手段,并提出联邦政府应重点关注以下十个战略领域。
①保护关键信息基础设施:这是网络电磁安全领域的重中之重;扩展《关键基础设施防护国家战略》执行计划确立的合作范围。
②确保德国IT系统的安全:形成包括社会团体在内的联合倡议,以便能持续汇集信息和建议;提高安全工具的可用性。
③加强公共行政部门的IT安全:在联邦行政部门构建公共、一致、安全的网络化基础设施,并将其作为语音和数据通信的基础。IT规划委员会将进一步加强联邦部门之间的运行合作。
④国家网络电磁响应中心:任务是优化各州行政部门之间的运行合作,改善针对IT突发事件的保护协调和响应措施。
⑤国家网络电磁安全委员会:任务是协调公共和私营部门的防御性工具以及跨领域的网络电磁安全手段。该委员会将能加强和协调联邦级别的IT管理,包括不同的政府部门和联邦机构。
⑥有效控制网络电磁空间领域的犯罪:包括与工业界共同建立联合机构,以及执法部门作为咨询机构进行参与。主要工作是依托“欧洲网络电磁犯罪协定委员会”,同全球刑法保持一致。
⑦采取高效协调的行动,以确保欧洲以及世界范围内的网络电磁安全:德国的对外网络电磁政策即将出台,因此将在国际组织内就网络电磁安全问题协调观念、谋求利益。
⑧采用可靠的信息、技术:德国将继续强化IT安全和关键基础设施防护方面的研究,并将加强其在战略IT领域核心竞争力方面的技术自主和经济能力。
⑨联邦当局人才队伍建设:包括评估是否需要额外增加人员并进行网络电磁安全的专业化培训,同时加强联邦机构之间的人才交流。
⑩开发应对网络电磁攻击的工具:必须与有能力的国家权威机构合作开发应对网络电磁攻击的综合性工具。
为执行该战略,德国采取多项举措,包括:出台规划计划加以推动,如《信息基础设施防护国家计划》以及相关的IT基础设施防护执行计划等;提出具体行动建议,如将国家“基本防护方案”作为关键物理基础设施防护的基本原则,确定关键基础设施运行人员的风险管理职能;制定标准规范,如针对关键基础设施运行人员的信息安全标准等。管理体制与法规制度
德国拥有一系列与网络电磁安全相关的机构,各自具有不同的使命。在国家层面,有联邦内政部,联邦经济与技术部,“联邦信息安全办公室”,“信息技术办公室”,“数据保护和信息自由专员”,“燃气、电信、邮政和铁路联邦网络局”,“联邦犯罪警察局”等。在计算机应急响应方面,有“联邦计算机应急响应小组”、“国防部计算机应急响应小组”、“网络计算机应急响应小组”、“西门子计算机应急响应小组”等。在业界组织方面,有“德国信息技术协会”、“电信和增值服务提供商协会”等。在学术组织方面,有“波恩大学计算机科学学院”、“IT安全国际学院”等。
这些机构通过以下机制进行网络电磁方面的对话和信息交流。一是依托“德国网络电磁防御中心”形成网络电磁领域信息共享平台。该中心隶属于“联邦信息安全办公室”,直接与“联邦宪法保护办公室”以及“公众防护和灾难援助联邦办公室”进行协作。其主要职责是信息传递,如在联邦政府信息技术专员主管的网络电磁安全委员会的协同下,实现对IT产品脆弱性、薄弱环节、攻击模式等信息的快速、密切的共享。二是通过定期会议实现机构问的合作与交互。针对当前安全主题,组织召开信息、安全会议,加强“联邦信息安全办公室”、计算机应急响应小组和其他机构之间的协作。三是出台法律法规加以约束。德国颁布了一系列信息安全领域的法律法规,如:《因特网数据保护法》(草案)、《电信法》、《加强联邦信息技术安全法案》、《电子签名法》、《电子身份认证和授权法》等。
国际合作
为进一步加强网络电磁安全,德国积极开展国际交流合作。
一是与欧洲委员会和美国法律机构的合作。德国“联邦网络局”隶属于“联邦经济与技术部”。该局不仅代表“联邦经济与技术部”参加欧洲和国际上的机构或组织,同时还具有自身的国际合作职责,如与美国联邦通信委员会等其他国家法律机构交流经验等。
二是与法国的合作。2010年2月,法德两国部长会议确定了未来两国双边合作路线图,提出了加强应对网络电磁攻击的防护性措施,并同意在国际论坛中加强合作。
三是与“欧洲政府计算机应急响应小组”团体的合作。德国联邦计算机应急响应小组作为“欧洲政府计算机应急响应小组”团体的成员,积极参与大规模或区域网络安全应对措施的研发、共享1T安全事件和恶意代码威胁信息、交流技术和人才。
主要经验
德国在安全事件应急管理、网络电磁风险控制、弹性机制、隐私与可信度等领域有以下实践经验。
一是在安全事件应急管理方面。德国“联邦信息安全办公室”统一搜集和评估所有联邦机构IT安全威胁的信息,特别是安全漏洞、恶意代码、针对IT安全的攻击以及执行这些攻击的方法等信息。办公室将每两年发布一次《德国IT安全状态报告》,包括涉及具体细节的保密版本和仅包括总体建议的公开版本。
二是在网络电磁风险控制方面。内政部为公司和政府机构提供了风险和危机管理指南,将风险和危机管理分为5个阶段,分别是:建立风险和危机管理系统、描述风险分析、采取防御性措施、描绘实施有效风险管理的各个方面、评估风险和危机管理系统。
三是在弹性机制方面。《信息基础设施防护国家计划》提出了3项战略目标,分别是:①防护性,为信息基础设施提供足够保护;②战备性,对IT突发安全事件进行有效响应;③可持续性,通过设立国际标准,增强德国的IT安全能力。
四是在隐私与可信度方面。德国颁布《联邦数据保护法案》保护个人数据,主要涉及9个领域:雇主因特网搜索,医疗考试,自动数据扫描,闭路电视监控,跟踪,生物统计学数据,电话、因特网和电子邮件监控,劳资联合委员会的协定,安全违规行为通知。并且,还规定数据控制器和处理器必须遵守访问控制、传输控制、输入控制、可用性控制和数据分离等要求。
五是在国家信启、安全感知方面。为了增强对IT安全重要性的认识,德国关键基础设施运行人员已经开始进行跨部门的合作,如开展联邦部门间的危机管理培训。德国更加关注云计算的安全需求,于2010年9月颁布云计算相关信息安全问题的报告框架草案,就服务提供商安全管理需求、安全检测和认证、互操作性、云认证等问题进行了探讨。此外,德国还开展了反垃圾邮件、加强中小型商务安全等方面的工作。