- 鲁传颖
- 研究员
- 美洲研究中心
- 全球治理研究所
- [email protected]
作者: 鲁传颖
出版时间:2018年01月
出版社:信息安全与通信保密杂志社
译 者 序
本书汇集了网络安全就绪度的方法论和美、日、法等8个国家的网络就绪度报告,是一本以国家为单位来衡量网络安全状况的实用性研究著作。作者梅丽莎•海瑟薇在美国政府中长期从事网络安全工作,并曾担任美国白宫国家安全委员会负责网络安全事务的主要官员,并成立了白宫网络安全办公室。其负责制定的《网络安全政策评估》是美国政府首次把网络安全提升到战略层面的一次尝试,并且得到了奥巴马总统的高度评价。
从政府离职后,海瑟薇活跃在学术界和企业界,分别兼任了哈佛肯尼迪学院贝尔弗科学与国际事务中心、哥伦比亚大学技术管理中心高级顾问,同时还为公共和私人客户进行多学科和多视角的战略咨询和战略制定。海瑟薇先后为多个政府、全球组织、财富500强企业提供网络安全、企业风险管理和技术评估咨询。
网络就绪度是其致力于网络安全的一项重要成果,希望能够在对全球网络安全状况作出详细分析之后,给各国政府、学术界和产业界一个参照的对象。不同于其他的指数类排名,本书所含的报告是建立在各国政府的官方政策文件,参与国际和地区网络安全事务的实践之上,因此,有较强的参考价值。
同时也应当注意到,网络安全本身是一个复杂的领域,涉及到政治、经济、安全、文化、社会等方方面面。就绪度按照国家战略、事件响应、电子犯罪与执法、信息共享、研发投资、外交与贸易、防御与危机应对等七个方面进行评估是否能够完整的反映出实际情况也需要进一步的研究。此外,各个国家的国情不同,并且不同决策体系、层次,甚至文字都给报告的研究带来了很大的困难。因此,我们也看到各个国家报告的完整性和详实度方面还存一定程度的差距。
当然,这些困难和挑战不仅体现了作者的非凡勇气和精湛的研究能力,也为我们研究全球网络安全提供了一个有益的参考。我们希望能够有越来越多的中国学者加入到全球网安全研究的队伍中,将目光瞄准更多的国家和地区,在深入研究的基础上,为全球网络安全的治理贡献中国智慧,提供中国方案。
本书的翻译过程中得到了海瑟薇女士的大力帮助,她还专门为本书作序,同时,也离不开信息安全与通信保密杂志社的唐莉社长、惠志斌主编的大力支持。本书的翻译得到了很多业界专家和学者的参与,具体分工如下。鲁传颖副研究员负责美国和日本报告、许曼舒副教授负责印度报告、张腾军博士负责德国报告、张坤博士负责法国和沙特阿拉伯报告、韩小涵女士负责荷兰和意大利报告、王衍女士负责英国报告。
鲁传颖
2017年11月2日
前 言
网络就绪指数2.0(CRI 2.0)——一项网络就绪计划,是建立在2013网络就绪指数1.0方法论基础上的基线和指数,力求使网络不安全造成的经济损失透明化,并鼓励各国将本国经济前景与国家安全重点放在一起。网络就绪指数2.0 挑战了传统意义上认为网络安全主要是国家安全的论点。它展现了当网络安全中的安全和韧性可以带领经济增长和繁荣时,国家安全与互联网链接及信息通信技术的快速应用交织在一起。
网络就绪指数2.0由两个主要部分组成。第一,它客观地评估和衡量了各国对国家网络安全风险的就绪水平,以便向各国领导人通报为保护联系日益紧密的国家和潜在的国内生产总值增长所需采取的措施。第二,网络就绪指数2.0将网络就绪的核心组成部分记录为各国遵循的可操作蓝图,并因此定义了对一个国家来说什么是“网络就绪”。 这种全面的、比较的、基于经验的方法在七个基本要素中使用了超过70个独特的指标,以识别业务就绪的活动,并确定以下类别的改进领域:国家战略、事件响应、网络犯罪和执法、信息共享、研发投资、外交和贸易,以及防御和危机应对。由此产生的可操作的蓝图使一个国家能够更好地了解其互联网基础设施的依赖性和脆弱性,并评估其承诺和成熟度,以缩小其目前的网络安全态势和支持其数字未来所需的国家网络能力之间的差距。
网络就绪指数2.0是唯一公开可以获得的使用阿拉伯文、中文、英文、法文、俄文和西班牙文撰写的方法论,并且被各国、国际机构、智囊团、研究人员和公司视为一种平衡资源,用于评估和衡量国家、区域和地方各级的网络备灾情况。通过公布每个国家的详细概况,CRI 2.0方法论持续得到全球认可。
自2015年该方法论发布以来,已为以下9个国家:法国、德国、印度、意大利、日本、荷兰、沙特阿拉伯王国、英国和美国出版了国家概况。这些概况吸引了各国对于网络就绪水平的关注,同时强调了通向网络就绪的独特方法。下面的段落就强调了其中的一些观察所得。
法国正努力将雷恩地区打造成法国和欧洲领先的网络枢纽。法国把政府机构集中在网络防御和情报方面,与大学项目和法国工业一道创造一个强大的网络安全和防御生态系统,产生下一代的技术解决方案,同时发展就业人才队伍,孵化创业社区企业推动创新和数字经济。
德国正带领欧洲利用不同的市场激励机制来促进网络安全解决方案的生成。德国政府在以下三个领域提供与网络安全有关的企业研发奖励:计算机技术,意味着在数字化的世界中工作;ICT,意味着检测和解决网络安全事件;电子流动性,意味着价值链提议。此外,德国正积极努力,通过设立一个新的研究所——德国互联网协会来解决网络安全专业人员严重短缺的问题,并为包括爱因斯坦数字未来中心等其他举措提供支持(ECDF)。这将连接几个公共实体和大学,包括柏林工业大学、柏林Freie大学、洪堡大学、柏林大学和柏林慈善医科大学,以及八所著名的研究机构和两所应用科学大学。
印度政府发展了一系列培训中心,以提高其在科学、技术、政策和法律交叉点上的能力和理解力。例如,在班加罗尔印度大学法学院关于网络法律和取证的高级研究、发展和培训中心,通过向司法官员、检察官、调查机构、网络安全人员、技术人员和其他人提供培训和教育,将法律转化为技术术语,反之亦然。目前,该中心由电子和信息技术部资助,它提供了一个独特的动手培训部分。此外,在印度政府和印度数据安全委员会(DSCI)以及国家软件和服务公司协会(NASSCOM)之间建立了一种公私伙伴关系,在孟买、班加罗尔、浦那和加尔各答成立了网络实验室。这些实验室旨在网络安全和取证方面对执法官员和行业合作伙伴进行训练。已经有超过49,000人通过DSCI网络实验室泛印度项目接受了训练。
意大利的邮政和通讯警务联手,与美国保密服务一道建立了欧洲电子犯罪特遣队(EECTF)。该机构专注于广泛的“基于计算机的犯罪活动”,包括身份盗窃、网络入侵以及影响到金融部门和其他重要基础设施的与计算机有关的犯罪。总部设在罗马的欧洲EECTF监控计算机网络使用意大利邮政服务(Poste Italiane S.p.A.)的威胁软件,从欧洲执法当局、企业、安全解决方案提供商、情报机构和专家收集网络犯罪信息。此外,EECTF积极共享有关网络犯罪的信息和警报,并建立了专门的工具,与其他成员组织交流专家意见、知识、最佳做法和共同的解决办法。这些成员组织包括国际执法机构(例如保加利亚警察、罗马尼亚警察和西班牙警察)、金融机构(例如美国运通、花旗银行和万事达信用卡)、国际组织(例如ENISA、反钓鱼工作组APWG、联合国区域间犯罪和司法研究所UNICRI以及数字犯罪财团)、信息安全厂商(例如卡巴斯基、赛门铁克和Verizon)和学术界(例如博洛尼亚大学、Salerno大学和都柏林大学)。
日本正在利用即将举办的2019届世界橄榄球锦标赛与2020届奥运会和残奥会,建立网络安全并将其作为国家的优先发展事项,重新重视发展网络安全能力和应变能力。日本还预计,到2020年本国信息和通信技术部门体量将翻一番,同时宣布其目标是在2020年成为世界上最先进的信息技术(IT)国家。政府正在努力创造合适的环境来实现这一目标,并与即将举行的奥运会的最后期限相配合。政府正在努力创造合适的环境以期达成这一目标,并与即将举办的奥运会的最后期限相契合。事件就绪和网络安全战略国家中心(NISC)作为政策的中央协调机制,监测操控大量个人信息的政府相关组织,在危机时期,包括发生对关键基础设施的攻击时,提供指挥和控制。这也是日本2020年愿景的一个组成部分。
沙特阿拉伯王国正处于成为网络就绪国家的筹备过程中。2017年7月,沙尔曼国王颁布了一系列王室法令,其中最著名的是设立了国家安全主席。它是一股新的国家安全力量,将集中安全事务的权力,包括网络安全、反恐和国内情报。该机构将包括之前内政部(MOI)的一部分部门,例如特别应急部队、技术事务、安全航空、民事和军事人员以及负责打击恐怖主义和处理其他安全问题的部门。此外,法令指出或许最早在2018年1月完成从内政部到总统对于国家网络安全中心(NCSC)的重新配置。NCSC将成为王国中网络安全的重点。在接下来的几个月里,国家安全主席将有机会通过开发和制定国家网络安全框架与策略使沙特阿拉伯变得更为强大,同时通过确保相应的投资,以减少其当前的和长远的面临网络威胁的风险。
荷兰在提升军事态势方面处于欧洲领先地位。它是最早将其军事网络任务和能力发展与北约《2010里斯本网络防御宣言》以及随后的芝加哥、威尔士和华沙峰会宣言紧密结合起来的国家之一。尽管在其他领域存在军事缩编和广泛的预算削减,但是国防部在提升武装部队的网络作战能力方面仍积极投入。2014,荷兰成立国防网络司令部,以领导业务和网络能力的发展,同时将进攻能力的开发和部署涵盖进来。荷兰是欧洲第一个对外承认需要具备进攻性网络能力的国家,它声称,网络行动应纳入军事任务,并成为任务指挥官工具箱中的又一工具。该国清楚地认识到,安全不仅是一个社会良好运作的前提,而且是其未来经济发展的保障。
英国于2017年初打开了国家网络安全中心(NCSC)的大门。NCSC成为产业界和政府之间的桥梁。政府通讯总部(GCHQ)在NCSC中扮演着不可或缺的角色,对国家实施积极主动的网络防御态势至关重要。正因为如此,NCSC开始在全国范围内实现边界网关协议(BGP)安全和域名系统(DNS)安全。此外,NCSC是网络威胁情报的英国枢纽——了解对于国家及其企业和公民的威胁。它正在实施可控的安全服务方案、信息共享计划和其他举措,以迅速减少脆弱性,提高英国的整体网络安全。
早在20世纪90年代初期,美国就已认识到在政府与产业界之间共享信息的重要性。然而,针对其网络环境受到威胁的数量和速度,迫切需要另一种方式来改变“老式的”人对人的信息交换。2015年,美国开始了一个以实时自动方式分享网络威胁指标和防御措施的计划。自动指标共享(AIS)系统旨在自动地向以下组织机构提供信息:联邦部门和机构、私营企业、信息共享和分析中心(ISAC)。为了便于实现实时、自动的信息共享,美国国土安全部正在推进使用STIX、TAXII或CybOX协议——用于编码和传输高保真信息的标准语言、服务和消息交换。这些协议将有助于交换威胁评估和特性(详细的攻击模式)、恶意软件特性、操作事件管理、日志文件、指标共享、数字取证和广泛的网络态势感知。
网络就绪指数2.0为回答什么是国家网络就绪制定了标准——直接帮助各国政府继续开展网络安全实践并制定政策。国家概况描述了各国在成为网络就绪过程中应用的独特方法,并有助于各国网络利益相关者深入了解每个国家网络计划的根源和目前的成熟程度。国家概况还可以通过跨文化交流的有效做法,促进更好的互动和合作。网络就绪指数2.0提供了一种全面的(也是易于使用的)的方法论来确定加强安全态势的基本要素,以防范网络不安全所造成的对国内生产总值的侵蚀。它可被作为一个工具,用来评估从所有政府和所有国家的角度出发,某一特定国家在成熟度曲线上的位置。网络就绪指数2.0为各国政府评估和调整其经济和国家安全倡议。提供了一份蓝图。
梅丽莎•海瑟薇
2017年10月8日
目 录
中文版前言 2
没有国家做好了网络准备 6
简介 6
背景 6
CRI方法论 7
选择标准 9
初步结果 10
结论 10
网络就绪报告2.0 针对网络就绪水平的计划:基准与报告 11
引言 11
背景 11
1.网络就绪报告2.0——方法论 12
2.国家战略 15
3.事件响应 17
4.电子犯罪与执法 20
5.信息共享 23
6.研发投资 25
7.外交与贸易 27
8.防护与危机应对 30
结论 33
参考书目 34
关于作者 40
美国网络就绪度报告 42
日本网络就绪度报告 64
印度网络就绪度报告 72
荷兰网络就绪度报告 88
意大利网络就绪度一览 113
德国网络就绪指数概述 128
法国网络就绪度报告 140
沙特阿拉伯网络就绪度报告 155