二是对威胁的分析。
危害俄罗斯联邦信息安全有外因和内因之分。
其外因是:国外政治、经济、军事、侦察和情报机构在信息领域针对俄联邦利益的活动;一些国家企图在国际信息空间占据优先地位并削弱俄罗斯的利益,企图将俄罗斯从国内和国际市场排挤出去;在信息技术及信息资源领域存在激烈的国际竞争;国际恐怖组织的行为;与世界发达国家技术差距拉大,与俄信息技术进行对抗的能力增强;国外在外太空、空中、海上和地面的侦察技术及其他设备(形式)的活动;一些国家炮制信息战构想,试图研制对世界其他国家的信息领域施加危险影响的设备,破坏信息和远程通信系统的正常功能,破坏信息资源的保护以及非法访问这些信息资源。
其内因有:国内工业领域的困境;国家机构与犯罪组织在信息领域的勾结,犯罪组织访问机密信息的得逞,对社会生活实施的有组织犯罪进一步加剧,对国家、社会和公民在信息领域合法利益保障程度的不断降低而导致犯罪;俄联邦国家权力机关、俄联邦主体国家权力机关确立和实行统一保障俄联邦信息安全领域的国家政策尚未取得完全一致;协调信息领域关系法规的制定不严谨,法律应用实践也不充分;国有研究机构不发达,国家对俄罗斯信息市场的发展管理力度不够;保障俄联邦信息安全方面的财政措施不力;国家的经济能力不足;教育和培训系统效率下降,保障信息安全领域的专业干部数量不足;俄联邦国家权力机关、俄联邦主体国家权力机关对于自己在信息社会的活动,对于明确采取措施以建立公开的国家资源并完善公民对该资源的访问系统积极性不高;俄罗斯在俄联邦国家权力机关、俄联邦主体国家权力机关、地方自治机关、财政金融系统、工业、农业、教育、卫生和其他公民服务领域的信息化保障水平落后于世界发达国家。
二美国维护网络空间安全的有关行动
本节列举了美国先后在《信息系统保护国家计划》和《保护网络空间的国家战略》中部署的有关行动,这些行动也代表了西方国家的主要动态。需要指出的是,由于美国与中国、俄罗斯等国对信息安全概念的认识不同,美国维护网络空间安全的行动任务中不涉及对信息内容安全的考虑。
1.《信息系统保护国家计划》提出的10项内容
美国克林顿政府在2000年的《信息系统保护国家计划》中围绕三个目标作了具体的10项内容设计。
目标一:“准备和防范:减小对我们的关键信息网络进行成功攻击的可能性,建立一个面对类似攻击仍能保持有效运转的基础设施。”
内容1:确定关键基础设施资产以及共有的互依赖性,查找其脆弱性。
“内容1要求政府和私营部门确定其关键信息网络的重要资产、互依赖性和脆弱性,然后制定并实施实际可行的方案去修复其脆弱性,同时,不断地展开新一轮的评估和修复工作。”
目标二:“检测和响应:实时地确定和评估攻击,对攻击进行控制,受攻击后迅速恢复和重建。”
内容2:检测攻击和非法入侵。
“内容2为我们的敏感的计算机系统安装了多层保护,包括先进的防火墙、入侵检测监控器、异常行为标识器、企业级管理系统和恶意代码扫描器。为了保护关键的联邦系统,计算机安全运营中心(先是在国防部,然后是与其他联邦机构相协调的联邦入侵检测网络)将收到由这些检测设备发来的警告,也可以从计算机应急响应小组(CERT)或其他途径获得攻击警告,用来分析并协助各站点抵御攻击。”
内容3:开发稳健的情报和执法功能,保持与法律的一致。
“第3项内容将帮助和加强美国执法及情报机构并转换他们的角色,使他们能够处理计算机网络所面临的新型的威胁和新型罪犯。”
内容4:以实时的方式共享攻击预警和信息。
“攻击一点应视为攻击全体。”
内容5:建立响应、重建和恢复能力。
“第5项内容是在攻击进行的时候对其限制;使相关团体和机构保持其职能的连续性;制定恢复计划,以对付信息攻击。”
目标三:“建立牢固的根基:我们应该为我们的国家培养相关人员、建立相关组织、完善法律和传统,使我们能更好地针对我们的关键信息网络遭到的攻击进行准备、防范以及检测和响应。”
内容6:为支持内容1-5,加强研究和开发。
“第6项内容系统地确立了实现这个计划所必需的研究要求和优先级顺序,确保了这些研究的资金来源,而且,该步骤中还建立了一个系统,用来确保我们的信息安全技术始终紧跟整个信息系统中的威胁的变化。”
内容7:培训和聘用足够数量的信息安全专家。
“内容7概览了联邦政府和全国范围内信息安全专家的数目和所需的技术,采取了措施来培训现有的联邦IT雇员,并征募和教育其他人员来弥补这种人才的亏空。”
内容8:进行拓广,使美国人民知晓提高信息安全的必要性。
“第8项内容向公众解释现在就采取行动的必要性,在灾难性的事件到来之前,提高我们防御处心积虑的计算机攻击的能力。”
内容9:通过立法和拨款,支持内容1-8。
“第9项内容为支持其他内容提出的活动提供了法律框架。这个活动要求联邦政府内部——包括国会——同私营工业紧密合作。”
内容10:在计划的每一步骤和每一部分中,要完全保护美国公民的自由权、隐私权以及私有数据。
“第10项内容与其他几步融为一体,它确保我们在保护关键计算机系统时的所作所为都符合了宪法和其他法律的规定。”
2.《保护网络空间的国家战略》确立的5项优先事务
2003年布什政府的《保护网络空间的国家战略》确立了政府需要急抓的5项优先事务。这5项事务的范围比2000年《信息系统保护国家计划》的10项内容范围要窄,但在深度上有了发展。之所以出现这一情况,并非表示政府不再去关注法律、人才、资金、技术等基础性工作,而是为了在新的反恐形势下更突出反恐的需要。
优先事务Ⅰ:国家网络空间安全响应系统
“攻击的快速标识、相关信息的交换和采取补救措施通常可以降低恶意网络行为带来的危害。对于全国性的攻击行为,美国需要在政府和私营企业之间建立合作联盟以分析攻击、发布预警并协调应急响应工作。在这个过程中必须保护隐私和公民自由。由于没有任何一个网络安全计划能够防止所有智能化、有组织的攻击,因此必须确保信息系统在受到攻击时仍能正常工作并可快速恢复所有功能。”
《保护网络空间的国家战略》就网络空间安全响应确定了8项主要行动和工作:(1)为响应国家级的网络安全事件,制定一个公私合作的体系结构;(2)为从战术和战略上分析网络攻击和评估脆弱性做好准备;(3)鼓励私营部门加强把握网络安全总体态势的能力;(4)扩展“网络预警和信息网”(CWIN),支持国土安全部对网络安全危机管理的协调能力;(5)改善对国家级事件的处理能力;(6)在为公私机构制定连续性计划和应急计划时,协调自愿参与的过程;(7)对联邦政府的网络安全连续性计划进行演习;(8)改善和加强公私机构之间在网络攻击、威胁和脆弱性方面的信息共享。
优先事务Ⅱ:国家网络空间威胁和脆弱性消减计划
“通过利用美国各个网络的脆弱性,有组织的攻击可能会对国家关键基础设施造成危害。关键基础设施的信息资产及其外部支撑结构(例如互联网的运行机制)存在的脆弱性是对网络空间的最大威胁。脆弱性来源于技术的缺陷、不正确的技术实施方式和对技术产品缺乏了解。”
《保护网络空间的国家战略》就消减网络威胁和脆弱性确定了8项主要行动和工作:(1)增强司法机构防止和起诉网络攻击的能力;(2)为国家网络脆弱性评估制定一个流程,以更好地把握网络威胁和脆弱性可能造成的后果;(3)通过改进协议和路由方式增强互联网的安全性;(4)鼓励使用可靠的数字控制系统(DCS)/监督控制和数据采集系统(SCADA);(5)减少和矫正软件的脆弱性;(6)理解基础设施之间的互依赖性,改善网络系统和电信系统的物理安全;(7)优先考虑国家网络安全研发工作;(8)评估和加强新建系统的安全性。
优先事务Ⅲ:国家网络空间安全意识和培训计划
“很多网络脆弱性之所以存在是由于部分计算机用户、系统管理员、技术开发人员、采购官员、审计人员、首席信息官(CIO)、首席执行官(CTO)和董事会缺乏网络安全意识。不管基础设施自身是否存在脆弱性,这种意识上的脆弱性将为关键基础设施带来很大的危险。由于缺乏足够的受过训练的人员,网络安全行业也没有一个广泛承认的多级别的技能认证项目,这些都为处理网络脆弱性带来了困难。”
《保护网络空间的国家战略》就安全意识、教育和培训确定了4项主要行动和工作:(1)实施一项全面的国家级意识培养项目,使得包括商人、普通员工、一般民众在内的所有美国人都能够保护其自身所处的网络空间的安全;(2)实施足够的培训和教育项目,以支持国家网络空间安全的需求;(3)提高现有的联邦网络空间安全培训项目的效率;(4)推动私营部门对得到良好协调的、广为认可的网络安全专业认证体系的支持。
优先事务Ⅳ:保护政府网络空间的安全
“虽然政府只管理着国家关键基础设施中的一小部分计算机系统,但各级政府在农业、食品、公共健康、应急服务、国防、社会福利、信息与通信、能源、运输、银行与金融、化学品、邮政和海运等领域承担着至关重要的任务,这些工作的执行都依赖于网络。在网络安全领域政府可以以身作则发挥领导作用,包括利用其采购计划培育网络安全产品市场。”
《保护网络空间的国家战略》就保护政府的网络空间安全确定了5项主要行动和工作:(1)不断对联邦政府的网络系统进行威胁和脆弱性评估;(2)对联邦的网络系统用户实施身份鉴别和授权;(3)保护联邦政府无线局域网络的安全;(4)改善政府外包和采购的安全性;(5)鼓励州和地方政府考虑建设信息技术安全项目并与同类政府机构共享信息。
优先事务Ⅴ:国家安全和国际网络空间安全合作
“美国的网络将美国和世界其他国家连接在了一起,一个覆盖全球的网络使得恶意攻击者可以对几千里以外的系统实施攻击。网络攻击正以光速跨越国家边界,而且难以识别恶意活动的来源。美国必须能够保护自己的关键系统和网络的安全,为做到这一点就需要有一个国际合作机制以便于交换信息、降低脆弱性和震慑恶意人员。”
《保护网络空间的国家战略》就国家安全和国际网络空间安全合作确定了6项主要行动和工作:(1)加强与网络相关的反情报工作;(2)改善对攻击源调查和响应的能力;(3)在网络攻击响应方面,加强对全国国家安全部门的协调;(4)与工业界一起,通过国际组织,推动国际间的公共部门和私营部门就保护信息基础设施和促进全球的“安全文化”开展对话;(5)促进建设全国性和国际性的观察和预警网络,以在网络攻击发生时及时发现并将其制止;(6)鼓励其他国家加入《欧洲委员会计算机犯罪公约》,或至少确保这些国家的法律和流程中包含了该约定的内容。
