《西方国家网络安全战略谋划和部署实施经验启示,计算机网络论文.docx》由会员分享,可在线阅读,更多相关《西方国家网络安全战略谋划和部署实施经验启示,计算机网络论文.docx(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、西方国家网络安全战略谋划和部署实施经验启示,计算机网络论文进入 21 世纪以来,世界主要国家的网络安全战略部署和施行力度显着加强,国家网络安全战略密集出台,维护网络安全的各项措施有力推进,以美国为首的西方国家已建立起日益完善的网络安全保障体系。作为信息化飞速发展的世界性大国,我们国家同样面临着网络安全问题的严峻挑战,而且较之一些西方国家更为紧迫和复杂。固然国家政治体制不同,面临的内外安全环境和网络安全威胁也不一样,但其他国家在网络安全战略谋划和部署施行方面的有益经历体验仍然给予我们很多启示,值得我们深切进入研究和积极借鉴。 由于网络安全本身牵涉问题诸多,牵涉领域方方面面,任何国家维护国家网络安
2、全的举措都需要统筹全局、突出重点,因此各国网络安全战略重要举措具体表现出出某种程度的共通性,以及遵循网络安全保障规律的一致性,但同时,由于要实现的战略目的各有侧重,各国网络安全举措又在同一问题上具体表现出出不同的针对性和指向性。 一、强化国家层面统筹协调 强化工作统筹和综合协调,成立国家层面的领导和协调机构成为各国网络安全战略部署的重要内容,并以此为网络安全战略的施行推进奠定基础、提供组织保障。美国网络安全职能部门诸多,互相间职责穿插、信息不通、无法构成工作合力的问题曾非常突出, 9 11 事件也曾经暴露过这些问题。为加强网络安全工作的统筹和综合协调,美国在总统办公厅设立网络安全办公室,全权负
3、责国家网络安全事务,包括监督联邦部门、机构信息安全政策施行情况,协调信息安全政策和程序与相关的信息资源管理政策和程序的关系,加强公私部门与有关机构和行业合作的信息分享和政策协调,在遭受针对信息技术的大规模攻击情况下协调由各机构管理的信息基础设施的防御,审核批准各机构信息技术保卫预算等。该办公室设在总统办公厅,直接授命于总统,将网络安全事务的协调层级提升至国家最高级,极大地提高了网络安全工作力度和效率。网络安全办公室主任为国家网络安全协调官,由总统任命,作为总统国家安全委员会成员,出席国家经济咨询会议。国家网络安全办公室向美国国家安全委员会和国家经济委员会汇报工作,并通过这两个委员会直接影响美国
4、国家安全和经济发展决策。 英、日等国与美国类似,将网络安全协调机构设在首脑办事机构。英国组建网络安全办公室,设在内阁办公厅,全权负责网络安全战略的施行推进,为各部门的网络安全问题提供战略指导和协调,并通过跨的方案推动网络安全战略的执行。 日本在内阁官房成立国家信息安全中心,承当日本网络安全工作的领导与协调职能,主要负责应对国家级的网络安全事件并组织应急响应,制定网络安全标准,培养网络安全人才,并向内阁大臣报告工作,同时负责与外国相关机构就网络安全事宜开展合作。日本还成立了信息安全政策委员会,作为 IT 战略指挥部的分支机构,承当日本信息安全战略规划的统筹谋划和制定施行职责。德国采取委员会制,成
5、立了国家网络安全委员会,负责从政治和战略高度统筹网络安全工作,协调联邦层面的网络安全管理,为公共和私营部门制定网络安全政策并进行工作协调。委员会成员包括联邦总理以及外交部、内政部、国防部、经济与技术部、司法部、财政部、教研部及部分联邦州代表,特定情况下,联邦其他部门、产业界和学术界相关人员也会被邀请参加。 除此之外,荷兰成立网络安全委员会和国家网络安全中心,以统筹网络安全各项工作,强化公私合作。欧盟成立了欧洲网络安全局,作为欧洲网络安全问题的协调、管理和咨询中心,负责搜集分析网络威胁信息、向欧盟委员会和各成员国提供分析结果、提高网络和信息系统的安全性、加强欧盟成员国和欧盟机构的能力、在欧洲建立
6、网络安全文化以及推动区域数字化经济发展等。 二、加强国家关键基础设施防护 各国普遍将保卫国家关键信息基础设施作为网络安全各项措施中的首要选项,给予最高优先级,积极采取措施加强防护。美国不仅专门出台维护国家关键基础设施安全的总统令,而且早在2003 年发布的(国家网络空间安全战略 中就提出一系列保卫措施,包括由联邦向负责关键基础设施管理和运营的私营企业分享网络安全信息,由美国国家标准与技术研究院 NIST 制定自愿性的关键基础设施网络安全框架,鼓励引导私营企业参加关键基础设施网络安全项目,确定最易受网络攻击的关键基础设施清单,制定关键基础设施安全研发计划等。俄罗斯高度重视保障国家关键基础设施安全
7、,部署了若干详细措施,包括研发能够防备网络攻击的标准软件和设备,施行国产化替代; 建设风险防备的技术评估系统和方式方法手段; 对关键基础设施和重要信息系统中使用的软硬件进行统一登记备案; 建立关键基础设施使用的标准软件库等。英国提出通过部门与国家关键基础设施所有者和运营部门合作,确保关键数据和信息系统的持久安全和可恢复,降低关键基础设施的脆弱性。 德国以为关键信息基础设施是所有关键基础设施的核心,要求公共和私营部门应建立更严密的战略和组织基础,以进一步加强信息分享,同时扩展关键基础设施保卫执行计划确立的合作范围,并通过立法强化关键基础设施保卫执行计划的约束力。法国在国家关键基础设施领域采取公私
8、合营,以加强网络威胁分析,确保对国家正常运转至关重要的关键基础设施到达必要的防御强度。日本组建并促进关键基础设施保卫委员会发挥作用,制定国家关键基础设施防护策略,促进关键基础设施安全标准的制定、应用和改良,通过加强各领域网络安全威胁分析和组织施行跨部门应急演练,加强关键基础设施的信息安全措施,制定业务持续性计划,加强关键基础设施保卫国际合作等。印度提出制定关键信息基础设施保卫计划,组建国家关键信息基础设施保卫中心以统筹协调关键信息基础设施保卫。欧盟委员会要求促进成员国和关键基础设施所有者、运营商的合作,及时发现关键基础设施的系统漏洞,鼓励开发具有恢复力的系统。 为解决各成员国关键基础设施互联互
9、通带来的安全隐患,欧盟发布了(关键信息基础设施保卫战略,针对存在的突出问题,提出了准备和预防、监测和响应、减灾和恢复以及内外合作等方面的行动措施; 发布(欧洲关键基础设施保卫计划新措施-让欧洲关键基础设施更安全,提出采取预防、准备和响应等方面的详细措施,选取若干欧洲关键基础设施进行试点,以测试和提升关键基础设施的恢复力。 三、保障网络信息系统安全 由于网络信息系统中往往存储传输大量的国家机密信息或内部工作信息,直接牵涉国家安全和日常运作,因此成为各国重点保卫的对象。 美国将联邦部门网络安全需求与预算和资金规划挂钩,机构在联邦资金规划中要考虑网络安全问题并报告每项网络信息技术投资的安全成本,要求
10、持续地对联邦网络系统中的威胁和脆弱性进行评估,对联邦网络系统用户权限进行认证和维护,保卫联邦无线局域网,改良联邦外包和采购的安全性,鼓励州和地方建立信息技术安全程序,进行信息安全实践等。 英国由网络安全和信息保障办公室负责领导提高部门网络安全认识工作,明确网络环境下应转变哪些观念和行为并进行宣传,以促进网络安全保障和业务工作的融合,使政策制定的各个方面充分考虑网络安全的因素。同时,调查部门在网络安全技能和专业知识方面的需求,以有针对性地开展提升计划。德国以为部门应在数据安全方面作出表率,提出为联邦机构建设一个公共、统一、安全的网络基础设施 联邦网络 ,作为语音和数据通讯的基础; 要求所有联邦机
11、构积极介入和高效推进网络信息系统安全保障,合理部署和调配资源; 确保联邦网络安全方面的投资; 联邦规划委员会将进一步加强联邦部门间的合作,十分是与计算机应急响应小组的合作。 法国要求将高度可信的安全产品应用于机构,以保卫国家机密信息。俄罗斯为确保网络信息系统安全,要求联邦各部门在2021 年前从使用私有软件转为使用免费或开源软件 如 Linux ,停止使用微软产品,并建设国家开源软件库。日本部署加强部门信息安全基础设施,强化各机构首席信息安全官职能,加强安全行动协调小组搜集和分析网络安全信息的能力,持续改善机构信息系统的信息安全措施,在电子政务系统中推广使用密码技术,根据新的安全环境变化审查(
12、计算机信息系统信息安全措施标准,促进地方等落实信息安全措施。澳大利亚强化部门网络信息系统防护,将部门互联网接入口数量缩减至最低,以最大限度保障效率、可靠和安全;制定集约化的信息技术产品、服务采购和管理措施,建立基本网络安全标准; 对(防卫安全手册进行审查,对华而不实的安全政策和标准进行更新; 还部署施行 On Secure 计划,由国防通信处和信息管理办公室合作开展,向各部门通报网络安全威胁及解决办法。 加拿大要求加强机构发现、阻止和抵御网络攻击的能力,部署了缩减联邦互联网接入口数量,强化确保供给链安全的相关程序以及提高联邦雇员的网络安全意识等详细措施。新西兰在通信安全局设立国家网络安全中心,
13、改良机构内部网络安全行为形式,以保障网络信息系统和信息安全。 四、加强应急响应和恢复能力 网络安全事件的突发性、毁坏性强,影响范围广,往往在极短的时间内造成不可挽回的损失。 因而,各国都普遍将加强网络安全的应急响应和恢复能力作为一项重要战略举措,以在重大网络安全事件发生后,第一时间作出反响加强应对,并通过迅速恢复将造成的损失降至最低。 英国提出建设安全、可靠、可恢复的系统以加强应对各种网络攻击的准备和防护,提高快速反响能力,同时持续加强通信总部和国防部监测和防御网络威胁的自主能力,组建网络事件应急响应小组,负责协调国家级别的网络安全事件处理。德国组建了国家网络响应中心,来历自联邦刑警局、联邦警
14、察局、联邦情报局、国防军、海关以及关键基础设施运营部门等人员组成,向国家网络安全委员会提交例行和特殊报告,在即将或已经发生网络安全危机的情况下,中心将直接向内政部部长指挥的危机管理部门报告并采取措施。法国提出加强对网络攻击的监测能力并应用于网络,及时发出预警信息,并在法国国家网络和信息安全局 ANSSI 内设置专门机构,进行网络威胁的实时监测和危机管理,提升必须的应急响应能力。 俄罗斯提出建设国家防备网络攻击和网络威胁预警系统,成立网络安全事故响应中心,制定施行危机应对计划,消除国家范围内将要或已经出现的网络威胁,加强网络安全应急响应能力。日本通过组织部门进行重大网络突发事件应急演练,确保能够
15、应对大规模网络攻击并采取有效的初期反制措施,同时,加强网络安全事件的信息搜集、分析和信息分享系统建设,十分是加强内阁官房与相关机构间的信息分享系统建设等。荷兰发布国家信息通信技术应急计划,组织开展网络安全演习,以提高应对网络攻击的响应能力。澳大利亚提出制定应对网络突发事件国家计划,采取措施加强连续、实时的网络风险监控能力,包括在国防部组建国家网络安全作战中心,保持全天候网络监测能力,协同应对国家级网络安全事件; 成立国家计算机应急响应小组,加强和私营部门的信息分享和协同应对网络威胁的能力。印度提出组建国家计算机应急响应小组,以协调网络安全应急响应和危机管理事务。 欧盟设定统一的网络安全最低要求
16、,要求各成员国组建国家网络安全主管部门和计算机安全应急响应小组; 建立网络安全预防、检测、缓解和响应机制,以实现各国网络安全主管部门间的信息分享和互相援助; 组织各成员国参加及有美国等国际合作伙伴参加的网络安全演习,提高应对网络事件的能力; 根据网络安全事件的性质、级别和影响的不同,进行不同的应急响应。 五、加快技术研发和应用 网络安全保障对网络信息技术实力的高度依靠使得各国对技术研发和应用都给予高度重视,采取战略性举措提升技术的自主能力。 英国要求各职能部门长期跟踪网络安全产业基础的健康发展,确保相关研究和开发工作能够突出重点,协调和利用获得最好效果; 通过嘉奖网络安全研究领域一流大学以及组
17、织 网络空间安全挑战 活动等支持科研创新。德国提出深化信息技术安全和关键基础设施保卫方面的研究,加强德国在战略信息技术领域核心竞争力方面的技术自主和盈利能力,并在可能范围内与合作伙伴及盟友分享相关资源。 在技术应用方面,坚持多样性,在核心安全区域使用经国际标准认证的组件以保障网络安全。 法国以为网络安全取决于技术和能力,提出发展科学、技术、工业等方面的能力,以保持法国在网络安全方面的自主权,并要求通过与工业合作伙伴联合组建网络防御科研中心,进行密码和信息安全技术等方面的研究。日本要求提升本国网络安全产业国际竞争力,解决严重依靠国外技术、产品和服务问题,研发更具创新性的网络安全技术,提高网络攻击
18、监测和分析能力,日本防卫省2018 年度预算中包含总额约 70 亿日元 约合7525 万美元 的 应对网络攻击 项目,投入巨资建设 防卫信息通信平台 和 计算机系统通用平台 .欧盟启动 地平线 2020 项目计划,支持技术创新,解决从研发到应用的转化问题; 建立欧盟与成员国研究机构的协作机制,鼓励成员国在相关领域扩大投资; 要求各会员国制定更有力的采购方案,促进应用愈加安全可靠的网络安全产品和服务; 跟踪网络犯罪和网络安全发展的新趋势、新需求,开发相应的数字取证工具和技术;鼓励、企业与保险业合作,降低企业投资网络安全领域的风险等。 俄罗斯把确保技术独立性列入长期发展计划和重要科研课题,自主研制
19、了高安全等级操作系统,并在关键部门积极推广自主研制的技术设备; 明确网络安全领域前沿科学技术研究重点并在开展应用和理论研究以及试验设计工作中提供国家支持; 向国内网络安全设备生产商提供减免税费、推广等国家支持; 推进国家规划的网络安全技术设备研发; 制定系统措施推广使用国产软硬件等。澳大利亚将网络安全科技研发纳入国家安全科学创新战略,通过开展国家级网络安全项目研究,对网络安全研发活动提供专项资金支持,同时制定发布年度研发重点,对各方面的科研工作进行引导。印度提出对应短期、中期、长期目的分别设立研发项目,开展网络安全前沿技术研究,促进科研成果转化应用,加强产学研的结合等措施。 六、开展公私合作和
20、国际合作 网络安全问题的复杂性、广泛性决定了开展合作的必要性和重要性,加强部门与私营机构之间以及国与国之间的网络安全合作,分享信息,协调联动应对网络威胁,已经成为各国网络安全战略中必不可少的重要举措,一些国家甚至将合作作为整个网络安全战略的核心。 英国通过建立与企业间的网络安全信息分享合作机制,由通信总部等职能部门和金融、国防、能源、电信、医药等行业百余家企业开展合作,机制内的成员单位将能够及时接收网络攻击预警、攻击方式手段和应对措施等信息; 由网络安全和信息保障办公室负责英国与国际伙伴和国际组织之间的合作,推动建立网络空间行为国际准则,设立网络能力建设基金,用于支持开展国际间网络安全合作,为
21、其他国家提供网络安全方面的建议和指南,对网络空间国际规则制定施加影响。德国提出建立高效合作以确保欧洲和世界范1设施的相关措施,加强德国网络安全政策与联合国、欧洲安全与合作组织、欧盟委员会、经济合作与发展组织以及北约等相关国际组织政策的协调互动,将德国保卫关键基础设施的标准作为统一标准提出,供北约其他成员国参考。法国以为保障网络安全与各国职能部门间的信息沟通密切相关,提出建立更广泛的伙伴关系以分享信息资源,在打击网络犯罪方面加强合作,同时在盟国内组建一个小范围互信合作联盟以进行深度合作。日本提出建立各国网络安全主管部门信息分享和应急协调机制,推进网络空间国际合作全球框架建设; 推动网络空间国际规
22、则制定,积极参加各类多边框架下的网络空间政策制定和能力建设商量,传播日本的网络安全基本原则和政策等详细主张; 加强日美、亚太区域、日欧等合作,深化日美伙伴关系,强化两国部门间网络安全对话、联合演习和信息分享等方面的合作,深化日本与东盟在网络空间人才建设、技术研发、信息分享和关键基础设施保卫等方面的合作等。 澳大利亚提出加强部门与产业界合作以提高关键基础设施、网络、产品和服务的安全性和可恢复性,包括实行敏感信息分享,协同进行网络安全行动,联合开发网络安全技术和标准以及组织网络安全培训等; 积极介入国际网络安全事务,与主要盟国及具有一样出发点国家协定双边和多边协议,加强网络安全合作等。 七、提高国
23、民网络安全意识和技能 各国将提高国民网络安全意识和技能作为提升国家网络安全保障能力和水平的重要基础,部署施行国家级的行动计划,广泛开展各类宣传和培训。 美国 2003 年起部署开展了全国性的网络安全意识提升活动,由国土安全部负责领导提高家庭用户和小型企业、大型机构等的网络安全意识,制定提高中小学生网络安全意识计划。英国积极采取措施帮助公众应对网络安全威胁,包括通过社交媒体发布病毒和网络威胁警告; 鼓励、支持并且发展各种层面的网络安全教育、提高公民最为必要的技能; 和互联网服务供给商达成协议,使其能够为网络用户发现网络威胁及保卫本身不受网络威胁影响提供支持。法国提出加强面向公众的宣传,使公民加深
24、对网络攻击危害后果的认识,更深切进入地理解网络安全问题并采取防御措施,国家网络和信息安全局将倡导和广泛开展面向公民和企业的网络安全沟通活动。日本通过推进各类宣传活动促进公民网络安全意识提升,自 2018 年 2月起,将每年 2 月定为 信息安全月 ,制定综合国民网络安全意识启发方案,并组建信息安全保密支援服务局,向国民提供信息安全相关咨询服务,促进个人信息保卫。俄罗斯提出组织综合信息运动,以提高公民、组织等对网络威胁的认识和应对方式方法的把握,普及通俗易懂的网络安全技术、措施和方式方法; 开展服务公众的国家互联网门户网站推广运动,提供网络威胁、网络安全问题及应对措施等相关信息。澳大利亚开展教育
25、培训以提高国民网络安全意识和技能,包括在中小学开展网络安全教育,每年与网络运营企业、社区等合作举办网络安全周活动,通过建设权威的网络安全信息网站为公众提供网络威胁信息及解决方式方法等。新西兰提出由与网络安全公司及非组织开展合作,帮助网络用户获得网络安全信息和建议,提升网络安全意识。捷克加强部门与新闻媒体的合作以传播网络安全知识,提升公民网络安全意识。印度提出开展网络安全教育培训项目,建设国家网络安全培训基础设施,启动全国性网络安全意识加强项目。 八、加强人才培养 网络空间的竞争和较量日益成为人才的竞争和较量,各国网络安全战略中普遍就培养网络安全人才作出战略部署。 美国提出加强联邦网络安全教育培
26、训计划的有效性,鼓励开展更多的网络安全教育和培训项目,发布(国家网络空间安全教育计划,施行网络安全职业培训计划,制定国家网络安全专业人员资格认证标准和指南并开展认证。英国要求将网络安全纳入各级立法和教育工作主流活动中,启动了一系列人才培养和认证计划,在大学培养网络安全人才,对指定培养的博士进行赞助,对网络安全和信息保障方面的专家开展认证,以提高其技能; 军方还发起 网络空间预备役 计划,旨在招募和培养网络安全方面的高端人才。德国以为从事网络安全相关工作人员的素质和能力是应优先考虑和解决的问题,将加强联邦当局内部人才沟通和网络安全技能培训。日本提出通过加强网络安全专业高等教育、产学合作以及职业资
27、格认证,培养高素质网络安全人才。俄罗斯提出制定网络安全专业人员培养和进修教育标准,在各级教育机构开设信息安全课程,修订信息技术和信息安全领域国家公务人员职业技能标准,定期开展考核等措施,以加强网络安全人才培养。 荷兰提出由与职业团体和教育部门在网络安全和信息通信技术领域开展合作,研究建立网络安全专业人才资格认证制度等。新西兰通过与教育科研机构、培训机构开展合作,开展网络安全资格认证、培训等培养网络安全人才。捷克将网络安全纳入公务员教育计划,并通过评估分析各领域的需求,将网络安全融入国家各层次教育培训中。 九、国外经历体验对我们国家网络安全建设的启示 网络空间使国家利益的边界得到极大延伸和扩展,
28、网络日益成为国家政治、经济、文化和社会活动的基础平台,成为实体经济的命脉和整个社会赖以正常运转的神经系统。由此,网络安全已不仅仅仅是网络本身的安全问题,其影响已辐射至国家安全和国家利益的方方面面,进而也必然要求从国家战略层面整体谋划部署一国的网络安全问题。美国等西方国家正是基于对网络安全性质的深入认识和对各自面临的网络安全环境的准确判定,将网络安全提升至国家战略高度,作为国家安全保障体系的核心,一些国家还确立了建设 世界网络防御强国 、建设世界一流的 信息安全先进国家 和 网络安全立国 等国家战略目的,提出构建 充满活力的、可恢复的和安全的网络空间 , 世界领先的、坚强的、充满活力的网络空间
29、等愿景,并在近十年时间通过连续发布多份国家战略文件,整体部署实现网络安全发展目的的详细措施。面对网络安全问题的严峻挑战和世界范围内网络安全战略格局的深入调整,我们国家应加快网络安全国家战略制定出台步伐,既要注重回应国内外普遍关注的重大问题,说明我们国家网络安全边界和重大国家利益关切,同时要提出我们国家维护网络安全的战略目的、方针原则、主要任务和行动举措,充分发挥我们国家体制和制度优势,强化各项部署的施行细节并且做到可操作、可审查、可评估,进而利用尽可能短的时间在管理升级、技术自主、体制完善、产业发展、国际合作等方面获得实实在在的成果,克制救火式应对、打补丁的被动局面,从整体上提高国家网络安全保
30、障能力,这也是我们国家与国际接轨,建设国家网络安全保障体系的必然战略选择。 的十八届三中全会作出 加快完善互联网管理领导体制,确保国家网络和信息安全 、 完善国家安全体制和国家安全战略,确保国家安全 的战略部署,之后我们国家先后组建了国家安全委员会和网络安全和信息化领导小组,分别由*主席亲身挂帅,有力强化了国家安全以及网络安全和信息化工作的组织领导。十分是网络安全和信息化领导小组的成立,是解决我们国家网络管理体制 九龙治水 、职能穿插、权责不一、效率不高问题的重要战略举措。但也要看到,相关管理体制的完善还需要一个经过,跨部门跨行业跨领域的网络安全综合演练不够,网络重大突发事件应急处置能力不强成
31、为现实的一大隐患。面对基础信息网络和重要信息系统将来可能发生的网络安全重大突发事件,甚至是国家行为体之间的大规模网络攻击,我们国家亟需强化体制机制的调整完善,建立起一个部门、直至企业、公民共同介入、有效分享、协调联动的快速响应和应急处置体系,全面提升国家网络安全重大突发事件应急处置能力。 纵观网络安全的国际国内形势,我们国家既面临严峻挑战,也面临重要发展机遇,既处于相对落后、相对弱势地位,也具有本身的特点和优势,加强网络安全建设的道路任重而道远,制定施行网络安全国家战略势在必行、时不我待。必须从统筹国际国内两个大局出发,站在和国家事业发展全局的战略高度,将谋求 制网权 作为维护国家整体安全的重要方面,因势而谋、应势而动,抓紧进行战略谋划布局,全面构成和提升国家网络安全防御能力、网络信息技术自主能力、网络舆情管控能力和网络空间战略威慑能力,建设 网络强国 ,确保网络安全,为中华特点社会事业顺利进行、实现中华民族伟大复兴的中国梦提供坚强保障。