网络空间安全
Cyberspace Security
Vol.08No.08-09Sep.2017
美国网络空间安全体系建设分析与思考
刘鹏杨健刘福强
(中国人民解放军91655部队北京100036)
摘要:网络空间安全建设是一项系统工程,涉及国家战略、标准技术、组织管理等诸多因 素,各种因素相互影响、相互制约。论文介绍了美国网络空间安全体系的建设情况,简要分析 了美国网络空间安全战略、法律法规、标准规范、安全技术、组织管理、教育与培训等方面的 发展历程和主要特点,并结合我国网络空间安全建设现状,从组织协调、产业发展、教育培 训、国际合作等几个方面,提出了我国网络空间安全体系建设的几点建议。关键词:网络空间;安全;体系
Research on System of U.S. Cybersecurity
Liu Peng Yang Jian Liu fu-qiang
(The Chinese People's Liberation Army 91655 Troops Beijing 100036)
Abstract: As a complicated system, cybersecurity is related to national strategies, standards and technologies, organization and management, and many other factors. In this paper, the development and characteristics of U.S. cybersecurity system, which contains cybersecurity strategy, legal regulations, standard specification, security technology, organization management, and education and training, are briefly analysis. Finally, combining with our cybersecurity status analysis, some considerations on our government cybersecurity system construction are proposed.Key words: cyberspace; security; system
1引言
以互联网为核心的网络空间已成为继陆、 海、空、天之后的第五大战略空间,各国均高度 重视网络空间的安全问题。作为世界上实力最强 大的国家,美国最早提出网络空间概念,并将网 络空间安全提升至国家安全层面,在该领域的综 合实力也远远领先于其他国家。近年来,为了应 对日益严峻的网络空间安全挑战,确保美国国家 安全和经济繁荣,夺取网络空间优势,维持霸主 地位,美国越来越密集地发布针对性国家政策, 组建专门的组织机构。在整个安全体系建设、确 立国家在网络空间的定位、设立高级别协调机 构、完善产学研用创新机制等方面,有很多做法
和经验值得我们学习和借鉴。
2美国网络空间安全体系现状分析
美国从国家战略、法律法规、标准规范、安 全技术、组织管理等多个方面对网络空间安全领 域进行了整体布局、规划和协调,各方面相互影 响、相辅相成,构建了完善的安全体系[1]。
2.1战略规划
美国是世界上第一个制定网络空间安全战略 的国家,并将其视为国家安全战略的重要组成部 分。该战略历经网络防御、攻防一体再到全球网
1
网络空间安全Cyberspace Security2017年第08-09期
络威慑的演变[2,3],逐步确立起美国的制网权。
20世纪80年代开始,随着互联网的迅速发展, 为了维护国家信息网络安全,美国制定了《联邦计 算机系统保护法案》、《计算机安全法案》等文 件,实施以保障信息的安全保密为核心的信息安全 战略。90年代初,为了支撑美国从工业时代向信息 时代转型,刺激经济发展,美国提出了“信息高速 公路”计划。同时,政府认识到信息安全保障在信 息时代对于国家安全的重要性,先后发布了《关于 保护美国关键基础设施的第63号总统令》、《2000 年总统国家安全战略报告》等文件,在国家安全战 略层面提出国家信息安全计划。这个阶段,安全保 障的主题是基础设施保护,其战略重点在于全面防 御。“9,11”事件使美国政府意识到国家网络空间 安全面临的严峻挑战,从2001年开始,美先后发布 了《信息时代的关键基础设施保护》、《保护网络 空间的国家战略》、《关键基础设施和重要资产物 理保护的国家战略》等文件,界定了关键基础设施 的内涵和外延,突出了国家层面的战略任务。与此 同时,美国防部提出加强网络空间安全研究作为重 点发展方向之一,开始重视美军网络战能力建设, 大力开发计算机网络战武器。
此阶段安全保障的主题为网络反恐,战略重点 转变为攻防结合。到奥巴马政府时期,美国把网络 安全确立为国家安全和经济发展的最大挑战。2011 年,相继发布了《网络空间国际战略》和《网络空 间行动战略》,前者目标是突破网络空间中的疆界 限制,后者则为美国防部在网络空间领域制定了战 略方针和行动原则。以“棱镜门”事件为典型,揭 示出美国安全保障的战略重点已转变为“攻击为 主,网络威慑”。
作为信息技术的发源地,技术领先和综合实力 超强的大国,美国对网络空间的安全问题有着清醒 的认识,一直都对网络空间安全战略高度重视,并 围绕美国国家核心利益,持续调整战略以适应不断 变化的环境。当前,美国网络空间安全战略已全面 覆盖政治、经济、军事、外交等各个领域,主要呈 现出四个特点。
(1)
为此极力维护自身网络安全,争取更大的经济利 益,防范任何借助网络威胁国家安全利益的行为。
(3) 引入网络战概念,组建网络战部队,制 定网络空间军事战略,谋求网络空间绝对优势和行 动自由,实施战略威慑。(4) 利用网络优势,控制网络空间,制造有 利于美国的舆论,开展价值观和意识形态输出,塑 造一个符合美国国家利益的战略大环境,对其他国 家施加影响。
2.2法律法规
与安全战略相配套,美国发布了一系列针对 网络空间安全的法律法规,形成当前世界上数量最 多、内容最丰富的网络空间安全法律体系[1,4]。1978 年,美国颁布了《联邦计算系统保护法案》,首 次将计算机系统纳入法律保护范畴。1984年,美 国对《联邦刑法》进行了修改,并通过了《假冒 访问设备及计算机欺诈和滥用法案》,对未经授 权访问和使用计算机网络行为规定了刑事处罚措 施。20世纪90年代初,随着《国家信息基础设施 计划》和《全球信息基础设施计划》的提出,为 应对基于网络的信息系统和重要基础设施的安全 威胁,保障计划的实施,美相继制定了《NII保护 法案》、《关于保护美国关键基础设施的第63号 总统令》。“9.11”事件后,相继颁布《爱国者 法案》、《国土安全法案》等重要法律,加强对 信息监控和关键信息基础设施保护,并推出《网 络空间国际战略》,谋求网络空间安全领域国际 合作,全方位保护美国安全。
截止目前,美国在网络空间安全领域颁布了 100多项法律,规格高、数量多、内容全、涉及范 围广,为其保护网络空间提供了全方位的法律保 障;法律的出台始终服务于国家发展利益和战略 规划,并根据变化持续不断地进行调整和完善; 法律灵活采用法案、总统令、政策、指南等多种 形式,具有很强的针对性和可操作性。
为了维持网络空间战略优势和技术领 2.3标准规范
先,美政府通过法律法案、组织机构设置等多种手 段,加大技术研究和人才培养的支持力度。
(2) 利用信息技术推动美国经济持续发展,
网络空间安全标准是网络空间安全建设的基 础。美国历来重视标准制定工作,通过立法推进标
2
刘鹏等:美国网络空间安全体系建设分析与思考
准体系的发展,在网络空间安全领域相继制定和发 布了大量标准,形成了完善的安全标准体系和组织 体制[5],为国家战略的制定和实施提供支撑,不断 扩大和巩固美国国际领导地位和影响力。美国网络 空间安全标准体系主要呈现四个特点。
2.5组织管理
美国从没有机构到多个机构管理,再到多个跨 部门机构的协调管理,在安全机构设置和管理协调 方面积累了丰富的经验。在机构设置方面,美国
网络空间安全机构遍布于联邦政府的各类行政机 (1) 大力推进国内标准国际化,获取网络空
间主导权。美国积极参与ISO、IEC等国际标准组 构,主要包括白宫、国家安全局、网络空间战司令
部等。这些机构职能基本覆盖了大到安全战略制 织机构的活动,确保在国际标准中的领导地位, 定、小到科研经费管理的所有领域。为实现各个机 以图打开海外市场,获取全球经济优势。
(2) 极力维持标准的先进性,根据需求变 构协同合作,美国还专门设置了一些跨部门的协调 机构,如负责全国网络空间安全态势感知的协调机 化,及时对现有标准进行修订和更新。(3) 推进标准公开透明和融合互补,促进产 构、应急响应协调机构等。根据重大事件出现或战 略转变,美国网络安全机构也根据现实需求不断进 品质量提升。(4) 突出自愿原则,形成灵活、适应性强的 行着调整,以适应整体战略规划。体系结构,积极促进经济发展和技术进步。
2.6教育与培训
2.4安全技术
美国非常重视网络安全人才的培养工作。
在技术体系框架方面,基于纵深防御和风险 管理思路,美国相继发布了信息保障技术框架、 风险管理框架、网络空间可信身份国家战略、提 升关键基础设施网络空间安全技术框架等文件, 这些技术框架文件为美国建立信息安全保障体系 提供了解决方案,促进了标准的制定和推广,推 进了安全技术的发展。
在技术发展规划方面,以安全技术体系框架 文件为出发点,结合时代背景,围绕保护网络和 信息系统安全、构建可信网络空间、提升安全态 势感知能力、保护关键基础设施安全、应对信息 战和网络战等重点领域,以及应对云计算、大数 据等新技术应用带来的安全威胁,美国投入大量 经费和人员,支持安全技术基础研究,促进基础 研究和应用研发协同发展。
此外,美国建立了包括政府、高校、企业和 非盈利性组织等在内的科研体系和管理体制,非 常重视网络空间安全技术研发工作,从顶层设计 和战略规划角度,引导技术研发方向;不断出台 科研规划文件,重视人才培养,加强经费支撑, 鼓励技术创新,建立了完善的专利保护、成果转 让制度和人才引进机制,有力保证了美国在网络 空间安全技术领域的领先地位。
1998年,提出了“信息系统保护的国家计划”, 旨在推进网络空间安全培训和教育的发展。1999 年制定的《国家信息安全战略框架》,明确提出 了美国需要进行网络安全意识培养工作,启动了 国家信息保障教育培训计划,旨在通过政府、 学术界和企业的多方合作,开展网络安全培训 工作。2000年,发布了《信息系统保护国家计 划》,组织政府、高校和企业共同开展网络空间 安全教育活动。2003年,美国国家标准和技术研 究院(NIST)发布了《信息技术安全意识和培 训项目建设指南》,规范了信息技术安全意识和 培训项目的设计、开发、应用和评价要求。2006 年,发布了《美国竞争力计划》,提出培养具有 科学、技术、工程和数学(STEM)素养人才的 目标。2009年,发起了创新教育运动,对美国教 育进行改革,加强STEM教育活动。2010年,制 定了《国家网络空间安全教育计划》[6],负责对美 国网络空间安全教育工作进行全局指导;制定了 《国际网络空间安全教育计划战略规划》,明确 网络空间安全需求范围和具体目标。将每年10月 定为国家网络空间安全月,面向美国网络用户开 展网络空间安全常识宣传、教育和培训活动。
美网络空间的安全教育主要依托政府、学 校、企业等组织,分工明确,职责清晰。政府对
3
网络空间安全Cyberspace Security2017年第08-09期
美国网络空间安全教育工作进行整体规划、协调 和推动;学校肩负传授网络空间安全知识、培养 专业人才的职责;企业除了进行内部培训外,还 可以为高校提供安全教育实践和应用场所。
(3) 在标准规范方面,近年来,我国建立了
信息技术安全标准化技术委员会(CITS)和中国 通信标准化协会(CCSA)的网络与信息安全技术 工作委员会,但标准组织机构相对年轻,研究工 作刚刚起步,与美国等发达国家短期内仍存在很 大差距。
(4)
3对我国网络空间安全体系建设的 启示
3.1我国网络空间安全体系建设现状
在我国,随着“宽带中国”战略推进实施, 互联网全面升级提速,网络化和信息化水平显著 提高,极大地促进了传统产业转型升级,成为带 动经济増长的重要动力。维护网络空间安全,是 保障我国各领域信息化工作和促进产业经济持续
在安全技术方面,由于长期以来我国信
息化建设缺乏核心技术,网络安全技术自主创新 能力不足,对发达国家技术和装备依赖性强。目
前,我国正在重点推进芯片、操作系统等自主产 权软硬件研发和应用工作,但与美国相比这些产 品还存在可用性、可靠性等方面的问题,构建我 国自主可控的信息技术体系还任重道远。
(5) 在组织管理方面,2014年我国成立了中 央网络安全和信息化领导小组,统一领导协调国
家网络安全和信息化工作,把网络安全问题提高 稳定发展的先决条件。
(1) 在战略规划方面,2003年,与美国出台 到了战略高度来统筹领导和总体布局,明确了网 《网络空间安全国家战略》几乎同步,我国颁布了信息安全保障的纲领性文件《关于加强信息安 全保障工作的意见》,明确了信息安全保障工作 的总体方针、目标和原则,在国家层面的认知和 基本举措上,与美国国家战略基本保持了同步。 但直到2016年12月,我国才发布了《国家网络空 间安全战略》,首次公开阐明中国关于网络空间 发展和安全的立场,宣示了未来我国网络安全治 理的目标、原则和任务[7]。总体而言,我国与美 国较早的把信息安全确定为国家战略、制定详细
络安全与信息化工作的工作重点和前进方向。但
由于网络空间安全工作涉及领域和部门众多,还 需要加强统筹协调,改变职责使命模糊、管理职 能分散、没有形成合力的现状。
(6) 在教育和培训方面,2016年,我国出台 了《关于加强网络安全学科建设和人才培养的意 见》,从战略层面开始大力推动网络安全人才培 养工作。但面对日益突出的网络安全问题,我国 网络用户的网络安全意识还相对薄弱,缺乏网络
安全防御意识和能力;教育师资力量薄弱,课程 设置和教育培养模式不够完善,学科建设和人才 的措施并持续发展相比还存在一定差距。
(2) 在法律法规方面,我国从20世纪90年 选拔、培养工作还相对滞后。
初开展制定与网络安全相关的法律,但主要是对 已有的主要法律文件(如宪法、刑法等)进行修 订,増加与网络安全相关的条款。2016年11月, 我国通过了网络安全领域首部综合性、框架性法 律—《网络安全法》,在保护个人信息、治理 网络诈骗、保护关键信息基础设施等方面做出了 明确规定[7]。此外,我国相关部门根据现实需求 也制定了相关规章制度(如公安部发布的《计算 机信息网络国际联网安全保护管理办法》)。与 美国庞大的法律法规体系相比,我国安全法律还 很不完善,存在立法层次低、出台连续性差、与 传统法律兼容性差、网络监管和网络犯罪惩治力 度小、缺乏国际合作等问题。
3.2主要启示
我国在网络空间安全领域建设起步晚、基础 弱,但随着中央网络安全与信息化领导小组的成 立,以及《国家网络空间安全战略》、《网络安 全法》和相关重要政策的陆续出台,我国网络空
间安全体系建设正加速推进。借鉴美国经验和做 法,我们还需注重加强几方面工作。
(1)加强协调管理,提高网络安全管理、政 策执行和监督的力度。尽快建立国家层面的网络 空间安全协调机构,建立上下贯通、横向联动的 协作机制,整合全国网络空间安全力量,加强信
4
刘鹏等:美国网络空间安全体系建设分析与思考
息共享和行动协调,保障战略规划、顶层设计的 作的若干意见》、《工业控制系统信息安全防护
有效推进和实施。指南》等一系列重要政策文件,对网络空间安全
(2) 加强教育和培训力度,提升国民网络安 顶层规划、学科建设、人才培养、标准规范、基 全意识。应综合利用各类媒介,加强网络空间安
础设施保护等方面全面展开并稳步推进。但我国
在网络空间安全体系建设方面起步较晚,与美国 全宣传教育和专题培训,努力提升国家网络安全 社会氛围。还存在不小差距。我们应借鉴美国等网络安全强
(3) 加强网络安全产业培育,提升网络安 国经验,确立并完善符合本国国情的网络空间安 全核心技术创新和研发能力。网络安全技术和产 业是获取网络空间安全优势的重要基础。应对安 全技术领域研究进行整体规划和战略指导,加 强经费支持力度,拓展经费支撑渠道,建立激励 机制,鼓励科研投入;加强研究团队的交流与合 作,加速成果转化;加强对网络安全产业的扶植 政策,扶持优势企业,加快产业发展整合步伐,
参考文献
[1]
刘峰,林东岱,等■美国网络空间安全体系[M].北京:科学 出版社,2015.
全战略,提升技术和产业实力,强化安全基础设 施建设,才能改变当前受制于人的状态,有效维
护我国网络空间权益。
提升技术竞争力。[2] 刘勃然.21世纪初美国网络安全战略探析[D].吉林大学,
(4) 加强国际间网络空间安全交流合作,应 2013.对网络安全共同威胁和挑战。参与相关网络安全 标准和国际条约制定,争取话语权;加强国际网 络犯罪打击方面的协作,防范跨境网络攻击,促 进国际网络空间领域的公平和正义,维护我国网 络空间主权。
[3] 李晓岩.美国20世纪末以来网络空间安全战略研究[D].外
交学院,2012.[4]
柏慧.美国国家信息安全立法及政策体系研究J].信息网络
安全,2009, 104(8):44-46.[5]
国家信息技术安全研究中心.美国信息安全标准化组织机
制研究[J].信息网络安全,2009, 104(8):16-19.
4结束语
为了应对日益凸显的网络空间安全威胁,美 国政府围绕国家核心利益,不断调整国家网络安 全战略,全方位推进网络空间安全体系建设,不 仅将网络列为关键基础设施,还将其升级为国家 战略资产,利用战略、技术、产业、军事等方面
的绝对优势,积极推动网络空间国际规则构建, 进一步巩固其在网络空间的垄断地位。
我国自从2004年中央网络安全与信息化办公 室成立以来,《网络安全法》、《国家网络空间 安全战略》等重要制度性文件相继发布,标志我 国在网络空间安全体系顶层设计全面展开并初步 成型,正在加快推进网络强国战略。围绕战略目 标,2016年以来,相继出台了《国家信息化发展 战略纲要》、《关于加强国家网络安全标准化工
[6] 韩臻,王星,等.美国NICE网络空间安全人才队伍框架分
析[J].保密科学技术,2012, 24(9):53-57.
[7] 信息安全与通信保密编辑部.年全球网络空间安全重要政
策[J].信息安全与通信保密,2017, 277(1):18-21.
作者简介:
刘鹏(1982-),男,江苏人,工程师,硕士;主要研究方向和关 注领域:网络安全。
杨健(1981-),男,安徽合肥人;主要研究方向和关注领域:信 息安全。
刘福强(1976-),男,辽宁人,高级工程师,硕士;主要研究方 向和关注领域:网络安全。
5
因篇幅问题不能全部显示,请点此查看更多更全内容