随着信息技术和网络技术的迅猛发展,国家安全边界已经超越地理空间限制,延伸到了信息网络。2015年末发生的乌克兰电网断电事件以及2016年年初刚发生的乌克兰机场受攻击事件都表明:一直以来被认为相对安全的工业控制系统已经成为黑客攻击的目标。
工业控制系统广泛应用于电力、水利、污水处理、石油化工、冶金、汽车、航空航天等诸多现代行业,是国家关键基础设施运行的"大脑"和"中枢"。面对日益增多的工业信息安全威胁,全球各国纷纷制定相关的网络安全战略,以期消除威胁、减少脆弱性、降低风险,保障国家基础产业安全运行。
一、“一带一路”沿线国家纲领性战略政策概览
近年,“一带一路”沿线国家发布了不少涉及工业信息安全等信息安全领域方面的战略级文件。例如,俄罗斯发布新版《俄罗斯联邦信息安全条例》(The New Edition of Russia’s Information Security Doctrine);捷克共和国发布《捷克共和国国家网络安全战略2015-2020》(National Cyber Security Strategyof the Czech Republic for Years 2015-2020);乌克兰发布《乌克兰网络安全战略》(Cyber Security Strategy of Ukraine);克罗地亚发布《克罗地亚网络安全战略》(Croatia Cyber Security Strategy);越南颁布《越南网络信息安全法》(Law on Information Network Security);新加坡发布《新加坡国家网络安全战略》(Singapore’s National Cyber Security Strategy)。
表1 “一带一路”沿线国家网络安全战略级文件清单(截至2016年12月)
地区 | 国家 | 战略名称 | 时间 |
东亚 | 蒙古 | 《蒙古信息安全计划》 | 2010 |
新加坡 | 《新加坡国家网络安全总蓝图2018》 | 2013 | |
《新加坡国家网络安全战略》 | 2016 | ||
越南 | 《越南网络信息安全法》 | 2016 | |
西亚 | 以色列 | 《以色列推进国家网络空间能力(政府3611号决议)》 | 2011 |
约旦 | 《约旦国家信息保障与网络安全战略》 | 2012 | |
塞浦路斯 | 《塞浦路斯网络安全战略》 | 2012 | |
格鲁吉亚 | 《格鲁吉亚网络安全战略2012-2015》 | 2012 | |
土耳其 | 《土耳其国家网络安全战略及2013-2014行动计划》 | 2013 | |
沙特阿拉伯 | 《沙特阿拉伯发展中国家信息安全战略》 | 2013 | |
卡塔尔 | 《卡塔尔国家网络安全战略》 | 2014 | |
阿联酋 | 《阿联酋国家网络安全战略》 | 2014 | |
阿塞拜疆 | 《阿塞拜疆共和国国家信息安全社会建设战略2014-2020》 | 2014 | |
南亚 | 印度 | 《印度国家网络安全政策》 | 2013 |
巴基斯坦 | 《巴基斯坦国家网络安全理事会法案》 | 2014 | |
孟加拉 | 《孟加拉国家网络安全战略》 | 2014 | |
阿富汗 | 《阿富汗国家网络安全战略》 | 2014 | |
中东欧 | 斯洛伐克 | 《斯洛伐克共和国国家信息安全战略》 | 2008 |
波兰 | 《波兰共和国网络空间保护政策》 | 2013 | |
捷克 | 《捷克共和国网络安全战略2011-2015》 | 2011 | |
立陶宛 | 《立陶宛电子信息安全(网络安全)发展计划2011-2019》 | 2011 | |
罗马尼亚 | 《罗马尼亚网络安全战略》 | 2011 | |
《罗马尼亚网络安全战略和国家网络安全执行行动计划》 | 2013 | ||
黑山 | 《黑山共和国网络安全战略2013-2017》 | 2013 | |
匈牙利 | 《匈牙利国家网络安全战略》 | 2013 | |
拉脱维亚 | 《拉脱维亚网络安全战略2014-2018》 | 2014 | |
爱沙尼亚 | 《爱沙尼亚网络安全战略》 | 2014 | |
克罗地亚 | 《克罗地亚网络安全战略》 | 2015 | |
独联体 | 俄罗斯 | 《俄罗斯联邦信息安全学说》 | 2000 |
《关于俄罗斯联邦武装部队在信息空间活动的概念视图》 | 2011 | ||
《俄罗斯联邦在国际信息安全领域国家政策基本原则》 | 2013 | ||
新版《俄罗斯联邦信息安全条例》 | 2016 | ||
乌克兰 | 《乌克兰国家安全战略草案》 | 2015 | |
新版《乌克兰网络安全战略》 | 2016 |
资料来源:工业和信息化部电子科学技术情报研究所分析整理
二、部分国家相关战略政策概述
(一)以色列推出“前进2.0”网络安全产业计划
2015年12月21日,以色列国家网络局和首席科学家办公室宣布,从2016年起,实施升级版的“前进2.0”网络安全产业计划,资助资金为1亿新谢克尔,全力打造网络安全产业强国。升级版“前进计划”有三个资助重点:
一是资助突破性和颠覆性技术研发:对于从事突破性和颠覆性技术研发的企业,首席科学家办公室从2016年每年精选2~4个申请者给予长达4年的大额补贴,帮助其推进研发。
二是资助优秀网络安全企业产品创新和概念验证:这类资助主要帮助解决产品和技术市场化道路末端的障碍,如适应法规、用户体验、本土制造集成、产品推广应用等,创造一个真正市场化产品。针对急需产品创新和概念验证的申请者,首席科学家办公室将给予为期1年的资助,帮助其培养一个国内用户或两个国外用户用于验证产品概念。
三是促进产业合作:这类资助鼓励多家有技术优势的企业联合,共同研发针对特定网络安全问题的解决方案,或者打造技术企业产业集群,共同实现商业目标。
(二)俄罗斯颁布新版《信息安全条例》
俄罗斯总统普京于2016年12月签署了一项大范围的网络安全计划——新版《信息安全条例》,该条例是对2000年确定的《信息安全条例》的更新,旨在加强俄罗斯防御国外网络攻击的能力。而此前,美国指责俄罗斯使用网络攻击干预美国总统大选,引发对国家支持的黑客攻击的关注度持续上升。
新版《信息安全条例》中详细介绍了俄政府对外国黑客攻击等一系列威胁的担忧。虽然该计划较少涉及具体步骤,但是确定了新政策的总体目标,包括扩大外宣力度及加强对俄罗斯工业互联网的管控。条例强调,外国正在增强信息通信技术领域的潜力,其中包括打击俄联邦关键信息基础设施(电网、交通控制系统等)等。
此前,在2013年6月,俄罗斯政府决议通过了《工控系统安全文件要求》,并于2014年1月1日正式生效。
(三)乌克兰发布新版《网络安全战略》
乌克兰总统波罗申科于2016年4月批准通过乌克兰新版《网络安全战略》。鉴于最近几个月针对乌克兰关键IT设施和社会基础设施的网络攻击数量显著上升,发布新的《网络安全战略》十分必要。新战略在符合欧盟和北约标准的前提下,旨在减少针对乌克兰能源设备的黑客攻击,为乌克兰网络安全设计新的标准,同时加速网络安全研发活动。战略还扩大了乌克兰参与的国际网络安全合作,由乌克兰国家安全和国防委员会负责。
(四)新加坡公布《国家网络安全战略》
2016年10月10日,新加坡总理李显龙正式宣布了该国的网络安全策略报告。网络安全是新加坡数字经济社会发展的关键,该策略提出了新加坡网络安全的愿景、目标和要点。主要包括以下四个方面:
一是建立强健的基础设施网络:新加坡政府将与运营商和网络安全团体等相关部门加强合作,共同保护新加坡关键设施网络;新加坡政府将在所有关键单位建立一个统一协调的网络风险管理和应急响应流程。同时,采用基于供应链的安全建设也是报告提到的重点。
二是创造更加安全的网络空间:策略阐述了新加坡政府部门应对网络犯罪和推动新加坡成为可信数据中心的相关措施。策略还指出,社会各方应加强促进交流并提供好的实践方法,共同为网络安全尽力。
三是发展具有活力的网络安全生态系统:新加坡政府将与社会企业和高校合作,培养网络安全人才,并在社会层面加强网络安全就业和相关的技能培训。
四是加强国际合作:新加坡将与其他国家加强网络安全方面的合作,特别是深化与东盟国家在该领域的合作。在网络安全全球治理方面,新加坡将积极开展网络规范、政策和立法工作。
(作者系工信部电子一所对外合作研究中心青年研究人员)