资源描述
《德国研究》2011年 第3期 第26卷 总第99期
— 24 — Deutschland-Studien
《德国网络安全战略》解析
程 群 胡延清
摘
要:随着网络安全面临的挑战越来越大,世界各国都高度重视网络安全问题。美国、俄
罗斯、英国等世界强国从国家安全的高度制定了网络安全战略。顺应这一潮流,德
国于2011年2月公布了《德国网络安全战略》,作为指导德国网络安全建设的纲领
性文件。该战略明确阐述了德国网络安全战略的现实依据、框架条件、基本原则、
战略目标及保障措施,注重网络安全顶层设计,重视国内资源整合与国际合作,重
视战略的防御性以及定期审查与更新,对于我国根据实际情况制定我国的网络安
全战略具有重要的启示意义。
关 键 词:德国; 网络安全战略
作者简介:华东理工大学
人文科学研究院 副教授 上海 200237
华东理工大学 人文科学研究院 硕士研究生 上海
200237
中图分类号:
;
TN915.08
D735.162.2
文献标识码:
A
文 章 编 号:
(
)
1005-4871201103-0024-07
随着网络安全面临的挑战越来越大,世界各国
互联网是20世纪人类文明的辉煌成果。但是,
都高度重视网络安全问题。美国、俄罗斯、英国等
随着互联网逐步成为全球性资源,网络安全面临着前
世界强国从国家安全的高度制定了网络安全战略。
所未有的挑战。网络安全成为互联网治理的起点与
顺应这一潮流,德国也于
2011
年
2
月公布《德国网
重要目标。联合国经济合作与开发组织(
)在
OECD
络安全战略作为指导德国网络安全建设的纲领
1992
年即制定了网络安全指南,要求政府与企业设
》,
年,
性文件
本文将就该战略出台的背景 主要内容
置防火墙以抵御外部黑客侵入内部网络。
。
、
、
2002
主要特点等作简要的分析。
一、背景
英文版《德国网络安全战略》(
CyberSecurityStrategyfor
),
://
/
/
/
(一)网络安全是互联网治理的重要目标,是世
Germany http www.cio.bund.deSharedDocsPublikationen
/
/ __
?__
界信息社会面临的重大挑战
DEIT-Sicherheitcssengldownload.pdf
blob=publication-
,访问日期:
File
2011-07-01.
《德国研究》2011年 第3期 第26卷 总第99期
Deutschland-Studien
— 25 —
经济合作与开发组织理事会通过了新的网络安全指南,强调网络安全人人有责。 2003年,联合国大会第五十七届会议通过《创造全球网络安全文化》的决议。根据决议附件规定,创造全球网络安全文化的要点包括“意识、责任、反应、道德、民主、风险评估、安全设计和实施、安全管理、再行评估”等九个相辅相成的方面。 同年12月联合国召开了信息社会世界峰会日内瓦阶段会议,通过了《建设信息社会:新千年的全
球性挑战》的原则宣言,也称《日内瓦原则宣言》。2005年信息社会世界峰会突尼斯阶段会议颁布的
《信息社会突尼斯议程》重申日内瓦阶段会议阐述的原则,即互联网已发展成为面向公众的全球性设施,其治理应成为信息社会日程的核心议题,互联网的安全性和稳定性必须得到维护。 联合国国际电信联盟2007年综合年度报告把保障网络安全列为七大战
略目标之一。目前,国际电信联盟正在努力制定促进网络安全的一项国际框架———全球网络安全议程。
(二)大国相继制定网络安全战略、政策,加强网络安全建设
网络安全问题是信息时代世界各国所面临的重大挑战。为了应对日益频繁的网络安全事件,维
护国家网络安全,世界各国,尤其是美国、俄罗斯、法国、英国等信息化大国相继出台了国家网络安全战略,成立网络安全机构,出台预警方案,加强网络安全维护力量的建设,防范和遏制网络对国家安全所造成的威胁。
美国是较早从国家战略的高度重视网络安全建设的国家。从克林顿政府开始,美国就着手信息安全领域的战略部署,主要以国家重要信息基础设施的防护为主。小布什政府强化网络反恐的主题,体现出攻防兼备的特点,将网络安全提升至国家安全的战略高度。奥巴马政府更注重网络安全,组建网络司令部,成立网军,采取了军民并重、攻防兼备的新方针。 俄罗斯、法国、英国等国家也逐步将信息与网络安全纳入国家安全战略。2002年,俄罗斯安全委员会通过了《国家信息安全学说》,阐明了俄罗斯在信息网络安全方面的立场、观点和基本方针,视信息安全为国家面临的重大挑战和外交政策的优先任务。2008年,法国参议院发布名为《网络防御与国家安全》的报告,明确提出网络信息安全
�
已成为国家安全密不可分的一部分,并于2009年成立了具有国家级权限的 “网络与信息安全局 ”。2009年,英国也公布了国家《网络安全战略》,提出了英国网络安全战略目标并宣布成立 “网络安全办公室”和“网络安全行动中心”,以领导、协调和推进
《网络安全战略》的落实。(三)德国政府历来重视信息化建设,重视网络
安全
德国是信息化大国,历来非常重视信息化建设。1999年制定的《21世纪德国信息社会》(简称“D21”)是该国首个信息化战略行动计划。 进入新世纪后,德国制定了《2006年德国信息社会行动纲领》,对信息化建设的主要方面提出了明确的目标,强调要通过政府创造环境,实行政府与产业界及社会各界的合作,形成向信息社会转移的体制和机制。瑠 为了确保国家信息化的进一步发展,2010年
“OECDGuidelinesForTheSecurityofInformationSystems
”, ://
/
AndNetworksTowardsACultureofSecurity http www.oecd.org
/ //
;《经济合作与开发组织信息系统与网络安
dataoecd2762494779.pdf
全原则:发展安全文化概要》非正式中文译稿, ://
/
http www.oecd.org
dataoecd/16/1/15582284.pdf,访问日期:2011-07-01.
“创造 全 球 网 络 安 全 文 化 (联 合 国 大 会 决 议 57/239)”,http://www.cia.org.cn/gjxxhwx/gjxxhwx_index_38.htm,访问日期:
2011-07-01.
参见《日内瓦原则宣 言》,http://wenku.baidu.com/view/
f64a930eba1aa8114431d9a7.html,访问日期:2011-07-01.
“联合国大会文件 A/60/687”,htt://www.un.or/chinese/p g
events/wsis/agenda.htm,访问日期:2011-07-01.
“国际电信联盟 2007年综合年度报告 ”,http://www.itu.int/aboutitu/annual_report/2007/goal_1_1-zh.html,访问日期:2011-07-01.
程群:《美国网络安全战略分析》,载《太平洋学报》,2010年
第7期,第72-82页。
黄永垠:《发达国家怎样重视网络安全》,http://www.jm-
news.com.cn/c/2010/05/10/14/c_6122428.shtml, 访 问 日 期:
2011-07-01.
“
:
,
CyberSecurityStrategyoftheUnitedKingdomSafety
”,
://
SecurityandResilienceinCyberSpace http
www.official-docu-
/
/
/
/
,访 问 日 期:
ments.gov.ukdocumentcm7676427642.pdf
2011-
07-01.
樊会文:《德国信息化启示录》,
://
//
http
news.csdn.netn
/
,访问日期:
200206216236.html
2011-07-01.
瑠
“
”
:
InformationSocietyGermany2006
ActionProgrammeAMas-
, ://
terPlanforGermanysRoadtotheInformationSocietyhttp
www.
/
/ / /
,访问日期:
oecd.orgdataoecd483935234360.dfp
20110701.--
《德国研究》2011年 第3期 第26卷 总第99期
— 26 — Deutschland-Studien
德国又制定了《2010年德国信息社会行动纲领》。
通过制定和实施信息化发展战略,德国信息化获得了较快的发展。 现在大约70%的德国人都在使用互联网,许多业务流程和管理任务都需要信息技术支持才能进行。
作为信息化大国,德国政府也历来重视信息网络安全。2001年,德国政府就计划成立了保护德国互联网免受他国黑客攻击的预警系统。2005
年,德国政府进一步制定了全国性的信息技术安全计划,建立了电脑紧急情况应对中心,加强全国电脑及网络安全。2008年,德国政府批准了一项颇受争议的反恐法案以加强对互联网的监管。该
法案允许警方在特别授权的情况下,通过向嫌疑人发送带有木马病毒的匿名电子邮件来实现对该嫌疑人电脑的监控,目的是防止恐怖分子利用互联网向德国发动攻击,保证德国互联网安全,便于警方调查、追踪嫌疑人。2010年11月,德国政府启动“数字德国2015”战略,目标包括提升每个公民、企 业 和 政 府 部 门 在 数 字 世 界 的 安 全 和 信任感。
推动德国政府不断升级网络安全防控有两个动因,一是黑客及电脑病毒侵袭,二是反恐需要。最新数据显示,德国19%的互联网用户没有安装杀毒软件,而有45%的互联网用户没有安装防火墙。而且多数用户是在出现问题、造成损失后,才想到提高安全标准。 德国加强网络监管的另一个重要动因是反恐的需要。德国内政部国务秘书奥古斯特·哈宁说:“互联网对于德国非常重要,因为德国处于全球的危险区域之中,任何时候都可能成为恐怖分子袭击的目标。” 另据《西德意志报》报道,针
对德国政府部门的电子刺探事件数量有所增加。
2010年1月至9月间,德国的间谍防范系统发现了1600起针对政府部门电脑和大型计算机的网络入侵行为,几乎是2009年同期的一倍。“入侵者”尝试获取德国内政、军事和经济数据。
在以上国际国内背景下,德国政府推出了本国首个国家网络安全战略———《德国网络安全战略》。
总体上看,该战略在确保网络安全的创新思想方面,可能不能与美国及英国的网络安全战略同日而语,但就德国的实际需要而言,该战略可圈可点。
�
二、主要内容
《德国网络安全战略》明确阐述了德国政府制定该战略的现实依据、基本原则、战略目的及目标措施等等。
(一)现实依据
《德国网络安全战略》首先明确了制定该战略的重要意图与现实依据,即面对日益复杂多变的网络安全形势,确保德国网络安全。德国政府认为21世
纪是互联网的世纪,维护网络空间的有效性以及网络数据的完整性、可靠性和机密性成为至关重要的问题。网络空间包括所有通过互联网进入的信息基础设施,是超国界的。 德国社会经济生活领域目前已对网络高度依赖。德国重要的公共基础设施、企
业和民众都依赖互联网的信息数据与沟通技术。信
息技术产品及其组件出现故障、信息基础设施崩溃或遭到严重的网络攻击,都可能给德国的各个领域造成严重影响。从国内与国际形势看,确保网络安全已成为德国政府、企业和社会面临的重要挑战。这些挑战需要德国政府采取积极的应对措施。
“InformationSocietyGermany2010”ActionProgramme,
://
/
/
http research-in-germany.
deresearch-areasinformation-and-
/
/
/
communication-technologiesprogrammes-initiatives423103-nr-2-
,访问日期:
action-programme.html
2011-07-01.
德国信息技术规划委员会网站,
://
http www.it-planungsrat.
/ /
/
/
_
,访问日期:
deDEServiceDownloadsdownloadsnode.html
2011-
07-01.
http://www.bmi.bund.de/DE/Themen/OeffentlDienstVerwaltung/Informationsgeselschaft/EGovernment/DOL/DOL_node.htm,访问日期:2011-07-01.
《各国打响网络安全保卫战》,国务院新闻办公室网站,http://www.scio.gov.cn/ztk/hlwxx/02/10/201001/t533648.htm,
访问日期:2011-07-01.
同上。
同上。
ThomasRid,“Germany’sCyberSecurityStrategy”,8March,2011,http://kingsofwar.org.uk/2011/03/germanys-cyber-security-strategy,访问日期:2011-07-01.
具体内容参见英文版《德国网络安全战略》,以下不再注明。该战略对网络空间作了如下界定:“网络空间是在全球范围内利用数据连接在一起的所有信息技术系统构成的虚拟空间。可
以通过任何其他数据网络得到补充与延伸、并且可以广泛与公开进入连接传递数据的互联网是网络空间的基础。在一个孤立的虚拟空间中的信息技术系统并不是网络空间的一部分。”
《德国研究》2011年 第3期 第26卷 总第99期
Deutschland-Studien
— 27 —
该战略同时对德国面临的信息技术威胁现状进行了评估,明确了德国网络安全总体形势及其特点。 评估认为,鉴于信息基础设施日益增长的复杂性和脆弱性,德国网络安全形势仍然十分严峻,德国公共和私营部门以及整个社会都可能受到信息技术故障的影响。评估明确指出德国网络安全形势的特点:第一,近年来对德国信息基础设施的攻击日益频繁复杂,肇事者更加专业,攻击来自德国境内外;第二,鉴于网络空间的高度开放,攻击者更有可能利用系统漏洞开展隐秘性攻击;第三,应
对复杂的恶意软件和网络攻击的技术相当有限;第
四,通常攻击不会暴露攻击者的身份和背景,也难以找到发起攻击的源头;第五,行业信息系统发展的趋势是以标准组件为基础的,并把组件连接到网络空间,这主要是出于经济方面的考虑,因此会产生新的漏洞。对“震网”病毒(Stuxnet)的研究经验表明,重要的工业基础设施也会成为网络攻击的目标。
(二)框架条件
《德国网络安全战略》明确了德国确保网络安全的框架条件,即加强国内与国际合作,国内外政策措施兼顾。该战略认为,这是确保网络安全、加
强执法和保护重要信息基础设施的需要。首先,在
网络世界里,国家、企业和社会责任共担,只有它们像伙伴一样一起采取行动完成任务,网络安全战略才可能成功。其次,信息技术系统是相互关联的全球网络,其他国家发生的信息基础设施事故也可能间接地影响到德国。因此,加强网络安全还需要制定与执行国际行为规则、标准和规范。只有国内外政策措施兼顾,才能真正维护网络安全。网络安全可以通过优化框架条件来得到加强,这一框架条件是与盟友和合作伙伴开展合作的最低标准。打击快速增长的网络犯罪需要全世界各执法当局之间的密切合作。
(三)基本原则
《德国网络安全战略》明确了德国确保网络安全的两项基本原则。第一,网络安全必须保证与联网的信息基础设施的重要性以及需要保护的水平相一致,而且不损害网络空间的发展机会和利用率。网络安全措施既要保障互联网络的畅通与开
�
放,同时又要对重要的信息数据进行有效的保护;哪些设施与数据需要保护或重点保护取决于其重要性;这些措施涉及国家在内、外两个层面所做的努力,以及世界各国的共同努力。
第二,网络安全必须加强信息交流和合作。该
战略一方面主要关注网络安全的民用方法和措施;另一方面,鉴于信息和通信技术的全球属性,它则强调了国际协调的不可或缺。这不仅包括在联合国开展的国际合作,也包括在其他跨国组织中开展的国际合作。国际合作的目的是为了确保国际社会有能力采取一致行动,保护网络空间。
(四)战略目标与措施德国政府制定网络安全战略的总体目标是大
力推动安全网络空间建设,促进德国经济与社会繁荣。基于目前的网络安全挑战,德国政府将以CIP
实施计划确立的架构为基础,采取措施,应对当前的威胁。德国政府计划把网络安全措施重点集中在十个战略区域:保护重要信息基础设施、保护信息技术系统、加强行政部门的信息技术系统安全维护、设立国家网络防御中心、设立国家网络安全委员会、加强网络空间的犯罪控制、在欧洲与世界范围内采取有效的协调措施确保网络安全、利用可靠的信息技术、加强联邦主管当局中的人事发展、建
立应对网络攻击的工具。这十个战略区域可以归纳为战略目标、战略管理机制、战略保障措施三个
2005年以来,德国联邦信息安全办公室每两年发布一
份 《德国信息 技 术 安 全 情 况 报 告》,通 报 德 国 信 息 技 术 安 全 情
况 。https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html,访问日期:2011-07-01.
CIP是英语 CriticalInfrastructureProtection的缩写,指重要信息基础设施保护。根据该战略的界定,重要的基础设施是对公
众物品具有重要性的组织或机构,其破坏与毁坏将会使持续的供应遭遇瓶颈,公众安全受到相当程度的扰乱或者引起其他的重大变故。对德国政府来说,能源、信息科技和电视传讯、运输系统、卫生、水资源、食品、财务和保险部门、州和行政、媒体和文化等方面的基础设施都属于重要基础设施。重要信息基础设施保护是德国首要的信息安全策略。为了保护德国的重要信息基础设施,德国制订了一系列的战略与措施,包括《国家信息基础设施保护计划》(2005年)、《重要信息基础设施保护实施方案》(2007年)、《保护重要基础设施:风险与危机管理(政府与企业行动指南)》(2007年)以及《重要基础实施保护国家战略》(2009年)等等。详见 https://www.bsi.bund.de/EN/Topics/Criticalinfrastructures/Publicationsandlinks/publication-sandlinks_node.html,访问日期:2011-07-01.
《德国研究》2011年 第3期 第26卷 总第99期
— 28 — Deutschland-Studien
层次。
首先是四项具体战略目标的确立:
(1)保护重要信息基础设施。德国政府认为重要信息基础设施的保护是网络安全的重要组成部分。为此,德国政府要求公共和私营部门都必须为更好地利用信息共享、密切协调,创造更好的战略和组织基础。德国政府将进一步加强落实并拓展
CIP实施计划的相关规定,强化部门间的合作与整合,扩大新技术的引进范围,并进一步明确哪些部门和基础设施必须采取强制性的保护措施或者在受到特殊威胁的情况下需要额外的保障。在信息技术系统危机期间,德国政府将审查出台协调规则的必要性,以确保重要信息基础设施的安全。
(2)保护德国信息技术系统。德国政府认为信息基础设施保护需要提高民众和中小型企业使用的信息技术系统的安全性能。为此,德国政府计划采取如下措施:第一,普及网络安全知识,联合社会团体收集有关信息技术系统风险及安全使用的信息,为用户提供服务;第二,对信息技术产品与服务进行安全标准与使用便捷性的审查;第三,为国家认可的大众使用的基本安全功能(如电子身份证)提供特别激励措施和资助。为了支持信息技术系统安全领域的中小型企业,德国联邦经济和技术部组建了“企业信息技术安全”特别工作小组,邀请企业参加。
(3)加强行政管理部门的信息技术系统安全维护。德国政府要求各级政府必须成为维护数据安全的典范,并决定采取如下措施:第一,计划在联邦政府内建立一个共享统一安全的网络系统(联邦网络)作为电子音频和数据传输的基础,并将继续大力推进联邦政府的实施计划,应对严峻的信息安全形势;第二,合理配置联邦和地方的资源,将联邦各级政府有力地组织起来,确保信息技术安全;第三,将联邦政府信息安全的联合投资与政府预算挂钩,便于各级政府采取统一行动落实实施计划;第四,由联邦信息技术规划委员会负责加强同地方政府的合作,尤其是在计算机紧急应对小组方面的合作。
(4)加强网络空间的犯罪控制。德国政府要求各级执法部门、联邦信息安全办公室与私营部门加
�
强打击网络犯罪,防止网络间谍活动。为了促进这一领域的信息交流,德国政府准备在执法机构的参与下成立一个联合机构,发挥咨询顾问的作用。面
对日益增长的全球网络犯罪活动的挑战,德国政府将做出巨大努力,以欧洲理事会《网络犯罪公约》为
基础,实现打击网络犯罪活动的全球协调。
其次是统一的战略管理机制的形成,并明确责任机构和协调机制。
(1)设立国家网络防御中心。为了加强各级政府之间的合作,提高协调应对信息技术系统突发事件的能力,德国政府计划设立国家网络防御中心。它将向联邦信息安全办公室汇报工作,并直接与联邦宪法保护局、联邦公民保护和救灾办公室合作。联邦刑警局、警察局、海关犯罪刑侦总署、情报局、国防军以及负责重要基础设施运行的各级部门,在
它们法定任务和权力框架内参与该中心的工作。国家网络防御中心的主要任务是,根据网络攻击的形式尽可能确认攻击来源,对网络安全突发事件做出缜密的分析,并为统一行动提供可靠的建议。国
家网络防御中心将定期就日常的基本预防和特定事件向国家网络安全委员会提交建议。网络安全危机迫在眉睫或已发生时,国家网络防御中心将直接通知由联邦政府内务部以国务秘书为首的危机
为了贯彻执行2005年《国家信息基础设施保护计划》,2007年德国政府出台了《重要信息基础设施保护实施方案》(CIPImple-mentationPlan)和联邦政府实施方案(ImplementationPlanfortheFederalAdministration)。为了实现《国家信息基础设施保护计划》制定的“预防、准备、可持续 ”的目标,《重要信息基础设施保护实施方案》提出保护重要信息基础设施的措施与建议。该方案的执行由公共与私营部门的专家参与合作决策,奠定了公私部门长期合作的基础。联邦政府的实施方案则强调“权威、政府管理、公正”,其目标是保证联邦政府信息技术系统的中长期高水平安全。https://
www.bsi.bund.de/ContentBSI/EN/Topics/Criticalinfrastructures/Activities/CIPImplementation/CIPimplPlan.html,访问日期:2011-07-01.
根据德国《国家合同基本法第91C(IT 条约)》总则第一条,2010年4月信息技术规划委员会成立,取代了联邦以及各州的信息技术控制机构,加强了联邦内部信息技术以及电子政务方面的合作。http://www.it-planungsrat.de/DE/ITPlanungsrat/itPlanung-srat_node.html,访问日期:2011-07-01.
关于欧洲理事会《网络犯罪公约》(theCouncilofEuropeCyberCrimeConvention),具 体 参 见 http://www.law.fsu.edu/journals/transnational/vol12_2/keyser.pdf,访问日期:2011-07-01.
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
