2.2.1 国外网络空间安全发展现状
本节重点以美国、俄罗斯和欧盟为例,分析网络空间安全方面的战略政策及法规,同时梳理网络空间安全方向的技术研发投入、科研机构建设、产业应用等情况,论述网络空间安全对经济、社会安全的综合影响。
1.美国网络空间安全发展现状
美国通过加大网络安全投入、引导网络安全技术创新方向、强化供应链安全等系列措施,为该产业释放红利,夯实产业基础。
1)政策、战略和规划
2020年2月,白宫2021财年预算提案中包括约188亿美元的网络安全经费;7月,国土安全部发布《2020—2024年战略计划概要》,将网络空间和关键基础设施安全作为重要目标之一。
2021年,美国推进了《了解移动网络的网络安全情况法案》《美国网络安全素养法案》等8项网络安全法案。《了解移动网络的网络安全情况法案》要求由美国国家电信与信息管理局(NTIA)检查并报告移动服务网络的安全态势;《美国网络安全素养法案》旨在提高美国互联网用户的网络安全意识、数据安全认知的新立法,该法案规定美国在促进网络安全素养方面要考虑国家安全和经济利益,应制定网络安全素养和开展最佳实践活动,以降低网络安全风险。
在人工智能安全方面,2020年10月9日,美国国家人工智能安全委员会(NSCAI)发布了2020年年中报告及第三季度的建议,并从引领人工智能研发、使用人工智能保护国家安全、加强人才培养、构建和保护美国的技术优势、加强国际合作等六个方面向国会提出了80项与人工智能相关的建议。
2)技术研发
虚拟专用网络提供商Atlas VPN调查发现,2020年美国政府网络安全总预算为187.92亿美元,2021年总预算为187.79亿美元。
在风险投资方面,美国中情局成立风险投资公司,专门投资对网络安全体系有巨大潜在价值而发展受限的公司,目前已经投资了200多家公司,平均年度资助3700万美元资金,主要聚焦在计算机科学技术(包括大数据分析技术、可视化技术、虚拟化技术、搜索技术、数据管理技术、通信技术、安全研究技术)、材料学技术(包括生物技术、电力技术、电子技术、视频技术)和基础设施(包括硬件、传感器网络、数据中心)3个领域。例如,2005年投资顶尖数据分析公司Palantir Technologies,2009年投资顶尖威胁情报分析公司FireEye,2010年投资重要云计算服务供应商Cloudera公司,2012年投资No-SQL数据库技术供应商MongoDB公司,等等。
在网络安全技术创新方面,2019年至今,美国针对零信任技术、对抗机器学习等先进网络安全技术进行持续探索,先后形成“零信任架构”“对抗性机器学习的分类和术语”“基于域名解析系统的邮件安全实践指南”等阶段性研究成果,指导构建新一代网络安全防护体系。
2020年1月,美国发布了《确保美国在5G领域的国际领导地位法案(2019)》,明确美国及其盟国、合作伙伴应在第五代及下一代移动电信系统和基础设施的国际标准制定机构中保持参与和领导地位,美国应与其盟国、合作伙伴密切合作,促进第五代及下一代移动通信系统和基础设施的供应链和网络安全,保持电信和网络空间安全的高标准是维护美国国家安全利益的要求。
3)产业应用
美国的网络安全在基础设施开发、创新和研发活动方面非常活跃,大多数行业采用先进的解决方案来确保对高级可持续威胁攻击(Advanced Persistent Threat,APT)和账户及访问管理(Identity and Access Management,IAM)活动的可视性。赛门铁克、思科、英特尔/迈克菲(Mcafee)和帕洛阿尔托网络(Palo Alto Networks)等传统的网络安全供应商的产品跨度已经形成,从流量到端的解决方案能力,并向集成、存储、云等安全关联的各方面扩展。
2.俄罗斯网络空间安全发展现状
俄罗斯致力于维护网络空间权益,积极探索对网络主权管辖的保护途径,以强化本国互联网韧性。
1)政策、战略和规划
俄罗斯陆续颁布实施了《俄罗斯联邦通信法》《有关信息、信息技术与信息保护法》《俄罗斯联邦网络主权法》等,形成了网络安全法体系基本框架。《有关2020年前国际信息安全的国家基本政策法令》《俄罗斯联邦信息安全》《俄罗斯联邦信息社会发展战略》等对具体的网络安全防护活动进行指导与治理。
俄罗斯立法机关陆续制定了一系列法律,规定了明确具体的规则,用以规范涉及网络安全的事项与活动,如《有关电子数字签名法令》《有关建立查明、预防和消除对俄罗斯信息资源计算机攻击后果的国家系统法令》《有关2020年前国际信息安全的国家基本政策法令》《有关信息、信息技术和信息保护的联邦法修正案》等。
2019年11月正式生效的《互联网主权法》,从域名自主、定期演练、平台管控、主动断网、技术统筹等五方面捍卫“自主可控”国家网络主权,向谋求更多对互联网基础设施的主权和国家控制迈出了重要一步。
在信息安全方面,俄罗斯已通过顶层信息安全战略与各领域的政策法案,构建了较为完善的信息安全法律体系,以通过加强多维度的国内治理,实现信息安全战略的有效落实,推动信息安全相关领域的进一步发展。
2016年12月通过《俄罗斯联邦信息安全原则》,2021年3月修订《俄罗斯联邦“信息社会”国家纲领》,2021年4月颁布《俄罗斯联邦国际信息安全领域的国家政策框架》,2021年7月修订《信息、信息技术和信息保护》,这五项信息安全战略架构,配合数字经济领域、教育与科学领域、政府部门规范、信息技术标准化与合规评估、通信与电信基础设施保护等多领域行政命令与法案,俄罗斯从新技术与传统安全领域的交叉运用、信息安全与信息安全系统三个维度来推进国内信息治理[1]。
2)技术研发
俄罗斯政府成立国家域名管理中心,并吸引俄罗斯电信、俄罗斯技术公司等大型企业参与互联网建设,构建了俄罗斯国家域名体系。2019年7月,联邦保卫局、联邦数字发展、通信与大众传媒部等在2019—2021年周期内获得14亿卢布的财政预算,用于保障俄罗斯国家互联网的建设、运营和发展。2019年,俄罗斯发布《主权互联网法》,要求在国内建立一套独立于国际互联网的网络基础设施,以确保其在遭遇外部断网等冲击时仍能稳定运行[2]。
俄罗斯加快推进新加密技术研发,确保政府、企业和公民能够实现安全的信息交互,并多次召开会议讨论如何在公共管理等领域引入人工智能和大数据等新技术,通过建立统一的数据搜集和分析平台、开发安全态势模型等方式优化和完善本国安全监测、评估、预警系统,并对俄罗斯所处的内外部安全环境进行定性和定量评估,以便更为有效地实施监控、预测和应对危机,解决和化解数字化时代俄罗斯所面临的内外部威胁与挑战。
3)产业应用
俄罗斯持续发展国产化计算机设备、特殊技术设备、智能控制体系等。2018年,俄罗斯自主开发的Astra Linux操作系统取代原来使用的Windows操作系统,同时配套厄尔布鲁士、贝加尔湖-T1等国产处理器,已被列入俄罗斯政府采购名录,采购量超过1000万个,采购总金额达到750亿卢布,大幅降低了网络安全风险。
俄罗斯在提升网络安全防御能力方面,采取政府主导、加强监管和大企业扶持等政策,建立了由政府主导,科研及商业机构广泛参与的网络监督体系,对新媒体实现对接和监控,预防网络攻击,并对网络攻击行为做出迅速反应,检测网络攻击来源,切断可能泄露的信息源,提高外国资本进入网络产业的比例,采取严监管的模式,如禁止外国公民和拥有双重国籍的俄罗斯人成为媒体创始人,并将本国知名的网络公司、新闻出版公司纳入俄罗斯战略性企业名单,在法律上排除了外国资本取得俄罗斯网络公司控股权的可能性。
3.欧盟网络空间安全发展现状
欧盟意图在网络安全领域形成整体合力,在新技术应用领域重点发力,努力使欧洲成为全球网络安全引领者。
1)政策、战略和规划
2020年8月,《欧盟安全联盟战略2020—2025年》新战略确定了4个优先事项,包括维护面向未来的安全环境、应对不断发展的威胁、保护欧洲民众免受恐怖主义和有组织犯罪的危害、建立欧洲安全生态系统,并分别提出具体方案。根据该战略,欧盟将重点打击恐怖主义和有组织犯罪,预防和探测混合型威胁,提高关键基础设施的韧性,促进网络安全和相关技术研发。
在信息安全方面,欧盟密集发布了《通用数据保护条例》《数字服务法》《数字市场法》《数位时代的欧盟网络安全战略》等多个对网络安全领域有重大影响的政策文件。
《通用数据保护条例》代替了《欧盟数据保护指令》,成为欧盟隐私和数据保护的法律框架,旨在帮助用户了解通用数据保护条例广泛的影响,以及为改进数据处理活动、如何做到并保持通用数据保护条例合规所提供的机会。
《数字服务法》《数字市场法》两部法案的共同目标是建立更加开放、公平、自由竞争的欧洲数字市场,促进欧洲数字产业的创新、增长和提高竞争力,为用户提供更加安全、透明和值得信赖的在线服务。《数字服务法》侧重于加强数字平台在打击非法内容和假新闻及其传播方面的责任,《数字市场法》则是反托拉斯法在数字领域的拓展和体现。
《数位时代的欧盟网络安全战略》旨在引领和打造更安全的网络空间,从而为欧盟数字经济的发展保驾护航。
2019年5月,欧盟网络与信息安全局(ENISA)发布了报告《建立网络安全政策发展框架——对自主代理的安全和隐私考虑》,旨在为欧盟成员国提供一个政策制定框架,以应对人工智能引发的安全和隐私问题。
2020年12月,欧盟网络与信息安全局(ENISA)发布了报告《人工智能的网络安全挑战:人工智能威胁图谱》(Artificial Intelligence Cybersecurity Challenges:Threat Landscape for Artificial Intelligence),对人工智能网络安全生态系统及威胁图谱进行了描述,还强调了人工智能安全的相关挑战。
2)技术研发
欧盟委员会一直非常重视发挥其自身在网络空间治理中的作用,提出要不断加大科技投入、促进科技创新,进一步改善成果转化效果。欧盟整合政策资源,建立了统一的欧盟技术政策框架体系,以维护自身网络空间安全并争取国际网络规则话语权。
欧盟委员会认为,发展网络防御能力应把重点放在对复杂网络威胁的探测、响应和恢复上,不断加强军用、民用解决方法在保护网络空间安全方面的协同效应。从全球角度,欧盟的网络空间安全合作主要为双边合作和国际组织中的多边合作,目的是不断增强欧盟内部的凝聚力,提高欧盟在国际网络空间中的规则影响力。
2014年,欧盟启动总额为770亿欧元的“欧盟地平线2020计划”,旨在完成欧洲研究区的建设,加强欧盟各成员国间的统筹与协调,减少重复投入与研究,促进研发合作与成功共享,提升欧洲研究创新能力。2020年7月,欧盟通过了价值1.8万亿欧元的“一揽子”协议;11月,又宣布增加价值150亿欧元的优先计划,用于“欧洲地平线”计划、Erasmus+计划、EU4Health计划、欧洲投资基金,以及国际合作和人道主义援助等。
3)产业应用
在英国正式脱欧之前,英国作为欧盟成员国之一,注重加强关键基础设施保护和国家整体防控体系建设。2016年9月,英国着手建立基于DNS的国家防火墙,目的是对抗网络犯罪,更高效地屏蔽已知恶意程序,阻止钓鱼邮件使用恶意域名进行网络犯罪。2016年11月,英国交通系统技术发展中心称,随着信息技术的快速发展,英国交通运输业面临越来越大的网络安全威胁,将投入更多资源加强网络安全防范。2016年12月,英国议会督促情报机构政府通信总部,加大力度帮助金融业加强网络安全,以应对不断升级的网络犯罪。
2020年6月开展的网络欧洲2020(Cyber Europe 2020)活动,旨在建设网络安全能力,加强欧盟成员国间的合作,并提高医疗健康领域的网络安全意识。活动场地分布在欧洲的几个中心地带,并由演练控制中心统一协调;参加人员来自欧盟各成员国的网络应急机构、电信、能源企业、网络安全部门、金融机构、互联网服务提供商,以及其他私营公司和公共组织。