澳大利亚国家网络安全战略发展及实施情况
2018-10-12华屹智库
◎华屹智库
澳大利亚是高度信息化的国家之一,也是最早关注网络安全的国家之一。为保障国家网络和系统安全,使公私部门机构和公民个人等都能从中受益,澳大利亚政府于2009年和2016年先后推出两版国家网络安全战略,明确网络安全是事关国家安全的优先事项,并详细阐述政府的网络安全理念及计划,成为指导国家网络安全工作的纲领性文件。近年来,澳政府在国家网络安全战略指导下积极行动,推动网络安全建设取得了明显的进展。根据独立智库机构澳大利亚战略政策研究所(ASPI)发布的《2017年亚太地区网络成熟度报告》,由于继续投资治理改革和实施2016年国家网络安全战略,澳大利亚应对网络空间威胁与挑战的能力排名已从第四位上升至第二位。澳政府计划以后每四年修订并发布一版新的国家网络安全战略,确保能更加有效地应对网络空间不断增长的威胁与挑战,助推国家持续创新、发展和繁荣。
一、战略推出
澳大利亚是网络化和信息化建设起步较早的国家。随着网络化和信息化程度的日益增加,澳大利亚的国家安全、经济繁荣和社会福利越来越高度依赖于一系列信息和通信技术(ICT)的可用性、完整性和保密性。与此同时,澳大利亚面临着日益增长的网络安全威胁。澳大利亚前总理陆克文2008年12月4日发表《国家安全声明》指出,全球网络犯罪问题的规模、复杂程度和成功率日益增加,网络安全已经成为澳大利亚国家安全优先考虑的问题之一,澳大利亚必须而且也将会全力以赴应对这一挑战。
为指导和加强国家网络安全建设,最大限度地保障数字经济时代的国家安全,澳政府于2009年11月23日发布首份《网络安全战略》(CSS)。在该战略文件中,澳政府描绘了网络安全战略的总体目标,明确了建立网络安全政策的指导原则,并详细阐述了未来保护经济组织、关键基础设施、政府机构、企业和家庭用户免受网络威胁的战略安排,包括实现战略目标的行动重点与落实措施等。该战略文件发布之后得到了澳大利亚国内尤其是业界的充分肯定,在澳政府的主导推动,特别是两个新设立机构——澳大利亚网络安全中心(ACSC)和澳大利亚计算机应急响应小组(CERT Australia)的运作支持下,澳大利亚网络安全建设取得了明显的进展。
由于网络安全威胁日趋严重复杂,澳政府在加强安全威胁态势感知研判的同时,决定发布新版国家网络安全战略,用以指导新形势下的网络安全建设。2015年7月29日,ACSC发布《2015威胁报告》指出,“对澳大利亚机构的网络威胁是不可否认的、无情的,并且还在持续增长”,澳必须保持警惕和积极主动并投入充足资源以应对复杂网络环境的挑战。2016年2月25日,澳政府发布《2016国防白皮书》指出,由于依赖信息网络,网络攻击对国防军的作战能力构成了直接威胁。2016年4月21日,澳政府发布《澳大利亚网络安全战略——助推创新、发展和繁荣》,决定在未来4年实施33项行动计划,用以提高澳的网络安全能力,并通过强大的网络安全促进澳的创新、发展和繁荣。在新版战略文件中,澳政府提出将每年审查战略执行进度并更新网络安全行动举措,每四年修订并发布一版新的《网络安全战略》(以下简称《战略》)。2017年4月27日,澳政府发布《战略》2017年第一次年度更新报告,宣称33项行动计划的实施已经取得长足进展,其中6项已经完成,其它也在进行中。
二、主要内容
澳政府2016年《战略》确立了未来4年国家网络安全行动的5大主题,即国家网络伙伴关系、强大的网络防御能力、国际责任及影响力、发展与创新和网络智能国家,以及为实现这些主题而采取的33项行动计划。其主要内容包括:
(一)国家网络伙伴关系
该行动主题的目标是政府、企业和研究团体通力合作,共同推进澳大利亚的网络安全。澳政府认为,网络安全是澳大利亚经济增长和繁荣的基本要素,对国家安全也至关重要,但保护网络安全是政府、企业和研究团体等的共同责任,因此其将与企业、研究团体等利益攸关方建立更加一体化的伙伴关系,通力合作共同提高整个国家的网络安全水平。行动计划4项,包括:(1)政府每年评估《战略》实施进度并更新行动计划;(2)举行年度网络安全领导人会议,由总理和企业领袖制定战略性网络安全议程并自上而下推动《战略》的实施;(3)简化政府的网络安全治理和结构,具体举措包括任命一名部长协助总理处理网络安全事务,重新安置澳大利亚网络安全中心(ACSC),增进公私部门合作等;(4)资助研究,更好地理解恶意网络活动对澳国经济的影响,并为政企部门网络安全风险管理决策和公私部门投资决策提供数据支持。优先行动:一是共同领导。澳政府和企业领导人带头共同设计国家网络安全举措,包括举行总理主持、企业领导人参加的年度网络安全会议。二是建立更强大的伙伴关系。明确政府的领导责任,重新定位ACSC,促进政府与企业的互动。三是理解代价和收益。资助研究,帮助各组织机构更好地理解恶意网络活动给经济带来的损失。
(二)强大的网络防御能力
该行动主题的目标是使澳大利亚的网络和系统能够有效抵御网络攻击。网络攻击者对澳大利亚网络和信息的攻击具有持久性,澳政府将与私营部门共同努力,加强网络安全防御能力和入侵发现、阻止与打击能力的建设。行动计划17项,其中发现、阻止和打击恶意网络活动方面8项,包括:(1)与私营部门合作建立分层的网络威胁信息共享方法;(2)提升澳大利亚计算机应急响应小组的能力;(3、4)提升澳大利亚打击犯罪委员会和联邦警察打击网络犯罪的能力;(5)加强执法人员国内打击网络犯罪所需的技能培训;(6)提升澳大利亚信号局(ASD)识别网络威胁和入侵分析的能力;(7)增强国防部网络安全防御能力;(8)扩大国家网络事件管理安排和演习计划。提高网络安全防御标准方面9项,包括:(9)政府与私营部门共同制定国家网络安全实践自愿准则;(10)定期更新ASD减缓针对性网络入侵的策略;(11)为ASX100上市企业引入国家自愿网络安全治理“健康检查”;(12)支持CREST Australia New Zealand扩展网络安全服务范围;(13)支持小型企业由CREST Australia New Zealand认证提供商进行网络安全性测试;(14)实施ASD减缓针对性网络入侵策略,改善政府机构网络安全;(15)对网络风险较高的机构实施独立网络安全评估,助其改善网络安全;(16)提高ASD脆弱性评估及研究新兴技术等能力;(17)为政府机构管控ICT设备与服务的供应链安全风险制定指导准则。优先行动:一是发现、阻止和打击恶意网络活动。开放联合网络威胁共享中心和在线网络威胁共享门户网站;提升情报搜集、分析和打击能力。二是提高网络安全防御标准。共同制定自愿网络安全治理“健康检查”和国家良好实践指南,开发和利用先进技术,以提高攻击澳大利亚网络的难度;对政府机构进行网络安全评估。
(三)国际责任及影响力
该行动主题的目标是与国际伙伴合作,积极促进营造一个开放、自由和安全的网络空间。网络安全是澳大利亚国际合作的关键问题和外交努力的核心主题。针对目前一些国家仍对互联网的开放施加限制、大多数网络犯罪都来自海外等情况,澳大利亚将与国际伙伴合作,共同努力解决网络安全威胁和促进网络空间的开放与自由,并确保澳大利亚在国际网络问题上拥有发言权。行动计划:5项,包括:(1)任命网络大使,在国际网络问题上积极发声;(2)发布网络安全国际参与战略(International Cyber Engagement Strategy),用以指导澳大利亚在网络安全议题上的双边和区域合作;(3)倡导一个开放、自由和安全的互联网,使所有国家都能从网络空间获益;(4)支持国际伙伴关闭网络犯罪的安全避风港(特别关注印度-太平洋地区),并防止恶意网络活动;(5)通过公私合作伙伴关系,帮助澳大利亚建立在印太地区乃至全球范围内抵御恶意网络活动的能力。优先行动:一是倡导在印太地区仍至全球范围内保持开放、自由和安全的互联网;二是关闭网络犯罪的安全避风港;三是构建澳大利亚在地区和全球范围内抵御恶意网络活动的能力。
(四)发展与创新
该行动主题的目标是使澳大利亚企业通过网络安全创新不断繁荣发展。澳大利亚国内的网络安全产业规模虽然很小,但享有良好的国际声誉。网络空间为澳大利亚企业的发展提供了巨大的机会,澳政府将帮助企业发展创造适宜的环境,促进网络安全研发和催生新兴企业,为企业多元化和培育新市场奠定基础。行动计划:4项,包括:(1)通过“国家创新和科学议程(NISA)”建立一个以行业为主导的网络安全增长中 心(Cyber Security Growth Centre),以协调国家网络安全创新网络,促进网络安全研究和创新;(2)通过《国家创新和科学议程》提升数字化创新小组Data61的网络安全研究能力,支持网络安全解决方案的商业化,提高网络安全技能及加深与国际伙伴的联系;(3)与企业和研究界合作,更好地将网络安全研究作为澳大利亚网络安全挑战的目标;(4)促进澳大利亚网络安全产品和服务的发展和出口,并侧重于印度-太平洋地区。优先行动:一是实现网络安全创新。通过网络安全增长中心和创新网络推动对网络安全创新的投资,以加强网络防御、促进经济增长和创造就业机会。二是发展和扩大网络安全业务。支持新业务并促进澳大利亚网络安全产品和服务的出口。三是实现网络安全研究和开发。确保澳大利亚的网络安全研发能够应对挑战。
(五)网络智能国家
该行动主题的目标是让澳大利亚人拥有网络安全技能和知识,在数字时代蓬勃发展。与许多国家一样,澳大利亚也面临网络安全技能短缺的问题,许多澳大利亚人和组织并未意识到他们在网络空间所面临的风险。澳政府将致力于为澳大利亚人提供网络安全技能和提高网络安全意识,使他们都能从网络空间的发展机遇中获益。行动计划(亦为优先行动):3项,其中发展专业技能和知识方面1项,即(1)澳政府将与企业、教育机构和研究界合作,在全国范围内努力发展网络安全专业技能和知识,提高网络安全技能人员的数量。重要举措包括:在大学建立网络安全卓越学术中心,提高网络安全课程和师资力量的质量,培养具有高端网络安全技能的大学毕业生;与私营部门、各州和地区以及技能服务组织合作,支持扩大注册培训机构的网络安全培训规模,培育各组织机构所需的网络安全工作者;扩大国家年度网络安全挑战赛的参赛人员范围等。提高国家网络安全意识方面2项,包括:(2)汇集并发展公共和私营部门的网络安全意识计划,以充分利用综合资源,增进人民对网络安全风险和影响的理解;(3)与其他国家合作开展网络安全意识提升计划,以实现互利的成果。
三、实现措施
为提升网络安全保障能力,有效维护网络安全环境,澳政府自2009年发布首份《战略》以来,即积极推进一系列卓有成效的举措。主要包括:
(一)强化政府职能,加强组织领导
澳政府认为,强有力的组织领导对实现国家网络安全战略目标至关重要。近年来,澳政府主要通过新设职能机构、明确角色与责任、简化管理结构等措施,加强对网络安全事务的组织领导。一是新设职能机构促进公私及国内外合作。澳政府依2009年《战略》于2010年1月成立了两个相互支持的新机构,即澳大利亚计算机应急响应小组(CERT Australia)和网络安全运行中心(CSOC)。其中,CERT Australia为澳政府内的协调机构,主要职责包括促进公私部门合作,向企业、行业等提供网络安全信息与建议;以及开展与其他国家CERT组织的合作等。CSOC负责为澳政府提供全方位网络态势感知,并协调政府机构和业界共同应对网络威胁。2014年11月,澳政府以CSOC为基础扩展建立了澳大利亚网络安全中心(ACSC)。澳政府还依据2016年《战略》于2017年至2018年先后在布里斯班、墨尔本、悉尼、珀斯启用了联合网络安全中心(JCSC),用以促进政府与业界、学界等之间的信息共享和安全合作,并预计2018年晚些时候在阿德莱德成立最后一个JCSC。二是明确网络安全管理三大支柱的角色与责任。澳政府依2016年《战略》确立了网络安全管理三大相互协调的战略支柱,即总理内阁部、ACSC和网络大使。其中,总理内阁部为制定国家网络安全政策的决策核心,对政府网络安全政策及《战略》的实施进行综合监督。ACSC以国家网络安全优先事项为指导,持续整合政府网络安全运营能力,并利用其网络专业知识为各组织提供支持。国防部特别是澳大利亚信号局(ASD)在抵御恶意网络活动中发挥了极其重要的作用,将继续领导ACSC的运作。网络大使(由外交贸易部任命)接受网络安全特别顾问指导并与之密切合作,负责国际网络事务。三是简化政府网络安全管理结构。为满足政府网络安全管理机构“简单而一致”的需求,澳政府根据2016年《战略》专门任命了一位部长协助总理处理网络安全事务,负责带领政府与企业领导人合作,实施网络安全计划;在总理内阁部新设网络安全特别顾问,负责领导网络安全战略和政策的制定,为各机构提供明确的目标和重点,并监督各机构执行,确保国家政府与地方政府、私营部门、非政府组织、研究机构和国际伙伴有效合作;于2018年7月将CERT Australia和数字化转型局(DTA)的网络安全人力整合并入ACSC,并将扩大后的ACSC正式成为ASD的一部分。
(二)持续资金投入,保障安全建设
愈演愈烈的黑客攻击和网络诈骗让澳政府意识到网络安全对国家安全和经济的巨大影响,澳政府决心持续加强资金投入用于保障网络安全整治与建设。其中,2008年5月,澳政府承诺在未来4年内拨款1.258亿美元,开展全方位的网络安全措施。2015年12月,澳政府发布重要科技政策文件“国家创新和科学议程(NISA)”,承诺将在未来4年内投资11亿澳元(约8亿美元),用于鼓励创新和企业家精神,提升学校科学、数学和计算机的水平,其中包括:投资3000万澳元(约合2185万美元)建立一个以行业为主导的网络安全增长中心,为澳大利亚的网络安全部门创造商机,并改善澳大利亚企业的网络安全;以及投资3600万澳元(约合2500万美元)用于实施《创新全球化战略》,鼓励科研创新和促进国际合作等。2016年4月,澳政府决定在未来4年投资2.3亿澳元(约合1.8亿美元),用以提高澳大利亚的网络安全能力。这项投资是对澳大利亚《2016年国防白皮书》网络安全投资的重要补充。2017年3月,澳国防工业部宣布成立7.3亿美元的“下一代技术基金”(NGTF),用于资助国防部门与工业界、学术界等合作,推动网络安全、量子技术等先进技术的创新发展,促进国防军对先进技术的掌握。
(三)积极国际合作,实现对话交流
澳政府通过加入国际互联网公约、倡导网络政策对话、积极开展区域合作等,构建全球性、区域性的伙伴关系,增强抵御恶意网络活动的能力,并扩大在国际网络空间的影响力。一是加入国际互联网公约及组织。澳大利亚于2013年签署欧洲委员会《网络犯罪公约》,使澳执法机构能够快速从世界各地合作机构获得有关网络犯罪的通信数据,帮助澳加强打击伪造、欺诈、儿童色情、侵犯版权和知识产权等犯罪行为;2015年加入“自由在线联盟”(Freedom Online Coalition), 通 过与20多个联盟成员国建立合作伙伴关系,促进建立自由的互联网。二是倡导网络政策对话。澳大利亚致力通过网络政策对话,进一步加强与其他国家的网络安全合作,维护本国的网络安全利益。其中,澳自2012年以来与新西兰持续开展的网络政策对话,旨在促进公开、自由、安全的互联网的建立;2014年至2015年间与中国、印度、日本和韩国等举行网络政策多方会谈,就网络安全相关议题进行意见交换。三是积极开展区域合作。澳联邦警察署与印太地区各警察机构共同致力于应对网络犯罪问题、开展培训合作、制定提升网络能力的倡议。例如,网络安全帕斯菲卡倡议就是一个太平洋各岛国警察长与澳联邦警察署的合作项目。此外,澳政府还与国际伙伴合作,侦察和防范恐怖分子利用互联网实施极端恐怖主义活动。
(四)加强人才培育,持续智力供应
澳大利亚同许多国家一样面临着网络安全人才短缺的问题,并且人才供应不足的情况正日益加剧。澳政府在2016年《战略》提出“网络智能国家”主题的目的就是要加强网络安全人才的培育,为《战略》目标的实现持续提供智力支持。近年来澳政府采取的培育措施包括:一是建立网络安全卓越学术中心加强高技能人才培育。澳政府自2017年2月启动网络安全卓越学术中心(ACCSE)项目,承诺将在4年内提供190万澳元(约合138万美元)帮助高校建立ACCSE,用于鼓励更多学生开展网络安全研究和加强学生的网络安全高级技能培训,以满足澳商业和政府对网络安全技术人才的数质量需求。ACCSE项目作为2016年《战略》的一部分,得到了澳国防部、教育和培训部、信息产业协会等的大力支持,目前已获得ACCSE资质认证和政府投资的两所大学为墨尔本大学(UM)和埃迪斯科文大学(ECU)。二是扩大国家网络安全挑战赛规模加强人才发掘。澳大利亚网络安全挑战赛(CySCA)是由澳政府、商界和学术界联合举办的黑客竞赛,也是澳唯一的国家网络安全竞赛,致力于发现下一代网络安全专业人才。首次挑战赛在2012年举行,开放澳全日制的大学本科生和职业技术学院(TAFE)学生组队参加,此后每年举办一次。为利于持续向国家输送人才,该项挑战赛在2016年《战略》发布后还扩大了规模,将参赛人员范围从高校学生扩大到了已经参加工作的从业人员。三是公私领域合作培养人才。澳大利亚网络安全研究院(ACSRI)是澳大利亚首个由政府机构、私营部门和研究界联合开办的战略研究和教育机构,主要负责为政府关注的网络安全问题提供支持,协调各方力量建立覆盖全国的网络威胁响应机制,并推动高技能网络安全专业人员的培养工作。另外,位于维多利亚州墨尔本市的博士山技术与继续教育学院(Box Hill Institute of TAFE)与私营领域合作,开发了一个为期12个月的网络安全学徒制项目,积极培养网安人才;澳大利亚银行和电信企业也在与高校合作,为学习科技课程(包括网络安全学位)的学生提供奖学金。
(五)强化安全宣传,提高全民意识
澳政府认为,通过国家行为增进澳大利亚公民对网络安全风险和利益的理解,使澳大利亚公民能更好地保护自己和他人,并更有信心和意愿在网上开展业务,也是加强网络安全防护的重要举措。近年来,澳政府与国内各界合作加强网络安全宣传的活动主要包括:一是举办网络安全意识周。澳大利亚国家网络安全意识周是由澳大利亚宽带、通信和数字经济部主办,澳政府设立的“保持安全在线”(Stay Smart Online)网站承办的网络安全宣传活动,于每年10月份举行,主要面向家庭用户和小型企业进行主题宣传,帮助他们了解和掌握网络安全风险信息,并提供保护网络安全的实用建议。例如,2015年第八届网络安全意识周以面向小微企业的“你的生意是你自己的”为主题,并首次发布《小微企业网络安全指南》(Small Business Guide),获得了企业的广泛关注;2016年第九届网络安全周则以“网络安全从休息室到会议室”为主题,并发布了《网络安全实施指南》和《个人网络安全指南》。二是运营Scamwatch活动。Scamwatch活动由澳大利亚竞争与消费者委员会(ACCC)运营,主要是利用Scamwatch网站向消费者和小型企业提供如何识别、避免和举报网络诈骗的信息。三是成立网络儿童保护组织。澳政府专门建立了儿童在线安全专员办公室,为儿童及青少年提供如何安全健康上网的信息和资源,帮助和指导儿童及青少年获得在线安全的愉快体验。
四、特点分析
澳大利亚国家网络安全战略发展和实施的主要特点包括:
(一)战略以网络防御为核心
纵观澳大利亚近年发布的两版网络安全战略,构建强大的网络防御能力、保障国家免受网络攻击始终是该国网络安全战略的核心。不管是2009年《战略》还是2016年《战略》,澳政府都将提升监测发现、阻止和打击恶意网络活动的能力列为行动重点,用以保障政府、企业、关键基础设施和其他关系国家利益的网络与系统的安全。一方面,强调通过投入使用网络防御新技术、完善复杂网络威胁应对方案等,增加网络攻击者成功入侵所需的努力并降低网络攻击事件的影响。另一方面,强调通过提高网络安全标准、加强网络风险评估管理、合作打击网络犯罪等,减少有针对性的网络入侵攻击。与英国网络安全战略奉行积极防御与战略威慑相比,澳大利亚的再版网络安全战略中并没有提及进攻性网络能力的发展建设,突显战略核心系以网络防御为主。
(二)突出提升全民网安意识
澳政府认为,支持国家网络安全战略所有行动成功的关键是解决澳大利亚公民对网络安全风险相对缺乏的认知。因此,澳政府重视全民网络安全意识的建立与提升,强调全民、全企共同应对网络安全威胁。澳政府在2009年《战略》中,就明确将“让澳大利亚所有公民都意识到网络风险,确保其计算机安全,并采取行动确保其身份信息、隐私和网上金融的安全”列为战略首要目标;在2016年《战略》中,则将提高澳大利亚公民网络安全意识纳为“网络智能国家”这一行动主题的优先执行事项。在提升全民网络安全意识的过程中,澳政府与企业、研究界和社区团体等密切协作,开展了一系列网络安全意识宣传活动,特别是国家网络安全意识周时间固定、长期开展,取得了持续的、良好的社会宣传效果。
(三)重视推动经济发展繁荣
澳政府认为,网络安全不仅是国家安全问题,也是经济安全问题;澳大利亚未来繁荣的关键是强大而充满活力的“在线经济”,因此澳大利亚积极的网络安全行动除了要改善国家网络安全之外,还要推动和实现澳大利亚经济的发展和繁荣。在2009年《战略》中,澳政府明确网络安全战略的目的是维护一个安全、可靠和复原能力强的电子运营环境,从而促进澳大利亚的国家安全并从数字经济中最大限度地获取收益。在2016年《战略》中,澳政府明确将企业通过网络安全创新不断发展繁荣列为“发展与创新”这一行动主题的目标,提出要通过促进澳网络安全产品和服务的开发和出口,在澳大利亚创建一个充满活力的网络安全行业,为国家带来可观的经济利益。