德国网络安全战略发展及实施情况
2018-10-12华屹智库
◎华屹智库
德国是欧洲信息技术最发达的国家,向来重视网络空间的安全与发展,尤其注重国家网络安全行动的顶层设计。为有效应对网络空间的严峻挑战,构建安全的网络环境,促进国家的经济繁荣和社会稳定,德国政府于2011年推出首份国家网络安全战略,明确网络安全战略的总体目标和保障措施,用以指导和加强国家网络安全建设,并于2016年发布新版网络安全战略,对国家网络安全建设作出部署。与美国网络安全战略强调攻防能力并重发展不同,德国网络安全战略侧重于自身网络安全防护能力的提升,同时注重通过有效的国际协调行动促进网络空间的安全。
一、战略推出
德国政府向来重视信息化建设,自上世纪末以来其通过制定和实施一系列信息化发展战略,推动国家信息化建设取得了快速发展。但随着政府机构、关键基础设施、企业和公民等对信息通信技术和互联网的依赖逐渐增强,德国面临的网络威胁尤其是境内外针对其信息基础设施的网络攻击也日益频繁和复杂。德国政府虽然重视网络安全并且也陆续推出了多项网络威胁应对措施,包括2001年组建网络应急预警系统、2005年出台全国性IT安全计划并建立电脑紧急情况应对中心、2008年批准颇具争议的互联网监管法案等,但随着网络威胁的不断发展变化,这些措施已渐难满足应对挑战的需求。与此同时,同为信息化大国的美国、俄罗斯、法国、英国等已领先德国出台了国家网络安全战略,用以指导和加强国家网络安全建设,防范和遏制网络空间给国家安全带来的威胁。
在上述国内国际背景下,德国政府于2011年2月23日授权内政部颁布了首份《德国网络安全战略》。在该战略中,德国政府评估了国家网络安全面临的主要威胁,阐述了国家网络安全战略的现实依据、框架条件、基本原则、战略目标与保障措施等,成为指导德国网络安全建设的纲领性文件。其中采取的措施重点针对保护关键信息基础设施、保护公众和中小企业IT系统、保护行政部门IT系统、建立国家网络防御中心、成立国家网络安全委员会、有效控制网络犯罪、开展有效协调行动确保欧洲和全球网络安全、采用可靠可信的信息技术、促进联邦政府人才发展,以及建立应对网络攻击的工具等十大领域。
为适应信息技术的快速发展和网络安全威胁的不断演变,德国政府于2016年11月9日发布了新版《德国网络安全战略》,用以应对越来越多的针对政府机构、关键基础设施、企业以及公民的网络威胁活动。新版战略延续了首份战略的总体目标,对未来几年网络安全建设进行了细化部署,有效弥补了首份战略中保障措施不够细化的问题,成为德国网络安全行动的新指南。
二、主要内容
2011年网络安全战略从德国实际需求出发,注重网络安全顶层设计,强调国内资源整合与国际合作,并关注战略实施的可持续性,为德国“面向未来的网络安全政策”奠定了基础,保护网络安全和防御网络攻击成为德国的国家级任务。2016年网络安全战略的颁布实际上是对2011年网络安全战略的一个延续和补充,它为德国推进网络安全建设提供了新的战略框架。在新版战略中,德国政府明确指出,2011年网络安全战略的总体目标仍然存在,换言之,即“大力构建安全的网络空间,促进德国经济、社会的稳定和发展”的战略目标仍然存在。在新版战略中,德国政府重点评估分析了网络威胁新的形势特点,并明确阐述了未来几年网络安全的四大行动方案及其具体措施,主要情况如下:
(一)威胁评估分析
根据德国政府的评估分析,德国面临的网络威胁形势具有以下特点:第一,技术的不断发展变化,使网络威胁的复杂性日益增加。与此同时,现代社会的数字化也正在增加网络空间的脆弱性和技术滥用的可能性。第二,网络攻击不仅影响网络空间,还可能对社会、经济、政治和公民造成严重损害。例如,针对国家机构的间谍或破坏活动可能严重损害行政当局、武装部队和安全部门的运作,从而对德国的公共安全和秩序产生影响;针对能源网的攻击可能使大部分公共和私人生活陷入停滞;针对银行基础设施或股市的网络攻击可能对整个金融市场构成威胁,并对德国和世界经济产生深远影响。第三,攻击者往往具有犯罪、极端主义/恐怖主义、军事或官方背景,境内外潜在攻击者的多样性及其隐藏技术的使用,使得对网络攻击的检测、分析、防御和起诉更加困难。第四,政治、军事冲突常常伴随着低于网络空间武装冲突门槛的网络攻击活动,造成对网络攻击的政治评估和对策决定变得复杂化。第五,网络攻击的数量和质量正在稳步增长,并且经常遇到安全性不足的IT系统。第六,国家支持型组织、犯罪集团或个人很容易获得网络攻击工具。特别是在技术先进的恶意程序方面,传统的防护工具往往不再足够。第七,攻击者能够利用技术隐藏网络攻击活动,导致网络攻击及其来源越来越难以被发现。德国政府评估认为,未来几年,德国的国家、经济和社会将受到以上网络威胁形势的严重影响。
(二)行动方案
未来几年,德国实现网络安全战略目标的四大行动领域及具体行动计划如下:
1、数字化环境中的安全和自主行动。在数字化环境中安全和自主行动是网络安全的重要基石,但这需要适当的可信技术和框架条件。行动计划包括:一是提升全体用户的数字化能力。将数字化素养纳入教育体系,包括学校教育、双元教育、职业培训和普通成人教育,增强用户安全使用IT技术的基本知识。二是提高安全意识以抵消数字疏忽。联邦政府将与“德国安全在线(DsiN)e.V.”等倡议团体合作,促进目标群体提高认识;以及由联邦信息技术安全局(BSI)扩大IT产品和服务安全漏洞的公开警示等。三是为电子通信及Web服务创造安全条件。通过易用的加密策略或解决方案实现电子通信和Web服务的安全保密;增强国家执法和安全机构的解密技术能力,使之与加密技术的发展同步。四是电子身份安全保障。进一步发展安全、易用和先进的在线身份认证技术和方法。五是加强认证及批准——引入IT安全“质量标签”。鼓励标准技术制造商为安全的IT消费产品引入基本认证程序;加强IT产品和服务的质量认证和质量标签,使其安全性更加透明;以及支持扩展欧洲和国际IT安全认证协议等。六是保障数字化进程的安全。研究责任适当分配和安全风险要求,例如通过IT安全缺陷的产品责任规划和制造商安全规范;以及推动制定国际标准,加强移动数据的跨境安全保护等。七是推进IT安全研究。扩展IT安全研究计划《数字化世界中的安全自主2015-2020》,并将之与网络安全战略措施紧密结合;资助现有IT安全研究能力中心和联邦国防军大学等加强IT和网络安全应用研究,发现、引进和开发新技术。
2、政府与企业的共同努力。政府和企业的信任合作和密切交流是长久确保德国网络安全不可或缺的。未来几年,德国政府与企业加强合作的行动计划包括:一是保护关键基础设施安全,尤其是关键信息基础设施的安全。二是加强对德国企业特别是中小型企业的网络信息安全防护,包括支持企业实现所需的IT安全级别等。三是加强德国IT产业经济发展。为增强国家IT产业竞争力,联邦政府将推广“IT安全德国制造”并扩大对外贸易。在国家关键技术领域,联邦政府将加强与IT安全产业的合作,包括资助企业与大学、非大学研究机构和商业合作伙伴共同开发新产品和服务等。四是与安全服务提供商合作。联邦政府将利用机会促进有能力和值得信赖的安全服务提供商更多地参与网络安全建设,包括检测网络威胁、处理感染事件、打击网络攻击、保护网络数据、交流IT专业知识等。联邦政府还将与网络安全行业的代表一起设计和实施网络安全人员交流计划。五是建立政府与企业的可靠合作平台。该平台将在法律允许范围内,优先促进相关情况信息的信任交换,助力抵御网络攻击。
3、高效可持续的国家网络安全体系。建立先进的网络安全架构,有效联合联邦不同参与者的力量,并密切关注州和地方政府,确保德国在网络空间的安全和自主。行动计划包括:一是进一步发展国家网络防御中心(Cyber-AZ)。将该中心由单纯的信息交换中心发展为各部门网络安全机构密切合作的协调平台。二是增强现场分析和响应的能力。在BSI设立移动事件响应小组(MIRT),在联邦刑事警察局(BKA)设立专门调查组(快速反应部队),在联邦宪法保卫局(BfV)设立移动网络组(Mobile Cyber-Teams)。三是加强网络空间执法。继续加大打击网络犯罪的力度,加强司法和执法机构人员技术和专业资质的教育培训,并借助新技术促进安全机构的能力提升。四是有效打击网络间谍及破坏活动。加强BfV反间谍人员和组织的建设,并加大极端主义和恐怖主义网络攻击的打击力度。五是加强境外网络攻击的预警防范。利用联邦情报局(BND)的网络攻击预警系统加强威胁分析,为启动防御措施提供早期预警。六是建立信息安全技术中心办公室(ZITiS),为国家安全机构提供相关技术支持。七是提升国防军网络安全防御能力。将整合分散的网络安全力量编成新的军事组织。八是加强德国计算机应急响应小组(CERT)建设。由BSI推进政府、企业、科研机构所属CERT的联合协作,并在联合过程中改进现有的CERT结构。九是加强联邦政府的网络安全管理。十是加强联邦政府和各州之间的合作。十一是利用资源加强人员招募和培养,包括各级政府的财政资金以及培训机构与业界的资源。
4、在欧洲及国际网络安全政策中发挥积极作用。数字化时代的跨国网络,只有将国家措施纳入相应的欧洲、区域和国际进程,才能实现高水平的网络安全,德国将继续在欧洲和国际网络安全政策中发挥积极作用。行动计划包括:一是积极制定有效的欧洲网络安全政策。将致力于确保在所有数字化流程中充分解决IT安全问题,包括通过基于数据安全的欧洲数据定位政策以及将数据保护纳入欧洲国际数据交换规则等;积极参与数据跨境处理与使用相关法律和技术问题的欧盟试点项目。二是发展北约的网络防御政策。北约需制定其网络防御政策,以适应网络空间安全环境的变化,持续增强抵御网络空间攻击的能力,德国将积极参与这一政策制定的塑造进程。三是积极帮助塑造国际网络安全。将继续在联合国推动关于国际法适用于国家和非国家行为者的辩论;为补充完善国际法规范体系,将参与制定规范、规则、原则和其他关于在网络空间中负责任国家行为的建议;支持联合国维护国际网络空间稳定的行动和增强应对国际网络威胁的能力;以及支持加强监控技术出口管制的国际努力等。四是网络能力构建的双边及区域支持与合作。将支持选定的合作伙伴国家和地区加强其预防性和反应性网络安全能力(网络稳健性和网络恢复能力)。五是加强国际执法。将在国际上打击网络犯罪,将加强跨境执法和联合调查能力,努力改善网络空间跨境执法的国际法律框架,并探索简化和加快请求国际合作伙伴司法协助的方法。
三、实现措施
自首份网络安全战略发布以来,德国政府积极通过法律保障、机构设置、网军组建、企业帮扶、人才发展等方面的强化措施,大力推进国家网络安全建设,加快网络安全战略目标的实现进程。
(一)出台网络安全法案提供保障
德国政府先后出台了《信息技术安全法》和《改进社交网络执法的法案》(简称《网络执行法》),为加强关键基础设施保护、社交媒体平台监管以及促进国家网络安全战略目标的实现提供了坚强的法律保障。一是《信息技术安全法》。2015年7月开始施行,该法案以保护关键基础设施为重点,不仅吸收了德国2011年网络安全战略中关于关键基础设施的定义,还明确了关键基础设施的保护范围及其运营者的法律责任。法案还通过授权联邦刑事警察局(BKA)可对网络犯罪嫌疑人进行数据拦截和监控,进一步扩大了政府部门的网络监控权限。总体而言,该法案的施行强化了德国联邦政府对关键基础设施的管理,是对德国关键基础设施保护制度的进一步完善,是德国2011年网络安全战略的贯彻和延伸。二是《网络执行法》。是德国联邦议会2017年6月30日通过的一项针对社交媒体平台的监管法案。该法案强制要求在德国境内符合条件的社交网络平台建立虚假新闻、煽动性言论和仇恨言论等违法信息的投诉与处理机制,并对处理不力、不当者设置最高达5000万欧元(约合5750万美元)的巨额罚款。该法案在2017年10月1日生效,后经3个月“缓冲期”的适应整改,于2018年1月1日正式施行。
(二)设立网络安全机构协调推进
近年来,德国政府根据网络安全战略先后设立了国家网络安全委员会、国家网络防御中心、信息安全技术中心办公室等网络安全机构,这些机构在战略实施过程中发挥了重要的事务协调与技术支撑作用。一是国家网络安全委员会。该委员会成立于2011年4月,由联邦政府信息技术专员负责运作,成员包括联邦总理府、联邦政府部门(内政部、国防部、财政部、教育和研究部、司法部、外交部、联邦经济和能源部)以及各联邦州的代表,主要职能是从战略高度和政策层面协调联邦政府部门与私营部门建立并保持合作。该委员会每年举行三次会议。二是国家网络防御中心。成立于2011年4月的联合机构,主要负责协调优化政府各部门之间的网络安全合作,包括网络威胁的信息交换、评估分析及由此产生的应对策略、行动建议拟订等。该中心由BSI领导,联邦宪法保卫局(BfV)、联邦民事保护与灾难救助局(BBK)、联邦情报局、联邦警察(BPOL)、联邦国防军等政府部门共同参与运作。三是信息安全技术中心办公室。成立于2017年4月的非法人联邦机构,负责为德国安全机构研发网络安全相关工具和技术解决方案,工作领域包括电信监控、数字取证、密码分析和大数据分析。此外,德国还于2012年由BSI与联邦IT协会等合作成立“网络安全联盟”,用以推动政府机构与经济界加强合作;2018年8月在内政部下设立“网络安全创新局”,负责推动网络安全技术研发,以减少对美国等其他国家的技术依赖。
(三)组建网军强化网络安全防护
德国联邦国防军是较早开始建设网络空间作战力量的军队之一,其中最典型的部门为负责网络空间作战的战略侦察指挥部和负责维护军方通信安全的国防军信息技术中心。除此之外,还有负责部队IT系统的国防军信息技术指挥部、负责为军事行动提供地理信息支援保障的国防军地理信息中心、负责部队网络安全的国防军网络安全中心,以及负责计算机网络行动的网络军事行动中心。这些专业机构和部门奠定了德国联邦国防军网络空间作战力量的基础。近年来,随着军事领域遭受的网络攻击日益频繁,为提升联邦国防军的网络空间作战能力,德国联邦国防部根据国家网络安全战略于2017年4月成立“网络与信息空间司令部”,着手组建负责国防军网络安全的独立军种,国防军原有分散的网络作战力量陆续被整合编入该司令部。新组建“网军”的主要任务包括确保联邦国防军信息系统在国内外的安全运作、加强在网络信息空间的侦察和影响力、支援国防军其他部门完成任务、数字化背景下与其他机构合作维护国家安全,以及加强网络安全设施建设等。值得注意的是,新组建的“网军”设有计算机网络行动部队,现有编制60人,未来将扩充至80人,担负包含网络攻击在内的作战任务。根据德国军方设想,“网络与信息空间司令部”预计到2021年可“完全做好应战准备”,届时其兵力规模将由组建时的260人大幅扩充至1.35万士兵和1500名文职雇员。
(四)帮扶中小型及初创企业发展
德国认为,国家的网络安全需要强大的IT产业经济支持,而中小企业和初创企业则是德国IT产业发展的基础。为此,德国近年来积极采取措施帮扶中小型及高科技初创企业发展,用以促进德国IT产业经济发展,进而推动网络安全战略目标的实现。一是组建特别工作组帮助中小企业保护IT基础设施。为加大对中小企业IT基础设施保护的扶持力度,德国联邦经济与科技部(注:2013年更名为联邦经济和能源部)于2011年组建了一支负责IT安全的专责小组,负责与业界伙伴合作,采取措施帮助中小企业防护IT基础设施安全。二是加强对中小企业数字化重点领域项目的资助。德国联邦经济和能源部2016年发布《数字战略2025》,提出将针对中小型企业数字化投资项目进行资助,同时扩充目前已有的中小企业扶持项目,以满足中小企业不断增长的资金需求。其中,中小型企业数字化投资项目将在2018年获得10亿欧元(约合11.7亿美元)的资助;现有的中小型企业创新计划(ZIM)项目、工业社区研究(IGF)项目则可分别获得7亿欧元(约合8.2亿美元)和2亿欧元(约合2.3亿美元)的扩充资金。三是启动“加速器”项目帮扶高科技领域初创企业发展。德国和以色列于2017年11月启动首个网络安全领域创新和合作项目“黑森以色列网络安全合作加速器”,该“加速器”由德国夫琅禾费安全信息技术研究所和以色列希伯来大学网络安全研究中心共同建立,目的是吸引德国及以色列的网络领域高端人才共同致力于网络技术、互联网基础设施和软件安全等项目的创新与研发,并为高科技领域的初创企业提供更多进入市场的成功机会。
(五)重视网络人才的招募和培育
德国通过加强网络安全与信息化领域人才的招募、培育和使用管理,为推进国家网络安全建设、保障国家网络空间安全提供智力支持。一是积极招募网络人才充实网军。为促进网络空间作战力量的提升,德国联邦国防军注重多渠道引进具有网络信息相关专业才能的人员入职新组建的网络空间作战部队。国防军于2017年4月举办“网络日”活动,特别招募网络信息技术专家,以补缺军队和民兵部队中有关信息技术人才的职位缺口。国防军还为2017年4月在国防军信息技术指挥部下成立的网络安全中心编配117名平民雇员,以配合185名士兵更好地保护国防部在网络和信息领域的安全。国防军还计划通过招募地方信息技术人才、调配国防军从事网络的相关人员,为“网络与信息空间司令部”扩充实力。二是政府机构与企业合作培育人才。德国2016年网络安全战略强调要扩大政府机构与企业在人才发展上的合作,并建立创新的人员交流模式。据此,德国联邦国防军2018年9月与德国最大的电信运营商德国电信公司达成协议,将针对开设信息技术安全培训课程、定期交换专业人员等开展紧密合作。三是施行高效的科研人才管理机制。德国实行以人为本、项目化的人才管理体制和全球人才聘任机制,全球高端人才的引进使德国研究人员国际化比例一直保持较高水平。德国著名科研机构马普学会下属研究所的学术带头人可自主选择研究课题开展研究工作;弗劳恩霍夫协会下属研究所则实行固定岗与流动岗相结合的人员管理方式,对部分科研和技术人员采用合同制,以方便其流动,保证了人才的更迭、进出有序。
四、特点分析
德国网络安全战略的发展及实施的主要特点包括:
(一)突出关键基础设施防护
德国政府认为,由于网络信息系统的相互关联性,关键基础设施尤其是关键信息基础设施的安全防护已经成为政府和行业联合网络行动的核心。鉴此,德国政府将关键基础设施的安全防护列为国家网络安全战略的重点,并写入国家法律。其中,2011年网络安全战略将关键基础设施保护列为首要任务,不仅明确关键基础设施的定义和范围,还要求公私部门为密切协作建立坚实的战略和组织基础,确保德国的网络安全水平与信息基础设施的重要性相对称;2015年通过的《信息技术安全法》进一步明确了关键基础设施运营者的法律责任,并对未及时完善保护措施者设置了高额罚款;2016年网络安全战略中再次将保护关键基础设施列为网络安全行动的重要领域,要求政府和行业必须在各个层面密切合作,并建立信息信任交流机制。
(二)重视国内资源有效整合
德国网络安全战略顶层设计中,不仅将国内协调置于至关重要的位置,还十分重视国内防御性的资源整合。在2011年网络安全战略中,德国政府强调,只有政府、企业和社会所有参与者充分合作共同完成任务,网络安全战略才会成功;有效的IT安全需要所有的联邦政府部门都具备强有力的架构,因此必须对中央和地方的资源进行有效整合和合理配置。在2016年网络安全战略中,德国政府提出要构建高效可持续的国家网络安全架构,以有效地将联邦层面的不同参与者紧密联系起来;要进一步发展国家网络防御中心,构建政府与企业的信息信任交换平台,确保法律框架内不同参与者的信息资源共享;强调要充分使用各级政府的财政资金以及培训机构与业界的资源,加强网络安全人员的招募和培养。
(三)注重国际网络安全协作
德国政府认为,由于IT技术及系统具有跨国性,因此在维护网络安全上加强国际协调与合作势在必行。在两版网络安全战略中,德国政府都对国际网络安全协作作出了理念阐释和行动部署。在2011年战略中,德国政府强调只有与欧盟及国际社会通力协作,才能有效防护网络空间的安全,并将“开展有效协调行动确保欧洲和全球网络安全”列为网络安全行动重点领域,其中在欧盟层面将支持基于关键信息基础设施保护行动计划采取的合理措施,支持欧洲网络与信息安全相关法令的延伸和适度扩大;在国际层面将以确保德国在网络安全领域的利益和理念能在国际组织(如联合国、欧安组织、欧洲委员会、北约等)内得到协调和继续为目标,打造适当的外部网络政策。在2016年战略中,德国政府强调只有将国家措施纳入相应的欧洲、区域和国际进程,才能实现高水平的网络安全,并将“在欧洲及国际网络安全政策中发挥积极作用”列为四大行动方案之一。