制定网电安全国家战略方法与原则.docVIP

制定网电安全国家战略方法与原则 　　网电安全问题已上升为国家层面的问题，成为国际社会的大事。网电威胁既包括对企业和公民的网络犯罪，也包括带有政治目的网络间谍活动。微软公司在2013年10月份发布的《制定网电安全国家战略：安全、增长与革新的基础》报告中称，各国政府正在联合成熟的信息和通信技术（ICT）公司，采取措施保护重要资产、系统和关键网络免遭入侵，并致力于网电安全战略的制定。与传统的隐私立法过程不同，网电领域的法制建设是一个长期过程，需要应对不断发展的新技术，并不断加强公众的信息防护意识。 　　网电安全国家战略的特征、原则和作用 　　国家网电安全战略能够清晰给出网电风险的评估和管理办法，以及划分网电安全事件优先级的原则。它应该反映社会价值和信仰，明确识别、控制和缓解网电安全风险的原则，并具备平衡公民权利、社会自由和成本之间矛盾的优先级排序方法。 　　特征 　　包括三个重要特征。第一，原则清晰，能够反映出社会价值、大众趋向和立法准则，使得安全项目在无法律依据时依然有原则可寻；第二，包括的风险管理部分，能够对政府和涉密机构的潜在风险进行识别、控制和缓解；第三，能够预留一些“活动”文档，以便关键人群和信息敏感机构共同参与战略的制定和实施。 　　原则 　　基本原则包括：①能够根据威胁的性质和危害程度区分风险等级；②能够根据明确的结果要求制定应对方案；③能够保护尽可能多的网电资产，并能在尽量大的范围内测试；④尊重公民隐私和自由；⑤最大限度整合国际标准。 　　作用 　　主要作用包括：给出网电优先级判定的原则、划分政府和非政府机构权责、给出解决方案的目标、里程碑和考量方法、培养公民防范威胁的意识及合理利用资源等。 　　网电风险的认知过程 　　网电风险的认知 　　网电风险是经过验证，能够对国家或公众安全、经济运行造成危害的网电入侵。主要包括四类网电风险。 　　可以按照下列流程认知网电风险。 　　（1）从风险的认知、管理和评审入手，参照国际标准和优秀经验，制定一个清晰的认知流程框架。如下图。 　　（2）通??威胁模型划分网电安全优先级。从入侵者的动机（是仅存恶意的个人还是有预谋的组织）、入侵手段（如利用什么样的潜在网络漏洞）和目标资产方面入手。在政府、法律强制部门、涉密机构和学术界等广泛领域开展探讨，划分威胁优先级。 　　（3）根据优先级区别应对网电风险。政府要明确那些重要的资产或系统，以便高标准地进行保护。同时识别那些能够接受的风险，将其排除于受保护的政府或关键基础设施标准之外。此外，也应对个人风险加以讨论，根据危害程度制定恰当的应对方案。 　　（4）不断更新风险认知水平。风险评估和管理是一项长期工程。鉴于网电安全的动态特性—技术和攻击手段不断发展，风险管理也应随时更新，及时将新的国家需求和基础设施技术能力包含进去。 　　对网电风险进行优先级排序 　　威瑞森公司最近发布一份报告指出，2012年，97%被调查的网络入侵事件均可以通过简单或中级安全控制措施加以预防。因此，政府应为重要的ICT系统制定“关键安全基准”，以降低其面临的普遍风险。同时政府需要加强风险管理活动和创新来完善已有的标准，以应对新衍化的网电安全风险。可按照下列方法进行优先级排序工作。 　　（1）鉴于国家信息系统的复杂网络和保护任务，政府应首先对这些系统划分优先级，清晰的优先级顺序对于成功实施安全防护十分重要。 　　（2）建立重要和最低限度的安全基准。包括政府系统安全基准、重要网电基础设施基准、企业基准和个人基准。 　　（3）国家应完善法律、法规，制定ICT安全基准，成立专门的ICT企业管控机构，落实国家战略的需求，推进政府和私营部门网电安全能力的发展。 　　（4）国家在设置安全基准的创建参数时，既要考虑资产和网络的运行安全，也应保持适当的弹性。使私营部门和ICT企业既要有支持安全的必要措施，也可根据其规模、级别进行调整。同时，国家应鼓励、支持并培训这些企业建立安全体系。 　　（5）政府可利用自动化技术收集、分析各种不同来源的数据，识别风险并用于管理决策，使政府系统的操作者和审查人员在威胁环境中能更好地应对变化及快速满足各企业的特定挑战。监控对象包括恶意或异常的网络活动及重要资产和重要进程等。 　　（6）在全球化进展中，保护国家信息技术的供应链是很重要的。使用国际标准和全球公认的最佳实践，不仅能够为供应商创建灵活性，而且可增加潜在的解决方案范围。 　　网电安全的应对办法 　　国家应建立有效的应对机制以保护重要信息及系统。让公众和私营企业搞清楚国家级网电事件的定义，以及哪些实体有责任应对这些事件。 　　进行漏洞和威胁预警 　　政府应联合企业一起创建威胁和漏洞警告模型，发展一种信息共享的文化，及时发布网络漏洞和威胁预警信息