网络 战略、政策与实践

网络 战略、政策与实践

当前计算机网络要求政府保持稳健防御计划以适应网络空间的演进步调

《论坛》工作人员

物联网(即依靠智能设备实现数据收集与交换)以及相关技术的快速发展和扩散,不可避免地要求政策制定者以及数据安全专家做出调整,以适应这一不断变化的环境。这么做意味着要灵活地制定网络战略以威慑潜在敌人、保护关键基础设施并在独特威胁出现时对战术进行调整。

2016 年 10 月,新加坡负责网络安全的通讯及新闻部部长雅国 (Yaacob Ibrahim) 博士在东南亚国家联盟(东盟)网络空间安全部长级会议上说:“保护我们的网络空间……要求我们对我们的总体网络环境有更好的态势感知。”他说:“这对改善我们的网络集体卫生至关重要,因为当我们知道哪里是薄弱环节、哪里可能存在可疑的网络活动时,就能更好地有针对性地进行预防与补救。”

在北京一个网吧,一名男子正在用电脑上网。[法新社/盖蒂图片社]

东盟的十个成员国(文莱、缅甸、柬埔寨、印尼、老挝、马来西亚、菲律宾、新加坡、泰国和越南)一直热衷于制定一套综合战略,并在 2017 年 4 月推出了东盟网络能力计划 (ACCP)。
该计划的主要目标包括:提高感知能力和推动地区对网络规范进行更深入的探讨;通过制定指标对相关领域进行有效性评估来提高地区在能力建设和事件响应方面的协调性;加强地区在战略制定和网络立法方面的能力建设;以及在制定网络安全物联网标准的全球性努力中做出贡献。
 “各国当前面临着全方位的网络威胁,其中包括网络犯罪、网络攻击、网络间谍以及其他恶意活动。”雅国说,“我们东盟国家对此也不能免疫。……东南亚各国政府与本地区其他组织相比,更可能成为网络攻击目标,高级持续性威胁依然是我们面临的最大威胁之一。”
网络攻击可能涵盖从窃取资金与数据、损害名誉到破坏关键信息基础设施在内的各种行为。所有这些行为都可能对经济与社会造成伤害。
由于这些风险,东盟推出网络能力计划变得愈加必要。东盟网络能力计划的目标之一是:创建一个能实现经济发展和更好生活标准的安全强韧的网络空间。
无论如何评估,要达到这一目标都并非易事。例如,恶意软件的发展呈现出与其他所有商业活动相同的特点。网络威胁组织之间不断在推出恶意软件上相互竞争和创新。最成功的恶意软件不断壮大并广为扩散。

国际倡议

根据微软亚洲数字犯罪部门区域总监克雪夫·达卡 (Keshav Dhakad) 的说法,全球范围内,网络犯罪每年造成的损失约为 3 万亿美元(约合人民币 18.9 万亿元)。达卡称,据调查显示,71% 的受访公司承认在 2015 年曾受到网络攻击。由于网络用户数量庞大,出现更多受害者的潜在风险只会增加。
例如,据微软的“2025 年网络模型”预测,印太地区到 2025 年的互联网用户将增加至 47 亿人左右,其中近半数用户是在 2012 年到 2025 年之间开始上网的。
 “网络安全不能是零散工作,每个组织都必须有一个 360 度的全方位安全框架。”达卡说,“这包括全面的保护、探测和响应态势以及相应的资金和资源投入,并定期评估审查网络安全实践活动,以保护组织的身份、数据、应用程序、设备和基础设施。”

东京一家证券公司的电子显示屏上,反射着一名男子的影像。各国政府担心网络攻击可能严重破坏金融系统。
[美联社]

目前,很少有直接涉及网络活动的国际条约。仅有的几个条约,其范围也十分有限。
然而,缺乏专门的网络国际法并不意味着网络活动可以无视规章制度。事实上,网络专家经常聚在一起对协议进行调整,在网络空间发生演变时提出新的指导方针,并维持各种可供政府和专家开展协作和扩展商业的论坛。
 “安全强韧的网络空间能推动经济进步和生活水平改善。”东盟网络计划文件指出,“各国可以通过坚持明确和切合实际的自愿行为准则,并以强有力的信任建立措施为这些准则提供支持,从而为网络空间的安全与强韧作出贡献。”
网络领域的公共和私人参与者经常聚集在一起,以促进支持和建立信任。2017 年 3 月,美国战略与国际研究中心 (CSIS) 在华盛顿特区举行了一次这样的会议。该会议名为“网络破坏峰会”(Cyber Disrupt Summit),系战略与国际研究中心首次举办。在为期一天的会议中,与会专家和政府官员评估了不断变化的国际安全环境并提出了一些有潜力的措施,以应对不断增加的网络空间敌意行为。
美国总统唐纳德·特朗普的国土安全和反恐助理托马斯·博塞特 (Thomas P. Bossert) 详细介绍了美国过去十年来在网络领域取得的经验教训,并分享了他对美国新兴政策的洞见。博塞特所表达的一个重要信息是,各国(公司和个人也是如此)在网络领域活动时都应对规范予以认可。
“规范十分重要。这是我们作为一个国家发出的声明,我们对人们如何在一个开放的、可互操作的平台上按规矩行事有一定的期望,正是这个平台,让创新、自由贸易、公平交易和我们认为对我们的社会性组织[和]社会经济组织而言至关重要的其他事物成为可能。”博塞特说,“你一开始就坦率地告诉其他国家我们对他们的表现有何期待,以及我们将如何表现加以回报。如果他们接受了这些规范,结果却不遵守,那么我们就有责任向他们指出来,并有责任采取相应措施。”

国庆日阅兵中,越南反网络战部队警员正在列队行进。作为东盟成员国,越南会与其他成员国展开网络安全合作。路透社

根据美国国防部科学委员会网络威慑任务组 2017 年 2 月的一份报告,在关键基础设施领域,美国在减少普遍存在的薄弱环节方面的努力已无法跟上威胁的发展。

 “至少在未来十年,美国必须大力倚重威慑,以应对美国的重量级对手所造成的网络威胁。”美国国防科学委员会主席克雷格·菲尔兹 (Craig Fields) 在报告中这样写道,并承认需要在网络威慑方面采取 “更积极、更系统的方法”。
这份国防科学委员会报告指出,首先,并非所有的网络攻击都可以被慑止。
 “第一个重要例子是,即便是作出要施加严厉惩罚的明确承诺,可能也无法慑止恐怖组织对美国及其盟友的严重破坏行为。”该报告说,“第二个完全不同的例子是,如果美国正与另一个国家打一场大战,我们也不应当指望能威慑那些旨在削弱美国军事能力的网络攻击,哪怕这种攻击不会或几乎不会对美国平民社会造成附带损害。”
国防科学委员会的报告将网络威慑定义为:使用拒止型威慑和成本强制型威慑手段来说服对手不要实施网络攻击或代价高昂的网络入侵。在某些情况下,美国会扩大威慑实践的范围,以保护盟友和伙伴国。
 “正如网络是一个相对较新的领域,网络威慑也是一个相对较新的尝试。到目前为止,美国基本上一直是在逐步建立其网络威慑态势以应对攻击。”该报告指出,
 “对朝鲜黑掉索尼公司的事件、中国的知识产权盗窃行为以及俄罗斯干涉美国大选之举,尽管美国采取了外交行动和经济制裁,但其对未来的网络攻击和代价高昂的网络入侵是否能发挥有效威慑作用却并不清楚。”

防御举措

达卡表示,强大的信息技术以及“互联网卫生”流程可为强健的网络安全态势奠定基础。他建议,各组织应发展一种“假定攻破”态势,该态势将运用积极防御战略,通过投入资金识别各种漏洞来避免陷入被动应对的局面。
东盟领导人同意,由于网络领域不断扩大,各国需通过对话来避免数字冲突。
雅国在 2016 年 10 月的东盟网络会议期间表示:“东盟开始探讨网络规范正当其时。在过去十年里,全球开始启动关于网络规范的讨论,并得到诸如联合国政府专家组等平台的大力推动。在继续参与全球对话的同时,我们还应确保规范和行为与我们东盟独特的环境和文化紧密相关且与之适应。这一东盟视角可能是我们为全球对话做出的共同贡献。”
各国政府的内部对话还应包括一份检查清单,以确保在网络安全方面保持有力态势,以有效抵御和应对网络攻击和恶意软件感染。对此,达卡提出了以下建议:
  • 确保内部井然有序。网络罪犯肯定会发动攻击,只是我们不知道攻击的时间。换句话说,使用旧的、不受保护的或非正版的 IT 资产将大大增加网络攻击的可能性。例如,人们已经知道盗版和假冒软件通常会带来嵌入式恶意软件感染。加强 IT 资产(包括软件和硬件)的采购、使用、维护和定期升级比以往任何时候都更为重要。
  • 从内部开始。IT 用户的网络卫生状况不佳,员工行为疏忽或组织内的凭证/密码保护能力过弱,会大大增加系统被破坏的脆弱性。随着越来越多的个人设备在工作场所使用,这些设备被感染的几率也越来越高,包括未受保护的互联设备(物联网),这些都是网络犯罪分子容易得手的目标。
  • 实时监控所有系统。投资现代威胁防护技术以实时监控、检测并消除那些常见和高级的网络威胁,同时提高内部专业知识来进行威胁分析。有研究表明,在印太地区,从外部渗透开始到发现网络威胁的平均时间为 510 天以上,远远超过全球 140-200 天的平均速度。
  • 维护一个可信的 IT 供应链并定期审查。只使用当前版本的正版软件,并及时更新。拥有一个横跨软件、硬件和物联网的可信供应链。自带设备并定期审查,同时评估网络安全投资以及软件和硬件部署的性能,包括客户和供应商对企业/政府网络的访问。
随着网络安全方面的对话不断扩大,这一势头得到继续推进。例如,美国国会 2017 年 5 月提出了一项旨在帮助印太地区加强与盟国网络合作的法案。如获通过,政府将拨款 21 亿美元(约合人民币 132.3 亿元)用于该地区的安全计划。
 “无需提醒,谁都知道亚太地区的局势正日益紧张。”据美国《国会山报》报道,美国众议院军事委员会主席众议员麦克·松贝利 (Mac Thornberry) 在介绍该法案时宣读一份事先准备好的声明说,“美国必须向我们的盟友和朋友保证,我们致力于确保该地区当前与未来的稳定与安全。实现这点的最好方法之一是增加我们在该地区的军事存在并提高战备水平。要做到这一点,我们需要对各种国防能力进行投资,这也是此项立法的初衷。”

澳大利亚与亚洲盟友加强合作打击网络犯罪

美联社

鉴于犯罪威胁不断增长,同时也是促进地区商业安全的需要,澳大利亚开始就打击网络犯罪加强与亚洲邻国合作。

2017 年 6 月,澳大利亚在曼谷签署了一份合作协议。这意味着澳大利亚今后将与泰国、新加坡和中国在网络犯罪和安全问题上展开合作。澳大利亚网络事务大使托比亚斯·菲金 (Tobias Feakin) 说,鉴于印太地区网络犯罪分子网络带来的挑战日益增长,合作至关重要。

“犯罪分子和作恶者可以比政府更快地适应和吸收所有[这些信息]。”菲金说,“所以,如果我们对此避而不谈,不分享最佳实践,不继续前进,很快就会发现我们已被甩在后面。”

菲金与泰国皇家警察的高级领导、澳大利亚国家安全和外交事务官员举行了会谈,为网络犯罪数字取证工作的发展提供支持。

2017 年 6 月,澳大利亚网络事务大使托比亚斯·菲金(下左)与新加坡网络安全局局长许智贤签署了一份备忘录,澳大利亚总理马尔科姆·特恩布尔(左上)与新加坡总理李显龙(右上)在旁见证了这一过程。美联社

鉴于跨国犯罪分子的威胁,其中包括与苯丙胺类兴奋剂等毒品走私有关的澳大利亚飞车党的威胁,澳大利亚已通过泰国皇家警察和麻醉品管制局与泰国进行合作。泰国也是证券欺诈运营商的大本营,其手法也被称为“锅炉房股份欺诈”:寓居泰国的外国人(包括英国人和美国人)利用虚假在线投资品对澳大利亚和新西兰投资者实施诈骗。

菲金表示,合作主要是为了“提高泰国皇家警察的数字取证能力”,以确保能向法庭呈交可靠的证据。菲金说:“为获得证据,你要考虑以何种方式取得法庭才会接受。然后,还要考虑调查过程,如何才能付诸实施并找到可能对事件负责的个人或团体。”

官员表示,对泰国警方的支持是“数字取证工作的基石,取证工作内容包括在不同设备上搜集电子证据、对其加以处理并提取数据”。他们表示,越来越多的跨国犯罪调查工作都围绕有组织犯罪团伙利用数字媒介通信和存储信息等进行。在与泰国签署协议前,澳大利亚已与新加坡签署了一份网络安全条约,其内容包括就保护关键信息基础设施进行信息共享,并开展培训和联合演习。

2017 年 4 月,澳大利亚就中国黑客通过网络窃取知识产权问题向中国施压,随后与中国签署了一项协议,进一步加强了两国网络安全合作。

“从我们与中国签署的协议中,你可以看到,我们都承认这必须是双方共同探讨的一个重要内容。”菲金说,“中国是一个庞大的经济伙伴。我们之间存在一些[共同]领域,也存在一些分歧。我们找到了一个契合点,我们签署的协议说,我们同意不通过网络实施知识产权窃取活动,我认为这是一个不错的契合点。”

分享