继2008年颁布国家防务战略后,近期,巴西又推出国家网络安全战略。这两大举措表明,作为新兴大国,巴西对其国家安全怀有强烈的忧患意识。网络安全战略突出外部威胁以及军事理念和军队主导,强调系统性治理和统筹兼顾原则,重视本国技术的研发和创新。
重点内容及出台背景
巴西网络安全战略全称为《联邦公共管理机构信息与通讯安全和网络安全战略(2015-2018)》。顾名思义,该战略适用范围是联邦政府及联邦其他公共管理机构,其涵盖领域不仅是网络安全,还包括信息与通讯安全。巴西认为,信息与通讯安全和网络安全是网络防御的基础,其宗旨是为网络空间的使用提供保障,预防和阻止损害国家利益和社会利益的行为。
该战略极为详细,既提出了联邦一级政府机构网络安全规划的指导方针、网络安全的战略目的和具体目标,也规定了所有与数字安全问题有关的国家各机构的特殊职能,以及企业、大学及研究机构、公民和社团等社会各界参与制定网络安全政策的机制。
网络安全战略的战略目的意味着履行现实任务和未来使命的动力。巴西寄望于通过实施这些战略促成信息与通讯安全和网络安全的系统性治理,以便在联邦行政权力范围内实现网络安全公共管理制度化。
战略目的共有10项,其中包括:建设网络安全的系统治理模式,提升网络安全的成熟度,加强网络安全问题在政府日程中的高度优先地位,为网络安全的研究、开发和创新提供持续性保障,重视和扩大旨在加强信息关键基础设施安全的行动,促进建立相关机制以便提高全社会对网络安全的认识。
战略目标共计38项,均为须在特定时间予以落实的具体行动。2016年的目标有:在战略政治层面确立网络安全系统治理模式;研发网络安全成熟度指示器,以此作为联邦政府各机构网络安全跟踪和评估机制;协调各方努力,建设数字生态系统(信息与通讯安全+网络安全+企业+科研机构),并与网络防御生态系统协同并进。2017年的目标有:在联邦政府各机构安装并检测网络安全成熟度指示器。2018年的目标有:联邦政府直属机构全部实现网络安全自动分析并接受网络安全中央管理机构—总统府制度安全办公室评估。
网络安全战略出台背景主要有以下三点:
网络空间特点导致网络安全极具脆弱性。巴西网络空间有四大特点。一是互联网使用发展迅速。2000年巴西仅有860万互联网用户,到2014年增至1亿,成为世界第五大互联网使用国,也是脸谱、推特、YouTube等社交网站使用大国。巴西还是全球第四大信息与通讯市场。联邦行政权力机关拥有约6000个政府机构,320多个政府网络,1.65万个政府网站。二是信息三大要素—存储、处理和传送的前两项大部分都在国外,而传送国际通讯信息的海底电缆也大多经过美国。三是信息基础设施基本由外国跨国公司所支配。四是本国网络人才明显不足。据巴西联邦审计法院的数据,联邦公共管理机构和国企所使用的网络有80%在连续性处理事务和交易中出现错误,70%在上网控制方面有错误,75%在事故管理中有错误,85%在风险控制方面有错误。在这些构成高度战略性制度核心的企业和机构中,仅有50%任命了信息安全责任人,54%拥有关于内部数据下载的规范。2009年巴西电网多次遭受网络袭击破坏。2011年6月陆军电脑系统遭受黑客每天上万次的连续性攻击。2015年5月巴西外交部在全球的电子邮件和数据系统遭到黑客持续性攻击,许多机要文件泄密,驻世界各地约1500名外交官的邮箱受损。
美国监听事件迫使巴西加速推出网络安全战略。2013年揭露的美国国安局对巴西进行网络间谍活动的丑闻令巴西政府大为惊讶,就连总统本人的通讯也遭窃听,而巴西石油公司机密被大量窃取。巴西政府深感保护其网络空间与维护国家主权密不可分。参议院就美国监听事件成立了议会调查委员会。该委员会的调查报告要求国家迅速制订网络安全战略。无疑,“棱镜门”事件是促成巴西出台网络安全战略的催化剂。此外,巴西当局对连续举办重大国际体育赛事所带来的安全隐忧也促使其加快推出网络安全战略。
前期立法和重大举措为网络安全战略铺路。巴西于2003年立法建立互联网管理委员会并确定巴西互联网治理模式。2008年颁布法律批准国家防务战略,规定网络和空间与核共同构成国家防务最重要的三大战略部门。同年设立全国优化信息安全和密码系统网络。2010年陆军成立网络防御中心。2012年经立法规定信息犯罪的刑事立案和量刑标准。2012年发布网络防御政策。2014年颁布法律,公布互联网民则,规定了互联网使用的原则、保障、权利和义务。同年颁布法律,批准采取旨在加强国家网络防御的措施,并批准在陆军司令部建制下设立网络防御指挥中心和国家网络防御学院。同时还以国防部法规形式公布“网络防御军事理论”。2015年发布《2014~2015信息与通讯技术总战略》。这些法规和举措促使网络安全战略水到渠成。
网络安全战略三大特点
突出军事理念和军队主导。巴西网络防御观的形成先于网络安全观。2009年,国防部经由国家防务战略正式提出网络防御的概念,并将协调和统筹国防体系内网络防御规划和行动的任务赋予陆军。国防部以法规形式公布了“网络防御军事理论”和网络防御政策,从战略和网络战层面对网络防御分别进行系统阐释和行动及战术上的指导。巴西网络安全战略深受网络防御军事理论的影响,比如把外部威胁视为巴西所面临的主要网络威胁,以维护国家主权作为网络安全首要任务。专家认为,美国监听事件使巴西有理由相信,网络间谍活动后随之而来的可能就是网络战争,这已成为必须严阵以待的危险。
在组织结构方面,巴西网络防御主要由陆军主导。2010年国防部成立了网络防御中心,隶属陆军司令部。2014年批准在陆军司令部建制下设立网络防御指挥中心,建立和巩固网络防御产品的核准与认证,支持网络防御产品的研制与开发,以及设立网络防御观察站。陆军网络防御中心和网络防御指挥中心是巴西军事网络防御体系的重要组成部分,该体系的宗旨是网络的保护与利用,共有5大职能:理论、行动、情报、科技和人才培训。足见这些机构在巴西网络安全战略中发挥着重要作用。
巴西网络安全战略规定,联邦网络安全中央管理机构是直接隶属于总统府的部长级制度安全办公室。总统府原设有军事办公室,后将其撤销,改设为制度安全办公室。制度安全办公室职能是为总统行使其职权提供军事和安全事务方面的直接协助,负责总统、副总统的人身安全等。其主任通常由一位具有上将军衔的军人担任。制度安全办公室主任既是国家防务委员会的执行秘书,又是对外关系与国家防务会议的主持人。该机构的军事背景也表明巴西网络安全战略以军队为主导。
分析家认为,巴西网络安全战略突出应对外来威胁、突出军事理念和军队主导有其地缘政治的动机,作为一个新兴大国,巴西希望借助其网络安全架构提升地位、扩大影响,在双边关系和国际舞台显示其软实力。但也有专家担心巴西的这种选择会本末倒置,忽视国内网络犯罪所构成的严重威胁。
强调系统性治理和统筹兼顾原则。巴西制订和实施网络安全战略的思路是,在不远的将来,先在联邦行政权力范围内促成信息与通讯安全和网络安全的系统性治理,而后在适当时机向其他联邦机构和全国州市级机构及全社会推广,以逐步实现全国网络安全领域公共管理制度化。这种系统性治理基于一种把全社会和联邦各级(联邦、州和市)机构连为一体的模式,以使各自信息与通讯安全和网络安全体系以既自主又协作的方式组织起来。这种网络安全系统将建立国家和社会之间有效的结合,加强信息与通讯安全和网络安全公共政策的有机性、合理性、有效性并促进相关的投资和创新行动。
依照网络安全战略的规定,巴西联邦公共管理机构网络安全系统治理模式包括5个层级:
最高层是中央机构(总统府制度安全办公室),即信息与通讯安全和网络安全各领域事务的管理机构,负责协调与统筹联邦公共管理机构网络安全相关战略政治指导原则方面的所有行动。中间层为各部门管理机构,从联邦政府部级到基层共分三个层级,分别是贯彻战略指导原则的责任主体和参与者。第5层级是协作机构,包括凡是同联邦行政机构保持某种联系的州级和市级机构、学术机构、企业和社会组织。
统筹兼顾原则首先体现于网络安全同信息与通讯安全统筹考虑、全盘应对。当今时代,网络安全和信息安全、通讯安全已经高度融合、不分彼此。为此,巴西网络安全战略采用以下概念:
一是信息与通讯安全,旨在为信息的可用性、完整性、机密性和真实性提供可行性和保障;二是网络安全,为本国信息社会的存在和延续提供保障,在网络空间保护信息财产及其关键基础设施;三是信息财产,指存储、传输和处理工具及其所在处所;四是关键基础设施,指那些一旦被中断或被摧毁就将对社会、经济、政治、国际关系和国家与社会安全造成严重冲击的设施、服务、资产和系统。
信息与通讯安全和网络安全越来越体现为国家的战略职能,国家要从网络空间维护和保护诸如能源、交通、电讯、水源、金融和信息本身等国家关键基础设施,也要维护和保护个人权利特别是隐私和尊严。
统筹兼顾还体现为政府同企业、研究机构和社会团体协同努力,共谋网络安全大计。网络安全战略将扩大和加强同国内外学术界、公共与私人企业、社会组织的协作列为战略目的之一,规定联邦政府机构应该在网络安全领域寻求同社会各界建立协作和伙伴关系,以便吸收先进做法、技术解决方案,鼓励开发新的产品和服务。这些行动有利于减轻对外依赖,应该予以高度优先。网络安全战略还强调加强国际双边和多边合作、同跨国网络犯罪活动斗争的重要性。
数字生态系统(信息与通讯安全+网络安全+企业+科研机构)就是依靠政府和全社会协同努力加以建设的,其宗旨是支持信息与通讯安全和网络安全技术的研发,比如侦测恶意装置的解决方案和其他网络工具,推动数字生态系统的建立并促其与网络防御生态系统协同发挥作用。有必要完善有利于形成私人部门与大学和研究机构伙伴关系的促进和融资机制,加强信息与通讯安全和网络安全解决方案的研发和生产。
重视本国技术的研发和创新。巴西认为,在网络安全领域的研究、开发和创新是使巴西被世界认可为国际重要角色的基础条件,也能使巴西因满足保障国家主权和公民网络空间隐私的需要而受到尊重。网络安全战略规定,在科学、基础和应用研究、技术开发和创新中加强和优先对待信息与通讯安全和网络安全。网络安全部门应与联邦政府科学技术和创新部密切合作,以便提高知识生产,同时使相关的产品、服务和技术以及有关生产部门取得增值效益。
具体而言,本国技术研发和创新的重点领域有:
一是研发信息与通讯安全和网络安全领域解决方案,这项工作建立在硬件和国家专用密码规则基础之上,旨在确保联邦公共管理机构之间战略通讯的保密性、完整性和真实性。二是建立全国信息与密码系统安全网络,这个项目整合全国研究人员的努力,促进信息和密码系统安全知识的交流与新方案的开发。三是加速建立数字生态系统(信息与通讯安全+网络安全+企业+科研机构),以便支持信息与通讯安全和网络安全技术的研发。四是推动联邦政府信息与通讯安全和网络安全环境的标准化,制定既能做到设备与服务规格一致化又能确保政府采购合理与优化的计划。
为了在联邦公共管理机构建立信息与通讯安全和网络安全的规范性架构,必须寻求管理模式、技术解决方案、标准等的经常性更新,以便跟踪全球信息通讯技术进展和和技术衔接的发展动向。
为实施网络安全战略,巴西陆军网络防御中心在巴西南部伊泰普技术园区设立了战略基础设施网络防御技术的首创项目—电子、通讯和网络安全实验室,旨在研发巴西自己的网络防御解决方案。该实验室是巴西国家信息安全和密码系统网络9大项目之一。该网络的其他8个项目还包括保密传递协议以及研发网络攻击防御、阻止网络入侵解决方案和防御模拟器等计划。网络防御中心主任保罗·塞尔吉奥·梅洛将军说,巴西寄望该网络将“巴西置于世界数字安全和密码系统强国之列”。